共用方式為


調查及補救具風險的 OAuth 應用程式

OAuth 是用於權杖型驗證與授權的開放式標準。 OAuth 可讓使用者的帳戶資訊由第三方服務使用,而不需要公開使用者的密碼。 OAuth 做為代表使用者的仲介,它為服務提供可授權共用特定帳戶資訊的存取權杖。

例如,分析使用者行事曆的應用程式,並提供如何提高生產力的建議,需要存取使用者的行事曆。 OAuth 不會提供使用者的認證,而是可讓應用程式僅根據令牌取得數據的存取權,而當使用者同意頁面時,如下圖所示。

OAuth 應用程式許可權。

許多可能由組織中的商務使用者安裝的第三方應用程式會需要權限,才能存取使用者資訊與資料,以及以其他雲端應用程式使用者的身分登入。 當使用者安裝這些應用程式時,通常不會仔細檢閱提示中的詳細資料 (包括授權給應用程式的資料) 就按下 [接受]。 接受第三方應用程式許可權對您的組織有潛在的安全性風險。

例如,下列 OAuth 應用程式同意頁面可能看起來對普通使用者而言是合法的,不過,「Google API Explorer」不應該需要向 Google 本身要求許可權。 因此,這表示應用程式可能是網路釣魚嘗試,與Google完全無關。

OAuth 網路釣魚 Google。

身為安全性系統管理員,您需要檢視和控制環境中的應用程式,以及包含其擁有的許可權。 您需要能夠防止使用需要撤銷資源許可權的應用程式。 因此,適用於雲端的 Microsoft Defender Apps 可讓您調查及監視使用者授與的應用程式許可權。 此文章主要是要協助您調查組織中的 OAuth 應用程式,而且專注在可能可疑的應用程式。

我們建議的方法是使用 適用於雲端的 Defender Apps 入口網站中提供的能力和資訊來調查應用程式,以篩選出風險較低的應用程式,並專注於可疑的應用程式。

在本教學課程中,您將了解如何:

注意

本文會使用 OAuth 應用程式頁面的範例和螢幕快照,當您未開啟應用程式控管時,會使用此範例和螢幕快照。

如果您使用 預覽功能 並開啟應用程式控管,則會改為從 [應用程式控管 ] 頁面取得相同的功能。

如需詳細資訊,請參閱 適用於雲端的 Microsoft Defender Apps 中的應用程式控管。

如何偵測有風險的 OAuth 應用程式

您可以使用下列項目來偵測具風險的 OAuth 應用程式:

  • 警示:回應現有原則所觸發的警示。
  • 搜捕:在所有可用的應用程式中搜尋具風險的應用程式,而不需具體懷疑有風險。

使用警示偵測有風險的應用程式

您可以設定原則,以在 OAuth 應用程式符合特定準則時自動傳送通知。 例如,您可以設定原則,以在偵測到需要高許可權且由超過50位使用者授權的應用程式時自動通知您。 如需建立 OAuth 原則的詳細資訊,請參閱 OAuth 應用程式原則

藉由搜捕來偵測有風險的應用程式

  1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下,移至 [OAuth 應用程式]。 使用篩選和查詢來檢閱環境中發生的情況:

    • 將篩選條件設定為許可權層級高嚴重性和社群使用不常見。 使用此篩選條件,您可以專注於可能非常有風險的應用程式,其中使用者可能低估了風險。

    • 在 [許可權]下,選取特定內容中特別有風險的所有選項。 例如,您可以選取提供電子郵件存取許可權的所有篩選,例如 所有信箱 的完整存取權,然後檢閱應用程式清單,以確定它們確實需要郵件相關存取權。 這可協助您在特定內容中調查,並尋找看似合法的應用程式,但包含不必要的許可權。 這些應用程式更有可能有風險。

      OAuth 網路釣魚風險。

    • 選取外部用戶授權的已儲存查詢 應用程式。 使用此篩選條件,您可以找到可能與公司安全性標準不一致的應用程式。

  2. 檢閱應用程式之後,您可以將焦點放在看似合法的查詢中,但實際上可能會有風險的應用程式。 使用篩選條件來尋找它們:

    • 篩選少數使用者授權的應用程式。 如果您專注在這些應用程式上,便可以找出由被盜用使用者所授權的具風險應用程式。
    • 具有不符合應用程式用途許可權的應用程式,例如,具有所有信箱完整存取權的時鐘應用程式。
  3. 選取每個應用程式以開啟應用程式選單,並檢查應用程式是否有可疑的名稱、發行者或網站。

  4. 查看應用程式清單,並尋找 [上次授權] 底下的日期已經過一段時間的應用程式。 這些應用程式可能已不再必要。

    OAuth 應用程式選單。

如何調查可疑的 OAuth 應用程式

判斷應用程式可疑且想要調查之後,建議您遵循下列重要原則,以有效率地進行調查:

  • 應用程式越常見且使用越常見,可能是由您的組織或在線使用,就越有可能是安全的。
  • 應用程式應該只需要與應用程式用途相關的許可權。 如果情況並非如此,應用程式可能會有風險。
  • 需要高許可權或系統管理員同意的應用程式更有可能有風險。
  1. 選取應用程式以開啟應用程式選單,然後選取 [相關活動] 底下的連結。 這會開啟 [活動記錄] 頁面,並以該應用程式所執行的活動進行篩選。 請注意,某些應用程式所執行的活動會被系統記錄為由某個使用者所執行。 這些活動會在 [活動記錄] 的結果中被自動篩選掉。 若要使用 [活動記錄] 進行進一步的調查,請參閱活動記錄
  2. 在選單中,選取 [ 同意活動 ] 以調查活動記錄中應用程式的使用者同意。
  3. 如果應用程式似乎可疑,建議您調查不同應用程式市集中的應用程式名稱和發行者。 將焦點放在下列應用程式上,這可能表示懷疑:
    • 具有低下載次數的應用程式。
    • 具有低評分或分數,或是負面評論的應用程式。
    • 具有可疑發行者或網站的應用程式。
    • 上次更新不是最近更新的應用程式。 這可能表示該應用程式已經不再被支援。
    • 具有不相關權限的應用程式。 這可能表示該應用程式是具有風險的。
  4. 若應用程式仍可疑,您可以在線上研究該應用程式的名稱、發行者與 URL。
  5. 您可以匯出 OAuth 應用程式稽核,以進一步分析授權應用程式的使用者。 如需詳細資訊,請參閱 OAuth 應用程式稽核

如何補救可疑的 OAuth 應用程式

判斷 OAuth 應用程式有風險之後,適用於雲端的 Defender 應用程式會提供下列補救選項:

下一步

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證