Freigeben über

Untersuchen von Angriffspfaden für OAuth-Anwendungen in Defender for Cloud Apps (Vorschau)

Microsoft Security Exposure Management hilft Ihnen, die Angriffsfläche und das Gefährdungsrisiko Ihres Unternehmens effektiv zu verwalten. Durch die Kombination von Ressourcen und Techniken veranschaulichen Angriffspfade die End-to-End-Pfade, die Angreifer verwenden können, um von einem Einstiegspunkt innerhalb Ihres organization zu Ihren kritischen Ressourcen zu wechseln. Microsoft Defender for Cloud Apps eine Zunahme von Angreifern beobachtet, die OAuth-Anwendungen für den Zugriff auf vertrauliche Daten in unternehmenskritischen Anwendungen wie Microsoft Teams, SharePoint, Outlook und mehr verwenden. Zur Unterstützung der Untersuchung und Entschärfung sind diese Anwendungen in den Angriffspfad und die Kartenansichten der Angriffsfläche in Microsoft Security Exposure Management integriert.

Voraussetzungen

Stellen Sie für die ersten Schritte mit den Features des OAuth-Anwendungsangriffspfads in Exposure Management sicher, dass Sie die folgenden Anforderungen erfüllen.

Erforderliche Rollen und Berechtigungen

Für den Zugriff auf alle Belichtungsverwaltungsfunktionen benötigen Sie entweder eine RBAC-Rolle (Unified Role-Based Access-Control) oder eine Entra ID-Rolle. Es ist nur eine erforderlich.

  • Expositionsverwaltung (Lesen) (Unified RBAC)

Alternativ können Sie eine der folgenden Entra-ID-Rollen verwenden:

Permission Actions
Globale Admin (Lese- und Schreibberechtigungen)
sicherheitsrelevante Admin (Lese- und Schreibberechtigungen)
Sicherheitsoperator (Leseberechtigungen und eingeschränkte Schreibberechtigungen)
Globaler Reader (Leseberechtigungen)
Sicherheitsleseberechtigter (Leseberechtigungen)

Hinweis

Derzeit nur in kommerziellen Cloudumgebungen verfügbar. Microsoft Security Exposure Management Daten und Funktionen sind derzeit in Clouds der US-Regierung – GCC, GCC High, DoD und China Gov – nicht verfügbar.

Verwaltung kritischer Ressourcen – Dienstprinzipale

Microsoft Defender for Cloud Apps definiert einen Satz kritischer OAuth-Berechtigungen. OAuth-Anwendungen mit diesen Berechtigungen werden als hochwertige Ressourcen betrachtet. Wenn ein Angreifer kompromittiert wird, kann er hohe Berechtigungen für SaaS-Anwendungen erlangen. Um dieses Risiko widerzuspiegeln, behandeln Angriffspfade Dienstprinzipale mit diesen Berechtigungen als Zielziele.

Anzeigen von Berechtigungen für kritische Ressourcen

Um die vollständige Liste der Berechtigungen anzuzeigen, wechseln Sie zum Microsoft Defender-Portal, und navigieren Sie zu Einstellungen > Microsoft Defender XDR > Verwaltung kritischer Ressourcen.>

Screenshot der Seite

Untersuchen des Benutzerflusses: Anzeigen von Angriffspfaden mit OAuth-Anwendungen

Sobald Sie wissen, welche Berechtigungen hochwertige Ziele darstellen, führen Sie die folgenden Schritte aus, um zu untersuchen, wie diese Anwendungen in den Angriffspfaden Ihrer Umgebung angezeigt werden. Für kleinere Organisationen mit einer verwaltbaren Anzahl von Angriffspfaden empfehlen wir, diesen strukturierten Ansatz zu verwenden, um jeden Angriffspfad zu untersuchen:

Hinweis

OAuth-Apps werden in der Angriffspfad-Oberflächenkarte nur angezeigt, wenn bestimmte Bedingungen erkannt werden.
Beispielsweise kann eine OAuth-App im Angriffspfad angezeigt werden, wenn eine anfällige Komponente mit einem leicht ausnutzbaren Einstiegspunkt erkannt wird. Dieser Einstiegspunkt ermöglicht die laterale Verschiebung zu Dienstprinzipalen mit hohen Berechtigungen.

  1. Wechseln Sie zu Angriffsfläche Angriffsfläche >> Angriffspfade.

  2. Filtern nach "Zieltyp: AAD-Dienstprinzipal"

    Screenshot des Angriffspfaddiensts zum Hinzufügen des pricipalen Zieltyps

  3. Wählen Sie den Angriffspfad mit dem Titel "Gerät mit Sicherheitsrisiken mit hohem Schweregrad ermöglicht laterales Verschieben zum Dienstprinzipal mit vertraulichen Berechtigungen" aus.

    Screenshot des Angriffspfadnamens

  4. Klicken Sie auf die Schaltfläche In Karte anzeigen, um den Angriffspfad anzuzeigen.

    Screenshot der Schaltfläche

  5. Wählen Sie das Pluszeichen aus, um Knoten zu erweitern und detaillierte Verbindungen anzuzeigen.

    Screenshot der Karte der Angriffsfläche

  6. Zeigen Sie auf Knoten und Kanten, oder wählen Sie sie aus, um zusätzliche Daten zu untersuchen, z. B. über welche Berechtigungen diese OAuth-App verfügt.

    Screenshot: Berechtigungen, die der OAuth-App zugewiesen sind, wie auf der Karte der Angriffsfläche dargestellt

  7. Kopieren Sie den Namen der OAuth-Anwendung, und fügen Sie ihn auf der Seite Anwendungen in die Suchleiste ein.

    Screenshot der Registerkarte

  8. Wählen Sie den App-Namen aus, um zugewiesene Berechtigungen und Nutzungserkenntnisse zu überprüfen, einschließlich, ob Berechtigungen mit hohen Berechtigungen aktiv verwendet werden.

    Screenshot: Berechtigungen, die der Oauth-App zugewiesen sind

  9. Optional: Wenn Sie feststellen, dass die OAuth-Anwendung deaktiviert werden soll, können Sie sie auf der Seite Anwendungen deaktivieren.

Benutzerflow für Entscheidungsträger: Priorisieren des Angriffspfads mithilfe von Drosselungspunkten

Für größere Organisationen mit zahlreichen Angriffspfaden, die nicht manuell untersucht werden können, empfehlen wir die Verwendung von Angriffspfaddaten und die Verwendung der Choke Points-Erfahrung als Priorisierungstool. Dieser Ansatz ermöglicht Folgendes:

  • Identifizieren Sie Ressourcen, die mit den meisten Angriffspfaden verbunden sind.
  • Treffen Sie fundierte Entscheidungen darüber, welche Ressourcen für die Untersuchung priorisiert werden sollen.
  • Filtern Sie nach Microsoft Entra OAuth-App, um zu sehen, welche OAuth-Apps an den meisten Angriffspfaden beteiligt sind.
  • Entscheiden Sie, auf welche OAuth-Anwendungen Berechtigungen mit den geringsten Berechtigungen angewendet werden sollen.

Erste Schritte:

  1. Wechseln Sie zur Seite Angriffspfade > Drosselungspunkte.

    Screenshot der Seite

  2. Wählen Sie einen Drosselpunktnamen aus, um weitere Details zu den wichtigsten Angriffspfaden wie Name, Einstiegspunkt und Ziel anzuzeigen.

  3. Klicken Sie auf Strahlradius anzeigen, um den Drosselungspunkt in der Karte der Angriffsfläche weiter zu untersuchen. Screenshot: Schaltfläche zum Anzeigen des Strahlradius

Wenn es sich bei dem Drosselungspunkt um eine OAuth-Anwendung handelt, setzen Sie die Untersuchung auf der Seite Anwendungen fort, wie oben in den Schritten 7–9 beschrieben.

Analysieren der Angriffsflächenkarte und -suche mit Abfragen

In der Karte Angriffsoberfläche werden Verbindungen von benutzereigenen Apps, OAuth-Apps und Dienstprinzipalen angezeigt. Diese Beziehungsdaten sind verfügbar in:

  • ExposureGraphEdges-Tabelle (zeigt Verbindungen an)

  • ExposureGraphNodes-Tabelle (enthält Knoteneigenschaften wie Berechtigungen)

Verwenden Sie die folgende Abfrage für die erweiterte Suche, um alle OAuth-Anwendungen mit kritischen Berechtigungen zu identifizieren:

let RelevantNodes = ExposureGraphNodes
| where NodeLabel == "Microsoft Entra OAuth App" or NodeLabel == "serviceprincipal"
| project NodeId, NodeLabel, NodeName, NodeProperties;
ExposureGraphEdges
| where EdgeLabel == "has permissions to" or EdgeLabel == "can authenticate as"
| make-graph SourceNodeId --> TargetNodeId with RelevantNodes on NodeId
| graph-match (AppRegistration)-[canAuthAs]->(SPN)-[hasPermissionTo]->(Target)
        where AppRegistration.NodeLabel == "Microsoft Entra OAuth App" and
        canAuthAs.EdgeLabel == "can authenticate as" and
        SPN.NodeLabel == "serviceprincipal" and
        SPN.NodeProperties["rawData"]["criticalityLevel"]["criticalityLevel"] == 0 and
        hasPermissionTo.EdgeLabel == @"has permissions to" and
        Target.NodeLabel == "Microsoft Entra OAuth App" and
        Target.NodeName == "Microsoft Graph"
        project AppReg=AppRegistration.NodeLabel,
         canAuthAs=canAuthAs.EdgeLabel, SPN.NodeLabel, DisplayName=SPN.NodeProperties["rawData"]["accountDisplayName"],
         Enabled=SPN.NodeProperties["rawData"]["accountEnabled"], AppTenantID=SPN.NodeProperties["rawData"]["appOwnerOrganizationId"],
         hasPermissionTo=hasPermissionTo.EdgeLabel, Target=Target.NodeName,
         AppPerm=hasPermissionTo.EdgeProperties["rawData"]["applicationPermissions"]["permissions"]
| mv-apply AppPerm on (summarize AppPerm = make_list(AppPerm.permissionValue))
| project AppReg, canAuthAs, DisplayName, Enabled, AppTenantID, hasPermissionTo, Target, AppPerm

Nächste Schritte

Weitere Informationen finden Sie unter:

  • Last updated on