Investigación de rutas de acceso de ataque de aplicaciones de OAuth en Defender for Cloud Apps (versión preliminar)

Administración de exposición de seguridad Microsoft le ayuda a administrar la superficie expuesta a ataques de su empresa y el riesgo de exposición de forma eficaz. Mediante la combinación de recursos y técnicas, las rutas de ataque ilustran las rutas de acceso de un extremo a otro que los atacantes pueden usar para pasar de un punto de entrada dentro de la organización a los recursos críticos. Microsoft Defender for Cloud Apps observó un aumento en los atacantes que usan aplicaciones de OAuth para acceder a datos confidenciales en aplicaciones críticas para la empresa, como Microsoft Teams, SharePoint, Outlook, etc. Para admitir la investigación y mitigación, estas aplicaciones se integran en la ruta de acceso de ataque y las vistas de mapa de superficie expuesta a ataques en Administración de exposición de seguridad Microsoft.

Requisitos previos

Para empezar a trabajar con las características de ruta de acceso de ataque de la aplicación OAuth en Administración de exposición, asegúrese de cumplir los siguientes requisitos.

• Una licencia de Microsoft Defender for Cloud Apps con La gobernanza de aplicaciones habilitada.

• Se debe activar el conector de aplicaciones de Microsoft 365. Para obtener información sobre cómo conectarse y sobre cuál de los conectores de aplicaciones proporciona recomendaciones de seguridad, consulte Conexión de aplicaciones para obtener visibilidad y control con Microsoft Defender for Cloud Apps.

• Opcional: para obtener acceso completo a los datos de ruta de acceso de ataque, se recomienda tener una licencia de seguridad E5, una licencia de Defender para punto de conexión o una licencia de Defender for Identity.

Permisos y roles necesarios

Para acceder a todas las experiencias de administración de la exposición, necesita un rol de control de acceso basado en rol unificado (RBAC) o un rol de id. de entra. Solo se requiere uno.

• Administración de la exposición (lectura) (RBAC unificado)

Como alternativa, puede usar uno de los siguientes roles de Id. de entra:

Administración de recursos críticos: entidades de servicio

Microsoft Defender for Cloud Apps define un conjunto de permisos de OAuth con privilegios críticos. Las aplicaciones de OAuth con estos permisos se consideran recursos de alto valor. Si se pone en peligro, un atacante puede obtener privilegios elevados para las aplicaciones SaaS. Para reflejar este riesgo, las rutas de acceso de ataque tratan a las entidades de servicio con estos permisos como objetivos de destino.

Visualización de permisos para recursos críticos

Para ver la lista completa de permisos, vaya al portal de Microsoft Defender y vaya a Configuración > Microsoft Defender XDR > Reglas > Administración de recursos críticos.

Flujo de usuario de investigación: visualización de rutas de acceso de ataque que implican aplicaciones de OAuth

Una vez que comprenda qué permisos representan destinos de alto valor, siga estos pasos para investigar cómo aparecen estas aplicaciones en las rutas de acceso de ataque del entorno. Para organizaciones más pequeñas con un número administrable de rutas de ataque, se recomienda seguir este enfoque estructurado para investigar cada ruta de acceso de ataque:

1. Vaya a Administración de > la exposición Rutas de ataque de superficie > expuesta a ataques.

2. Filtre por "Tipo de destino: entidad de servicio de AAD"

   

3. Seleccione la ruta de acceso de ataque titulada: "El dispositivo con vulnerabilidades de gravedad alta permite el movimiento lateral a la entidad de servicio con permisos confidenciales".

   

4. Haga clic en el botón Ver en el mapa para ver la ruta de acceso de ataque.

   

5. Seleccione el signo + para expandir los nodos y ver las conexiones detalladas.

   

6. Mantenga el puntero o seleccione nodos y bordes para explorar datos adicionales, como los permisos que tiene esta aplicación de OAuth.

   

7. Copie el nombre de la aplicación OAuth y péguelo en la barra de búsqueda de la página Aplicaciones.

   

8. Seleccione el nombre de la aplicación para revisar los permisos asignados y la información de uso, incluido si se usan activamente los permisos con privilegios elevados.

   

9. Opcional: si determina que se debe deshabilitar la aplicación OAuth, puede deshabilitarla desde la página Aplicaciones.

Flujo de usuario del responsable de la toma de decisiones: priorizar la ruta de acceso de ataque mediante puntos de atraque

Para organizaciones más grandes con numerosas rutas de ataque que no se pueden investigar manualmente, se recomienda usar los datos de ruta de acceso de ataque y usar la experiencia de puntos de ataque como herramienta de priorización. Este enfoque le permite:

• Identifique los recursos conectados con la mayoría de las rutas de acceso de ataque.
• Tome decisiones informadas sobre los recursos que se deben priorizar para la investigación.
• Filtre por Microsoft Entra aplicación de OAuth para ver qué aplicaciones de OAuth están implicadas en la mayoría de las rutas de acceso de ataque.
• Decida a qué aplicaciones de OAuth se van a aplicar los permisos con privilegios mínimos.

Para empezar:

1. Vaya a la página Puntos de atraque de rutas > de ataque.

   

2. Seleccione un nombre de punto de atragantamiento para ver más detalles sobre las rutas de acceso de ataque principales, como el nombre, el punto de entrada y el destino.

3. Haz clic en Ver radio de explosión para investigar aún más el punto de atraque en el Mapa de superficie expuesta a ataques.

Si el punto de atragantamiento es una aplicación de OAuth, continúe con la investigación en la página Aplicaciones, como se describe en los pasos 7 a 9 anteriores.

Análisis del mapa de superficie expuesta a ataques y búsqueda con consultas

En el mapa Superficie expuesta a ataques, puede ver conexiones desde aplicaciones propiedad del usuario, aplicaciones de OAuth y entidades de servicio. Estos datos de relación están disponibles en:

• Tabla ExposureGraphEdges (muestra las conexiones)

• Tabla ExposureGraphNodes (incluye propiedades de nodo como permisos)

Use la siguiente consulta de búsqueda avanzada para identificar todas las aplicaciones de OAuth con permisos críticos:

let RelevantNodes = ExposureGraphNodes
| where NodeLabel == "Microsoft Entra OAuth App" or NodeLabel == "serviceprincipal"
| project NodeId, NodeLabel, NodeName, NodeProperties;
ExposureGraphEdges
| where EdgeLabel == "has permissions to" or EdgeLabel == "can authenticate as"
| make-graph SourceNodeId --> TargetNodeId with RelevantNodes on NodeId
| graph-match (AppRegistration)-[canAuthAs]->(SPN)-[hasPermissionTo]->(Target)
        where AppRegistration.NodeLabel == "Microsoft Entra OAuth App" and
        canAuthAs.EdgeLabel == "can authenticate as" and
        SPN.NodeLabel == "serviceprincipal" and
        SPN.NodeProperties["rawData"]["criticalityLevel"]["criticalityLevel"] == 0 and
        hasPermissionTo.EdgeLabel == @"has permissions to" and
        Target.NodeLabel == "Microsoft Entra OAuth App" and
        Target.NodeName == "Microsoft Graph"
        project AppReg=AppRegistration.NodeLabel,
         canAuthAs=canAuthAs.EdgeLabel, SPN.NodeLabel, DisplayName=SPN.NodeProperties["rawData"]["accountDisplayName"],
         Enabled=SPN.NodeProperties["rawData"]["accountEnabled"], AppTenantID=SPN.NodeProperties["rawData"]["appOwnerOrganizationId"],
         hasPermissionTo=hasPermissionTo.EdgeLabel, Target=Target.NodeName,
         AppPerm=hasPermissionTo.EdgeProperties["rawData"]["applicationPermissions"]["permissions"]
| mv-apply AppPerm on (summarize AppPerm = make_list(AppPerm.permissionValue))
| project AppReg, canAuthAs, DisplayName, Enabled, AppTenantID, hasPermissionTo, Target, AppPerm

Siguientes pasos

Para más información, vea:

• Gobernanza de aplicaciones en Microsoft Defender for Cloud Apps

• Introducción a la administración de superficie expuesta a ataques

• Introducción a las rutas de acceso de ataque