Examiner les chemins d’attaque d’application OAuth dans Defender for Cloud Apps (préversion)

Sécurité Microsoft - Gestion de l’exposition vous aide à gérer efficacement la surface d’attaque et les risques d’exposition de votre entreprise. En combinant des ressources et des techniques, les chemins d’attaque illustrent les chemins d’accès de bout en bout que les attaquants peuvent utiliser pour passer d’un point d’entrée dans votre organization à vos ressources critiques. Microsoft Defender for Cloud Apps observé une augmentation du nombre d’attaquants utilisant des applications OAuth pour accéder à des données sensibles dans des applications critiques pour l’entreprise telles que Microsoft Teams, SharePoint, Outlook, etc. Pour prendre en charge l’investigation et l’atténuation, ces applications sont intégrées aux vues de chemin d’attaque et de carte de surface d’attaque dans Sécurité Microsoft - Gestion de l’exposition.

Configuration requise

Pour commencer à utiliser les fonctionnalités de chemin d’attaque d’application OAuth dans Exposure Management, vérifiez que vous répondez aux exigences suivantes.

• Une licence Microsoft Defender for Cloud Apps avec la gouvernance des applications activée.

• Le connecteur d’application Microsoft 365 doit être activé. Pour plus d’informations sur la connexion et sur les connecteurs d’application qui fournissent des recommandations de sécurité, consultez Connecter des applications pour obtenir une visibilité et un contrôle avec Microsoft Defender for Cloud Apps.

• Facultatif : pour obtenir un accès complet aux données de chemin d’attaque, nous vous recommandons d’avoir une licence de sécurité E5, Defender pour point de terminaison ou Defender pour Identity.

Rôles et des autorisations requis

Pour accéder à toutes les expériences de gestion des expositions, vous avez besoin d’un rôle RBAC (Unified Role-Based-Access-Control) ou d’un rôle d’ID Entra. Un seul est requis.

• Gestion des expositions (lecture) (RBAC unifié)

Vous pouvez également utiliser l’un des rôles d’ID Entra suivants :

Gestion des ressources critiques - Principaux de service

Microsoft Defender for Cloud Apps définit un ensemble d’autorisations OAuth à privilège critique. Les applications OAuth disposant de ces autorisations sont considérées comme des ressources à valeur élevée. En cas de compromission, un attaquant peut obtenir des privilèges élevés pour les applications SaaS. Pour refléter ce risque, les chemins d’attaque traitent les principaux de service avec ces autorisations comme des objectifs cibles.

Afficher les autorisations pour les ressources critiques

Pour afficher la liste complète des autorisations, accédez au portail Microsoft Defender et accédez à Paramètres > Microsoft Defender XDR > Règles > Gestion des ressources critiques.

Flux utilisateur d’investigation : afficher les chemins d’attaque impliquant des applications OAuth

Une fois que vous avez compris quelles autorisations représentent des cibles à valeur élevée, procédez comme suit pour examiner comment ces applications apparaissent dans les chemins d’attaque de votre environnement. Pour les petites organisations avec un nombre gérable de chemins d’attaque, nous vous recommandons de suivre cette approche structurée pour examiner chaque chemin d’attaque :

1. Accédez à Gestion de > l’exposition - Surface d’attaque > Chemins d’attaque.

2. Filtrer par « Type de cible : principal du service AAD »

   

3. Sélectionnez le chemin d’attaque intitulé : « L’appareil avec des vulnérabilités de gravité élevée autorise le déplacement latéral vers le principal de service avec des autorisations sensibles »

   

4. Cliquez sur le bouton Afficher dans la carte pour afficher le chemin d’attaque.

   

5. Sélectionnez le signe + pour développer les nœuds et afficher les connexions détaillées.

   

6. Pointez ou sélectionnez des nœuds et des arêtes pour explorer les données supplémentaires, telles que les autorisations dont dispose cette application OAuth.

   

7. Copiez le nom de l’application OAuth et collez-le dans la barre de recherche de la page Applications.

   

8. Sélectionnez le nom de l’application pour passer en revue les autorisations attribuées et les insights d’utilisation, notamment si les autorisations à privilèges élevés sont activement utilisées.

   

9. Facultatif : si vous déterminez que l’application OAuth doit être désactivée, vous pouvez la désactiver à partir de la page Applications.

Flux utilisateur du décideur : hiérarchiser le chemin d’attaque à l’aide de points d’étranglement

Pour les grandes organisations avec de nombreux chemins d’attaque qui ne peuvent pas être examinés manuellement, nous vous recommandons d’utiliser les données de chemin d’attaque et d’utiliser l’expérience Des points d’étranglement comme outil de hiérarchisation. Cette approche vous permet de :

• Identifiez les ressources connectées avec le plus de chemins d’attaque.
• Prenez des décisions éclairées sur les ressources à hiérarchiser pour l’examen.
• Filtrez par Microsoft Entra application OAuth pour voir quelles applications OAuth sont impliquées dans les chemins d’accès les plus d’attaques.
• Déterminez les applications OAuth auxquelles appliquer les autorisations de privilège minimum.

Pour commencer :

1. Accédez à la page Points d’étranglement des chemins > d’attaque.

   

2. Sélectionnez un nom de point d’étranglement pour afficher plus de détails sur les principaux chemins d’attaque, tels que le nom, le point d’entrée et la cible.

3. Cliquez sur Afficher le rayon d’explosion pour examiner plus en détail le point d’étranglement dans la carte de la surface d’attaque.

Si le point d’étranglement est une application OAuth, poursuivez l’examen dans la page Applications, comme décrit dans les étapes 7 à 9 ci-dessus.

Analyser la carte de surface d’attaque et la chasse avec des requêtes

Dans la carte surface d’attaque, vous pouvez voir les connexions à partir d’applications appartenant à l’utilisateur, d’applications OAuth et de principaux de service. Ces données de relation sont disponibles dans :

• Tableau ExposureGraphEdges (affiche les connexions)

• Table ExposureGraphNodes (inclut des propriétés de nœud telles que des autorisations)

Utilisez la requête De chasse avancée suivante pour identifier toutes les applications OAuth disposant d’autorisations critiques :

let RelevantNodes = ExposureGraphNodes
| where NodeLabel == "Microsoft Entra OAuth App" or NodeLabel == "serviceprincipal"
| project NodeId, NodeLabel, NodeName, NodeProperties;
ExposureGraphEdges
| where EdgeLabel == "has permissions to" or EdgeLabel == "can authenticate as"
| make-graph SourceNodeId --> TargetNodeId with RelevantNodes on NodeId
| graph-match (AppRegistration)-[canAuthAs]->(SPN)-[hasPermissionTo]->(Target)
        where AppRegistration.NodeLabel == "Microsoft Entra OAuth App" and
        canAuthAs.EdgeLabel == "can authenticate as" and
        SPN.NodeLabel == "serviceprincipal" and
        SPN.NodeProperties["rawData"]["criticalityLevel"]["criticalityLevel"] == 0 and
        hasPermissionTo.EdgeLabel == @"has permissions to" and
        Target.NodeLabel == "Microsoft Entra OAuth App" and
        Target.NodeName == "Microsoft Graph"
        project AppReg=AppRegistration.NodeLabel,
         canAuthAs=canAuthAs.EdgeLabel, SPN.NodeLabel, DisplayName=SPN.NodeProperties["rawData"]["accountDisplayName"],
         Enabled=SPN.NodeProperties["rawData"]["accountEnabled"], AppTenantID=SPN.NodeProperties["rawData"]["appOwnerOrganizationId"],
         hasPermissionTo=hasPermissionTo.EdgeLabel, Target=Target.NodeName,
         AppPerm=hasPermissionTo.EdgeProperties["rawData"]["applicationPermissions"]["permissions"]
| mv-apply AppPerm on (summarize AppPerm = make_list(AppPerm.permissionValue))
| project AppReg, canAuthAs, DisplayName, Enabled, AppTenantID, hasPermissionTo, Target, AppPerm

Prochaines étapes

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Gouvernance des applications dans Microsoft Defender for Cloud Apps

• Vue d’ensemble de la gestion des surfaces d’attaque

• Vue d’ensemble des chemins d’attaque