Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Consiglio
Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
Un attacco di concessione di consenso illecito presuppone che l'entità che chiama le informazioni sia un'automazione, non un essere umano:
- L'utente malintenzionato crea un'app registrata in Microsoft Entra ID che richiede l'accesso a informazioni di contatto, posta elettronica o documenti.
- L'utente malintenzionato usa quindi un attacco di phishing o inserisce codice illecito in un sito Web attendibile per indurre gli utenti a concedere all'app il consenso per accedere ai propri dati.
- Dopo che un utente concede il consenso all'applicazione illecita, ha accesso ai dati a livello di account senza la necessità di un account nell'organizzazione.
In un attacco di concessione del consenso illecito, l'utente malintenzionato crea un'applicazione registrata in Microsoft Entra ID che richiede l'accesso a dati come informazioni di contatto, posta elettronica o documenti. L'utente malintenzionato quindi consiglia a un utente finale di concedere il consenso dell'applicazione per accedere ai propri dati tramite un attacco di phishing o inserendo codice illecito in un sito Web attendibile. Dopo aver concesso il consenso all'applicazione illecita, l'applicazione ha accesso ai dati a livello di account senza la necessità di un account aziendale. I normali passaggi di correzione ,ad esempio la reimpostazione delle password o la richiesta di autenticazione a più fattori (MFA) non sono efficaci per questo tipo di attacco, perché queste app sono esterne all'organizzazione.
Questo articolo illustra i passaggi per identificare le concessioni di consenso illecite nell'organizzazione e come risolverle.
Consiglio
Sospetti di riscontrare problemi con le concessioni di consenso illecite in questo momento? Microsoft Defender for Cloud Apps dispone di strumenti per rilevare, analizzare e correggere le app OAuth. Questo articolo Defender for Cloud Apps include un'esercitazione che descrive come analizzare le app OAuth rischiose. È anche possibile impostare i criteri delle app OAuth per analizzare le autorizzazioni richieste dall'app, che gli utenti autorizzano queste app e approvare o vietare ampiamente queste richieste di autorizzazioni.
Che cosa è necessario sapere prima di iniziare?
Aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com. Aprire il Interfaccia di amministrazione di Microsoft Entra all'indirizzo https://entra.microsoft.com.
Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:
Microsoft Entra autorizzazioni: l'appartenenza ai ruoli amministratore* globale offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.
Importante
* Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Come trovare concessioni di consenso illecite
È necessario eseguire una ricerca nel log di controllo in Microsoft Purview Audit (Standard) o Audit (Premium) per trovare i segni di concessioni di consenso illecite, che sono dubbie sul consenso alle attività dell'applicazione. Questi segni sono noti anche come indicatori di compromissione (IOC). I passaggi sono descritti in questa sezione. Per altre informazioni sulla ricerca nel log di controllo, vedere Cercare nel log di controllo.
Consiglio
Nelle organizzazioni con molte app registrate nell'ID Entra e in una base di utenti di grandi dimensioni, la procedura consigliata consiste nel esaminare le concessioni di consenso nelle organizzazioni su base settimanale.
Nel portale di Microsoft Defender in https://security.microsoft.compassare a Controllo. In alternativa, per passare direttamente alla pagina Audit, usare https://security.microsoft.com/auditlogsearch.
Nella pagina Controllo verificare che sia selezionata la scheda Nuova ricerca e quindi configurare le impostazioni seguenti:
- Intervallo di data e ora: selezionare i valori di data/ora di inizio ed edt appropriati.
- Attività: verificare che l'opzione Mostra risultati per tutte le attività sia selezionata.
Al termine, selezionare Cerca.
Selezionare la colonna Attività per ordinare i risultati e cercare Consenso all'applicazione.
Selezionare una voce dall'elenco per visualizzare i dettagli dell'attività. Verificare se IsAdminConsent è impostato su True.
Nota
Possono essere necessari da 30 minuti a 24 ore prima che la voce del log di controllo corrispondente venga visualizzata nei risultati della ricerca dopo che si è verificato un evento.
Il periodo di tempo in cui un record di controllo viene conservato e ricercabile nel log di controllo dipende dalla sottoscrizione di Microsoft 365. In particolare, le licenze assegnate a utenti specifici. Per altre informazioni, vedere Log di controllo.
Il valore True indica che un utente con accesso amministratore globale potrebbe aver concesso un accesso ampio ai dati. Se questo valore è imprevisto, eseguire i passaggi necessari per confermare un attacco.
Come confermare un attacco
Se sono presenti una o più istanze delle operazioni di I/O elencate in precedenza, è necessario eseguire ulteriori indagini per verificare in modo positivo che l'attacco si sia verificato. È possibile usare uno di questi tre metodi per confermare l'attacco:
- Le applicazioni di inventario e le relative autorizzazioni usano il Interfaccia di amministrazione di Microsoft Entra. Questo metodo è accurato, ma è possibile controllare solo un utente alla volta. Questo metodo può richiedere molto tempo se si hanno molti utenti da controllare.
- Le applicazioni di inventario e le relative autorizzazioni tramite PowerShell. Questo metodo è il metodo più veloce e più frequente e presenta la quantità minima di sovraccarico.
- Chiedere agli utenti di controllare singolarmente le app e le autorizzazioni e segnalare i risultati agli amministratori per la correzione.
Inventario delle app con accesso nell'organizzazione
Sono disponibili le opzioni seguenti per l'inventario delle app per gli utenti:
- Interfaccia di amministrazione di Microsoft Entra.
- PowerShell.
- Fare in modo che gli utenti enumerino singolarmente il proprio accesso all'applicazione.
Procedura per l'uso del Interfaccia di amministrazione di Microsoft Entra
È possibile cercare le applicazioni a cui un singolo utente ha concesso le autorizzazioni usando il Interfaccia di amministrazione di Microsoft Entra:
- Aprire il Interfaccia di amministrazione di Microsoft Entra in https://entra.microsoft.come quindi passare aUtenti>identità>Tutti gli utenti. In alternativa, per passare direttamente a Utenti>Tutti gli utenti, usare https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
- Trovare e selezionare l'utente da rivedere facendo clic sul valore Nome visualizzato .
- Nella pagina dei dettagli utente visualizzata selezionare Applicazioni.
Questi passaggi mostrano le app assegnate all'utente e le autorizzazioni delle applicazioni.
Procedura per l'enumerazione dell'accesso dell'applicazione da parte degli utenti
Fare in modo che gli utenti vadano a https://myapps.microsoft.com esaminare l'accesso all'applicazione. Dovrebbero essere in grado di visualizzare tutte le app con accesso, visualizzarne i dettagli (incluso l'ambito di accesso) ed essere in grado di revocare i privilegi ad app sospette o illecite.
Passaggi in PowerShell
Il modo più semplice per verificare l'attacco di concessione del consenso illecito consiste nell'eseguire lo script Get-AzureADPSPermissions.ps1, che esegue il dump di tutte le concessioni di consenso OAuth e delle app OAuth per tutti gli utenti della tenancy in un unico file .csv.
Prerequisiti
- SDK PowerShell di Microsoft Graph è installato.
- Autorizzazioni di amministratore globale nell'organizzazione in cui viene eseguito lo script.
- Autorizzazioni di amministratore locale nel computer in cui vengono eseguiti gli script.
Importante
È consigliabile richiedere l'autenticazione a più fattori nell'account amministratore. Questo script supporta l'autenticazione MFA.
Microsoft sostiene fortemente il principio dei privilegi minimi. L'assegnazione degli account solo alle autorizzazioni minime necessarie per eseguire le attività consente di ridurre i rischi per la sicurezza e di rafforzare la protezione complessiva dell'organizzazione. Amministratore globale è un ruolo con privilegi elevati che è consigliabile limitare agli scenari di emergenza o quando non è possibile usare un ruolo diverso.
Accedere al computer in cui si desidera eseguire gli script con diritti di amministratore locale.
Scaricare o copiare lo script Get-AzureADPSPermissions.ps1 da GitHub in una cartella facile da trovare e ricordare. Questa cartella è anche la posizione in cui è necessario scrivere il file di output "permissions.csv".
Aprire una sessione di PowerShell con privilegi elevati come amministratore nella cartella in cui è stato salvato lo script.
Connettersi alla directory usando il cmdlet Connect-MgGraph .
Eseguire questo comando di PowerShell:
.\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
Lo script produce un file denominato Permissions.csv. Seguire questa procedura per cercare le concessioni di autorizzazioni per le applicazioni illecite:
Nella colonna ConsentType (colonna G) cercare il valore "AllPrinciples". L'autorizzazione AllPrincipals consente all'applicazione client di accedere al contenuto di tutti nella tenancy. Le applicazioni native di Microsoft 365 necessitano di questa autorizzazione per funzionare correttamente. Ogni applicazione non Microsoft con questa autorizzazione deve essere esaminata con attenzione.
Nella colonna Autorizzazione (colonna F) esaminare le autorizzazioni che ogni applicazione delegata ha per il contenuto. Cercare l'autorizzazione "Lettura" e "Scrittura" o "Tutto" ed esaminare attentamente queste autorizzazioni, perché potrebbero non essere appropriate.
Esaminare gli utenti specifici che hanno concesso il consenso. Se gli utenti di alto profilo o di alto valore hanno acconsenti inappropriati, è consigliabile approfondire le indagini.
Nella colonna ClientDisplayName (colonna C) cercare le app che sembrano sospette. Le app con nomi con errori di ortografia, nomi super blandi o nomi di hacker devono essere esaminate con attenzione.
Determinare l'ambito dell'attacco
Dopo aver completato l'inventario dell'accesso alle applicazioni, esaminare il log di controllo per determinare l'ambito completo della violazione. Cercare gli utenti interessati, i tempi di accesso dell'applicazione illecita all'organizzazione e le autorizzazioni dell'app. È possibile eseguire una ricerca nel log di controllo nel portale di Microsoft Defender.
Importante
Per ottenere queste informazioni è necessario che il controllo delle cassette postali e il controllo delle attività per amministratori e utenti siano attivati prima dell'attacco.
Come arrestare e correggere un attacco di concessione di consenso illecito
Dopo aver identificato l'applicazione con autorizzazioni illecite, è possibile rimuovere tale accesso in diversi modi:
È possibile revocare l'autorizzazione dell'applicazione nel Interfaccia di amministrazione di Microsoft Entra seguendo questa procedura:
- Aprire il Interfaccia di amministrazione di Microsoft Entra in https://entra.microsoft.come quindi passare aUtenti>identità>Tutti gli utenti. In alternativa, per passare direttamente a Utenti>Tutti gli utenti, usare https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
- Trovare e selezionare l'utente interessato facendo clic sul valore Nome visualizzato .
- Nella pagina dei dettagli utente visualizzata selezionare Applicazioni.
- Nella pagina Applicazioni selezionare l'applicazione illecita facendo clic sul valore Nome .
- Nella pagina Dettagli assegnazione visualizzata selezionare Rimuovi.
È possibile revocare la concessione del consenso OAuth con PowerShell seguendo la procedura descritta in Remove-MgOauth2PermissionGrant
È possibile revocare l'assegnazione di ruolo dell'app del servizio con PowerShell seguendo la procedura descritta in Remove-MgServicePrincipalAppRoleAssignment.
È possibile disabilitare l'accesso per l'account interessato, disabilitando l'accesso ai dati nell'account da parte dell'app. Questa azione non è ideale per la produttività degli utenti, ma può essere una correzione a breve termine per limitare rapidamente i risultati dell'attacco.
È possibile disattivare le applicazioni integrate nell'organizzazione. Questa azione è drastica. Anche se impedisce agli utenti di concedere accidentalmente l'accesso a un'app dannosa, impedisce anche a tutti gli utenti di concedere il consenso a qualsiasi applicazione. Questa azione non è consigliata perché compromette gravemente la produttività degli utenti con applicazioni non Microsoft. È possibile disattivare le app integrate seguendo la procedura descritta in Attivazione o disattivazione delle app integrate.
Vedere anche
- Le applicazioni elencate in Applicazioni aziendali illustrano agli amministratori le varie azioni che potrebbero voler intraprendere dopo aver compreso che ci sono applicazioni impreviste con accesso ai dati.
- Avvio rapido: Registrare un'applicazione con il Microsoft Identity Platform è una panoramica generale del consenso e delle autorizzazioni.
- Configurare i criteri di durata dei token fornisce collegamenti a vari articoli correlati al consenso.
- Gli oggetti applicazione e entità servizio in Microsoft Entra ID offrono una panoramica degli oggetti applicazione e entità servizio che sono fondamentali per il modello di applicazione.
- Gestire l'accesso a un'applicazione è una panoramica delle funzionalità che gli amministratori hanno per gestire l'accesso degli utenti alle app.