Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Sécurité Microsoft - Gestion de l’exposition vous aide à gérer efficacement la surface d’attaque et les risques d’exposition de votre entreprise. En combinant des ressources et des techniques, les chemins d’attaque illustrent les chemins d’accès de bout en bout que les attaquants peuvent utiliser pour passer d’un point d’entrée dans votre organization à vos ressources critiques. Microsoft Defender for Cloud Apps observé une augmentation du nombre d’attaquants utilisant des applications OAuth pour accéder à des données sensibles dans des applications critiques pour l’entreprise telles que Microsoft Teams, SharePoint, Outlook, etc. Afin de faciliter l’analyse et l’atténuation, ces applications sont intégrées aux vues du chemin d’attaque et de la cartographie de la surface d’attaque dans Sécurité Microsoft Exposure Management.
Prérequis
Pour commencer à utiliser les fonctionnalités de chemin d’attaque d’application OAuth dans Exposure Management, vérifiez que vous répondez aux exigences suivantes.
Une licence Microsoft Defender for Cloud Apps avec la gouvernance des applications activée.
Le connecteur d’application Microsoft 365 doit être activé. Pour plus d’informations sur la connexion et sur les connecteurs d’application qui fournissent des recommandations de sécurité, consultez Connecter des applications pour obtenir une visibilité et un contrôle avec Microsoft Defender for Cloud Apps.
Facultatif : pour obtenir un accès complet aux données de chemin d’attaque, nous vous recommandons d’avoir une licence de sécurité E5, Defender pour point de terminaison ou Defender pour Identity.
Rôles et des autorisations requis
Pour accéder à l’ensemble des fonctionnalités d’Exposure Management, vous devez disposer soit d’un rôle de contrôle d’accès en fonction du rôle unifié (RBAC), soit d’un rôle Entra ID. Un seul est requis.
- Gestion de l’exposition (lecture) (RBAC unifié)
Vous pouvez également utiliser l’un des rôles d’ID Entra suivants :
| Autorisation | Actions |
|---|---|
| Administration de sécurité | (autorisations de lecture et d’écriture) |
| Opérateur de sécurité | (autorisations de lecture et d’écriture limitées) |
| Lecteur global | (autorisations de lecture) |
| Lecteur de sécurité | (autorisations de lecture) |
Remarque
Actuellement disponible dans les environnements cloud commerciaux uniquement. Les données et les fonctionnalités de Sécurité Microsoft Exposure Management ne sont actuellement pas disponibles dans les clouds du gouvernement américain - GCC, GCC High, DoD et China Gov.
Gestion des ressources critiques - Principaux de service
Les principaux de service sont des identités que Microsoft Entra ID attribue aux applications afin qu’elles puissent s’authentifier et accéder aux ressources au nom de l’application plutôt qu’au nom d’un utilisateur. Microsoft Defender for Cloud Apps définit un ensemble d’autorisations OAuth à privilège critique. Les applications OAuth disposant de ces autorisations sont considérées comme des ressources à valeur élevée. En cas de compromission, un attaquant peut obtenir des privilèges élevés pour les applications SaaS. Pour refléter ce risque, les chemins d’attaque considèrent les principaux de service disposant de ces autorisations comme des cibles.
Afficher les autorisations pour les ressources critiques
Pour afficher la liste complète des autorisations, accédez au portail Microsoft Defender et accédez à Paramètres > Microsoft Defender XDR > Règles > Gestion des ressources critiques.
Flux utilisateur d’investigation : afficher les chemins d’attaque impliquant des applications OAuth
Une fois que vous avez compris quelles autorisations représentent des cibles à valeur élevée, procédez comme suit pour examiner comment ces applications apparaissent dans les chemins d’attaque de votre environnement. Pour les petites organisations avec un nombre gérable de chemins d’attaque, nous vous recommandons de suivre cette approche structurée pour examiner chaque chemin d’attaque :
Remarque
Les applications OAuth s’affichent dans la carte de surface du chemin d’attaque uniquement lorsque des conditions spécifiques sont détectées.
Par exemple, une application OAuth peut apparaître dans le chemin d’attaque si un composant vulnérable avec un point d’entrée facilement exploitable est détecté. Ce point d’entrée permet un déplacement latéral vers les principaux de service avec des privilèges élevés.
Accédez à Gestion de > l’exposition - Surface d’attaque > Chemins d’attaque.
Filtrer par « Type de cible : principal du service AAD »
Sélectionnez le chemin d’attaque intitulé : « Un appareil avec des vulnérabilités de gravité élevée permet un déplacement latéral vers un principal de service avec des autorisations sensibles »
Cliquez sur le bouton Afficher dans la carte pour afficher le chemin d’attaque.
Sélectionnez le signe + pour développer les nœuds et afficher les connexions détaillées.
Pointez ou sélectionnez des nœuds et des arêtes pour explorer les données supplémentaires, telles que les autorisations dont dispose cette application OAuth.
Copiez le nom de l’application OAuth et collez-le dans la barre de recherche de la page Applications.
Sélectionnez le nom de l’application pour passer en revue les autorisations attribuées et les insights d’utilisation, notamment si les autorisations à privilèges élevés sont activement utilisées.
Facultatif : si vous déterminez que l’application OAuth doit être désactivée, vous pouvez la désactiver à partir de la page Applications.
Flux utilisateur du décideur : hiérarchiser le chemin d’attaque à l’aide de points d’étranglement
Pour les grandes organisations avec de nombreux chemins d’attaque qui ne peuvent pas être examinés manuellement, nous vous recommandons d’utiliser les données de chemin d’attaque et d’utiliser l’expérience Des points d’étranglement comme outil de hiérarchisation. Cette approche vous permet de :
- Identifiez les ressources connectées avec le plus de chemins d’attaque.
- Prenez des décisions éclairées sur les ressources à hiérarchiser pour l’examen.
- Filtrer par application OAuth Microsoft Entra pour voir quelles applications OAuth sont impliquées dans le plus grand nombre de chemins d’attaque.
- Déterminez les applications OAuth auxquelles appliquer les autorisations de privilège minimum.
Pour commencer :
Accédez à la page Chemins d’attaque > Points d’étranglement.
Sélectionnez un nom de point d’étranglement pour afficher plus de détails sur les principaux chemins d’attaque, tels que le nom, le point d’entrée et la cible.
Cliquez sur Afficher le rayon d’explosion pour examiner plus en détail le point d’étranglement dans la carte de la surface d’attaque.
Si le point de blocage est une application OAuth, poursuivez l’examen en recherchant l’application par nom dans la page Applications , en examinant ses autorisations affectées et les insights d’utilisation, et éventuellement en désactivant l’application si nécessaire.
Analyser la cartographie de la surface d’attaque et effectuer des recherches à l’aide de requêtes
Dans la carte de la surface d’attaque, vous pouvez voir les connexions provenant d’applications détenues par l’utilisateur, d’applications OAuth et de principaux de service. Ces données de relation sont disponibles dans :
Tableau ExposureGraphEdges (affiche les connexions)
Table ExposureGraphNodes (inclut des propriétés de nœud telles que des autorisations)
Utilisez la requête Advanced Hunting suivante pour identifier toutes les applications OAuth avec des autorisations critiques. Cette requête joint les tables ExposureGraphNodes et ExposureGraphEdges pour rechercher les enregistrements d’applications OAuth Microsoft Entra qui peuvent s’authentifier en tant que principaux de service classés comme critiques (niveau de criticité 0) et qui disposent d’autorisations pour Microsoft Graph. Utilisez-la pour découvrir quelles applications OAuth de votre locataire disposent d’un accès à privilèges élevés et pour les hiérarchiser pour révision :
let RelevantNodes = ExposureGraphNodes
| where NodeLabel == "Microsoft Entra OAuth App" or NodeLabel == "serviceprincipal"
| project NodeId, NodeLabel, NodeName, NodeProperties;
ExposureGraphEdges
| where EdgeLabel == "has permissions to" or EdgeLabel == "can authenticate as"
| make-graph SourceNodeId --> TargetNodeId with RelevantNodes on NodeId
| graph-match (AppRegistration)-[canAuthAs]->(SPN)-[hasPermissionTo]->(Target)
where AppRegistration.NodeLabel == "Microsoft Entra OAuth App" and
canAuthAs.EdgeLabel == "can authenticate as" and
SPN.NodeLabel == "serviceprincipal" and
SPN.NodeProperties["rawData"]["criticalityLevel"]["criticalityLevel"] == 0 and
hasPermissionTo.EdgeLabel == @"has permissions to" and
Target.NodeLabel == "Microsoft Entra OAuth App" and
Target.NodeName == "Microsoft Graph"
project AppReg=AppRegistration.NodeLabel,
canAuthAs=canAuthAs.EdgeLabel, SPN.NodeLabel, DisplayName=SPN.NodeProperties["rawData"]["accountDisplayName"],
Enabled=SPN.NodeProperties["rawData"]["accountEnabled"], AppTenantID=SPN.NodeProperties["rawData"]["appOwnerOrganizationId"],
hasPermissionTo=hasPermissionTo.EdgeLabel, Target=Target.NodeName,
AppPerm=hasPermissionTo.EdgeProperties["rawData"]["applicationPermissions"]["permissions"]
| mv-apply AppPerm on (summarize AppPerm = make_list(AppPerm.permissionValue))
| project AppReg, canAuthAs, DisplayName, Enabled, AppTenantID, hasPermissionTo, Target, AppPerm
Prochaines étapes
Pour plus d’informations, reportez-vous aux rubriques suivantes :