Examiner les chemins d’attaque des applications OAuth dans Defender for Cloud Apps (préversion)

Sécurité Microsoft - Gestion de l’exposition vous aide à gérer efficacement la surface d’attaque et les risques d’exposition de votre entreprise. En combinant des ressources et des techniques, les chemins d’attaque illustrent les chemins d’accès de bout en bout que les attaquants peuvent utiliser pour passer d’un point d’entrée dans votre organization à vos ressources critiques. Microsoft Defender for Cloud Apps observé une augmentation du nombre d’attaquants utilisant des applications OAuth pour accéder à des données sensibles dans des applications critiques pour l’entreprise telles que Microsoft Teams, SharePoint, Outlook, etc. Afin de faciliter l’analyse et l’atténuation, ces applications sont intégrées aux vues du chemin d’attaque et de la cartographie de la surface d’attaque dans Sécurité Microsoft Exposure Management.

Prérequis

Pour commencer à utiliser les fonctionnalités de chemin d’attaque d’application OAuth dans Exposure Management, vérifiez que vous répondez aux exigences suivantes.

Rôles et des autorisations requis

Pour accéder à l’ensemble des fonctionnalités d’Exposure Management, vous devez disposer soit d’un rôle de contrôle d’accès en fonction du rôle unifié (RBAC), soit d’un rôle Entra ID. Un seul est requis.

  • Gestion de l’exposition (lecture) (RBAC unifié)

Vous pouvez également utiliser l’un des rôles d’ID Entra suivants :

Autorisation Actions
Administration de sécurité (autorisations de lecture et d’écriture)
Opérateur de sécurité (autorisations de lecture et d’écriture limitées)
Lecteur global (autorisations de lecture)
Lecteur de sécurité (autorisations de lecture)

Remarque

Actuellement disponible dans les environnements cloud commerciaux uniquement. Les données et les fonctionnalités de Sécurité Microsoft Exposure Management ne sont actuellement pas disponibles dans les clouds du gouvernement américain - GCC, GCC High, DoD et China Gov.

Gestion des ressources critiques - Principaux de service

Les principaux de service sont des identités que Microsoft Entra ID attribue aux applications afin qu’elles puissent s’authentifier et accéder aux ressources au nom de l’application plutôt qu’au nom d’un utilisateur. Microsoft Defender for Cloud Apps définit un ensemble d’autorisations OAuth à privilège critique. Les applications OAuth disposant de ces autorisations sont considérées comme des ressources à valeur élevée. En cas de compromission, un attaquant peut obtenir des privilèges élevés pour les applications SaaS. Pour refléter ce risque, les chemins d’attaque considèrent les principaux de service disposant de ces autorisations comme des cibles.

Afficher les autorisations pour les ressources critiques

Pour afficher la liste complète des autorisations, accédez au portail Microsoft Defender et accédez à Paramètres > Microsoft Defender XDR > Règles > Gestion des ressources critiques.

Capture d’écran de la page Gestion des ressources critiques dans le portail Microsoft Defender.

Flux utilisateur d’investigation : afficher les chemins d’attaque impliquant des applications OAuth

Une fois que vous avez compris quelles autorisations représentent des cibles à valeur élevée, procédez comme suit pour examiner comment ces applications apparaissent dans les chemins d’attaque de votre environnement. Pour les petites organisations avec un nombre gérable de chemins d’attaque, nous vous recommandons de suivre cette approche structurée pour examiner chaque chemin d’attaque :

Remarque

Les applications OAuth s’affichent dans la carte de surface du chemin d’attaque uniquement lorsque des conditions spécifiques sont détectées.
Par exemple, une application OAuth peut apparaître dans le chemin d’attaque si un composant vulnérable avec un point d’entrée facilement exploitable est détecté. Ce point d’entrée permet un déplacement latéral vers les principaux de service avec des privilèges élevés.

  1. Accédez à Gestion de > l’exposition - Surface d’attaque > Chemins d’attaque.

  2. Filtrer par « Type de cible : principal du service AAD »

    Capture d’écran de l’ajout d’un type de cible principal dans le service de chemins d’attaque

  3. Sélectionnez le chemin d’attaque intitulé : « Un appareil avec des vulnérabilités de gravité élevée permet un déplacement latéral vers un principal de service avec des autorisations sensibles »

    Capture d’écran du nom du chemin d’attaque

  4. Cliquez sur le bouton Afficher dans la carte pour afficher le chemin d’attaque.

    Capture d’écran du bouton Afficher dans la carte

  5. Sélectionnez le signe + pour développer les nœuds et afficher les connexions détaillées.

    Capture d’écran de la carte de la surface d’attaque

  6. Pointez ou sélectionnez des nœuds et des arêtes pour explorer les données supplémentaires, telles que les autorisations dont dispose cette application OAuth.

    Capture d’écran montrant les autorisations attribuées à l’application OAuth comme indiqué dans la carte de surface d’attaque

  7. Copiez le nom de l’application OAuth et collez-le dans la barre de recherche de la page Applications.

    Capture d’écran montrant l’onglet Applications OAuth

  8. Sélectionnez le nom de l’application pour passer en revue les autorisations attribuées et les insights d’utilisation, notamment si les autorisations à privilèges élevés sont activement utilisées.

    Capture d’écran montrant les autorisations affectées à l’application Oauth

  9. Facultatif : si vous déterminez que l’application OAuth doit être désactivée, vous pouvez la désactiver à partir de la page Applications.

Flux utilisateur du décideur : hiérarchiser le chemin d’attaque à l’aide de points d’étranglement

Pour les grandes organisations avec de nombreux chemins d’attaque qui ne peuvent pas être examinés manuellement, nous vous recommandons d’utiliser les données de chemin d’attaque et d’utiliser l’expérience Des points d’étranglement comme outil de hiérarchisation. Cette approche vous permet de :

  • Identifiez les ressources connectées avec le plus de chemins d’attaque.
  • Prenez des décisions éclairées sur les ressources à hiérarchiser pour l’examen.
  • Filtrer par application OAuth Microsoft Entra pour voir quelles applications OAuth sont impliquées dans le plus grand nombre de chemins d’attaque.
  • Déterminez les applications OAuth auxquelles appliquer les autorisations de privilège minimum.

Pour commencer :

  1. Accédez à la page Chemins d’attaque > Points d’étranglement.

    Capture d’écran montrant la page des points d’étranglement

  2. Sélectionnez un nom de point d’étranglement pour afficher plus de détails sur les principaux chemins d’attaque, tels que le nom, le point d’entrée et la cible.

  3. Cliquez sur Afficher le rayon d’explosion pour examiner plus en détail le point d’étranglement dans la carte de la surface d’attaque. Capture d’écran montrant le bouton Afficher le rayon d’explosion

Si le point de blocage est une application OAuth, poursuivez l’examen en recherchant l’application par nom dans la page Applications , en examinant ses autorisations affectées et les insights d’utilisation, et éventuellement en désactivant l’application si nécessaire.

Analyser la cartographie de la surface d’attaque et effectuer des recherches à l’aide de requêtes

Dans la carte de la surface d’attaque, vous pouvez voir les connexions provenant d’applications détenues par l’utilisateur, d’applications OAuth et de principaux de service. Ces données de relation sont disponibles dans :

  • Tableau ExposureGraphEdges (affiche les connexions)

  • Table ExposureGraphNodes (inclut des propriétés de nœud telles que des autorisations)

Utilisez la requête Advanced Hunting suivante pour identifier toutes les applications OAuth avec des autorisations critiques. Cette requête joint les tables ExposureGraphNodes et ExposureGraphEdges pour rechercher les enregistrements d’applications OAuth Microsoft Entra qui peuvent s’authentifier en tant que principaux de service classés comme critiques (niveau de criticité 0) et qui disposent d’autorisations pour Microsoft Graph. Utilisez-la pour découvrir quelles applications OAuth de votre locataire disposent d’un accès à privilèges élevés et pour les hiérarchiser pour révision :

let RelevantNodes = ExposureGraphNodes
| where NodeLabel == "Microsoft Entra OAuth App" or NodeLabel == "serviceprincipal"
| project NodeId, NodeLabel, NodeName, NodeProperties;
ExposureGraphEdges
| where EdgeLabel == "has permissions to" or EdgeLabel == "can authenticate as"
| make-graph SourceNodeId --> TargetNodeId with RelevantNodes on NodeId
| graph-match (AppRegistration)-[canAuthAs]->(SPN)-[hasPermissionTo]->(Target)
        where AppRegistration.NodeLabel == "Microsoft Entra OAuth App" and
        canAuthAs.EdgeLabel == "can authenticate as" and
        SPN.NodeLabel == "serviceprincipal" and
        SPN.NodeProperties["rawData"]["criticalityLevel"]["criticalityLevel"] == 0 and
        hasPermissionTo.EdgeLabel == @"has permissions to" and
        Target.NodeLabel == "Microsoft Entra OAuth App" and
        Target.NodeName == "Microsoft Graph"
        project AppReg=AppRegistration.NodeLabel,
         canAuthAs=canAuthAs.EdgeLabel, SPN.NodeLabel, DisplayName=SPN.NodeProperties["rawData"]["accountDisplayName"],
         Enabled=SPN.NodeProperties["rawData"]["accountEnabled"], AppTenantID=SPN.NodeProperties["rawData"]["appOwnerOrganizationId"],
         hasPermissionTo=hasPermissionTo.EdgeLabel, Target=Target.NodeName,
         AppPerm=hasPermissionTo.EdgeProperties["rawData"]["applicationPermissions"]["permissions"]
| mv-apply AppPerm on (summarize AppPerm = make_list(AppPerm.permissionValue))
| project AppReg, canAuthAs, DisplayName, Enabled, AppTenantID, hasPermissionTo, Target, AppPerm

Prochaines étapes

Pour plus d’informations, reportez-vous aux rubriques suivantes :