다음을 통해 공유

위험한 OAuth 앱 조사 및 수정

  • 아티클

OAuth는 토큰 기반 인증 및 권한 부여를 위한 개방형 표준입니다. OAuth를 사용하면 사용자의 암호를 노출하지 않고도 타사 서비스에서 사용자의 계정 정보를 사용할 수 있습니다. OAuth는 사용자를 대신하여 중개자 역할을 하며, 특정 계정 정보를 공유할 권한을 부여하는 액세스 토큰을 서비스에 제공합니다.

예를 들어 사용자의 일정을 분석하고 생산성을 높이는 방법에 대한 조언을 제공하는 앱은 사용자의 일정에 액세스해야 합니다. OAuth는 사용자의 자격 증명을 제공하는 대신 아래 그림과 같이 사용자가 페이지에 동의할 때 생성되는 토큰을 기반으로 데이터에만 액세스할 수 있도록 합니다.

OAuth 앱 권한.

organization 비즈니스 사용자가 설치할 수 있는 많은 타사 앱은 사용자 정보 및 데이터에 액세스하고 다른 클라우드 앱에서 사용자를 대신하여 로그인할 수 있는 권한을 요청합니다. 사용자가 이러한 앱을 설치할 때 앱에 대한 권한 부여를 포함하여 프롬프트의 세부 정보를 자세히 검토하지 않고 수락 을 클릭하는 경우가 많습니다. 타사 앱 권한을 수락하면 organization 보안 위험이 발생할 수 있습니다.

예를 들어 다음 OAuth 앱 동의 페이지는 일반 사용자에게 합법적인 것처럼 보일 수 있지만 "Google API Explorer"은 Google 자체에서 권한을 요청할 필요가 없습니다. 따라서 이는 앱이 Google과 전혀 관련이 없는 피싱 시도일 수 있음을 나타냅니다.

OAuth 피싱 구글.

보안 관리자는 사용자 환경의 앱에 대한 가시성과 제어가 필요하며, 여기에는 해당 앱의 사용 권한이 포함됩니다. 취소하려는 리소스에 대한 권한이 필요한 앱의 사용을 방지하는 기능이 필요합니다. 따라서 Microsoft Defender for Cloud Apps 사용자가 부여한 앱 권한을 조사하고 모니터링할 수 있는 기능을 제공합니다. 이 문서는 organization OAuth 앱을 조사하고 의심스러운 앱에 집중할 수 있도록 돕기 위한 것입니다.

권장되는 방법은 Defender for Cloud Apps 포털에 제공된 기능과 정보를 사용하여 위험한 가능성이 낮은 앱을 필터링하고 의심스러운 앱에 집중하여 앱을 조사하는 것입니다.

이 자습서에서는 다음 작업을 수행하는 방법을 알아봅니다.

참고

이 문서에서는 앱 거버넌스를 설정하지 않은 경우 사용되는 OAuth 앱 페이지의 샘플 및 스크린샷을 사용합니다.

미리 보기 기능을 사용하고 앱 거버넌스가 켜져 있는 경우 앱 거버넌스 페이지에서 동일한 기능을 대신 사용할 수 있습니다.

자세한 내용은 Microsoft Defender for Cloud Apps 앱 거버넌스를 참조하세요.

위험한 OAuth 앱을 검색하는 방법

다음을 사용하여 위험한 OAuth 앱을 검색할 수 있습니다.

  • 경고: 기존 정책에 의해 트리거되는 경고에 React.
  • 헌팅: 위험의 구체적인 의심 없이 사용 가능한 모든 앱 중에서 위험한 앱을 검색합니다.

경고를 사용하여 위험한 앱 검색

OAuth 앱이 특정 조건을 충족하는 경우 자동으로 알림을 보내도록 정책을 설정할 수 있습니다. 예를 들어 높은 권한이 필요하고 50명 이상의 사용자가 권한을 부여한 앱이 검색되면 자동으로 알리도록 정책을 설정할 수 있습니다. OAuth 정책을 만드는 방법에 대한 자세한 내용은 OAuth 앱 정책을 참조하세요.

헌팅을 통해 위험한 앱 검색

  1. Microsoft Defender 포털의 Cloud Apps에서 OAuth 앱으로 이동합니다. 필터 및 쿼리를 사용하여 사용자 환경에서 발생하는 작업을 검토합니다.

    • 필터를 사용 권한 수준 높은 심각도 로 설정하고 커뮤니티 사용이 일반적이지 않음으로 설정합니다. 이 필터를 사용하면 사용자가 위험을 과소평가했을 수 있는 매우 위험한 앱에 집중할 수 있습니다.

    • 사용 권한에서 특정 컨텍스트에서 특히 위험한 모든 옵션을 선택합니다. 예를 들어 모든 사서함에 대한 모든 액세스 권한과 같이 전자 메일 액세스 권한을 제공하는 모든 필터를 선택한 다음, 앱 목록을 검토하여 모두 메일 관련 액세스가 실제로 필요한지 확인할 수 있습니다. 이렇게 하면 특정 컨텍스트 내에서 조사하고 합법적인 것처럼 보이지만 불필요한 권한이 포함된 앱을 찾는 데 도움이 될 수 있습니다. 이러한 앱은 위험할 가능성이 더 높습니다.

      OAuth 피싱 위험.

    • 외부 사용자가 승인한 저장된 쿼리 앱을 선택합니다. 이 필터를 사용하면 회사의 보안 표준에 맞지 않을 수 있는 앱을 찾을 수 있습니다.

  2. 앱을 검토한 후에는 합법적인 것처럼 보이지만 실제로 위험할 수 있는 쿼리의 앱에 집중할 수 있습니다. 필터를 사용하여 찾을 수 있습니다.

    • 소수의 사용자가 인증한 앱을 필터링합니다. 이러한 앱에 집중하는 경우 손상된 사용자가 승인한 위험한 앱을 찾을 수 있습니다.
    • 앱의 목적과 일치하지 않는 권한이 있는 앱(예: 모든 사서함에 대한 모든 액세스 권한이 있는 시계 앱).

  3. 각 앱을 선택하여 앱 서랍을 열고 검사 앱에 의심스러운 이름, 게시자 또는 웹 사이트가 있는지 확인합니다.

  4. 최근이 아닌 마지막 권한 아래에 날짜가 있는 앱 및 대상 앱 목록을 확인합니다. 이러한 앱은 더 이상 필요하지 않을 수 있습니다.

    OAuth 앱 서랍.

의심스러운 OAuth 앱을 조사하는 방법

앱이 의심스럽고 조사하려는 경우 효율적인 조사를 위해 다음 주요 원칙을 사용하는 것이 좋습니다.

  • organization 또는 온라인에서 앱을 더 많이 사용하고 사용할수록 안전할 가능성이 높습니다.
  • 앱에는 앱의 목적과 관련된 권한만 필요합니다. 그렇지 않은 경우 앱이 위험할 수 있습니다.
  • 높은 권한 또는 관리자 동의가 필요한 앱은 위험할 가능성이 더 높습니다.
  1. 앱을 선택하여 앱 서랍을 열고 관련 활동에서 링크를 선택합니다. 그러면 앱에서 수행하는 활동에 대해 필터링된 활동 로그 페이지가 열립니다. 일부 앱은 사용자가 수행한 것으로 등록된 활동을 수행합니다. 이러한 활동은 활동 로그의 결과에서 자동으로 필터링됩니다. 활동 로그를 사용한 추가 조사는 활동 로그를 참조하세요.
  2. 서랍에서 동의 활동을 선택하여 활동 로그에서 앱에 대한 사용자 동의를 조사합니다.
  3. 앱이 의심스러운 경우 다른 앱 스토어에서 앱 이름과 게시자를 조사하는 것이 좋습니다. 의심할 수 있는 다음 앱에 집중합니다.
    • 다운로드 수가 적은 앱.
    • 평점이 낮거나 점수가 낮거나 댓글이 나쁜 앱.
    • 의심스러운 게시자 또는 웹 사이트가 있는 앱.
    • 마지막 업데이트가 최신이 아닌 앱입니다. 이는 더 이상 지원되지 않는 앱을 나타낼 수 있습니다.
    • 관련 없는 권한이 있는 앱. 이는 앱이 위험하다는 것을 나타낼 수 있습니다.
  4. 앱이 여전히 의심스러운 경우 앱 이름, 게시자 및 URL을 온라인으로 검색할 수 있습니다.
  5. 앱을 승인한 사용자의 추가 분석을 위해 OAuth 앱 감사를 내보낼 수 있습니다. 자세한 내용은 OAuth 앱 감사를 참조하세요.

의심스러운 OAuth 앱을 수정하는 방법

OAuth 앱이 위험하다고 판단되면 Defender for Cloud Apps 다음과 같은 수정 옵션을 제공합니다.

다음 단계

organization 보호하기 위한 모범 사례

문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.