Apps with high-risk permissions having an indirect path to Global Admin
Bunun Önemi
Yüksek riskli Graph izinlerine sahip uygulamalar, Küresel Yöneticiye dolaylı bir yol oluşturarak bir tehdit aktörünün tüm kiracıyı ele geçirmesini sağlayabilir. Bir uygulamanın tier-0 izinleri varsa, saldırgan kimlik bilgilerini veya sırlarını ele geçirdiğinde doğrudan atama olmaksızın ayrıcalıklarını yükseltebilir. Bu risk, standart yönetsel kontrolleri atlatması ve uzun süre fark edilmeden kalabilmesi nedeniyle özellikle tehlikelidir.
Aether365'in Denetlediği
Bu denetim, Microsoft 365 kiracınızda tier-0 Microsoft Graph izinleri atanmış ve Küresel Yöneticiye dolaylı yol oluşturabilecek uygulamaları tanımlar. Aether365 panosunda microsoft-365 kontrol bölümü altında, kayıtlı tüm uygulamaları tarar ve ayrıcalık yükseltmeye izin verebilecek yüksek riskli izin kümelerine sahip olanları işaretler.
Nasıl Düzeltilir
Microsoft Entra yönetici merkezini kullanarak uygulama izinlerini gözden geçirin.
- Microsoft Entra yönetici merkezinde oturum açın.
- Identity (Kimlik) altından Applications (Uygulamalar) öğesine gidin ve All applications (Tüm uygulamalar) seçeneğini belirleyin.
- İşaretlenen uygulamayı bulun ve ayrıntılarını açın.
- API permissions (API izinleri) bölümüne gidin ve listedeki Microsoft Graph izinlerini inceleyin.
- Uygulamanın işlevi için kesinlikle gerekli olmayan yüksek riskli izinleri kaldırın.
- Uygulamaya ve sırlarına veya sertifikalarına yalnızca yetkili kullanıcıların ve hizmetlerin erişebildiğini doğrulayın.
Uyumluluk
Bu denetim, belirli bir uyumluluk çerçevesiyle doğrudan eşlenmez, ancak Microsoft ve CISA tarafından yüksek riskli uygulama izinlerinin sınırlandırılması için önerilen güvenlik en iyi uygulamalarını destekler.
İlgili Kaynaklar
- Microsoft Graph permissions reference
- Privileged identity management for applications
- Secure application access in Microsoft Entra ID