Analizzare gli avvisi di rilevamento delle minacce

La governance delle app fornisce rilevamenti di sicurezza e avvisi per attività dannose. Lo scopo di questa guida è fornire informazioni generali e pratiche su ogni avviso, per facilitare le attività di indagine e correzione. In questa guida sono incluse informazioni generali sulle condizioni per l'attivazione degli avvisi. Poiché i rilevamenti delle minacce non sono deterministici per natura, vengono attivati solo quando esiste un comportamento che devia dalla norma. Infine, alcuni avvisi potrebbero essere in anteprima, quindi esaminare regolarmente la documentazione ufficiale per verificare lo stato aggiornato degli avvisi.

MITRE ATT&CK

Per semplificare il mapping della relazione tra gli avvisi di governance delle app e la nota matrice MITRE ATT&CK, gli avvisi sono stati classificati in base alla tattica MITRE ATT&CK corrispondente. Questo riferimento aggiuntivo semplifica la comprensione della tecnica degli attacchi sospetti potenzialmente in uso quando viene attivato l'avviso di governance delle app.

Questa guida fornisce informazioni sull'analisi e la correzione degli avvisi di governance delle app nelle categorie seguenti.

• Accesso iniziale
• Esecuzione
• Persistenza
• Escalation privilegi
• Evasione delle difese
• Accesso tramite credenziali
• Individuazione
• Movimento laterale
• Raccolta
• Esfiltrazione
• Impatto

Classificazioni degli avvisi di sicurezza

Dopo un'analisi appropriata, tutti gli avvisi di governance delle app possono essere classificati come uno dei tipi di attività seguenti:

• Vero positivo (TP): avviso relativo a un'attività dannosa confermata.
• Vero positivo non dannoso (B-TP): avviso su attività sospette ma non dannose, ad esempio un test di penetrazione o un'altra azione sospetta autorizzata.
• Falso positivo (FP): avviso per un'attività non dannosa.

Passaggi generali per l'indagine

Usare le linee guida generali seguenti durante l'analisi di qualsiasi tipo di avviso per ottenere una comprensione più chiara della potenziale minaccia prima di applicare l'azione consigliata.

• Esaminare il livello di gravità dell'app e confrontare le altre app nel tenant. Questa revisione consente di identificare quali app nel tenant rappresentano il rischio maggiore.

• Se si identifica un tp, esaminare tutte le attività dell'app per comprendere l'impatto. Ad esempio, esaminare le informazioni seguenti sull'app:

  • Ambiti a cui è stato concesso l'accesso
  • Comportamento insolito
  • Indirizzo IP e posizione

Avvisi di accesso iniziali

Questa sezione descrive gli avvisi che indicano che un'app dannosa potrebbe tentare di mantenere il proprio piede nell'organizzazione.

L'app reindirizza all'URL di phishing sfruttando la vulnerabilità di reindirizzamento OAuth

Gravità: media

Questo rilevamento identifica le app OAuth reindirizzando agli URL di phishing sfruttando il parametro del tipo di risposta nell'implementazione OAuth tramite microsoft API Graph.

TP o FP?

• TP: se è possibile confermare che l'app OAuth è stata recapitata da un'origine sconosciuta, il tipo di risposta dell'URL di risposta dopo il consenso all'app OAuth contiene una richiesta non valida e reindirizza a un URL di risposta sconosciuto o non attendibile.

  Azione consigliata: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola posta in arrivo. 

• FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

  Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

1. Esaminare tutte le attività eseguite dall'app. 
2. Esaminare gli ambiti concessi dall'app. 

App OAuth con URL di risposta sospetto

Gravità: media

Questo rilevamento identifica un'app OAuth a cui è stato eseguito l'accesso a un URL di risposta sospetto tramite microsoft API Graph.

TP o FP?

• TP: se è possibile confermare che l'app OAuth viene recapitata da un'origine sconosciuta e reindirizza a un URL sospetto, viene indicato un vero positivo. Un URL sospetto è uno dei casi in cui la reputazione dell'URL è sconosciuta, non attendibile o il cui dominio è stato registrato di recente e la richiesta di app è per un ambito con privilegi elevati.

  Azione consigliata: esaminare l'URL di risposta, i domini e gli ambiti richiesti dall'app. In base all'indagine, puoi scegliere di vietare l'accesso a questa app. Esaminare il livello di autorizzazione richiesto da questa app e gli utenti a cui viene concesso l'accesso.

  Per impedire l'accesso all'app, passare alla pagina Delle app OAuth. Nella riga in cui viene visualizzata l'app da escludere selezionare l'icona del divieto. È possibile scegliere se si vuole indicare agli utenti l'app installata e autorizzata è stata vietata. La notifica informa gli utenti che l'app verrà disabilitata e non avrà accesso all'app connessa. Per fare in modo che gli utenti non lo sappiano, deselezionare l'opzione Invia una notifica agli utenti che hanno concesso l'accesso a questa app vietata nella finestra di dialogo. È consigliabile informare gli utenti dell'app che l'app sta per essere vietata dall'uso.

• FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

  Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

1. Esaminare le app create di recente e i relativi URL di risposta.

2. Esaminare tutte le attività eseguite dall'app. 

3. Esaminare gli ambiti concessi dall'app. 

L'app creata di recente ha una bassa frequenza di consenso

Gravità: Bassa

Questo rilevamento identifica un'app OAuth creata di recente e ha rilevato una bassa percentuale di consenso. Ciò può indicare un'app dannosa o rischiosa che attira gli utenti in concessioni di consenso illecito.

TP o FP?

• TP: se è possibile confermare che l'app OAuth viene recapitata da un'origine sconosciuta, viene indicato un vero positivo.

  Azione consigliata: esaminare il nome visualizzato, gli URL di risposta e i domini dell'app. In base all'indagine è possibile scegliere di vietare l'accesso a questa app. Esaminare il livello di autorizzazione richiesto da questa app e quali utenti hanno concesso l'accesso.

• FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

  Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

1. Esaminare tutte le attività eseguite dall'app.
2. Se si sospetta che un'app sia sospetta, è consigliabile esaminare il nome e il dominio di risposta dell'app in app store diversi. Quando si controllano gli app store, concentrarsi sui tipi di app seguenti:
   • App create di recente
   • App con nome visualizzato insolito
   • App con un dominio di risposta sospetto
3. Se si sospetta ancora che un'app sia sospetta, è possibile cercare il nome visualizzato e il dominio di risposta dell'app.

App con reputazione dell'URL non valida

Gravità: media

Questo rilevamento identifica un'app OAuth trovata per avere una reputazione dell'URL non valida.

TP o FP?

• TP: se è possibile confermare che l'app OAuth viene recapitata da un'origine sconosciuta e reindirizza a un URL sospetto, viene indicato un vero positivo.

  Azione consigliata: esaminare gli URL di risposta, i domini e gli ambiti richiesti dall'app. In base all'indagine è possibile scegliere di vietare l'accesso a questa app. Esaminare il livello di autorizzazione richiesto da questa app e quali utenti hanno concesso l'accesso.

• FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

  Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

1. Esaminare tutte le attività eseguite dall'app.
2. Se si sospetta che un'app sia sospetta, è consigliabile esaminare il nome e il dominio di risposta dell'app in app store diversi. Quando si controllano gli app store, concentrarsi sui tipi di app seguenti:
   • App create di recente
   • App con nome visualizzato insolito
   • App con un dominio di risposta sospetto
3. Se si sospetta ancora che un'app sia sospetta, è possibile cercare il nome visualizzato e il dominio di risposta dell'app.

Nome dell'app codificato con ambiti di consenso sospetti

Gravità: media

Descrizione: questo rilevamento identifica le app OAuth con caratteri, ad esempio caratteri Unicode o codificati, richieste per ambiti di consenso sospetti e che hanno eseguito l'accesso alle cartelle di posta elettronica degli utenti tramite il API Graph. Questo avviso può indicare un tentativo di camuffare un'app dannosa come app nota e attendibile in modo che gli avversari possano indurre gli utenti a fornire il consenso all'app dannosa.

TP o FP?

• TP: se è possibile verificare che l'app OAuth abbia codificato il nome visualizzato con ambiti sospetti recapitati da un'origine sconosciuta, viene indicato un vero positivo.

  Azione consigliata: esaminare il livello di autorizzazione richiesto dall'app e gli utenti a cui è stato concesso l'accesso. In base all'indagine è possibile scegliere di vietare l'accesso a questa app.

  Per impedire l'accesso all'app, nella pagina Delle app OAuth, nella riga in cui viene visualizzata l'app che si vuole bloccare selezionare l'icona del divieto. È possibile scegliere se si vuole indicare agli utenti l'app installata e autorizzata è stata vietata. La notifica informa gli utenti che l'app verrà disabilitata e non avrà accesso all'app connessa. Se non si vuole che lo sappiano, deselezionare Invia una notifica agli utenti che hanno concesso l'accesso a questa app vietata nella finestra di dialogo. È consigliabile informare gli utenti dell'app che l'app sta per essere vietata dall'uso.

• FP: se si vuole confermare che l'app ha un nome codificato, ma ha un uso aziendale legittimo nell'organizzazione.

  Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

Seguire l'esercitazione su come analizzare le app OAuth rischiose.

L'app OAuth con ambiti di lettura ha un URL di risposta sospetto

Gravità: media

Descrizione: questo rilevamento identifica un'app OAuth con solo ambiti di lettura, ad esempio User.Read, People.Read, Contacts.Read, Mail.Read, Contacts.Read.Shared reindirizza all'URL di risposta sospetto tramite API Graph. Questa attività tenta di indicare che un'app dannosa con autorizzazioni con privilegi inferiori (ad esempio gli ambiti di lettura) potrebbe essere sfruttata per condurre la ricognizione degli account degli utenti.

TP o FP?

• TP: se è possibile confermare che l'app OAuth con ambito di lettura viene recapitata da un'origine sconosciuta e reindirizza a un URL sospetto, viene indicato un vero positivo.

  Azione consigliata: esaminare l'URL di risposta e gli ambiti richiesti dall'app. In base all'indagine è possibile scegliere di vietare l'accesso a questa app. Esaminare il livello di autorizzazione richiesto da questa app e quali utenti hanno concesso l'accesso.

  Per impedire l'accesso all'app, nella pagina Delle app OAuth, nella riga in cui viene visualizzata l'app che si vuole bloccare selezionare l'icona del divieto. È possibile scegliere se si vuole indicare agli utenti l'app installata e autorizzata è stata vietata. La notifica informa gli utenti che l'app verrà disabilitata e non avrà accesso all'app connessa. Se non si vuole che lo sappiano, deselezionare Invia una notifica agli utenti che hanno concesso l'accesso a questa app vietata nella finestra di dialogo. È consigliabile informare gli utenti dell'app che l'app sta per essere vietata dall'uso.

• B-TP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

  Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

1. Esaminare tutte le attività eseguite dall'app.
2. Se si sospetta che un'app sia sospetta, è consigliabile esaminare il nome dell'app e l'URL di risposta in app store diversi. Quando si controllano gli app store, concentrarsi sui tipi di app seguenti:
   • App create di recente.
   • App con un URL di risposta sospetto
   • App non aggiornate di recente. La mancanza di aggiornamenti potrebbe indicare che l'app non è più supportata.
3. Se si sospetta ancora che un'app sia sospetta, è possibile cercare online il nome dell'app, il nome dell'editore e l'URL di risposta

App con nome visualizzato insolito e TLD insolito nel dominio di risposta

Gravità: media

Questo rilevamento identifica l'app con un nome visualizzato insolito e reindirizza al dominio di risposta sospetto con un dominio di primo livello insolito tramite API Graph. Questo può indicare un tentativo di mimetizzarsi di un'app dannosa o rischiosa come app nota e attendibile in modo che gli avversari possano indurre gli utenti a fornire il consenso alla loro app dannosa o rischiosa. 

TP o FP?

• TP: se è possibile confermare che l'app con un nome visualizzato insolito recapitato da un'origine sconosciuta e reindirizza a un dominio sospetto con un dominio di primo livello insolito

  Azione consigliata: esaminare il nome visualizzato e il dominio di risposta dell'app. In base all'indagine è possibile scegliere di vietare l'accesso a questa app. Esaminare il livello di autorizzazione richiesto da questa app e quali utenti hanno concesso l'accesso.

• FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

  Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

Esaminare tutte le attività eseguite dall'app. Se si sospetta che un'app sia sospetta, è consigliabile esaminare il nome e il dominio di risposta dell'app in app store diversi. Quando si controllano gli app store, concentrarsi sui tipi di app seguenti:

• App create di recente
• App con nome visualizzato insolito
• App con un dominio di risposta sospetto

Se si sospetta ancora che un'app sia sospetta, è possibile cercare il nome visualizzato e il dominio di risposta dell'app.

Avvisi di persistenza

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di mantenere il proprio piede nell'organizzazione.

L'app ha effettuato chiamate anomale Graph a Exchange carico di lavoro dopo l'aggiornamento del certificato o l'aggiunta di nuove credenziali

Gravità: media

MITRE ID: T1098.001, T1114

Questo rilevamento attiva un avviso quando un'app Line of Business (LOB) ha aggiornato il certificato o i segreti o ha aggiunto nuove credenziali e entro pochi giorni dopo l'aggiornamento o l'aggiunta di nuove credenziali, ha osservato attività insolite o un utilizzo elevato del volume per Exchange carico di lavoro tramite API Graph usando l'algoritmo di Machine Learning.

TP o FP?

• TP: se è possibile verificare che le attività o l'utilizzo elevato di volumi insoliti per Exchange carico di lavoro sia stato eseguito dall'app line-of-business tramite API Graph

  Azione consigliata: disabilitare temporaneamente l'app e reimpostare la password e quindi riabilitare l'app.

• FP: se è possibile verificare che non siano state eseguite attività insolite dall'app line-of-business o dall'app per eseguire chiamate a grafo insolitamente elevate.

  Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

1. Esaminare tutte le attività eseguite dall'app.
2. Esaminare gli ambiti concessi dall'app.
3. Esaminare l'attività utente associata all'app.

L'app con ambito OAuth sospetto è stata contrassegnata ad alto rischio da Machine Learning modello, ha effettuato chiamate a grafo per leggere la posta elettronica e creare la regola posta in arrivo

Gravità: media

MITRE ID: T1137.005, T1114

Questo rilevamento identifica un'app OAuth contrassegnata ad alto rischio da Machine Learning modello che ha acconsentito a ambiti sospetti, crea una regola di posta in arrivo sospetta e quindi accedeva alle cartelle e ai messaggi di posta elettronica degli utenti tramite il API Graph. Le regole della posta in arrivo, ad esempio l'inoltro di tutti o specifici messaggi di posta elettronica a un altro account di posta elettronica, e Graph chiamate per accedere ai messaggi di posta elettronica e inviare a un altro account di posta elettronica, possono essere un tentativo di esfiltrare le informazioni dall'organizzazione.

TP o FP?

• TP: se è possibile confermare che la regola posta in arrivo è stata creata da un'app di terze parti OAuth con ambiti sospetti recapitati da un'origine sconosciuta, viene rilevato un vero positivo.

  Azione consigliata: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola posta in arrivo.

Seguire l'esercitazione su come reimpostare una password usando Azure Active Directory e seguire l'esercitazione su come rimuovere la regola posta in arrivo.

• FP: se è possibile confermare che l'app ha creato una regola di posta in arrivo in un account di posta elettronica esterno nuovo o personale per motivi legittimi.

  Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

1. Esaminare tutte le attività eseguite dall'app.
2. Esaminare gli ambiti concessi dall'app.
3. Esaminare l'azione e la condizione della regola posta in arrivo creata dall'app.

App con ambito OAuth sospetto ha effettuato chiamate a grafo per leggere la posta elettronica e creare una regola posta in arrivo

Gravità: media

ID MITRE: T1137.005, T1114

Questo rilevamento identifica un'app OAuth che ha concesso il consenso agli ambiti sospetti, crea una regola di posta in arrivo sospetta e quindi gli utenti hanno eseguito l'accesso a cartelle e messaggi di posta elettronica tramite il API Graph. Le regole della posta in arrivo, ad esempio l'inoltro di tutti o specifici messaggi di posta elettronica a un altro account di posta elettronica, e Graph chiamate per accedere ai messaggi di posta elettronica e inviare a un altro account di posta elettronica, possono essere un tentativo di esfiltrare le informazioni dall'organizzazione.

TP o FP?

• TP: se è possibile confermare che la regola posta in arrivo è stata creata da un'app di terze parti OAuth con ambiti sospetti recapitati da un'origine sconosciuta, viene indicato un vero positivo.

  Azione consigliata: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola posta in arrivo.

  Seguire l'esercitazione su come reimpostare una password usando Azure Active Directory e seguire l'esercitazione su come rimuovere la regola posta in arrivo.

• FP: se è possibile confermare che l'app ha creato una regola di posta in arrivo in un account di posta elettronica esterno nuovo o personale per motivi legittimi.

  Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

1. Esaminare tutte le attività eseguite dall'app.
2. Esaminare gli ambiti concessi dall'app.
3. Esaminare l'azione e la condizione della regola posta in arrivo creata dall'app.

App a cui si accede da un percorso insolito dopo l'aggiornamento del certificato

Gravità: Bassa

ID MITRE: T1098

Questo rilevamento attiva un avviso quando un'app Line of Business (LOB) è stata aggiornata il certificato o il segreto e entro pochi giorni dopo l'aggiornamento del certificato, l'app viene accessibile da una posizione insolita che non è stata vista di recente o mai accessibile in passato.

TP o FP?

• TP: se si è in grado di confermare che l'app LINEB ha eseguito l'accesso da una posizione insolita ed ha eseguito attività insolite tramite API Graph.

  Azione consigliata: disabilitare temporaneamente l'app e reimpostare la password e quindi riabilitare l'app.

• FP: se è possibile confermare che l'app LINEB ha eseguito l'accesso da una posizione insolita a scopo legittimo e nessuna attività insolita eseguita.

  Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

1. Esaminare tutte le attività eseguite dall'app.
2. Esaminare gli ambiti concessi dall'app.
3. Esaminare l'attività utente associata all'app.

L'app a cui si accede da una posizione insolita ha reso anomale Graph chiamate dopo l'aggiornamento del certificato

Gravità: media

ID MITRE: T1098

Questo rilevamento attiva un avviso quando un'app Line of Business (LOB) ha aggiornato il certificato o il segreto e entro pochi giorni dopo l'aggiornamento del certificato, l'app viene accessibile da una posizione insolita che non è stata vista di recente o mai accessibile in passato e ha osservato attività insolite o utilizzo tramite API Graph usando l'algoritmo di Machine Learning.

TP o FP?

• TP: se è possibile verificare che le attività o l'utilizzo insolite siano state eseguite dall'app LOB tramite API Graph da una posizione insolita.

  Azione consigliata: disabilitare temporaneamente l'app e reimpostare la password e quindi riabilitare l'app.

• FP: se è possibile confermare che l'app LINEB ha eseguito l'accesso da una posizione insolita a scopo legittimo e nessuna attività insolita eseguita.

  Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

1. Esaminare tutte le attività eseguite dall'app.
2. Esaminare gli ambiti concessi dall'app.
3. Esaminare l'attività utente associata all'app.

L'app creata di recente ha un volume elevato di consensi revocati

Gravità: media

MITRE ID: T1566, T1098

Diversi utenti hanno revocato il consenso a questa app line-of-business creata di recente o di terze parti. Questa app potrebbe aver invertito gli utenti a fornire il consenso inavvertitamente.

TP o FP?

• TP: se è possibile verificare che l'app OAuth venga recapitata da un'origine sconosciuta e che il comportamento dell'app sia sospetto. 

  Azione consigliata: revocare i consenso concessi all'app e disabilitare l'app. 

• FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione e che non siano state eseguite attività insolite dall'app.

  Azione consigliata: ignorare l'avviso

Comprendere l'ambito della violazione

1. Esaminare tutte le attività eseguite dall'app.
2. Se si sospetta che un'app sia sospetta, è consigliabile esaminare il nome e il dominio di risposta dell'app in app store diversi. Quando si controllano gli app store, concentrarsi sui tipi di app seguenti:
   • App create di recente
   • App con un nome visualizzato insolito
   • App con un dominio di risposta sospetto
3. Se si sospetta ancora che un'app sia sospetta, è possibile cercare il nome visualizzato e il dominio di risposta dell'app.

Avvisi di evasione della difesa

App che rappresenta un logo Microsoft

Gravità: media

Un'app cloud non Microsoft usa un logo trovato da un algoritmo di Machine Learning molto simile a un logo Microsoft. Può trattarsi di un tentativo di rappresentare i prodotti software Microsoft e di apparire legittimi.

TP o FP?

• TP: se puoi confermare che il logo dell'app è un'imitazione di un logo Microsoft e il comportamento dell'app è sospetto. 

  Azione consigliata: revocare i consenso concessi all'app e disabilitare l'app.

• FP: se puoi confermare che il logo dell'app non è un'imitazione di un logo Microsoft o nessuna attività insolita è stata eseguita dall'app. 

  Azione consigliata: ignorare l'avviso

Comprendere l'ambito della violazione

1. Esaminare tutte le attività eseguite dall'app.
2. Esaminare gli ambiti concessi all'app.
3. Esaminare l'attività utente associata all'app.

Avvisi di individuazione

Enumerazione unità eseguita dall'app

Gravità: media

ID MITRE: T1087

Questo rilevamento identifica un'app OAuth rilevata da Machine Learning modello che esegue l'enumerazione sui file OneDrive usando API Graph.

TP o FP?

• TP: se è possibile confermare che le attività/l'utilizzo insolite per OneDrive sono state eseguite dall'app LOB tramite API Graph.

  Azione consigliata: disabilitare e rimuovere l'app e reimpostare la password.

• FP: se è possibile verificare che non siano state eseguite attività insolite dall'app.

  Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

1. Esaminare tutte le attività eseguite dall'app.
2. Esaminare gli ambiti concessi dall'app.
3. Esaminare l'attività utente associata all'app.

Attività di enumerazione sospette eseguite con Azure Active Directory PowerShell

Gravità: media

ID MITRE: T1087

Questo rilevamento identifica un volume elevato di attività di enumerazione sospette eseguite in un breve intervallo di tempo tramite un'applicazione Azure AD PowerShell.

TP o FP?

• TP: se è possibile verificare che le attività di enumerazione sospette/insolite siano state eseguite dall'applicazione Azure AD PowerShell.

  Azione consigliata: disabilitare e rimuovere l'applicazione e reimpostare la password.

• FP: se è possibile verificare che non siano state eseguite attività insolite dall'applicazione.

  Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

1. Esaminare tutte le attività eseguite dall'applicazione.
2. Esaminare l'attività utente associata a questa applicazione.

Avvisi di esfiltrazione

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di rubare i dati di interesse all'obiettivo dell'organizzazione.

App OAuth che usa un agente utente insolito

Gravità: Bassa

ID MITRE: T1567

Questo rilevamento identifica un'applicazione OAuth che usa un agente utente insolito per accedere al API Graph.

TP o FP?

• TP: se è possibile confermare che l'app OAuth ha iniziato di recente a usare un nuovo agente utente non usato in precedenza e questa modifica è imprevista, viene indicato un vero positivo.

  Azioni consigliate: esaminare gli agenti utente usati e le modifiche recenti apportate all'applicazione. In base all'indagine, puoi scegliere di vietare l'accesso a questa app. Esaminare il livello di autorizzazione richiesto da questa app e quali utenti hanno concesso l'accesso.

• FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

  Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

1. Esaminare le app create di recente e gli agenti utente usati.
2. Esaminare tutte le attività eseguite dall'app. 
3. Esaminare gli ambiti concessi dall'app. 

App con un agente utente insolito ha eseguito l'accesso ai dati di posta elettronica tramite Exchange Servizi Web

Gravità: alta

MITRE ID: T1114, T1567

Questo rilevamento identifica un'app OAuth che ha usato un agente utente insolito per accedere ai dati di posta elettronica usando Exchange'API dei servizi Web.

TP o FP?

• TP: se è possibile confermare che l'applicazione OAuth non deve modificare l'agente utente usato per effettuare richieste all'API dei servizi Web Exchange, viene indicato un vero positivo.

  Azioni consigliate: classificare l'avviso come TP. In base all'indagine, se l'app è dannosa, è possibile revocare i consenso e disabilitare l'app nel tenant. Se si tratta di un'app compromessa, puoi revocare i consenso, disabilitare temporaneamente l'app, esaminare le autorizzazioni, reimpostare il segreto e il certificato e quindi riabilitare l'app.

• FP: se dopo l'indagine, è possibile verificare che l'agente utente usato dall'applicazione abbia un uso aziendale legittimo nell'organizzazione.

  Azione consigliata: classificare l'avviso come FP. Valutare anche la possibilità di condividere commenti e suggerimenti in base all'indagine dell'avviso.

Comprendere l'ambito della violazione

1. Verificare se l'applicazione è stata appena creata o se sono state apportate modifiche recenti.
2. Esaminare le autorizzazioni concesse all'applicazione e agli utenti che hanno acconsentito all'applicazione.  
3. Esaminare tutte le attività eseguite dall'app.

Avvisi di raccolta

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di raccogliere i dati di interesse per l'obiettivo dell'organizzazione.

L'app ha effettuato attività insolite di ricerca tramite posta elettronica

Gravità: media

ID MITRE: T1114

Questo rilevamento identifica quando un'app ha acconsentito all'ambito OAuth sospetto e ha effettuato un volume elevato di attività di ricerca di posta elettronica insolite, ad esempio la ricerca di contenuti specifici tramite il API Graph. Ciò può indicare un tentativo di violazione dell'organizzazione, ad esempio gli antagonisti che tentano di cercare e leggere messaggi di posta elettronica specifici dall'organizzazione tramite API Graph. 

TP o FP?

• TP: se è possibile confermare un volume elevato di attività insolite di ricerca e lettura della posta elettronica tramite il API Graph da un'app OAuth con un ambito OAuth sospetto e che l'app viene recapitata da un'origine sconosciuta.

  Azioni consigliate: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola posta in arrivo. 

• FP: se è possibile confermare che l'app ha eseguito un volume elevato di ricerca e-mail insolite e leggere API Graph per motivi legittimi.

  Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

1. Esaminare gli ambiti concessi dall'app.
2. Esaminare tutte le attività eseguite dall'app. 

L'app ha effettuato chiamate anomale Graph alla lettura della posta elettronica

Gravità: media

ID MITRE: T1114

Questo rilevamento identifica quando l'app OAuth line-of-business accede a un volume insolito e elevato di cartelle di posta e messaggi dell'utente tramite il API Graph, che può indicare un tentativo di violazione dell'organizzazione.

TP o FP?

• TP: se è possibile confermare che l'attività del grafo insolita è stata eseguita dall'app OAuth Line of Business (LOB), viene indicato un vero positivo.

  Azioni consigliate: disabilitare temporaneamente l'app e reimpostare la password e quindi riabilitare l'app. Seguire l'esercitazione su come reimpostare una password usando Azure Active Directory.

• FP: se è possibile confermare che l'app deve eseguire un volume insolitamente elevato di chiamate a grafo.

  Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

1. Esaminare il log attività per gli eventi eseguiti da questa app per ottenere una migliore comprensione di altre attività di Graph per leggere i messaggi di posta elettronica e tentare di raccogliere informazioni riservate sugli utenti.
2. Monitorare l'aggiunta di credenziali impreviste all'app.

L'app crea una regola posta in arrivo e ha reso insolite le attività di ricerca tramite posta elettronica

Gravità: media

ID MITRE: T1137, T1114

Questo rilevamento identifica l'app con il consenso per l'ambito con privilegi elevati, crea una regola di posta in arrivo sospetta ed esegue attività di ricerca di posta elettronica insolite nelle cartelle di posta elettronica degli utenti tramite API Graph. Ciò può indicare un tentativo di violazione dell'organizzazione, ad esempio gli antagonisti che tentano di cercare e raccogliere messaggi di posta elettronica specifici dall'organizzazione tramite API Graph.

TP o FP?

• TP: se è possibile confermare la ricerca e la raccolta di messaggi di posta elettronica specifici eseguiti tramite API Graph da un'app OAuth con ambito con privilegi elevati e l'app viene recapitata da un'origine sconosciuta.

  Azione consigliata: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola posta in arrivo.

• FP: se si è in grado di confermare che l'app ha eseguito ricerche e raccolte di posta elettronica specifiche tramite API Graph e ha creato una regola di posta in arrivo in un account di posta elettronica esterno nuovo o personale per motivi legittimi.

  Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

1. Esaminare tutte le attività eseguite dall'app.
2. Esaminare gli ambiti concessi dall'app.
3. Esaminare qualsiasi azione regola posta in arrivo creata dall'app.
4. Esaminare le attività di ricerca tramite posta elettronica eseguite dall'app.

App creata OneDrive/SharePoint attività di ricerca e creata regola posta in arrivo

Gravità: media

ID MITRE: T1137, T1213

Questo rilevamento identifica che un'app ha acconsentito all'ambito con privilegi elevati, ha creato una regola di posta in arrivo sospetta e ha reso insolite SharePoint o OneDrive attività di ricerca tramite API Graph. Ciò può indicare un tentativo di violazione dell'organizzazione, ad esempio gli antagonisti che tentano di cercare e raccogliere dati specifici da SharePoint o OneDrive dall'organizzazione tramite API Graph. 

TP o FP?

• TP: se è possibile confermare i dati specifici di SharePoint o OneDrive ricerca e raccolta eseguiti tramite API Graph da un'app OAuth con ambito con privilegi elevati e l'app viene recapitata da un'origine sconosciuta. 

  Azione consigliata: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola posta in arrivo. 

• FP: se è possibile confermare che l'app ha eseguito dati specifici da SharePoint o OneDrive ricerca e raccolta tramite API Graph da un'app OAuth e ha creato una regola di posta in arrivo in un account di posta elettronica esterno nuovo o personale per motivi legittimi. 

  Azione consigliata: ignorare l'avviso

Comprendere l'ambito della violazione

1. Esaminare tutte le attività eseguite dall'app. 
2. Esaminare gli ambiti concessi dall'app. 
3. Esaminare qualsiasi azione regola posta in arrivo creata dall'app. 
4. Esaminare eventuali SharePoint o OneDrive attività di ricerca eseguite dall'app.

App ha eseguito numerose ricerche e modifiche in OneDrive

Gravità: media

ID MITRE: T1137, T1213

Questo rilevamento identifica le app OAuth con autorizzazioni con privilegi elevati che eseguono un numero elevato di ricerche e modifiche in OneDrive usando API Graph.

TP o FP?

• TP: se è possibile verificare che un utilizzo elevato di OneDrive carico di lavoro tramite API Graph non sia previsto da questa applicazione OAuth con autorizzazioni con privilegi elevati per la lettura e la scrittura in OneDrive, viene indicato un vero positivo.

  Azione consigliata: in base all'indagine, se l'applicazione è dannosa, è possibile revocare i consenso e disabilitare l'applicazione nel tenant. Se si tratta di un'applicazione compromessa, è possibile revocare i consenso, disabilitare temporaneamente l'app, esaminare le autorizzazioni necessarie, reimpostare la password e quindi riabilitare l'app.

• FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

  Azione consigliata: risolvere l'avviso e segnalare i risultati.

Comprendere l'ambito della violazione

1. Verificare se l'app proviene da un'origine affidabile.
2. Verificare se l'applicazione è stata appena creata o se sono state apportate modifiche recenti.
3. Esaminare le autorizzazioni concesse all'applicazione e agli utenti che hanno acconsentito all'applicazione.
4. Analizzare tutte le altre attività dell'app.

L'app ha reso elevata la lettura e la creazione della regola posta in arrivo

Gravità: media

ID MITRE: T1137, T1114

Questo rilevamento identifica che un'app ha acconsentito all'ambito con privilegi elevati, crea una regola posta in arrivo sospetta ed esegue un volume elevato di importanti attività di lettura della posta elettronica tramite API Graph. Ciò può indicare un tentativo di violazione dell'organizzazione, ad esempio gli antagonisti che tentano di leggere la posta elettronica ad alta importanza dall'organizzazione tramite API Graph. 

TP o FP?

• TP: se è possibile confermare che un volume elevato di messaggi di posta elettronica importanti letti tramite API Graph da un'app OAuth con ambito con privilegi elevati e l'app viene recapitata da un'origine sconosciuta. 

  Azione consigliata: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola posta in arrivo. 

• FP: se si è in grado di confermare che l'app ha eseguito un volume elevato di messaggi di posta elettronica importanti letti tramite API Graph e ha creato una regola di posta in arrivo in un account di posta elettronica esterno nuovo o personale per motivi legittimi. 

  Azione consigliata: ignorare l'avviso

Comprendere l'ambito della violazione

1. Esaminare tutte le attività eseguite dall'app. 
2. Esaminare gli ambiti concessi dall'app. 
3. Esaminare qualsiasi azione regola posta in arrivo creata dall'app. 
4. Esaminare le attività di lettura della posta elettronica con priorità elevata eseguite dall'app.

L'app ha fatto attività di chat insolite in Teams

Gravità: media

Questo rilevamento identifica le app a cui è stato concesso il consenso per gli ambiti OAuth con privilegi elevati, a cui è stato eseguito l'accesso Microsoft Teams e ha reso un volume insolito di attività di lettura o post-chat tramite API Graph. Ciò può indicare un tentativo di violazione dell'organizzazione, ad esempio gli antagonisti che tentano di raccogliere informazioni dall'organizzazione tramite API Graph.

TP o FP?

• TP: se è possibile confermare che le attività insolite dei messaggi di chat in Microsoft Teams tramite API Graph da un'app OAuth con un ambito con privilegi elevati e l'app viene recapitata da un'origine sconosciuta.

  Azione consigliata: disabilitare e rimuovere l'app e reimpostare la password

• FP: se si è in grado di confermare che le attività insolite eseguite in Microsoft Teams tramite API Graph sono state per motivi legittimi.

  Azione consigliata: ignorare l'avviso

Comprendere l'ambito della violazione

1. Esaminare gli ambiti concessi dall'app.
2. Esaminare tutte le attività eseguite dall'app.
3. Esaminare l'attività utente associata all'app.

Attività OneDrive anomale da parte dell'app che hanno appena aggiornato o aggiunto nuove credenziali

Gravità: media

ID MITRE: T1098.001, T1213

Un'app cloud non Microsoft ha effettuato chiamate anomale API Graph a OneDrive, incluso l'utilizzo di dati con volumi elevati. Rilevate da Machine Learning, queste chiamate API insolite sono state effettuate entro pochi giorni dall'aggiunta di certificati/segreti esistenti nuovi o aggiornati dall'app. Questa app potrebbe essere coinvolta nell'esfiltrazione di dati o in altri tentativi di accesso e recupero di informazioni riservate.

TP o FP?

• TP: se è possibile verificare che le attività insolite, ad esempio l'utilizzo elevato del volume di OneDrive carico di lavoro, siano state eseguite dall'app tramite API Graph.

  Azione consigliata: disabilitare temporaneamente l'app, reimpostare la password e quindi riabilitare l'app.

• FP: se è possibile verificare che non siano state eseguite attività insolite dall'app o che l'app sia destinata a effettuare un volume insolitamente elevato di chiamate Graph.

  Azione consigliata: ignorare l'avviso

Comprendere l'ambito della violazione

1. Esaminare tutte le attività eseguite dall'app.
2. Esaminare gli ambiti concessi dall'app.
3. Esaminare l'attività utente associata all'app.

Attività SharePoint anomale da parte dell'app che hanno appena aggiornato o aggiunto nuove credenziali

Gravità: media

ID MITRE: T1098.001, T1213.002

Un'app cloud non Microsoft ha effettuato chiamate anomale API Graph a SharePoint, incluso l'utilizzo di dati con volumi elevati. Rilevate da Machine Learning, queste chiamate API insolite sono state effettuate entro pochi giorni dall'aggiunta di certificati/segreti esistenti nuovi o aggiornati dall'app. Questa app potrebbe essere coinvolta nell'esfiltrazione di dati o in altri tentativi di accesso e recupero di informazioni riservate.

TP o FP?

• TP: se è possibile verificare che le attività insolite, ad esempio l'utilizzo elevato del volume di SharePoint carico di lavoro, siano state eseguite dall'app tramite API Graph.

  Azione consigliata: disabilitare temporaneamente l'app, reimpostare la password e quindi riabilitare l'app.

• FP: se è possibile verificare che non siano state eseguite attività insolite dall'app o che l'app sia destinata a effettuare un volume insolitamente elevato di chiamate Graph.

  Azione consigliata: ignorare l'avviso

Comprendere l'ambito della violazione

1. Esaminare tutte le attività eseguite dall'app.
2. Esaminare gli ambiti concessi dall'app.
3. Esaminare l'attività utente associata all'app.