위협 탐지 경고 조사

  • 아티클
  • 읽는 데 58분 걸림

앱 거버넌스는 악의적인 활동에 대한 보안 검색 및 경고를 제공합니다. 이 가이드의 목적은 각 경고에 대한 일반적이고 실용적인 정보를 제공하여 조사 및 수정 작업에 도움이 되는 것입니다. 이 가이드에는 경고를 트리거하기 위한 조건에 대한 일반적인 정보가 포함되어 있습니다. 위협 탐지는 본질적으로 비결정적이므로 표준에서 벗어나는 동작이 있을 때만 트리거됩니다. 마지막으로 일부 경고는 미리 보기 상태일 수 있으므로 업데이트된 경고 상태에 대한 공식 설명서를 정기적으로 검토합니다.

MITRE ATT&CK

앱 거버넌스 경고와 친숙한 MITRE ATT CK Matrix 간의 관계를 보다 쉽게 매핑할 수 있도록 해당 MITRE ATT&&CK 전술로 경고를 분류했습니다. 이 추가 참조를 사용하면 앱 거버넌스 경고가 트리거될 때 잠재적으로 사용 중인 의심스러운 공격 기술을 더 쉽게 이해할 수 있습니다.

이 가이드에서는 다음 범주의 앱 거버넌스 경고를 조사하고 수정하는 방법에 대한 정보를 제공합니다.

보안 경고 분류

적절한 조사 후 모든 앱 거버넌스 경고를 다음 활동 유형 중 하나로 분류할 수 있습니다.

  • 참 긍정(TP): 확인된 악성 활동에 대한 경고입니다.
  • 무해한 참 긍정(B-TP): 침투 테스트 또는 기타 권한 있는 의심스러운 작업과 같이 의심스럽지만 악의적이지 않은 활동에 대한 경고입니다.
  • FP(가양성): 악의적이 아닌 활동에 대한 경고입니다.

일반 조사 단계

권장 작업을 적용하기 전에 잠재적 위협을 보다 명확하게 이해하려면 모든 유형의 경고를 조사할 때 다음 일반 지침을 사용합니다.

  • 앱 심각도 수준을 검토하고 테넌트의 나머지 앱과 비교합니다. 이 검토는 테넌트에서 더 큰 위험을 초래하는 앱을 식별하는 데 도움이 됩니다.

  • TP를 식별하는 경우 모든 앱 활동을 검토하여 영향을 파악합니다. 예를 들어 다음 앱 정보를 검토합니다.

    • 액세스 권한이 부여된 범위
    • 비정상적인 동작
    • IP 주소 및 위치

초기 액세스 경고

이 섹션에서는 악성 앱이 조직에서 발판을 유지하려고 할 수 있음을 나타내는 경고에 대해 설명합니다.

OAuth 리디렉션 취약성을 악용하여 앱이 피싱 URL로 리디렉션

심각도: 보통

이 검색은 Microsoft Graph API 통해 OAuth 구현의 응답 형식 매개 변수를 악용하여 피싱 URL로 리디렉션되는 OAuth 앱을 식별합니다.

TP 또는 FP?

  • TP: OAuth 앱이 알 수 없는 원본에서 배달되었는지 확인할 수 있는 경우 OAuth 앱에 동의한 후 회신 URL의 응답 유형에 잘못된 요청이 포함되고 알 수 없거나 신뢰할 수 없는 회신 URL로 리디렉션됩니다.

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 다시 설정하고, 받은 편지함 규칙을 제거합니다. 

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 파악

  1. 앱에서 수행한 모든 활동을 검토합니다. 
  2. 앱에서 부여한 범위를 검토합니다. 

의심스러운 회신 URL이 있는 OAuth 앱

심각도: 보통

이 검색은 Microsoft Graph API 통해 의심스러운 회신 URL에 액세스한 OAuth 앱을 식별합니다.

TP 또는 FP?

  • TP: OAuth 앱이 알 수 없는 원본에서 배달되고 의심스러운 URL로 리디렉션되는지 확인할 수 있는 경우 진정한 긍정이 표시됩니다. 의심스러운 URL은 URL의 평판을 알 수 없거나 신뢰할 수 없거나 도메인이 최근에 등록되었으며 앱 요청이 높은 권한 범위에 대한 URL입니다.

    권장 작업: 앱에서 요청한 회신 URL, 도메인 및 범위를 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청한 사용 권한 수준 및 액세스 권한이 부여된 사용자를 검토합니다.

    앱에 대한 액세스를 금지하려면 OAuth 앱 페이지로 이동합니다. 금지하려는 앱이 표시되는 행에서 금지 아이콘을 선택합니다. 사용자가 설치하고 권한을 부여한 앱이 금지되었음을 사용자에게 알릴지 여부를 선택할 수 있습니다. 이 알림을 통해 사용자는 앱이 비활성화되고 연결된 앱에 액세스할 수 없음을 알 수 있습니다. 사용자에게 알리지 않으려면 대화 상자에서 이 금지된 앱에 액세스 권한을 부여한 사용자에게 알림을 선택 취소합니다. 앱 사용자에게 앱 사용이 금지될 예정임을 알리는 것이 좋습니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 파악

  1. 최근에 만든 앱과 해당 회신 URL을 검토합니다.

  2. 앱에서 수행한 모든 활동을 검토합니다. 

  3. 앱에서 부여한 범위를 검토합니다. 

심각도: 낮음

이 검색은 최근에 만들어졌으며 동의율이 낮은 것으로 확인된 OAuth 앱을 식별합니다. 이는 불법 동의 부여에서 사용자를 유인하는 악의적이거나 위험한 앱을 나타낼 수 있습니다.

TP 또는 FP?

  • TP: OAuth 앱이 알 수 없는 원본에서 배달되었는지 확인할 수 있는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 앱의 표시 이름, 회신 URL 및 도메인을 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청한 사용 권한 수준 및 액세스 권한을 부여한 사용자를 검토합니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 파악

  1. 앱에서 수행한 모든 활동을 검토합니다.
  2. 앱이 의심스럽다고 의심되는 경우 다른 앱 스토어에서 앱의 이름 및 회신 도메인을 조사하는 것이 좋습니다. 앱 스토어를 확인할 때는 다음 유형의 앱에 집중합니다.
    • 최근에 만든 앱
    • 비정상적인 표시 이름을 가진 앱
    • 의심스러운 회신 도메인이 있는 앱
  3. 앱이 여전히 의심스러운 것으로 의심되는 경우 앱 표시 이름 및 회신 도메인을 검색할 수 있습니다.

URL 평판이 잘못된 앱

심각도: 보통

이 검색은 URL 평판이 좋지 않은 것으로 확인된 OAuth 앱을 식별합니다.

TP 또는 FP?

  • TP: OAuth 앱이 알 수 없는 원본에서 배달되고 의심스러운 URL로 리디렉션되는지 확인할 수 있는 경우 참 긍정이 표시됩니다.

    권장 작업: 앱에서 요청한 회신 URL, 도메인 및 범위를 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청한 사용 권한 수준 및 액세스 권한을 부여한 사용자를 검토합니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 파악

  1. 앱에서 수행한 모든 활동을 검토합니다.
  2. 앱이 의심스러운 경우 다른 앱 스토어에서 앱의 이름과 회신 도메인을 조사하는 것이 좋습니다. 앱 스토어를 확인할 때 다음 유형의 앱에 집중합니다.
    • 최근에 만든 앱
    • 비정상적인 표시 이름을 가진 앱
    • 의심스러운 회신 도메인이 있는 앱
  3. 앱이 여전히 의심스러운 경우 앱 표시 이름 및 회신 도메인을 검색할 수 있습니다.

심각도: 보통

설명: 이 검색은 의심스러운 동의 범위에 대해 요청된 유니코드 또는 인코딩된 문자와 Graph API 통해 액세스한 사용자 메일 폴더와 같은 문자가 있는 OAuth 앱을 식별합니다. 이 경고는 악의적 사용자가 악의적인 앱에 동의하도록 사용자를 오도할 수 있도록 악의적인 앱을 알려진 신뢰할 수 있는 앱으로 위장하려는 시도를 나타낼 수 있습니다.

TP 또는 FP?

  • TP: OAuth 앱이 알 수 없는 원본에서 전달된 의심스러운 범위로 표시 이름을 인코딩했는지 확인할 수 있는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 이 앱에서 요청한 사용 권한 수준 및 액세스 권한을 부여한 사용자를 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다.

    앱에 대한 액세스를 금지하려면 OAuth 앱 페이지의 금지하려는 앱이 표시되는 행에서 금지 아이콘을 선택합니다. 사용자가 설치하고 권한을 부여한 앱이 금지되었음을 사용자에게 알릴지 여부를 선택할 수 있습니다. 이 알림을 통해 사용자는 앱이 비활성화되고 연결된 앱에 액세스할 수 없음을 알 수 있습니다. 사용자가 알리지 않으려면 대화 상자에서 이 금지된 앱에 대한 액세스 권한을 부여한 사용자에게 알리기를 선택 취소합니다. 앱 사용자에게 앱 사용이 금지될 예정임을 알리는 것이 좋습니다.

  • FP: 앱에 인코딩된 이름이 있지만 조직에서 합법적인 비즈니스 사용이 있는지 확인하려는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 파악

위험한 OAuth 앱을 조사하는 방법에 대한 자습서를 따릅니다.

읽기 범위가 있는 OAuth 앱에 의심스러운 회신 URL이 있습니다.

심각도: 보통

설명: 이 검색은 Graph API 통해 User.Read, People.Read, Contacts.Read, Mail.Read, Contacts.Read.Shared 리디렉션과 같은 읽기 범위만 있는 OAuth 앱을 식별합니다. 이 활동은 권한 권한이 적은 악성 앱(예: 읽기 범위)이 악용되어 사용자 계정 정찰을 수행할 수 있음을 나타내려고 합니다.

TP 또는 FP?

  • TP: 읽기 범위가 있는 OAuth 앱이 알 수 없는 원본에서 배달되고 의심스러운 URL로 리디렉션되는지 확인할 수 있는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 앱에서 요청한 회신 URL 및 범위를 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청한 사용 권한 수준 및 액세스 권한을 부여한 사용자를 검토합니다.

    앱에 대한 액세스를 금지하려면 OAuth 앱 페이지의 금지하려는 앱이 표시되는 행에서 금지 아이콘을 선택합니다. 사용자가 설치하고 권한을 부여한 앱이 금지되었음을 사용자에게 알릴지 여부를 선택할 수 있습니다. 이 알림을 통해 사용자는 앱이 비활성화되고 연결된 앱에 액세스할 수 없음을 알 수 있습니다. 사용자가 알리지 않으려면 대화 상자에서 이 금지된 앱에 대한 액세스 권한을 부여한 사용자에게 알리기를 선택 취소합니다. 앱 사용자에게 앱 사용이 금지될 예정임을 알리는 것이 좋습니다.

  • B-TP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 파악

  1. 앱에서 수행한 모든 활동을 검토합니다.
  2. 앱이 의심스러운 경우 다른 앱 스토어에서 앱의 이름과 회신 URL을 조사하는 것이 좋습니다. 앱 스토어를 확인할 때 다음 유형의 앱에 집중합니다.
    • 최근에 만든 앱입니다.
    • 의심스러운 회신 URL이 있는 앱
    • 최근에 업데이트되지 않은 앱입니다. 업데이트가 부족하면 앱이 더 이상 지원되지 않음을 나타낼 수 있습니다.
  3. 앱이 여전히 의심스러운 경우 앱 이름, 게시자 이름 및 회신 URL을 온라인으로 검색할 수 있습니다.

회신 도메인에서 비정상적인 표시 이름 및 비정상적인 TLD를 가진 앱

심각도: 보통

이 검색은 비정상적인 표시 이름을 가진 앱을 식별하고 Graph API 통해 비정상적인 TLD(최상위 도메인)가 있는 의심스러운 회신 도메인으로 리디렉션됩니다. 악의적 사용자가 악의적이거나 위험한 앱에 동의하도록 사용자를 오도할 수 있도록 악의적이거나 위험한 앱을 알려진 신뢰할 수 있는 앱으로 위장하려는 시도를 나타낼 수 있습니다. 

TP 또는 FP?

  • TP: 알 수 없는 원본에서 비정상적인 표시 이름을 가진 앱이 전달되고 비정상적인 최상위 도메인이 있는 의심스러운 도메인으로 리디렉션되는지 확인할 수 있는 경우

    권장 작업: 앱의 표시 이름 및 회신 도메인을 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청한 사용 권한 수준 및 액세스 권한을 부여한 사용자를 검토합니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 파악

앱에서 수행한 모든 활동을 검토합니다. 앱이 의심스러운 경우 다른 앱 스토어에서 앱의 이름과 회신 도메인을 조사하는 것이 좋습니다. 앱 스토어를 확인할 때 다음 유형의 앱에 집중합니다.

  • 최근에 만든 앱
  • 비정상적인 표시 이름을 가진 앱
  • 의심스러운 회신 도메인이 있는 앱

앱이 여전히 의심스러운 경우 앱 표시 이름 및 회신 도메인을 검색할 수 있습니다.

지속성 경고

이 섹션에서는 악의적인 행위자가 조직에서 자신의 발판을 유지하려고 할 수 있음을 나타내는 경고에 대해 설명합니다.

앱은 인증서 업데이트 또는 새 자격 증명 추가 후 Exchange 워크로드에 대해 비정상적인 Graph 호출했습니다.

심각도: 보통

MITRE ID: T1098.001, T1114

이 검색은 LOB(기간 업무) 앱이 인증서/비밀을 업데이트하거나 새 자격 증명을 추가하고 며칠 이내에 인증서 업데이트 또는 새 자격 증명 추가, 관찰된 비정상적인 활동 또는 기계 학습 알고리즘을 사용하는 Graph API 통해 워크로드를 Exchange 대용량 사용량을 추가한 후 경고를 트리거합니다.

TP 또는 FP?

  • TP: Exchange 워크로드에 대한 비정상적인 활동/대용량 사용량이 GRAPH API 통해 LOB 앱에서 수행되었는지 확인할 수 있는 경우

    권장 작업: 앱을 일시적으로 사용하지 않도록 설정하고 암호를 다시 설정한 다음 앱을 다시 사용하도록 설정합니다.

  • FP: LOB 앱 또는 앱에서 비정상적인 활동이 수행되지 않은 것을 확인할 수 있는 경우 비정상적으로 많은 양의 그래프 호출을 수행하기 위한 것입니다.

    권장 작업: 경고를 해제합니다.

위반 범위 파악

  1. 이 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에서 부여한 범위를 검토합니다.
  3. 이 앱과 연결된 사용자 활동을 검토합니다.

의심스러운 OAuth 범위가 있는 앱은 Machine Learning 모델에 의해 위험성이 높은 플래그가 지정되고, 전자 메일을 읽기 위해 그래프를 호출하고, 받은 편지함 규칙을 만들었습니다.

심각도: 보통

MITRE ID: T1137.005, T1114

이 검색은 의심스러운 범위에 동의한 Machine Learning 모델에서 위험성이 높은 플래그가 지정된 OAuth 앱을 식별하고, 의심스러운 받은 편지함 규칙을 만든 다음, Graph API 통해 사용자 메일 폴더 및 메시지에 액세스합니다. 전체 또는 특정 전자 메일을 다른 전자 메일 계정으로 전달하고 전자 메일에 액세스하고 다른 전자 메일 계정으로 보내기 위한 Graph 호출과 같은 받은 편지함 규칙은 조직에서 정보를 유출하려는 시도일 수 있습니다.

TP 또는 FP?

  • TP: 알 수 없는 원본에서 전달된 의심스러운 범위가 있는 OAuth 타사 앱에서 받은 편지함 규칙을 만들었는지 확인할 수 있으면 진정한 긍정이 검색됩니다.

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 다시 설정하고, 받은 편지함 규칙을 제거합니다.

Azure Active Directory 사용하여 암호를 재설정하는 방법에 대한 자습서를 따르고 받은 편지함 규칙을 제거하는 방법에 대한 자습서를 따릅니다.

  • FP: 앱이 합법적인 이유로 새 또는 개인 외부 전자 메일 계정에 받은 편지함 규칙을 만들었는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 파악

  1. 앱에서 수행한 모든 활동을 검토합니다.
  2. 앱에서 부여한 범위를 검토합니다.
  3. 앱에서 만든 받은 편지함 규칙 작업 및 조건을 검토합니다.

의심스러운 OAuth 범위가 있는 앱은 전자 메일을 읽기 위해 그래프를 호출하고 받은 편지함 규칙을 만들었습니다.

심각도: 보통

MITRE ID: T1137.005, T1114

이 검색은 의심스러운 범위에 동의하고 의심스러운 받은 편지함 규칙을 만든 다음 Graph API 통해 사용자 메일 폴더 및 메시지에 액세스하는 OAuth 앱을 식별합니다. 전체 또는 특정 전자 메일을 다른 전자 메일 계정으로 전달하고 전자 메일에 액세스하고 다른 전자 메일 계정으로 보내기 위한 Graph 호출과 같은 받은 편지함 규칙은 조직에서 정보를 유출하려는 시도일 수 있습니다.

TP 또는 FP?

  • TP: 알 수 없는 원본에서 배달된 의심스러운 범위가 있는 OAuth 타사 앱에서 받은 편지함 규칙을 만들었는지 확인할 수 있는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 다시 설정하고, 받은 편지함 규칙을 제거합니다.

    Azure Active Directory 사용하여 암호를 재설정하는 방법에 대한 자습서를 따르고 받은 편지함 규칙을 제거하는 방법에 대한 자습서를 따릅니다.

  • FP: 앱이 합법적인 이유로 새 또는 개인 외부 전자 메일 계정에 받은 편지함 규칙을 만들었는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 파악

  1. 앱에서 수행한 모든 활동을 검토합니다.
  2. 앱에서 부여한 범위를 검토합니다.
  3. 앱에서 만든 받은 편지함 규칙 작업 및 조건을 검토합니다.

비정상적인 위치 사후 인증서 업데이트에서 액세스된 앱

심각도: 낮음

MITRE ID: T1098

이 검색은 LOB(기간 업무) 앱이 인증서/비밀을 업데이트하고 몇 일 이내에 인증서 업데이트 후 최근에 보지 못했거나 과거에 액세스하지 않은 비정상적인 위치에서 앱에 액세스할 때 경고를 트리거합니다.

TP 또는 FP?

  • TP: LOB 앱이 비정상적인 위치에서 액세스하고 Graph API 통해 비정상적인 활동을 수행했는지 확인할 수 있는 경우

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 다시 설정한 다음, 앱을 다시 사용하도록 설정합니다.

  • FP: LOB 앱이 합법적인 목적으로 비정상적인 위치에서 액세스했으며 비정상적인 활동이 수행되지 않는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 파악

  1. 이 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에서 부여한 범위를 검토합니다.
  3. 이 앱과 연결된 사용자 활동을 검토합니다.

비정상적인 위치에서 액세스한 앱이 비정상적인 Graph 호출 후 인증서 업데이트

심각도: 보통

MITRE ID: T1098

이 검색은 LOB(기간 업무) 앱이 인증서/비밀을 업데이트하고 인증서 업데이트 후 며칠 내에 앱이 최근에 표시되지 않았거나 과거에 액세스하지 않은 비정상적인 위치에서 액세스하고 기계 학습 알고리즘을 사용하여 Graph API 통해 비정상적인 활동 또는 사용을 관찰할 때 경고를 트리거합니다.

TP 또는 FP?

  • TP: 비정상적인 위치에서 Graph API 통해 LOB 앱에서 비정상적인 활동/사용이 수행되었는지 확인할 수 있는 경우

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 다시 설정한 다음, 앱을 다시 사용하도록 설정합니다.

  • FP: LOB 앱이 합법적인 목적으로 비정상적인 위치에서 액세스했으며 비정상적인 활동이 수행되지 않는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 파악

  1. 이 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에서 부여한 범위를 검토합니다.
  3. 이 앱과 연결된 사용자 활동을 검토합니다.

최근에 만든 앱에는 많은 양의 해지된 동의가 있습니다.

심각도: 보통

MITRE ID: T1566, T1098

몇몇 사용자가 최근에 만든 LOB(기간 업무) 또는 타사 앱에 대한 동의를 취소했습니다. 이 앱은 사용자가 실수로 동의를 제공하게 했을 수 있습니다.

TP 또는 FP?

  • TP: OAuth 앱이 알 수 없는 원본에서 배달되고 앱 동작이 의심스러운지 확인할 수 있는 경우 

    권장 작업: 앱에 부여된 동의를 취소하고 앱을 사용하지 않도록 설정합니다. 

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 사용이 있고 앱에서 비정상적인 활동이 수행되지 않은 것을 확인할 수 있습니다.

    권장 작업: 경고 해제

위반 범위 파악

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱이 의심스럽다고 의심되는 경우 다른 앱 스토어에 있는 앱의 이름 및 회신 도메인을 조사하는 것이 좋습니다. 앱 스토어를 확인할 때는 다음 유형의 앱에 집중합니다.
    • 최근에 만든 앱
    • 비정상적인 표시 이름을 가진 앱
    • 의심스러운 회신 도메인이 있는 앱
  3. 앱이 여전히 의심스러운 것으로 의심되는 경우 앱 표시 이름 및 회신 도메인을 검색할 수 있습니다.

방어 회피 경고

심각도: 보통

Microsoft가 아닌 클라우드 앱은 기계 학습 알고리즘에서 발견한 로고를 Microsoft 로고와 매우 유사하게 사용합니다. 이는 Microsoft 소프트웨어 제품을 가장하고 합법적인 것으로 보이려는 시도일 수 있습니다.

TP 또는 FP?

  • TP: 앱 로고가 Microsoft 로고를 모방한 것이며 앱 동작이 의심스러운지 확인할 수 있는 경우 

    권장 작업: 앱에 부여된 동의를 취소하고 앱을 사용하지 않도록 설정합니다.

  • FP: 앱 로고가 Microsoft 로고를 모방한 것이 아니거나 앱에서 비정상적인 활동이 수행되지 않았다는 것을 확인할 수 있는 경우 

    권장 작업: 경고 해제

위반 범위 파악

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에 부여된 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

검색 경고

앱 수행 드라이브 열거형

심각도: 보통

MITRE ID: T1087

이 검색은 Graph API 사용하여 OneDrive 파일에서 열거를 수행하는 Machine Learning 모델에서 검색된 OAuth 앱을 식별합니다.

TP 또는 FP?

  • TP: OneDrive 비정상적인 활동/사용이 Graph API 통해 LOB 앱에서 수행되었는지 확인할 수 있는 경우

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고 암호를 다시 설정합니다.

  • FP: 앱에서 비정상적인 활동이 수행되지 않은 것을 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 파악

  1. 이 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에서 부여한 범위를 검토합니다.
  3. 이 앱과 연결된 사용자 활동을 검토합니다.

Azure Active Directory PowerShell을 사용하여 수행된 의심스러운 열거형 활동

심각도: 보통

MITRE ID: T1087

이 검색은 Azure AD PowerShell 애플리케이션을 통해 짧은 시간 내에 수행되는 많은 양의 의심스러운 열거형 활동을 식별합니다.

TP 또는 FP?

  • TP: Azure AD PowerShell 애플리케이션에서 의심스러운/비정상적인 열거 작업이 수행되었는지 확인할 수 있는 경우

    권장 작업: 애플리케이션을 사용하지 않도록 설정 및 제거하고 암호를 다시 설정합니다.

  • FP: 애플리케이션에서 비정상적인 활동이 수행되지 않은 것을 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 파악

  1. 이 애플리케이션에서 수행하는 모든 활동을 검토합니다.
  2. 이 애플리케이션과 연결된 사용자 활동을 검토합니다.

반출 경고

이 섹션에서는 악의적인 행위자가 조직의 목표에 대한 관심 있는 데이터를 도용하려고 시도할 수 있음을 나타내는 경고에 대해 설명합니다.

비정상적인 사용자 에이전트를 사용하는 OAuth 앱

심각도: 낮음

MITRE ID: T1567

이 검색은 비정상적인 사용자 에이전트를 사용하여 Graph API 액세스하는 OAuth 애플리케이션을 식별합니다.

TP 또는 FP?

  • TP: OAuth 앱이 이전에 사용되지 않은 새 사용자 에이전트를 사용하기 시작했으며 이 변경이 예기치 않은 경우 참 긍정이 표시됩니다.

    권장 작업: 사용된 사용자 에이전트 및 애플리케이션에 대한 최근 변경 내용을 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청한 사용 권한 수준 및 액세스 권한을 부여한 사용자를 검토합니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 파악

  1. 최근에 만든 앱과 사용된 사용자 에이전트를 검토합니다.
  2. 앱에서 수행한 모든 활동을 검토합니다. 
  3. 앱에서 부여한 범위를 검토합니다. 

비정상적인 사용자 에이전트가 Exchange 웹 서비스를 통해 전자 메일 데이터에 액세스한 앱

심각도: 높음

MITRE ID: T1114, T1567

이 검색은 비정상적인 사용자 에이전트를 사용하여 Exchange 웹 서비스 API를 사용하여 전자 메일 데이터에 액세스하는 OAuth 앱을 식별합니다.

TP 또는 FP?

  • TP: OAuth 애플리케이션이 Exchange Web Services API에 요청하는 데 사용하는 사용자 에이전트를 변경하지 않을 것으로 예상되는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 경고를 TP로 분류합니다. 조사에 따라 앱이 악의적인 경우 동의를 취소하고 테넌트에서 앱을 사용하지 않도록 설정할 수 있습니다. 손상된 앱인 경우 동의를 해지하고, 일시적으로 앱을 사용하지 않도록 설정하고, 사용 권한을 검토하고, 비밀 및 인증서를 다시 설정한 다음, 앱을 다시 사용하도록 설정할 수 있습니다.

  • FP: 조사 후 애플리케이션에서 사용하는 사용자 에이전트가 조직에서 합법적인 비즈니스 용도로 사용되는지 확인할 수 있습니다.

    권장 작업: 경고를 FP로 분류합니다. 또한 경고 조사에 따라 피드백을 공유하는 것이 좋습니다.

위반 범위 파악

  1. 애플리케이션이 새로 만들어졌거나 최근에 변경된 내용이 있는지 검토합니다.
  2. 애플리케이션에 부여된 권한 및 애플리케이션에 동의한 사용자를 검토합니다.  
  3. 앱에서 수행한 모든 활동을 검토합니다.

컬렉션 경고

이 섹션에서는 악의적인 행위자가 조직에서 목표에 맞게 관심 있는 데이터를 수집하려고 시도할 수 있음을 나타내는 경고를 설명합니다.

앱이 비정상적인 전자 메일 검색 작업을 수행했습니다.

심각도: 보통

MITRE ID: T1114

이 검색은 앱이 의심스러운 OAuth 범위에 동의하고 Graph API 통해 특정 콘텐츠에 대한 전자 메일 검색과 같은 비정상적인 전자 메일 검색 활동을 대량으로 수행한 경우를 식별합니다. 이는 Graph API 통해 조직에서 특정 전자 메일을 검색하고 읽으려는 악의적 사용자와 같이 조직의 위반 시도를 나타낼 수 있습니다. 

TP 또는 FP?

  • TP: 의심스러운 OAuth 범위가 있는 OAuth 앱에서 Graph API 통해 많은 양의 비정상적인 전자 메일 검색 및 읽기 활동을 확인할 수 있고 앱을 알 수 없는 원본에서 배달할 수 있는 경우

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 다시 설정하고, 받은 편지함 규칙을 제거합니다. 

  • FP: 앱이 비정상적인 전자 메일 검색을 대량으로 수행하고 합법적인 이유로 Graph API 읽은 것을 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 파악

  1. 앱에서 부여한 범위를 검토합니다.
  2. 앱에서 수행한 모든 활동을 검토합니다. 

앱에서 비정상적인 Graph 전화를 걸어 전자 메일을 읽습니다.

심각도: 보통

MITRE ID: T1114

이 검색은 LOB(기간 업무) OAuth 앱이 Graph API 통해 비정상적이고 많은 양의 사용자 메일 폴더 및 메시지에 액세스하는 경우를 식별하며, 이는 조직의 위반 시도를 나타낼 수 있습니다.

TP 또는 FP?

  • TP: LOB(기간 업무) OAuth 앱에서 비정상적인 그래프 활동이 수행되었는지 확인할 수 있는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 다시 설정한 다음, 앱을 다시 사용하도록 설정합니다. Azure Active Directory 사용하여 암호를 재설정하는 방법에 대한 자습서를 따릅니다.

  • FP: 앱이 비정상적으로 많은 양의 그래프 호출을 수행하도록 의도되었는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 파악

  1. 이 앱에서 수행하는 이벤트에 대한 활동 로그를 검토하여 다른 Graph 활동을 더 잘 이해하여 전자 메일을 읽고 사용자에게 중요한 전자 메일 정보를 수집하려고 시도합니다.
  2. 앱에 추가되는 예기치 않은 자격 증명을 모니터링합니다.

앱은 받은 편지함 규칙을 만들고 비정상적인 전자 메일 검색 활동을 수행합니다.

심각도: 보통

MITRE ID: T1137, T1114

이 검색은 높은 권한 범위에 동의한 앱을 식별하고, 의심스러운 받은 편지함 규칙을 만들고, Graph API 통해 사용자 메일 폴더에서 비정상적인 전자 메일 검색 활동을 수행합니다. 이는 Graph API 통해 조직에서 특정 전자 메일을 검색하고 수집하려는 악의적 사용자와 같은 조직의 위반 시도를 나타낼 수 있습니다.

TP 또는 FP?

  • TP: 높은 권한 범위를 가진 OAuth 앱에서 Graph API 통해 수행된 특정 전자 메일 검색 및 컬렉션을 확인할 수 있고 알 수 없는 원본에서 앱이 배달되는 경우

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 다시 설정하고, 받은 편지함 규칙을 제거합니다.

  • FP: 앱이 Graph API 통해 특정 전자 메일 검색 및 수집을 수행하고 합법적인 이유로 새 또는 개인 외부 전자 메일 계정에 받은 편지함 규칙을 만들었는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 파악

  1. 앱에서 수행한 모든 활동을 검토합니다.
  2. 앱에서 부여한 범위를 검토합니다.
  3. 앱에서 만든 받은 편지함 규칙 작업을 검토합니다.
  4. 앱에서 수행한 전자 메일 검색 활동을 검토합니다.

앱이 OneDrive/SharePoint 검색 작업을 수행하고 받은 편지함 규칙을 만들었습니다.

심각도: 보통

MITRE ID: T1137, T1213

이 검색은 앱이 높은 권한 범위에 동의하고, 의심스러운 받은 편지함 규칙을 만들고, Graph API 통해 비정상적인 SharePoint 또는 OneDrive 검색 활동을 수행했음을 식별합니다. 이는 SharePoint 특정 데이터를 검색하고 수집하려는 악의적 사용자 또는 Graph API 통해 조직에서 OneDrive 등 조직의 위반 시도를 나타낼 수 있습니다. 

TP 또는 FP?

  • TP: 높은 권한 범위의 OAuth 앱에서 Graph API 통해 수행된 SharePoint 또는 OneDrive 검색 및 수집에서 특정 데이터를 확인할 수 있고 앱을 알 수 없는 원본에서 배달할 수 있는 경우 

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 다시 설정하고, 받은 편지함 규칙을 제거합니다. 

  • FP: 앱이 OAuth 앱의 Graph API 통해 SharePoint 또는 OneDrive 검색 및 수집에서 특정 데이터를 수행하고 합법적인 이유로 새 또는 개인 외부 전자 메일 계정에 받은 편지함 규칙을 만들었는지 확인할 수 있는 경우 

    권장 작업: 경고 해제

위반 범위 파악

  1. 앱에서 수행한 모든 활동을 검토합니다. 
  2. 앱에서 부여한 범위를 검토합니다. 
  3. 앱에서 만든 받은 편지함 규칙 작업을 검토합니다. 
  4. 앱에서 수행한 SharePoint 또는 OneDrive 검색 활동을 검토합니다.

앱은 OneDrive 수많은 검색 및 편집을 했습니다.

심각도: 보통

MITRE ID: T1137, T1213

이 검색은 Graph API 사용하여 OneDrive 많은 수의 검색 및 편집을 수행하는 높은 권한 권한이 있는 OAuth 앱을 식별합니다.

TP 또는 FP?

  • TP: Graph API 통해 OneDrive 워크로드의 높은 사용이 OneDrive 읽고 쓸 수 있는 높은 권한 권한을 가진 이 OAuth 애플리케이션에서 예상되지 않는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 조사에 따라 애플리케이션이 악의적인 경우 동의를 취소하고 테넌트에서 애플리케이션을 사용하지 않도록 설정할 수 있습니다. 손상된 애플리케이션인 경우 동의를 해지하고, 일시적으로 앱을 사용하지 않도록 설정하고, 필요한 권한을 검토하고, 암호를 재설정한 다음, 앱을 다시 사용하도록 설정할 수 있습니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해결하고 결과를 보고합니다.

위반 범위 파악

  1. 앱이 신뢰할 수 있는 원본에서 온 것인지 확인합니다.
  2. 애플리케이션이 새로 만들어졌는지 또는 최근에 변경되었는지 확인합니다.
  3. 애플리케이션에 부여된 권한 및 애플리케이션에 동의한 사용자를 검토합니다.
  4. 다른 모든 앱 활동을 조사합니다.

앱에서 대량의 중요도 메일을 읽고 받은 편지함 규칙을 만들었습니다.

심각도: 보통

MITRE ID: T1137, T1114

이 검색은 앱이 높은 권한 범위에 동의하고, 의심스러운 받은 편지함 규칙을 만들고, Graph API 통해 많은 양의 중요한 메일 읽기 활동을 수행했음을 식별합니다. 이는 Graph API 통해 조직에서 중요도 높은 전자 메일을 읽으려는 악의적 사용자와 같이 조직의 위반 시도를 나타낼 수 있습니다. 

TP 또는 FP?

  • TP: 높은 권한 범위를 가진 OAuth 앱에서 Graph API 통해 읽은 중요한 전자 메일의 양이 많고 알 수 없는 원본에서 앱이 배달되는지 확인할 수 있는 경우 

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 다시 설정하고, 받은 편지함 규칙을 제거합니다. 

  • FP: 앱이 Graph API 통해 읽은 중요한 전자 메일을 대량으로 수행하고 합법적인 이유로 새 또는 개인 외부 전자 메일 계정에 받은 편지함 규칙을 만들었는지 확인할 수 있는 경우 

    권장 작업: 경고 해제

위반 범위 파악

  1. 앱에서 수행한 모든 활동을 검토합니다. 
  2. 앱에서 부여한 범위를 검토합니다. 
  3. 앱에서 만든 받은 편지함 규칙 작업을 검토합니다. 
  4. 앱에서 수행하는 중요도 높은 전자 메일 읽기 작업을 검토합니다.

앱이 Teams 비정상적인 채팅 활동을 했습니다.

심각도: 보통

이 검색은 높은 권한 OAuth 범위에 동의하고, Microsoft Teams 액세스하고, Graph API 통해 비정상적인 양의 읽기 또는 사후 채팅 메시지 활동을 수행한 앱을 식별합니다. 이는 Graph API 통해 조직에서 정보를 수집하려는 악의적 사용자와 같은 조직의 위반 시도를 나타낼 수 있습니다.

TP 또는 FP?

  • TP: 높은 권한 범위의 OAuth 앱에서 Graph API 통해 Microsoft Teams 비정상적인 채팅 메시지 활동을 확인할 수 있고 앱을 알 수 없는 원본에서 배달할 수 있는 경우

    권장 작업: 앱 사용 안 함 및 제거 및 암호 재설정

  • FP: Graph API 통해 Microsoft Teams 수행된 비정상적인 활동이 합법적인 이유인지 확인할 수 있는 경우

    권장 작업: 경고 해제

위반 범위 파악

  1. 앱에서 부여한 범위를 검토합니다.
  2. 앱에서 수행한 모든 활동을 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

새 자격 증명을 업데이트하거나 추가한 앱별 비정상적인 OneDrive 활동

심각도: 보통

MITRE ID: T1098.001, T1213

Microsoft가 아닌 클라우드 앱은 대용량 데이터 사용을 포함하여 OneDrive 대한 비정상적인 Graph API 호출을 했습니다. 기계 학습에서 감지된 이러한 비정상적인 API 호출은 앱이 새 인증서/비밀을 추가하거나 업데이트한 후 며칠 내에 이루어졌습니다. 이 앱은 데이터 반출 또는 중요한 정보에 액세스하고 검색하려는 다른 시도와 관련이 있을 수 있습니다.

TP 또는 FP?

  • TP: OneDrive 워크로드의 대량 사용과 같은 비정상적인 활동이 Graph API 통해 앱에서 수행되었는지 확인할 수 있습니다.

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 다시 설정한 다음 앱을 다시 사용하도록 설정합니다.

  • FP: 앱에서 비정상적인 활동이 수행되지 않거나 앱이 비정상적으로 많은 양의 Graph 호출을 수행하도록 의도된 것을 확인할 수 있는 경우

    권장 작업: 경고 해제

위반 범위 파악

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에서 부여한 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

새 자격 증명을 업데이트하거나 추가한 앱별 비정상적인 SharePoint 활동

심각도: 보통

MITRE ID: T1098.001, T1213.002

Microsoft가 아닌 클라우드 앱은 대용량 데이터 사용을 포함하여 SharePoint 대한 비정상적인 Graph API 호출을 했습니다. 기계 학습에서 감지된 이러한 비정상적인 API 호출은 앱이 새 인증서/비밀을 추가하거나 업데이트한 후 며칠 내에 이루어졌습니다. 이 앱은 데이터 반출 또는 중요한 정보에 액세스하고 검색하려는 다른 시도와 관련이 있을 수 있습니다.

TP 또는 FP?

  • TP: SharePoint 워크로드의 대용량 사용과 같은 비정상적인 활동이 Graph API 통해 앱에서 수행되었는지 확인할 수 있습니다.

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 다시 설정한 다음 앱을 다시 사용하도록 설정합니다.

  • FP: 앱에서 비정상적인 활동이 수행되지 않거나 앱이 비정상적으로 많은 양의 Graph 호출을 수행하도록 의도된 것을 확인할 수 있는 경우

    권장 작업: 경고 해제

위반 범위 파악

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에서 부여한 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.