Badanie alertów wykrywania zagrożeń

Nadzór nad aplikacjami zapewnia wykrywanie zabezpieczeń i alerty dotyczące złośliwych działań. W tym artykule wymieniono szczegółowe informacje dotyczące każdego alertu, który może ułatwić badanie i korygowanie, w tym warunki wyzwalania alertów. Ponieważ wykrycia zagrożeń są nieokreślone z natury, są wyzwalane tylko wtedy, gdy występuje zachowanie, które odbiega od normy.

Aby uzyskać więcej informacji, zobacz Zarządzanie aplikacjami w usłudze Microsoft Defender dla Chmury Apps

Uwaga

Wykrywanie zagrożeń związanych z zarządzaniem aplikacjami opiera się na liczeniu działań na danych przejściowych i nie może być przechowywanych, dlatego alerty mogą udostępniać liczbę działań lub oznak skoków, ale niekoniecznie wszystkie odpowiednie dane. W szczególności w przypadku działań interfejsu API programu Graph protokołu OAuth same działania mogą być poddawane inspekcji przez dzierżawę przy użyciu usługi Log Analytics i usługi Sentinel.

Aby uzyskać więcej informacji, zobacz:

• Uzyskiwanie dostępu do dzienników aktywności programu Microsoft Graph
• Analizowanie dzienników aktywności przy użyciu usługi Log Analytics

MITRE ATT&CK

Aby ułatwić mapowanie relacji między alertami ładu aplikacji i znanymi macierzami MITRE ATT&CK, sklasyfikowaliśmy alerty według odpowiedniej taktyki MITRE ATT&CK. Ta dodatkowa dokumentacja ułatwia zrozumienie potencjalnie używanej techniki podejrzanych ataków podczas wyzwalania alertu ładu aplikacji.

Ten przewodnik zawiera informacje na temat badania i korygowania alertów ładu aplikacji w następujących kategoriach.

• Dostęp początkowy
• Wykonanie
• Trwałość
• Eskalacja uprawnień
• Uchylanie się od obrony
• Dostęp poświadczeń
• Odnajdywanie
• Ruch poprzeczny
• Kolekcja
• Eksfiltracja
• Wpływ

Klasyfikacje alertów zabezpieczeń

Po odpowiednim zbadaniu wszystkie alerty ładu aplikacji można sklasyfikować jako jeden z następujących typów działań:

• Wynik prawdziwie dodatni (TP): alert dotyczący potwierdzonej złośliwej aktywności.
• Łagodny wynik prawdziwie dodatni (B-TP): alert dotyczący podejrzanych, ale nie złośliwych działań, takich jak test penetracyjne lub inne autoryzowane podejrzane działanie.
• Wynik fałszywie dodatni (FP): alert dotyczący niemalicious działania.

Ogólne kroki badania

Skorzystaj z poniższych ogólnych wytycznych podczas badania dowolnego typu alertu, aby lepiej zrozumieć potencjalne zagrożenie przed zastosowaniem zalecanej akcji.

• Przejrzyj poziom ważności aplikacji i porównaj z resztą aplikacji w dzierżawie. Ten przegląd pomaga określić, które aplikacje w dzierżawie stanowią większe ryzyko.

• Jeśli zidentyfikujesz moduł TP, przejrzyj wszystkie działania aplikacji, aby zrozumieć wpływ. Zapoznaj się na przykład z następującymi informacjami o aplikacji:

  • Zakresy, do których udzielono dostępu
  • Nietypowe zachowanie
  • Adres IP i lokalizacja

Alerty dotyczące dostępu początkowego

W tej sekcji opisano alerty wskazujące, że złośliwa aplikacja może próbować utrzymać przyczółek w organizacji.

Przekierowywanie aplikacji do adresu URL wyłudzania informacji przez wykorzystanie luki w zabezpieczeniach przekierowania OAuth

Ważność: średni rozmiar

To wykrywanie identyfikuje aplikacje OAuth przekierowywane do adresów URL wyłudzania informacji przez wykorzystanie parametru typu odpowiedzi w implementacji protokołu OAuth za pośrednictwem interfejsu API programu Microsoft Graph.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth została dostarczona z nieznanego źródła, typ odpowiedzi adresu URL odpowiedzi po udzieleniu zgody na aplikację OAuth zawiera nieprawidłowe żądanie i przekierowuje do nieznanego lub niezaufanego adresu URL odpowiedzi.

  Zalecana akcja: Wyłącz i usuń aplikację, zresetuj hasło i usuń regułę skrzynki odbiorczej. 

• FP: Jeśli po zbadaniu, możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację. 
2. Przejrzyj zakresy przyznane przez aplikację. 

Aplikacja OAuth z podejrzanym adresem URL odpowiedzi

Ważność: średni rozmiar

To wykrywanie identyfikuje aplikację OAuth dostęp do podejrzanego adresu URL odpowiedzi za pośrednictwem interfejsu API programu Microsoft Graph.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth jest dostarczana z nieznanego źródła i przekierowuje do podejrzanego adresu URL, oznacza to, że zostanie wyświetlony wynik prawdziwie dodatni. Podejrzany adres URL to taki, w którym reputacja adresu URL jest nieznana, nie zaufana lub której domena została niedawno zarejestrowana, a żądanie aplikacji dotyczy zakresu wysokich uprawnień.

  Zalecana akcja: Przejrzyj adres URL odpowiedzi, domeny i zakresy żądane przez aplikację. Na podstawie badania możesz zablokować dostęp do tej aplikacji. Przejrzyj poziom uprawnień żądanych przez tę aplikację i użytkowników, którym udzielono dostępu.

  Aby zablokować dostęp do aplikacji, przejdź do odpowiedniej karty aplikacji na stronie nadzoru aplikacji. W wierszu, w którym zostanie wyświetlona aplikacja, której chcesz zablokować, wybierz ikonę zakazu. Możesz wybrać, czy chcesz poinformować użytkowników, że zainstalowana i autoryzowana aplikacja została zakazana. Powiadomienie informuje użytkowników, że aplikacja zostanie wyłączona i nie będzie mieć dostępu do połączonej aplikacji. Jeśli nie chcesz ich znać, usuń zaznaczenie pola wyboru Powiadom użytkowników, którzy przyznali dostęp do tej zakazanej aplikacji w oknie dialogowym. Zalecamy, aby poinformować użytkowników aplikacji, że ich aplikacja ma zostać zakazana.

• FP: Jeśli po zbadaniu, możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj ostatnio utworzone aplikacje i ich adresy URL odpowiedzi.

2. Przejrzyj wszystkie działania wykonywane przez aplikację. 

3. Przejrzyj zakresy przyznane przez aplikację. 

Utworzona niedawno aplikacja ma niski współczynnik zgody

Ważność: Niska

To wykrywanie identyfikuje ostatnio utworzoną aplikację OAuth i znaleziono niską liczbę zgody. Może to wskazywać na złośliwą lub ryzykowną aplikację, która zwabić użytkowników w nielegalnych udzielaniu zgody.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth jest dostarczana z nieznanego źródła, oznacza to, że zostanie wyświetlony wynik prawdziwie dodatni.

  Zalecana akcja: Przejrzyj nazwę wyświetlaną, adresy URL odpowiedzi i domeny aplikacji. Na podstawie badania możesz zablokować dostęp do tej aplikacji. Przejrzyj poziom uprawnień żądanych przez tę aplikację i użytkowników, którym udzielono dostępu.

• FP: Jeśli po zbadaniu, możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Jeśli podejrzewasz, że aplikacja jest podejrzana, zalecamy zbadanie nazwy aplikacji i domeny odpowiedzi w różnych sklepach z aplikacjami. Podczas sprawdzania sklepów z aplikacjami skoncentruj się na następujących typach aplikacji:
   • Aplikacje, które zostały niedawno utworzone
   • Aplikacja o nietypowej nazwie wyświetlanej
   • Aplikacje z podejrzaną domeną odpowiedzi
3. Jeśli nadal podejrzewasz, że aplikacja jest podejrzana, możesz zbadać nazwę wyświetlaną aplikacji i domenę odpowiedzi.

Aplikacja o złej reputacji adresów URL

Ważność: średni rozmiar

To wykrywanie identyfikuje aplikację OAuth, która miała złą reputację adresu URL.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth jest dostarczana z nieznanego źródła i przekierowuje do podejrzanego adresu URL, oznacza to, że zostanie wyświetlony wynik prawdziwie dodatni.

  Zalecana akcja: Przejrzyj adresy URL odpowiedzi, domeny i zakresy żądane przez aplikację. Na podstawie badania możesz zablokować dostęp do tej aplikacji. Przejrzyj poziom uprawnień żądanych przez tę aplikację i użytkowników, którym udzielono dostępu.

• FP: Jeśli po zbadaniu, możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Jeśli podejrzewasz, że aplikacja jest podejrzana, zalecamy zbadanie nazwy aplikacji i domeny odpowiedzi w różnych sklepach z aplikacjami. Podczas sprawdzania sklepów z aplikacjami skoncentruj się na następujących typach aplikacji:
   • Aplikacje, które zostały niedawno utworzone
   • Aplikacja o nietypowej nazwie wyświetlanej
   • Aplikacje z podejrzaną domeną odpowiedzi
3. Jeśli nadal podejrzewasz, że aplikacja jest podejrzana, możesz zbadać nazwę wyświetlaną aplikacji i domenę odpowiedzi.

Zakodowana nazwa aplikacji z podejrzanymi zakresami zgody

Ważność: średni rozmiar

Opis: Ta funkcja wykrywania identyfikuje aplikacje OAuth z znakami, takimi jak Unicode lub zakodowane znaki, żądane dla podejrzanych zakresów zgody i które uzyskiwały dostęp do folderów poczty użytkowników za pośrednictwem interfejsu API programu Graph. Ten alert może wskazywać na próbę zakamuflowania złośliwej aplikacji jako znanej i zaufanej aplikacji, aby przeciwnicy mogli wprowadzać użytkowników w błąd w celu wyrażenia zgody na złośliwą aplikację.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth zakodowana nazwa wyświetlana z podejrzanymi zakresami dostarczonymi z nieznanego źródła, oznacza to, że zostanie wyświetlony wynik prawdziwie dodatni.

  Zalecana akcja: Przejrzyj poziom uprawnień żądanych przez tę aplikację i użytkowników, którym udzielono dostępu. Na podstawie badania możesz zablokować dostęp do tej aplikacji.

  Aby zablokować dostęp do aplikacji, przejdź do odpowiedniej karty aplikacji na stronie nadzoru aplikacji. W wierszu, w którym zostanie wyświetlona aplikacja, której chcesz zablokować, wybierz ikonę zakazu. Możesz wybrać, czy chcesz poinformować użytkowników, że zainstalowana i autoryzowana aplikacja została zakazana. Powiadomienie informuje użytkowników, że aplikacja zostanie wyłączona i nie będzie mieć dostępu do połączonej aplikacji. Jeśli nie chcesz ich znać, usuń zaznaczenie pola wyboru Powiadom użytkowników, którzy przyznali dostęp do tej zakazanej aplikacji w oknie dialogowym. Zalecamy, aby poinformować użytkowników aplikacji, że ich aplikacja ma zostać zakazana.

• FP: Jeśli chcesz potwierdzić, że aplikacja ma zakodowaną nazwę, ale ma legalne użycie biznesowe w organizacji.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

Postępuj zgodnie z samouczkiem dotyczącym sposobu badania ryzykownych aplikacji OAuth.

Aplikacja OAuth z zakresami odczytu ma podejrzany adres URL odpowiedzi

Ważność: średni rozmiar

Opis: Ta funkcja wykrywania identyfikuje aplikację OAuth z tylko zakresami odczytu, takimi jak User.Read, Osoby. Read, Contacts.Read, Mail.Read, Contacts.Read. Udostępnione przekierowania do podejrzanego adresu URL odpowiedzi za pośrednictwem interfejsu API programu Graph. To działanie próbuje wskazać, że złośliwa aplikacja z uprawnieniami mniejszymi uprawnieniami (takimi jak Zakresy odczytu) może zostać wykorzystana do przeprowadzenia rekonesansu konta użytkowników.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth z zakresem odczytu jest dostarczana z nieznanego źródła i przekierowuje do podejrzanego adresu URL, oznacza to, że zostanie wyświetlony wynik prawdziwie dodatni.

  Zalecana akcja: Przejrzyj adres URL odpowiedzi i zakresy żądane przez aplikację. Na podstawie badania możesz zablokować dostęp do tej aplikacji. Przejrzyj poziom uprawnień żądanych przez tę aplikację i użytkowników, którym udzielono dostępu.

  Aby zablokować dostęp do aplikacji, przejdź do odpowiedniej karty aplikacji na stronie nadzoru aplikacji. W wierszu, w którym zostanie wyświetlona aplikacja, której chcesz zablokować, wybierz ikonę zakazu. Możesz wybrać, czy chcesz poinformować użytkowników, że zainstalowana i autoryzowana aplikacja została zakazana. Powiadomienie informuje użytkowników, że aplikacja zostanie wyłączona i nie będzie mieć dostępu do połączonej aplikacji. Jeśli nie chcesz ich znać, usuń zaznaczenie pola wyboru Powiadom użytkowników, którzy przyznali dostęp do tej zakazanej aplikacji w oknie dialogowym. Zalecamy, aby poinformować użytkowników aplikacji, że ich aplikacja ma zostać zakazana.

• B-TP: Jeśli po zbadaniu, możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Jeśli podejrzewasz, że aplikacja jest podejrzana, zalecamy zbadanie nazwy aplikacji i adresu URL odpowiedzi w różnych sklepach z aplikacjami. Podczas sprawdzania sklepów z aplikacjami skoncentruj się na następujących typach aplikacji:
   • Aplikacje, które zostały ostatnio utworzone.
   • Aplikacje z podejrzanym adresem URL odpowiedzi
   • Aplikacje, które nie zostały ostatnio zaktualizowane. Brak aktualizacji może wskazywać, że aplikacja nie jest już obsługiwana.
3. Jeśli nadal podejrzewasz, że aplikacja jest podejrzana, możesz zbadać nazwę aplikacji, nazwę wydawcy i adres URL odpowiedzi w trybie online

Aplikacja z nietypową nazwą wyświetlaną i nietypową domeną TLD w domenie odpowiedzi

Ważność: średni rozmiar

To wykrywanie identyfikuje aplikację o nietypowej nazwie wyświetlanej i przekierowuje do podejrzanej domeny odpowiedzi z nietypową domeną najwyższego poziomu (TLD) za pośrednictwem interfejsu API programu Graph. Może to wskazywać na próbę zakamuflowania złośliwej lub ryzykownej aplikacji jako znanej i zaufanej aplikacji, aby przeciwnicy mogli wprowadzać użytkowników w błąd, wyrażając zgodę na złośliwą lub ryzykowną aplikację. 

TP lub FP?

• TP: Jeśli możesz potwierdzić, że aplikacja z nietypową nazwą wyświetlaną dostarczoną z nieznanego źródła i przekierowuje do podejrzanej domeny o nietypowej domenie najwyższego poziomu

  Zalecana akcja: Przejrzyj nazwę wyświetlaną i domenę odpowiedzi aplikacji. Na podstawie badania możesz zablokować dostęp do tej aplikacji. Przejrzyj poziom uprawnień żądanych przez tę aplikację i użytkowników, którym udzielono dostępu.

• FP: Jeśli po zbadaniu, możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

Przejrzyj wszystkie działania wykonywane przez aplikację. Jeśli podejrzewasz, że aplikacja jest podejrzana, zalecamy zbadanie nazwy aplikacji i domeny odpowiedzi w różnych sklepach z aplikacjami. Podczas sprawdzania sklepów z aplikacjami skoncentruj się na następujących typach aplikacji:

• Aplikacje, które zostały niedawno utworzone
• Aplikacja o nietypowej nazwie wyświetlanej
• Aplikacje z podejrzaną domeną odpowiedzi

Jeśli nadal podejrzewasz, że aplikacja jest podejrzana, możesz zbadać nazwę wyświetlaną aplikacji i domenę odpowiedzi.

Nowa aplikacja z uprawnieniami poczty z niskim wzorcem zgody

Ważność: średni rozmiar

To wykrywanie identyfikuje ostatnio utworzone aplikacje OAuth w stosunkowo nowych dzierżawach wydawcy o następujących cechach:

• Uprawnienia dostępu do lub zmiany ustawień skrzynki pocztowej
• Stosunkowo niski współczynnik zgody, który może identyfikować niepożądane lub nawet złośliwe aplikacje, które próbują uzyskać zgodę od niczego nie podejrzewających użytkowników

TP lub FP?

• TP: Jeśli możesz potwierdzić, że żądanie zgody do aplikacji zostało dostarczone z nieznanego lub zewnętrznego źródła, a aplikacja nie ma uzasadnionego użytku biznesowego w organizacji, oznacza to, że jest to prawdziwie pozytywne.

  Zalecana akcja:

  • Skontaktuj się z użytkownikami i administratorami, którzy wyrazili zgodę na tę aplikację, aby potwierdzić, że jest to zamierzone, a nadmierne uprawnienia są normalne.
  • Zbadaj aktywność aplikacji i sprawdź, czy konta, których dotyczy problem, pod kątem podejrzanych działań.
  • Na podstawie badania wyłącz aplikację i wstrzymaj i zresetuj hasła dla wszystkich kont, których dotyczy problem.
  • Sklasyfikowanie alertu jako prawdziwie dodatniego.

• FP: Jeśli po zbadaniu, możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: klasyfikuj alert jako fałszywie dodatni i rozważ udostępnienie opinii na podstawie badania alertu.

Omówienie zakresu naruszenia

Przeglądanie zgody udziela aplikacji przez użytkowników i administratorów. Zbadaj wszystkie działania wykonywane przez aplikację, szczególnie dostęp do skrzynki pocztowej skojarzonych użytkowników i kont administratorów. Jeśli podejrzewasz, że aplikacja jest podejrzana, rozważ wyłączenie aplikacji i rotację poświadczeń wszystkich kont, których dotyczy problem.

Nowa aplikacja z niskim współczynnikiem zgody na dostęp do wielu wiadomości e-mail

Ważność: średni rozmiar

Ten alert identyfikuje aplikacje OAuth zarejestrowane ostatnio w stosunkowo nowej dzierżawie wydawcy z uprawnieniami do zmiany ustawień skrzynki pocztowej i dostępu do wiadomości e-mail. Sprawdza również, czy aplikacja ma stosunkowo niski globalny współczynnik zgody i wykonuje wiele wywołań interfejsu API programu Microsoft Graph w celu uzyskania dostępu do wiadomości e-mail z prośbą o zgodę użytkowników. Aplikacje wyzwalające ten alert mogą być niepożądane lub złośliwe aplikacje próbujące uzyskać zgodę niczego nie podejrzewających użytkowników.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że żądanie zgody do aplikacji zostało dostarczone z nieznanego lub zewnętrznego źródła, a aplikacja nie ma uzasadnionego użytku biznesowego w organizacji, oznacza to, że jest to prawdziwie pozytywne.

  Zalecana akcja:

  • Skontaktuj się z użytkownikami i administratorami, którzy wyrazili zgodę na tę aplikację, aby potwierdzić, że jest to zamierzone, a nadmierne uprawnienia są normalne.
  • Zbadaj aktywność aplikacji i sprawdź, czy konta, których dotyczy problem, pod kątem podejrzanych działań.
  • Na podstawie badania wyłącz aplikację i wstrzymaj i zresetuj hasła dla wszystkich kont, których dotyczy problem.
  • Sklasyfikowanie alertu jako prawdziwie dodatniego.

• FP: Jeśli po zbadaniu, możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji, oznacza to, że zostanie wskazany wynik fałszywie dodatni.

  Zalecana akcja: klasyfikuj alert jako fałszywie dodatni i rozważ udostępnienie opinii na podstawie badania alertu.

Omówienie zakresu naruszenia

Przeglądanie zgody udziela aplikacji przez użytkowników i administratorów. Zbadaj wszystkie działania wykonywane przez aplikację, szczególnie dostęp do skrzynek pocztowych skojarzonych użytkowników i kont administratorów. Jeśli podejrzewasz, że aplikacja jest podejrzana, rozważ wyłączenie aplikacji i rotację poświadczeń wszystkich kont, których dotyczy problem.

Podejrzana aplikacja z uprawnieniami poczty wysyłającymi wiele wiadomości e-mail

Ważność: średni rozmiar

Ten alert znajduje wielodostępne aplikacje OAuth, które wykonały wiele wywołań interfejsu API programu Microsoft Graph w celu wysyłania wiadomości e-mail w krótkim czasie. Sprawdza również, czy wywołania interfejsu API spowodowały błędy i nie powiodły się próby wysłania wiadomości e-mail. Aplikacje, które wyzwalają ten alert, mogą aktywnie wysyłać spam lub złośliwe wiadomości e-mail do innych obiektów docelowych.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że żądanie zgody do aplikacji zostało dostarczone z nieznanego lub zewnętrznego źródła, a aplikacja nie ma uzasadnionego użytku biznesowego w organizacji, oznacza to, że jest to prawdziwie pozytywne.

  Zalecana akcja:

  • Skontaktuj się z użytkownikami i administratorami, którzy wyrazili zgodę na tę aplikację, aby potwierdzić, że jest to zamierzone, a nadmierne uprawnienia są normalne.
  • Zbadaj aktywność aplikacji i sprawdź, czy konta, których dotyczy problem, pod kątem podejrzanych działań.
  • Na podstawie badania wyłącz aplikację i wstrzymaj i zresetuj hasła dla wszystkich kont, których dotyczy problem.
  • Sklasyfikowanie alertu jako prawdziwie dodatniego.

• FP: Jeśli po zbadaniu, możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji, oznacza to, że zostanie wskazany wynik fałszywie dodatni.

  Zalecana akcja: klasyfikuj alert jako fałszywie dodatni i rozważ udostępnienie opinii na podstawie badania alertu.

Omówienie zakresu naruszenia

Przeglądanie zgody udziela aplikacji przez użytkowników i administratorów. Zbadaj wszystkie działania wykonywane przez aplikację, szczególnie dostęp do skrzynki pocztowej skojarzonych użytkowników i kont administratorów. Jeśli podejrzewasz, że aplikacja jest podejrzana, rozważ wyłączenie aplikacji i rotację poświadczeń wszystkich kont, których dotyczy problem.

Podejrzana aplikacja OAuth używana do wysyłania wielu wiadomości e-mail

Ważność: średni rozmiar

Ten alert wskazuje aplikację OAuth, która wykonała wiele wywołań interfejsu API programu Microsoft Graph w celu wysyłania wiadomości e-mail w krótkim czasie. Dzierżawa wydawcy aplikacji jest znana z duplikowania dużej liczby aplikacji OAuth, które tworzą podobne wywołania interfejsu API programu Microsoft Graph. Osoba atakująca może aktywnie używać tej aplikacji do wysyłania spamu lub złośliwych wiadomości e-mail do ich celów.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że żądanie zgody do aplikacji zostało dostarczone z nieznanego lub zewnętrznego źródła, a aplikacja nie ma uzasadnionego użytku biznesowego w organizacji, oznacza to, że jest to prawdziwie pozytywne.

  Zalecana akcja:

  • Skontaktuj się z użytkownikami i administratorami, którzy wyrazili zgodę na tę aplikację, aby potwierdzić, że jest to zamierzone, a nadmierne uprawnienia są normalne.
  • Zbadaj aktywność aplikacji i sprawdź, czy konta, których dotyczy problem, pod kątem podejrzanych działań.
  • Na podstawie badania wyłącz aplikację i wstrzymaj i zresetuj hasła dla wszystkich kont, których dotyczy problem.
  • Sklasyfikowanie alertu jako prawdziwie dodatniego.

• FP: Jeśli po zbadaniu, możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji, oznacza to, że zostanie wskazany wynik fałszywie dodatni.

  Zalecana akcja: klasyfikuj alert jako fałszywie dodatni i rozważ udostępnienie opinii na podstawie badania alertu.

Omówienie zakresu naruszenia

Przeglądanie zgody udziela aplikacji przez użytkowników i administratorów. Zbadaj wszystkie działania wykonywane przez aplikację, szczególnie dostęp do skrzynki pocztowej skojarzonych użytkowników i kont administratorów. Jeśli podejrzewasz, że aplikacja jest podejrzana, rozważ wyłączenie aplikacji i rotację poświadczeń wszystkich kont, których dotyczy problem.

Alerty dotyczące trwałości

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować utrzymać przyczółek w organizacji.

Aplikacja wykonała nietypowe wywołania programu Graph do obciążenia programu Exchange po aktualizacji certyfikatu lub dodaniu nowych poświadczeń

Ważność: średni rozmiar

IDENTYFIKATOR MITRE: T1098.001, T1114

To wykrywanie wyzwala alert, gdy aplikacja loB (Line of Business) zaktualizowała certyfikaty/wpisy tajne lub dodała nowe poświadczenia, a w ciągu kilku dni opublikuje aktualizację certyfikatu lub dodanie nowych poświadczeń, zaobserwowano nietypowe działania lub duże użycie do obciążenia programu Exchange za pośrednictwem interfejsu API programu Graph przy użyciu algorytmu uczenia maszynowego.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że nietypowe działania/duże użycie w obciążeniu programu Exchange zostały wykonane przez aplikację LOB za pośrednictwem interfejsu API programu Graph

  Zalecane działanie: tymczasowo wyłącz aplikację i zresetuj hasło, a następnie ponownie włącz aplikację.

• FP: Jeśli możesz potwierdzić, że żadne nietypowe działania nie zostały wykonane przez aplikację LOB lub aplikację, ma wykonywać niezwykle dużą liczbę wywołań grafu.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez tę aplikację.
2. Przejrzyj zakresy przyznane przez aplikację.
3. Przejrzyj aktywność użytkownika skojarzona z tą aplikacją.

Aplikacja z podejrzanym zakresem OAuth została oznaczona wysokim ryzykiem przez model Edukacja maszyny, wykonała wywołania grafu w celu odczytu wiadomości e-mail i utworzona reguła skrzynki odbiorczej

Ważność: średni rozmiar

IDENTYFIKATOR MITRE: T1137.005, T1114

To wykrywanie identyfikuje aplikację OAuth, która została oflagowana przez model machine Edukacja, który wyraził zgodę na podejrzane zakresy, tworzy podejrzaną regułę skrzynki odbiorczej, a następnie uzyskuje dostęp do folderów poczty i wiadomości użytkowników za pośrednictwem interfejsu API programu Graph. Reguły skrzynki odbiorczej, takie jak przekazywanie wszystkich lub określonych wiadomości e-mail do innego konta e-mail, oraz wywołania programu Graph w celu uzyskania dostępu do wiadomości e-mail i wysyłania do innego konta e-mail, mogą być próbą eksfiltracji informacji z organizacji.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że reguła skrzynki odbiorczej została utworzona przez aplikację innej firmy OAuth z podejrzanymi zakresami dostarczonymi z nieznanego źródła, wykryto wynik prawdziwie dodatni.

  Zalecana akcja: Wyłącz i usuń aplikację, zresetuj hasło i usuń regułę skrzynki odbiorczej.

Postępuj zgodnie z samouczkiem dotyczącym resetowania hasła przy użyciu identyfikatora Entra firmy Microsoft i postępuj zgodnie z samouczkiem dotyczącym sposobu usuwania reguły skrzynki odbiorczej.

• FP: Jeśli możesz potwierdzić, że aplikacja utworzyła regułę skrzynki odbiorczej do nowego lub osobistego zewnętrznego konta e-mail z uzasadnionych powodów.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane przez aplikację.
3. Przejrzyj akcję i warunek reguły skrzynki odbiorczej utworzony przez aplikację.

Aplikacja z podejrzanym zakresem OAuth wykonane wywołania grafu w celu odczytu wiadomości e-mail i utworzonej reguły skrzynki odbiorczej

Ważność: średni rozmiar

IDENTYFIKATOR MITRE: T1137.005, T1114

To wykrywanie identyfikuje aplikację OAuth, która wyraziła zgodę na podejrzane zakresy, tworzy podejrzaną regułę skrzynki odbiorczej, a następnie uzyskuje dostęp do folderów poczty i wiadomości użytkowników za pośrednictwem interfejsu API programu Graph. Reguły skrzynki odbiorczej, takie jak przekazywanie wszystkich lub określonych wiadomości e-mail do innego konta e-mail, oraz wywołania programu Graph w celu uzyskania dostępu do wiadomości e-mail i wysyłania do innego konta e-mail, mogą być próbą eksfiltracji informacji z organizacji.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że reguła skrzynki odbiorczej została utworzona przez aplikację innej firmy OAuth z podejrzanymi zakresami dostarczonymi z nieznanego źródła, zostanie wskazana wartość prawdziwie dodatnia.

  Zalecana akcja: Wyłącz i usuń aplikację, zresetuj hasło i usuń regułę skrzynki odbiorczej.

  Postępuj zgodnie z samouczkiem dotyczącym resetowania hasła przy użyciu identyfikatora Entra firmy Microsoft i postępuj zgodnie z samouczkiem dotyczącym sposobu usuwania reguły skrzynki odbiorczej.

• FP: Jeśli możesz potwierdzić, że aplikacja utworzyła regułę skrzynki odbiorczej do nowego lub osobistego zewnętrznego konta e-mail z uzasadnionych powodów.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane przez aplikację.
3. Przejrzyj akcję i warunek reguły skrzynki odbiorczej utworzony przez aplikację.

Dostęp do aplikacji z nietypowej lokalizacji po aktualizacji certyfikatu

Ważność: Niska

IDENTYFIKATOR MITRE: T1098

To wykrywanie wyzwala alert, gdy aplikacja LoB (Line of Business) została zaktualizowana certyfikat/wpis tajny i w ciągu kilku dni po aktualizacji certyfikatu aplikacja jest uzyskiwana z nietypowej lokalizacji, która nie była ostatnio widoczna lub nigdy nie była dostępna w przeszłości.

TP lub FP?

• TP: jeśli możesz potwierdzić, że aplikacja LOB uzyskiwała dostęp z nietypowej lokalizacji i wykonywała nietypowe działania za pośrednictwem interfejsu API programu Graph.

  Zalecane działanie: tymczasowo wyłącz aplikację i zresetuj hasło, a następnie ponownie włącz aplikację.

• FP: Jeśli możesz potwierdzić, że aplikacja LOB uzyskuje dostęp z nietypowej lokalizacji w uzasadnionym celu i nie wykonuje żadnych nietypowych działań.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez tę aplikację.
2. Przejrzyj zakresy przyznane przez aplikację.
3. Przejrzyj aktywność użytkownika skojarzona z tą aplikacją.

Dostęp do aplikacji z nietypowej lokalizacji sprawił, że nietypowe wywołania programu Graph po aktualizacji certyfikatu

Ważność: średni rozmiar

IDENTYFIKATOR MITRE: T1098

To wykrywanie wyzwala alert, gdy aplikacja LoB (Line of Business) zaktualizowała certyfikat/ wpis tajny i w ciągu kilku dni po aktualizacji certyfikatu aplikacja jest uzyskiwana z nietypowej lokalizacji, która nie była ostatnio widoczna lub nigdy nie była dostępna w przeszłości i zaobserwowano nietypowe działania lub użycie za pośrednictwem interfejsu API programu Graph przy użyciu algorytmu uczenia maszynowego.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że nietypowe działania/użycie zostały wykonane przez aplikację LOB za pośrednictwem interfejsu API programu Graph z nietypowej lokalizacji.

  Zalecane działanie: tymczasowo wyłącz aplikację i zresetuj hasło, a następnie ponownie włącz aplikację.

• FP: Jeśli możesz potwierdzić, że aplikacja LOB uzyskuje dostęp z nietypowej lokalizacji w uzasadnionym celu i nie wykonuje żadnych nietypowych działań.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez tę aplikację.
2. Przejrzyj zakresy przyznane przez aplikację.
3. Przejrzyj aktywność użytkownika skojarzona z tą aplikacją.

Utworzona niedawno aplikacja ma dużą liczbę odwołanych zgody

Ważność: średni rozmiar

IDENTYFIKATOR MITRE: T1566, T1098

Kilku użytkowników odwołało swoją zgodę na tę niedawno utworzoną aplikację biznesową (LOB) lub aplikację innej firmy. Ta aplikacja mogła zwabić użytkowników, aby wyrazili zgodę przypadkowo.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth jest dostarczana z nieznanego źródła, a zachowanie aplikacji jest podejrzane. 

  Zalecana akcja: odwoływanie zgody udzielonych aplikacji i wyłączanie aplikacji. 

• FP: Jeśli po zbadaniu, możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji i nie zostały wykonane przez aplikację żadne nietypowe działania.

  Zalecana akcja: Odrzucanie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Jeśli podejrzewasz, że aplikacja jest podejrzana, zalecamy zbadanie nazwy i domeny odpowiedzi aplikacji w różnych sklepach z aplikacjami. Podczas sprawdzania sklepów z aplikacjami skoncentruj się na następujących typach aplikacji:
   • Aplikacje, które zostały niedawno utworzone
   • Aplikacje z nietypową nazwą wyświetlaną
   • Aplikacje z podejrzaną domeną odpowiedzi
3. Jeśli nadal podejrzewasz, że aplikacja jest podejrzana, możesz zbadać nazwę wyświetlaną aplikacji i domenę odpowiedzi.

Metadane aplikacji skojarzone ze znaną kampanią wyłudzania informacji

Ważność: średni rozmiar

To wykrywanie generuje alerty dla aplikacji innych niż Microsoft OAuth z metadanymi, takimi jak nazwa, adres URL lub wydawca, które wcześniej zaobserwowano w aplikacjach skojarzonych z kampanią wyłudzania informacji. Te aplikacje mogą być częścią tej samej kampanii i mogą być zaangażowane w eksfiltrację poufnych informacji.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth jest dostarczana z nieznanego źródła i wykonuje nietypowe działania.

  Zalecana akcja:

  • Sprawdź szczegóły rejestracji aplikacji dotyczące ładu aplikacji i odwiedź witrynę Microsoft Entra ID, aby uzyskać więcej informacji.
  • Skontaktuj się z użytkownikami lub administratorami, którzy wyrazili zgodę lub uprawnienia do aplikacji. Sprawdź, czy zmiany były zamierzone.
  • Przeszukaj tabelę Zaawansowane wyszukiwanie zagrożeń w usłudze CloudAppEvents , aby zrozumieć aktywność aplikacji i określić, czy zaobserwowane zachowanie jest oczekiwane.
  • Sprawdź, czy aplikacja ma kluczowe znaczenie dla twojej organizacji przed rozważeniem jakichkolwiek akcji zawierających. Dezaktywuj aplikację przy użyciu ładu aplikacji lub identyfikatora Entra firmy Microsoft, aby uniemożliwić mu dostęp do zasobów. Istniejące zasady ładu aplikacji mogły już dezaktywować aplikację.

• FP: Jeśli możesz potwierdzić, że żadne nietypowe działania nie zostały wykonane przez aplikację i że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: Odrzucanie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane aplikacji.
3. Przejrzyj aktywność użytkownika skojarzona z aplikacją.

Metadane aplikacji skojarzone z wcześniej oflagowanymi podejrzanymi aplikacjami

Ważność: średni rozmiar

To wykrywanie generuje alerty dla aplikacji innych niż Microsoft OAuth z metadanymi, takimi jak nazwa, adres URL lub wydawca, które wcześniej zaobserwowano w aplikacjach oflagowanych przez nadzór nad aplikacjami z powodu podejrzanych działań. Ta aplikacja może być częścią kampanii ataku i może być zaangażowana w eksfiltrację poufnych informacji.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth jest dostarczana z nieznanego źródła i wykonuje nietypowe działania.

  Zalecana akcja:

  • Sprawdź szczegóły rejestracji aplikacji dotyczące ładu aplikacji i odwiedź witrynę Microsoft Entra ID, aby uzyskać więcej informacji.
  • Skontaktuj się z użytkownikami lub administratorami, którzy wyrazili zgodę lub uprawnienia do aplikacji. Sprawdź, czy zmiany były zamierzone.
  • Przeszukaj tabelę Zaawansowane wyszukiwanie zagrożeń w usłudze CloudAppEvents , aby zrozumieć aktywność aplikacji i określić, czy zaobserwowane zachowanie jest oczekiwane.
  • Sprawdź, czy aplikacja ma kluczowe znaczenie dla twojej organizacji przed rozważeniem jakichkolwiek akcji zawierających. Dezaktywuj aplikację przy użyciu ładu aplikacji lub identyfikatora Entra firmy Microsoft, aby uniemożliwić mu dostęp do zasobów. Istniejące zasady ładu aplikacji mogły już dezaktywować aplikację.

• FP: Jeśli możesz potwierdzić, że żadne nietypowe działania nie zostały wykonane przez aplikację i że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: Odrzucanie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane aplikacji.
3. Przejrzyj aktywność użytkownika skojarzona z aplikacją.

Podejrzane działanie poczty e-mail aplikacji OAuth za pośrednictwem interfejsu API programu Graph

Ważność: Wysoka

To wykrywanie generuje alerty dla wielodostępnych aplikacji OAuth zarejestrowanych przez użytkowników z logowaniem o wysokim ryzyku, które wysyłały wywołania do interfejsu API programu Microsoft Graph w celu wykonywania podejrzanych działań poczty e-mail w krótkim czasie.

To wykrywanie sprawdza, czy wywołania interfejsu API zostały wykonane na potrzeby tworzenia reguł skrzynki pocztowej, tworzenia wiadomości e-mail z odpowiedzią, przekazywania wiadomości e-mail, odpowiadania lub wysyłania nowych wiadomości e-mail. Aplikacje, które wyzwalają ten alert, mogą aktywnie wysyłać spam lub złośliwe wiadomości e-mail do innych obiektów docelowych lub eksfiltrować poufne dane i czyszcząc ścieżki w celu uniknięcia wykrycia.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że tworzenie aplikacji i żądanie zgody do aplikacji zostało dostarczone z nieznanego lub zewnętrznego źródła, a aplikacja nie ma uzasadnionego użytku biznesowego w organizacji, oznacza to, że zostanie wskazany wynik prawdziwie dodatni.

  Zalecana akcja:

  • Skontaktuj się z użytkownikami i administratorami, którzy wyrazili zgodę na tę aplikację, aby potwierdzić, że jest to zamierzone, a nadmierne uprawnienia są normalne.

  • Zbadaj aktywność aplikacji i sprawdź, czy konta, których dotyczy problem, pod kątem podejrzanych działań.

  • Na podstawie badania wyłącz aplikację i wstrzymaj i zresetuj hasła dla wszystkich kont, których dotyczy problem, i usuń regułę skrzynki odbiorczej.

  • Sklasyfikowanie alertu jako prawdziwie dodatniego.

• FP: Jeśli po zbadaniu możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji, oznacza to, że zostanie wskazany wynik fałszywie dodatni.

  Zalecana akcja:

  • Sklasyfikowanie alertu jako fałszywie dodatniego i rozważ udostępnienie opinii na podstawie badania alertu.

  • Omówienie zakresu naruszenia:

    Przeglądanie zgody udziela aplikacji przez użytkowników i administratorów. Zbadaj wszystkie działania wykonywane przez aplikację, szczególnie dostęp do skrzynki pocztowej skojarzonych użytkowników i kont administratorów. Jeśli podejrzewasz, że aplikacja jest podejrzana, rozważ wyłączenie aplikacji i rotację poświadczeń wszystkich kont, których dotyczy problem.

Podejrzane działanie poczty e-mail aplikacji OAuth za pośrednictwem interfejsu API EWS

Ważność: Wysoka

To wykrywanie generuje alerty dla wielodostępnych aplikacji OAuth zarejestrowanych przez użytkowników z wysokim ryzykiem logowania, które wykonały wywołania interfejsu API usług Microsoft Exchange Web Services (EWS) w celu wykonywania podejrzanych działań poczty e-mail w krótkim czasie.

To wykrywanie sprawdza, czy wywołania interfejsu API zostały wykonane w celu zaktualizowania reguł skrzynki odbiorczej, przenoszenia elementów, usuwania wiadomości e-mail, usuwania folderu lub usuwania załącznika. Aplikacje, które wyzwalają ten alert, mogą aktywnie eksfiltrować lub usuwać poufne dane i czyszcząc ścieżki w celu uniknięcia wykrywania.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że tworzenie aplikacji i żądanie zgody do aplikacji zostało dostarczone z nieznanego lub zewnętrznego źródła, a aplikacja nie ma uzasadnionego użytku biznesowego w organizacji, oznacza to, że zostanie wskazany wynik prawdziwie dodatni.

  Zalecana akcja:

  • Skontaktuj się z użytkownikami i administratorami, którzy wyrazili zgodę na tę aplikację, aby potwierdzić, że jest to zamierzone, a nadmierne uprawnienia są normalne.

  • Zbadaj aktywność aplikacji i sprawdź, czy konta, których dotyczy problem, pod kątem podejrzanych działań.

  • Na podstawie badania wyłącz aplikację i wstrzymaj i zresetuj hasła dla wszystkich kont, których dotyczy problem, i usuń regułę skrzynki odbiorczej.

  • Sklasyfikowanie alertu jako prawdziwie dodatniego.

• FP: Jeśli po zbadaniu, możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji, oznacza to, że zostanie wskazany wynik fałszywie dodatni.

  Zalecana akcja:

  • Sklasyfikowanie alertu jako fałszywie dodatniego i rozważ udostępnienie opinii na podstawie badania alertu.

  • Omówienie zakresu naruszenia:

    Przeglądanie zgody udziela aplikacji przez użytkowników i administratorów. Zbadaj wszystkie działania wykonywane przez aplikację, szczególnie dostęp do skrzynki pocztowej skojarzonych użytkowników i kont administratorów. Jeśli podejrzewasz, że aplikacja jest podejrzana, rozważ wyłączenie aplikacji i rotację poświadczeń wszystkich kont, których dotyczy problem.

Alerty eskalacji uprawnień

Aplikacja OAuth z podejrzanymi metadanymi ma uprawnienie do programu Exchange

Ważność: średni rozmiar

IDENTYFIKATOR MITRE: T1078

Ten alert jest wyzwalany, gdy aplikacja biznesowa z podejrzanymi metadanymi ma uprawnienia do zarządzania uprawnieniami za pośrednictwem programu Exchange.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth jest dostarczana z nieznanego źródła i ma podejrzane właściwości metadanych, oznacza to, że jest wskazywany wynik prawdziwie dodatni.

Zalecana akcja: odwoływanie zgody udzielonych aplikacji i wyłączanie aplikacji.

FP: Jeśli po zbadaniu, możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

Zalecana akcja: Odrzucanie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane przez aplikację.
3. Przejrzyj aktywność użytkownika skojarzona z aplikacją.

Alerty o uchylaniu się od obrony

Aplikacja personifikując logo firmy Microsoft

Ważność: średni rozmiar

Aplikacja w chmurze firmy innej niż Microsoft używa logo, które zostało znalezione przez algorytm uczenia maszynowego, aby był podobny do logo firmy Microsoft. Może to być próba personifikacji produktów firmy Microsoft i wydaje się legalna.

Uwaga

Administratorzy dzierżawy będą musieli wyrazić zgodę za pośrednictwem wyskakujących okienek, aby wymagane dane zostały wysłane poza bieżącą granicą zgodności i wybrać zespoły partnerskie w firmie Microsoft, aby umożliwić wykrywanie zagrożeń dla aplikacji biznesowych.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że logo aplikacji jest imitacją logo firmy Microsoft, a zachowanie aplikacji jest podejrzane. 

  Zalecana akcja: odwoływanie zgody udzielonych aplikacji i wyłączanie aplikacji.

• FP: Jeśli możesz potwierdzić, że logo aplikacji nie jest imitacją logo firmy Microsoft lub nie zostały wykonane przez aplikację żadne nietypowe działania. 

  Zalecana akcja: Odrzucanie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane aplikacji.
3. Przejrzyj aktywność użytkownika skojarzona z aplikacją.

Aplikacja jest skojarzona z domeną typosquatted

Ważność: średni rozmiar

To wykrywanie generuje alerty dla aplikacji innych niż Microsoft OAuth z domenami wydawcy lub adresami URL przekierowania, które zawierają literówki nazw marek firmy Microsoft. Typosquatting jest zwykle używany do przechwytywania ruchu do witryn za każdym razem, gdy użytkownicy przypadkowo błędnie wpiszą adresy URL, ale mogą być również używane do personifikacji popularnych produktów i usług oprogramowania.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że domena wydawcy lub adres URL przekierowania aplikacji jest typosquatted i nie odnosi się do prawdziwej tożsamości aplikacji.

  Zalecana akcja:

  • Sprawdź szczegóły rejestracji aplikacji dotyczące ładu aplikacji i odwiedź witrynę Microsoft Entra ID, aby uzyskać więcej informacji.
  • Sprawdź aplikację pod kątem innych oznak fałszowania lub personifikacji oraz wszelkich podejrzanych działań.
  • Sprawdź, czy aplikacja ma kluczowe znaczenie dla twojej organizacji przed rozważeniem jakichkolwiek akcji zawierających. Dezaktywuj aplikację przy użyciu ładu aplikacji, aby uniemożliwić jej dostęp do zasobów. Istniejące zasady ładu aplikacji mogły już dezaktywować aplikację.

• FP: Jeśli możesz potwierdzić, że domena wydawcy i adres URL przekierowania aplikacji są uzasadnione. 

  Zalecana akcja: klasyfikuj alert jako fałszywie dodatni i rozważ udostępnienie opinii na podstawie badania alertu.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane aplikacji.
3. Przejrzyj aktywność użytkownika skojarzona z aplikacją.

Dostęp poświadczeń

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować odczytywać poufne dane poświadczeń i składa się z technik kradzieży poświadczeń, takich jak nazwy kont, wpisy tajne, tokeny, certyfikaty i hasła w organizacji.

Aplikacja inicjująca wiele nieudanych działań odczytu usługi KeyVault bez powodzenia

Ważność: średni rozmiar

IDENTYFIKATOR MITRE: T1078.004

Ta funkcja wykrywania identyfikuje aplikację w dzierżawie, która zaobserwowano wykonywanie wielu wywołań akcji odczytu do usługi KeyVault przy użyciu interfejsu API usługi Azure Resource Manager w krótkim odstępie czasu, z błędami i brakiem pomyślnego wykonania działania odczytu.

TP lub FP?

• TP: Jeśli aplikacja jest nieznana lub nie jest używana, dane działanie jest potencjalnie podejrzane. Po zweryfikowaniu używanego zasobu platformy Azure i zweryfikowaniu użycia aplikacji w dzierżawie dane działanie może wymagać wyłączenia aplikacji. Zwykle jest to dowód podejrzanego działania wyliczenia względem zasobu usługi KeyVault w celu uzyskania dostępu do poświadczeń w celu penetracji ruchu bocznego lub podwyższenia poziomu uprawnień.

  Zalecane akcje: Przejrzyj zasoby platformy Azure, do których uzyskiwano dostęp lub utworzono przez aplikację, oraz wszelkie ostatnie zmiany wprowadzone w aplikacji. Na podstawie badania wybierz, czy chcesz zablokować dostęp do tej aplikacji. Przejrzyj poziom uprawnień żądany przez tę aplikację i użytkowników, którym udzielono dostępu.

• FP: Jeśli po zbadaniu możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj dostęp i działanie aplikacji.
2. Przejrzyj wszystkie działania wykonywane przez aplikację od momentu jej utworzenia.
3. Przejrzyj zakresy przyznane przez aplikację w interfejsie API programu Graph i rolę nadaną jej w ramach subskrypcji.
4. Przejrzyj dowolnego użytkownika, który mógł uzyskać dostęp do aplikacji przed działaniem.

Alerty odnajdywania

Wyliczenie dysku wykonanego przez aplikację

Ważność: średni rozmiar

IDENTYFIKATOR MITRE: T1087

To wykrywanie identyfikuje aplikację OAuth, która została wykryta przez model machine Edukacja wykonujący wyliczenie w plikach usługi OneDrive przy użyciu interfejsu API programu Graph.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że nietypowe działania/użycie w usłudze OneDrive zostały wykonane przez aplikację LOB za pośrednictwem interfejsu API programu Graph.

  Zalecana akcja: Wyłącz i usuń aplikację i zresetuj hasło.

• FP: Jeśli możesz potwierdzić, że żadne nietypowe działania nie zostały wykonane przez aplikację.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez tę aplikację.
2. Przejrzyj zakresy przyznane przez aplikację.
3. Przejrzyj aktywność użytkownika skojarzona z tą aplikacją.

Podejrzane działania wyliczania wykonywane przy użyciu programu Microsoft Graph PowerShell

Ważność: średni rozmiar

IDENTYFIKATOR MITRE: T1087

To wykrywanie identyfikuje dużą liczbę podejrzanych działań wyliczenia wykonywanych w krótkim czasie za pośrednictwem aplikacji Programu PowerShell programu Microsoft Graph.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że podejrzane/nietypowe działania wyliczenia zostały wykonane przez aplikację programu Microsoft Graph PowerShell.

  Zalecana akcja: Wyłącz i usuń aplikację i zresetuj hasło.

• FP: Jeśli możesz potwierdzić, że żadne nietypowe działania nie zostały wykonane przez aplikację.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez tę aplikację.
2. Przejrzyj aktywność użytkownika skojarzona z tą aplikacją.

Ostatnio utworzona aplikacja wielodostępna często wylicza informacje o użytkownikach

Ważność: średni rozmiar

IDENTYFIKATOR MITRE: T1087

Ten alert znajduje aplikacje OAuth zarejestrowane ostatnio w stosunkowo nowej dzierżawie wydawcy z uprawnieniami do zmiany ustawień skrzynki pocztowej i uzyskiwania dostępu do wiadomości e-mail. Sprawdza, czy aplikacja wykonała wiele wywołań interfejsu API programu Microsoft Graph żądających informacji o katalogu użytkowników. Aplikacje, które wyzwalają ten alert, mogą zwabić użytkowników do udzielenia zgody, aby mogli uzyskiwać dostęp do danych organizacji.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że żądanie zgody do aplikacji zostało dostarczone z nieznanego lub zewnętrznego źródła, a aplikacja nie ma uzasadnionego użytku biznesowego w organizacji, oznacza to, że jest to prawdziwie pozytywne.

  Zalecana akcja:

  • Skontaktuj się z użytkownikami i administratorami, którzy wyrazili zgodę na tę aplikację, aby potwierdzić, że jest to zamierzone, a nadmierne uprawnienia są normalne.
  • Zbadaj aktywność aplikacji i sprawdź, czy konta, których dotyczy problem, pod kątem podejrzanych działań.
  • Na podstawie badania wyłącz aplikację i wstrzymaj i zresetuj hasła dla wszystkich kont, których dotyczy problem.
  • Sklasyfikowanie alertu jako prawdziwie dodatniego.

• FP: Jeśli po zbadaniu, możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji, oznacza to, że zostanie wskazany wynik fałszywie dodatni.

  Zalecana akcja: klasyfikuj alert jako fałszywie dodatni i rozważ udostępnienie opinii na podstawie badania alertu.

Omówienie zakresu naruszenia

Przeglądanie zgody udziela aplikacji przez użytkowników i administratorów. Zbadaj wszystkie działania wykonywane przez aplikację, szczególnie wyliczenie informacji o katalogu użytkowników. Jeśli podejrzewasz, że aplikacja jest podejrzana, rozważ wyłączenie aplikacji i rotację poświadczeń wszystkich kont, których dotyczy problem.

Alerty eksfiltracji

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować ukraść interesujące dane w celu organizacji.

Aplikacja OAuth korzystająca z nietypowego agenta użytkownika

Ważność: Niska

IDENTYFIKATOR MITRE: T1567

To wykrywanie identyfikuje aplikację OAuth, która używa nietypowego agenta użytkownika do uzyskiwania dostępu do interfejsu API programu Graph.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth niedawno zaczęła używać nowego agenta użytkownika, który nie był wcześniej używany, a ta zmiana jest nieoczekiwana, oznacza to, że zostanie wyświetlony wynik prawdziwie dodatni.

  Zalecane akcje: Przejrzyj używanych agentów użytkownika i wszelkie ostatnie zmiany wprowadzone w aplikacji. Na podstawie badania możesz zablokować dostęp do tej aplikacji. Przejrzyj poziom uprawnień żądanych przez tę aplikację i użytkowników, którym udzielono dostępu.

• FP: Jeśli po zbadaniu, możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj ostatnio utworzone aplikacje i używanych agentów użytkowników.
2. Przejrzyj wszystkie działania wykonywane przez aplikację. 
3. Przejrzyj zakresy przyznane przez aplikację. 

Aplikacja z nietypowym agentem użytkownika, do których uzyskiwano dostęp do danych poczty e-mail za pośrednictwem usług sieci Web programu Exchange

Ważność: Wysoka

IDENTYFIKATOR MITRE: T1114, T1567

To wykrywanie identyfikuje aplikację OAuth, która używa nietypowego agenta użytkownika do uzyskiwania dostępu do danych poczty e-mail przy użyciu interfejsu API usług sieci Web programu Exchange.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth nie ma zmienić agenta użytkownika, którego używa do podejmowania żądań do interfejsu API usług sieci Web programu Exchange, oznacza to, że zostanie wyświetlony wynik prawdziwie dodatni.

  Zalecane akcje: klasyfikowanie alertu jako modułu TP. Na podstawie badania, jeśli aplikacja jest złośliwa, możesz odwołać zgody i wyłączyć aplikację w dzierżawie. Jeśli jest to aplikacja, której bezpieczeństwo zostało naruszone, możesz odwołać zgody, tymczasowo wyłączyć aplikację, przejrzeć uprawnienia, zresetować wpis tajny i certyfikat, a następnie ponownie włączyć aplikację.

• FP: Jeśli po zbadaniu, możesz potwierdzić, że agent użytkownika używany przez aplikację ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: klasyfikuj alert jako fp. Ponadto rozważ udostępnienie opinii na podstawie badania alertu.

Omówienie zakresu naruszenia

1. Sprawdź, czy aplikacja została nowo utworzona lub czy wprowadzono w niej ostatnie zmiany.
2. Przejrzyj uprawnienia przyznane aplikacji i użytkownikom, którzy wyrazili zgodę na aplikację.
3. Przejrzyj wszystkie działania wykonywane przez aplikację.

Alerty dotyczące przenoszenia bocznego

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może podjąć próbę późniejszego przeniesienia w ramach różnych zasobów, a jednocześnie przewożąc wiele systemów i kont w celu uzyskania większej kontroli w organizacji.

Uśpiona aplikacja OAuth głównie przy użyciu programu MS Graph lub usług sieci Web programu Exchange, które ostatnio były widoczne w celu uzyskiwania dostępu do obciążeń usługi ARM

Ważność: średni rozmiar

IDENTYFIKATOR MITRE: T1078.004

To wykrywanie identyfikuje aplikację w dzierżawie, która po długim okresie aktywności uśpionej zaczęła uzyskiwać dostęp do interfejsu API usługi Azure Resource Manager po raz pierwszy. Wcześniej ta aplikacja korzystała głównie z programu MS Graph lub usługi sieci Web programu Exchange.

TP lub FP?

• TP: Jeśli aplikacja jest nieznana lub nie jest używana, dane działanie jest potencjalnie podejrzane i może wymagać wyłączenia aplikacji, po zweryfikowaniu używanego zasobu platformy Azure i zweryfikowaniu użycia aplikacji w dzierżawie.

  Zalecane akcje:

  1. Przejrzyj zasoby platformy Azure dostępne lub utworzone przez aplikację oraz wszelkie ostatnie zmiany wprowadzone w aplikacji.
  2. Przejrzyj poziom uprawnień żądanych przez tę aplikację i użytkowników, którym udzielono dostępu.
  3. Na podstawie badania wybierz, czy chcesz zablokować dostęp do tej aplikacji.

• FP: Jeśli po zbadaniu możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj dostęp i działanie aplikacji.
2. Przejrzyj wszystkie działania wykonywane przez aplikację od momentu jej utworzenia.
3. Przejrzyj zakresy przyznane przez aplikację w interfejsie API programu Graph i rolę nadaną jej w ramach subskrypcji.
4. Przejrzyj dowolnego użytkownika, który mógł uzyskać dostęp do aplikacji przed działaniem.

Alerty dotyczące kolekcji

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować zebrać interesujące dane w celu organizacji.

Aplikacja wykonała nietypowe działania wyszukiwania wiadomości e-mail

Ważność: średni rozmiar

IDENTYFIKATOR MITRE: T1114

To wykrywanie określa, kiedy aplikacja wyraziła zgodę na podejrzany zakres protokołu OAuth i wykonała dużą liczbę nietypowych działań wyszukiwania wiadomości e-mail, takich jak wyszukiwanie określonej zawartości za pośrednictwem interfejsu API programu Graph. Może to wskazywać na próbę naruszenia organizacji, takie jak przeciwnicy próbujący wyszukać i odczytać konkretną wiadomość e-mail z organizacji za pośrednictwem interfejsu API programu Graph. 

TP lub FP?

• TP: Jeśli możesz potwierdzić dużą liczbę nietypowych wyszukiwań w wiadomościach e-mail i odczytywać działania za pośrednictwem interfejsu API programu Graph przez aplikację OAuth z podejrzanym zakresem OAuth i że aplikacja jest dostarczana z nieznanego źródła.

  Zalecane akcje: wyłącz i usuń aplikację, zresetuj hasło i usuń regułę skrzynki odbiorczej. 

• FP: Jeśli możesz potwierdzić, że aplikacja wykonała dużą liczbę nietypowych wyszukiwań w wiadomościach e-mail i przeczytać za pośrednictwem interfejsu API programu Graph z uzasadnionych powodów.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj zakresy przyznane przez aplikację.
2. Przejrzyj wszystkie działania wykonywane przez aplikację. 

Aplikacja wykonała nietypowe wywołania programu Graph w celu odczytu wiadomości e-mail

Ważność: średni rozmiar

IDENTYFIKATOR MITRE: T1114

To wykrywanie określa, kiedy aplikacja OAuth OAuth (LoB) uzyskuje dostęp do nietypowej i dużej liczby folderów i wiadomości użytkownika za pośrednictwem interfejsu API programu Graph, co może wskazywać na próbę naruszenia organizacji.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że nietypowe działanie grafu zostało wykonane przez aplikację OAuth Line of Business (LOB), oznacza to, że zostanie wyświetlony wynik prawdziwie dodatni.

  Zalecane akcje: tymczasowo wyłącz aplikację i zresetuj hasło, a następnie ponownie włącz aplikację. Postępuj zgodnie z samouczkiem dotyczącym resetowania hasła przy użyciu identyfikatora Entra firmy Microsoft.

• FP: Jeśli możesz potwierdzić, że aplikacja ma wykonywać niezwykle dużą liczbę wywołań grafu.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj dziennik aktywności dla zdarzeń wykonywanych przez tę aplikację, aby lepiej zrozumieć inne działania programu Graph dotyczące odczytywania wiadomości e-mail i gromadzenia poufnych informacji e-mail użytkowników.
2. Monitoruj nieoczekiwane poświadczenia dodawane do aplikacji.

Aplikacja tworzy regułę skrzynki odbiorczej i tworzy nietypowe działania wyszukiwania w wiadomościach e-mail

Ważność: średni rozmiar

Identyfikatory MITRE: T1137, T1114

To wykrywanie identyfikuje aplikację z zgodą na wysoki zakres uprawnień, tworzy podejrzaną regułę skrzynki odbiorczej i wykonuje nietypowe działania wyszukiwania wiadomości e-mail w folderach poczty użytkowników za pośrednictwem interfejsu API programu Graph. Może to wskazywać na próbę naruszenia organizacji, takie jak przeciwnicy próbujący wyszukać i zebrać określone wiadomości e-mail z organizacji za pośrednictwem interfejsu API programu Graph.

TP lub FP?

• TP: Jeśli możesz potwierdzić wyszukiwanie i zbieranie określonych wiadomości e-mail za pośrednictwem interfejsu API programu Graph za pomocą aplikacji OAuth z wysokim zakresem uprawnień, a aplikacja jest dostarczana z nieznanego źródła.

  Zalecana akcja: Wyłącz i usuń aplikację, zresetuj hasło i usuń regułę skrzynki odbiorczej.

• FP: Jeśli możesz potwierdzić, że aplikacja wykonała określone wyszukiwanie i zbieranie wiadomości e-mail za pośrednictwem interfejsu API programu Graph i utworzyła regułę skrzynki odbiorczej do nowego lub osobistego zewnętrznego konta e-mail z uzasadnionych powodów.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane przez aplikację.
3. Przejrzyj dowolną akcję reguły skrzynki odbiorczej utworzoną przez aplikację.
4. Przejrzyj wszystkie działania wyszukiwania wiadomości e-mail wykonywane przez aplikację.

Aplikacja utworzona w usłudze OneDrive/działania wyszukiwania programu SharePoint i utworzona reguła skrzynki odbiorczej

Ważność: średni rozmiar

IDENTYFIKATOR MITRE: T1137, T1213

To wykrywanie wskazuje, że aplikacja wyraziła zgodę na wysoki zakres uprawnień, utworzyła podejrzaną regułę skrzynki odbiorczej i wykonała nietypowe działania wyszukiwania programu SharePoint lub OneDrive za pośrednictwem interfejsu API programu Graph. Może to wskazywać na próbę naruszenia organizacji, takie jak przeciwnicy próbujący wyszukać i zebrać określone dane z programu SharePoint lub usługi OneDrive z organizacji za pośrednictwem interfejsu API programu Graph. 

TP lub FP?

• TP: Jeśli możesz potwierdzić jakiekolwiek konkretne dane z wyszukiwania i kolekcji programu SharePoint lub usługi OneDrive wykonywane za pośrednictwem interfejsu API programu Graph przez aplikację OAuth z wysokim zakresem uprawnień, a aplikacja jest dostarczana z nieznanego źródła. 

  Zalecana akcja: wyłącz i usuń aplikację, zresetuj hasło i usuń regułę skrzynki odbiorczej. 

• FP: Jeśli możesz potwierdzić, że aplikacja wykonała określone dane z wyszukiwania i zbierania w programie SharePoint lub OneDrive za pośrednictwem interfejsu API programu Graph przez aplikację OAuth i utworzyła regułę skrzynki odbiorczej do nowego lub osobistego zewnętrznego konta e-mail z uzasadnionych powodów. 

  Zalecana akcja: Odrzucanie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację. 
2. Przejrzyj zakresy przyznane przez aplikację. 
3. Przejrzyj dowolną akcję reguły skrzynki odbiorczej utworzoną przez aplikację. 
4. Przejrzyj wszystkie działania wyszukiwania programu SharePoint lub usługi OneDrive wykonywane przez aplikację.

Aplikacja dokonała wielu wyszukiwań i edycji w usłudze OneDrive

Ważność: średni rozmiar

Identyfikatory MITRE: T1137, T1213

To wykrywanie identyfikuje aplikacje OAuth z uprawnieniami o wysokim poziomie uprawnień, które wykonują dużą liczbę wyszukiwań i edycji w usłudze OneDrive przy użyciu interfejsu API programu Graph.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że wysokie użycie obciążenia usługi OneDrive za pośrednictwem interfejsu API programu Graph nie jest oczekiwane od tej aplikacji OAuth z wysokimi uprawnieniami uprawnień do odczytu i zapisu w usłudze OneDrive, oznacza to, że jest to prawdziwie dodatnie.

  Zalecana akcja: na podstawie badania, jeśli aplikacja jest złośliwa, możesz odwołać zgody i wyłączyć aplikację w dzierżawie. Jeśli jest to aplikacja z naruszonymi zabezpieczeniami, możesz odwołać zgody, tymczasowo wyłączyć aplikację, przejrzeć wymagane uprawnienia, zresetować hasło, a następnie ponownie włączyć aplikację.

• FP: Jeśli po zbadaniu, możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: rozwiąż alert i zgłoś wyniki.

Omówienie zakresu naruszenia

1. Sprawdź, czy aplikacja pochodzi z niezawodnego źródła.
2. Sprawdź, czy aplikacja została nowo utworzona lub czy wprowadzono w niej jakieś ostatnie zmiany.
3. Przejrzyj uprawnienia przyznane aplikacji i użytkownikom, którzy wyrazili zgodę na aplikację.
4. Zbadaj wszystkie inne działania aplikacji.

Aplikacja wykonała dużą ilość ważności odczytu i utworzenia reguły skrzynki odbiorczej

Ważność: średni rozmiar

Identyfikatory MITRE: T1137, T1114

To wykrywanie wskazuje, że aplikacja wyraziła zgodę na wysoki zakres uprawnień, tworzy podejrzaną regułę skrzynki odbiorczej i wykonał dużą liczbę ważnych działań odczytu poczty za pośrednictwem interfejsu API programu Graph. Może to wskazywać na próbę naruszenia organizacji, takie jak przeciwnicy próbujący odczytać wiadomości e-mail o wysokiej ważności z organizacji za pośrednictwem interfejsu API programu Graph. 

TP lub FP?

• TP: Jeśli możesz potwierdzić, że duża liczba ważnych wiadomości e-mail odczytanych za pośrednictwem interfejsu API programu Graph przez aplikację OAuth z wysokim zakresem uprawnień, a aplikacja jest dostarczana z nieznanego źródła. 

  Zalecana akcja: wyłącz i usuń aplikację, zresetuj hasło i usuń regułę skrzynki odbiorczej. 

• FP: Jeśli możesz potwierdzić, że aplikacja wykonała dużą liczbę ważnych wiadomości e-mail odczytanych za pośrednictwem interfejsu API programu Graph i utworzyła regułę skrzynki odbiorczej do nowego lub osobistego zewnętrznego konta e-mail z uzasadnionych powodów. 

  Zalecana akcja: Odrzucanie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację. 
2. Przejrzyj zakresy przyznane przez aplikację. 
3. Przejrzyj dowolną akcję reguły skrzynki odbiorczej utworzoną przez aplikację. 
4. Przejrzyj wszelkie działania odczytu wiadomości e-mail o wysokiej ważności wykonywane przez aplikację.

Aplikacja uprzywilejowana wykonywała nietypowe działania w usłudze Teams

Ważność: średni rozmiar

To wykrywanie identyfikuje aplikacje, które wyraziły zgodę na zakresy OAuth o wysokim poziomie uprawnień, które uzyskiwały dostęp do usługi Microsoft Teams, i tworzyły nietypową liczbę działań odczytu lub publikowania wiadomości na czacie za pośrednictwem interfejsu API programu Graph. Może to wskazywać na próbę naruszenia organizacji, takie jak przeciwnicy próbujący zebrać informacje z organizacji za pośrednictwem interfejsu API programu Graph.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że nietypowe działania wiadomości czatu w usłudze Microsoft Teams za pośrednictwem interfejsu API programu Graph przez aplikację OAuth z wysokim zakresem uprawnień, a aplikacja jest dostarczana z nieznanego źródła.

  Zalecana akcja: Wyłącz i usuń aplikację i zresetuj hasło

• FP: Jeśli możesz potwierdzić, że nietypowe działania wykonywane w usłudze Microsoft Teams za pośrednictwem interfejsu API programu Graph były uzasadnione z uzasadnionych powodów.

  Zalecana akcja: Odrzucanie alertu

Omówienie zakresu naruszenia

1. Przejrzyj zakresy przyznane przez aplikację.
2. Przejrzyj wszystkie działania wykonywane przez aplikację.
3. Przejrzyj aktywność użytkownika skojarzona z aplikacją.

Nietypowe działanie usługi OneDrive według aplikacji, które właśnie zaktualizowało lub dodało nowe poświadczenia

Ważność: średni rozmiar

Identyfikatory MITRE: T1098.001, T1213

Aplikacja w chmurze firmy innej niż Microsoft wykonała nietypowe wywołania interfejsu API programu Graph do usługi OneDrive, w tym duże użycie danych. Wykryte przez uczenie maszynowe te nietypowe wywołania interfejsu API zostały wykonane w ciągu kilku dni od dodania przez aplikację nowych lub zaktualizowanych istniejących certyfikatów/wpisów tajnych. Ta aplikacja może być zaangażowana w eksfiltrację danych lub inne próby uzyskania dostępu do poufnych informacji i pobrania ich.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że nietypowe działania, takie jak wysokie użycie obciążenia usługi OneDrive, zostały wykonane przez aplikację za pośrednictwem interfejsu API programu Graph.

  Zalecana akcja: tymczasowo wyłącz aplikację, zresetuj hasło, a następnie ponownie włącz aplikację.

• FP: Jeśli możesz potwierdzić, że żadne nietypowe działania nie zostały wykonane przez aplikację lub że aplikacja ma wykonywać niezwykle dużą liczbę wywołań programu Graph.

  Zalecana akcja: Odrzucanie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane przez aplikację.
3. Przejrzyj aktywność użytkownika skojarzona z aplikacją.

Nietypowe działanie programu SharePoint według aplikacji, które właśnie zaktualizowało lub dodało nowe poświadczenia

Ważność: średni rozmiar

Identyfikatory MITRE: T1098.001, T1213.002

Aplikacja w chmurze firmy innej niż Microsoft wykonała nietypowe wywołania interfejsu API programu Graph do programu SharePoint, w tym duże użycie danych. Wykryte przez uczenie maszynowe te nietypowe wywołania interfejsu API zostały wykonane w ciągu kilku dni od dodania przez aplikację nowych lub zaktualizowanych istniejących certyfikatów/wpisów tajnych. Ta aplikacja może być zaangażowana w eksfiltrację danych lub inne próby uzyskania dostępu do poufnych informacji i pobrania ich.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że nietypowe działania, takie jak wysokie użycie obciążenia programu SharePoint, zostały wykonane przez aplikację za pośrednictwem interfejsu API programu Graph.

  Zalecana akcja: tymczasowo wyłącz aplikację, zresetuj hasło, a następnie ponownie włącz aplikację.

• FP: Jeśli możesz potwierdzić, że żadne nietypowe działania nie zostały wykonane przez aplikację lub że aplikacja ma wykonywać niezwykle dużą liczbę wywołań programu Graph.

  Zalecana akcja: Odrzucanie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane przez aplikację.
3. Przejrzyj aktywność użytkownika skojarzona z aplikacją.

Metadane aplikacji skojarzone z podejrzanymi działaniami dotyczącymi poczty

Ważność: średni rozmiar

Identyfikatory MITRE: T1114

To wykrywanie generuje alerty dla aplikacji innych niż Microsoft OAuth z metadanymi, takimi jak nazwa, adres URL lub wydawca, które wcześniej zaobserwowano w aplikacjach z podejrzanymi działaniami związanymi z pocztą. Ta aplikacja może być częścią kampanii ataku i może być zaangażowana w eksfiltrację poufnych informacji.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że aplikacja utworzyła reguły skrzynki pocztowej lub wykonała dużą liczbę nietypowych wywołań interfejsu API programu Graph do obciążenia programu Exchange.

  Zalecana akcja:

  • Sprawdź szczegóły rejestracji aplikacji dotyczące ładu aplikacji i odwiedź witrynę Microsoft Entra ID, aby uzyskać więcej informacji.
  • Skontaktuj się z użytkownikami lub administratorami, którzy wyrazili zgodę lub uprawnienia do aplikacji. Sprawdź, czy zmiany były zamierzone.
  • Przeszukaj tabelę Zaawansowane wyszukiwanie zagrożeń w usłudze CloudAppEvents , aby zrozumieć aktywność aplikacji i zidentyfikować dane, do których uzyskuje dostęp aplikacja. Sprawdź, czy skrzynki pocztowe, których dotyczy problem, i przejrzyj wiadomości, które mogły zostać odczytane lub przekazane przez samą aplikację lub utworzone przez nią reguły.
  • Sprawdź, czy aplikacja ma kluczowe znaczenie dla twojej organizacji przed rozważeniem jakichkolwiek akcji zawierających. Dezaktywuj aplikację przy użyciu ładu aplikacji lub identyfikatora Entra firmy Microsoft, aby uniemożliwić mu dostęp do zasobów. Istniejące zasady ładu aplikacji mogły już dezaktywować aplikację.

• FP: Jeśli możesz potwierdzić, że żadne nietypowe działania nie zostały wykonane przez aplikację i że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: Odrzucanie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane aplikacji.
3. Przejrzyj aktywność użytkownika skojarzona z aplikacją.

Aplikacja z uprawnieniami aplikacji EWS do uzyskiwania dostępu do wielu wiadomości e-mail

Ważność: średni rozmiar

Identyfikatory MITRE: T1114

To wykrywanie generuje alerty dla aplikacji w chmurze z wieloma dzierżawami z uprawnieniami aplikacji EWS, co powoduje znaczny wzrost liczby wywołań interfejsu API usług sieci Web programu Exchange specyficznych dla wyliczania i zbierania wiadomości e-mail. Ta aplikacja może być zaangażowana w uzyskiwanie dostępu do poufnych danych poczty e-mail i pobieranie ich.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że aplikacja uzyskała dostęp do poufnych danych poczty e-mail lub wykonała dużą liczbę nietypowych wywołań do obciążenia programu Exchange.

  Zalecana akcja:

  • Sprawdź szczegóły rejestracji aplikacji dotyczące ładu aplikacji i odwiedź witrynę Microsoft Entra ID, aby uzyskać więcej informacji.
  • Skontaktuj się z użytkownikami lub administratorami, którzy wyrazili zgodę lub uprawnienia do aplikacji. Sprawdź, czy zmiany były zamierzone.
  • Przeszukaj tabelę Zaawansowane wyszukiwanie zagrożeń w usłudze CloudAppEvents , aby zrozumieć aktywność aplikacji i zidentyfikować dane, do których uzyskuje dostęp aplikacja. Sprawdź, czy skrzynki pocztowe, których dotyczy problem, i przejrzyj wiadomości, które mogły zostać odczytane lub przekazane przez samą aplikację lub utworzone przez nią reguły.
  • Sprawdź, czy aplikacja ma kluczowe znaczenie dla twojej organizacji przed rozważeniem jakichkolwiek akcji zawierających. Dezaktywuj aplikację przy użyciu ładu aplikacji lub identyfikatora Entra firmy Microsoft, aby uniemożliwić mu dostęp do zasobów. Istniejące zasady ładu aplikacji mogły już dezaktywować aplikację.

• FP: Jeśli możesz potwierdzić, że żadne nietypowe działania nie zostały wykonane przez aplikację i że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: Odrzucanie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane aplikacji.
3. Przejrzyj aktywność użytkownika skojarzona z aplikacją.

Nowo uzyskiwana nieużywana aplikacja uzyskuje dostęp do interfejsów API

Ważność: średni rozmiar

Identyfikatory MITRE: T1530

To wykrywanie generuje alerty dla wielodostępnej aplikacji w chmurze, która od jakiegoś czasu była nieaktywna i ostatnio zaczęła tworzyć wywołania interfejsu API. Ta aplikacja może zostać naruszona przez osobę atakującą i używana do uzyskiwania dostępu do poufnych danych i pobierania ich.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że aplikacja uzyskała dostęp do poufnych danych lub wykonała dużą liczbę nietypowych wywołań obciążeń programu Microsoft Graph, programu Exchange lub usługi Azure Resource Manager.

  Zalecana akcja:

  • Sprawdź szczegóły rejestracji aplikacji dotyczące ładu aplikacji i odwiedź witrynę Microsoft Entra ID, aby uzyskać więcej informacji.
  • Skontaktuj się z użytkownikami lub administratorami, którzy wyrazili zgodę lub uprawnienia do aplikacji. Sprawdź, czy zmiany były zamierzone.
  • Przeszukaj tabelę Zaawansowane wyszukiwanie zagrożeń w usłudze CloudAppEvents , aby zrozumieć aktywność aplikacji i zidentyfikować dane, do których uzyskuje dostęp aplikacja. Sprawdź, czy skrzynki pocztowe, których dotyczy problem, i przejrzyj wiadomości, które mogły zostać odczytane lub przekazane przez samą aplikację lub utworzone przez nią reguły.
  • Sprawdź, czy aplikacja ma kluczowe znaczenie dla twojej organizacji przed rozważeniem jakichkolwiek akcji zawierających. Dezaktywuj aplikację przy użyciu ładu aplikacji lub identyfikatora Entra firmy Microsoft, aby uniemożliwić mu dostęp do zasobów. Istniejące zasady ładu aplikacji mogły już dezaktywować aplikację.

• FP: Jeśli możesz potwierdzić, że żadne nietypowe działania nie zostały wykonane przez aplikację i że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: Odrzucanie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane aplikacji.
3. Przejrzyj aktywność użytkownika skojarzona z aplikacją.

Alerty dotyczące wpływu

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować manipulować, przerwać lub zniszczyć systemy i dane z organizacji.

Entra Line-of-Business aplikacja inicjująca nietypowy wzrost tworzenia maszyny wirtualnej

Ważność: średni rozmiar

IDENTYFIKATOR MITRE: T1496

To wykrywanie identyfikuje jedną dzierżawę nowej aplikacji OAuth, która tworzy większość maszyn wirtualnych platformy Azure w dzierżawie przy użyciu interfejsu API usługi Azure Resource Manager.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth została niedawno utworzona i tworzy dużą liczbę maszyn wirtualnych w dzierżawie, oznacza to, że zostanie wyświetlona wartość prawdziwie dodatnia.

  Zalecane akcje: Przejrzyj utworzone maszyny wirtualne i wszelkie ostatnie zmiany wprowadzone w aplikacji. Na podstawie badania możesz zablokować dostęp do tej aplikacji. Przejrzyj poziom uprawnień żądanych przez tę aplikację i użytkowników, którym udzielono dostępu.

• FP: Jeśli po zbadaniu, możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia:

1. Przejrzyj utworzone ostatnio aplikacje i utworzone maszyny wirtualne.
2. Przejrzyj wszystkie działania wykonywane przez aplikację od momentu jej utworzenia.
3. Przejrzyj zakresy przyznane przez aplikację w interfejsie API programu Graph i rolę nadane jej w ramach subskrypcji.

Zaobserwowano inicjowanie tworzenia maszyny wirtualnej przez aplikację OAuth z uprawnieniami o wysokim zakresie w programie Microsoft Graph

Ważność: średni rozmiar

IDENTYFIKATOR MITRE: T1496

To wykrywanie identyfikuje aplikację OAuth, która tworzy większość maszyn wirtualnych platformy Azure w dzierżawie przy użyciu interfejsu API usługi Azure Resource Manager, a jednocześnie ma wysokie uprawnienia w dzierżawie za pośrednictwem interfejsu API programu MS Graph przed działaniem.

TP lub FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth o wysokim zakresie uprawnień została utworzona i tworzy dużą liczbę maszyn wirtualnych w dzierżawie, oznacza to, że zostanie wyświetlony wynik prawdziwie dodatni.

  Zalecane akcje: Przejrzyj utworzone maszyny wirtualne i wszelkie ostatnie zmiany wprowadzone w aplikacji. Na podstawie badania możesz zablokować dostęp do tej aplikacji. Przejrzyj poziom uprawnień żądanych przez tę aplikację i użytkowników, którym udzielono dostępu.

• FP: Jeśli po zbadaniu, możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: Odrzuć alert.

Omówienie zakresu naruszenia:

1. Przejrzyj utworzone ostatnio aplikacje i utworzone maszyny wirtualne.
2. Przejrzyj wszystkie działania wykonywane przez aplikację od momentu jej utworzenia.
3. Przejrzyj zakresy przyznane przez aplikację w interfejsie API programu Graph i rolę nadane jej w ramach subskrypcji.

Następne kroki

Zarządzanie alertami ładu aplikacji