Investigar alertas de deteção de anomalias
A governação de aplicações da Microsoft fornece deteções de segurança e alertas para atividades maliciosas. O objetivo deste guia é fornecer-lhe informações gerais e práticas sobre cada alerta, para ajudar nas suas tarefas de investigação e reparação. Incluído neste guia estão informações gerais sobre as condições para desencadear alertas. Como as deteções de anomalias não são deterministas por natureza, só são desencadeadas quando há comportamentos que se desviam da norma. Finalmente, alguns alertas podem estar em pré-visualização, por isso reveja regularmente a documentação oficial para o estado de alerta atualizado.
MITRE ATT&CK
Para facilitar o mapa da relação entre os alertas de governação das aplicações e o familiar MITRE ATT&CK Matrix, categorizamos os alertas pela sua correspondente tática MITRE ATT&CK. Esta referência adicional facilita a compreensão da técnica de ataques suspeitos potencialmente utilizada quando o alerta de governação da aplicação é ativado.
Este guia fornece informações sobre a investigação e remediação de alertas de governação de aplicações nas seguintes categorias.
- Acesso Inicial
- Execução
- Persistência
- Escalamento de Privilégios
- Evasão à Defesa
- Acesso Credencial
- Deteção
- Movimento Lateral
- Coleção
- Exfiltração
- Impacto
Classificações de alerta de segurança
Após uma investigação adequada, todos os alertas de governação de aplicações podem ser classificados como um dos seguintes tipos de atividade:
- Verdadeiro positivo (TP): Um alerta sobre uma atividade maliciosa confirmada.
- Benigno verdadeiro positivo (B-TP): Um alerta sobre atividades suspeitas, mas não maliciosas, como um teste de penetração ou outra ação suspeita autorizada.
- Falso positivo (FP): Um alerta sobre uma atividade não maliciosa.
Etapas gerais de investigação
Utilize as seguintes diretrizes gerais quando investigar qualquer tipo de alerta para obter uma compreensão mais clara da ameaça potencial antes de aplicar a ação recomendada.
Reveja o nível de gravidade da aplicação e compare com o resto das aplicações no seu inquilino. Esta análise irá ajudá-lo a identificar quais apps no seu inquilino representam um maior risco.
Se identificar um TP, reveja todas as atividades da App para obter uma compreensão do impacto. Por exemplo, reveja as seguintes informações da App:
- Âmbitos de acesso concedidos
- Comportamento invulgar
- Endereço IP e localização
Alertas de acesso iniciais
Esta secção descreve alertas que indicam que uma aplicação maliciosa pode estar a tentar manter a sua posição na sua organização.
App criada recentemente tem baixa taxa de consentimento
Severidade: Baixa
Esta deteção identifica uma aplicação OAuth criada recentemente e que se verificou ter uma taxa de consentimento baixa. Isto pode indicar uma aplicação maliciosa ou arriscada que atrai os utilizadores em subsídios de consentimento ilícitos.
TP ou FP?
TP: Se conseguir confirmar que a aplicação OAuth é entregue a partir de uma fonte desconhecida, então é indicado um verdadeiro positivo.
Ação recomendada: Reveja o nome do visor, URLs de resposta e domínios da aplicação. Com base na sua investigação pode optar por proibir o acesso a esta aplicação. Reveja o nível de permissão solicitado por esta aplicação e quais os utilizadores que tenham acesso.
FP: Se após investigação, pode confirmar que a aplicação tem um uso legítimo do negócio na organização.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja todas as atividades espetam-se na aplicação.
- Se suspeitar que uma aplicação é suspeita, recomendamos que investigue o nome da app e o domínio de resposta em diferentes lojas de aplicações. Ao verificar as lojas de aplicações, concentre-se nos seguintes tipos de aplicações:
- Aplicativos que foram criados recentemente
- App com nome de exibição incomum
- Aplicativos com um domínio de resposta suspeito
- Se ainda suspeitar que uma aplicação é suspeita, pode pesquisar o nome de exibição da aplicação e o domínio da resposta.
App com má reputação de URL
Severidade: Médio
Esta deteção identifica uma aplicação OAuth que foi encontrada com má reputação de URL.
TP ou FP?
TP: Se conseguir confirmar que a aplicação OAuth é entregue a partir de uma fonte desconhecida e redireciona para um URL suspeito, então é indicado um verdadeiro positivo.
Ação recomendada: Rever os URLs, domínios e âmbitos de resposta solicitados pela aplicação. Com base na sua investigação pode optar por proibir o acesso a esta aplicação. Reveja o nível de permissão solicitado por esta aplicação e quais os utilizadores que tenham acesso.
FP: Se após investigação, pode confirmar que a aplicação tem um uso legítimo do negócio na organização.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja todas as atividades espetam-se na aplicação.
- Se suspeitar que uma aplicação é suspeita, recomendamos que investigue o nome da app e o domínio de resposta em diferentes lojas de aplicações. Ao verificar as lojas de aplicações, concentre-se nos seguintes tipos de aplicações:
- Aplicativos que foram criados recentemente
- App com nome de exibição incomum
- Aplicativos com um domínio de resposta suspeito
- Se ainda suspeitar que uma aplicação é suspeita, pode pesquisar o nome de exibição da aplicação e o domínio da resposta.
Nome de aplicação codificado com âmbitos de consentimento suspeitos
Severidade: Médio
Descrição: Esta deteção identifica aplicações OAuth com caracteres, tais como Caracteres Unicode ou caracteres codificados, solicitados para âmbitos de consentimento suspeitos e que acederam a pastas de correio dos utilizadores através da API Graph. Este alerta pode indicar uma tentativa de camuflar uma aplicação maliciosa como uma aplicação conhecida e fidedigna para que os adversários possam induzir os utilizadores a consentir a aplicação maliciosa.
TP ou FP?
TP: Se puder confirmar que a aplicação OAuth codificou o nome do visor com âmbitos suspeitos entregues a partir de uma fonte desconhecida, então é indicado um verdadeiro positivo.
Ação recomendada: Rever o nível de permissão solicitado por esta aplicação e que os utilizadores tenham acesso. Com base na sua investigação pode optar por proibir o acesso a esta aplicação.
Para proibir o acesso à aplicação, na página de aplicações da OAuth, na linha em que a app que pretende proibir aparece, selecione o ícone de proibição. Pode escolher se pretende dizer aos utilizadores que a aplicação que instalaram e autorizaram foi proibida. A notificação permite aos utilizadores saberem que a aplicação será desativada e que não terá acesso à aplicação conectada. Se não quiser que saibam, desescolh os utilizadores que tenham acesso a esta aplicação proibida no diálogo. Recomendamos que informe os utilizadores da aplicação que a sua aplicação está prestes a ser proibida de usar.
FP: Se pretender confirmar que a aplicação tem um nome codificado, mas tem um uso legítimo do negócio na organização.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
Siga o tutorial sobre como investigar aplicações arriscadas da OAuth.
OAuth App com âmbitos de leitura tem URL de resposta suspeito
Severidade: Médio
Descrição: Esta deteção identifica uma aplicação OAuth apenas com âmbitos de leitura como User.Read, People.Read, Contacts.Read, Mail.Read, Contacts.Read.Shared redirects to suspect Answer URL through Graph API. Esta atividade tenta indicar que a aplicação maliciosa com menos permissão de privilégio (como os âmbitos de leitura) poderia ser explorada para realizar o reconhecimento da conta dos utilizadores.
TP ou FP?
TP: Se conseguir confirmar que a aplicação OAuth com âmbito de leitura é entregue a partir de uma fonte desconhecida e redireciona para um URL suspeito, então é indicado um verdadeiro positivo.
Ação recomendada: Rever o URL de resposta e os âmbitos solicitados pela aplicação. Com base na sua investigação pode optar por proibir o acesso a esta aplicação. Reveja o nível de permissão solicitado por esta aplicação e quais os utilizadores que tenham acesso.
Para proibir o acesso à aplicação, na página de aplicações da OAuth, na linha em que a app que pretende proibir aparece, selecione o ícone de proibição. Pode escolher se pretende dizer aos utilizadores que a aplicação que instalaram e autorizaram foi proibida. A notificação permite aos utilizadores saberem que a aplicação será desativada e que não terá acesso à aplicação conectada. Se não quiser que saibam, desescolh os utilizadores que tenham acesso a esta aplicação proibida no diálogo. Recomendamos que informe os utilizadores da aplicação que a sua aplicação está prestes a ser proibida de usar.
B-TP: Se após investigação, pode confirmar que a aplicação tem um uso legítimo do negócio na organização.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja todas as atividades espetam-se na aplicação.
- Se suspeitar que uma aplicação é suspeita, recomendamos que investigue o nome da app e o URL de resposta em diferentes lojas de aplicações. Ao verificar as lojas de aplicações, concentre-se nos seguintes tipos de aplicações:
- Aplicações que foram criadas recentemente.
- Aplicativos com UM URL de resposta suspeito
- Aplicações que não foram atualizadas recentemente. A falta de atualizações pode indicar que a aplicação já não está suportada.
- Se ainda suspeitar que uma aplicação é suspeita, pode pesquisar o nome da aplicação, o nome do editor e responder URL online
App com nome de exibição incomum e TLD incomum no domínio Resposta
Severidade: Médio
Esta deteção identifica a aplicação com um nome de exibição incomum e redireciona para domínio de resposta suspeito com um domínio de nível superior incomum (TLD) através de Graph API. Isto pode indicar uma tentativa de camuflar uma aplicação maliciosa ou arriscada como uma app conhecida e fidedigna para que os adversários possam induzir os utilizadores a consentir a sua aplicação maliciosa ou arriscada.
TP ou FP?
TP: Se conseguir confirmar que a aplicação com um nome de exibição incomum é entregue a partir de uma fonte desconhecida e redireciona para um domínio suspeito com um domínio de nível superior incomum
Ação recomendada: Reveja o nome do visor e o domínio de resposta da aplicação. Com base na sua investigação pode optar por proibir o acesso a esta aplicação. Reveja o nível de permissão solicitado por esta aplicação e quais os utilizadores que tenham acesso.
FP: Se após investigação, pode confirmar que a aplicação tem um uso legítimo do negócio na organização.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
Reveja todas as atividades espetam-se na aplicação. Se suspeitar que uma aplicação é suspeita, recomendamos que investigue o nome da app e o domínio de resposta em diferentes lojas de aplicações. Ao verificar as lojas de aplicações, concentre-se nos seguintes tipos de aplicações:
- Aplicativos que foram criados recentemente
- App com nome de exibição incomum
- Aplicativos com um domínio de resposta suspeito
Se ainda suspeitar que uma aplicação é suspeita, pode pesquisar o nome de exibição da aplicação e o domínio da resposta.
Alertas de persistência
Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar manter a sua posição na sua organização.
App fez chamadas anómalas Graph para Exchange atualização de certificado de carga de trabalho ou adição de novas credenciais
Severidade: Médio
MITRE ID: T1098.001, T1114
Esta deteção despoleta um alerta quando uma aplicação Line of Business (LOB) atualiza o certificado/segredos ou adiciona novas credenciais e em poucos dias após a atualização de certificado ou adição de novas credenciais, atividades incomuns ou uso de volume elevado para Exchange carga de trabalho através de Graph API usando algoritmo de aprendizagem de máquinas.
TP ou FP?
TP: Se conseguir confirmar que as atividades incomuns/uso de volume elevado para Exchange carga de trabalho foi realizada pela app LOB através de Graph API
Ação recomendação: Desative temporariamente a aplicação e reinicie a palavra-passe e, em seguida, reative a aplicação.
FP: Se puder confirmar que nenhuma atividade incomum foi realizada por app lob ou app destina-se a fazer um volume invulgarmente elevado de chamadas de gráficos.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja todas as atividades realizadas por esta aplicação.
- Reveja os âmbitos concedidos pela aplicação.
- Reveja a atividade do utilizador associada a esta aplicação.
App com âmbito OAuth suspeito foi sinalizado de alto risco por Machine Learning modelo, fez chamadas de gráfico para ler e-mail e criou a Regra da Caixa de Entrada
Severidade: Médio
MITRE ID: T1137.005, T1114
Esta deteção identifica uma App OAuth que foi sinalizada de alto risco por Machine Learning modelo que consentiu em âmbitos suspeitos, cria uma regra de caixa de entrada suspeita e, em seguida, acedeu a pastas e mensagens de correio dos utilizadores através da API Graph. As regras da caixa de entrada, como o envio de todos ou e-mails específicos para outra conta de e-mail, e Graph chamadas para aceder a e-mails e enviar para outra conta de e-mail, podem ser uma tentativa de exfiltrar informações da sua organização.
TP ou FP?
TP: Se puder confirmar que a regra da caixa de entrada foi criada por uma aplicação de terceiros OAuth com âmbitos suspeitos entregues a partir de uma fonte desconhecida, então é detetado um verdadeiro positivo.
Ação recomendada: Desative e remova a aplicação, reinicie a palavra-passe e remova a regra da caixa de entrada.
Siga o tutorial sobre como redefinir uma palavra-passe utilizando Azure Ative Directory e siga o tutorial sobre como remover a regra da caixa de entrada.
FP: Se puder confirmar que a aplicação criou uma regra de caixa de entrada para uma nova conta de e-mail externa pessoal por razões legítimas.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja todas as atividades espetam-se na aplicação.
- Reveja os âmbitos concedidos pela aplicação.
- Reveja a ação e condição da regra da caixa de entrada criada pela app.
App com âmbito suspeito de OAuth fez chamadas de gráfico para ler e-mail e criou regra de caixa de entrada
Severidade: Médio
MITRE ID's: T1137.005, T1114
Esta deteção identifica uma App OAuth que consentiu em âmbitos suspeitos, cria uma regra de caixa de entrada suspeita e, em seguida, acedeu a pastas e mensagens de correio dos utilizadores através da API Graph. As regras da caixa de entrada, como o envio de todos ou e-mails específicos para outra conta de e-mail, e Graph chamadas para aceder a e-mails e enviar para outra conta de e-mail, podem ser uma tentativa de exfiltrar informações da sua organização.
TP ou FP?
TP: Se puder confirmar que a regra da caixa de entrada foi criada por uma aplicação de terceiros OAuth com âmbitos suspeitos entregues a partir de uma fonte desconhecida, então é indicado um verdadeiro positivo.
Ação recomendada: Desative e remova a aplicação, reinicie a palavra-passe e remova a regra da caixa de entrada.
Siga o tutorial sobre como redefinir uma palavra-passe utilizando Azure Ative Directory e siga o tutorial sobre como remover a regra da caixa de entrada.
FP: Se puder confirmar que a aplicação criou uma regra de caixa de entrada para uma nova conta de e-mail externa pessoal por razões legítimas.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja todas as atividades espetam-se na aplicação.
- Reveja os âmbitos concedidos pela aplicação.
- Reveja a ação e condição da regra da caixa de entrada criada pela app.
App acedida a partir de atualização incomum de certificado de localização post
Severidade: Baixa
MITRE ID: T1098
Esta deteção desencadeia um alerta quando uma aplicação Line of Business (LOB) foi atualizada para o certificado/segredo e em poucos dias a atualização de certificado, a aplicação é acedida a partir de um local incomum que não foi visto recentemente ou nunca acedido no passado.
TP ou FP?
TP: se conseguir confirmar que a aplicação LOB acedeu a partir de um local incomum e realizou atividades incomuns através de Graph API.
Ação recomendação: Desative temporariamente a aplicação e reinicie a palavra-passe e, em seguida, reative a aplicação.
FP: Se conseguir confirmar que a aplicação LOB acedeu a partir de um local incomum para fins legítimos e nenhuma atividade incomum realizada.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja toda a atividade realizada por esta aplicação.
- Reveja os âmbitos concedidos pela aplicação.
- Reveja a atividade do utilizador associada a esta aplicação.
App acedida a partir de localização incomum fez Graph chamadas anómalas
Severidade: Médio
MITRE ID: T1098
Esta deteção desencadeia um alerta quando uma aplicação da Linha de Negócios (LOB) atualizou o certificado/segredo e em poucos dias após a atualização do certificado, a aplicação é acedida a partir de um local incomum que não foi visto recentemente ou nunca acedido no passado e observou atividades ou utilização incomuns através de Graph API usando algoritmo de aprendizagem de máquinas.
TP ou FP?
TP: Se conseguir confirmar que as atividades/utilizações incomuns foram realizadas pela aplicação LOB através de Graph API a partir de um local incomum.
Ação recomendação: Desative temporariamente a aplicação e reinicie a palavra-passe e, em seguida, reative a aplicação.
FP: Se conseguir confirmar que a aplicação LOB acedeu a partir de um local incomum para fins legítimos e nenhuma atividade incomum realizada.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja toda a atividade realizada por esta aplicação.
- Reveja os âmbitos concedidos pela aplicação.
- Reveja a atividade do utilizador associada a esta aplicação.
Alertas de descoberta
App realizada enumeração de unidade
Severidade: Médio
MITRE ID: T1087
Esta deteção identifica uma aplicação OAuth que foi detetada por Machine Learning modelo que realiza enumerações em ficheiros OneDrive utilizando Graph API.
TP ou FP?
TP: Se conseguir confirmar que as atividades/utilização incomuns para OneDrive foram realizadas pela aplicação LOB através Graph API.
Ação recomendada: Desative e remova a aplicação e reponha a palavra-passe.
FP: Se puder confirmar que não foram realizadas atividades invulgares por app.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja todas as atividades realizadas por esta aplicação.
- Reveja os âmbitos concedidos pela aplicação.
- Reveja a atividade do utilizador associada a esta aplicação.
Atividades de enumeração suspeitas realizadas com AAD PowerShell
Severidade: Médio
MITRE ID: T1087
Esta deteção identifica um grande volume de atividades suspeitas de enumeração realizadas num curto espaço de tempo através de uma aplicação powerShell AAD.
TP ou FP?
TP: Se conseguir confirmar que as atividades de enumeração suspeitas/incomuns foram realizadas pela aplicação AAD PowerShell.
Ação recomendada: Desative e remova a aplicação e reponha a palavra-passe.
FP: Se puder confirmar que não foram realizadas atividades invulgares por aplicação.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja todas as atividades realizadas por esta aplicação.
- Reveja a atividade do utilizador associada a esta aplicação.
Alertas de recolha
Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar recolher dados de interesse para o seu objetivo da sua organização.
App fez chamadas anómalas Graph para ler e-mail
Severidade: Médio
MITRE ID: T1114
Esta deteção identifica quando a App OAuth da Linha de Negócios (LOB) acede a um volume incomum e elevado de pastas e mensagens de correio do utilizador através da API Graph, o que pode indicar uma tentativa de violação da sua organização.
TP ou FP?
TP: Se puder confirmar que a atividade de gráficos incomum foi realizada pela App OAuth Line of Business (LOB), então é indicado um verdadeiro positivo.
Recomendar ações: Desative temporariamente a aplicação e reinicie a palavra-passe e, em seguida, reative a aplicação. Siga o tutorial sobre como redefinir uma palavra-passe utilizando Azure Ative Directory.
FP: Se puder confirmar que a aplicação se destina a fazer um volume invulgarmente elevado de chamadas de gráficos.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja o registo de atividades para eventos realizados por esta app para obter uma melhor compreensão de outras atividades Graph para ler e-mails e tentar recolher informações confidenciais de e-mail dos utilizadores.
- Monitor para credencial inesperada sendo adicionado à app.
App cria regra de caixa de entrada e fez atividades incomuns de pesquisas de e-mail
Severidade: Médio
IDs MITRE: T1137, T1114
Esta deteção identifica a App consentida com o elevado âmbito de privilégio, cria regras de caixa de entrada suspeitas e fez atividades incomuns de pesquisa de e-mail em pastas de correio dos utilizadores através de Graph API. Isto pode indicar uma tentativa de violação da sua organização, como adversários que tentam pesquisar e recolher e-mails específicos da sua organização através de Graph API.
TP ou FP?
TP: Se conseguir confirmar qualquer pesquisa e recolha de e-mails específicos feita através de Graph API através de uma aplicação OAuth com elevado âmbito de privilégio, e a aplicação é entregue de origem desconhecida.
Ação recomendada: Desative e remova a aplicação, reinicie a palavra-passe e remova a regra da caixa de entrada.
FP: Se conseguir confirmar que a app realizou pesquisas e recolhas específicas de e-mail através de Graph API e criou uma regra de caixa de entrada para uma nova conta de e-mail externa pessoal por razões legítimas.
Ação recomendada: Dispensar o alerta.
Compreenda o âmbito da violação
- Reveja todas as atividades espetam-se na aplicação.
- Reveja os âmbitos concedidos pela aplicação.
- Reveja qualquer ação de regra de caixa de entrada criada pela app.
- Reveja quaisquer atividades de pesquisa de e-mail espetam-se pela aplicação.
App fez OneDrive / Atividades de pesquisa SharePoint e criou regra de caixa de entrada
Severidade: Médio
MITRE ID's: T1137, T1213
Esta deteção identifica que uma App consentiu em um elevado âmbito de privilégio, criou uma regra de caixa de entrada suspeita, e fez atividades incomuns de pesquisa do SharePoint ou OneDrive através de Graph API. Isto pode indicar uma tentativa de violação da sua organização, como adversários que tentam pesquisar e recolher dados específicos do SharePoint ou OneDrive da sua organização através de Graph API.
TP ou FP?
TP: Se conseguir confirmar quaisquer dados específicos do SharePoint ou OneDrive pesquisa e recolha feita através de Graph API através de uma aplicação OAuth com elevado âmbito de privilégio, e a aplicação é entregue de origem desconhecida.
Ação recomendada: Desative e remova a App, reinicie a palavra-passe e remova a regra da caixa de entrada.
FP: Se conseguir confirmar que a app realizou dados específicos do SharePoint ou OneDrive pesquisa e recolha através de Graph API através de uma aplicação OAuth e criou uma regra de caixa de entrada para uma nova conta de e-mail externa pessoal por razões legítimas.
Ação recomendada: Dispensar o alerta
Compreenda o âmbito da violação
- Reveja todas as atividades espetam-se na aplicação.
- Reveja os âmbitos concedidos pela aplicação.
- Reveja qualquer ação de regra de caixa de entrada criada pela app.
- Reveja quaisquer atividades de pesquisa sharePoint ou OneDrive efetam pela aplicação.
App fez grande volume de importância leitura de correio e criou regra de caixa de entrada
Severidade: Médio
IDs MITRE: T1137, T1114
Esta deteção identifica que uma App consentiu em elevado âmbito de privilégio, cria regra de caixa de entrada suspeita e fez um grande volume de atividades importantes de leitura de correio através Graph API. Isto pode indicar uma tentativa de violação da sua organização, como adversários que tentam ler e-mails de alta importância da sua organização através de Graph API.
TP ou FP?
- TP: Se conseguir confirmar que o elevado volume de e-mail importante lido através de Graph API através de uma aplicação OAuth com elevado âmbito de privilégio, e a aplicação é entregue de origem desconhecida.
Ação recomendada: Desative e remova a App, reinicie a palavra-passe e remova a regra da caixa de entrada.
- FP: Se conseguir confirmar que a app realizou um grande volume de e-mail importante lido através de Graph API e criou uma regra de caixa de entrada para uma nova conta de e-mail externa pessoal por razões legítimas.
Ação recomendada: Dispensar o alerta
Compreenda o âmbito da violação
- Reveja todas as atividades espetam-se na aplicação.
- Reveja os âmbitos concedidos pela aplicação.
- Reveja qualquer ação de regra de caixa de entrada criada pela app.
- Reveja qualquer atividade de leitura de e-mail de alta importância feita pela app.