Изучение оповещений об обнаружении угроз

Управление приложениями обеспечивает обнаружение безопасности и оповещения для вредоносных действий. В этой статье перечислены сведения о каждом оповещении, которое может помочь в расследовании и исправлении, включая условия для активации оповещений. Так как обнаружение угроз недетерминировано по природе, они активируются только при наличии поведения, которое отклоняется от нормы.

Дополнительные сведения см. в разделе "Управление приложениями" в приложениях Microsoft Defender для облака

Примечание.

Обнаружение угроз управления приложениями основано на подсчете действий на данных, которые являются временными и могут не храниться, поэтому оповещения могут предоставлять количество действий или признаков пиков, но не обязательно все соответствующие данные. В частности, для действий API Graph приложений OAuth сами действия могут быть проверены клиентом с помощью Log Analytics и Sentinel.

Дополнительные сведения см. в следующих разделах:

MITRE ATT&CK

Чтобы упростить сопоставление связей между оповещениями системы управления приложениями и знакомой матрицей MITRE ATT&CK, мы классифицировали оповещения по соответствующей тактике MITRE ATT&CK. Эта дополнительная ссылка упрощает понимание метода подозрительных атак, потенциально используемых при активации оповещения системы управления приложениями.

В этом руководстве содержатся сведения об изучении и исправлении оповещений системы управления приложениями в следующих категориях.

Классификации оповещений системы безопасности

После правильного исследования все оповещения системы управления приложениями можно классифицировать как один из следующих типов действий:

  • Истинно положительный (TP): оповещение о подтвержденной вредоносной активности.
  • Доброкачественные истинные положительные (B-TP): оповещение о подозрительной, но не вредоносной деятельности, например тест на проникновение или другие авторизованные подозрительные действия.
  • Ложноположительное срабатывание (FP): оповещение о невредимом действии.

Общие действия по расследованию

Используйте следующие общие рекомендации при изучении любого типа оповещений, чтобы получить более четкое представление о потенциальной угрозе перед применением рекомендуемого действия.

  • Просмотрите уровень серьезности приложения и сравните остальные приложения в клиенте. Эта проверка помогает определить, какие приложения в клиенте представляют больший риск.

  • Если вы определите TP, просмотрите все действия приложения, чтобы получить представление о влиянии. Например, просмотрите следующие сведения о приложении:

    • Предоставленный доступ к областям
    • Необычное поведение
    • IP-адрес и расположение

Оповещения о начальном доступе

В этом разделе описываются оповещения, указывающие на то, что вредоносное приложение может пытаться сохранить свой колонтитул в вашей организации.

Перенаправление приложений на фишинговый URL-адрес путем использования уязвимости перенаправления OAuth

Серьезность: средний

Это обнаружение определяет приложения OAuth, перенаправленные на фишинговые URL-адреса, используя параметр типа ответа в реализации OAuth через API Microsoft Graph.

TP или FP?

  • TP. Если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника, тип ответа URL-адреса ответа после согласия приложения OAuth содержит недопустимый запрос и перенаправляется на неизвестный или ненадежный URL-адрес ответа.

    Рекомендуемое действие. Отключите и удалите приложение, сбросите пароль и удалите правило папки "Входящие". 

  • FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите все действия, выполненные приложением. 
  2. Просмотрите область, предоставленные приложением. 

Приложение OAuth с подозрительным URL-адресом ответа

Серьезность: средний

Это обнаружение определяет приложение OAuth, которое обращается к подозрительному URL-адресу ответа через API Microsoft Graph.

TP или FP?

  • TP: Если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника и перенаправляется на подозрительный URL-адрес, то указывается истинное положительное значение. Подозрительный URL-адрес является одним из тех, где репутация URL-адреса неизвестна, не является доверенным или чьи домены недавно зарегистрированы, и запрос приложения предназначен для высокой привилегии область.

    Рекомендуемое действие. Просмотрите URL-адрес ответа, домены и область запрошенные приложением. На основе расследования вы можете запретить доступ к этому приложению. Просмотрите уровень разрешений, запрошенных этим приложением, и какие пользователи получают доступ.

    Чтобы запретить доступ к приложению, перейдите на соответствующую вкладку для приложения на странице управления приложениями . В строке, в которой появится приложение, которое вы хотите запретить, выберите значок запрета. Вы можете выбрать, хотите ли вы сообщить пользователям, что они установили и авторизованы. Уведомление позволяет пользователям знать, что приложение будет отключено, и у них нет доступа к подключенном приложению. Если вы не хотите сообщать пользователям о блокировке приложения, снимите флажок Уведомить пользователей, предоставивших доступ заблокированному приложению в диалоговом окне. Рекомендуется сообщить пользователям приложения о том, что их приложение будет запрещено использовать.

  • FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите созданные недавно приложения и ИХ URL-адреса ответа.

  2. Просмотрите все действия, выполненные приложением. 

  3. Просмотрите область, предоставленные приложением. 

Серьезность: низкая

Это обнаружение идентифицирует приложение OAuth, созданное недавно и обнаруживающее низкую скорость согласия. Это может указывать на вредоносное или рискованное приложение, которое заманит пользователей в незаконных грантах согласия.

TP или FP?

  • TP: Если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника, то отображается истинное положительное значение.

    Рекомендуемое действие: просмотрите отображаемое имя, URL-адреса ответа и домены приложения. На основе расследования вы можете запретить доступ к этому приложению. Просмотрите уровень разрешений, запрошенных этим приложением, и какие пользователи предоставили доступ.

  • FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите все действия, выполненные приложением.
  2. Если вы подозреваете, что приложение подозрительно, рекомендуется исследовать имя приложения и домен ответа в разных магазинах приложений. При проверка магазинах приложений сосредоточьтесь на следующих типах приложений:
    • Приложения, созданные недавно
    • Приложение с необычным отображаемого имени
    • Приложения с подозрительным доменом ответа
  3. Если вы по-прежнему подозреваете, что приложение подозрительно, вы можете изучить отображаемое имя приложения и домен ответа.

Приложение с плохой репутацией URL-адреса

Серьезность: средний

Это обнаружение определяет приложение OAuth, которое было найдено с плохой репутацией URL-адреса.

TP или FP?

  • TP: Если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника и перенаправляется на подозрительный URL-адрес, то отображается истинное положительное значение.

    Рекомендуемое действие. Просмотрите URL-адреса ответа, домены и область запрошенные приложением. На основе расследования вы можете запретить доступ к этому приложению. Просмотрите уровень разрешений, запрошенных этим приложением, и какие пользователи предоставили доступ.

  • FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите все действия, выполненные приложением.
  2. Если вы подозреваете, что приложение подозрительно, рекомендуется исследовать имя приложения и домен ответа в разных магазинах приложений. При проверка магазинах приложений сосредоточьтесь на следующих типах приложений:
    • Приложения, созданные недавно
    • Приложение с необычным отображаемого имени
    • Приложения с подозрительным доменом ответа
  3. Если вы по-прежнему подозреваете, что приложение подозрительно, вы можете изучить отображаемое имя приложения и домен ответа.

Серьезность: средний

Описание. Это обнаружение определяет приложения OAuth с символами, такими как Юникод или закодированные символы, запрашиваемые для подозрительных область согласия и доступ к почтовым папкам пользователей через API Graph. Это оповещение может указывать на попытку камуфляжировать вредоносное приложение как известное и доверенное приложение, чтобы злоумышленники могли ввести пользователей в заблуждение в предоставлении согласия вредоносному приложению.

TP или FP?

  • TP: Если вы можете подтвердить, что приложение OAuth закодировало отображаемое имя с подозрительными область, доставленными из неизвестного источника, то указано истинное положительное значение.

    Рекомендуемое действие. Просмотрите уровень разрешений, запрошенных этим приложением, и какие пользователи предоставили доступ. На основе расследования вы можете запретить доступ к этому приложению.

    Чтобы запретить доступ к приложению, перейдите на соответствующую вкладку для приложения на странице управления приложениями . В строке, в которой появится приложение, которое вы хотите запретить, выберите значок запрета. Вы можете выбрать, хотите ли вы сообщить пользователям, что они установили и авторизованы. В уведомлении пользователям сообщается о том, что приложение будет отключено и доступ к нему станет невозможен. Если вы не хотите сообщать пользователям о блокировке приложения, снимите флажок Уведомить пользователей, предоставивших доступ заблокированному приложению в диалоговом окне. Рекомендуется сообщить пользователям приложения о том, что их приложение будет запрещено использовать.

  • FP: Если вы хотите подтвердить, что приложение имеет закодированное имя, но имеет законное бизнес-использование в организации.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

Следуйте инструкциям по изучению рискованных приложений OAuth.

Приложение OAuth с область чтения имеет подозрительный URL-адрес ответа

Серьезность: средний

Описание. Это обнаружение определяет приложение OAuth только считываемыми область, такими как User.Read, Люди. Чтение, контакты.Чтение, Почта.Чтение, Контакты.Чтение. Общие перенаправления на подозрительный URL-адрес ответа через API Graph. Это действие пытается указать, что вредоносное приложение с менее привилегированным разрешением (например, чтение область) может быть использовано для проведения разведки учетных записей пользователей.

TP или FP?

  • TP: Если вы можете подтвердить, что приложение OAuth с область чтения доставляется из неизвестного источника и перенаправляется на подозрительный URL-адрес, то отображается истинное положительное значение.

    Рекомендуемое действие. Просмотрите URL-адрес ответа и область запрошенные приложением. На основе расследования вы можете запретить доступ к этому приложению. Просмотрите уровень разрешений, запрошенных этим приложением, и какие пользователи предоставили доступ.

    Чтобы запретить доступ к приложению, перейдите на соответствующую вкладку для приложения на странице управления приложениями . В строке, в которой появится приложение, которое вы хотите запретить, выберите значок запрета. Вы можете выбрать, хотите ли вы сообщить пользователям, что они установили и авторизованы. В уведомлении пользователям сообщается о том, что приложение будет отключено и доступ к нему станет невозможен. Если вы не хотите сообщать пользователям о блокировке приложения, снимите флажок Уведомить пользователей, предоставивших доступ заблокированному приложению в диалоговом окне. Рекомендуется сообщить пользователям приложения о том, что их приложение будет запрещено использовать.

  • B-TP: если после расследования, вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите все действия, выполненные приложением.
  2. Если вы подозреваете, что приложение подозрительно, рекомендуется исследовать имя приложения и URL-адрес ответа в разных магазинах приложений. При проверка магазинах приложений сосредоточьтесь на следующих типах приложений:
    • Приложения, созданные недавно.
    • Приложения с подозрительным URL-адресом ответа
    • Приложения, которые недавно не были обновлены. Отсутствие обновлений может указывать на то, что приложение больше не поддерживается.
  3. Если вы по-прежнему подозреваете, что приложение подозрительно, вы можете изучить имя приложения, имя издателя и URL-адрес ответа в Интернете.

Приложение с необычным отображаемого имени и необычным TLD в домене ответа

Серьезность: средний

Это обнаружение определяет приложение с необычным отображаемым именем и перенаправлением на подозрительный домен ответа с необычным доменом верхнего уровня (TLD) через API Graph. Это может указывать на попытку камуфляжировать вредоносное или рискованное приложение как известное и надежное приложение, чтобы злоумышленники могли ввести пользователей в заблуждение о согласии с их вредоносным или рискованным приложением. 

TP или FP?

  • TP: Если вы можете подтвердить, что приложение с необычным отображающимся именем, доставленным из неизвестного источника, и перенаправления в подозрительный домен с необычным доменом верхнего уровня

    Рекомендуемое действие: просмотрите отображаемое имя и домен ответа приложения. На основе расследования вы можете запретить доступ к этому приложению. Просмотрите уровень разрешений, запрошенных этим приложением, и какие пользователи предоставили доступ.

  • FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

Просмотрите все действия, выполненные приложением. Если вы подозреваете, что приложение подозрительно, рекомендуется исследовать имя приложения и домен ответа в разных магазинах приложений. При проверка магазинах приложений сосредоточьтесь на следующих типах приложений:

  • Приложения, созданные недавно
  • Приложение с необычным отображаемого имени
  • Приложения с подозрительным доменом ответа

Если вы по-прежнему подозреваете, что приложение подозрительно, вы можете изучить отображаемое имя приложения и домен ответа.

Серьезность: средний

Это обнаружение определяет приложения OAuth, созданные недавно в относительно новых клиентах издателя со следующими характеристиками:

  • Разрешения на доступ или изменение параметров почтового ящика
  • Относительно низкая частота согласия, которая может идентифицировать нежелательные или даже вредоносные приложения, которые пытаются получить согласие от неуказательных пользователей

TP или FP?

  • TP: Если вы можете подтвердить, что запрос согласия на приложение был доставлен из неизвестного или внешнего источника, а приложение не имеет законного бизнес-использования в организации, то указано истинное положительное значение.

    Рекомендуемое действие.

    • Обратитесь к пользователям и администраторам, которые предоставили этому приложению согласие, чтобы убедиться, что это было намеренно, и чрезмерные привилегии являются нормальными.
    • Изучите действия приложения и проверка затронутых учетных записей для подозрительных действий.
    • На основе исследования отключите приложение и приостанавливайте и сбрасывайте пароли для всех затронутых учетных записей.
    • Классифицируйте оповещение как истинное положительное.
  • FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.

    Рекомендуемое действие: классифицируйте оповещение как ложное срабатывание и рассмотрите возможность совместного использования отзывов на основе исследования оповещения.

Общие сведения о область нарушения

Проверка предоставления согласия приложению, сделанному пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовому ящику связанных пользователей и учетных записей администратора. Если вы подозреваете, что приложение подозрительно, рассмотрите возможность отключения приложения и смены учетных данных всех затронутых учетных записей.

Серьезность: средний

Это оповещение определяет приложения OAuth, зарегистрированные в последнее время в относительно новом клиенте издателя с разрешениями на изменение параметров почтового ящика и доступа к электронной почте. Он также проверяет, имеет ли приложение относительно низкую глобальную частоту согласия и выполняет многочисленные вызовы API Microsoft Graph для доступа к электронной почте пользователей с согласием. Приложения, которые активируют это оповещение, могут быть нежелательными или вредоносными приложениями, пытающимися получить согласие от неуказательных пользователей.

TP или FP?

  • TP: Если вы можете подтвердить, что запрос согласия на приложение был доставлен из неизвестного или внешнего источника, а приложение не имеет законного бизнес-использования в организации, то указано истинное положительное значение.

    Рекомендуемое действие.

    • Обратитесь к пользователям и администраторам, которые предоставили этому приложению согласие, чтобы убедиться, что это было намеренно, и чрезмерные привилегии являются нормальными.
    • Изучите действия приложения и проверка затронутых учетных записей для подозрительных действий.
    • На основе исследования отключите приложение и приостанавливайте и сбрасывайте пароли для всех затронутых учетных записей.
    • Классифицируйте оповещение как истинное положительное.
  • FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации, то отображается ложное срабатывание.

    Рекомендуемое действие: классифицируйте оповещение как ложное срабатывание и рассмотрите возможность совместного использования отзывов на основе исследования оповещения.

Общие сведения о область нарушения

Проверка предоставления согласия приложению, сделанному пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовым ящикам связанных пользователей и учетных записей администраторов. Если вы подозреваете, что приложение подозрительно, рассмотрите возможность отключения приложения и смены учетных данных всех затронутых учетных записей.

Подозрительное приложение с разрешениями на почту, отправляя многочисленные сообщения электронной почты

Серьезность: средний

Это оповещение находит мультитенантные приложения OAuth, которые выполнили многочисленные вызовы API Microsoft Graph для отправки сообщений электронной почты в течение короткого периода времени. Он также проверяет, привели ли вызовы API к ошибкам и неудачным попыткам отправить сообщения электронной почты. Приложения, которые активируют это оповещение, могут активно отправлять спам или вредоносные сообщения электронной почты другим целевым объектам.

TP или FP?

  • TP: Если вы можете подтвердить, что запрос согласия на приложение был доставлен из неизвестного или внешнего источника, а приложение не имеет законного бизнес-использования в организации, то указано истинное положительное значение.

    Рекомендуемое действие.

    • Обратитесь к пользователям и администраторам, которые предоставили этому приложению согласие, чтобы убедиться, что это было намеренно, и чрезмерные привилегии являются нормальными.
    • Изучите действия приложения и проверка затронутых учетных записей для подозрительных действий.
    • На основе исследования отключите приложение и приостанавливайте и сбрасывайте пароли для всех затронутых учетных записей.
    • Классифицируйте оповещение как истинное положительное.
  • FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации, то отображается ложное срабатывание.

    Рекомендуемое действие: классифицируйте оповещение как ложное срабатывание и рассмотрите возможность совместного использования отзывов на основе исследования оповещения.

Общие сведения о область нарушения

Проверка предоставления согласия приложению, сделанному пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовому ящику связанных пользователей и учетных записей администратора. Если вы подозреваете, что приложение подозрительно, рассмотрите возможность отключения приложения и смены учетных данных всех затронутых учетных записей.

Подозрительное приложение OAuth, используемое для отправки многочисленных сообщений электронной почты

Серьезность: средний

Это оповещение указывает на приложение OAuth, которое сделало многочисленные вызовы API Microsoft Graph для отправки сообщений электронной почты в течение короткого периода времени. Клиент издателя приложения, как известно, создает большой объем приложений OAuth, которые делают аналогичные вызовы API Microsoft Graph. Злоумышленник может активно использовать это приложение для отправки нежелательной почты или вредоносных сообщений в целевые объекты.

TP или FP?

  • TP: Если вы можете подтвердить, что запрос согласия на приложение был доставлен из неизвестного или внешнего источника, а приложение не имеет законного бизнес-использования в организации, то указано истинное положительное значение.

    Рекомендуемое действие.

    • Обратитесь к пользователям и администраторам, которые предоставили этому приложению согласие, чтобы убедиться, что это было намеренно, и чрезмерные привилегии являются нормальными.
    • Изучите действия приложения и проверка затронутых учетных записей для подозрительных действий.
    • На основе исследования отключите приложение и приостанавливайте и сбрасывайте пароли для всех затронутых учетных записей.
    • Классифицируйте оповещение как истинное положительное.
  • FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации, то отображается ложное срабатывание.

    Рекомендуемое действие: классифицируйте оповещение как ложное срабатывание и рассмотрите возможность совместного использования отзывов на основе исследования оповещения.

Общие сведения о область нарушения

Проверка предоставления согласия приложению, сделанному пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовому ящику связанных пользователей и учетных записей администратора. Если вы подозреваете, что приложение подозрительно, рассмотрите возможность отключения приложения и смены учетных данных всех затронутых учетных записей.

Оповещения сохраняемости

В этом разделе описываются оповещения, указывающие на то, что злоумышленник может пытаться сохранить свой колонтитул в вашей организации.

Приложение сделало аномальные вызовы Graph к обновлению сертификата рабочей нагрузки Exchange или добавлению новых учетных данных

Серьезность: средний

ИДЕНТИФИКАТОР MITRE: T1098.001, T1114

Это обнаружение активирует оповещение при обновлении или добавлении новых учетных данных в приложении бизнес-аналитики или добавлении новых учетных данных и в течение нескольких дней после обновления или добавления новых учетных данных, наблюдались необычные действия или использование больших объемов для рабочей нагрузки Exchange через API Graph с помощью алгоритма машинного обучения.

TP или FP?

  • TP. Если вы можете подтвердить, что необычные действия/большое использование рабочей нагрузки Exchange выполнялись бизнес-приложением через API Graph

    Рекомендуется выполнить действие. Временно отключите приложение и сбросите пароль, а затем снова включите приложение.

  • FP: Если вы можете подтвердить, что не было необычных действий, выполняемых бизнес-приложением или приложением, предназначено для выполнения необычных вызовов графа.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите все действия, выполняемые этим приложением.
  2. Просмотрите область, предоставленные приложением.
  3. Просмотрите действия пользователя, связанные с этим приложением.

Приложение с подозрительным область OAuth было отмечено высоким риском в модели Машинное обучение, вызовы графов для чтения электронной почты и создания правила папки "Входящие"

Серьезность: средний

MITRE ID: T1137.005, T1114

Это обнаружение идентифицирует Приложение OAuth, помеченную высоким риском, Машинное обучение модели, которая согласилась на подозрительные область, создает подозрительное правило папки и сообщения электронной почты пользователей через API Graph. Правила папки "Входящие", такие как пересылка всех или определенных сообщений электронной почты в другую учетную запись электронной почты, а также вызовы Graph для доступа к электронной почте и отправке в другую учетную запись электронной почты, могут быть попыткой получить информацию из вашей организации.

TP или FP?

  • TP: Если вы можете подтвердить, что правило папки "Входящие" было создано сторонним приложением OAuth с подозрительными область, доставленными из неизвестного источника, то обнаруживается истинное положительное значение.

    Рекомендуемое действие. Отключите и удалите приложение, сбросите пароль и удалите правило папки "Входящие".

Следуйте инструкциям по сбросу пароля с помощью идентификатора Microsoft Entra и следуйте инструкциям по удалению правила папки "Входящие".

  • FP: Если вы можете подтвердить, что приложение создало правило папки "Входящие" в новую или личную внешнюю учетную запись электронной почты по законным причинам.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите все действия, выполненные приложением.
  2. Просмотрите область, предоставленные приложением.
  3. Просмотрите действие правила папки "Входящие" и условие, созданное приложением.

Приложение с подозрительными область OAuth вызовы графа для чтения электронной почты и созданного правила папки "Входящие"

Серьезность: средний

Идентификатор MITRE: T1137.005, T1114

Это обнаружение определяет Приложение OAuth, которые предоставили согласие на подозрительные область, создает подозрительное правило папки папки и сообщения электронной почты пользователей через API Graph. Правила папки "Входящие", такие как пересылка всех или определенных сообщений электронной почты в другую учетную запись электронной почты, а также вызовы Graph для доступа к электронной почте и отправке в другую учетную запись электронной почты, могут быть попыткой получить информацию из вашей организации.

TP или FP?

  • TP: Если вы можете подтвердить, что правило папки "Входящие" было создано сторонним приложением OAuth с подозрительными область, доставленными из неизвестного источника, указано истинное положительное значение.

    Рекомендуемое действие. Отключите и удалите приложение, сбросите пароль и удалите правило папки "Входящие".

    Следуйте инструкциям по сбросу пароля с помощью идентификатора Microsoft Entra и следуйте инструкциям по удалению правила папки "Входящие".

  • FP: Если вы можете подтвердить, что приложение создало правило папки "Входящие" в новую или личную внешнюю учетную запись электронной почты по законным причинам.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите все действия, выполненные приложением.
  2. Просмотрите область, предоставленные приложением.
  3. Просмотрите действие правила папки "Входящие" и условие, созданное приложением.

Доступ к приложению из необычного расположения после обновления сертификата

Серьезность: низкая

MITRE ID: T1098

Это обнаружение активирует оповещение, когда бизнес-приложение было обновлено сертификат / секрет и в течение нескольких дней после обновления сертификата, приложение обращается из необычного расположения, которое не было замечено недавно или никогда не было доступа в прошлом.

TP или FP?

  • TP: если вы можете подтвердить, что бизнес-приложение обращается из необычного расположения и выполняет необычные действия через API Graph.

    Рекомендуется выполнить действие. Временно отключите приложение и сбросите пароль, а затем снова включите приложение.

  • FP: Если вы можете подтвердить, что бизнес-приложение, доступ к которому осуществляется из необычного расположения для законной цели, и не выполняются необычные действия.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите все действия, выполняемые этим приложением.
  2. Просмотрите область, предоставленные приложением.
  3. Просмотрите действия пользователя, связанные с этим приложением.

Доступ к приложению из необычного расположения сделал аномальные вызовы Graph после обновления сертификата

Серьезность: средний

MITRE ID: T1098

Это обнаружение активирует оповещение, когда бизнес-приложение обновило сертификат или секрет и в течение нескольких дней после обновления сертификата, приложение обращается из необычного расположения, которое не было замечено недавно или никогда не было доступа в прошлом и не наблюдалось необычных действий или использования через API Graph с помощью алгоритма машинного обучения.

TP или FP?

  • TP: Если вы можете подтвердить, что необычные действия и использование было выполнено бизнес-приложением через API Graph из необычного расположения.

    Рекомендуется выполнить действие. Временно отключите приложение и сбросите пароль, а затем снова включите приложение.

  • FP: Если вы можете подтвердить, что бизнес-приложение, доступ к которому осуществляется из необычного расположения для законной цели, и не выполняются необычные действия.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите все действия, выполняемые этим приложением.
  2. Просмотрите область, предоставленные приложением.
  3. Просмотрите действия пользователя, связанные с этим приложением.

Приложение, созданное недавно, имеет большое количество отозванных согласия

Серьезность: средний

ИДЕНТИФИКАТОР MITRE: T1566, T1098

Несколько пользователей отозвали свое согласие на это недавно созданное бизнес-приложение или стороннее приложение. Это приложение может заманить пользователей на предоставление согласия непреднамеренно.

TP или FP?

  • TP. Если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника, и поведение приложения подозрительно. 

    Рекомендуемое действие. Отмена согласия, предоставленного приложению, и отключение приложения. 

  • FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации и никаких необычных действий, выполняемых приложением.

    Рекомендуемое действие: отключение оповещения

Общие сведения о область нарушения

  1. Просмотрите все действия, выполняемые приложением.
  2. Если вы подозреваете, что приложение подозрительно, рекомендуется исследовать имя и домен ответа приложения в разных магазинах приложений. При проверка магазинах приложений сосредоточьтесь на следующих типах приложений:
    • Приложения, созданные недавно
    • Приложения с необычным отображаемым именем
    • Приложения с подозрительным доменом ответа
  3. Если вы по-прежнему подозреваете, что приложение подозрительно, вы можете изучить отображаемое имя приложения и домен ответа.

Метаданные приложения, связанные с известной кампанией фишинга

Серьезность: средний

Это обнаружение создает оповещения для приложений, отличных от Microsoft OAuth, с метаданными, такими как имя, URL-адрес или издатель, которые ранее наблюдались в приложениях, связанных с фишинговой кампанией. Эти приложения могут быть частью той же кампании и могут быть вовлечены в кражу конфиденциальной информации.

TP или FP?

  • TP: Если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника и выполняет необычные действия.

    Рекомендуемое действие.

    • Дополнительные сведения о регистрации приложения см. в разделе "Управление приложениями" и дополнительные сведения см. в идентификаторе Microsoft Entra.
    • Обратитесь к пользователям или администраторам, которые предоставили согласие или разрешения приложению. Убедитесь, что изменения были преднамеренными.
    • Выполните поиск в таблице Расширенной охоты CloudAppEvents , чтобы понять действие приложения и определить, ожидается ли наблюдаемое поведение.
    • Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия в области хранения. Отключите приложение с помощью системы управления приложениями или идентификатора Microsoft Entra, чтобы предотвратить доступ к ресурсам. Существующие политики управления приложениями, возможно, уже деактивировали приложение.
  • FP: Если вы можете подтвердить, что необычные действия не были выполнены приложением и что приложение имеет законное бизнес-использование в организации.

    Рекомендуемое действие: отключение оповещения

Общие сведения о область нарушения

  1. Просмотрите все действия, выполняемые приложением.
  2. Просмотрите область, предоставленные приложению.
  3. Просмотрите действие пользователя, связанное с приложением.

Метаданные приложения, связанные с ранее помеченными подозрительными приложениями

Серьезность: средний

Это обнаружение создает оповещения для приложений, отличных от Microsoft OAuth, с метаданными, такими как имя, URL-адрес или издатель, которые ранее наблюдались в приложениях, помеченных управлением приложениями из-за подозрительной активности. Это приложение может быть частью кампании атаки и может быть вовлечено в кражу конфиденциальной информации.

TP или FP?

  • TP: Если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника и выполняет необычные действия.

    Рекомендуемое действие.

    • Дополнительные сведения о регистрации приложения см. в разделе "Управление приложениями" и дополнительные сведения см. в идентификаторе Microsoft Entra.
    • Обратитесь к пользователям или администраторам, которые предоставили согласие или разрешения приложению. Убедитесь, что изменения были преднамеренными.
    • Выполните поиск в таблице Расширенной охоты CloudAppEvents , чтобы понять действие приложения и определить, ожидается ли наблюдаемое поведение.
    • Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия в области хранения. Отключите приложение с помощью системы управления приложениями или идентификатора Microsoft Entra, чтобы предотвратить доступ к ресурсам. Существующие политики управления приложениями, возможно, уже деактивировали приложение.
  • FP: Если вы можете подтвердить, что необычные действия не были выполнены приложением и что приложение имеет законное бизнес-использование в организации.

    Рекомендуемое действие: отключение оповещения

Общие сведения о область нарушения

  1. Просмотрите все действия, выполняемые приложением.
  2. Просмотрите область, предоставленные приложению.
  3. Просмотрите действие пользователя, связанное с приложением.

Подозрительное действие электронной почты приложения OAuth через API Graph

Серьезность: высокий уровень

Это обнаружение создает оповещения для мультитенантных приложений OAuth, зарегистрированных пользователями с высоким уровнем риска входа, которые вызывают API Microsoft Graph для выполнения подозрительных действий электронной почты в течение короткого периода времени.

Это обнаружение проверяет, были ли вызовы API созданы для создания правила почтового ящика, создания электронной почты ответа, пересылки электронной почты, ответа или отправки новых сообщений электронной почты. Приложения, которые активируют это оповещение, могут активно отправлять спам или вредоносные сообщения электронной почты другим целевым объектам или эксфильтровать конфиденциальные данные и очищать дорожки для предотвращения обнаружения.

TP или FP?

  • TP: Если вы можете подтвердить, что создание и согласие приложения было доставлено из неизвестного или внешнего источника, а приложение не имеет законного бизнес-использования в организации, то будет указано истинное положительное значение.

    Рекомендуемое действие.

    • Обратитесь к пользователям и администраторам, которые предоставили этому приложению согласие, чтобы убедиться, что это было намеренно, и чрезмерные привилегии являются нормальными.

    • Изучите действия приложения и проверка затронутых учетных записей для подозрительных действий.

    • На основе исследования отключите приложение и приостанавливайте и сбрасывайте пароли для всех затронутых учетных записей и удалите правило папки "Входящие".

    • Классифицируйте оповещение как истинное положительное.

  • FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации, то отображается ложное срабатывание.

    Рекомендуемое действие.

    • Классифицируйте оповещение как ложное срабатывание и рассмотрите возможность совместного использования отзывов на основе исследования оповещения.

    • Ознакомьтесь с область нарушения:

      Проверка предоставления согласия приложению, сделанному пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовому ящику связанных пользователей и учетных записей администратора. Если вы подозреваете, что приложение подозрительно, рассмотрите возможность отключения приложения и смены учетных данных всех затронутых учетных записей.

Подозрительное действие электронной почты приложения OAuth с помощью API EWS

Серьезность: высокий уровень

Это обнаружение создает оповещения для мультитенантных приложений OAuth, зарегистрированных пользователями с высоким уровнем риска входа, который выполнял вызовы API веб-служб Microsoft Exchange (EWS) для выполнения подозрительных действий электронной почты в течение короткого периода времени.

Это обнаружение проверяет, были ли вызовы API для обновления правил папки "Входящие", перемещения элементов, удаления электронной почты, удаления папки или удаления вложения. Приложения, которые активируют это оповещение, могут активно эксфильтровать или удалять конфиденциальные данные и очищать дорожки, чтобы избежать обнаружения.

TP или FP?

  • TP: Если вы можете подтвердить, что создание и согласие приложения было доставлено из неизвестного или внешнего источника, а приложение не имеет законного бизнес-использования в организации, то будет указано истинное положительное значение.

    Рекомендуемое действие.

    • Обратитесь к пользователям и администраторам, которые предоставили этому приложению согласие, чтобы убедиться, что это было намеренно, и чрезмерные привилегии являются нормальными.

    • Изучите действия приложения и проверка затронутых учетных записей для подозрительных действий.

    • На основе исследования отключите приложение и приостанавливайте и сбрасывайте пароли для всех затронутых учетных записей и удалите правило папки "Входящие".

    • Классифицируйте оповещение как истинное положительное.

  • FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации, то отображается ложное срабатывание.

    Рекомендуемое действие.

    • Классифицируйте оповещение как ложное срабатывание и рассмотрите возможность совместного использования отзывов на основе исследования оповещения.

    • Ознакомьтесь с область нарушения:

      Проверка предоставления согласия приложению, сделанному пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовому ящику связанных пользователей и учетных записей администратора. Если вы подозреваете, что приложение подозрительно, рассмотрите возможность отключения приложения и смены учетных данных всех затронутых учетных записей.

Оповещения о эскалации привилегий

Приложение OAuth с подозрительными метаданными имеет разрешение Exchange

Серьезность: средний

ИДЕНТИФИКАТОР MITRE: T1078

Это оповещение активируется, когда бизнес-приложение с подозрительными метаданными имеет привилегию на управление разрешением через Exchange.

TP или FP?

  • TP: Если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника и имеет подозрительные характеристики метаданных, то будет указано истинное положительное значение.

Рекомендуемое действие. Отмена согласия, предоставленного приложению, и отключение приложения.

FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.

Рекомендуемое действие: отключение оповещения

Общие сведения о область нарушения

  1. Просмотрите все действия, выполненные приложением.
  2. Просмотрите область, предоставленные приложением.
  3. Просмотрите действие пользователя, связанное с приложением.

Оповещения об отвещении обороны

Серьезность: средний

Облачное приложение, отличное от Майкрософт, использует логотип, найденный алгоритмом машинного обучения, похожим на логотип Майкрософт. Это может быть попытка олицетворения продуктов программного обеспечения Майкрософт и показаться законными.

Примечание.

Администраторам клиента потребуется предоставить согласие с помощью всплывающего окна, чтобы иметь необходимые данные, отправленные за пределы текущей границы соответствия требованиям, и выбрать партнерские команды в Корпорации Майкрософт, чтобы включить это обнаружение угроз для бизнес-приложений.

TP или FP?

  • TP: Если вы можете подтвердить, что логотип приложения является имитацией логотипа Майкрософт, и поведение приложения подозрительно. 

    Рекомендуемое действие. Отмена согласия, предоставленного приложению, и отключение приложения.

  • FP: Если вы можете подтвердить, что логотип приложения не является имитацией логотипа Майкрософт или никаких необычных действий, выполняемых приложением. 

    Рекомендуемое действие: отключение оповещения

Общие сведения о область нарушения

  1. Просмотрите все действия, выполняемые приложением.
  2. Просмотрите область, предоставленные приложению.
  3. Просмотрите действие пользователя, связанное с приложением.

Приложение связано с доменом typeosquatted

Серьезность: средний

Это обнаружение создает оповещения для приложений, отличных от Microsoft OAuth, с доменами издателя или URL-адресами перенаправления, которые содержат типоскватированные версии фирменных имен Майкрософт. Typeosquatting обычно используется для записи трафика на сайты всякий раз, когда пользователи непреднамеренно неправильно вводят URL-адреса, но их также можно использовать для олицетворения популярных продуктов и служб программного обеспечения.

TP или FP?

  • TP. Если вы можете подтвердить, что домен издателя или URL-адрес перенаправления приложения опечатано и не связан с истинным удостоверением приложения.

    Рекомендуемое действие.

    • Дополнительные сведения о регистрации приложения см. в разделе "Управление приложениями" и дополнительные сведения см. в идентификаторе Microsoft Entra.
    • Проверьте приложение на наличие других признаков спуфингов или олицетворения и любых подозрительных действий.
    • Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия в области хранения. Отключите приложение с помощью управления приложениями, чтобы предотвратить доступ к ресурсам. Существующие политики управления приложениями, возможно, уже деактивировали приложение.
  • FP: Если вы можете подтвердить, что домен издателя и URL-адрес перенаправления приложения являются законными. 

    Рекомендуемое действие: классифицируйте оповещение как ложное срабатывание и рассмотрите возможность совместного использования отзывов на основе исследования оповещения.

Общие сведения о область нарушения

  1. Просмотрите все действия, выполняемые приложением.
  2. Просмотрите область, предоставленные приложению.
  3. Просмотрите действие пользователя, связанное с приложением.

Доступ к учетным данным

В этом разделе описываются оповещения, указывающие, что злоумышленник может пытаться считывать конфиденциальные данные учетных данных и состоит из методов кражи учетных данных, таких как имена учетных записей, секреты, токены, сертификаты и пароли в вашей организации.

Приложение, инициирующее несколько неудачных действий чтения KeyVault без успеха

Серьезность: средний

MITRE ID: T1078.004

Это обнаружение определяет приложение в клиенте, которое наблюдалось, выполняя несколько вызовов действий чтения к KeyVault с помощью API Azure Resource Manager в короткий интервал, и только сбои и отсутствие успешного выполнения действия чтения.

TP или FP?

  • TP: Если приложение неизвестно или не используется, данное действие потенциально подозрительно. После проверки используемого ресурса Azure и проверки использования приложения в клиенте данное действие может потребовать отключения приложения. Обычно это свидетельство предполагаемого действия перечисления в ресурсе KeyVault для получения доступа к учетным данным для бокового перемещения или эскалации привилегий.

    Рекомендуемые действия. Просмотрите ресурсы Azure, к которым обращается приложение или создано, и все последние изменения, внесенные в приложение. На основе расследования выберите, нужно ли запретить доступ к этому приложению. Просмотрите уровень разрешений, запрошенный этим приложением, и какие пользователи предоставили доступ.

  • FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите доступ и действие приложения.
  2. Просмотрите все действия, выполненные приложением с момента его создания.
  3. Просмотрите область, предоставленные приложением в API Graph, и роль, предоставленную в вашей подписке.
  4. Просмотрите любого пользователя, который мог получить доступ к приложению до действия.

Оповещения об обнаружении

Перечисление выполненного приложения

Серьезность: средний

ИДЕНТИФИКАТОР MITRE: T1087

Это обнаружение определяет приложение OAuth, обнаруженное Машинное обучение модели, выполняющей перечисление файлов OneDrive с помощью API Graph.

TP или FP?

  • TP. Если вы можете подтвердить, что необычные действия и использование в OneDrive были выполнены бизнес-приложением через API Graph.

    Рекомендуемое действие. Отключите и удалите приложение и сбросить пароль.

  • FP: Если вы можете подтвердить, что необычные действия не выполнялись приложением.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите все действия, выполняемые этим приложением.
  2. Просмотрите область, предоставленные приложением.
  3. Просмотрите действия пользователя, связанные с этим приложением.

Подозрительные действия перечисления, выполняемые с помощью Microsoft Graph PowerShell

Серьезность: средний

ИДЕНТИФИКАТОР MITRE: T1087

Это обнаружение определяет большой объем подозрительных действий перечисления, выполняемых в течение короткого промежутка времени через приложение Microsoft Graph PowerShell .

TP или FP?

  • TP. Если вы можете подтвердить, что подозрительные или необычные действия перечисления были выполнены приложением Microsoft Graph PowerShell.

    Рекомендуемое действие. Отключите и удалите приложение и сбросите пароль.

  • FP: Если вы можете подтвердить, что необычные действия не выполнялись приложением.

    Рекомендуемое действие: закройте оповещение.

Общие сведения о область нарушения

  1. Просмотрите все действия, выполняемые этим приложением.
  2. Просмотрите действия пользователя, связанные с этим приложением.

Недавно созданное мультитенантное приложение часто перечисляет сведения о пользователях

Серьезность: средний

ИДЕНТИФИКАТОР MITRE: T1087

Это оповещение находит приложения OAuth, зарегистрированные недавно в относительно новом клиенте издателя с разрешениями на изменение параметров почтового ящика и доступа к электронной почте. Он проверяет, выполняется ли приложение многочисленные вызовы к API Microsoft Graph, запрашивая сведения о каталоге пользователей. Приложения, которые активируют это оповещение, могут заманить пользователей на предоставление согласия, чтобы они могли получить доступ к данным организации.

TP или FP?

  • TP: Если вы можете подтвердить, что запрос согласия на приложение был доставлен из неизвестного или внешнего источника, а приложение не имеет законного бизнес-использования в организации, то указано истинное положительное значение.

    Рекомендуемое действие.

    • Обратитесь к пользователям и администраторам, которые предоставили этому приложению согласие, чтобы убедиться, что это было намеренно, и чрезмерные привилегии являются нормальными.
    • Изучите действия приложения и проверка затронутых учетных записей для подозрительных действий.
    • На основе исследования отключите приложение и приостанавливайте и сбрасывайте пароли для всех затронутых учетных записей.
    • Классифицируйте оповещение как истинное положительное.
  • FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации, то отображается ложное срабатывание.

    Рекомендуемое действие: классифицируйте оповещение как ложное срабатывание и рассмотрите возможность совместного использования отзывов на основе исследования оповещения.

Общие сведения о область нарушения

Проверка предоставления согласия приложению, сделанному пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно перечисление сведений о каталоге пользователей. Если вы подозреваете, что приложение подозрительно, рассмотрите возможность отключения приложения и смены учетных данных всех затронутых учетных записей.

Оповещения о краже

В этом разделе описываются оповещения, указывающие на то, что злоумышленник может пытаться украсть данные, интересующие их цели из вашей организации.

Серьезность: низкая

Серьезность: высокая

  1. Затем просмотрите разрешения, предоставленные приложению пользователями и администраторами.

Боковые смещения

Серьезность: средняя

  • Рекомендованные действия

Серьезность: средняя

Серьезность: средняя

Серьезность: средняя

Серьезность: средняя

Серьезность: средняя

  1. Затем просмотрите разрешения, предоставленные приложению пользователями и администраторами.

Серьезность: средняя

Серьезность: средняя

  1. Тип действия, связанного с событием пользователя.

Серьезность: средняя

  1. Тип действия, связанного с событием пользователя.

Серьезность: средняя

  1. Тип действия, связанного с событием пользователя.

Серьезность: средняя

  • Рекомендуемое действие.

  1. Тип действия, связанного с событием пользователя.

Серьезность: средняя

  • Рекомендуемое действие.

  1. Тип действия, связанного с событием пользователя.

Серьезность: средняя

  • Рекомендуемое действие.

  1. Тип действия, связанного с событием пользователя.

Серьезность: средняя

Серьезность: средняя

Следующие шаги