Sdílet prostřednictvím

Zkoumání upozornění na detekci hrozeb zásad správného řízení aplikací

  • Článek

Zásady správného řízení aplikací poskytují detekce zabezpečení a výstrahy pro škodlivé aktivity. Tento článek obsahuje podrobnosti o jednotlivých výstrahách, které vám můžou pomoct s vyšetřováním a nápravou, včetně podmínek pro aktivaci upozornění. Vzhledem k tomu, že detekce hrozeb jsou ze své podstaty nedeterministické, aktivují se pouze v případě, že se chování odchyluje od normy.

Další informace najdete v tématu Zásady správného řízení aplikací v Microsoft Defender for Cloud Apps

Poznámka

Detekce hrozeb zásad správného řízení aplikací jsou založeny na počítání aktivit na datech, která jsou přechodná a nemusí se ukládat. Výstrahy proto můžou poskytovat počet aktivit nebo indikace špiček, ale nemusí nutně obsahovat všechna relevantní data. Konkrétně pro aplikace OAuth Graph API aktivity může tenant auditovat samotné aktivity pomocí Log Analytics a Sentinel.

Další informace najdete tady:

Obecné kroky šetření

Pokud chcete najít výstrahy týkající se zásad správného řízení aplikací, přejděte na stránku Upozornění portálu XDR. V seznamu výstrah použijte k filtrování výstrah pole Služba/zdroje detekce. Pokud chcete zobrazit všechny výstrahy vygenerované zásadami správného řízení aplikací, nastavte hodnotu tohoto pole na "Zásady správného řízení aplikací".

Obecné pokyny

Při vyšetřování jakéhokoli typu výstrahy použijte následující obecné pokyny, abyste před použitím doporučené akce získali jasnější představu o potenciální hrozbě.

  • Zkontrolujte úroveň závažnosti aplikace a porovnejte ji se zbývajícími aplikacemi ve vašem tenantovi. Tato kontrola vám pomůže určit, které aplikace ve vašem tenantovi představují větší riziko.

  • Pokud tp identifikujete, projděte si všechny aktivity aplikace, abyste získali přehled o dopadu. Projděte si například následující informace o aplikaci:

    • Obory udělený přístup
    • Neobvyklé chování
    • IP adresa a umístění

Klasifikace výstrah zabezpečení

Po řádném šetření je možné všechna upozornění zásad správného řízení aplikací klasifikovat jako jeden z následujících typů aktivit:

  • Pravdivě pozitivní (TP): Upozornění na potvrzenou škodlivou aktivitu.
  • Neškodný pravdivě pozitivní (B-TP): Upozornění na podezřelou, ale nikoli škodlivou aktivitu, jako je penetrační test nebo jiná autorizovaná podezřelá akce.
  • Falešně pozitivní (FP): Upozornění na aktivitu, která není škodlivá.

MITRE ATT&CK

Abychom usnadnili mapování vztahu mezi upozorněními zásad správného řízení aplikací a známou maticí MITRE ATT&CK, zařadili jsme upozornění do kategorií podle odpovídající taktiky MITRE ATT&CK. Tento další odkaz usnadňuje pochopení techniky podezřelých útoků, která se může používat při aktivaci upozornění zásad správného řízení aplikací.

Tato příručka obsahuje informace o prověřování a nápravě upozornění zásad správného řízení aplikací v následujících kategoriích.

Upozornění na počáteční přístup

Tato část popisuje výstrahy, které označují, že se škodlivá aplikace může pokoušet udržet si své opony ve vaší organizaci.

Přesměrování aplikace na adresu URL útoku phishing zneužitím chyby zabezpečení spočívající v přesměrování OAuth

Závažnost: Střední

Tato detekce identifikuje aplikace OAuth, které přesměrovávají na adresy URL útoků phishing, a to zneužitím parametru typu odpovědi v implementaci OAuth prostřednictvím Graph API Microsoftu.

TP nebo FP?

  • TP: Pokud můžete potvrdit, že aplikace OAuth byla doručena z neznámého zdroje, typ odpovědi adresy URL odpovědi po vyjádření souhlasu s aplikací OAuth obsahuje neplatný požadavek a přesměruje se na neznámou nebo nedůvěryhodnou adresu URL odpovědi.

    Doporučená akce: Zakažte a odeberte aplikaci, resetujte heslo a odeberte pravidlo doručené pošty. 

  • FP: Pokud po šetření, můžete ověřit, že má aplikace v organizaci legitimní obchodní použití.

    Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity provedené aplikací. 
  2. Zkontrolujte rozsahy udělené aplikací. 

Aplikace OAuth s podezřelou adresou URL odpovědi

Závažnost: Střední

Tato detekce identifikuje aplikaci OAuth, která získala přístup k podezřelé adrese URL odpovědi prostřednictvím Graph API Microsoftu.

TP nebo FP?

  • TP: Pokud můžete potvrdit, že je aplikace OAuth doručena z neznámého zdroje a přesměruje se na podezřelou adresu URL, zobrazí se pravdivě pozitivní výsledek. Podezřelá adresa URL je adresa URL, kde je reputace adresy URL neznámá, není důvěryhodná nebo jejíž doména byla nedávno zaregistrována a žádost aplikace se vztahuje na obor s vysokými oprávněními.

    Doporučená akce: Zkontrolujte adresu URL odpovědi, domény a obory požadované aplikací. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci. Zkontrolujte úroveň oprávnění požadovanou touto aplikací a projděte si, kteří uživatelé mají udělený přístup.

    Pokud chcete zakázat přístup k aplikaci, přejděte na příslušnou kartu aplikace na stránce Zásady správného řízení aplikací . Na řádku, na kterém se zobrazí aplikace, kterou chcete zakázat, vyberte ikonu zákazu. Můžete zvolit, jestli chcete uživatelům sdělit, že aplikace, kterou nainstalovali a autorizovali, byla zakázaná. Oznámení uživatelům oznámí, že aplikace bude zakázaná a nebudou mít přístup k připojené aplikaci. Pokud nechcete, aby to věděli, zrušte v dialogovém okně možnost Upozornit uživatele, kteří udělili přístup k této zakázané aplikaci . Doporučujeme, abyste uživatelům aplikace dali vědět, že jejich aplikace bude zakázána.

  • FP: Pokud po šetření, můžete ověřit, že má aplikace v organizaci legitimní obchodní použití.

    Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte nedávno vytvořené aplikace a jejich adresy URL odpovědí.

  2. Zkontrolujte všechny aktivity provedené aplikací. 

  3. Zkontrolujte rozsahy udělené aplikací. 

Závažnost: Nízká

Tato detekce identifikuje nedávno vytvořenou aplikaci OAuth, u které se zjistilo, že má nízkou míru souhlasu. To může znamenat škodlivou nebo rizikovou aplikaci, která láká uživatele na neoprávněné udělení souhlasu.

TP nebo FP?

  • TP: Pokud jste schopni potvrdit, že je aplikace OAuth doručena z neznámého zdroje, zobrazí se pravdivě pozitivní výsledek.

    Doporučená akce: Zkontrolujte zobrazovaný název, adresy URL odpovědí a domény aplikace. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci. Zkontrolujte úroveň oprávnění požadovanou touto aplikací a projděte si, kteří uživatelé udělili přístup.

  • FP: Pokud po šetření, můžete ověřit, že má aplikace v organizaci legitimní obchodní použití.

    Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity provedené aplikací.
  2. Pokud máte podezření, že je aplikace podezřelá, doporučujeme prověřit název aplikace a doménu odpovědi v různých obchodech s aplikacemi. Při kontrole obchodů s aplikacemi se zaměřte na následující typy aplikací:
    • Nedávno vytvořené aplikace
    • Aplikace s neobvyklým zobrazovaným názvem
    • Aplikace s podezřelou doménou odpovědi
  3. Pokud stále máte podezření, že je aplikace podezřelá, můžete zjistit zobrazovaný název aplikace a doménu odpovědí.

Aplikace se špatnou reputací adresy URL

Závažnost: Střední

Tato detekce identifikuje aplikaci OAuth, u které se zjistilo, že má špatnou reputaci adresy URL.

TP nebo FP?

  • TP: Pokud můžete potvrdit, že se aplikace OAuth doručuje z neznámého zdroje a přesměruje na podezřelou adresu URL, zobrazí se pravdivě pozitivní výsledek.

    Doporučená akce: Zkontrolujte adresy URL odpovědí, domény a obory požadované aplikací. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci. Zkontrolujte úroveň oprávnění požadovanou touto aplikací a projděte si, kteří uživatelé udělili přístup.

  • FP: Pokud po šetření, můžete ověřit, že má aplikace v organizaci legitimní obchodní použití.

    Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity provedené aplikací.
  2. Pokud máte podezření, že je aplikace podezřelá, doporučujeme prověřit název aplikace a doménu odpovědi v různých obchodech s aplikacemi. Při kontrole obchodů s aplikacemi se zaměřte na následující typy aplikací:
    • Nedávno vytvořené aplikace
    • Aplikace s neobvyklým zobrazovaným názvem
    • Aplikace s podezřelou doménou odpovědi
  3. Pokud stále máte podezření, že je aplikace podezřelá, můžete zjistit zobrazovaný název aplikace a doménu odpovědí.

Závažnost: Střední

Popis: Tato detekce identifikuje aplikace OAuth se znaky, jako je Unicode nebo kódované znaky, které jsou požadovány pro podezřelé rozsahy souhlasu a které přistupovaly k poštovním složkám uživatelů prostřednictvím Graph API. Tato výstraha může znamenat pokus o maskování škodlivé aplikace jako známé a důvěryhodné aplikace, aby nežádoucí uživatelé mohli uživatele svést k vyjádření souhlasu se škodlivou aplikací.

TP nebo FP?

  • TP: Pokud můžete ověřit, že aplikace OAuth zakódovala zobrazovaný název s podezřelými obory doručovanými z neznámého zdroje, zobrazí se pravdivě pozitivní výsledek.

    Doporučená akce: Zkontrolujte úroveň oprávnění, kterou tato aplikace požaduje a kteří uživatelé udělili přístup. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci.

    Pokud chcete zakázat přístup k aplikaci, přejděte na příslušnou kartu aplikace na stránce Zásady správného řízení aplikací . Na řádku, na kterém se zobrazí aplikace, kterou chcete zakázat, vyberte ikonu zákazu. Můžete zvolit, jestli chcete uživatelům sdělit, že aplikace, kterou nainstalovali a autorizovali, byla zakázaná. Oznámení uživatelům oznámí, že aplikace bude zakázaná a nebudou mít přístup k připojené aplikaci. Pokud nechcete, aby to věděli, zrušte v dialogovém okně možnost Upozornit uživatele, kteří udělili přístup k této zakázané aplikaci. Doporučujeme, abyste uživatelům aplikace dali vědět, že jejich aplikace bude zakázána.

  • FP: Pokud chcete ověřit, že aplikace má kódovaný název, ale má legitimní obchodní použití v organizaci.

    Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

Postupujte podle kurzu, jak prozkoumat rizikové aplikace OAuth.

Aplikace OAuth s obory čtení má podezřelou adresu URL odpovědi

Závažnost: Střední

Popis: Tato detekce identifikuje aplikaci OAuth pouze s obory čtení, jako je User.Read, Lidé. Read, Contacts.Read, Mail.Read, Contacts.Read. Sdílené přesměrovává na podezřelou adresu URL odpovědi prostřednictvím Graph API. Tato aktivita se pokouší naznačovat, že škodlivá aplikace s menšími oprávněními (například rozsahy čtení) by mohla být zneužita k provádění rekognoskace uživatelských účtů.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že aplikace OAuth s oborem čtení je doručená z neznámého zdroje a přesměruje se na podezřelou adresu URL, zobrazí se pravdivě pozitivní výsledek.

    Doporučená akce: Zkontrolujte adresu URL odpovědi a rozsahy požadované aplikací. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci. Zkontrolujte úroveň oprávnění požadovanou touto aplikací a projděte si, kteří uživatelé udělili přístup.

    Pokud chcete zakázat přístup k aplikaci, přejděte na příslušnou kartu aplikace na stránce Zásady správného řízení aplikací . Na řádku, na kterém se zobrazí aplikace, kterou chcete zakázat, vyberte ikonu zákazu. Můžete zvolit, jestli chcete uživatelům sdělit, že aplikace, kterou nainstalovali a autorizovali, byla zakázaná. Oznámení uživatelům oznámí, že aplikace bude zakázaná a nebudou mít přístup k připojené aplikaci. Pokud nechcete, aby to věděli, zrušte v dialogovém okně možnost Upozornit uživatele, kteří udělili přístup k této zakázané aplikaci. Doporučujeme, abyste uživatelům aplikace dali vědět, že jejich aplikace bude zakázána.

  • B-TP: Pokud po šetření, můžete ověřit, že aplikace má legitimní obchodní použití v organizaci.

    Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity provedené aplikací.
  2. Pokud máte podezření, že je aplikace podezřelá, doporučujeme prozkoumat název aplikace a adresu URL odpovědi v různých obchodech s aplikacemi. Při kontrole obchodů s aplikacemi se zaměřte na následující typy aplikací:
    • Aplikace, které byly nedávno vytvořeny.
    • Aplikace s podezřelou adresou URL odpovědi
    • Aplikace, které se nedávno neaktualizovaly. Nedostatek aktualizací může znamenat, že aplikace už není podporovaná.
  3. Pokud stále máte podezření, že je aplikace podezřelá, můžete si prohledejte název aplikace, název vydavatele a adresu URL odpovědi online.

Aplikace s neobvyklým zobrazovaným názvem a neobvyklým TLD v doméně odpovědi

Závažnost: Střední

Tato detekce identifikuje aplikaci s neobvyklým zobrazovaným názvem a přesměruje ji na podezřelou doménu odpovědí s neobvyklou doménou nejvyšší úrovně (TLD) prostřednictvím Graph API. To může znamenat pokus o maskování škodlivé nebo rizikové aplikace jako známé a důvěryhodné aplikace, aby nežádoucí uživatelé mohli uživatele uvést v omyl a vyjádřit souhlas se svou škodlivou nebo rizikovou aplikací. 

TP nebo FP?

  • TP: Pokud jste schopni ověřit, že aplikace s neobvyklým zobrazovaným názvem byla doručena z neznámého zdroje a přesměrovaná do podezřelé domény s neobvyklou doménou nejvyšší úrovně

    Doporučená akce: Zkontrolujte zobrazovaný název a doménu odpovědi aplikace. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci. Zkontrolujte úroveň oprávnění požadovanou touto aplikací a projděte si, kteří uživatelé udělili přístup.

  • FP: Pokud po šetření, můžete ověřit, že má aplikace v organizaci legitimní obchodní použití.

    Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

Zkontrolujte všechny aktivity provedené aplikací. Pokud máte podezření, že je aplikace podezřelá, doporučujeme prověřit název aplikace a doménu odpovědi v různých obchodech s aplikacemi. Při kontrole obchodů s aplikacemi se zaměřte na následující typy aplikací:

  • Nedávno vytvořené aplikace
  • Aplikace s neobvyklým zobrazovaným názvem
  • Aplikace s podezřelou doménou odpovědi

Pokud stále máte podezření, že je aplikace podezřelá, můžete zjistit zobrazovaný název aplikace a doménu odpovědí.

Závažnost: Střední

Tato detekce identifikuje aplikace OAuth vytvořené nedávno v relativně nových tenantech vydavatelů s následujícími charakteristikami:

  • Oprávnění pro přístup nebo změnu nastavení poštovní schránky
  • Relativně nízká míra souhlasu, která může identifikovat nežádoucí nebo dokonce škodlivé aplikace, které se pokoušejí získat souhlas od nic netušících uživatelů

TP nebo FP?

  • TP: Pokud jste schopni potvrdit, že žádost o souhlas s aplikací byla doručena z neznámého nebo externího zdroje a že aplikace nemá v organizaci legitimní obchodní použití, zobrazí se pravdivě pozitivní výsledek.

    Doporučená akce:

    • Obraťte se na uživatele a správce, kteří udělili souhlas s touto aplikací, a ověřte, že to bylo úmyslné a že jsou nadbytečná oprávnění normální.
    • Prozkoumejte aktivitu aplikace a zkontrolujte podezřelé aktivity u ovlivněných účtů.
    • Na základě vyšetřování zakažte aplikaci a pozastavte a resetujte hesla pro všechny ovlivněné účty.
    • Klasifikujte výstrahu jako pravdivě pozitivní.

  • FP: Pokud po šetření, můžete ověřit, že má aplikace v organizaci legitimní obchodní použití.

    Doporučená akce: Klasifikujte výstrahu jako falešně pozitivní a zvažte sdílení zpětné vazby na základě šetření výstrahy.

Vysvětlení rozsahu porušení zabezpečení

Zkontrolujte udělení souhlasu aplikaci, kterou vytvořili uživatelé a správci. Prozkoumejte všechny aktivity, které aplikace provádí, zejména přístup k poštovní schránce přidružených uživatelů a účtů správců. Pokud máte podezření, že je aplikace podezřelá, zvažte zakázání aplikace a obměně přihlašovacích údajů u všech ovlivněných účtů.

Závažnost: Střední

Tato výstraha identifikuje aplikace OAuth nedávno zaregistrované v relativně novém tenantovi vydavatele s oprávněními ke změně nastavení poštovní schránky a přístupu k e-mailům. Také ověřuje, jestli má aplikace relativně nízkou globální míru souhlasu, a provádí řadu volání společnosti Microsoft Graph API pro přístup k e-mailům uživatelů, kteří s tím souhlasí. Aplikace, které toto upozornění aktivují, můžou být nežádoucí nebo škodlivé aplikace, které se pokoušejí získat souhlas nic netušících uživatelů.

TP nebo FP?

  • TP: Pokud jste schopni potvrdit, že žádost o souhlas s aplikací byla doručena z neznámého nebo externího zdroje a že aplikace nemá v organizaci legitimní obchodní použití, zobrazí se pravdivě pozitivní výsledek.

    Doporučená akce:

    • Obraťte se na uživatele a správce, kteří udělili souhlas s touto aplikací, a ověřte, že to bylo úmyslné a že jsou nadbytečná oprávnění normální.
    • Prozkoumejte aktivitu aplikace a zkontrolujte podezřelé aktivity u ovlivněných účtů.
    • Na základě vyšetřování zakažte aplikaci a pozastavte a resetujte hesla pro všechny ovlivněné účty.
    • Klasifikujte výstrahu jako pravdivě pozitivní.

  • FP: Pokud po šetření můžete ověřit, že má aplikace v organizaci legitimní obchodní použití, pak se zobrazí falešně pozitivní výsledek.

    Doporučená akce: Klasifikujte výstrahu jako falešně pozitivní a zvažte sdílení zpětné vazby na základě šetření výstrahy.

Vysvětlení rozsahu porušení zabezpečení

Zkontrolujte udělení souhlasu aplikaci, kterou vytvořili uživatelé a správci. Prozkoumejte všechny aktivity, které aplikace provádí, zejména přístup k poštovním schránkám přidružených uživatelů a účtům správce. Pokud máte podezření, že je aplikace podezřelá, zvažte zakázání aplikace a obměně přihlašovacích údajů u všech ovlivněných účtů.

Podezřelá aplikace s oprávněními k e-mailu odesílající mnoho e-mailů

Závažnost: Střední

Tato výstraha najde víceklientní aplikace OAuth, které v krátké době provedly řadu volání do Microsoftu Graph API, aby odesílaly e-maily. Ověřuje také, jestli volání rozhraní API způsobila chyby a neúspěšné pokusy o odeslání e-mailů. Aplikace, které aktivují toto upozornění, můžou aktivně odesílat spam nebo škodlivé e-maily jiným cílům.

TP nebo FP?

  • TP: Pokud jste schopni potvrdit, že žádost o souhlas s aplikací byla doručena z neznámého nebo externího zdroje a že aplikace nemá v organizaci legitimní obchodní použití, zobrazí se pravdivě pozitivní výsledek.

    Doporučená akce:

    • Obraťte se na uživatele a správce, kteří udělili souhlas s touto aplikací, a ověřte, že to bylo úmyslné a že jsou nadbytečná oprávnění normální.
    • Prozkoumejte aktivitu aplikace a zkontrolujte podezřelé aktivity u ovlivněných účtů.
    • Na základě vyšetřování zakažte aplikaci a pozastavte a resetujte hesla pro všechny ovlivněné účty.
    • Klasifikujte výstrahu jako pravdivě pozitivní.

  • FP: Pokud po šetření můžete ověřit, že má aplikace v organizaci legitimní obchodní použití, pak se zobrazí falešně pozitivní výsledek.

    Doporučená akce: Klasifikujte výstrahu jako falešně pozitivní a zvažte sdílení zpětné vazby na základě šetření výstrahy.

Vysvětlení rozsahu porušení zabezpečení

Zkontrolujte udělení souhlasu aplikaci, kterou vytvořili uživatelé a správci. Prozkoumejte všechny aktivity, které aplikace provádí, zejména přístup k poštovní schránce přidružených uživatelů a účtů správců. Pokud máte podezření, že je aplikace podezřelá, zvažte zakázání aplikace a obměně přihlašovacích údajů u všech ovlivněných účtů.

Podezřelá aplikace OAuth používaná k odesílání mnoha e-mailů

Závažnost: Střední

Tato výstraha indikuje aplikaci OAuth, která v krátkém časovém období uskutečnila řadu volání společnosti Microsoft Graph API, aby odesílala e-maily. Je známo, že tenant vydavatele aplikace vytváří velký objem aplikací OAuth, které provádí podobná volání microsoftu Graph API. Útočník může tuto aplikaci aktivně používat k posílání spamu nebo škodlivých e-mailů svým cílům.

TP nebo FP?

  • TP: Pokud jste schopni potvrdit, že žádost o souhlas s aplikací byla doručena z neznámého nebo externího zdroje a že aplikace nemá v organizaci legitimní obchodní použití, zobrazí se pravdivě pozitivní výsledek.

    Doporučená akce:

    • Obraťte se na uživatele a správce, kteří udělili souhlas s touto aplikací, a ověřte, že to bylo úmyslné a že jsou nadbytečná oprávnění normální.
    • Prozkoumejte aktivitu aplikace a zkontrolujte podezřelé aktivity u ovlivněných účtů.
    • Na základě vyšetřování zakažte aplikaci a pozastavte a resetujte hesla pro všechny ovlivněné účty.
    • Klasifikujte výstrahu jako pravdivě pozitivní.

  • FP: Pokud po šetření můžete ověřit, že má aplikace v organizaci legitimní obchodní použití, pak se zobrazí falešně pozitivní výsledek.

    Doporučená akce: Klasifikujte výstrahu jako falešně pozitivní a zvažte sdílení zpětné vazby na základě šetření výstrahy.

Vysvětlení rozsahu porušení zabezpečení

Zkontrolujte udělení souhlasu aplikaci, kterou vytvořili uživatelé a správci. Prozkoumejte všechny aktivity, které aplikace provádí, zejména přístup k poštovní schránce přidružených uživatelů a účtů správců. Pokud máte podezření, že je aplikace podezřelá, zvažte zakázání aplikace a obměně přihlašovacích údajů u všech ovlivněných účtů.

Upozornění na trvalost

Tato část popisuje výstrahy, které značí, že se objekt se zlými úmysly může pokoušet udržet si oporu ve vaší organizaci.

Aplikace po aktualizaci certifikátu nebo přidání nových přihlašovacích údajů v úloze Exchange provedla neobvyklá volání graphu.

Závažnost: Střední

MITRE ID: T1098.001, T1114

Tato detekce aktivuje upozornění, když obchodní aplikace aktualizovala certifikát nebo tajné kódy nebo přidala nové přihlašovací údaje a během několika dnů po aktualizaci certifikátu nebo přidání nových přihlašovacích údajů zaznamenala neobvyklé aktivity nebo velké využití úloh Exchange prostřednictvím Graph API pomocí algoritmu strojového učení.

TP nebo FP?

  • TP: Pokud jste schopni ověřit, že obchodní aplikace prováděla neobvyklé aktivity nebo vysoké využití úloh Exchange prostřednictvím Graph API

    Doporučená akce: Aplikaci dočasně zakažte, resetujte heslo a pak aplikaci znovu povolte.

  • FP: Pokud si můžete ověřit, že obchodní aplikace neprováděla žádné neobvyklé aktivity nebo že je aplikace určená k neobvykle vysokému objemu volání grafů.

    Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné touto aplikací.
  2. Zkontrolujte rozsahy udělené aplikací.
  3. Zkontrolujte aktivitu uživatele přidruženou k této aplikaci.

Aplikace s podezřelým oborem OAuth byla modelem Machine Learning označena jako vysoce riziková, provedla volání grafu pro čtení e-mailů a vytvořila pravidlo doručené pošty.

Závažnost: Střední

MITRE ID: T1137.005, T1114

Tato detekce identifikuje aplikaci OAuth, která byla modelem Machine Learning označena jako vysoce riziková, která souhlasila s podezřelými obory, vytvořila podezřelé pravidlo doručené pošty a pak přistupovala k poštovním složkám a zprávám uživatelů prostřednictvím Graph API. Pravidla doručené pošty, jako je přeposílání všech nebo konkrétních e-mailů na jiný e-mailový účet a volání Graphu pro přístup k e-mailům a odesílání na jiný e-mailový účet, můžou být pokusem o exfiltraci informací z vaší organizace.

TP nebo FP?

  • TP: Pokud můžete ověřit, že pravidlo doručené pošty vytvořila aplikace OAuth třetí strany s podezřelými obory doručovanými z neznámého zdroje, zjistí se skutečně pozitivní výsledek.

    Doporučená akce: Zakažte a odeberte aplikaci, resetujte heslo a odeberte pravidlo doručené pošty.

Postupujte podle kurzu o resetování hesla pomocí Microsoft Entra ID a postupujte podle kurzu, jak odebrat pravidlo doručené pošty.

  • FP: Pokud můžete ověřit, že aplikace vytvořila pravidlo doručené pošty pro nový nebo osobní externí e-mailový účet z legitimních důvodů.

    Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity provedené aplikací.
  2. Zkontrolujte rozsahy udělené aplikací.
  3. Zkontrolujte akci pravidla doručené pošty a podmínku vytvořenou aplikací.

Aplikace s podezřelým oborem OAuth provedla volání grafu pro čtení e-mailů a vytvořila pravidlo doručené pošty.

Závažnost: Střední

MITRE ID: T1137.005, T1114

Tato detekce identifikuje aplikaci OAuth, která souhlasila s podezřelými obory, vytvořila podezřelé pravidlo doručené pošty a pak přistupovala k poštovním složkám a zprávám uživatelů prostřednictvím Graph API. Pravidla doručené pošty, jako je přeposílání všech nebo konkrétních e-mailů na jiný e-mailový účet a volání Graphu pro přístup k e-mailům a odesílání na jiný e-mailový účet, můžou být pokusem o exfiltraci informací z vaší organizace.

TP nebo FP?

  • TP: Pokud můžete ověřit, že pravidlo doručené pošty vytvořila aplikace třetí strany OAuth s podezřelými obory doručenými z neznámého zdroje, pak se zobrazí pravdivě pozitivní výsledek.

    Doporučená akce: Zakažte a odeberte aplikaci, resetujte heslo a odeberte pravidlo doručené pošty.

    Postupujte podle kurzu o resetování hesla pomocí Microsoft Entra ID a postupujte podle kurzu, jak odebrat pravidlo doručené pošty.

  • FP: Pokud můžete ověřit, že aplikace vytvořila pravidlo doručené pošty pro nový nebo osobní externí e-mailový účet z legitimních důvodů.

    Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity provedené aplikací.
  2. Zkontrolujte rozsahy udělené aplikací.
  3. Zkontrolujte akci pravidla doručené pošty a podmínku vytvořenou aplikací.

Aplikace přístupná z neobvyklého umístění po aktualizaci certifikátu

Závažnost: Nízká

MITRE ID: T1098

Tato detekce aktivuje upozornění, když se obchodní aplikace aktualizovala certifikát nebo tajný klíč a během několika dnů po aktualizaci certifikátu se k aplikaci přistupuje z neobvyklého místa, které se v poslední době nenašel nebo k tomuto místu v minulosti nikdo nikdy nepřistupoval.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že obchodní aplikace přistupovala z neobvyklého umístění a prováděla neobvyklé aktivity prostřednictvím Graph API.

    Doporučená akce: Aplikaci dočasně zakažte, resetujte heslo a pak aplikaci znovu povolte.

  • FP: Pokud jste schopni potvrdit, že obchodní aplikace byla přístupná z neobvyklého místa pro legitimní účely a neprováděla žádné neobvyklé aktivity.

    Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné touto aplikací.
  2. Zkontrolujte rozsahy udělené aplikací.
  3. Zkontrolujte aktivitu uživatele přidruženou k této aplikaci.

Aplikace, ke které se přistupuje z neobvyklého umístění, po aktualizaci certifikátu provedla neobvyklá volání Graphu.

Závažnost: Střední

MITRE ID: T1098

Tato detekce aktivuje výstrahu, když obchodní aplikace aktualizovala certifikát nebo tajný kód a během několika dnů po aktualizaci certifikátu se k aplikaci přistupuje z neobvyklého místa, ke kterému se v poslední době nebo k tomuto místu v minulosti nikdo nenašel, a zaznamenal neobvyklé aktivity nebo použití prostřednictvím Graph API pomocí algoritmu strojového učení.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že obchodní aplikace prováděla neobvyklé aktivity nebo využití prostřednictvím Graph API z neobvyklého umístění.

    Doporučená akce: Aplikaci dočasně zakažte, resetujte heslo a pak aplikaci znovu povolte.

  • FP: Pokud jste schopni potvrdit, že obchodní aplikace byla přístupná z neobvyklého místa pro legitimní účely a neprováděla žádné neobvyklé aktivity.

    Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné touto aplikací.
  2. Zkontrolujte rozsahy udělené aplikací.
  3. Zkontrolujte aktivitu uživatele přidruženou k této aplikaci.

Nedávno vytvořená aplikace má velký objem odvolaných souhlasů.

Závažnost: Střední

MITRE ID: T1566, T1098

Několik uživatelů odvolalo svůj souhlas s touto nedávno vytvořenou obchodní aplikací nebo aplikací třetích stran. Tato aplikace mohla uživatele nalákat k tomu, aby jí neúmyslně udělili souhlas.

TP nebo FP?

  • TP: Pokud můžete ověřit, že se aplikace OAuth doručuje z neznámého zdroje a že chování aplikace je podezřelé. 

    Doporučená akce: Odvoláte souhlas udělené aplikaci a aplikaci zakažte. 

  • FP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití a že aplikace neprováděla žádné neobvyklé aktivity.

    Doporučená akce: Zavření upozornění

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné aplikací.
  2. Pokud máte podezření, že je aplikace podezřelá, doporučujeme, abyste prozkoumali název aplikace a doménu odpovědí v různých obchodech s aplikacemi. Při kontrole obchodů s aplikacemi se zaměřte na následující typy aplikací:
    • Nedávno vytvořené aplikace
    • Aplikace s neobvyklým zobrazovaným názvem
    • Aplikace s podezřelou doménou odpovědi
  3. Pokud stále máte podezření, že je aplikace podezřelá, můžete zjistit zobrazovaný název aplikace a doménu odpovědí.

Metadata aplikace spojená se známou phishingovou kampaní

Závažnost: Střední

Tato detekce generuje upozornění pro aplikace OAuth jiné společnosti než Microsoft s metadaty, jako je název, adresa URL nebo vydavatel, která byla dříve pozorována v aplikacích spojených s phishingovou kampaní. Tyto aplikace můžou být součástí stejné kampaně a můžou se podílet na exfiltraci citlivých informací.

TP nebo FP?

  • TP: Pokud jste schopni ověřit, že je aplikace OAuth doručena z neznámého zdroje a provádí neobvyklé aktivity.

    Doporučená akce:

    • Prozkoumejte podrobnosti o registraci aplikace o zásadách správného řízení aplikací a další podrobnosti najdete v Microsoft Entra ID.
    • Obraťte se na uživatele nebo správce, kteří udělili souhlas nebo oprávnění k aplikaci. Ověřte, jestli byly změny úmyslné.
    • Vyhledejte v tabulce Rozšířené proaktivní vyhledávání CloudAppEvents , abyste porozuměli aktivitám aplikace a zjistili, jestli je pozorované chování očekávané.
    • Než začnete zvažovat jakékoli akce omezení, ověřte, jestli je aplikace pro vaši organizaci důležitá. Deaktivujte aplikaci pomocí zásad správného řízení aplikací nebo Microsoft Entra ID, abyste jí zabránili v přístupu k prostředkům. Stávající zásady zásad správného řízení aplikací už možná aplikaci deaktivovaly.

  • FP: Pokud můžete potvrdit, že aplikace neprováděla žádné neobvyklé aktivity a že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavření upozornění

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné aplikací.
  2. Zkontrolujte rozsahy udělené aplikaci.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Metadata aplikací přidružená k dříve označeným podezřelým aplikacím

Závažnost: Střední

Tato detekce generuje upozornění pro aplikace OAuth jiné společnosti než Microsoft s metadaty, jako je název, adresa URL nebo vydavatel, která byla dříve pozorována v aplikacích označených zásadami správného řízení aplikací kvůli podezřelé aktivitě. Tato aplikace může být součástí útočné kampaně a může být zapojena do exfiltrace citlivých informací.

TP nebo FP?

  • TP: Pokud jste schopni ověřit, že je aplikace OAuth doručena z neznámého zdroje a provádí neobvyklé aktivity.

    Doporučená akce:

    • Prozkoumejte podrobnosti o registraci aplikace o zásadách správného řízení aplikací a další podrobnosti najdete v Microsoft Entra ID.
    • Obraťte se na uživatele nebo správce, kteří udělili souhlas nebo oprávnění k aplikaci. Ověřte, jestli byly změny úmyslné.
    • Vyhledejte v tabulce Rozšířené proaktivní vyhledávání CloudAppEvents , abyste porozuměli aktivitám aplikace a zjistili, jestli je pozorované chování očekávané.
    • Než začnete zvažovat jakékoli akce omezení, ověřte, jestli je aplikace pro vaši organizaci důležitá. Deaktivujte aplikaci pomocí zásad správného řízení aplikací nebo Microsoft Entra ID, abyste jí zabránili v přístupu k prostředkům. Stávající zásady zásad správného řízení aplikací už možná aplikaci deaktivovaly.

  • FP: Pokud můžete potvrdit, že aplikace neprováděla žádné neobvyklé aktivity a že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavření upozornění

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné aplikací.
  2. Zkontrolujte rozsahy udělené aplikaci.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Podezřelá e-mailová aktivita aplikace OAuth prostřednictvím Graph API

Závažnost: Vysoká

Tato detekce generuje výstrahy pro víceklientní aplikace OAuth zaregistrované uživateli s vysoce rizikovým přihlášením, které během krátké doby volaly microsoftu Graph API provádět podezřelé e-mailové aktivity.

Tato detekce ověřuje, jestli se rozhraní API provedla pro vytvoření pravidla poštovní schránky, vytvoření e-mailu s odpověďmi, přeposílání e-mailů, odpovědi nebo odesílání nových e-mailů. Aplikace, které toto upozornění aktivují, můžou aktivně odesílat spam nebo škodlivé e-maily jiným cílům nebo exfiltrovat důvěrná data a vymazat stopy, aby se vyhnuly detekci.

TP nebo FP?

  • TP: Pokud můžete potvrdit, že se žádost o vytvoření aplikace a vyjádření souhlasu do aplikace doručila z neznámého nebo externího zdroje a že aplikace nemá v organizaci legitimní obchodní použití, zobrazí se skutečně pozitivní výsledek.

    Doporučená akce:

    • Obraťte se na uživatele a správce, kteří udělili souhlas s touto aplikací, a ověřte, že to bylo úmyslné a že jsou nadbytečná oprávnění normální.

    • Prozkoumejte aktivitu aplikace a zkontrolujte podezřelé aktivity u ovlivněných účtů.

    • Na základě šetření aplikaci zakažte, pozastavte a resetujte hesla pro všechny ovlivněné účty a odeberte pravidlo doručené pošty.

    • Klasifikujte výstrahu jako pravdivě pozitivní.

  • FP: Pokud po šetření můžete ověřit, že má aplikace v organizaci legitimní obchodní použití, zobrazí se falešně pozitivní výsledek.

    Doporučená akce:

    • Klasifikujte výstrahu jako falešně pozitivní a na základě šetření výstrahy zvažte sdílení zpětné vazby.

    • Seznamte se s rozsahem porušení zabezpečení:

      Zkontrolujte udělení souhlasu aplikaci, kterou vytvořili uživatelé a správci. Prozkoumejte všechny aktivity, které aplikace provádí, zejména přístup k poštovní schránce přidružených uživatelů a účtů správců. Pokud máte podezření, že je aplikace podezřelá, zvažte zakázání aplikace a obměně přihlašovacích údajů u všech ovlivněných účtů.

Podezřelá e-mailová aktivita aplikace OAuth prostřednictvím rozhraní EWS API

Závažnost: Vysoká

Tato detekce generuje výstrahy pro víceklientské aplikace OAuth zaregistrované uživateli s vysoce rizikovým přihlášením, které během krátké doby volaly rozhraní API webových služeb Microsoft Exchange (EWS), aby prováděly podezřelé e-mailové aktivity.

Tato detekce ověřuje, jestli byla volání rozhraní API provedena za účelem aktualizace pravidel doručené pošty, přesunutí položek, odstranění e-mailu, odstranění složky nebo odstranění přílohy. Aplikace, které aktivují tuto výstrahu, můžou aktivně vyfiltrovat nebo odstraňovat důvěrná data a mazat stopy, aby se vyhnuly detekci.

TP nebo FP?

  • TP: Pokud můžete potvrdit, že se žádost o vytvoření aplikace a vyjádření souhlasu do aplikace doručila z neznámého nebo externího zdroje a že aplikace nemá v organizaci legitimní obchodní použití, zobrazí se skutečně pozitivní výsledek.

    Doporučená akce:

    • Obraťte se na uživatele a správce, kteří udělili souhlas s touto aplikací, a ověřte, že to bylo úmyslné a že jsou nadbytečná oprávnění normální.

    • Prozkoumejte aktivitu aplikace a zkontrolujte podezřelé aktivity u ovlivněných účtů.

    • Na základě šetření aplikaci zakažte, pozastavte a resetujte hesla pro všechny ovlivněné účty a odeberte pravidlo doručené pošty.

    • Klasifikujte výstrahu jako pravdivě pozitivní.

  • FP: Pokud po šetření můžete ověřit, že má aplikace v organizaci legitimní obchodní použití, pak se zobrazí falešně pozitivní výsledek.

    Doporučená akce:

    • Klasifikujte výstrahu jako falešně pozitivní a na základě šetření výstrahy zvažte sdílení zpětné vazby.

    • Seznamte se s rozsahem porušení zabezpečení:

      Zkontrolujte udělení souhlasu aplikaci, kterou vytvořili uživatelé a správci. Prozkoumejte všechny aktivity, které aplikace provádí, zejména přístup k poštovní schránce přidružených uživatelů a účtů správců. Pokud máte podezření, že je aplikace podezřelá, zvažte zakázání aplikace a obměně přihlašovacích údajů u všech ovlivněných účtů.

Upozornění na zvýšení oprávnění

Aplikace OAuth s podezřelými metadaty má oprávnění Exchange

Závažnost: Střední

MITRE ID: T1078

Tato výstraha se aktivuje, když má obchodní aplikace s podezřelými metadaty oprávnění ke správě oprávnění přes Exchange.

TP nebo FP?

  • TP: Pokud jste schopni potvrdit, že je aplikace OAuth doručena z neznámého zdroje a že má podezřelé charakteristiky metadat, pak se zobrazí pravdivě pozitivní výsledek.

Doporučená akce: Odvoláte souhlas udělené aplikaci a aplikaci zakažte.

FP: Pokud po šetření, můžete ověřit, že má aplikace v organizaci legitimní obchodní použití.

Doporučená akce: Zavření upozornění

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity provedené aplikací.
  2. Zkontrolujte rozsahy udělené aplikací.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Upozornění na úniky v obraně

Závažnost: Střední

Cloudová aplikace od jiných společností než Microsoft používá logo, které algoritmus strojového učení zjistil, že se podobá logu Microsoftu. Může se jednat o pokus o zosobnění softwarových produktů microsoftu a zdánlivě legitimní.

Poznámka

Správci tenantů budou muset poskytnout souhlas prostřednictvím automaticky otevíraného okna, aby se povinná data odesílala mimo aktuální hranice dodržování předpisů, a vybrat partnerské týmy v rámci Microsoftu, aby bylo možné tuto detekci hrozeb pro obchodní aplikace povolit.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že logo aplikace je napodobenina loga Microsoftu a že chování aplikace je podezřelé. 

    Doporučená akce: Odvoláte souhlas udělené aplikaci a aplikaci zakažte.

  • FP: Pokud si můžete ověřit, že logo aplikace není napodobenina loga Microsoftu nebo že aplikace neprováděla žádné neobvyklé aktivity. 

    Doporučená akce: Zavření upozornění

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné aplikací.
  2. Zkontrolujte rozsahy udělené aplikaci.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Aplikace je přidružená k překlepu doméně.

Závažnost: Střední

Toto zjišťování generuje upozornění pro aplikace OAuth jiné společnosti než Microsoft s doménami vydavatelů nebo adresami URL pro přesměrování, které obsahují překlepy ve verzích názvů značek Microsoftu. Typosquatting se obvykle používá k zachycení provozu na weby vždy, když uživatelé neúmyslně chybně zapíšou adresy URL, ale dají se také použít k zosobnění oblíbených softwarových produktů a služeb.

TP nebo FP?

  • TP: Pokud můžete ověřit, že doména vydavatele nebo adresa URL přesměrování aplikace jsou překlepy a nesouvisejí se skutečnou identitou aplikace.

    Doporučená akce:

    • Prozkoumejte podrobnosti o registraci aplikace o zásadách správného řízení aplikací a další podrobnosti najdete v Microsoft Entra ID.
    • Zkontrolujte, jestli v aplikaci nedochází k dalším známkám falšování identity nebo zosobnění a k podezřelým aktivitám.
    • Než začnete zvažovat jakékoli akce omezení, ověřte, jestli je aplikace pro vaši organizaci důležitá. Deaktivujte aplikaci pomocí zásad správného řízení aplikací, abyste jí zabránili v přístupu k prostředkům. Stávající zásady zásad správného řízení aplikací už možná aplikaci deaktivovaly.

  • FP: Pokud můžete potvrdit, že doména vydavatele a adresa URL přesměrování aplikace jsou legitimní. 

    Doporučená akce: Klasifikujte výstrahu jako falešně pozitivní a zvažte sdílení zpětné vazby na základě šetření výstrahy.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné aplikací.
  2. Zkontrolujte rozsahy udělené aplikaci.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Přístup k přihlašovacím údajům

Tato část popisuje výstrahy, které značí, že se objekt s úmysly může pokoušet číst citlivá data přihlašovacích údajů, a obsahuje techniky pro krádež přihlašovacích údajů, jako jsou názvy účtů, tajné kódy, tokeny, certifikáty a hesla ve vaší organizaci.

Aplikace iniciující více neúspěšných aktivit čtení služby KeyVault bez úspěchu

Závažnost: Střední

MITRE ID: T1078.004

Tato detekce identifikuje aplikaci ve vašem tenantovi, u které bylo zjištěno, že v krátkém intervalu provádí několik volání akcí čtení do služby KeyVault pomocí rozhraní API azure Resource Manager, přičemž se dokončí pouze selhání a žádná úspěšná aktivita čtení.

TP nebo FP?

  • TP: Pokud je aplikace neznámá nebo se nepoužívá, je daná aktivita potenciálně podezřelá. Po ověření používaného prostředku Azure a ověření použití aplikace v tenantovi může daná aktivita vyžadovat zakázání aplikace. To je obvykle důkaz o podezřelé aktivitě výčtu prostředku KeyVault za účelem získání přístupu k přihlašovacím údajům pro laterální přesun nebo eskalaci oprávnění.

    Doporučené akce: Zkontrolujte prostředky Azure, ke které aplikace přistupuje nebo které vytvořila, a všechny nedávné změny provedené v aplikaci. Na základě vašeho šetření zvolte, jestli chcete zakázat přístup k této aplikaci. Zkontrolujte úroveň oprávnění požadovanou touto aplikací a projděte si, kteří uživatelé udělili přístup.

  • FP: Pokud po šetření můžete ověřit, že má aplikace legitimní obchodní použití v organizaci.

    Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte přístup a aktivitu aplikace.
  2. Zkontrolujte všechny aktivity provedené aplikací od jejího vytvoření.
  3. Zkontrolujte rozsahy udělené aplikací v Graph API a roli, která jí byla udělena ve vašem předplatném.
  4. Zkontrolujte všechny uživatele, kteří k aplikaci mohli přistupovat před aktivitou.

Upozornění na zjišťování

Výčet jednotek provedených aplikací

Závažnost: Střední

MITRE ID: T1087

Tato detekce identifikuje aplikaci OAuth, kterou rozpoznal model strojového učení provádějící výčet souborů OneDrivu pomocí Graph API.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že obchodní aplikace prováděla neobvyklé aktivity nebo využití OneDrivu prostřednictvím Graph API.

    Doporučená akce: Zakažte a odeberte aplikaci a resetujte heslo.

  • FP: Pokud můžete potvrdit, že aplikace neprováděla žádné neobvyklé aktivity.

    Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné touto aplikací.
  2. Zkontrolujte rozsahy udělené aplikací.
  3. Zkontrolujte aktivitu uživatele přidruženou k této aplikaci.

Podezřelé aktivity výčtu prováděné pomocí Prostředí Microsoft Graph PowerShell

Závažnost: Střední

MITRE ID: T1087

Tato detekce identifikuje velký objem podezřelých aktivit výčtu provedených během krátkého časového intervalu prostřednictvím aplikace Microsoft Graph PowerShell .

TP nebo FP?

  • TP: Pokud si můžete ověřit, že aplikace Microsoft Graph PowerShellu prováděla podezřelé nebo neobvyklé aktivity výčtu.

    Doporučená akce: Zakažte a odeberte aplikaci a resetujte heslo.

  • FP: Pokud můžete potvrdit, že aplikace neprováděla žádné neobvyklé aktivity.

    Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné touto aplikací.
  2. Zkontrolujte aktivitu uživatele přidruženou k této aplikaci.

Nedávno vytvořená aplikace s více tenanty často uvádí informace o uživatelích.

Závažnost: Střední

MITRE ID: T1087

Tato výstraha najde nedávno zaregistrované aplikace OAuth v relativně novém tenantovi vydavatele s oprávněními ke změně nastavení poštovní schránky a přístupu k e-mailům. Ověřuje, jestli aplikace provedla četná volání microsoftu Graph API požaduje informace o adresáři uživatele. Aplikace, které toto upozornění aktivují, můžou uživatele nalákat k udělení souhlasu, aby měli přístup k datům organizace.

TP nebo FP?

  • TP: Pokud jste schopni potvrdit, že žádost o souhlas s aplikací byla doručena z neznámého nebo externího zdroje a že aplikace nemá v organizaci legitimní obchodní použití, zobrazí se pravdivě pozitivní výsledek.

    Doporučená akce:

    • Obraťte se na uživatele a správce, kteří udělili souhlas s touto aplikací, a ověřte, že to bylo úmyslné a že jsou nadbytečná oprávnění normální.
    • Prozkoumejte aktivitu aplikace a zkontrolujte podezřelé aktivity u ovlivněných účtů.
    • Na základě vyšetřování zakažte aplikaci a pozastavte a resetujte hesla pro všechny ovlivněné účty.
    • Klasifikujte výstrahu jako pravdivě pozitivní.

  • FP: Pokud po šetření můžete ověřit, že má aplikace v organizaci legitimní obchodní použití, pak se zobrazí falešně pozitivní výsledek.

    Doporučená akce: Klasifikujte výstrahu jako falešně pozitivní a zvažte sdílení zpětné vazby na základě šetření výstrahy.

Vysvětlení rozsahu porušení zabezpečení

Zkontrolujte udělení souhlasu aplikaci, kterou vytvořili uživatelé a správci. Prozkoumejte všechny aktivity, které aplikace provádí, zejména výčet informací o adresáři uživatelů. Pokud máte podezření, že je aplikace podezřelá, zvažte zakázání aplikace a obměně přihlašovacích údajů u všech ovlivněných účtů.

Upozornění na exfiltraci

Tato část popisuje výstrahy, které značí, že se zlými úmysly může z vaší organizace ukrást data, která ho zajímají.

Aplikace OAuth využívající neobvyklého uživatelského agenta

Závažnost: Nízká

MITRE ID: T1567

Tato detekce identifikuje aplikaci OAuth, která pro přístup k Graph API používá neobvyklého uživatelského agenta.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že aplikace OAuth nedávno začala používat nového uživatelského agenta, který se dříve nepoužíval, a tato změna je neočekávaná, zobrazí se pravdivě pozitivní výsledek.

    Doporučené akce: Zkontrolujte použité uživatelské agenty a všechny nedávné změny provedené v aplikaci. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci. Zkontrolujte úroveň oprávnění požadovanou touto aplikací a projděte si, kteří uživatelé udělili přístup.

  • FP: Pokud po šetření, můžete ověřit, že má aplikace v organizaci legitimní obchodní použití.

    Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte nedávno vytvořené aplikace a použité uživatelské agenty.
  2. Zkontrolujte všechny aktivity provedené aplikací. 
  3. Zkontrolujte rozsahy udělené aplikací. 

Aplikace s neobvyklým uživatelským agentem přistupovala k e-mailovým datům prostřednictvím webových služeb Exchange

Závažnost: Vysoká

MITRE ID: T1114, T1567

Tato detekce identifikuje aplikaci OAuth, která použila neobvyklého uživatelského agenta pro přístup k e-mailovým datům pomocí rozhraní API webových služeb Exchange.

TP nebo FP?

  • TP: Pokud jste schopni ověřit, že se od aplikace OAuth neočekává změna uživatelského agenta, kterého používá k vytváření požadavků na rozhraní API webových služeb Exchange, pak se zobrazí pravdivě pozitivní výsledek.

    Doporučené akce: Klasifikujte výstrahu jako tp. Pokud je aplikace škodlivá, můžete na základě šetření odvolat souhlasy a zakázat aplikaci v tenantovi. Pokud se jedná o ohroženou aplikaci, můžete odvolat souhlasy, dočasně aplikaci zakázat, zkontrolovat oprávnění, resetovat tajný kód a certifikát a pak aplikaci znovu povolit.

  • FP: Pokud po šetření, můžete ověřit, že uživatelský agent používaný aplikací má v organizaci legitimní obchodní použití.

    Doporučená akce: Klasifikujte výstrahu jako FP. Zvažte také sdílení zpětné vazby na základě vašeho šetření výstrahy.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte, jestli byla aplikace nově vytvořena nebo jestli v ní nebyly provedeny nějaké nedávné změny.
  2. Zkontrolujte oprávnění udělená aplikaci a uživatelům, kteří s aplikací souhlasili.
  3. Zkontrolujte všechny aktivity provedené aplikací.

Upozornění na laterální pohyb

Tato část popisuje výstrahy, které značí, že se objekt se zlými úmysly může pokusit o laterálně přesun v rámci různých prostředků, zatímco prochází více systémů a účtů, aby získal ve vaší organizaci větší kontrolu.

Nečinná aplikace OAuth využívající převážně webové služby MS Graph nebo Exchange, u které se nedávno ukázalo, že přistupuje k úlohám ARM

Závažnost: Střední

MITRE ID: T1078.004

Tato detekce identifikuje aplikaci ve vašem tenantovi, která po dlouhé době nečinnosti poprvé začala přistupovat k rozhraní API azure Resource Manager. Dříve tato aplikace používala převážně MS Graph nebo webovou službu Exchange.

TP nebo FP?

  • TP: Pokud je aplikace neznámá nebo se nepoužívá, je daná aktivita potenciálně podezřelá a po ověření používaného prostředku Azure a ověření využití aplikace v tenantovi může vyžadovat zakázání aplikace.

    Doporučené akce:

    1. Zkontrolujte prostředky Azure, ke které aplikace přistupuje nebo které vytvořila, a všechny nedávné změny provedené v aplikaci.
    2. Zkontrolujte úroveň oprávnění požadovanou touto aplikací a projděte si, kteří uživatelé udělili přístup.
    3. Na základě vašeho šetření zvolte, jestli chcete zakázat přístup k této aplikaci.

  • FP: Pokud po šetření můžete ověřit, že má aplikace legitimní obchodní použití v organizaci.

    Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte přístup a aktivitu aplikace.
  2. Zkontrolujte všechny aktivity provedené aplikací od jejího vytvoření.
  3. Zkontrolujte rozsahy udělené aplikací v Graph API a roli, která jí byla udělena ve vašem předplatném.
  4. Zkontrolujte všechny uživatele, kteří k aplikaci mohli přistupovat před aktivitou.

Upozornění kolekce

Tato část popisuje výstrahy, které značí, že se zlými úmysly se může z vaší organizace pokoušet shromáždit data, která zajímají jeho cíle.

Aplikace provedla neobvyklé aktivity vyhledávání e-mailů

Závažnost: Střední

MITRE ID: T1114

Tato detekce identifikuje, kdy aplikace souhlasila s podezřelým oborem OAuth a provedla velký objem neobvyklých aktivit vyhledávání e-mailů, jako je vyhledávání konkrétního obsahu e-mailem prostřednictvím Graph API. To může znamenat pokus o porušení zabezpečení vaší organizace, například nežádoucí osoba, která se pokouší vyhledat a přečíst konkrétní e-maily z vaší organizace prostřednictvím Graph API. 

TP nebo FP?

  • TP: Pokud můžete potvrdit velký objem neobvyklých aktivit vyhledávání a čtení e-mailů prostřednictvím Graph API aplikací OAuth s podezřelým oborem OAuth a že je aplikace doručována z neznámého zdroje.

    Doporučené akce: Zakažte a odeberte aplikaci, resetujte heslo a odeberte pravidlo doručené pošty. 

  • FP: Pokud můžete ověřit, že aplikace provedla velký objem neobvyklého vyhledávání e-mailů a přečetla Graph API z legitimních důvodů.

    Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte rozsahy udělené aplikací.
  2. Zkontrolujte všechny aktivity provedené aplikací. 

Aplikace provedla neobvyklá volání grafu pro čtení e-mailů

Závažnost: Střední

MITRE ID: T1114

Tato detekce identifikuje, kdy obchodní aplikace OAuth (LOB) přistupuje prostřednictvím Graph API k neobvyklému a velkému objemu poštovních složek a zpráv uživatelů, což může znamenat pokus o narušení vaší organizace.

TP nebo FP?

  • TP: Pokud můžete potvrdit, že neobvyklou aktivitu grafu provedla obchodní aplikace OAuth, zobrazí se pravdivě pozitivní výsledek.

    Doporučené akce: Aplikaci dočasně zakažte, resetujte heslo a pak aplikaci znovu povolte. Postupujte podle kurzu, jak resetovat heslo pomocí Microsoft Entra ID.

  • FP: Pokud můžete potvrdit, že je aplikace určená k neobvykle velkému objemu volání grafů.

    Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte v protokolu aktivit události prováděné touto aplikací, abyste získali lepší přehled o dalších aktivitách Graphu, abyste mohli číst e-maily a pokoušet se shromažďovat citlivé e-mailové informace uživatelů.
  2. Monitorujte přidání neočekávaných přihlašovacích údajů do aplikace.

Aplikace vytváří pravidlo doručené pošty a provádí neobvyklé aktivity hledání e-mailů.

Závažnost: Střední

ID MITRE: T1137, T1114

Tato detekce identifikuje, že aplikace souhlasila s vysokým rozsahem oprávnění, vytvoří podezřelé pravidlo doručené pošty a provede neobvyklé aktivity vyhledávání e-mailů v poštovních složkách uživatelů prostřednictvím Graph API. To může znamenat pokus o narušení vaší organizace, například nežádoucí osoba, která se pokouší vyhledat a shromáždit konkrétní e-maily z vaší organizace prostřednictvím Graph API.

TP nebo FP?

  • TP: Pokud jste schopni potvrdit, že hledání a shromažďování konkrétních e-mailů probíhá prostřednictvím Graph API aplikací OAuth s vysokým rozsahem oprávnění a aplikace se doručuje z neznámého zdroje.

    Doporučená akce: Zakažte a odeberte aplikaci, resetujte heslo a odeberte pravidlo doručené pošty.

  • FP: Pokud můžete ověřit, že aplikace provedla konkrétní vyhledávání a shromažďování e-mailů prostřednictvím Graph API a vytvořila pravidlo doručené pošty na nový nebo osobní externí e-mailový účet z legitimních důvodů.

    Doporučená akce: Zavřete upozornění.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity provedené aplikací.
  2. Zkontrolujte rozsahy udělené aplikací.
  3. Zkontrolujte všechny akce pravidla doručené pošty vytvořené aplikací.
  4. Zkontrolujte všechny aktivity vyhledávání e-mailů provedené aplikací.

Aktivity hledání na OneDrivu nebo SharePointu vytvořené aplikací a vytvořené pravidlo doručené pošty

Závažnost: Střední

MITRE ID: T1137, T1213

Tato detekce identifikuje, že aplikace souhlasila s vysokým rozsahem oprávnění, vytvořila podezřelé pravidlo doručené pošty a provedla neobvyklé aktivity hledání na SharePointu nebo OneDrivu prostřednictvím Graph API. To může znamenat pokus o narušení vaší organizace, například nežádoucí osoba, která se pokouší vyhledat a shromáždit konkrétní data ze SharePointu nebo OneDrivu z vaší organizace prostřednictvím Graph API. 

TP nebo FP?

  • TP: Pokud můžete potvrdit konkrétní data z vyhledávání a shromažďování dat na SharePointu nebo OneDrivu provedené prostřednictvím Graph API aplikací OAuth s vysokým rozsahem oprávnění a aplikace se doručuje z neznámého zdroje. 

    Doporučená akce: Zakažte a odeberte aplikaci, resetujte heslo a odeberte pravidlo doručené pošty. 

  • FP: Pokud můžete ověřit, že aplikace provedla konkrétní data z vyhledávání a shromažďování dat na SharePointu nebo OneDrivu prostřednictvím Graph API aplikací OAuth a z legitimních důvodů vytvořila pravidlo doručené pošty pro nový nebo osobní externí e-mailový účet. 

    Doporučená akce: Zavření upozornění

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity provedené aplikací. 
  2. Zkontrolujte rozsahy udělené aplikací. 
  3. Zkontrolujte všechny akce pravidla doručené pošty vytvořené aplikací. 
  4. Zkontrolujte všechny aktivity vyhledávání na SharePointu nebo OneDrivu provedené aplikací.

Aplikace provedla řadu hledání a úprav na OneDrivu

Závažnost: Střední

ID MITRE: T1137, T1213

Tato detekce identifikuje aplikace OAuth s vysokými oprávněními, které provádějí velký počet hledání a úprav na OneDrivu pomocí Graph API.

TP nebo FP?

  • TP: Pokud jste schopni potvrdit, že se od této aplikace OAuth s vysokými oprávněními ke čtení a zápisu na OneDrive neočekává vysoké využití úloh OneDrivu prostřednictvím Graph API, znamená to, že je skutečně pozitivní.

    Doporučená akce: Pokud je aplikace škodlivá, můžete na základě šetření odvolat souhlasy a zakázat aplikaci v tenantovi. Pokud se jedná o ohroženou aplikaci, můžete odvolat souhlasy, dočasně aplikaci zakázat, zkontrolovat požadovaná oprávnění, resetovat heslo a pak aplikaci znovu povolit.

  • FP: Pokud po šetření, můžete ověřit, že má aplikace v organizaci legitimní obchodní použití.

    Doporučená akce: Vyřešte výstrahu a nahlaste svá zjištění.

Vysvětlení rozsahu porušení zabezpečení

  1. Ověřte, jestli aplikace pochází ze spolehlivého zdroje.
  2. Ověřte, jestli byla aplikace nově vytvořena nebo jestli v ní nebyly provedeny nějaké nedávné změny.
  3. Zkontrolujte oprávnění udělená aplikaci a uživatelům, kteří s aplikací souhlasili.
  4. Prozkoumejte všechny ostatní aktivity aplikací.

Aplikace vytvořila pravidlo doručené pošty s vysokou důležitostí pro čtení pošty.

Závažnost: Střední

ID MITRE: T1137, T1114

Tato detekce identifikuje, že aplikace souhlasila s vysokým rozsahem oprávnění, vytvořila podezřelé pravidlo doručené pošty a provedla velký objem důležitých aktivit čtení pošty prostřednictvím Graph API. To může znamenat pokus o narušení vaší organizace, například nežádoucí osoba, která se pokouší přečíst e-maily s vysokou důležitostí od vaší organizace prostřednictvím Graph API. 

TP nebo FP?

  • TP: Pokud jste schopni potvrdit, že velký objem důležitých e-mailů přečtených prostřednictvím Graph API aplikací OAuth s vysokým rozsahem oprávnění a aplikace je doručována z neznámého zdroje. 

    Doporučená akce: Zakažte a odeberte aplikaci, resetujte heslo a odeberte pravidlo doručené pošty. 

  • FP: Pokud jste schopni ověřit, že aplikace z legitimních důvodů provedla velký objem důležitých e-mailů přečtených prostřednictvím Graph API a vytvořila pravidlo doručené pošty na nový nebo osobní externí e-mailový účet. 

    Doporučená akce: Zavření upozornění

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity provedené aplikací. 
  2. Zkontrolujte rozsahy udělené aplikací. 
  3. Zkontrolujte všechny akce pravidla doručené pošty vytvořené aplikací. 
  4. Zkontrolujte všechny důležité aktivity čtení e-mailů provedené aplikací.

Privilegovaná aplikace prováděla neobvyklé aktivity v Teams

Závažnost: Střední

Tato detekce identifikuje aplikace, které souhlasily s obory OAuth s vysokými oprávněními, které přistupovaly k Microsoft Teams a provedly neobvyklý objem aktivit čtení nebo publikování chatových zpráv prostřednictvím Graph API. To může znamenat pokus o narušení vaší organizace, například nežádoucí osoba, která se pokouší shromáždit informace z vaší organizace prostřednictvím Graph API.

TP nebo FP?

  • TP: Pokud jste schopni potvrdit, že neobvyklé aktivity chatovacích zpráv v Microsoft Teams prostřednictvím Graph API aplikace OAuth s vysokým rozsahem oprávnění a aplikace je doručována z neznámého zdroje.

    Doporučená akce: Zakázání a odebrání aplikace a resetování hesla

  • FP: Pokud jste schopni potvrdit, že neobvyklé aktivity prováděné v Microsoft Teams prostřednictvím Graph API byly z legitimních důvodů.

    Doporučená akce: Zavření upozornění

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte rozsahy udělené aplikací.
  2. Zkontrolujte všechny aktivity provedené aplikací.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Neobvyklá aktivita aplikace na OneDrivu, která právě aktualizovala nebo přidala nové přihlašovací údaje

Závažnost: Střední

ID MITRE: T1098.001, T1213

Cloudová aplikace, která není od Microsoftu, provedla neobvyklá volání Graph API na OneDrive, včetně velkého využití dat. Tato neobvyklá volání rozhraní API zjištěná pomocí strojového učení se uskutečnila během několika dnů poté, co aplikace přidala nové nebo aktualizované stávající certifikáty nebo tajné kódy. Tato aplikace může být zapojená do exfiltrace dat nebo jiných pokusů o přístup k citlivým informacím a jejich načtení.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že aplikace prováděla neobvyklé aktivity, jako je například velké využití úloh OneDrivu, prostřednictvím Graph API.

    Doporučená akce: Aplikaci dočasně zakažte, resetujte heslo a pak aplikaci znovu povolte.

  • FP: Pokud si můžete ověřit, že aplikace neprováděla žádné neobvyklé aktivity nebo že má aplikace provádět neobvykle velký objem volání v Graphu.

    Doporučená akce: Zavření upozornění

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné aplikací.
  2. Zkontrolujte rozsahy udělené aplikací.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Neobvyklá aktivita SharePointu podle aplikace, která právě aktualizovala nebo přidala nové přihlašovací údaje

Závažnost: Střední

ID MITRE: T1098.001, T1213.002

Cloudová aplikace, která není od Microsoftu, provedla neobvyklá Graph API volání SharePointu, včetně velkého využití dat. Tato neobvyklá volání rozhraní API zjištěná pomocí strojového učení se uskutečnila během několika dnů poté, co aplikace přidala nové nebo aktualizované stávající certifikáty nebo tajné kódy. Tato aplikace může být zapojená do exfiltrace dat nebo jiných pokusů o přístup k citlivým informacím a jejich načtení.

TP nebo FP?

  • TP: Pokud můžete ověřit, že aplikace prováděla neobvyklé aktivity, jako je vysoké využití sharepointových úloh, prostřednictvím Graph API.

    Doporučená akce: Aplikaci dočasně zakažte, resetujte heslo a pak aplikaci znovu povolte.

  • FP: Pokud si můžete ověřit, že aplikace neprováděla žádné neobvyklé aktivity nebo že má aplikace provádět neobvykle velký objem volání v Graphu.

    Doporučená akce: Zavření upozornění

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné aplikací.
  2. Zkontrolujte rozsahy udělené aplikací.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Závažnost: Střední

ID MITRE: T1114

Tato detekce generuje upozornění pro aplikace OAuth jiné společnosti než Microsoft s metadaty, jako je název, adresa URL nebo vydavatel, která byla dříve pozorována v aplikacích s podezřelou aktivitou související s poštou. Tato aplikace může být součástí útočné kampaně a může být zapojena do exfiltrace citlivých informací.

TP nebo FP?

  • TP: Pokud můžete ověřit, že aplikace vytvořila pravidla poštovní schránky nebo provedla velký počet neobvyklých Graph API volání úlohy Exchange.

    Doporučená akce:

    • Prozkoumejte podrobnosti o registraci aplikace o zásadách správného řízení aplikací a další podrobnosti najdete v Microsoft Entra ID.
    • Obraťte se na uživatele nebo správce, kteří udělili souhlas nebo oprávnění k aplikaci. Ověřte, jestli byly změny úmyslné.
    • Vyhledejte v tabulce Rozšířené proaktivní vyhledávání CloudAppEvents , abyste porozuměli aktivitám aplikací a identifikovali data, ke kterým aplikace přistupuje. Zkontrolujte ovlivněné poštovní schránky a zkontrolujte zprávy, které mohla přečíst nebo přeposlat samotná aplikace nebo pravidla, která vytvořila.
    • Než začnete zvažovat jakékoli akce omezení, ověřte, jestli je aplikace pro vaši organizaci důležitá. Deaktivujte aplikaci pomocí zásad správného řízení aplikací nebo Microsoft Entra ID, abyste jí zabránili v přístupu k prostředkům. Stávající zásady zásad správného řízení aplikací už možná aplikaci deaktivovaly.

  • FP: Pokud můžete potvrdit, že aplikace neprováděla žádné neobvyklé aktivity a že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavření upozornění

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné aplikací.
  2. Zkontrolujte rozsahy udělené aplikaci.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Aplikace s oprávněními aplikace EWS přistupující k mnoha e-mailům

Závažnost: Střední

ID MITRE: T1114

Tato detekce generuje výstrahy pro víceklientské cloudové aplikace s oprávněními aplikace EWS, které ukazují výrazný nárůst volání rozhraní API webových služeb Exchange, která jsou specifická pro výčet a shromažďování e-mailů. Tato aplikace může být zapojená do přístupu k citlivým e-mailovým datům a jejich načítání.

TP nebo FP?

  • TP: Pokud můžete ověřit, že aplikace přistupovala k citlivým e-mailovým datům nebo provedla velký počet neobvyklých volání do úlohy Exchange.

    Doporučená akce:

    • Prozkoumejte podrobnosti o registraci aplikace o zásadách správného řízení aplikací a další podrobnosti najdete v Microsoft Entra ID.
    • Obraťte se na uživatele nebo správce, kteří udělili souhlas nebo oprávnění k aplikaci. Ověřte, jestli byly změny úmyslné.
    • Vyhledejte v tabulce Rozšířené proaktivní vyhledávání CloudAppEvents , abyste porozuměli aktivitám aplikací a identifikovali data, ke kterým aplikace přistupuje. Zkontrolujte ovlivněné poštovní schránky a zkontrolujte zprávy, které mohla přečíst nebo přeposlat samotná aplikace nebo pravidla, která vytvořila.
    • Než začnete zvažovat jakékoli akce omezení, ověřte, jestli je aplikace pro vaši organizaci důležitá. Deaktivujte aplikaci pomocí zásad správného řízení aplikací nebo Microsoft Entra ID, abyste jí zabránili v přístupu k prostředkům. Stávající zásady zásad správného řízení aplikací už možná aplikaci deaktivovaly.

  • FP: Pokud můžete potvrdit, že aplikace neprováděla žádné neobvyklé aktivity a že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavření upozornění

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné aplikací.
  2. Zkontrolujte rozsahy udělené aplikaci.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Nepoužívané aplikace nově přistupující k rozhraním API

Závažnost: Střední

ID MITRE: T1530

Tato detekce generuje upozornění pro víceklientské cloudové aplikace, která je nějakou dobu neaktivní a nedávno začala volat rozhraní API. Tato aplikace může být ohrožena útočníkem a používána k přístupu k citlivým datům a jejich načítání.

TP nebo FP?

  • TP: Pokud můžete ověřit, že aplikace přistupovala k citlivým datům nebo provedla velký počet neobvyklých volání úloh Microsoft Graphu, Exchange nebo Azure Resource Manager.

    Doporučená akce:

    • Prozkoumejte podrobnosti o registraci aplikace o zásadách správného řízení aplikací a další podrobnosti najdete v Microsoft Entra ID.
    • Obraťte se na uživatele nebo správce, kteří udělili souhlas nebo oprávnění k aplikaci. Ověřte, jestli byly změny úmyslné.
    • Vyhledejte v tabulce Rozšířené proaktivní vyhledávání CloudAppEvents , abyste porozuměli aktivitám aplikací a identifikovali data, ke kterým aplikace přistupuje. Zkontrolujte ovlivněné poštovní schránky a zkontrolujte zprávy, které mohla přečíst nebo přeposlat samotná aplikace nebo pravidla, která vytvořila.
    • Než začnete zvažovat jakékoli akce omezení, ověřte, jestli je aplikace pro vaši organizaci důležitá. Deaktivujte aplikaci pomocí zásad správného řízení aplikací nebo Microsoft Entra ID, abyste jí zabránili v přístupu k prostředkům. Stávající zásady zásad správného řízení aplikací už možná aplikaci deaktivovaly.

  • FP: Pokud můžete potvrdit, že aplikace neprováděla žádné neobvyklé aktivity a že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavření upozornění

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné aplikací.
  2. Zkontrolujte rozsahy udělené aplikaci.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Upozornění na dopad

Tato část popisuje výstrahy, které označují, že se objekt se zlými úmysly může pokoušet manipulovat, přerušit nebo zničit vaše systémy a data z vaší organizace.

Obchodní aplikace Entra iniciující neobvyklou špičku při vytváření virtuálních počítačů

Závažnost: Střední

MITRE ID: T1496

Tato detekce identifikuje novou aplikaci OAuth s jedním tenantem, která ve vašem tenantovi pomocí rozhraní Azure Resource Manager API vytváří velké množství Virtual Machines Azure.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že se aplikace OAuth nedávno vytvořila a ve vašem tenantovi vytváří velký počet Virtual Machines, zobrazí se pravdivě pozitivní výsledek.

    Doporučené akce: Zkontrolujte vytvořené virtuální počítače a všechny nedávné změny provedené v aplikaci. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci. Zkontrolujte úroveň oprávnění požadovanou touto aplikací a projděte si, kteří uživatelé udělili přístup.

  • FP: Pokud po šetření, můžete ověřit, že má aplikace v organizaci legitimní obchodní použití.

    Doporučená akce: Zavřete upozornění.

Seznamte se s rozsahem porušení zabezpečení:

  1. Zkontrolujte nedávno vytvořené aplikace a vytvořené virtuální počítače.
  2. Zkontrolujte všechny aktivity provedené aplikací od jejího vytvoření.
  3. Zkontrolujte rozsahy udělené aplikací v Graph API a role, které jí byly ve vašem předplatném uděleny.

Aplikace OAuth s oprávněními s vysokým oborem v Microsoft Graphu byla zjištěna při vytváření virtuálních počítačů

Závažnost: Střední

MITRE ID: T1496

Tato detekce identifikuje aplikaci OAuth, která ve vašem tenantovi vytváří velké množství Virtual Machines Azure pomocí rozhraní Azure Resource Manager API a zároveň má v tenantovi vysoká oprávnění prostřednictvím MS Graph API před aktivitou.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že se vytvořila aplikace OAuth s vysokými rozsahy oprávnění a že ve vašem tenantovi vytváří velký počet Virtual Machines, zobrazí se skutečně pozitivní výsledek.

    Doporučené akce: Zkontrolujte vytvořené virtuální počítače a všechny nedávné změny provedené v aplikaci. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci. Zkontrolujte úroveň oprávnění požadovanou touto aplikací a projděte si, kteří uživatelé udělili přístup.

  • FP: Pokud po šetření, můžete ověřit, že má aplikace v organizaci legitimní obchodní použití.

    Doporučená akce: Zavřete upozornění.

Seznamte se s rozsahem porušení zabezpečení:

  1. Zkontrolujte nedávno vytvořené aplikace a vytvořené virtuální počítače.
  2. Zkontrolujte všechny aktivity provedené aplikací od jejího vytvoření.
  3. Zkontrolujte rozsahy udělené aplikací v Graph API a role, které jí byly ve vašem předplatném uděleny.

Další kroky

Správa upozornění zásad správného řízení aplikací