Zkoumání předdefinovaných upozornění zásad aplikací

Zásady správného řízení aplikací poskytují předdefinovaná upozornění zásad aplikací pro neobvyklé aktivity. Účelem této příručky je poskytnout vám obecné a praktické informace o jednotlivých výstrahách, které vám pomůžou s vyšetřováním a nápravou.

Tato příručka obsahuje obecné informace o podmínkách pro aktivaci upozornění. Vzhledem k tomu, že předdefinované zásady jsou ze své podstaty nedeterministické, aktivují se pouze v případě, že se chování odchyluje od normy.

Tip

Některá upozornění můžou být ve verzi Preview, proto pravidelně kontrolujte aktualizované stavy výstrah.

Klasifikace výstrah zabezpečení

Po řádném prošetření je možné všechna upozornění zásad správného řízení aplikací klasifikovat do jednoho z následujících typů aktivit:

• Pravdivě pozitivní (TP): Upozornění na potvrzenou škodlivou aktivitu.
• Neškodný pravdivě pozitivní (B-TP): Upozornění na podezřelou, ale nikoli škodlivou aktivitu, jako je penetrační test nebo jiná autorizovaná podezřelá akce.
• Falešně pozitivní (FP): Upozornění na nemalickou aktivitu.

Obecné kroky šetření

Při vyšetřování jakéhokoli typu výstrahy použijte následující obecné pokyny, abyste před použitím doporučené akce získali jasnější představu o potenciální hrozbě.

1. Zkontrolujte úroveň závažnosti aplikace a porovnejte ji se zbývajícími aplikacemi ve vašem tenantovi. Tato kontrola vám pomůže určit, které aplikace ve vašem tenantovi představují větší riziko.

2. Pokud identifikujete tp, zkontrolujte všechny aktivity aplikace, abyste získali přehled o dopadu. Projděte si například následující informace o aplikaci:

   • Obory udělený přístup
   • Neobvyklé chování
   • IP adresa a umístění

Předdefinovaná upozornění zásad aplikací

Tato část obsahuje informace o jednotlivých předdefinovaných upozorněních zásad spolu s kroky pro šetření a nápravu.

Zvýšení využití dat u přeprivilegované nebo vysoce privilegované aplikace

Závažnost: Střední

Vyhledejte aplikace s výkonnými nebo nepoužívanými oprávněními, které vykazují náhlé zvýšení využití dat prostřednictvím Graph API. Neobvyklé změny ve využití dat můžou značit ohrožení zabezpečení.

TP nebo FP?

Pokud chcete zjistit, jestli je výstraha pravdivě pozitivní (TP) nebo falešně pozitivní (FP), zkontrolujte všechny aktivity prováděné aplikací, obory udělené aplikaci a aktivitu uživatele přidruženou k aplikaci.

• TP: Tuto doporučenou akci použijte, pokud jste potvrdili, že zvýšení využití dat neprivilegovanou nebo vysoce privilegovanou aplikací je nepravidelné nebo potenciálně škodlivé.

  Doporučená akce: Obraťte se na uživatele ohledně aktivit aplikací, které způsobily zvýšení využití dat. Aplikaci dočasně zakažte, resetujte heslo a pak aplikaci znovu povolte.

• FP: Tuto doporučenou akci použijte, pokud jste potvrdili, že zjištěná aktivita aplikace je zamýšlená a má legitimní obchodní použití v organizaci.

  Doporučená akce: Zavřete upozornění.

Neobvyklá aktivita z aplikace se souhlasem účtu s prioritou

Závažnost: Střední

Zjistíte neobvyklé zvýšení využití dat nebo chyb přístupu k Graph API, které se projeví u aplikací, které získaly souhlas od prioritního účtu.

TP nebo FP?

Zkontrolujte všechny aktivity prováděné aplikací, obory udělené aplikaci a aktivity uživatelů přidružené k aplikaci.

• TP: Tuto doporučenou akci použijte, pokud jste potvrdili, že zvýšení využití dat nebo chyb přístupu k rozhraní API ze strany aplikace se souhlasem z prioritního účtu je velmi nepravidelné nebo potenciálně škodlivé.

  Doporučená akce: Obraťte se na uživatele účtu s prioritou ohledně aktivit aplikací, které způsobily zvýšení využití dat nebo chyby přístupu k rozhraní API. Dočasně aplikaci zakažte, resetujte heslo a pak aplikaci znovu povolte.

• FP: Tuto doporučenou akci použijte, pokud jste potvrdili, že zjištěná aktivita aplikace je zamýšlená a má legitimní obchodní použití v organizaci.

  Doporučená akce: Zavřete upozornění.

Nová aplikace s nízkou mírou souhlasu

Závažnost: Střední

Žádosti o souhlas z nově vytvořené aplikace uživatelé často zamítají. Uživatelé obvykle odmítnou žádosti o souhlas z aplikací, u kterých došlo k neočekávanému chování nebo které přišly z nedůvěryhodného zdroje. U aplikací s nízkou mírou souhlasu je větší pravděpodobnost, že budou rizikové nebo škodlivé.

TP nebo FP?

Zkontrolujte všechny aktivity prováděné aplikací, obory udělené aplikaci a aktivity uživatelů přidružené k aplikaci.

• TP: Tuto doporučenou akci použijte, pokud jste potvrdili, že aplikace pochází z neznámého zdroje a její aktivity byly velmi nepravidelné nebo potenciálně škodlivé.

  Doporučená akce: Aplikaci dočasně zakažte, resetujte heslo a pak aplikaci znovu povolte.

• FP: Tuto doporučenou akci použijte, pokud jste potvrdili, že zjištěná aktivita aplikace je legitimní.

  Doporučená akce: Zavřete upozornění.

Špička v Graph API volání na OneDrive

Závažnost: Střední

U cloudové aplikace došlo k výraznému nárůstu počtu volání Graph API na OneDrive. Tato aplikace může být zapojená do exfiltrace dat nebo jiných pokusů o přístup k citlivým datům a jejich načtení.

TP nebo FP?

Zkontrolujte všechny aktivity prováděné aplikací, obory udělené aplikaci a aktivity uživatelů přidružené k aplikaci.

• TP: Tuto doporučenou akci použijte, pokud jste potvrdili, že vysoce nepravidelné a potenciálně škodlivé aktivity vedly ke zjištěnému zvýšení využití OneDrivu.

  Doporučená akce: Aplikaci dočasně zakažte, resetujte heslo a pak aplikaci znovu povolte.

• FP: Tuto doporučenou akci použijte, pokud jste potvrdili, že zjištěná aktivita aplikace je legitimní.

  Doporučená akce: Zavřete upozornění.

Špička v Graph API volání sharepointového serveru

Závažnost: Střední

U cloudové aplikace došlo k výraznému nárůstu volání Graph API do SharePointu. Tato aplikace může být zapojená do exfiltrace dat nebo jiných pokusů o přístup k citlivým datům a jejich načtení.

TP nebo FP?

Zkontrolujte všechny aktivity prováděné aplikací, obory udělené aplikaci a aktivity uživatelů přidružené k aplikaci.

• TP: Tuto doporučenou akci použijte, pokud jste potvrdili, že vysoce nepravidelné a potenciálně škodlivé aktivity vedly ke zjištěnému zvýšení využití SharePointu.

  Doporučená akce: Aplikaci dočasně zakažte, resetujte heslo a pak aplikaci znovu povolte.

• FP: Tuto doporučenou akci použijte, pokud jste potvrdili, že zjištěná aktivita aplikace je legitimní.

  Doporučená akce: Zavřete upozornění.

Špička v Graph API volání na Exchange

Závažnost: Střední

V cloudové aplikaci došlo k výraznému nárůstu volání Graph API exchange. Tato aplikace může být zapojená do exfiltrace dat nebo jiných pokusů o přístup k citlivým datům a jejich načtení.

TP nebo FP?

Zkontrolujte všechny aktivity prováděné aplikací, obory udělené aplikaci a aktivity uživatelů přidružené k aplikaci.

• TP: Tuto doporučenou akci použijte, pokud jste potvrdili, že vysoce nepravidelné a potenciálně škodlivé aktivity vedly ke zjištěnému zvýšení využití Exchange.

  Doporučená akce: Aplikaci dočasně zakažte, resetujte heslo a pak aplikaci znovu povolte.

• FP: Tuto doporučenou akci použijte, pokud jste potvrdili, že zjištěná aktivita aplikace je legitimní.

  Doporučená akce: Zavřete upozornění.

Podezřelá aplikace s přístupem k více službám Microsoft 365

Závažnost: Střední

Vyhledejte aplikace s přístupem OAuth k několika službám Microsoftu 365, u kterých se po aktualizaci certifikátu nebo tajného kódu projevila statisticky neobvyklá aktivita Graph API. Identifikací těchto aplikací a jejich kontrolou ohrožení můžete zabránit laterálnímu pohybu, exfiltraci dat a dalším škodlivým aktivitám, které procházejí cloudové složky, e-maily a další služby.

TP nebo FP?

Zkontrolujte všechny aktivity prováděné aplikací, obory udělené aplikaci a aktivity uživatelů přidružené k aplikaci.

• TP: Tuto doporučenou akci použijte, pokud jste potvrdili, že aktualizace certifikátů nebo tajných kódů aplikací a dalších aktivit aplikací byly velmi nepravidelné nebo potenciálně škodlivé.

  Doporučená akce: Aplikaci dočasně zakažte, resetujte heslo a pak aplikaci znovu povolte.

• FP: Tuto doporučenou akci použijte, pokud jste potvrdili, že zjištěná aktivita aplikace je legitimní.

  Doporučená akce: Zavřete upozornění.

Velký objem aktivity vytváření pravidel doručené pošty aplikací

Závažnost: Střední

Aplikace provedla velký počet volání Graph API k vytvoření pravidel doručené pošty Exchange. Tato aplikace může být součástí shromažďování a exfiltrace dat nebo jiných pokusů o přístup k citlivým informacím a jejich načtení.

TP nebo FP?

Zkontrolujte všechny aktivity prováděné aplikací, obory udělené aplikaci a aktivity uživatelů přidružené k aplikaci.

• TP: Tuto doporučenou akci použijte, pokud jste potvrdili, že vytváření pravidel doručené pošty a dalších aktivit bylo velmi nepravidelné nebo potenciálně škodlivé.

  Doporučená akce: Aplikaci dočasně zakažte, resetujte heslo a pak aplikaci znovu povolte.

• FP: Tuto doporučenou akci použijte, pokud jste potvrdili, že zjištěná aktivita aplikace je legitimní.

  Doporučená akce: Zavřete upozornění.

Velký objem aktivity vyhledávání e-mailů v aplikaci

Závažnost: Střední

Aplikace provedla velký počet Graph API volání, která prohledávají obsah e-mailu Exchange. Tato aplikace může být součástí shromažďování dat nebo jiných pokusů o přístup k citlivým informacím a jejich načtení.

TP nebo FP?

Zkontrolujte všechny aktivity prováděné aplikací, obory udělené aplikaci a aktivity uživatelů přidružené k aplikaci.

• TP: Tuto doporučenou akci použijte, pokud jste potvrdili, že vyhledávání obsahu na Exchangi a dalších aktivitách bylo velmi nepravidelné nebo potenciálně škodlivé.

  Doporučená akce: Aplikaci dočasně zakažte, resetujte heslo a pak aplikaci znovu povolte.

• FP: Pokud si můžete ověřit, že aplikace neprováděla žádné neobvyklé aktivity hledání pošty nebo že je aplikace určená k provádění neobvyklých aktivit vyhledávání pošty prostřednictvím Graph API.

  Doporučená akce: Zavřete upozornění.

Velký objem aktivity odesílání e-mailů aplikací

Závažnost: Střední

Aplikace provedla velký počet volání Graph API, aby odesílala e-mailové zprávy pomocí Exchange Online. Tato aplikace může být součástí shromažďování a exfiltrace dat nebo jiných pokusů o přístup k citlivým informacím a jejich načtení.

TP nebo FP?

Zkontrolujte všechny aktivity prováděné aplikací, obory udělené aplikaci a aktivity uživatelů přidružené k aplikaci.

• TP: Tuto doporučenou akci použijte, pokud jste potvrdili, že odesílání e-mailových zpráv a dalších aktivit bylo velmi nepravidelné nebo potenciálně škodlivé.

  Doporučená akce: Aplikaci dočasně zakažte, resetujte heslo a pak aplikaci znovu povolte.

• FP: Pokud si můžete ověřit, že aplikace neprováděla žádné neobvyklé aktivity odesílání pošty nebo že je určená k provádění neobvyklých aktivit odesílání pošty prostřednictvím Graph API.

  Doporučená akce: Zavřete upozornění.

Přístup k citlivým datům

Závažnost: Střední

Vyhledejte aplikace, které přistupují k citlivým datům identifikovaným konkrétními popisky.

TP nebo FP?

Pokud chcete zjistit, jestli je výstraha pravdivě pozitivní (TP) nebo falešně pozitivní (FP), zkontrolujte prostředky, ke které aplikace přistupuje.

• TP: Tuto doporučenou akci použijte, pokud jste potvrdili, že aplikace nebo zjištěná aktivita jsou nepravidelné nebo potenciálně škodlivé.

  Doporučená akce: Zabrání aplikaci v přístupu k prostředkům tím, že ji deaktivuje z Microsoft Entra ID.

• FP: Tuto doporučenou akci použijte, pokud jste potvrdili, že aplikace má v organizaci legitimní obchodní použití a byla zjištěná aktivita očekávána.

  Doporučená akce: Zavřete upozornění.

Další kroky

Informace o detekci a nápravě hrozeb aplikací