Del via

Undersøg vigtige beskeder om trusselsregistrering i forbindelse med appstyring

  • Artikel

Appstyring giver sikkerhedsregistreringer og -beskeder om skadelige aktiviteter. Denne artikel indeholder en liste over oplysninger om hver besked, der kan hjælpe dig med at undersøge og løse problemet, herunder betingelserne for udløsning af beskeder. Da trusselsregistreringer er nondeterministiske af natur, udløses de kun, når der er adfærd, der afviger fra normen.

Du kan få flere oplysninger under Appstyring i Microsoft Defender for Cloud Apps

Bemærk!

Trusselsregistreringer af appstyring er baseret på optælling af aktiviteter på data, der er midlertidige og muligvis ikke gemmes, og beskeder kan derfor give antallet af aktiviteter eller indikationer på stigninger, men ikke nødvendigvis alle de relevante data. Specifikt for OAuth-apps Graph API-aktiviteter kan selve aktiviteterne overvåges af lejeren ved hjælp af Log Analytics og Sentinel.

Du kan få flere oplysninger under:

Generelle undersøgelsestrin

Hvis du vil finde vigtige beskeder, der er specifikt relateret til appstyring, skal du gå til siden beskeder på XDR-portalen. Brug feltet "Tjeneste-/registreringskilder" på listen over beskeder til at filtrere beskeder. Angiv værdien for dette felt til "App Governance" for at få vist alle beskeder, der genereres af App Governance.

Generelle retningslinjer

Brug følgende generelle retningslinjer, når du undersøger en hvilken som helst type besked for at få en tydeligere forståelse af den potentielle trussel, før du anvender den anbefalede handling.

  • Gennemse alvorsgraden af appen, og sammenlign med resten af appsene i din lejer. Denne gennemgang hjælper dig med at identificere, hvilke apps i din lejer der udgør den største risiko.

  • Hvis du identificerer en TP, skal du gennemse alle appaktiviteterne for at få en forståelse af indvirkningen. Gennemse f.eks. følgende appoplysninger:

    • Områder, der er tildelt adgang
    • Usædvanlig funktionsmåde
    • IP-adresse og -placering

Klassificeringer af sikkerhedsadvarsler

Efter en grundig undersøgelse kan alle vigtige beskeder om appstyring klassificeres som en af følgende aktivitetstyper:

  • Sand positiv (TP): En besked om en bekræftet skadelig aktivitet.
  • Godartet sand positiv (B-TP): En advarsel om mistænkelig, men ikke ondsindet aktivitet, såsom en indtrængningstest eller anden godkendt mistænkelig handling.
  • Falsk positiv (FP):En besked om en ikke-skadelig aktivitet.

MITRE ATT&CK

For at gøre det nemmere at tilknytte relationen mellem vigtige beskeder om appstyring og den velkendte MITRE ATT&CK Matrix har vi kategoriseret beskederne efter deres tilsvarende MITRE ATT-&CK-taktik. Denne ekstra reference gør det lettere at forstå teknikken for formodede angreb, der potentielt bruges, når beskeden om appstyring udløses.

Denne vejledning indeholder oplysninger om undersøgelse og afhjælpning af vigtige beskeder om appstyring i følgende kategorier.

Indledende adgangsbeskeder

I dette afsnit beskrives beskeder, der angiver, at en skadelig app muligvis forsøger at bevare deres fodfæste i din organisation.

App omdirigerer til phishing-URL-adresse ved at udnytte sårbarheder i forbindelse med OAuth-omdirigering

Alvorsgrad: mellem

Denne registrering identificerer OAuth-apps, der omdirigerer til phishing-URL-adresser ved at udnytte parameteren for svartypen i OAuth-implementeringen via Microsoft Graph-API'en.

TP eller FP?

  • TP: Hvis du kan bekræfte, at OAuth-appen blev leveret fra en ukendt kilde, indeholder svartypen for svar-URL-adressen efter samtykke til OAuth-appen en ugyldig anmodning og omdirigerer til en ukendt ELLER upålidelig SVAR-URL-adresse.

    Anbefalet handling: Deaktiver og fjern appen, nulstil adgangskoden, og fjern indbakkereglen. 

  • FP: Hvis du efter undersøgelse kan bekræfte, at appen har en legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af appen. 
  2. Gennemse de områder, der er tildelt af appen. 

OAuth-app med mistænkelig URL-adresse til svar

Alvorsgrad: mellem

Denne registrering identificerer en OAuth-app, der er åbnet i en mistænkelig SVAR-URL-adresse via Microsoft Graph-API'en.

TP eller FP?

  • TP: Hvis du kan bekræfte, at OAuth-appen leveres fra en ukendt kilde og omdirigerer til en mistænkelig URL-adresse, angives der en sand positiv. En mistænkelig URL-adresse er én, hvor URL-adressens omdømme er ukendt, ikke er tillid til, eller hvis domæne er blevet registreret for nylig, og appanmodningen har et område med rettigheder på højt niveau.

    Anbefalet handling: Gennemse SVAR-URL-adressen, domæner og områder, som appen har anmodet om. Baseret på din undersøgelse kan du vælge at forbyde adgang til denne app. Gennemse det tilladelsesniveau, som denne app har anmodet om, og hvilke brugere der har fået adgang.

    Hvis du vil forbyde adgang til appen, skal du gå til den relevante fane for din app på siden Appstyring . Vælg forbudsikonet på den række, hvor den app, du vil forbyde, vises. Du kan vælge, om du vil fortælle brugerne, om den app, de har installeret og godkendt, er blevet forbudt. Meddelelsen giver brugerne besked om, at appen er deaktiveret, og at de ikke har adgang til den forbundne app. Hvis du ikke ønsker, at de skal vide det, skal du fjerne markeringen af Giv brugere, der har givet adgang til denne forbudte app, besked i dialogboksen. Vi anbefaler, at du giver appbrugerne besked om, at deres app er ved at blive forbudt at bruge.

  • FP: Hvis du efter undersøgelse kan bekræfte, at appen har en legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

  1. Gennemse de apps, der er oprettet for nylig, og deres URL-adresser til Svar.

  2. Gennemse alle de aktiviteter, der udføres af appen. 

  3. Gennemse de områder, der er tildelt af appen. 

Alvorsgrad: Lav

Denne registrering identificerer en OAuth-app, der blev oprettet for nylig, og som har en lav samtykkefrekvens. Dette kan indikere en skadelig eller risikabel app, der lokker brugere i ulovlig samtykketilskud.

TP eller FP?

  • TP: Hvis du kan bekræfte, at OAuth-appen leveres fra en ukendt kilde, angives der en sand positiv.

    Anbefalet handling: Gennemse det viste navn, URL-adresser til svar og domæner for appen. På baggrund af din undersøgelse kan du vælge at forbyde adgang til denne app. Gennemse det tilladelsesniveau, som denne app har anmodet om, og hvilke brugere der har givet adgang.

  • FP: Hvis du efter undersøgelse kan bekræfte, at appen har en legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af appen.
  2. Hvis du har mistanke om, at en app er mistænkelig, anbefaler vi, at du undersøger appens navn og svardomæne i forskellige appbutikker. Når du kontrollerer appbutikker, skal du fokusere på følgende typer apps:
    • Apps, der er oprettet for nylig
    • App med usædvanligt vist navn
    • Apps med et mistænkeligt Svar-domæne
  3. Hvis du stadig har mistanke om, at en app er mistænkelig, kan du undersøge appens viste navn og svardomæne.

App med dårligt URL-omdømme

Alvorsgrad: mellem

Denne registrering identificerer en OAuth-app, der blev fundet at have et dårligt URL-omdømme.

TP eller FP?

  • TP: Hvis du kan bekræfte, at OAuth-appen leveres fra en ukendt kilde og omdirigerer til en mistænkelig URL-adresse, angives der en sand positiv.

    Anbefalet handling: Gennemse url-adresser, domæner og områder for svar, som appen har anmodet om. På baggrund af din undersøgelse kan du vælge at forbyde adgang til denne app. Gennemse det tilladelsesniveau, som denne app har anmodet om, og hvilke brugere der har givet adgang.

  • FP: Hvis du efter undersøgelse kan bekræfte, at appen har en legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af appen.
  2. Hvis du har mistanke om, at en app er mistænkelig, anbefaler vi, at du undersøger appens navn og svardomæne i forskellige appbutikker. Når du kontrollerer appbutikker, skal du fokusere på følgende typer apps:
    • Apps, der er oprettet for nylig
    • App med usædvanligt vist navn
    • Apps med et mistænkeligt Svar-domæne
  3. Hvis du stadig har mistanke om, at en app er mistænkelig, kan du undersøge appens viste navn og svardomæne.

Alvorsgrad: mellem

Beskrivelse: Denne registrering identificerer OAuth-apps med tegn, f.eks. Unicode- eller kodede tegn, der er anmodet om for mistænkelige samtykkeområder, og som tilgås brugere via Graph-API'en. Denne besked kan indikere et forsøg på at camouflage en skadelig app som en kendt app, der er tillid til, så modstandere kan vildlede brugerne til at give samtykke til den skadelige app.

TP eller FP?

  • TP: Hvis du kan bekræfte, at OAuth-appen har kodet det viste navn med mistænkelige områder, der er leveret fra en ukendt kilde, angives der en sand positiv.

    Anbefalet handling: Gennemse det tilladelsesniveau, som denne app har anmodet om, og hvilke brugere der har givet adgang. På baggrund af din undersøgelse kan du vælge at forbyde adgang til denne app.

    Hvis du vil forbyde adgang til appen, skal du gå til den relevante fane for din app på siden Appstyring . Vælg forbudsikonet på den række, hvor den app, du vil forbyde, vises. Du kan vælge, om du vil fortælle brugerne, om den app, de har installeret og godkendt, er blevet forbudt. Meddelelsen giver brugerne besked om, at appen er deaktiveret, og at de ikke har adgang til den forbundne app. Hvis du ikke ønsker, at de skal vide det, skal du fjerne markeringen af Giv brugere, der har givet adgang til denne forbudte app, besked i dialogboksen. Vi anbefaler, at du giver appbrugerne besked om, at deres app er ved at blive forbudt at bruge.

  • FP: Hvis du vil bekræfte, at appen har et kodet navn, men har en legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

Følg selvstudiet om, hvordan du undersøger risikable OAuth-apps.

OAuth-app med læseområder har mistænkelig URL-adresse til svar

Alvorsgrad: mellem

Beskrivelse: Denne registrering identificerer en OAuth-app med kun læseområder, f.eks. User.Read, Mennesker. Read, Contacts.Read, Mail.Read, Contacts.Read. Delte omdirigeringer til mistænkelig Svar-URL-adresse via Graph API. Denne aktivitet forsøger at angive, at skadelig app med færre rettigheder (f.eks. Læse områder) kan udnyttes til at udføre rekognoscering af brugerkonto.

TP eller FP?

  • TP: Hvis du kan bekræfte, at OAuth-appen med læseomfang leveres fra en ukendt kilde og omdirigerer til en mistænkelig URL-adresse, angives der en sand positiv.

    Anbefalet handling: Gennemse SVAR-URL-adressen og de områder, appen har anmodet om. På baggrund af din undersøgelse kan du vælge at forbyde adgang til denne app. Gennemse det tilladelsesniveau, som denne app har anmodet om, og hvilke brugere der har givet adgang.

    Hvis du vil forbyde adgang til appen, skal du gå til den relevante fane for din app på siden Appstyring . Vælg forbudsikonet på den række, hvor den app, du vil forbyde, vises. Du kan vælge, om du vil fortælle brugerne, om den app, de har installeret og godkendt, er blevet forbudt. Meddelelsen giver brugerne besked om, at appen er deaktiveret, og at de ikke har adgang til den forbundne app. Hvis du ikke ønsker, at de skal vide det, skal du fjerne markeringen af Giv brugere, der har givet adgang til denne forbudte app, besked i dialogboksen. Vi anbefaler, at du giver appbrugerne besked om, at deres app er ved at blive forbudt at bruge.

  • B-TP: Hvis du efter undersøgelsen kan bekræfte, at appen har en legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af appen.
  2. Hvis du har mistanke om, at en app er mistænkelig, anbefaler vi, at du undersøger appens navn og SVAR-URL-adresse i forskellige appbutikker. Når du kontrollerer appbutikker, skal du fokusere på følgende typer apps:
    • Apps, der er oprettet for nylig.
    • Apps med en mistænkelig SVAR-URL-adresse
    • Apps, der ikke er blevet opdateret for nylig. Manglende opdateringer kan indikere, at appen ikke længere understøttes.
  3. Hvis du stadig har mistanke om, at en app er mistænkelig, kan du undersøge appens navn, udgivernavn og svar-URL-adresse online

App med usædvanligt vist navn og usædvanlig TLD i Svar-domæne

Alvorsgrad: mellem

Denne registrering identificerer appen med et usædvanligt vist navn og omdirigerer til et mistænkeligt svardomæne med et usædvanligt domæne på øverste niveau (TLD) via Graph API. Dette kan indikere et forsøg på at camouflage en skadelig eller risikabel app som en kendt app, der er tillid til, så modstandere kan vildlede brugerne til at give samtykke til deres skadelige eller risikable app. 

TP eller FP?

  • TP: Hvis du kan bekræfte, at appen med et usædvanligt vist navn, der er leveret fra en ukendt kilde, og omdirigerer til et mistænkeligt domæne med et usædvanligt domæne på øverste niveau

    Anbefalet handling: Gennemse appens viste navn og Svar-domæne. På baggrund af din undersøgelse kan du vælge at forbyde adgang til denne app. Gennemse det tilladelsesniveau, som denne app har anmodet om, og hvilke brugere der har givet adgang.

  • FP: Hvis du efter undersøgelse kan bekræfte, at appen har en legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

Gennemse alle de aktiviteter, der udføres af appen. Hvis du har mistanke om, at en app er mistænkelig, anbefaler vi, at du undersøger appens navn og svardomæne i forskellige appbutikker. Når du kontrollerer appbutikker, skal du fokusere på følgende typer apps:

  • Apps, der er oprettet for nylig
  • App med usædvanligt vist navn
  • Apps med et mistænkeligt Svar-domæne

Hvis du stadig har mistanke om, at en app er mistænkelig, kan du undersøge appens viste navn og svardomæne.

Alvorsgrad: mellem

Denne registrering identificerer OAuth-apps, der er oprettet for nylig i relativt nye udgiverlejere med følgende egenskaber:

  • Tilladelser til at få adgang til eller ændre postkasseindstillinger
  • Relativt lav samtykkefrekvens, som kan identificere uønskede eller endda skadelige apps, der forsøger at få samtykke fra intetanende brugere

TP eller FP?

  • TP: Hvis du kan bekræfte, at anmodningen om samtykke til appen blev leveret fra en ukendt eller ekstern kilde, og appen ikke har en legitim forretningsmæssig brug i organisationen, angives der en sand positiv.

    Anbefalet handling:

    • Kontakt brugere og administratorer, der har givet samtykke til denne app, for at bekræfte, at dette var bevidst, og at de overdrevne rettigheder er normale.
    • Undersøg appaktivitet, og kontrollér de berørte konti for mistænkelig aktivitet.
    • På baggrund af din undersøgelse skal du deaktivere appen og suspendere og nulstille adgangskoder for alle berørte konti.
    • Klassificer beskeden som en sand positiv.

  • FP: Hvis du efter undersøgelse kan bekræfte, at appen har en legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Klassificer beskeden som en falsk positiv, og overvej at dele feedback baseret på din undersøgelse af beskeden.

Forstå omfanget af sikkerhedsbrud

Gennemse samtykke til det program, der er foretaget af brugere og administratorer. Undersøg alle aktiviteter, der udføres af appen, især adgang til postkassen for tilknyttede brugere og administratorkonti. Hvis du har mistanke om, at appen er mistænkelig, kan du overveje at deaktivere programmet og roterende legitimationsoplysninger for alle berørte konti.

Alvorsgrad: mellem

Denne besked identificerer OAuth-apps, der er registreret for nylig i en relativt ny udgiverlejer, med tilladelser til at ændre postkasseindstillinger og få adgang til mails. Den kontrollerer også, om appen har en relativt lav global samtykkerate, og foretager adskillige kald til Microsoft Graph API for at få adgang til mails fra brugere, der samtykker. Apps, der udløser denne besked, kan være uønskede eller skadelige apps, der forsøger at få samtykke fra intetanende brugere.

TP eller FP?

  • TP: Hvis du kan bekræfte, at anmodningen om samtykke til appen blev leveret fra en ukendt eller ekstern kilde, og appen ikke har en legitim forretningsmæssig brug i organisationen, angives der en sand positiv.

    Anbefalet handling:

    • Kontakt brugere og administratorer, der har givet samtykke til denne app, for at bekræfte, at dette var bevidst, og at de overdrevne rettigheder er normale.
    • Undersøg appaktivitet, og kontrollér de berørte konti for mistænkelig aktivitet.
    • På baggrund af din undersøgelse skal du deaktivere appen og suspendere og nulstille adgangskoder for alle berørte konti.
    • Klassificer beskeden som en sand positiv.

  • FP: Hvis du efter undersøgelse kan bekræfte, at appen har en legitim forretningsmæssig brug i organisationen, angives der en falsk positiv.

    Anbefalet handling: Klassificer beskeden som en falsk positiv, og overvej at dele feedback baseret på din undersøgelse af beskeden.

Forstå omfanget af sikkerhedsbrud

Gennemse samtykke til det program, der er foretaget af brugere og administratorer. Undersøg alle aktiviteter, der udføres af appen, især adgang til postkasser for tilknyttede brugere og administratorkonti. Hvis du har mistanke om, at appen er mistænkelig, kan du overveje at deaktivere programmet og roterende legitimationsoplysninger for alle berørte konti.

Mistænkelig app med mailtilladelser, der sender mange mails

Alvorsgrad: mellem

Denne besked finder flere OAuth-apps, der har foretaget adskillige kald til Microsoft Graph API for at sende mails inden for en kort tidsperiode. Den kontrollerer også, om API-kald har medført fejl og mislykkede forsøg på at sende mails. Apps, der udløser denne besked, sender muligvis aktivt spam eller skadelige mails til andre mål.

TP eller FP?

  • TP: Hvis du kan bekræfte, at anmodningen om samtykke til appen blev leveret fra en ukendt eller ekstern kilde, og appen ikke har en legitim forretningsmæssig brug i organisationen, angives der en sand positiv.

    Anbefalet handling:

    • Kontakt brugere og administratorer, der har givet samtykke til denne app, for at bekræfte, at dette var bevidst, og at de overdrevne rettigheder er normale.
    • Undersøg appaktivitet, og kontrollér de berørte konti for mistænkelig aktivitet.
    • På baggrund af din undersøgelse skal du deaktivere appen og suspendere og nulstille adgangskoder for alle berørte konti.
    • Klassificer beskeden som en sand positiv.

  • FP: Hvis du efter undersøgelse kan bekræfte, at appen har en legitim forretningsmæssig brug i organisationen, angives der en falsk positiv.

    Anbefalet handling: Klassificer beskeden som en falsk positiv, og overvej at dele feedback baseret på din undersøgelse af beskeden.

Forstå omfanget af sikkerhedsbrud

Gennemse samtykke til det program, der er foretaget af brugere og administratorer. Undersøg alle aktiviteter, der udføres af appen, især adgang til postkassen for tilknyttede brugere og administratorkonti. Hvis du har mistanke om, at appen er mistænkelig, kan du overveje at deaktivere programmet og roterende legitimationsoplysninger for alle berørte konti.

Mistænkelig OAuth-app, der bruges til at sende mange mails

Alvorsgrad: mellem

Denne besked angiver en OAuth-app, der har foretaget adskillige kald til Microsoft Graph API for at sende mails inden for en kort tidsperiode. Appens udgiverlejer er kendt for at opsplitte en stor mængde OAuth-apps, der foretager lignende Microsoft Graph API-kald. En hacker bruger muligvis aktivt denne app til at sende spam eller skadelige mails til deres mål.

TP eller FP?

  • TP: Hvis du kan bekræfte, at anmodningen om samtykke til appen blev leveret fra en ukendt eller ekstern kilde, og appen ikke har en legitim forretningsmæssig brug i organisationen, angives der en sand positiv.

    Anbefalet handling:

    • Kontakt brugere og administratorer, der har givet samtykke til denne app, for at bekræfte, at dette var bevidst, og at de overdrevne rettigheder er normale.
    • Undersøg appaktivitet, og kontrollér de berørte konti for mistænkelig aktivitet.
    • På baggrund af din undersøgelse skal du deaktivere appen og suspendere og nulstille adgangskoder for alle berørte konti.
    • Klassificer beskeden som en sand positiv.

  • FP: Hvis du efter undersøgelse kan bekræfte, at appen har en legitim forretningsmæssig brug i organisationen, angives der en falsk positiv.

    Anbefalet handling: Klassificer beskeden som en falsk positiv, og overvej at dele feedback baseret på din undersøgelse af beskeden.

Forstå omfanget af sikkerhedsbrud

Gennemse samtykke til det program, der er foretaget af brugere og administratorer. Undersøg alle aktiviteter, der udføres af appen, især adgang til postkassen for tilknyttede brugere og administratorkonti. Hvis du har mistanke om, at appen er mistænkelig, kan du overveje at deaktivere programmet og roterende legitimationsoplysninger for alle berørte konti.

Beskeder om fastholdelse

I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at bevare deres fodfæste i din organisation.

Appen foretog uregelmæssige Graph-kald til Exchange-arbejdsbelastningen efter certifikatopdatering eller tilføjelse af nye legitimationsoplysninger

Alvorsgrad: mellem

MITRE ID: T1098.001, T1114

Denne registrering udløser en besked, når en LOB-app (Line of Business) opdaterede certifikat/hemmeligheder eller tilføjede nye legitimationsoplysninger og inden for få dage efter certifikatopdatering eller tilføjelse af nye legitimationsoplysninger, observerede usædvanlige aktiviteter eller stort forbrug af Exchange-arbejdsbelastning via Graph API ved hjælp af algoritmen Maskinel indlæring.

TP eller FP?

  • TP: Hvis du kan bekræfte, at usædvanlige aktiviteter/højt volumenforbrug til Exchange-arbejdsbelastningen blev udført af LOB-appen via Graph API

    Anbefal handling: Deaktiver midlertidigt appen, nulstil adgangskoden, og aktivér derefter appen igen.

  • FP: Hvis du kan bekræfte, at der ikke blev udført usædvanlige aktiviteter af LOB-appen eller -appen, er det meningen, at der skal udføres usædvanligt stor mængde grafkald.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af denne app.
  2. Gennemse de områder, der er tildelt af appen.
  3. Gennemse den brugeraktivitet, der er knyttet til denne app.

App med mistænkeligt OAuth-område blev markeret som højrisiko af Machine Learning-model, foretog grafkald for at læse mail og oprettede indbakkeregel

Alvorsgrad: mellem

MITRE ID: T1137.005, T1114

Denne registrering identificerer en OAuth-app, der blev markeret som højrisiko af Machine Learning-modellen, som samtykkede til mistænkelige områder, opretter en mistænkelig indbakkeregel og derefter tilgås brugernes mailmapper og meddelelser via Graph-API'en. Indbakkeregler, f.eks. videresendelse af alle eller specifikke mails til en anden mailkonto og Graph-kald for at få adgang til mails og sende til en anden mailkonto, kan være et forsøg på at exfiltrere oplysninger fra din organisation.

TP eller FP?

  • TP: Hvis du kan bekræfte, at indbakkereglen blev oprettet af en OAuth-tredjepartsapp med mistænkelige omfang, der er leveret fra en ukendt kilde, registreres der en sand positiv.

    Anbefalet handling: Deaktiver og fjern appen, nulstil adgangskoden, og fjern indbakkereglen.

Følg selvstudiet om, hvordan du nulstiller en adgangskode ved hjælp af Microsoft Entra ID, og følg selvstudiet om, hvordan du fjerner indbakkereglen.

  • FP: Hvis du kan bekræfte, at appen har oprettet en indbakkeregel til en ny eller personlig ekstern mailkonto af legitime årsager.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af appen.
  2. Gennemse de områder, der er tildelt af appen.
  3. Gennemse den handling og betingelse for indbakkereglen, der er oprettet af appen.

App med mistænkeligt OAuth-område foretog grafkald for at læse mail og oprettet indbakkeregel

Alvorsgrad: mellem

MITRE ID'er: T1137.005, T1114

Denne registrering identificerer en OAuth-app, der har givet samtykke til mistænkelige områder, opretter en mistænkelig indbakkeregel og derefter tilgår brugerne mailmapper og meddelelser via Graph-API'en. Indbakkeregler, f.eks. videresendelse af alle eller specifikke mails til en anden mailkonto og Graph-kald for at få adgang til mails og sende til en anden mailkonto, kan være et forsøg på at exfiltrere oplysninger fra din organisation.

TP eller FP?

  • TP: Hvis du kan bekræfte, at indbakkereglen blev oprettet af en OAuth-tredjepartsapp med mistænkelige omfang, der er leveret fra en ukendt kilde, angives der en sand positiv.

    Anbefalet handling: Deaktiver og fjern appen, nulstil adgangskoden, og fjern indbakkereglen.

    Følg selvstudiet om, hvordan du nulstiller en adgangskode ved hjælp af Microsoft Entra ID, og følg selvstudiet om, hvordan du fjerner indbakkereglen.

  • FP: Hvis du kan bekræfte, at appen har oprettet en indbakkeregel til en ny eller personlig ekstern mailkonto af legitime årsager.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af appen.
  2. Gennemse de områder, der er tildelt af appen.
  3. Gennemse den handling og betingelse for indbakkereglen, der er oprettet af appen.

App tilgået fra usædvanlig placering efter certifikatopdatering

Alvorsgrad: Lav

MITRE ID: T1098

Denne registrering udløser en besked, når en LOB-app (Line of Business) blev opdateret certifikatet/hemmeligheden, og inden for få dage efter certifikatopdateringen tilgås appen fra en usædvanlig placering, der ikke blev set for nylig eller aldrig har fået adgang til tidligere.

TP eller FP?

  • TP: Hvis du kan bekræfte, at LOB-appen tilgås fra en usædvanlig placering og udførte usædvanlige aktiviteter via Graph API.

    Anbefal handling: Deaktiver midlertidigt appen, nulstil adgangskoden, og aktivér derefter appen igen.

  • FP: Hvis du kan bekræfte, at LOB-appen tilgås fra en usædvanlig placering til legitimt formål, og der ikke udføres usædvanlige aktiviteter.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle aktiviteter, der er udført af denne app.
  2. Gennemse de områder, der er tildelt af appen.
  3. Gennemse den brugeraktivitet, der er knyttet til denne app.

App, der blev åbnet fra en usædvanlig placering, foretog unormale Graph-kald efter certifikatopdateringen

Alvorsgrad: mellem

MITRE ID: T1098

Denne registrering udløser en besked, når en LOB-app (Line of Business) opdaterede certifikatet/hemmeligheden, og inden for få dage efter certifikatopdateringen tilgås appen fra en usædvanlig placering, der ikke blev set for nylig eller aldrig har fået adgang til tidligere, og observerede usædvanlige aktiviteter eller brug via Graph API ved hjælp af algoritmen machine learning.

TP eller FP?

  • TP: Hvis du kan bekræfte, at usædvanlige aktiviteter/brug blev udført af LOB-appen via Graph API fra en usædvanlig placering.

    Anbefal handling: Deaktiver midlertidigt appen, nulstil adgangskoden, og aktivér derefter appen igen.

  • FP: Hvis du kan bekræfte, at LOB-appen tilgås fra en usædvanlig placering til legitimt formål, og der ikke udføres usædvanlige aktiviteter.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle aktiviteter, der er udført af denne app.
  2. Gennemse de områder, der er tildelt af appen.
  3. Gennemse den brugeraktivitet, der er knyttet til denne app.

Den app, der er oprettet for nylig, har en høj mængde tilbagekaldte samtykker

Alvorsgrad: mellem

MITRE ID: T1566, T1098

Flere brugere har tilbagekaldt deres samtykke til denne nyligt oprettede LOB-app (line-of-business) eller tredjepartsapp. Denne app kan have lokket brugere til at give det samtykke utilsigtet.

TP eller FP?

  • TP: Hvis du kan bekræfte, at OAuth-appen leveres fra en ukendt kilde, og appens funktionsmåde er mistænkelig. 

    Anbefalet handling: Tilbagekald de samtykker, der er givet til appen, og deaktiver appen. 

  • FP: Hvis du efter undersøgelse kan bekræfte, at appen har en legitim forretningsmæssig brug i organisationen, og at der ikke blev udført usædvanlige aktiviteter af appen.

    Anbefalet handling: Afvis beskeden

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af appen.
  2. Hvis du har mistanke om, at en app er mistænkelig, anbefaler vi, at du undersøger appens navn og svardomæne i forskellige appbutikker. Når du kontrollerer appbutikker, skal du fokusere på følgende typer apps:
    • Apps, der er oprettet for nylig
    • Apps med et usædvanligt vist navn
    • Apps med et mistænkeligt Svar-domæne
  3. Hvis du stadig har mistanke om, at en app er mistænkelig, kan du undersøge appens viste navn og svardomæne.

Appmetadata, der er knyttet til kendt phishing-kampagne

Alvorsgrad: mellem

Denne registrering genererer beskeder for ikke-Microsoft OAuth-apps med metadata, f.eks . navn, URL-adresse eller udgiver, der tidligere er blevet observeret i apps, der er knyttet til en phishing-kampagne. Disse apps kan være en del af den samme kampagne og kan være involveret i exfiltration af følsomme oplysninger.

TP eller FP?

  • TP: Hvis du kan bekræfte, at OAuth-appen leveres fra en ukendt kilde og udfører usædvanlige aktiviteter.

    Anbefalet handling:

    • Undersøg programmets registreringsoplysninger om appstyring, og besøg Microsoft Entra ID for at få flere oplysninger.
    • Kontakt de brugere eller administratorer, der har givet samtykke eller tilladelser til appen. Kontrollér, om ændringerne var tilsigtede.
    • Søg i tabellen Avanceret jagt i CloudAppEvents for at forstå appaktivitet og finde ud af, om den observerede funktionsmåde er forventet.
    • Kontrollér, om appen er vigtig for din organisation, før du overvejer nogen opbevaringshandlinger. Deaktiver appen ved hjælp af styring af appen eller Microsoft Entra ID for at forhindre den i at få adgang til ressourcer. Eksisterende politikker for appstyring kan allerede have deaktiveret appen.

  • FP: Hvis du kan bekræfte, at der ikke blev udført usædvanlige aktiviteter af appen, og at appen har en legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Afvis beskeden

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af appen.
  2. Gennemse de områder, der er tildelt appen.
  3. Gennemse den brugeraktivitet, der er knyttet til appen.

Appmetadata, der er knyttet til tidligere markerede mistænkelige apps

Alvorsgrad: mellem

Denne registrering genererer beskeder for ikke-Microsoft OAuth-apps med metadata, f.eks . navn, URL-adresse eller udgiver, der tidligere er blevet observeret i apps, der er markeret af appstyring på grund af mistænkelig aktivitet. Denne app kan være en del af en angrebskampagne og kan være involveret i exfiltration af følsomme oplysninger.

TP eller FP?

  • TP: Hvis du kan bekræfte, at OAuth-appen leveres fra en ukendt kilde og udfører usædvanlige aktiviteter.

    Anbefalet handling:

    • Undersøg programmets registreringsoplysninger om appstyring, og besøg Microsoft Entra ID for at få flere oplysninger.
    • Kontakt de brugere eller administratorer, der har givet samtykke eller tilladelser til appen. Kontrollér, om ændringerne var tilsigtede.
    • Søg i tabellen Avanceret jagt i CloudAppEvents for at forstå appaktivitet og finde ud af, om den observerede funktionsmåde er forventet.
    • Kontrollér, om appen er vigtig for din organisation, før du overvejer nogen opbevaringshandlinger. Deaktiver appen ved hjælp af styring af appen eller Microsoft Entra ID for at forhindre den i at få adgang til ressourcer. Eksisterende politikker for appstyring kan allerede have deaktiveret appen.

  • FP: Hvis du kan bekræfte, at der ikke blev udført usædvanlige aktiviteter af appen, og at appen har en legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Afvis beskeden

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af appen.
  2. Gennemse de områder, der er tildelt appen.
  3. Gennemse den brugeraktivitet, der er knyttet til appen.

Mistænkelig mailaktivitet i OAuth-appen via Graph API

Alvorsgrad: Høj

Denne registrering genererer beskeder for OAuth-apps med flere brugere, der er registreret af brugere med høj risiko for logon, og som foretager kald til Microsoft Graph API for at udføre mistænkelige mailaktiviteter inden for kort tid.

Denne registrering kontrollerer, om API-kald blev foretaget til oprettelse af regel for postkasse, oprettelse af svarmail, videresend mail, svar eller nye mails, der sendes. Apps, der udløser denne besked, sender muligvis aktivt spam eller skadelige mails til andre mål eller eksfiltrerer fortrolige data og rydder spor for at undgå registrering.

TP eller FP?

  • TP: Hvis du kan bekræfte, at appoprettelsen og anmodningen om samtykke til appen blev leveret fra en ukendt eller ekstern kilde, og appen ikke har en legitim forretningsmæssig brug i organisationen, angives der en sand positiv.

    Anbefalet handling:

    • Kontakt brugere og administratorer, der har givet samtykke til denne app, for at bekræfte, at dette var bevidst, og at de overdrevne rettigheder er normale.

    • Undersøg appaktivitet, og kontrollér de berørte konti for mistænkelig aktivitet.

    • På baggrund af din undersøgelse skal du deaktivere appen og suspendere og nulstille adgangskoder for alle berørte konti og fjerne indbakkereglen.

    • Klassificer beskeden som en sand positiv.

  • FP: Hvis du efter undersøgelse kan bekræfte, at appen har en legitim forretningsmæssig brug i organisationen, angives der en falsk positiv.

    Anbefalet handling:

    • Klassificer beskeden som falsk positiv, og overvej at dele feedback baseret på din undersøgelse af beskeden.

    • Forstå omfanget af sikkerhedsbrud:

      Gennemse samtykke til det program, der er foretaget af brugere og administratorer. Undersøg alle aktiviteter, der udføres af appen, især adgang til postkassen for tilknyttede brugere og administratorkonti. Hvis du har mistanke om, at appen er mistænkelig, kan du overveje at deaktivere programmet og roterende legitimationsoplysninger for alle berørte konti.

Mistænkelig mailaktivitet i OAuth-appen via EWS-API

Alvorsgrad: Høj

Denne registrering genererer beskeder for OAuth-apps med flere brugere, der er registreret af brugere med et højrisikologon, og som foretager kald til EWS-API'en (Microsoft Exchange Web Services) for at udføre mistænkelige mailaktiviteter inden for kort tid.

Denne registrering kontrollerer, om API-kald blev foretaget for at opdatere indbakkeregler, flytte elementer, slette mail, slette mappe eller slette vedhæftet fil. Apps, der udløser denne besked, eksfiltrerer eller sletter muligvis fortrolige data og rydder spor for at undgå registrering.

TP eller FP?

  • TP: Hvis du kan bekræfte, at appoprettelsen og anmodningen om samtykke til appen blev leveret fra en ukendt eller ekstern kilde, og appen ikke har en legitim forretningsmæssig brug i organisationen, angives der en sand positiv.

    Anbefalet handling:

    • Kontakt brugere og administratorer, der har givet samtykke til denne app, for at bekræfte, at dette var bevidst, og at de overdrevne rettigheder er normale.

    • Undersøg appaktivitet, og kontrollér de berørte konti for mistænkelig aktivitet.

    • På baggrund af din undersøgelse skal du deaktivere appen og suspendere og nulstille adgangskoder for alle berørte konti og fjerne indbakkereglen.

    • Klassificer beskeden som en sand positiv.

  • FP: Hvis du efter undersøgelse kan bekræfte, at appen har en legitim forretningsmæssig brug i organisationen, angives der en falsk positiv.

    Anbefalet handling:

    • Klassificer beskeden som falsk positiv, og overvej at dele feedback baseret på din undersøgelse af beskeden.

    • Forstå omfanget af sikkerhedsbrud:

      Gennemse samtykke til det program, der er foretaget af brugere og administratorer. Undersøg alle aktiviteter, der udføres af appen, især adgang til postkassen for tilknyttede brugere og administratorkonti. Hvis du har mistanke om, at appen er mistænkelig, kan du overveje at deaktivere programmet og roterende legitimationsoplysninger for alle berørte konti.

Rettighedseskaleringsbeskeder

OAuth-app med mistænkelige metadata har Exchange-tilladelse

Alvorsgrad: mellem

MITRE ID: T1078

Denne besked udløses, når en brancheapp med mistænkelige metadata har rettigheder til at administrere tilladelser via Exchange.

TP eller FP?

  • TP: Hvis du kan bekræfte, at OAuth-appen leveres fra en ukendt kilde og har mistænkelige metadataegenskaber, angives der en sand positiv.

Anbefalet handling: Tilbagekald de samtykker, der er givet til appen, og deaktiver appen.

FP: Hvis du efter undersøgelse kan bekræfte, at appen har en legitim forretningsmæssig brug i organisationen.

Anbefalet handling: Afvis beskeden

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af appen.
  2. Gennemse de områder, der er tildelt af appen.
  3. Gennemse den brugeraktivitet, der er knyttet til appen.

Beskeder om forsvarsunddragelse

Alvorsgrad: mellem

En cloudapp, der ikke er fra Microsoft, bruger et logo, der blev fundet af en algoritme til maskinel indlæring, som ligner et Microsoft-logo. Dette kan være et forsøg på at repræsentere Microsoft-softwareprodukter og synes legitime.

Bemærk!

Lejeradministratorer skal give samtykke via pop op for at få påkrævede data sendt uden for den aktuelle overholdelsesgrænse og for at vælge partnerteams i Microsoft for at aktivere denne trusselsregistrering for line of business-apps.

TP eller FP?

  • TP: Hvis du kan bekræfte, at applogoet er en efterligning af et Microsoft-logo, og appens funktionsmåde er mistænkelig. 

    Anbefalet handling: Tilbagekald de samtykker, der er givet til appen, og deaktiver appen.

  • FP: Hvis du kan bekræfte, at applogoet ikke er en efterligning af et Microsoft-logo, eller der ikke er udført usædvanlige aktiviteter af appen. 

    Anbefalet handling: Afvis beskeden

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af appen.
  2. Gennemse de områder, der er tildelt appen.
  3. Gennemse den brugeraktivitet, der er knyttet til appen.

Appen er knyttet til et domæne med stavefejl

Alvorsgrad: mellem

Denne registrering genererer beskeder for ikke-Microsoft OAuth-apps med udgiverdomæner eller url-adresser til omdirigering, der indeholder typografiske versioner af Microsoft-brandnavne. Typosquatting bruges generelt til at registrere trafik til websteder, når brugerne utilsigtet mistype URL-adresser, men de kan også bruges til at repræsentere populære softwareprodukter og -tjenester.

TP eller FP?

  • TP: Hvis du kan bekræfte, at udgiverdomænet eller URL-adressen til omdirigering for appen er stavet korrekt og ikke er relateret til appens sande identitet.

    Anbefalet handling:

    • Undersøg programmets registreringsoplysninger om appstyring, og besøg Microsoft Entra ID for at få flere oplysninger.
    • Kontrollér appen for andre tegn på spoofing eller repræsentation og enhver mistænkelig aktivitet.
    • Kontrollér, om appen er vigtig for din organisation, før du overvejer nogen opbevaringshandlinger. Deaktiver appen ved hjælp af appstyring for at forhindre den i at få adgang til ressourcer. Eksisterende politikker for appstyring kan allerede have deaktiveret appen.

  • FP: Hvis du kan bekræfte, at udgiverdomænet og URL-adressen til omdirigering for appen er gyldig. 

    Anbefalet handling: Klassificer beskeden som en falsk positiv, og overvej at dele feedback baseret på din undersøgelse af beskeden.

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af appen.
  2. Gennemse de områder, der er tildelt appen.
  3. Gennemse den brugeraktivitet, der er knyttet til appen.

Adgang til legitimationsoplysninger

I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at læse følsomme legitimationsoplysninger, og består af teknikker til at stjæle legitimationsoplysninger, f.eks. kontonavne, hemmeligheder, tokens, certifikater og adgangskoder i din organisation.

Program, der initierer flere mislykkede KeyVault-læseaktivitet uden succes

Alvorsgrad: mellem

MITRE ID: T1078.004

Denne registrering identificerer et program i din lejer, der blev observeret ved at foretage flere handlingskald af typen Læs til KeyVault ved hjælp af Azure Resource Manager API inden for et kort interval, hvor der kun blev udført fejl, og der ikke blev fuldført nogen læseaktivitet.

TP eller FP?

  • TP: Hvis appen er ukendt eller ikke bruges, kan den angivne aktivitet være mistænkelig. Når du har bekræftet den Azure-ressource, der bruges, og valideret appbrugen i lejeren, kan den angivne aktivitet kræve, at appen deaktiveres. Dette er normalt tegn på mistanke om optællingsaktivitet i forhold til KeyVault-ressourcen for at få adgang til legitimationsoplysninger for tværgående bevægelse eller rettighedseskalering.

    Anbefalede handlinger: Gennemse de Azure-ressourcer, der er tilgået eller oprettet af programmet, og eventuelle seneste ændringer af programmet. På baggrund af din undersøgelse skal du vælge, om du vil forbyde adgang til denne app. Gennemse det tilladelsesniveau, som denne app har anmodet om, og hvilke brugere der har givet adgang.

  • FP: Hvis du efter undersøgelse kan bekræfte, at appen har legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

  1. Gennemse appens adgang og aktivitet.
  2. Gennemse alle aktiviteter, der er udført af appen, siden den blev oprettet.
  3. Gennemse de områder, der er tildelt af appen i Graph API, og rollen, der er tildelt den i dit abonnement.
  4. Gennemse alle brugere, der har haft adgang til appen før aktiviteten.

Registreringsbeskeder

Optælling af app-udført drev

Alvorsgrad: mellem

MITRE ID: T1087

Denne registrering identificerer en OAuth-app, der blev registreret af Machine Learning-modellen, og som udfører optælling på OneDrive-filer ved hjælp af Graph API.

TP eller FP?

  • TP: Hvis du kan bekræfte, at usædvanlige aktiviteter/brug af OneDrive blev udført af LOB-appen via Graph API.

    Anbefalet handling: Deaktiver og fjern appen, og nulstil adgangskoden.

  • FP: Hvis du kan bekræfte, at der ikke blev udført usædvanlige aktiviteter af appen.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af denne app.
  2. Gennemse de områder, der er tildelt af appen.
  3. Gennemse den brugeraktivitet, der er knyttet til denne app.

Mistænkelige optællingsaktiviteter udført ved hjælp af Microsoft Graph PowerShell

Alvorsgrad: mellem

MITRE ID: T1087

Denne registrering identificerer en stor mængde mistænkelige optællingsaktiviteter, der udføres inden for et kort tidsrum gennem et Microsoft Graph PowerShell-program .

TP eller FP?

  • TP: Hvis du kan bekræfte, at mistænkelige/usædvanlige optællingsaktiviteter blev udført af Microsoft Graph PowerShell-programmet.

    Anbefalet handling: Deaktiver og fjern programmet, og nulstil adgangskoden.

  • FP: Hvis du kan bekræfte, at der ikke blev udført usædvanlige aktiviteter af programmet.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af dette program.
  2. Gennemse den brugeraktivitet, der er knyttet til dette program.

Det senest oprettede multitenantprogram optæller ofte brugeroplysninger

Alvorsgrad: mellem

MITRE ID: T1087

Denne besked finder OAuth-apps, der er registreret for nylig i en relativt ny udgiverlejer, med tilladelser til at ændre postkasseindstillinger og få adgang til mails. Den kontrollerer, om appen har foretaget adskillige kald til Microsoft Graph API, der anmoder om brugermappeoplysninger. Apps, der udløser denne besked, lokker muligvis brugerne til at give samtykke, så de kan få adgang til organisationsdata.

TP eller FP?

  • TP: Hvis du kan bekræfte, at anmodningen om samtykke til appen blev leveret fra en ukendt eller ekstern kilde, og appen ikke har en legitim forretningsmæssig brug i organisationen, angives der en sand positiv.

    Anbefalet handling:

    • Kontakt brugere og administratorer, der har givet samtykke til denne app, for at bekræfte, at dette var bevidst, og at de overdrevne rettigheder er normale.
    • Undersøg appaktivitet, og kontrollér de berørte konti for mistænkelig aktivitet.
    • På baggrund af din undersøgelse skal du deaktivere appen og suspendere og nulstille adgangskoder for alle berørte konti.
    • Klassificer beskeden som en sand positiv.

  • FP: Hvis du efter undersøgelse kan bekræfte, at appen har en legitim forretningsmæssig brug i organisationen, angives der en falsk positiv.

    Anbefalet handling: Klassificer beskeden som en falsk positiv, og overvej at dele feedback baseret på din undersøgelse af beskeden.

Forstå omfanget af sikkerhedsbrud

Gennemse samtykke til det program, der er foretaget af brugere og administratorer. Undersøg alle aktiviteter, der udføres af appen, især optælling af brugermappeoplysninger. Hvis du har mistanke om, at appen er mistænkelig, kan du overveje at deaktivere programmet og roterende legitimationsoplysninger for alle berørte konti.

Exfiltrationsbeskeder

I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at stjæle interessante data til deres mål fra din organisation.

OAuth-app med usædvanlig brugeragent

Alvorsgrad: Lav

MITRE ID: T1567

Denne registrering identificerer et OAuth-program, der bruger en usædvanlig brugeragent til at få adgang til Graph-API'en.

TP eller FP?

  • TP: Hvis du kan bekræfte, at OAuth-appen for nylig er begyndt at bruge en ny brugeragent, der ikke blev brugt tidligere, og denne ændring er uventet, angives der en sand positiv.

    Anbefalede handlinger: Gennemse de brugeragenter, der bruges, og eventuelle seneste ændringer, der er foretaget i programmet. Baseret på din undersøgelse kan du vælge at forbyde adgang til denne app. Gennemse det tilladelsesniveau, som denne app har anmodet om, og hvilke brugere der har givet adgang.

  • FP: Hvis du efter undersøgelse kan bekræfte, at appen har en legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

  1. Gennemse de apps, der er oprettet for nylig, og de brugeragenter, der bruges.
  2. Gennemse alle de aktiviteter, der udføres af appen. 
  3. Gennemse de områder, der er tildelt af appen. 

App med en usædvanlig brugeragent tilgået maildata via Exchange Web Services

Alvorsgrad: Høj

MITRE ID: T1114, T1567

Denne registrering identificerer en OAuth-app, der brugte en usædvanlig brugeragent til at få adgang til maildata ved hjælp af API'en til Exchange-webtjenester.

TP eller FP?

  • TP: Hvis du kan bekræfte, at OAuth-programmet ikke forventes at ændre den brugeragent, det bruger til at foretage anmodninger til Exchange Web Services-API'en, angives der en sand positiv.

    Anbefalede handlinger: Klassificer beskeden som en TP. På baggrund af undersøgelsen kan du tilbagekalde samtykker og deaktivere appen i lejeren, hvis appen er skadelig. Hvis det er en kompromitteret app, kan du tilbagekalde samtykket, deaktivere appen midlertidigt, gennemse tilladelserne, nulstille hemmeligheden og certifikatet og derefter aktivere appen igen.

  • FP: Hvis du efter undersøgelsen kan bekræfte, at den brugeragent, der bruges af programmet, har en legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Klassificer beskeden som en FP. Overvej også at dele feedback baseret på din undersøgelse af beskeden.

Forstå omfanget af sikkerhedsbrud

  1. Gennemse, om programmet er blevet oprettet for nylig, eller om der er foretaget ændringer af det for nylig.
  2. Gennemse de tilladelser, der er tildelt programmet, og brugere, der har givet samtykke til programmet.
  3. Gennemse alle de aktiviteter, der udføres af appen.

Beskeder om tværgående flytning

I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at flytte sidevis inden for forskellige ressourcer, mens den pivoterer gennem flere systemer og konti for at få mere kontrol i din organisation.

Hvilende OAuth-app, der hovedsageligt bruger MS Graph eller Exchange-webtjenester, som for nylig har haft adgang til ARM-arbejdsbelastninger

Alvorsgrad: mellem

MITRE ID: T1078.004

Denne registrering identificerer et program i din lejer, der efter en lang periode med hvilende aktivitet er begyndt at få adgang til Azure Resource Manager-API'en for første gang. Tidligere brugte dette program hovedsageligt MS Graph eller Exchange-webtjenesten.

TP eller FP?

  • TP: Hvis appen er ukendt eller ikke bruges, er den angivne aktivitet potentielt mistænkelig og kan kræve deaktivering af appen, efter at du har bekræftet den anvendte Azure-ressource og valideret appforbruget i lejeren.

    Anbefalede handlinger:

    1. Gennemse de Azure-ressourcer, der er tilgået eller oprettet af programmet, og eventuelle seneste ændringer af programmet.
    2. Gennemse det tilladelsesniveau, som denne app har anmodet om, og hvilke brugere der har givet adgang.
    3. På baggrund af din undersøgelse skal du vælge, om du vil forbyde adgang til denne app.

  • FP: Hvis du efter undersøgelse kan bekræfte, at appen har legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

  1. Gennemse appens adgang og aktivitet.
  2. Gennemse alle aktiviteter, der er udført af appen, siden den blev oprettet.
  3. Gennemse de områder, der er tildelt af appen i Graph API, og rollen, der er tildelt den i dit abonnement.
  4. Gennemse alle brugere, der har haft adgang til appen før aktiviteten.

Indsamlingsbeskeder

I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at indsamle data af interesse for deres mål fra din organisation.

Appen har foretaget usædvanlige mailsøgningsaktiviteter

Alvorsgrad: mellem

MITRE ID: T1114

Denne registrering identificerer, hvornår en app har givet samtykke til mistænkeligt OAuth-omfang og foretog en stor mængde usædvanlige mailsøgningsaktiviteter, f.eks. mailsøgning efter bestemt indhold via Graph-API'en. Dette kan indikere et forsøg på at bryde organisationen, f.eks. modstandere, der forsøger at søge efter og læse bestemte mails fra din organisation via Graph API. 

TP eller FP?

  • TP: Hvis du kan bekræfte en stor mængde usædvanlig mailsøgning og læse aktiviteter via Graph-API'en af en OAuth-app med et mistænkeligt OAuth-omfang, og at appen leveres fra en ukendt kilde.

    Anbefalede handlinger: Deaktiver og fjern appen, nulstil adgangskoden, og fjern indbakkereglen. 

  • FP: Hvis du kan bekræfte, at appen har udført en stor mængde usædvanlig mailsøgning og læst graph-API'en af legitime årsager.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

  1. Gennemse de områder, der er tildelt af appen.
  2. Gennemse alle de aktiviteter, der udføres af appen. 

Appen foretog uregelmæssige Graph-kald for at læse mail

Alvorsgrad: mellem

MITRE ID: T1114

Denne registrering identificerer, hvornår Line of Business (LOB) OAuth-appen tilgår en usædvanlig og stor mængde af brugerens mailmapper og meddelelser via Graph-API'en, hvilket kan indikere et forsøg på at bryde din organisation.

TP eller FP?

  • TP: Hvis du kan bekræfte, at den usædvanlige grafaktivitet blev udført af LOB (Line of Business) OAuth-appen, angives der en sand positiv.

    Anbefalede handlinger: Deaktiver midlertidigt appen, nulstil adgangskoden, og aktivér derefter appen igen. Følg selvstudiet om, hvordan du nulstiller en adgangskode ved hjælp af Microsoft Entra ID.

  • FP: Hvis du kan bekræfte, at appen er beregnet til at udføre usædvanlig stor mængde grafkald.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

  1. Gennemse aktivitetsloggen for hændelser, der er udført af denne app, for at få en bedre forståelse af andre Graph-aktiviteter for at læse mails og forsøge at indsamle brugeres følsomme mailoplysninger.
  2. Overvåg, om der er føjet uventede legitimationsoplysninger til appen.

App opretter indbakkeregel og foretog usædvanlige aktiviteter for mailsøgninger

Alvorsgrad: mellem

MITRE-id'er: T1137, T1114

Denne registrering identificerer app, der er godkendt til område med rettigheder på højt niveau, opretter mistænkelig indbakkeregel og foretog usædvanlige mailsøgningsaktiviteter i brugernes mailmapper via Graph API. Dette kan indikere et forsøg på at bryde organisationen, f.eks. modstandere, der forsøger at søge efter og indsamle bestemte mails fra din organisation via Graph API.

TP eller FP?

  • TP: Hvis du kan bekræfte en bestemt mailsøgning og -samling, der udføres via Graph API af en OAuth-app med stor rettighedsomfang, og appen leveres fra en ukendt kilde.

    Anbefalet handling: Deaktiver og fjern appen, nulstil adgangskoden, og fjern indbakkereglen.

  • FP: Hvis du kan bekræfte, at appen har udført specifik mailsøgning og -samling via Graph API og oprettet en indbakkeregel til en ny eller personlig ekstern mailkonto af legitime årsager.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af appen.
  2. Gennemse de områder, der er tildelt af appen.
  3. Gennemse alle de indbakkeregelhandlinger, der er oprettet af appen.
  4. Gennemse alle mailsøgningsaktiviteter, der udføres af appen.

App lavede OneDrive/SharePoint-søgeaktiviteter og oprettede en indbakkeregel

Alvorsgrad: mellem

MITRE ID'er: T1137, T1213

Denne registrering identificerer, at en app har givet samtykke til område med høje rettigheder, har oprettet en mistænkelig indbakkeregel og foretaget usædvanlige SharePoint- eller OneDrive-søgeaktiviteter via Graph API. Dette kan indikere et forsøg på brud på organisationen, f.eks. modstandere, der forsøger at søge efter og indsamle bestemte data fra SharePoint eller OneDrive fra din organisation via Graph API. 

TP eller FP?

  • TP: Hvis du kan bekræfte specifikke data fra søgning og samling i SharePoint eller OneDrive, der udføres via Graph API af en OAuth-app med område med rettigheder med store rettigheder, og appen leveres fra en ukendt kilde. 

    Anbefalet handling: Deaktiver og fjern appen, nulstil adgangskoden, og fjern indbakkereglen. 

  • FP: Hvis du kan bekræfte, at appen har udført bestemte data fra SharePoint- eller OneDrive-søgning og -samling via Graph API af en OAuth-app og oprettet en indbakkeregel til en ny eller personlig ekstern mailkonto af legitime årsager. 

    Anbefalet handling: Afvis beskeden

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af appen. 
  2. Gennemse de områder, der er tildelt af appen. 
  3. Gennemse alle de indbakkeregelhandlinger, der er oprettet af appen. 
  4. Gennemse alle SharePoint- eller OneDrive-søgeaktiviteter, der udføres af appen.

Appen har foretaget mange søgninger og redigeringer i OneDrive

Alvorsgrad: mellem

MITRE-id'er: T1137, T1213

Denne registrering identificerer OAuth-apps med tilladelser med høje rettigheder, der udfører et stort antal søgninger og redigeringer i OneDrive ved hjælp af Graph API.

TP eller FP?

  • TP: Hvis du kan bekræfte, at der ikke forventes et højt forbrug af OneDrive-arbejdsbelastning via Graph API fra dette OAuth-program, der har tilladelse til at læse og skrive til OneDrive, angives der en sand positiv.

    Anbefalet handling: På baggrund af undersøgelsen kan du tilbagekalde samtykker og deaktivere programmet i lejeren, hvis programmet er skadeligt. Hvis det er et kompromitteret program, kan du tilbagekalde samtykket, deaktivere appen midlertidigt, gennemse de påkrævede tilladelser, nulstille adgangskoden og derefter aktivere appen igen.

  • FP: Hvis du efter undersøgelse kan bekræfte, at appen har en legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Løs beskeden, og rapportér dine resultater.

Forstå omfanget af sikkerhedsbrud

  1. Kontrollér, om appen kommer fra en pålidelig kilde.
  2. Kontrollér, om programmet er blevet oprettet for nylig, eller om der er foretaget ændringer af det for nylig.
  3. Gennemse de tilladelser, der er tildelt programmet, og brugere, der har givet samtykke til programmet.
  4. Undersøg alle andre appaktiviteter.

Appen har gjort en stor mængde vigtige mails læst og oprettet en indbakkeregel

Alvorsgrad: mellem

MITRE-id'er: T1137, T1114

Denne registrering identificerer, at en app har givet samtykke til område med høje rettigheder, opretter mistænkelig indbakkeregel og foretog en stor mængde vigtige maillæsningsaktiviteter via Graph API. Dette kan indikere et forsøg på at bryde organisationen, f.eks. modstandere, der forsøger at læse mails med høj prioritet fra din organisation via Graph API. 

TP eller FP?

  • TP: Hvis du kan bekræfte, at den store mængde vigtige mails, der læses via Graph API af en OAuth-app med stor rettighed, og appen leveres fra en ukendt kilde. 

    Anbefalet handling: Deaktiver og fjern appen, nulstil adgangskoden, og fjern indbakkereglen. 

  • FP: Hvis du kan bekræfte, at appen har udført en stor mængde vigtige mails, der er læst via Graph API, og oprettet en indbakkeregel til en ny eller personlig ekstern mailkonto af legitime årsager. 

    Anbefalet handling: Afvis beskeden

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af appen. 
  2. Gennemse de områder, der er tildelt af appen. 
  3. Gennemse alle de indbakkeregelhandlinger, der er oprettet af appen. 
  4. Gennemse alle aktiviteter for læsning af mails med høj prioritet udført af appen.

Privilegeret app udførte usædvanlige aktiviteter i Teams

Alvorsgrad: mellem

Denne registrering identificerer de apps, der er godkendt til OAuth-områder med høj rettighed, som har fået adgang til Microsoft Teams, og foretog en usædvanlig mængde af aktiviteter i forbindelse med læse- eller indlægschat via Graph API. Dette kan indikere et forsøg på brud på organisationen, f.eks. modstandere, der forsøger at indsamle oplysninger fra din organisation via Graph API.

TP eller FP?

  • TP: Hvis du kan bekræfte, at usædvanlige chatbeskedaktiviteter i Microsoft Teams via Graph API af en OAuth-app med et område med høje rettigheder, og appen leveres fra en ukendt kilde.

    Anbefalet handling: Deaktiver og fjern appen, og nulstil adgangskoden

  • FP: Hvis du kan bekræfte, at de usædvanlige aktiviteter, der blev udført i Microsoft Teams via Graph API, var af legitime årsager.

    Anbefalet handling: Afvis beskeden

Forstå omfanget af sikkerhedsbrud

  1. Gennemse de områder, der er tildelt af appen.
  2. Gennemse alle de aktiviteter, der udføres af appen.
  3. Gennemse den brugeraktivitet, der er knyttet til appen.

Uregelmæssig OneDrive-aktivitet efter app, der netop har opdateret eller tilføjet nye legitimationsoplysninger

Alvorsgrad: mellem

MITRE-id'er: T1098.001, T1213

En cloudapp, der ikke er fra Microsoft, foretog unormale Graph API-kald til OneDrive, herunder dataforbrug i stor mængde. Disse usædvanlige API-kald blev registreret af maskinel indlæring inden for få dage, efter at appen tilføjede nye eller opdaterede eksisterende certifikater/hemmeligheder. Denne app kan være involveret i dataudfiltrering eller andre forsøg på at få adgang til og hente følsomme oplysninger.

TP eller FP?

  • TP: Hvis du kan bekræfte, at usædvanlige aktiviteter, f.eks. stor brug af OneDrive-arbejdsbelastning, blev udført af appen via Graph API.

    Anbefalet handling: Deaktiver midlertidigt appen, nulstil adgangskoden, og aktivér derefter appen igen.

  • FP: Hvis du kan bekræfte, at der ikke blev udført usædvanlige aktiviteter af appen, eller at appen er beregnet til at foretage usædvanligt stor mængde Graph-kald.

    Anbefalet handling: Afvis beskeden

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af appen.
  2. Gennemse de områder, der er tildelt af appen.
  3. Gennemse den brugeraktivitet, der er knyttet til appen.

Uregelmæssig SharePoint-aktivitet efter app, der netop har opdateret eller tilføjet nye legitimationsoplysninger

Alvorsgrad: mellem

MITRE-id'er: T1098.001, T1213.002

En cloudapp, der ikke er fra Microsoft, foretog unormale Graph API-kald til SharePoint, herunder dataforbrug i stor mængde. Disse usædvanlige API-kald blev registreret af maskinel indlæring inden for få dage, efter at appen tilføjede nye eller opdaterede eksisterende certifikater/hemmeligheder. Denne app kan være involveret i dataudfiltrering eller andre forsøg på at få adgang til og hente følsomme oplysninger.

TP eller FP?

  • TP: Hvis du kan bekræfte, at der blev udført usædvanlige aktiviteter, f.eks. stor brug af SharePoint-arbejdsbelastning, af appen via Graph API.

    Anbefalet handling: Deaktiver midlertidigt appen, nulstil adgangskoden, og aktivér derefter appen igen.

  • FP: Hvis du kan bekræfte, at der ikke blev udført usædvanlige aktiviteter af appen, eller at appen er beregnet til at foretage usædvanligt stor mængde Graph-kald.

    Anbefalet handling: Afvis beskeden

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af appen.
  2. Gennemse de områder, der er tildelt af appen.
  3. Gennemse den brugeraktivitet, der er knyttet til appen.

Alvorsgrad: mellem

MITRE-id'er: T1114

Denne registrering genererer beskeder for ikke-Microsoft OAuth-apps med metadata, f.eks . navn, URL-adresse eller udgiver, der tidligere er blevet observeret i apps med mistænkelig mailrelateret aktivitet. Denne app kan være en del af en angrebskampagne og kan være involveret i exfiltration af følsomme oplysninger.

TP eller FP?

  • TP: Hvis du kan bekræfte, at appen har oprettet postkasseregler eller foretaget et stort antal usædvanlige Graph API-kald til Exchange-arbejdsbelastningen.

    Anbefalet handling:

    • Undersøg programmets registreringsoplysninger om appstyring, og besøg Microsoft Entra ID for at få flere oplysninger.
    • Kontakt de brugere eller administratorer, der har givet samtykke eller tilladelser til appen. Kontrollér, om ændringerne var tilsigtede.
    • Søg i den avancerede jagttabel CloudAppEvents for at forstå appaktivitet og identificere data, som appen har adgang til. Kontrollér de berørte postkasser, og gennemse meddelelser, der kan være blevet læst eller videresendt af selve appen eller de regler, den har oprettet.
    • Kontrollér, om appen er vigtig for din organisation, før du overvejer nogen opbevaringshandlinger. Deaktiver appen ved hjælp af styring af appen eller Microsoft Entra ID for at forhindre den i at få adgang til ressourcer. Eksisterende politikker for appstyring kan allerede have deaktiveret appen.

  • FP: Hvis du kan bekræfte, at der ikke blev udført usædvanlige aktiviteter af appen, og at appen har en legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Afvis beskeden

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af appen.
  2. Gennemse de områder, der er tildelt appen.
  3. Gennemse den brugeraktivitet, der er knyttet til appen.

App med EWS-programtilladelser, der får adgang til mange mails

Alvorsgrad: mellem

MITRE-id'er: T1114

Denne registrering genererer beskeder for multitenant cloudapps med EWS-programtilladelser, der viser en betydelig stigning i kald til Exchange Web Services-API'en, der er specifikke for mailoptælling og -samling. Denne app kan være involveret i at få adgang til og hente følsomme maildata.

TP eller FP?

  • TP: Hvis du kan bekræfte, at appen har tilgået følsomme maildata eller foretaget et stort antal usædvanlige kald til Exchange-arbejdsbelastningen.

    Anbefalet handling:

    • Undersøg programmets registreringsoplysninger om appstyring, og besøg Microsoft Entra ID for at få flere oplysninger.
    • Kontakt de brugere eller administratorer, der har givet samtykke eller tilladelser til appen. Kontrollér, om ændringerne var tilsigtede.
    • Søg i den avancerede jagttabel CloudAppEvents for at forstå appaktivitet og identificere data, som appen har adgang til. Kontrollér de berørte postkasser, og gennemse meddelelser, der kan være blevet læst eller videresendt af selve appen eller de regler, den har oprettet.
    • Kontrollér, om appen er vigtig for din organisation, før du overvejer nogen opbevaringshandlinger. Deaktiver appen ved hjælp af styring af appen eller Microsoft Entra ID for at forhindre den i at få adgang til ressourcer. Eksisterende politikker for appstyring kan allerede have deaktiveret appen.

  • FP: Hvis du kan bekræfte, at der ikke blev udført usædvanlige aktiviteter af appen, og at appen har en legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Afvis beskeden

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af appen.
  2. Gennemse de områder, der er tildelt appen.
  3. Gennemse den brugeraktivitet, der er knyttet til appen.

Ubrugte app-API'er, der lige har adgang til

Alvorsgrad: mellem

MITRE-id'er: T1530

Denne registrering genererer beskeder for en multitenant cloudapp, der har været inaktiv i et stykke tid, og som for nylig er begyndt at foretage API-kald. Denne app kan blive kompromitteret af en hacker og bruges til at få adgang til og hente følsomme data.

TP eller FP?

  • TP: Hvis du kan bekræfte, at appen har tilgået følsomme data eller foretaget et stort antal usædvanlige kald til Microsoft Graph, Exchange eller Azure Resource Manager arbejdsbelastninger.

    Anbefalet handling:

    • Undersøg programmets registreringsoplysninger om appstyring, og besøg Microsoft Entra ID for at få flere oplysninger.
    • Kontakt de brugere eller administratorer, der har givet samtykke eller tilladelser til appen. Kontrollér, om ændringerne var tilsigtede.
    • Søg i den avancerede jagttabel CloudAppEvents for at forstå appaktivitet og identificere data, som appen har adgang til. Kontrollér de berørte postkasser, og gennemse meddelelser, der kan være blevet læst eller videresendt af selve appen eller de regler, den har oprettet.
    • Kontrollér, om appen er vigtig for din organisation, før du overvejer nogen opbevaringshandlinger. Deaktiver appen ved hjælp af styring af appen eller Microsoft Entra ID for at forhindre den i at få adgang til ressourcer. Eksisterende politikker for appstyring kan allerede have deaktiveret appen.

  • FP: Hvis du kan bekræfte, at der ikke blev udført usædvanlige aktiviteter af appen, og at appen har en legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Afvis beskeden

Forstå omfanget af sikkerhedsbrud

  1. Gennemse alle de aktiviteter, der udføres af appen.
  2. Gennemse de områder, der er tildelt appen.
  3. Gennemse den brugeraktivitet, der er knyttet til appen.

Effektbeskeder

I dette afsnit beskrives beskeder, der angiver, at en ondsindet agent muligvis forsøger at manipulere, afbryde eller ødelægge dine systemer og data fra din organisation.

Entra Line-of-Business-app, der starter en unormal stigning i oprettelsen af virtuelle maskiner

Alvorsgrad: mellem

MITRE ID: T1496

Denne registrering identificerer et enkelt lejer nyt OAuth-program, der opretter masse af Azure-Virtual Machines i din lejer ved hjælp af Azure Resource Manager-API'en.

TP eller FP?

  • TP: Hvis du kan bekræfte, at OAuth-appen for nylig er blevet oprettet og opretter et stort antal Virtual Machines i din lejer, angives der en sand positiv.

    Anbefalede handlinger: Gennemse de virtuelle maskiner, der er oprettet, og eventuelle seneste ændringer af programmet. Baseret på din undersøgelse kan du vælge at forbyde adgang til denne app. Gennemse det tilladelsesniveau, som denne app har anmodet om, og hvilke brugere der har givet adgang.

  • FP: Hvis du efter undersøgelse kan bekræfte, at appen har en legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud:

  1. Gennemse de apps, der er oprettet for nylig, og VM'er, der er oprettet.
  2. Gennemse alle aktiviteter, der er udført af appen, siden den blev oprettet.
  3. Gennemse de områder, der er tildelt af appen i Graph API og rolle, der er tildelt den i dit abonnement.

OAuth-appen med rettigheder med højt omfang i Microsoft Graph blev observeret, da den påbegyndte oprettelsen af en virtuel maskine

Alvorsgrad: mellem

MITRE ID: T1496

Denne registrering identificerer OAuth-programmet, der opretter masse af Azure Virtual Machines i din lejer ved hjælp af Azure Resource Manager-API'en, samtidig med at der er høje rettigheder i lejeren via MS Graph API før aktiviteten.

TP eller FP?

  • TP: Hvis du kan bekræfte, at OAuth-appen med områder med høje rettigheder er blevet oprettet og opretter et stort antal Virtual Machines i din lejer, angives der en sand positiv værdi.

    Anbefalede handlinger: Gennemse de virtuelle maskiner, der er oprettet, og eventuelle seneste ændringer af programmet. Baseret på din undersøgelse kan du vælge at forbyde adgang til denne app. Gennemse det tilladelsesniveau, som denne app har anmodet om, og hvilke brugere der har givet adgang.

  • FP: Hvis du efter undersøgelse kan bekræfte, at appen har en legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Afvis beskeden.

Forstå omfanget af sikkerhedsbrud:

  1. Gennemse de apps, der er oprettet for nylig, og VM'er, der er oprettet.
  2. Gennemse alle aktiviteter, der er udført af appen, siden den blev oprettet.
  3. Gennemse de områder, der er tildelt af appen i Graph API og rolle, der er tildelt den i dit abonnement.

Næste trin

Administrer beskeder om appstyring