Del via

Undersøg foruddefinerede beskeder om apppolitik

  • Artikel

Appstyring indeholder foruddefinerede beskeder om apppolitik for uregelmæssige aktiviteter. Formålet med denne vejledning er at give dig generelle og praktiske oplysninger om hver enkelt indberetning for at hjælpe dig med dine undersøgelses- og afhjælpningsopgaver.

Inkluderet i denne vejledning er generelle oplysninger om betingelserne for udløsning af beskeder. Da foruddefinerede politikker er nondeterministiske af natur, udløses de kun, når der er funktionsmåder, der afviger fra normen.

Tip

Nogle beskeder kan være en prøveversion, så gennemse regelmæssigt de opdaterede beskedstatusser.

Klassificeringer af sikkerhedsadvarsler

Efter en korrekt undersøgelse kan alle vigtige beskeder om appstyring klassificeres i en af følgende aktivitetstyper:

  • Sand positiv (TP): En besked om en bekræftet skadelig aktivitet.
  • Godartet sand positiv (B-TP): En advarsel om mistænkelig, men ikke ondsindet aktivitet, såsom en indtrængningstest eller anden godkendt mistænkelig handling.
  • Falsk positiv (FP): En besked om en ikke-normal aktivitet.

Generelle undersøgelsestrin

Brug følgende generelle retningslinjer, når du undersøger en hvilken som helst type besked for at få en tydeligere forståelse af den potentielle trussel, før du anvender den anbefalede handling.

  1. Gennemse alvorsgraden af appen, og sammenlign med resten af appsene i din lejer. Denne gennemgang hjælper dig med at identificere, hvilke apps i din lejer der udgør større risiko.

  2. Hvis du identificerer en TP, skal du gennemse alle appaktiviteterne for at få en forståelse af indvirkningen. Gennemse f.eks. følgende appoplysninger:

    • Områder, der er tildelt adgang
    • Usædvanlig funktionsmåde
    • IP-adresse og -placering

Foruddefinerede beskeder om apppolitik

Dette afsnit indeholder oplysninger om hver foruddefineret politikbesked sammen med trin til undersøgelse og afhjælpning.

Forøgelse af dataforbruget med en app, der er overprivilegeret eller har mange rettigheder

Alvorsgrad: mellem

Find apps med effektive eller ubrugte tilladelser, der medfører pludselige stigninger i dataforbruget via Graph API. Usædvanlige ændringer i dataforbruget kan indikere, at dataene er kompromitteret.

TP eller FP?

Hvis du vil finde ud af, om beskeden er en sand positiv (TP) eller en falsk positiv (FP), skal du gennemse alle aktiviteter, der er udført af appen, områder, der er tildelt appen, og brugeraktivitet, der er knyttet til appen.

  • TP: Anvend denne anbefalede handling, hvis du har bekræftet, at stigningen i dataforbruget i en app, der er overprivilegeret eller har mange rettigheder, er uregelmæssig eller potentielt skadelig.

    Anbefalet handling: Kontakt brugerne om de appaktiviteter, der har forårsaget stigningen i dataforbruget. Deaktiver appen midlertidigt, nulstil adgangskoden, og aktivér derefter appen igen.

  • FP: Anvend denne anbefalede handling, hvis du har bekræftet, at den registrerede appaktivitet er tiltænkt og har en legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Afvis beskeden.

Alvorsgrad: mellem

Find usædvanlige stigninger i enten dataforbrug eller Graph API-adgangsfejl, der er udstillet af apps, der har fået samtykke fra en prioriteret konto.

TP eller FP?

Gennemse alle aktiviteter, der er udført af appen, områder, der er tildelt appen, og brugeraktivitet, der er knyttet til appen.

  • TP: Anvend denne anbefalede handling, hvis du har bekræftet, at stigningen i dataforbrug eller API-adgangsfejl i en app med samtykke fra en prioriteret konto er meget uregelmæssig eller potentielt skadelig.

    Anbefalet handling: Kontakt brugere af prioritetskontoen om de appaktiviteter, der har forårsaget stigningen i dataforbrug eller API-adgangsfejl. Deaktiver appen midlertidigt, nulstil adgangskoden, og aktivér derefter appen igen.

  • FP: Anvend denne anbefalede handling, hvis du har bekræftet, at den registrerede appaktivitet er tiltænkt og har en legitim forretningsmæssig brug i organisationen.

    Anbefalet handling: Afvis beskeden.

Alvorsgrad: mellem

Anmodninger om samtykke fra en nyoprettet app er ofte blevet afvist af brugerne. Brugere afviser typisk anmodninger om samtykke fra apps, der har udvist uventet adfærd eller er ankommet fra en kilde, der ikke er tillid til. Apps med lave samtykker er mere tilbøjelige til at være risikable eller skadelige.

TP eller FP?

Gennemse alle aktiviteter, der er udført af appen, områder, der er tildelt appen, og brugeraktivitet, der er knyttet til appen.

  • TP: Anvend denne anbefalede handling, hvis du har bekræftet, at appen kommer fra en ukendt kilde, og at dens aktiviteter har været meget uregelmæssige eller potentielt skadelige.

    Anbefalet handling: Deaktiver midlertidigt appen, nulstil adgangskoden, og aktivér derefter appen igen.

  • FP: Anvend denne anbefalede handling, hvis du har bekræftet, at den registrerede appaktivitet er legitim.

    Anbefalet handling: Afvis beskeden.

Stigning i Graph API-kald, der foretages til OneDrive

Alvorsgrad: mellem

En cloudapp viste en betydelig stigning i Graph API-kald til OneDrive. Denne app kan være involveret i dataudfiltrering eller andre forsøg på at få adgang til og hente følsomme data.

TP eller FP?

Gennemse alle aktiviteter, der er udført af appen, områder, der er tildelt appen, og brugeraktivitet, der er knyttet til appen.

  • TP: Anvend denne anbefalede handling, hvis du har bekræftet, at meget uregelmæssige potentielt skadelige aktiviteter har medført den registrerede stigning i brugen af OneDrive.

    Anbefalet handling: Deaktiver midlertidigt appen, nulstil adgangskoden, og aktivér derefter appen igen.

  • FP: Anvend denne anbefalede handling, hvis du har bekræftet, at den registrerede appaktivitet er legitim.

    Anbefalet handling: Afvis beskeden.

Stigning i Graph API-kald til SharePoint

Alvorsgrad: mellem

En cloudapp viste en betydelig stigning i Graph API-kald til SharePoint. Denne app kan være involveret i dataudfiltrering eller andre forsøg på at få adgang til og hente følsomme data.

TP eller FP?

Gennemse alle aktiviteter, der er udført af appen, områder, der er tildelt appen, og brugeraktivitet, der er knyttet til appen.

  • TP: Anvend denne anbefalede handling, hvis du har bekræftet, at meget uregelmæssige, potentielt skadelige aktiviteter har medført den registrerede stigning i SharePoint-forbruget.

    Anbefalet handling: Deaktiver midlertidigt appen, nulstil adgangskoden, og aktivér derefter appen igen.

  • FP: Anvend denne anbefalede handling, hvis du har bekræftet, at den registrerede appaktivitet er legitim.

    Anbefalet handling: Afvis beskeden.

Stigning i Graph API-kald, der foretages til Exchange

Alvorsgrad: mellem

En cloudapp viste en betydelig stigning i Graph API-kald til Exchange. Denne app kan være involveret i dataudfiltrering eller andre forsøg på at få adgang til og hente følsomme data.

TP eller FP?

Gennemse alle aktiviteter, der er udført af appen, områder, der er tildelt appen, og brugeraktivitet, der er knyttet til appen.

  • TP: Anvend denne anbefalede handling, hvis du har bekræftet, at meget uregelmæssige, potentielt skadelige aktiviteter har medført den registrerede stigning i Exchange-forbruget.

    Anbefalet handling: Deaktiver midlertidigt appen, nulstil adgangskoden, og aktivér derefter appen igen.

  • FP: Anvend denne anbefalede handling, hvis du har bekræftet, at den registrerede appaktivitet er legitim.

    Anbefalet handling: Afvis beskeden.

Mistænkelig app med adgang til flere Microsoft 365-tjenester

Alvorsgrad: mellem

Find apps med OAuth-adgang til flere Microsoft 365-tjenester, der har udvist statistisk uregelmæssig Graph API-aktivitet efter et certifikat eller en hemmelig opdatering. Ved at identificere disse apps og kontrollere, om de er kompromitteret, kan du forhindre tværgående flytning, dataudfiltrering og andre skadelige aktiviteter, der gennemgår cloudmapper, mails og andre tjenester.

TP eller FP?

Gennemse alle aktiviteter, der er udført af appen, områder, der er tildelt appen, og brugeraktivitet, der er knyttet til appen.

  • TP: Anvend denne anbefalede handling, hvis du har bekræftet, at opdateringerne til appcertifikater eller -hemmeligheder og andre appaktiviteter har været meget uregelmæssige eller potentielt skadelige.

    Anbefalet handling: Deaktiver midlertidigt appen, nulstil adgangskoden, og aktivér derefter appen igen.

  • FP: Anvend denne anbefalede handling, hvis du har bekræftet, at den registrerede appaktivitet er legitim.

    Anbefalet handling: Afvis beskeden.

Stor mængde aktivitet til oprettelse af indbakkeregel af en app

Alvorsgrad: mellem

En app foretog et stort antal Graph API-kald for at oprette Exchange-indbakkeregler. Denne app kan være involveret i dataindsamling og -exfiltration eller andre forsøg på at få adgang til og hente følsomme oplysninger.

TP eller FP?

Gennemse alle aktiviteter, der er udført af appen, områder, der er tildelt appen, og brugeraktivitet, der er knyttet til appen.

  • TP: Anvend denne anbefalede handling, hvis du har bekræftet, at oprettelsen af indbakkeregler og andre aktiviteter har været meget uregelmæssig eller potentielt skadelig.

    Anbefalet handling: Deaktiver midlertidigt appen, nulstil adgangskoden, og aktivér derefter appen igen.

  • FP: Anvend denne anbefalede handling, hvis du har bekræftet, at den registrerede appaktivitet er legitim.

    Anbefalet handling: Afvis beskeden.

Stor mængde mailsøgningsaktivitet fra en app

Alvorsgrad: mellem

En app foretog et stort antal Graph API-kald for at søge i Exchange-mailindhold. Denne app kan være involveret i dataindsamling eller andre forsøg på at få adgang til og hente følsomme oplysninger.

TP eller FP?

Gennemse alle aktiviteter, der er udført af appen, områder, der er tildelt appen, og brugeraktivitet, der er knyttet til appen.

  • TP: Anvend denne anbefalede handling, hvis du har bekræftet, at indholdssøgningerne på Exchange og andre aktiviteter har været meget uregelmæssige eller potentielt skadelige.

    Anbefalet handling: Deaktiver midlertidigt appen, nulstil adgangskoden, og aktivér derefter appen igen.

  • FP: Hvis du kan bekræfte, at der ikke blev udført nogen usædvanlige mailsøgningsaktiviteter af appen, eller at appen er beregnet til at foretage usædvanlige aktiviteter i forbindelse med mailsøgning via Graph API.

    Anbefalet handling: Afvis beskeden.

Stor mængde mail, der sender aktivitet fra en app

Alvorsgrad: mellem

En app foretog et stort antal Graph API-kald for at sende mails ved hjælp af Exchange Online. Denne app kan være involveret i dataindsamling og -exfiltration eller andre forsøg på at få adgang til og hente følsomme oplysninger.

TP eller FP?

Gennemse alle aktiviteter, der er udført af appen, områder, der er tildelt appen, og brugeraktivitet, der er knyttet til appen.

  • TP: Anvend denne anbefalede handling, hvis du har bekræftet, at afsendelsen af mails og andre aktiviteter har været meget uregelmæssig eller potentielt skadelig.

    Anbefalet handling: Deaktiver midlertidigt appen, nulstil adgangskoden, og aktivér derefter appen igen.

  • FP: Hvis du kan bekræfte, at der ikke blev udført nogen usædvanlige mailsendingsaktiviteter af appen, eller at appen er beregnet til at sende usædvanlige mailaktiviteter via Graph API.

    Anbefalet handling: Afvis beskeden.

Adgang til følsomme data

Alvorsgrad: mellem

Find apps, der har adgang til følsomme data, der er identificeret af specifikke mærkater med følsomhed.

TP eller FP?

Hvis du vil finde ud af, om beskeden er en sand positiv (TP) eller en falsk positiv (FP), skal du gennemse de ressourcer, der er adgang til af appen.

  • TP: Anvend denne anbefalede handling, hvis du har bekræftet, at appen eller den registrerede aktivitet er uregelmæssig eller potentielt skadelig.

    Anbefalet handling: Undgå, at appen får adgang til ressourcer ved at deaktivere den fra Microsoft Entra ID.

  • FP: Anvend denne anbefalede handling, hvis du har bekræftet, at appen har legitim forretningsmæssig brug i organisationen, og at den registrerede aktivitet var forventet.

    Anbefalet handling: Afvis beskeden.

Næste trin

Få mere at vide om registrering og afhjælpning af apptrusler