Untersuchen von Bedrohungserkennungswarnungen für App-Governance

App-Governance bietet Sicherheitserkennungen und Warnungen für schädliche Aktivitäten. In diesem Artikel werden Details zu jeder Warnung aufgeführt, die Ihre Untersuchung und Korrektur unterstützen kann, einschließlich der Bedingungen für das Auslösen von Warnungen. Da Bedrohungserkennungen von Natur aus nicht deterministisch sind, werden sie nur ausgelöst, wenn ein Verhalten vorliegt, das von der Norm abweicht.

Weitere Informationen finden Sie unter App-Governance in Microsoft Defender for Cloud Apps

Hinweis

App-Governance-Bedrohungserkennungen basieren auf dem Zählen von Aktivitäten auf Daten, die vorübergehend sind und möglicherweise nicht gespeichert werden. Daher können Warnungen die Anzahl der Aktivitäten oder Hinweise auf Spitzen liefern, aber nicht unbedingt alle relevanten Daten. Speziell für OAuth-Apps Graph-API Aktivitäten können die Aktivitäten selbst vom Mandanten mithilfe von Log Analytics und Sentinel überwacht werden.

Weitere Informationen finden Sie unter:

• Zugreifen auf Microsoft Graph-Aktivitätsprotokolle
• Analysieren von Aktivitätsprotokollen mithilfe von Log Analytics

MITRE ATT&CK

Um die Beziehung zwischen den Microsoft App-Governance-Benachrichtigungen und der bekannten MITRE ATT&CK-Matrix einfacher abbilden zu können, wurden die Benachrichtigungen nach der entsprechenden MITRE ATT&CK-Taktik kategorisiert. Dieser zusätzliche Verweis erleichtert das Verständnis der technikverdächtigen Angriffe, die möglicherweise verwendet wird, wenn eine App-Governance-Warnung ausgelöst wird.

Dieser Leitfaden enthält Informationen zur Untersuchung und Behebung von App-Governance-Benachrichtigungen in den folgenden Kategorien.

• Erstzugriff
• Ausführung
• Persistenz
• Rechteausweitung
• Verteidigungsumgehung
• Zugriff auf Anmeldeinformationen
• Suche
• Laterale Bewegung
• Sammlung
• Exfiltration
• Auswirkung

Klassifizierungen der Sicherheitsbenachrichtigungen

Nach einer ordnungsgemäßen Untersuchung können alle Microsoft App-Governance-Benachrichtigungen als einer der folgenden Aktivitätstypen klassifiziert werden:

• True Positive (TP): Eine Warnung zu einer bestätigten schädlichen Aktivität.
• Gutartige wahr positive (B-TP): Eine Warnung bei verdächtigen, aber nicht schädlichen Aktivitäten, z. B. einem Penetrationstest oder einer anderen autorisierten verdächtigen Aktion.
• Falsch positiv (False Positive, FP): Eine Warnung bei einer nicht bösartigen Aktivität.

Allgemeine Untersuchungsschritte

Verwenden Sie die folgende allgemeine Richtlinie, wenn Sie eine beliebige Art von Benachrichtigung untersuchen, um ein besseres Verständnis der potenziellen Bedrohung zu erhalten, bevor Sie die empfohlene Maßnahme anwenden.

• Überprüfen Sie den Schweregrad der App und vergleichen Sie ihn mit dem Rest der Apps in Ihrem Mandanten. Diese Überprüfung hilft Ihnen zu ermitteln, welche Apps in Ihrem Mandanten das größere Risiko darstellen.

• Wenn Sie ein TP-Ereignis identifizieren, überprüfen Sie alle App-Aktivitäten, um ein Verständnis über die Auswirkung zu erhalten. Überprüfen Sie beispielsweise die folgenden App-Informationen:

  • Bereiche mit gewährtem Zugriff
  • Ungewohntes Verhalten
  • IP-Adresse und Standort

Benachrichtigungen beim Erstzugriff

In diesem Abschnitt werden Benachrichtigungen beschrieben, die darauf hinweisen, dass eine bösartige App möglicherweise versucht, in Ihrer Organisation Fuß zu fassen.

App-Umleitungen zur Phishing-URL durch Ausnutzen der Sicherheitsanfälligkeit bei der OAuth-Umleitung

Schweregrad: Mittel

Diese Erkennung identifiziert OAuth-Apps, die an Phishing-URLs umleiten, indem der Antworttypparameter in der OAuth-Implementierung über die Microsoft-Graph-API ausgenutzt wird.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App von einer unbekannten Quelle übermittelt wurde, enthält der Antworttyp der Antwort-URL nach der Zustimmung zur OAuth-App eine ungültige Anforderung und leitet zu einer unbekannten oder nicht vertrauenswürdigen Antwort-URL um.

  Empfohlene Aktion: Deaktivieren und entfernen Sie die App, setzen Sie das Kennwort zurück, und entfernen Sie die Posteingangsregel. 

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App in der Organisation für legitime geschäftliche Zwecke verwendet wird.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von dieser App ausgeführten Aktivitäten. 
2. Überprüfen Sie die Bereiche, die von der App gewährt wurden. 

OAuth-App mit verdächtiger Antwort-URL

Schweregrad: Mittel

Diese Erkennung identifiziert eine OAuth-App, die über die Microsoft-Graph-API auf eine verdächtige Antwort-URL zugegriffen hat.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App von einer unbekannten Quelle übermittelt wird und zu einer verdächtigen URL umgeleitet wird, wird ein true positiver Wert angegeben. Eine verdächtige URL ist eine URL, bei der der Ruf der URL unbekannt ist, nicht vertrauenswürdig ist oder deren Domäne kürzlich registriert wurde und die App-Anforderung für einen Bereich mit hohen Berechtigungen gilt.

  Empfohlene Aktion: Überprüfen Sie die Antwort-URL, Domänen und Bereiche, die von der App angefordert werden. Basierend auf Ihrer Untersuchung können Sie den Zugriff auf diese App sperren. Überprüfen Sie die Berechtigungsebene, die von dieser App angefordert wird und welchen Benutzern Zugriff gewährt wird.

  Um den Zugriff auf die App zu sperren, wechseln Sie zur entsprechenden Registerkarte für Ihre App auf der Seite App-Governance . Wählen Sie in der Zeile, in der die App angezeigt wird, die Sie sperren möchten, das Symbol "Sperren". Sie können entscheiden, ob Sie die Benutzer informieren wollen, dass die von ihnen installierte und autorisierte App verboten wurde. Die Benachrichtigung informiert Benutzer darüber, dass die App deaktiviert wird, und sie haben keinen Zugriff auf die verbundene App. Wenn Sie dies nicht wissen möchten, deaktivieren Sie im Dialogfeld Benutzer benachrichtigen, die Zugriff auf diese gesperrte App gewährt haben . Es wird empfohlen, dass Sie den App-Benutzern mitteilen, dass die Verwendung ihrer App demnächst verboten wird.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App in der Organisation für legitime geschäftliche Zwecke verwendet wird.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie die kürzlich erstellten Apps und deren Antwort-URLs.

2. Überprüfen Sie alle von dieser App ausgeführten Aktivitäten. 

3. Überprüfen Sie die Bereiche, die von der App gewährt wurden. 

App, die kürzlich erstellt wurde, hat eine niedrige Zustimmungsrate

Schweregrad: Niedrig

Diese Erkennung identifiziert eine OAuth-App, die kürzlich erstellt wurde und eine niedrige Zustimmungsrate aufweist. Dies kann auf eine böswillige oder riskante App hinweisen, die Benutzer in unzulässige Zustimmungsgewährungen lockt.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App von einer unbekannten Quelle geliefert wird, dann wird ein TP angezeigt.

  Empfohlene Aktion: Überprüfen Sie Anzeigenamen, Antwort-URLs und Antwortdomänen der App. Sie können sich basierend auf Ihrer Untersuchung dazu entschließen, den Zugriff auf diese App zu verbieten. Überprüfen Sie die von dieser App angeforderte Berechtigungsebene und welche Benutzer Zugriff gewährt haben.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App in der Organisation für legitime geschäftliche Zwecke verwendet wird.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von dieser App ausgeführten Aktivitäten.
2. Wenn Sie vermuten, dass eine App verdächtig ist, empfiehlt es sich, den Namen der App und die Antwortdomäne in verschiedenen App Stores zu untersuchen. Konzentrieren Sie sich beim Überprüfen von App Stores auf die folgenden Arten von Apps:
   • Apps, die kürzlich erstellt wurden
   • App mit ungewöhnlichem Anzeigenamen
   • Apps mit einer verdächtigen Antwortdomäne
3. Wenn Sie immer noch vermuten, dass eine App verdächtig ist, können Sie den Anzeigenamen der App und die Antwortdomäne recherchieren.

App mit schlechter URL-Reputation

Schweregrad: Mittel

Diese Erkennung identifiziert eine OAuth-App, für die eine schlechte URL-Zuverlässigkeit festgestellt wurde.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App von einer unbekannten Quelle geliefert wird und auf eine verdächtige URL umleitet, dann wird ein TP angezeigt.

  Empfohlene Aktion: Überprüfen Sie Antwort-URLs, Antwortdomänen und Bereiche, die von der App angeforderte werden. Sie können basierend auf Ihrer Untersuchung entscheiden, den Zugriff auf diese App zu verbieten. Überprüfen Sie die Berechtigungsebene, welche diese App angefordert hat, und welche Benutzer den Zugriff gewährt haben.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App in der Organisation für legitime geschäftliche Zwecke verwendet wird.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von dieser App ausgeführten Aktivitäten.
2. Wenn Sie vermuten, dass eine App verdächtig ist, empfiehlt es sich, den Namen der App und die Antwortdomäne in verschiedenen App Stores zu untersuchen. Konzentrieren Sie sich beim Überprüfen von App Stores auf die folgenden Arten von Apps:
   • Apps, die kürzlich erstellt wurden
   • App mit ungewöhnlichem Anzeigenamen
   • Apps mit einer verdächtigen Antwortdomäne
3. Wenn Sie immer noch vermuten, dass eine App verdächtig ist, können Sie den Anzeigenamen der App und die Antwortdomäne recherchieren.

Codierter App-Name mit verdächtigen Zustimmungsbereichen

Schweregrad: Mittel

Beschreibung: Diese Erkennung identifiziert OAuth-Apps mit Zeichen wie Unicode oder codierten Zeichen, die für verdächtige Zustimmungsbereiche angefordert wurden und die über die Graph-API auf E-Mail-Ordner von Benutzern zugegriffen haben. Diese Benachrichtigung kann auf einen Versuch hinweisen, eine bösartige App als bekannte und vertrauenswürdige App zu tarnen, damit Angreifer die Benutzer dazu verleiten können, der bösartigen App zuzustimmen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App den Anzeigenamen mit verdächtigen Bereichen codiert hat, die von einer unbekannten Quelle geliefert wurden, dann wird ein TP angezeigt.

  Empfohlene Aktion: Überprüfen Sie die Berechtigungsebene, welche diese App angefordert hat, und welche Benutzer den Zugriff gewährten. Sie können basierend auf Ihrer Untersuchung entscheiden, den Zugriff auf diese App zu verbieten.

  Um den Zugriff auf die App zu sperren, wechseln Sie zur entsprechenden Registerkarte für Ihre App auf der Seite App-Governance . Wählen Sie in der Zeile, in der die App angezeigt wird, die Sie sperren möchten, das Symbol "Sperren". Sie können entscheiden, ob Sie die Benutzer informieren wollen, dass die von ihnen installierte und autorisierte App verboten wurde. Die Benachrichtigung informiert Benutzer darüber, dass die App deaktiviert wird und sie keinen Zugriff auf die verbundene App haben. Wenn Sie dies nicht wissen möchten, deaktivieren Sie im Dialogfeld Benutzer benachrichtigen, die Zugriff auf diese gesperrte App gewährt haben. Es wird empfohlen, dass Sie den App-Benutzern mitteilen, dass die Verwendung ihrer App demnächst verboten wird.

• FP: Wenn Sie bestätigen möchten, dass die App über einen codierten Namen verfügt, aber eine legitime geschäftliche Verwendung im organization.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

Folgen Sie dem Lernprogramm zur Untersuchung riskanter OAuth-Apps.

OAuth-App mit Lesebereichen weist eine verdächtige Antwort-URL auf

Schweregrad: Mittel

Beschreibung: Diese Erkennung identifiziert eine OAuth-App nur mit Lesebereichen wie User.Read, Personen. Read, Contacts.Read, Mail.Read, Contacts.Read. Freigegeben leitet über Graph-API zur verdächtigen Antwort-URL um. Diese Aktivität soll darauf hinweisen, dass eine bösartige App mit weniger privilegierten Berechtigungen (z. B. Lesebereiche) ausgenutzt werden könnte, um das Benutzerkonto auszuspähen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App mit Lesebereich von einer unbekannten Quelle geliefert wird und auf eine verdächtige URL umleitet, dann wird ein TP angezeigt.

  Empfohlene Aktion: Überprüfen Sie die Antwort-URL und die Bereiche, die von der App angeforderte werden. Sie können basierend auf Ihrer Untersuchung entscheiden, den Zugriff auf diese App zu verbieten. Überprüfen Sie die Berechtigungsebene, welche diese App angefordert hat, und welche Benutzer den Zugriff gewährt haben.

  Um den Zugriff auf die App zu sperren, wechseln Sie zur entsprechenden Registerkarte für Ihre App auf der Seite App-Governance . Wählen Sie in der Zeile, in der die App angezeigt wird, die Sie sperren möchten, das Symbol "Sperren". Sie können entscheiden, ob Sie die Benutzer informieren wollen, dass die von ihnen installierte und autorisierte App verboten wurde. Die Benachrichtigung informiert Benutzer darüber, dass die App deaktiviert wird und sie keinen Zugriff auf die verbundene App haben. Wenn Sie dies nicht wissen möchten, deaktivieren Sie im Dialogfeld Benutzer benachrichtigen, die Zugriff auf diese gesperrte App gewährt haben. Es wird empfohlen, dass Sie den App-Benutzern mitteilen, dass die Verwendung ihrer App demnächst verboten wird.

• B-TP: Wenn Sie nach der Untersuchung bestätigen können, dass die App eine legitime geschäftliche Verwendung in der Organisation besitzt.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von dieser App ausgeführten Aktivitäten.
2. Wenn Sie vermuten, dass eine App verdächtig ist, empfehlen wir Ihnen, den Namen und die Antwort-URL der App in verschiedenen App-Stores zu untersuchen. Wenn Sie App-Stores überprüfen, konzentrieren Sie sich auf die folgenden Typen von Apps:
   • Apps, die kürzlich erstellt wurden.
   • Apps mit einer verdächtigen Antwort-URL
   • Apps, die in der letzten Zeit nicht aktualisiert wurden. Fehlende Aktualisierungen können darauf hinweisen, dass die App nicht mehr unterstützt wird.
3. Wenn Sie immer noch vermuten, dass eine App verdächtig ist, können Sie den Namen der App, den Namen des Herausgebers und die Antwort-URL online recherchieren.

App mit ungewöhnlichem Anzeigenamen und ungewöhnlicher TLD in der Antwortdomäne

Schweregrad: Mittel

Diese Erkennung identifiziert die App mit einem ungewöhnlichen Anzeigenamen und leitet über Graph-API zur verdächtigen Antwortdomäne mit einer ungewöhnlichen Top-Level-Domäne (TLD) um. Dies kann auf einen Versuch hinweisen, eine schädliche oder riskante App als bekannte und vertrauenswürdige App zu tarnen, sodass Angreifer die Benutzer dazu verleiten können, ihrer schädlichen oder riskanten App zuzustimmen. 

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die App mit einem ungewöhnlichen Anzeigenamen von einer unbekannten Quelle geliefert wird und auf eine verdächtige Domäne der obersten Ebene umleitet

  Empfohlene Aktion: Überprüfen Sie den Anzeigenamen und die Antwortdomäne der App. Sie können sich basierend auf Ihrer Untersuchung dazu entschließen, den Zugriff auf diese App zu verbieten. Überprüfen Sie die von dieser App angeforderte Berechtigungsebene und welche Benutzer Zugriff gewährt haben.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App in der Organisation für legitime geschäftliche Zwecke verwendet wird.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

Überprüfen Sie alle von dieser App ausgeführten Aktivitäten. Wenn Sie vermuten, dass eine App verdächtig ist, empfiehlt es sich, den Namen der App und die Antwortdomäne in verschiedenen App Stores zu untersuchen. Konzentrieren Sie sich beim Überprüfen von App Stores auf die folgenden Arten von Apps:

• Apps, die kürzlich erstellt wurden
• App mit ungewöhnlichem Anzeigenamen
• Apps mit einer verdächtigen Antwortdomäne

Wenn Sie immer noch vermuten, dass eine App verdächtig ist, können Sie den Anzeigenamen der App und die Antwortdomäne recherchieren.

Neue App mit E-Mail-Berechtigungen mit geringem Zustimmungsmuster

Schweregrad: Mittel

Diese Erkennung identifiziert OAuth-Apps, die kürzlich in relativ neuen Herausgebermandanten mit den folgenden Merkmalen erstellt wurden:

• Berechtigungen zum Zugreifen auf oder Ändern von Postfacheinstellungen
• Relativ niedrige Zustimmungsrate, die unerwünschte oder sogar schädliche Apps identifizieren kann, die versuchen, die Zustimmung von ahnungslosen Benutzern einzuholen

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die Zustimmungsanforderung an die App von einer unbekannten oder externen Quelle übermittelt wurde und die App keine legitime geschäftliche Verwendung im organization hat, wird ein richtig positives Ergebnis angezeigt.

  Empfohlene Aktion:

  • Wenden Sie sich an Benutzer und Administratoren, die dieser App ihre Zustimmung erteilt haben, um zu bestätigen, dass dies beabsichtigt war und die übermäßigen Berechtigungen normal sind.
  • Untersuchen Sie die App-Aktivität, und überprüfen Sie die betroffenen Konten auf verdächtige Aktivitäten.
  • Deaktivieren Sie basierend auf Ihrer Untersuchung die App, und setzen Sie Kennwörter für alle betroffenen Konten an.
  • Klassifizieren Sie die Warnung als richtig positiv.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App in der Organisation für legitime geschäftliche Zwecke verwendet wird.

  Empfohlene Aktion: Klassifizieren Sie die Warnung als falsch positiv, und geben Sie feedback basierend auf Ihrer Untersuchung der Warnung.

Verständnis des Umfangs der Sicherheitsverletzung

Überprüfen Sie die Zustimmungserteilungen für die Anwendung, die von Benutzern und Administratoren vorgenommen wurden. Untersuchen Sie alle Aktivitäten, die von der App ausgeführt werden, insbesondere den Zugriff auf das Postfach zugeordneter Benutzer und Administratorkonten. Wenn Sie vermuten, dass die App verdächtig ist, sollten Sie die Anwendung deaktivieren und die Anmeldeinformationen aller betroffenen Konten rotieren.

Neue App mit niedriger Zustimmungsrate beim Zugriff auf zahlreiche E-Mails

Schweregrad: Mittel

Diese Warnung identifiziert OAuth-Apps, die kürzlich in einem relativ neuen Herausgebermandanten registriert wurden, mit Berechtigungen zum Ändern von Postfacheinstellungen und zum Zugreifen auf E-Mails. Außerdem wird überprüft, ob die App eine relativ niedrige globale Zustimmungsrate aufweist, und führt zahlreiche Aufrufe an Microsoft Graph-API, um auf E-Mails von zustimmenden Benutzern zuzugreifen. Apps, die diese Warnung auslösen, sind möglicherweise unerwünschte oder böswillige Apps, die versuchen, die Zustimmung von ahnungslosen Benutzern einzuholen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die Zustimmungsanforderung an die App von einer unbekannten oder externen Quelle übermittelt wurde und die App keine legitime geschäftliche Verwendung im organization hat, wird ein richtig positives Ergebnis angezeigt.

  Empfohlene Aktion:

  • Wenden Sie sich an Benutzer und Administratoren, die dieser App ihre Zustimmung erteilt haben, um zu bestätigen, dass dies beabsichtigt war und die übermäßigen Berechtigungen normal sind.
  • Untersuchen Sie die App-Aktivität, und überprüfen Sie die betroffenen Konten auf verdächtige Aktivitäten.
  • Deaktivieren Sie basierend auf Ihrer Untersuchung die App, und setzen Sie Kennwörter für alle betroffenen Konten an.
  • Klassifizieren Sie die Warnung als richtig positiv.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App im organization eine legitime geschäftliche Verwendung aufweist, wird ein falsch positives Ergebnis angezeigt.

  Empfohlene Aktion: Klassifizieren Sie die Warnung als falsch positiv, und geben Sie feedback basierend auf Ihrer Untersuchung der Warnung.

Verständnis des Umfangs der Sicherheitsverletzung

Überprüfen Sie die Zustimmungserteilungen für die Anwendung, die von Benutzern und Administratoren vorgenommen wurden. Untersuchen Sie alle Von der App ausgeführten Aktivitäten, insbesondere den Zugriff auf die Postfächer der zugeordneten Benutzer und Administratorkonten. Wenn Sie vermuten, dass die App verdächtig ist, sollten Sie die Anwendung deaktivieren und die Anmeldeinformationen aller betroffenen Konten rotieren.

Verdächtige App mit E-Mail-Berechtigungen, die zahlreiche E-Mails sendet

Schweregrad: Mittel

Diese Warnung findet mehrinstanzenfähige OAuth-Apps, die zahlreiche Aufrufe an Microsoft Graph-API gesendet haben, um E-Mails innerhalb eines kurzen Zeitraums zu senden. Außerdem wird überprüft, ob die API-Aufrufe zu Fehlern und fehlgeschlagenen E-Mails-Sendeversuchen geführt haben. Apps, die diese Warnung auslösen, senden möglicherweise aktiv Spam oder schädliche E-Mails an andere Ziele.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die Zustimmungsanforderung an die App von einer unbekannten oder externen Quelle übermittelt wurde und die App keine legitime geschäftliche Verwendung im organization hat, wird ein richtig positives Ergebnis angezeigt.

  Empfohlene Aktion:

  • Wenden Sie sich an Benutzer und Administratoren, die dieser App ihre Zustimmung erteilt haben, um zu bestätigen, dass dies beabsichtigt war und die übermäßigen Berechtigungen normal sind.
  • Untersuchen Sie die App-Aktivität, und überprüfen Sie die betroffenen Konten auf verdächtige Aktivitäten.
  • Deaktivieren Sie basierend auf Ihrer Untersuchung die App, und setzen Sie Kennwörter für alle betroffenen Konten an.
  • Klassifizieren Sie die Warnung als richtig positiv.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App im organization eine legitime geschäftliche Verwendung aufweist, wird ein falsch positives Ergebnis angezeigt.

  Empfohlene Aktion: Klassifizieren Sie die Warnung als falsch positiv, und geben Sie feedback basierend auf Ihrer Untersuchung der Warnung.

Verständnis des Umfangs der Sicherheitsverletzung

Überprüfen Sie die Zustimmungserteilungen für die Anwendung, die von Benutzern und Administratoren vorgenommen wurden. Untersuchen Sie alle Aktivitäten, die von der App ausgeführt werden, insbesondere den Zugriff auf das Postfach zugeordneter Benutzer und Administratorkonten. Wenn Sie vermuten, dass die App verdächtig ist, sollten Sie die Anwendung deaktivieren und die Anmeldeinformationen aller betroffenen Konten rotieren.

Verdächtige OAuth-App zum Senden zahlreicher E-Mails

Schweregrad: Mittel

Diese Warnung weist auf eine OAuth-App hin, die zahlreiche Aufrufe an Microsoft Graph-API gesendet hat, um E-Mails innerhalb eines kurzen Zeitraums zu senden. Der Herausgebermandant der App ist dafür bekannt, eine große Anzahl von OAuth-Apps zu erzeugen, die ähnliche Microsoft Graph-API-Aufrufe tätigen. Ein Angreifer verwendet diese App möglicherweise aktiv, um Spam oder schädliche E-Mails an seine Ziele zu senden.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die Zustimmungsanforderung an die App von einer unbekannten oder externen Quelle übermittelt wurde und die App keine legitime geschäftliche Verwendung im organization hat, wird ein richtig positives Ergebnis angezeigt.

  Empfohlene Aktion:

  • Wenden Sie sich an Benutzer und Administratoren, die dieser App ihre Zustimmung erteilt haben, um zu bestätigen, dass dies beabsichtigt war und die übermäßigen Berechtigungen normal sind.
  • Untersuchen Sie die App-Aktivität, und überprüfen Sie die betroffenen Konten auf verdächtige Aktivitäten.
  • Deaktivieren Sie basierend auf Ihrer Untersuchung die App, und setzen Sie Kennwörter für alle betroffenen Konten an.
  • Klassifizieren Sie die Warnung als richtig positiv.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App im organization eine legitime geschäftliche Verwendung aufweist, wird ein falsch positives Ergebnis angezeigt.

  Empfohlene Aktion: Klassifizieren Sie die Warnung als falsch positiv, und geben Sie feedback basierend auf Ihrer Untersuchung der Warnung.

Verständnis des Umfangs der Sicherheitsverletzung

Überprüfen Sie die Zustimmungserteilungen für die Anwendung, die von Benutzern und Administratoren vorgenommen wurden. Untersuchen Sie alle Aktivitäten, die von der App ausgeführt werden, insbesondere den Zugriff auf das Postfach zugeordneter Benutzer und Administratorkonten. Wenn Sie vermuten, dass die App verdächtig ist, sollten Sie die Anwendung deaktivieren und die Anmeldeinformationen aller betroffenen Konten rotieren.

Persistenz-Benachrichtigungen

In diesem Abschnitt werden Benachrichtigungen beschrieben, die darauf hinweisen, dass ein bösartiger Akteur möglicherweise versucht, in Ihrer Organisation Fuß zu fassen.

Die App führte anomale Graph-Aufrufe auf Exchange-Arbeitsauslastungen nach der Zertifikataktualisierung oder dem Hinzufügen neuer Anmeldeinformationen durch.

Schweregrad: Mittel

MITRE-ID: T1098.001, T1114

Diese Erkennung löst eine Warnung aus, wenn eine Branchen-App Zertifikate/Geheimnisse aktualisiert oder neue Anmeldeinformationen hinzugefügt hat und innerhalb weniger Tage nach der Zertifikataktualisierung oder dem Hinzufügen neuer Anmeldeinformationen ungewöhnliche Aktivitäten oder eine hohe Nutzung für Exchange-Arbeitsauslastungen über die Graph-API mithilfe des ML-Algorithmus festgestellt hat.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die Branchen-App ungewöhnliche Aktivitäten/hohe Nutzung für Exchange-Arbeitsauslastungen über die Graph-API ausgeführt hat.

  Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Kennwort zurück, und aktivieren Sie die App dann erneut.

• FP: Wenn Sie bestätigen können, dass die Branchen-App keine ungewöhnlichen Aktivitäten ausgeführt hat oder die App für ungewöhnlich viele Graph-Aufrufe vorgesehen ist.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von dieser App ausgeführten Aktivitäten.
2. Überprüfen Sie die Bereiche, die von der App gewährt wurden.
3. Überprüfen Sie die dieser App zugeordnete Benutzeraktivität.

Eine App mit verdächtigem OAuth-Bereich wurde durch das ML-Modell als „mit hohem Risiko“ gekennzeichnet, hat Graph-Aufrufe zum Lesen von E-Mails durchgeführt und Posteingangsregel erstellt.

Schweregrad: Mittel

MITRE-ID: T1137.005, T1114

Diese Erkennung identifiziert eine OAuth-App, die vom Machine Learning-Modell mit hohem Risiko gekennzeichnet wurde, das verdächtigen Bereichen zugestimmt hat, eine verdächtige Posteingangsregel erstellt und dann über die Graph-API auf E-Mail-Ordner und Nachrichten von Benutzern zugegriffen hat. Posteingangsregeln, wie z. B. das Weiterleiten aller oder bestimmter E-Mails an ein anderes E-Mail-Konto, und Graph-Aufrufe für den Zugriff auf E-Mails und das Senden an ein anderes E-Mail-Konto, können ein Versuch sein, Informationen aus Ihrer Organisation zu exfiltrieren.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die Posteingangsregel von einer OAuth-App einer Drittpartei erstellt wurde, mit verdächtigen Bereichen, die von einer unbekannten Quelle geliefert wurden, dann wird ein TP (True positive, Wahr-Positiv) erkannt.

  Empfohlene Aktion: Deaktivieren und entfernen Sie die App, setzen Sie das Kennwort zurück, und entfernen Sie die Posteingangsregel.

Befolgen Sie das Tutorial zum Zurücksetzen eines Kennworts mithilfe von Microsoft Entra ID und das Tutorial zum Entfernen der Posteingangsregel.

• FP: Wenn Sie bestätigen können, dass die App aus legitimen Gründen eine Posteingangsregel für ein neues oder persönliches externes E-Mail-Konto erstellt hat.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von dieser App ausgeführten Aktivitäten.
2. Überprüfen Sie die Bereiche, die von der App gewährt wurden.
3. Überprüfen Sie die Aktion und die Bedingung der Posteingangsregel, die von der App erstellt wurde.

App mit verdächtigem OAuth-Bereich hat Graphaufrufe zum Lesen von E-Mails und zum Erstellen einer Posteingangsregel ausgeführt

Schweregrad: Mittel

MITRE-IDs: T1137.005, T1114

Diese Erkennung identifiziert eine OAuth-App, die verdächtigen Bereichen zugestimmt hat, eine verdächtige Posteingangsregel erstellt und dann über die Graph-API auf die E-Mail-Ordner und -Nachrichten von Benutzern zugegriffen hat. Posteingangsregeln, wie z. B. das Weiterleiten aller oder bestimmter E-Mails an ein anderes E-Mail-Konto, und Graph-Aufrufe für den Zugriff auf E-Mails und das Senden an ein anderes E-Mail-Konto, können ein Versuch sein, Informationen aus Ihrer Organisation zu exfiltrieren.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die Posteingangsregel von einer OAuth-App einer Drittpartei erstellt wurde, mit verdächtigen Bereichen, die von einer unbekannten Quelle geliefert wurden, dann wird ein Wahr-Positiv angezeigt.

  Empfohlene Aktion: Deaktivieren und entfernen Sie die App, setzen Sie das Kennwort zurück, und entfernen Sie die Posteingangsregel.

  Befolgen Sie das Tutorial zum Zurücksetzen eines Kennworts mithilfe von Microsoft Entra ID und das Tutorial zum Entfernen der Posteingangsregel.

• FP: Wenn Sie bestätigen können, dass die App aus legitimen Gründen eine Posteingangsregel für ein neues oder persönliches externes E-Mail-Konto erstellt hat.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von dieser App ausgeführten Aktivitäten.
2. Überprüfen Sie die Bereiche, die von der App gewährt wurden.
3. Überprüfen Sie die Aktion und die Bedingung der Posteingangsregel, die von der App erstellt wurde.

App, auf die nach dem Zertifikatupdate von einem ungewöhnlichen Standort aus zugegriffen wurde

Schweregrad: Niedrig

MITRE-ID: T1098

Diese Erkennung löst eine Warnung aus, wenn das Zertifikat/Geheimnis einer Branchen-App aktualisiert wurde und innerhalb weniger Tage nach dem Update des Zertifikats von einem ungewöhnlichen Ort aus auf die App zugegriffen wird, auf den in der Vergangenheit nicht zugegriffen wurde.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die Branchen-App von einem ungewöhnlichen Standort aus zugegriffen hat und ungewöhnliche Aktivitäten über die Graph-API ausgeführt hat.

  Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Kennwort zurück, und aktivieren Sie die App dann erneut.

• FP: Wenn Sie bestätigen können, dass die Branchen-App von einem ungewöhnlichen Standort aus zugegriffen hat und ungewöhnliche Aktivitäten über die Graph-API ausgeführt hat.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von dieser App ausgeführten Aktivitäten.
2. Überprüfen Sie die Bereiche, die von der App gewährt wurden.
3. Überprüfen Sie die dieser App zugeordnete Benutzeraktivität.

App, auf die nach dem Zertifikatupdate von einem ungewöhnlichen Standort aus anomale Graph-Aufrufe getätigt hat

Schweregrad: Mittel

MITRE-ID: T1098

Diese Erkennung löst eine Warnung aus, wenn eine Branchen-App das Zertifikat/Geheimnis aktualisiert und innerhalb weniger Tage nach der Zertifikataktualisierung auf die App von einem ungewöhnlichen Ort aus zugegriffen wird, auf den in der Vergangenheit nicht zugegriffen wurde, und ungewöhnliche Aktivitäten oder Verwendungen über Graph-API mithilfe des Machine Learning-Algorithmus beobachtet wurden.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die Branchen-App von einem ungewöhnlichen Standort aus ungewöhnliche Aktivitäten/Nutzung über die Graph-API ausgeführt hat.

  Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Kennwort zurück, und aktivieren Sie die App dann erneut.

• FP: Wenn Sie bestätigen können, dass die Branchen-App von einem ungewöhnlichen Standort aus zugegriffen hat und ungewöhnliche Aktivitäten über die Graph-API ausgeführt hat.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von dieser App ausgeführten Aktivitäten.
2. Überprüfen Sie die Bereiche, die von der App gewährt wurden.
3. Überprüfen Sie die dieser App zugeordnete Benutzeraktivität.

Die kürzlich erstellte App weist eine große Anzahl widerrufener Einwilligungen auf.

Schweregrad: Mittel

MITRE ID: T1566, T1098

Mehrere Benutzer haben ihre Zustimmung zu dieser kürzlich erstellten Branchen- oder Drittanbieter-App widerrufen. Diese App hat Möglicherweise Benutzer dazu verleitet, ihr versehentlich ihre Zustimmung zu erteilen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App von einer unbekannten Quelle übermittelt wird und das App-Verhalten verdächtig ist. 

  Empfohlene Aktion: Widerrufen Sie der App erteilte Einwilligungen, und deaktivieren Sie die App. 

• FP: Nach der Untersuchung können Sie bestätigen, dass die App im organization eine legitime geschäftliche Nutzung aufweist und keine ungewöhnlichen Aktivitäten von der App ausgeführt wurden.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von der App ausgeführten Aktivitäten.
2. Wenn Sie vermuten, dass eine App verdächtig ist, empfehlen wir Ihnen, den Namen und die Antwortdomäne der App in verschiedenen App-Stores zu untersuchen. Konzentrieren Sie sich beim Überprüfen von App Stores auf die folgenden Arten von Apps:
   • Apps, die kürzlich erstellt wurden
   • Apps mit einem ungewöhnlichen Anzeigenamen
   • Apps mit einer verdächtigen Antwortdomäne
3. Wenn Sie immer noch vermuten, dass eine App verdächtig ist, können Sie den Anzeigenamen der App und die Antwortdomäne recherchieren.

App-Metadaten, die einer bekannten Phishingkampagne zugeordnet sind

Schweregrad: Mittel

Diese Erkennung generiert Warnungen für Nicht-Microsoft OAuth-Apps mit Metadaten wie Name, URL oder Herausgeber, die zuvor in Apps beobachtet wurden, die einer Phishingkampagne zugeordnet sind. Diese Apps können Teil derselben Kampagne sein und an der Exfiltration vertraulicher Informationen beteiligt sein.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App von einer unbekannten Quelle bereitgestellt wird und ungewöhnliche Aktivitäten ausführt.

  Empfohlene Aktion:

  • Untersuchen Sie die Registrierungsdetails der App zur App-Governance, und besuchen Sie Microsoft Entra ID, um weitere Informationen zu erhalten.
  • Wenden Sie sich an die Benutzer oder Administratoren, die der App ihre Zustimmung oder Berechtigungen erteilt haben. Überprüfen Sie, ob die Änderungen beabsichtigt waren.
  • Durchsuchen Sie die CloudAppEvents Advanced Hunting-Tabelle, um die App-Aktivität zu verstehen und zu ermitteln, ob das beobachtete Verhalten erwartet wird.
  • Überprüfen Sie, ob die App für Ihre organization wichtig ist, bevor Sie Kapselungsaktionen in Betracht ziehen. Deaktivieren Sie die App mithilfe von App-Governance oder Microsoft Entra ID, um den Zugriff auf Ressourcen zu verhindern. Vorhandene App-Governancerichtlinien haben die App möglicherweise bereits deaktiviert.

• FP: Wenn Sie bestätigen können, dass keine ungewöhnlichen Aktivitäten von der App ausgeführt wurden und dass die App im organization über eine legitime geschäftliche Nutzung verfügt.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von der App ausgeführten Aktivitäten.
2. Überprüfen Sie die Bereiche, die der App gewährt werden.
3. Überprüfen Sie die der App zugeordnete Benutzeraktivität.

App-Metadaten, die zuvor gekennzeichneten verdächtigen Apps zugeordnet sind

Schweregrad: Mittel

Diese Erkennung generiert Warnungen für Nicht-Microsoft OAuth-Apps mit Metadaten wie Name, URL oder Herausgeber, die zuvor in Apps beobachtet wurden, die aufgrund verdächtiger Aktivitäten von App-Governance gekennzeichnet wurden. Diese App kann Teil einer Angriffskampagne sein und an der Exfiltration vertraulicher Informationen beteiligt sein.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App von einer unbekannten Quelle bereitgestellt wird und ungewöhnliche Aktivitäten ausführt.

  Empfohlene Aktion:

  • Untersuchen Sie die Registrierungsdetails der App zur App-Governance, und besuchen Sie Microsoft Entra ID, um weitere Informationen zu erhalten.
  • Wenden Sie sich an die Benutzer oder Administratoren, die der App ihre Zustimmung oder Berechtigungen erteilt haben. Überprüfen Sie, ob die Änderungen beabsichtigt waren.
  • Durchsuchen Sie die CloudAppEvents Advanced Hunting-Tabelle, um die App-Aktivität zu verstehen und zu ermitteln, ob das beobachtete Verhalten erwartet wird.
  • Überprüfen Sie, ob die App für Ihre organization wichtig ist, bevor Sie Kapselungsaktionen in Betracht ziehen. Deaktivieren Sie die App mithilfe von App-Governance oder Microsoft Entra ID, um den Zugriff auf Ressourcen zu verhindern. Vorhandene App-Governancerichtlinien haben die App möglicherweise bereits deaktiviert.

• FP: Wenn Sie bestätigen können, dass keine ungewöhnlichen Aktivitäten von der App ausgeführt wurden und dass die App im organization über eine legitime geschäftliche Nutzung verfügt.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von der App ausgeführten Aktivitäten.
2. Überprüfen Sie die Bereiche, die der App gewährt werden.
3. Überprüfen Sie die der App zugeordnete Benutzeraktivität.

Verdächtige OAuth-App-E-Mail-Aktivität über Graph-API

Schweregrad: Hoch

Diese Erkennung generiert Warnungen für mehrinstanzenfähige OAuth-Apps, die von Benutzern mit einer Anmeldung mit hohem Risiko registriert wurden, die Aufrufe an Microsoft Graph-API gesendet haben, um verdächtige E-Mail-Aktivitäten innerhalb eines kurzen Zeitraums auszuführen.

Diese Erkennung überprüft, ob die API-Aufrufe für die Erstellung von Postfachregeln, das Erstellen einer Antwort-E-Mail, das Weiterleiten von E-Mails, antworten oder neue E-Mails gesendet wurden. Apps, die diese Warnung auslösen, senden möglicherweise aktiv Spam oder schädliche E-Mails an andere Ziele oder exfiltrieren vertrauliche Daten und löschen Spuren, um die Erkennung zu umgehen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die App-Erstellungs- und Zustimmungsanforderung an die App von einer unbekannten oder externen Quelle übermittelt wurde und die App keine legitime geschäftliche Verwendung im organization hat, wird ein richtig positives Ergebnis angezeigt.

  Empfohlene Aktion:

  • Wenden Sie sich an Benutzer und Administratoren, die dieser App ihre Zustimmung erteilt haben, um zu bestätigen, dass dies beabsichtigt war und die übermäßigen Berechtigungen normal sind.

  • Untersuchen Sie die App-Aktivität, und überprüfen Sie die betroffenen Konten auf verdächtige Aktivitäten.

  • Deaktivieren Sie basierend auf Ihrer Untersuchung die App, setzen Sie Kennwörter für alle betroffenen Konten an und setzen Sie sie zurück, und entfernen Sie die Posteingangsregel.

  • Klassifizieren Sie die Warnung als richtig positiv.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App im organization eine legitime geschäftliche Nutzung aufweist, wird ein falsch positives Ergebnis angezeigt.

  Empfohlene Aktion:

  • Klassifizieren Sie die Warnung als falsch positiv, und geben Sie basierend auf Ihrer Untersuchung der Warnung Feedback.

  • Verstehen des Umfangs der Sicherheitsverletzung:

    Überprüfen Sie die Zustimmungserteilungen für die Anwendung, die von Benutzern und Administratoren vorgenommen wurden. Untersuchen Sie alle Aktivitäten, die von der App ausgeführt werden, insbesondere den Zugriff auf das Postfach zugeordneter Benutzer und Administratorkonten. Wenn Sie vermuten, dass die App verdächtig ist, sollten Sie die Anwendung deaktivieren und die Anmeldeinformationen aller betroffenen Konten rotieren.

Verdächtige E-Mail-Aktivität der OAuth-App über die EWS-API

Schweregrad: Hoch

Diese Erkennung generiert Warnungen für mehrinstanzenfähige OAuth-Apps, die von Benutzern mit einer hoch riskanten Anmeldung registriert wurden, die Aufrufe an die Microsoft Exchange Web Services (EWS)-API gesendet haben, um verdächtige E-Mail-Aktivitäten innerhalb eines kurzen Zeitraums auszuführen.

Diese Erkennung überprüft, ob die API-Aufrufe vorgenommen wurden, um Posteingangsregeln zu aktualisieren, Elemente zu verschieben, E-Mails zu löschen, Ordner zu löschen oder Anlagen zu löschen. Apps, die diese Warnung auslösen, exfiltrieren oder löschen möglicherweise vertrauliche Daten und löschen Spuren, um die Erkennung zu umgehen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die App-Erstellungs- und Zustimmungsanforderung an die App von einer unbekannten oder externen Quelle übermittelt wurde und die App keine legitime geschäftliche Verwendung im organization hat, wird ein richtig positives Ergebnis angezeigt.

  Empfohlene Aktion:

  • Wenden Sie sich an Benutzer und Administratoren, die dieser App ihre Zustimmung erteilt haben, um zu bestätigen, dass dies beabsichtigt war und die übermäßigen Berechtigungen normal sind.

  • Untersuchen Sie die App-Aktivität, und überprüfen Sie die betroffenen Konten auf verdächtige Aktivitäten.

  • Deaktivieren Sie basierend auf Ihrer Untersuchung die App, setzen Sie Kennwörter für alle betroffenen Konten an und setzen Sie sie zurück, und entfernen Sie die Posteingangsregel.

  • Klassifizieren Sie die Warnung als richtig positiv.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App im organization eine legitime geschäftliche Verwendung aufweist, wird ein falsch positives Ergebnis angezeigt.

  Empfohlene Aktion:

  • Klassifizieren Sie die Warnung als falsch positiv, und geben Sie basierend auf Ihrer Untersuchung der Warnung Feedback.

  • Verstehen des Umfangs der Sicherheitsverletzung:

    Überprüfen Sie die Zustimmungserteilungen für die Anwendung, die von Benutzern und Administratoren vorgenommen wurden. Untersuchen Sie alle Aktivitäten, die von der App ausgeführt werden, insbesondere den Zugriff auf das Postfach zugeordneter Benutzer und Administratorkonten. Wenn Sie vermuten, dass die App verdächtig ist, sollten Sie die Anwendung deaktivieren und die Anmeldeinformationen aller betroffenen Konten rotieren.

Warnungen zur Rechteausweitung

OAuth-App mit verdächtigen Metadaten verfügt über Exchange-Berechtigung

Schweregrad: Mittel

MITRE-ID: T1078

Diese Warnung wird ausgelöst, wenn eine Branchen-App mit verdächtigen Metadaten über die Berechtigung zum Verwalten der Berechtigung für Exchange verfügt.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App von einer unbekannten Quelle übermittelt wird und verdächtige Metadatenmerkmale aufweist, wird ein richtig positives Signal angezeigt.

Empfohlene Aktion: Widerrufen Sie der App erteilte Einwilligungen, und deaktivieren Sie die App.

FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App in der Organisation für legitime geschäftliche Zwecke verwendet wird.

Empfohlene Aktion: Schließen Sie die Benachrichtigung

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von dieser App ausgeführten Aktivitäten.
2. Überprüfen Sie die Bereiche, die von der App gewährt wurden.
3. Überprüfen Sie die der App zugeordnete Benutzeraktivität.

Warnungen zur Umgehung der Verteidigung

App, die die Identität eines Microsoft-Logos annahm

Schweregrad: Mittel

Eine Nicht-Microsoft-Cloud-App verwendet ein Logo, das von einem Machine Learning-Algorithmus gefunden wurde, um einem Microsoft-Logo zu ähneln. Dies kann ein Versuch sein, die Identität von Microsoft-Softwareprodukten zu annehmen und als legitim zu erscheinen.

Hinweis

Mandantenadministratoren müssen ihre Zustimmung per Popup geben, damit erforderliche Daten außerhalb der aktuellen Compliancegrenze gesendet werden und Partnerteams innerhalb von Microsoft ausgewählt werden, um diese Bedrohungserkennung für Branchen-Apps zu aktivieren.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass das App-Logo eine Nachahmung eines Microsoft-Logos ist und das App-Verhalten verdächtig ist. 

  Empfohlene Aktion: Widerrufen Sie der App erteilte Einwilligungen, und deaktivieren Sie die App.

• FP: Wenn Sie bestätigen können, dass das App-Logo keine Nachahmung eines Microsoft-Logos ist oder keine ungewöhnlichen Aktivitäten von der App ausgeführt wurden. 

  Empfohlene Aktion: Schließen Sie die Benachrichtigung

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von der App ausgeführten Aktivitäten.
2. Überprüfen Sie die Bereiche, die der App gewährt werden.
3. Überprüfen Sie die der App zugeordnete Benutzeraktivität.

Die App ist einer typosquatierten Domäne zugeordnet.

Schweregrad: Mittel

Diese Erkennung generiert Warnungen für Nicht-Microsoft OAuth-Apps mit Herausgeberdomänen oder Umleitungs-URLs, die typosquatierte Versionen von Microsoft-Markennamen enthalten. Typosquatting wird im Allgemeinen verwendet, um Datenverkehr zu Websites zu erfassen, wenn Benutzer versehentlich URLs falsch eingeben, aber sie können auch verwendet werden, um die Identität beliebter Softwareprodukte und -dienste zu imitieren.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die Herausgeberdomäne oder Die Umleitungs-URL der App typosquatiert ist und sich nicht auf die wahre Identität der App bezieht.

  Empfohlene Aktion:

  • Untersuchen Sie die Registrierungsdetails der App zur App-Governance, und besuchen Sie Microsoft Entra ID, um weitere Informationen zu erhalten.
  • Überprüfen Sie die App auf andere Anzeichen von Spoofing oder Identitätswechsel und verdächtige Aktivitäten.
  • Überprüfen Sie, ob die App für Ihre organization wichtig ist, bevor Sie Kapselungsaktionen in Betracht ziehen. Deaktivieren Sie die App mithilfe von App-Governance, um den Zugriff auf Ressourcen zu verhindern. Vorhandene App-Governancerichtlinien haben die App möglicherweise bereits deaktiviert.

• FP: Wenn Sie bestätigen können, dass die Herausgeberdomäne und die Umleitungs-URL der App legitim sind. 

  Empfohlene Aktion: Klassifizieren Sie die Warnung als falsch positiv, und geben Sie feedback basierend auf Ihrer Untersuchung der Warnung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von der App ausgeführten Aktivitäten.
2. Überprüfen Sie die Bereiche, die der App gewährt werden.
3. Überprüfen Sie die der App zugeordnete Benutzeraktivität.

Zugriff auf Anmeldeinformationen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur möglicherweise versucht, vertrauliche Anmeldeinformationsdaten zu lesen, und besteht aus Techniken zum Stehlen von Anmeldeinformationen wie Kontonamen, Geheimnissen, Token, Zertifikaten und Kennwörtern in Ihrem organization.

Anwendung, die mehrere fehlgeschlagene KeyVault-Leseaktivität ohne Erfolg initiiert

Schweregrad: Mittel

MITRE-ID: T1078.004

Diese Erkennung identifiziert eine Anwendung in Ihrem Mandanten, die beobachtet wurde, wie mehrere Aufrufe von Leseaktionen an keyVault mithilfe der Azure Resource Manager-API in einem kurzen Intervall durchgeführt wurde, wobei nur Fehler und keine erfolgreiche Leseaktivität abgeschlossen wurden.

TP oder FP?

• TP: Wenn die App unbekannt ist oder nicht verwendet wird, ist die angegebene Aktivität potenziell verdächtig. Nach dem Überprüfen der verwendeten Azure-Ressource und dem Überprüfen der App-Verwendung im Mandanten kann es für die angegebene Aktivität erforderlich sein, dass die App deaktiviert wird. Dies ist in der Regel ein Beweis für eine mutmaßliche Enumerationsaktivität für die KeyVault-Ressource, um Zugriff auf Anmeldeinformationen für laterale Verschiebungen oder Rechteausweitung zu erhalten.

  Empfohlene Aktionen: Überprüfen Sie die Azure-Ressourcen, auf die von der Anwendung zugegriffen oder erstellt wurde, sowie alle kürzlich an der Anwendung vorgenommenen Änderungen. Wählen Sie basierend auf Ihrer Untersuchung aus, ob Sie den Zugriff auf diese App sperren möchten. Überprüfen Sie die von dieser App angeforderte Berechtigungsstufe und welche Benutzer Zugriff gewährt haben.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App im organization rechtmäßig ist.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie den Zugriff und die Aktivität der App.
2. Überprüfen Sie alle Aktivitäten, die die App seit ihrer Erstellung ausgeführt hat.
3. Überprüfen Sie die Bereiche, die von der App in Graph-API gewährt werden, und die Ihr in Ihrem Abonnement zugewiesene Rolle.
4. Überprüfen Sie alle Benutzer, die möglicherweise vor der Aktivität auf die App zugegriffen haben.

Ermittlungswarnungen

Von der App ausgeführte Laufwerkaufzählung

Schweregrad: Mittel

MITRE-ID: T1087

Diese Erkennung identifiziert eine OAuth-App, die vom ML-Modell erkannt wurde, weil sie eine Enumeration von OneDrive-Dateien mithilfe der Graph-API durchführt.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die Branchen-App ungewöhnliche Aktivitäten/Nutzung für OneDrive über die Graph-API ausgeführt hat.

  Empfohlene Aktion: Deaktivieren und entfernen Sie die App, und setzen Sie das Kennwort zurück.

• FP: Wenn Sie bestätigen können, dass keine ungewöhnlichen Aktivitäten von der App ausgeführt wurden.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von dieser App ausgeführten Aktivitäten.
2. Überprüfen Sie die Bereiche, die von der App gewährt wurden.
3. Überprüfen Sie die dieser App zugeordnete Benutzeraktivität.

Verdächtige Enumerationsaktivitäten, die mit Microsoft Graph PowerShell ausgeführt werden

Schweregrad: Mittel

MITRE-ID: T1087

Diese Erkennung identifiziert eine große Menge verdächtiger Enumerationsaktivitäten, die innerhalb kurzer Zeit über eine Microsoft Graph PowerShell-Anwendung ausgeführt werden.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass verdächtige/ungewöhnliche Enumerationsaktivitäten von der Microsoft Graph PowerShell-Anwendung ausgeführt wurden.

  Empfohlene Aktion Deaktivieren und entfernen Sie die Anwendung, und setzen Sie dann das Kennwort zurück.

• FP:Wenn Sie bestätigen können, dass von der Anwendung keine ungewöhnlichen Aktivitäten ausgeführt wurden.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von dieser Anwendung ausgeführten Aktivitäten.
2. Überprüfen Sie die dieser Anwendung zugeordnete Benutzeraktivität.

Kürzlich erstellte mehrinstanzenfähige Anwendung listet häufig Benutzerinformationen auf.

Schweregrad: Mittel

MITRE-ID: T1087

Diese Warnung findet OAuth-Apps, die vor kurzem in einem relativ neuen Herausgebermandanten registriert wurden, mit berechtigungen zum Ändern von Postfacheinstellungen und zum Zugreifen auf E-Mails. Es überprüft, ob die App zahlreiche Aufrufe an Microsoft Graph-API benutzerverzeichnisinformationen angefordert hat. Apps, die diese Warnung auslösen, locken möglicherweise Benutzer dazu, ihre Zustimmung zu erteilen, damit sie auf Organisationsdaten zugreifen können.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die Zustimmungsanforderung an die App von einer unbekannten oder externen Quelle übermittelt wurde und die App keine legitime geschäftliche Verwendung im organization hat, wird ein richtig positives Ergebnis angezeigt.

  Empfohlene Aktion:

  • Wenden Sie sich an Benutzer und Administratoren, die dieser App ihre Zustimmung erteilt haben, um zu bestätigen, dass dies beabsichtigt war und die übermäßigen Berechtigungen normal sind.
  • Untersuchen Sie die App-Aktivität, und überprüfen Sie die betroffenen Konten auf verdächtige Aktivitäten.
  • Deaktivieren Sie basierend auf Ihrer Untersuchung die App, und setzen Sie Kennwörter für alle betroffenen Konten an.
  • Klassifizieren Sie die Warnung als richtig positiv.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App im organization eine legitime geschäftliche Verwendung aufweist, wird ein falsch positives Ergebnis angezeigt.

  Empfohlene Aktion: Klassifizieren Sie die Warnung als falsch positiv, und geben Sie feedback basierend auf Ihrer Untersuchung der Warnung.

Verständnis des Umfangs der Sicherheitsverletzung

Überprüfen Sie die Zustimmungserteilungen für die Anwendung, die von Benutzern und Administratoren vorgenommen wurden. Untersuchen Sie alle Aktivitäten, die von der App ausgeführt werden, insbesondere die Enumeration von Benutzerverzeichnisinformationen. Wenn Sie vermuten, dass die App verdächtig ist, sollten Sie die Anwendung deaktivieren und die Anmeldeinformationen aller betroffenen Konten rotieren.

Exfiltrationswarnungen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur möglicherweise versucht, Daten zu stehlen, die für sein Ziel von Ihrem organization.

OAuth-App mit einem ungewöhnlichen Benutzer-Agent

Schweregrad: Niedrig

MITRE-ID: T1567

Diese Erkennung identifiziert eine OAuth-Anwendung, die einen ungewöhnlichen Benutzer-Agent für den Zugriff auf die Graph-API verwendet.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App kürzlich einen neuen Benutzer-Agent verwendet hat, der zuvor nicht verwendet wurde, und diese Änderung unerwartet ist, wird ein richtig positives Ergebnis angezeigt.

  Empfohlene Aktionen: Überprüfen Sie die verwendeten Benutzer-Agents und alle kürzlich an der Anwendung vorgenommenen Änderungen. Basierend auf Ihrer Untersuchung können Sie den Zugriff auf diese App sperren. Überprüfen Sie die Berechtigungsebene, welche diese App angefordert hat, und welche Benutzer den Zugriff gewährt haben.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App in der Organisation für legitime geschäftliche Zwecke verwendet wird.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie die kürzlich erstellten Apps und die verwendeten Benutzer-Agents.
2. Überprüfen Sie alle von dieser App ausgeführten Aktivitäten. 
3. Überprüfen Sie die Bereiche, die von der App gewährt wurden. 

App mit einem ungewöhnlichen Benutzer-Agent hat über Exchange-Webdienste auf E-Mail-Daten zugegriffen

Schweregrad: Hoch

MITRE-ID: T1114, T1567

Diese Erkennung identifiziert eine OAuth-App, die einen ungewöhnlichen Benutzer-Agent verwendet hat, um mithilfe der Exchange-Webdienst-API auf E-Mail-Daten zuzugreifen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass von der OAuth-Anwendung nicht erwartet wird, dass sie den Benutzer-Agent ändert, den sie zum Senden von Anforderungen an die Exchange-Webdienst-API verwendet, wird ein true positives angezeigt.

  Empfohlene Aktionen: Klassifizieren Sie die Warnung als TP. Basierend auf der Untersuchung können Sie einwilligungen widerrufen und die App im Mandanten deaktivieren, wenn die App böswillig ist. Wenn es sich um eine kompromittierte App handelt, können Sie die Zustimmungen widerrufen, die App vorübergehend deaktivieren, die Berechtigungen überprüfen, das Geheimnis und das Zertifikat zurücksetzen und dann die App erneut aktivieren.

• FP: Nach der Untersuchung können Sie bestätigen, dass der von der Anwendung verwendete Benutzer-Agent eine legitime geschäftliche Verwendung im organization hat.

  Empfohlene Aktion: Klassifizieren Sie die Warnung als FP. Erwägen Sie außerdem das Teilen von Feedback basierend auf Ihrer Untersuchung der Warnung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie, ob die Anwendung neu erstellt wurde oder kürzlich Änderungen daran vorgenommen wurden.
2. Überprüfen Sie die Berechtigungen, die der Anwendung und benutzern gewährt werden, die der Anwendung zugestimmt haben.
3. Überprüfen Sie alle von dieser App ausgeführten Aktivitäten.

Lateral Movement-Warnungen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur versucht, sich seitlich innerhalb verschiedener Ressourcen zu bewegen, während er mehrere Systeme und Konten durchläuft, um mehr Kontrolle in Ihrem organization zu erhalten.

Ruhende OAuth-App hauptsächlich MS Graph oder Exchange-Webdienste verwenden, die kürzlich auf ARM-Workloads zugreifen

Schweregrad: Mittel

MITRE-ID: T1078.004

Diese Erkennung identifiziert eine Anwendung in Ihrem Mandanten, die nach einer langen Zeitspanne ruhender Aktivitäten zum ersten Mal mit dem Zugriff auf die Azure Resource Manager-API begonnen hat. Bisher hatte diese Anwendung hauptsächlich MS Graph oder den Exchange-Webdienst verwendet.

TP oder FP?

• TP: Wenn die App unbekannt ist oder nicht verwendet wird, ist die angegebene Aktivität potenziell verdächtig und erfordert möglicherweise die Deaktivierung der App, nachdem die verwendete Azure-Ressource überprüft und die App-Nutzung im Mandanten überprüft wurde.

  Empfohlene Aktionen:

  1. Überprüfen Sie die Azure-Ressourcen, auf die von der Anwendung zugegriffen oder erstellt wurde, sowie alle kürzlich an der Anwendung vorgenommenen Änderungen.
  2. Überprüfen Sie die Berechtigungsebene, welche diese App angefordert hat, und welche Benutzer den Zugriff gewährt haben.
  3. Wählen Sie basierend auf Ihrer Untersuchung aus, ob Sie den Zugriff auf diese App sperren möchten.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App im organization rechtmäßig ist.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie den Zugriff und die Aktivität der App.
2. Überprüfen Sie alle Aktivitäten, die die App seit ihrer Erstellung ausgeführt hat.
3. Überprüfen Sie die Bereiche, die von der App in Graph-API gewährt werden, und die Ihr in Ihrem Abonnement zugewiesene Rolle.
4. Überprüfen Sie alle Benutzer, die möglicherweise vor der Aktivität auf die App zugegriffen haben.

Sammlungsbenachrichtigungen

In diesem Abschnitt werden Benachrichtigungen beschrieben, die darauf hinweisen, dass ein bösartiger Akteur möglicherweise versucht, in Ihrer Organisation die für sein Ziel interessanten Daten zu sammeln.

App hat ungewöhnliche E-Mail-Suchaktivitäten durchgeführt

Schweregrad: Mittel

MITRE-ID: T1114

Diese Erkennung erkennt, wenn eine App dem verdächtigen OAuth-Bereich zugestimmt hat und eine große Menge ungewöhnlicher E-Mail-Suchaktivitäten durchgeführt hat, z. B. die E-Mail-Suche nach bestimmten Inhalten über die Graph-API. Dies kann auf einen versuchten Verstoß gegen Ihre organization hindeuten, z. B. auf Angreifer, die versuchen, bestimmte E-Mails von Ihrem organization bis hin zu Graph-API zu durchsuchen und zu lesen. 

TP oder FP?

• TP: Wenn Sie eine große Anzahl ungewöhnlicher E-Mail-Such- und Leseaktivitäten über die Graph-API von einer OAuth-App mit einem verdächtigen OAuth-Bereich bestätigen können und dass die App von unbekannter Quelle bereitgestellt wird.

  Empfohlene Aktionen: Deaktivieren und entfernen Sie die App, setzen Sie das Kennwort zurück, und entfernen Sie die Posteingangsregel. 

• FP: Wenn Sie bestätigen können, dass die App eine große Anzahl ungewöhnlicher E-Mail-Suche durchgeführt und Graph-API aus legitimen Gründen gelesen hat.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie die Bereiche, die von der App gewährt wurden.
2. Überprüfen Sie alle von dieser App ausgeführten Aktivitäten. 

App hat anomale Graph-Aufrufe gemacht, um E-Mails zu lesen

Schweregrad: Mittel

MITRE-ID: T1114

Diese Erkennung identifiziert, wenn die Branchen (Line of Business, LOB)-OAuth-App über die Graph-API auf ein ungewöhnliches und hohes Volumen von E-Mail-Ordnern und -Nachrichten des Benutzers zugreift, was auf eine versuchte Sicherheitsverletzung in Ihrer Organisation hinweisen kann.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die ungewöhnliche Graph-Aktivität von der Branchen (Line of Business, LOB)-OAuth-App durchgeführt wurde, dann wird ein Wahr-Positiv angezeigt.

  Empfohlene Aktionen: Deaktivieren Sie die App vorübergehend, setzen Sie das Kennwort zurück, und aktivieren Sie die App dann erneut. Befolgen Sie das Tutorial zum Zurücksetzen eines Kennworts mithilfe von Microsoft Entra ID.

• FP: Wenn Sie bestätigen können, dass die App für ein ungewöhnlich hohes Volumen an Graph-Aufrufen vorgesehen ist.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie das Aktivitätsprotokoll auf Ereignisse, die von dieser App ausgeführt wurden, um ein besseres Verständnis für andere Aktivitäten von Graph zu erhalten, die E-Mails lesen und versuchen, vertrauliche E-Mail-Informationen der Benutzer zu sammeln.
2. Überwachen Sie, ob der App unerwartete Anmeldeinformationen hinzugefügt werden.

Die App erstellt eine Posteingangsregel und hat ungewöhnliche E-Mail-Suchaktivitäten durchgeführt.

Schweregrad: Mittel

MITRE-IDs: T1137, T1114

Diese Erkennung identifiziert die App, die dem Bereich mit hohen Berechtigungen zugestimmt hat, eine verdächtige Posteingangsregel erstellt undü über die Graph-API ungewöhnliche E-Mail-Suchaktivitäten in E-Mail-Ordnern von Benutzern durchgeführt hat. Dies kann auf den Versuch einer Sicherheitsverletzung in Ihrer Organisation hindeuten, z. B. durch Angreifer, die versuchen, über die Graph-API bestimmte E-Mails von Ihrer Organisation zu durchsuchen und zu sammeln.

TP oder FP?

• TP: Wenn Sie bestimmte E-Mail-Suchvorgänge und -Sammlungen bestätigen können, die über die Graph-API von einer OAuth-App mit hohem Berechtigungsbereich durchgeführt wurden, und die App von einer unbekannten Quelle geliefert wird.

  Empfohlene Aktion: Deaktivieren und entfernen Sie die App, setzen Sie das Kennwort zurück, und entfernen Sie die Posteingangsregel.

• FP: Wenn Sie bestätigen können, dass die App eine bestimmte E-Mail-Suche und -Sammlung über die Graph-API durchgeführt hat und aus legitimen Gründen eine Posteingangsregel für ein neues oder persönliches externes E-Mail-Konto erstellt hat.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von dieser App ausgeführten Aktivitäten.
2. Überprüfen Sie die Bereiche, die von der App gewährt wurden.
3. Überprüfen Sie alle von der App getätigten Aktionen zur Erstellung von Posteingangsregeln.
4. Überprüfen Sie alle von der App getätigten E-Mail-Suchaktionen.

Von der App erstellte OneDrive-/SharePoint-Suchaktivitäten und Erstellen einer Posteingangsregel

Schweregrad: Mittel

MITRE-ID's: T1137, T1213

Diese Erkennung identifiziert, dass eine App dem Bereich mit hohen Berechtigungen zugestimmt hat, eine verdächtige Posteingangsregel erstellt und über die Graph-API ungewöhnliche SharePoint- oder OneDrive-Suchaktivitäten durchgeführt hat. Dies kann auf den Versuch einer Sicherheitsverletzung in Ihrer Organisation hindeuten, z. B. durch Angreifer, die versuchen, über die Graph-API bestimmte Daten von SharePoint oder OneDrive von Ihrer Organisation zu durchsuchen und zu sammeln. 

TP oder FP?

• TP: Wenn Sie bestimmte Daten aus SharePoint oder OneDrive überprüfen können, die über Graph-API von einer OAuth-App mit hohem Berechtigungsbereich durchgeführt werden und die App von unbekannter Quelle bereitgestellt wird. 

  Empfohlene Aktion: Deaktivieren und entfernen Sie die App, setzen Sie das Kennwort zurück, und entfernen Sie die Posteingangsregel. 

• FP: Wenn Sie bestätigen können, dass die App bestimmte Daten aus SharePoint oder OneDrive über Graph-API von einer OAuth-App ausgeführt und aus legitimen Gründen eine Posteingangsregel für ein neues oder persönliches externes E-Mail-Konto erstellt hat. 

  Empfohlene Aktion: Schließen Sie die Benachrichtigung

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von dieser App ausgeführten Aktivitäten. 
2. Überprüfen Sie die Bereiche, die von der App gewährt wurden. 
3. Überprüfen Sie alle von der App getätigten Aktionen zur Erstellung von Posteingangsregeln. 
4. Überprüfen Sie alle von der App getätigten SharePoint- oder OneDrive-Suchaktionen.

App hat zahlreiche Suchvorgänge und Bearbeitungen in OneDrive vorgenommen

Schweregrad: Mittel

MITRE-IDs: T1137, T1213

Diese Erkennung identifiziert OAuth-Apps mit hohen Berechtigungen, die eine große Anzahl von Suchvorgängen und Bearbeitungen in OneDrive mithilfe von Graph-API ausführen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass eine hohe Nutzung der OneDrive-Workload über Graph-API von dieser OAuth-Anwendung mit hohen Berechtigungen zum Lesen und Schreiben auf OneDrive nicht erwartet wird, wird ein richtig positiver Wert angezeigt.

  Empfohlene Aktion: Basierend auf der Untersuchung können Sie einwilligungen widerrufen und die Anwendung im Mandanten deaktivieren, wenn die Anwendung böswillig ist. Wenn es sich um eine kompromittierte Anwendung handelt, können Sie die Einwilligungen widerrufen, die App vorübergehend deaktivieren, die erforderlichen Berechtigungen überprüfen, das Kennwort zurücksetzen und die App dann erneut aktivieren.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App in der Organisation für legitime geschäftliche Zwecke verwendet wird.

  Empfohlene Aktion: Lösen Sie die Warnung auf, und melden Sie Ihre Ergebnisse.

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie, ob die App aus einer zuverlässigen Quelle stammt.
2. Überprüfen Sie, ob die Anwendung neu erstellt wurde oder kürzlich Änderungen an der Anwendung vorgenommen wurden.
3. Überprüfen Sie die Berechtigungen, die der Anwendung und benutzern gewährt werden, die der Anwendung zugestimmt haben.
4. Untersuchen Sie alle anderen App-Aktivitäten.

Die App hat eine hohe Anzahl wichtiger E-Mails gelesen und eine Posteingangsregel erstellt.

Schweregrad: Mittel

MITRE-IDs: T1137, T1114

Diese Erkennung stellt fest, dass eine App einem hohen Berechtigungsbereich zugestimmt hat, erstellt eine verdächtige Posteingangsregel und führt über die Graph-API eine große Anzahl wichtiger E-Mail-Leseaktivitäten durch. Dies kann auf den Versuch einer Sicherheitsverletzung in Ihrer Organisation hindeuten, z. B. von Angreifern, die versuchen, E-Mails mit hoher Wichtigkeit aus Ihrer Organisation über die Graph-API zu lesen. 

TP oder FP?

• TP: Wenn Sie bestätigen können, dass viele wichtige E-Mails von einer OAuth-App mit hohem Berechtigungsbereich gelesen Graph-API und die App von unbekannter Quelle übermittelt wird. 

  Empfohlene Aktion: Deaktivieren und entfernen Sie die App, setzen Sie das Kennwort zurück, und entfernen Sie die Posteingangsregel. 

• FP: Wenn Sie bestätigen können, dass die App eine große Menge wichtiger E-Mails ausgeführt hat, die Graph-API gelesen und aus legitimen Gründen eine Posteingangsregel für ein neues oder persönliches externes E-Mail-Konto erstellt hat. 

  Empfohlene Aktion: Schließen Sie die Benachrichtigung

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von dieser App ausgeführten Aktivitäten. 
2. Überprüfen Sie die Bereiche, die von der App gewährt wurden. 
3. Überprüfen Sie alle von der App getätigten Aktionen zur Erstellung von Posteingangsregeln. 
4. Überprüfen Sie alle Leseaktivitäten mit hoher Wichtigkeit, die von der App durchgeführt wurden.

Privilegierte App hat ungewöhnliche Aktivitäten in Teams ausgeführt

Schweregrad: Mittel

Diese Erkennung identifiziert Apps, die OAuth-Bereichen mit hohen Berechtigungen zugestimmt haben, die auf Microsoft Teams zugegriffen haben und eine ungewöhnliche Menge an Aktivitäten zum Lesen oder Posten von Chatnachrichten über Graph-API. Dies kann auf einen versuchten Verstoß gegen Ihre organization hinweisen, z. B. auf Angreifer, die versuchen, Informationen von Ihrem organization über Graph-API zu sammeln.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass ungewöhnliche Chatnachrichtenaktivitäten in Microsoft Teams über Graph-API von einer OAuth-App mit einem bereich mit hohen Berechtigungen und die App von einer unbekannten Quelle übermittelt wird.

  Empfohlene Aktion: Deaktivieren und Entfernen der App und Zurücksetzen des Kennworts

• FP: Wenn Sie bestätigen können, dass die ungewöhnlichen Aktivitäten, die in Microsoft Teams über Graph-API aus legitimen Gründen durchgeführt wurden.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie die Bereiche, die von der App gewährt wurden.
2. Überprüfen Sie alle von dieser App ausgeführten Aktivitäten.
3. Überprüfen Sie die der App zugeordnete Benutzeraktivität.

Anomale OneDrive-Aktivität nach App, die gerade neue Anmeldeinformationen aktualisiert oder hinzugefügt hat

Schweregrad: Mittel

MITRE-IDs: T1098.001, T1213

Eine Nicht-Microsoft-Cloud-App hat anomale Graph-API Aufrufe an OneDrive ausgeführt, einschließlich der datenintensiven Datennutzung. Diese ungewöhnlichen API-Aufrufe wurden vom maschinellen Lernen erkannt und innerhalb weniger Tage ausgeführt, nachdem die App neue oder vorhandene Zertifikate/Geheimnisse hinzugefügt oder aktualisiert hatte. Diese App kann an der Datenexfiltration oder an anderen Versuchen beteiligt sein, auf vertrauliche Informationen zuzugreifen und diese abzurufen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass ungewöhnliche Aktivitäten, z. B. eine hohe Auslastung der OneDrive-Workload, von der App über Graph-API ausgeführt wurden.

  Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Kennwort zurück, und aktivieren Sie die App dann erneut.

• FP: Sie können bestätigen, dass keine ungewöhnlichen Aktivitäten von der App ausgeführt wurden oder dass die App eine ungewöhnlich hohe Anzahl von Graph-Aufrufen durchführen soll.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von der App ausgeführten Aktivitäten.
2. Überprüfen Sie die Bereiche, die von der App gewährt wurden.
3. Überprüfen Sie die der App zugeordnete Benutzeraktivität.

Anomale SharePoint-Aktivität nach App, die gerade neue Anmeldeinformationen aktualisiert oder hinzugefügt hat

Schweregrad: Mittel

MITRE-IDs: T1098.001, T1213.002

Eine Nicht-Microsoft-Cloud-App hat anomale Graph-API Aufrufe an SharePoint ausgeführt, einschließlich der datenintensiven Datennutzung. Diese ungewöhnlichen API-Aufrufe wurden vom maschinellen Lernen erkannt und innerhalb weniger Tage ausgeführt, nachdem die App neue oder vorhandene Zertifikate/Geheimnisse hinzugefügt oder aktualisiert hatte. Diese App kann an der Datenexfiltration oder an anderen Versuchen beteiligt sein, auf vertrauliche Informationen zuzugreifen und diese abzurufen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass ungewöhnliche Aktivitäten, z. B. die verwendung von SharePoint-Workloads mit hohem Volumen, von der App über Graph-API ausgeführt wurden.

  Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Kennwort zurück, und aktivieren Sie die App dann erneut.

• FP: Sie können bestätigen, dass keine ungewöhnlichen Aktivitäten von der App ausgeführt wurden oder dass die App eine ungewöhnlich hohe Anzahl von Graph-Aufrufen durchführen soll.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von der App ausgeführten Aktivitäten.
2. Überprüfen Sie die Bereiche, die von der App gewährt wurden.
3. Überprüfen Sie die der App zugeordnete Benutzeraktivität.

App-Metadaten, die verdächtigen E-Mail-Aktivitäten zugeordnet sind

Schweregrad: Mittel

MITRE-IDs: T1114

Diese Erkennung generiert Warnungen für Nicht-Microsoft OAuth-Apps mit Metadaten wie Name, URL oder Herausgeber, die zuvor in Apps mit verdächtigen E-Mail-Aktivitäten beobachtet wurden. Diese App kann Teil einer Angriffskampagne sein und an der Exfiltration vertraulicher Informationen beteiligt sein.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die App Postfachregeln erstellt oder eine große Anzahl ungewöhnlicher Graph-API Aufrufe an die Exchange-Workload vorgenommen hat.

  Empfohlene Aktion:

  • Untersuchen Sie die Registrierungsdetails der App zur App-Governance, und besuchen Sie Microsoft Entra ID, um weitere Informationen zu erhalten.
  • Wenden Sie sich an die Benutzer oder Administratoren, die der App ihre Zustimmung oder Berechtigungen erteilt haben. Überprüfen Sie, ob die Änderungen beabsichtigt waren.
  • Durchsuchen Sie die CloudAppEvents Advanced Hunting-Tabelle, um die App-Aktivität zu verstehen und Daten zu identifizieren, auf die die App zugreift. Überprüfen Sie betroffene Postfächer, und überprüfen Sie Nachrichten, die möglicherweise von der App selbst gelesen oder weitergeleitet wurden, oder von regeln, die sie erstellt hat.
  • Überprüfen Sie, ob die App für Ihre organization wichtig ist, bevor Sie Kapselungsaktionen in Betracht ziehen. Deaktivieren Sie die App mithilfe von App-Governance oder Microsoft Entra ID, um den Zugriff auf Ressourcen zu verhindern. Vorhandene App-Governancerichtlinien haben die App möglicherweise bereits deaktiviert.

• FP: Wenn Sie bestätigen können, dass keine ungewöhnlichen Aktivitäten von der App ausgeführt wurden und dass die App im organization über eine legitime geschäftliche Nutzung verfügt.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von der App ausgeführten Aktivitäten.
2. Überprüfen Sie die Bereiche, die der App gewährt werden.
3. Überprüfen Sie die der App zugeordnete Benutzeraktivität.

App mit EWS-Anwendungsberechtigungen, die auf zahlreiche E-Mails zugreifen

Schweregrad: Mittel

MITRE-IDs: T1114

Diese Erkennung generiert Warnungen für mehrinstanzenfähige Cloud-Apps mit EWS-Anwendungsberechtigungen, was einen erheblichen Anstieg der Aufrufe an die Exchange-Webdienst-API zeigt, die spezifisch für die E-Mail-Enumeration und -Sammlung sind. Diese App kann am Zugriff auf und Abrufen vertraulicher E-Mail-Daten beteiligt sein.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die App auf vertrauliche E-Mail-Daten zugegriffen oder eine große Anzahl ungewöhnlicher Aufrufe an die Exchange-Workload gesendet hat.

  Empfohlene Aktion:

  • Untersuchen Sie die Registrierungsdetails der App zur App-Governance, und besuchen Sie Microsoft Entra ID, um weitere Informationen zu erhalten.
  • Wenden Sie sich an die Benutzer oder Administratoren, die der App ihre Zustimmung oder Berechtigungen erteilt haben. Überprüfen Sie, ob die Änderungen beabsichtigt waren.
  • Durchsuchen Sie die CloudAppEvents Advanced Hunting-Tabelle, um die App-Aktivität zu verstehen und Daten zu identifizieren, auf die die App zugreift. Überprüfen Sie betroffene Postfächer, und überprüfen Sie Nachrichten, die möglicherweise von der App selbst gelesen oder weitergeleitet wurden, oder von regeln, die sie erstellt hat.
  • Überprüfen Sie, ob die App für Ihre organization wichtig ist, bevor Sie Kapselungsaktionen in Betracht ziehen. Deaktivieren Sie die App mithilfe von App-Governance oder Microsoft Entra ID, um den Zugriff auf Ressourcen zu verhindern. Vorhandene App-Governancerichtlinien haben die App möglicherweise bereits deaktiviert.

• FP: Wenn Sie bestätigen können, dass keine ungewöhnlichen Aktivitäten von der App ausgeführt wurden und dass die App im organization über eine legitime geschäftliche Nutzung verfügt.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von der App ausgeführten Aktivitäten.
2. Überprüfen Sie die Bereiche, die der App gewährt werden.
3. Überprüfen Sie die der App zugeordnete Benutzeraktivität.

Nicht verwendete App, die auf APIs neu zugreift

Schweregrad: Mittel

MITRE-IDs: T1530

Diese Erkennung generiert Warnungen für eine mehrinstanzenfähige Cloud-App, die seit einer Weile inaktiv ist und kürzlich API-Aufrufe durchführt. Diese App kann von einem Angreifer kompromittiert werden und verwendet werden, um auf vertrauliche Daten zuzugreifen und diese abzurufen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die App auf vertrauliche Daten zugegriffen hat oder eine große Anzahl ungewöhnlicher Aufrufe an Microsoft Graph-, Exchange- oder Azure Resource Manager-Workloads durchgeführt hat.

  Empfohlene Aktion:

  • Untersuchen Sie die Registrierungsdetails der App zur App-Governance, und besuchen Sie Microsoft Entra ID, um weitere Informationen zu erhalten.
  • Wenden Sie sich an die Benutzer oder Administratoren, die der App ihre Zustimmung oder Berechtigungen erteilt haben. Überprüfen Sie, ob die Änderungen beabsichtigt waren.
  • Durchsuchen Sie die CloudAppEvents Advanced Hunting-Tabelle, um die App-Aktivität zu verstehen und Daten zu identifizieren, auf die die App zugreift. Überprüfen Sie betroffene Postfächer, und überprüfen Sie Nachrichten, die möglicherweise von der App selbst gelesen oder weitergeleitet wurden, oder von regeln, die sie erstellt hat.
  • Überprüfen Sie, ob die App für Ihre organization wichtig ist, bevor Sie Kapselungsaktionen in Betracht ziehen. Deaktivieren Sie die App mithilfe von App-Governance oder Microsoft Entra ID, um den Zugriff auf Ressourcen zu verhindern. Vorhandene App-Governancerichtlinien haben die App möglicherweise bereits deaktiviert.

• FP: Wenn Sie bestätigen können, dass keine ungewöhnlichen Aktivitäten von der App ausgeführt wurden und dass die App im organization über eine legitime geschäftliche Nutzung verfügt.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung

Verständnis des Umfangs der Sicherheitsverletzung

1. Überprüfen Sie alle von der App ausgeführten Aktivitäten.
2. Überprüfen Sie die Bereiche, die der App gewährt werden.
3. Überprüfen Sie die der App zugeordnete Benutzeraktivität.

Auswirkungswarnungen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur möglicherweise versucht, Ihre Systeme und Daten aus Ihrem organization zu manipulieren, zu unterbrechen oder zu zerstören.

Entra Line-of-Business-App, die eine anormale Spitze bei der Erstellung virtueller Computer initiiert

Schweregrad: Mittel

MITRE-ID: T1496

Diese Erkennung identifiziert eine neue OAuth-Anwendung mit einem einzelnen Mandanten, die mithilfe der Azure Resource Manager-API einen Großteil von Azure Virtual Machines in Ihrem Mandanten erstellt.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App kürzlich erstellt wurde und eine große Anzahl von Virtual Machines in Ihrem Mandanten erstellt, wird ein richtig positives Ergebnis angezeigt.

  Empfohlene Aktionen: Überprüfen Sie die erstellten virtuellen Computer und alle zuletzt an der Anwendung vorgenommenen Änderungen. Basierend auf Ihrer Untersuchung können Sie den Zugriff auf diese App sperren. Überprüfen Sie die Berechtigungsebene, welche diese App angefordert hat, und welche Benutzer den Zugriff gewährt haben.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App in der Organisation für legitime geschäftliche Zwecke verwendet wird.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verstehen des Umfangs der Sicherheitsverletzung:

1. Überprüfen Sie die Apps, die kürzlich und VMs erstellt wurden.
2. Überprüfen Sie alle Aktivitäten, die die App seit ihrer Erstellung ausgeführt hat.
3. Überprüfen Sie die Bereiche, die von der App in Graph-API und ihr in Ihrem Abonnement gewährt wurden.

Die OAuth-App mit hohen Bereichsberechtigungen in Microsoft Graph wurde beim Initiieren der Erstellung virtueller Computer beobachtet.

Schweregrad: Mittel

MITRE-ID: T1496

Diese Erkennung identifiziert die OAuth-Anwendung, die einen Großteil von Azure Virtual Machines in Ihrem Mandanten mithilfe der Azure Resource Manager-API erstellt, während vor der Aktivität über MS Graph-API über hohe Berechtigungen im Mandanten verfügt.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App mit hohen Berechtigungsbereichen erstellt wurde und eine große Anzahl von Virtual Machines in Ihrem Mandanten erstellt, wird ein true positiver Wert angezeigt.

  Empfohlene Aktionen: Überprüfen Sie die erstellten virtuellen Computer und alle zuletzt an der Anwendung vorgenommenen Änderungen. Basierend auf Ihrer Untersuchung können Sie den Zugriff auf diese App sperren. Überprüfen Sie die Berechtigungsebene, welche diese App angefordert hat, und welche Benutzer den Zugriff gewährt haben.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App in der Organisation für legitime geschäftliche Zwecke verwendet wird.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verstehen des Umfangs der Sicherheitsverletzung:

1. Überprüfen Sie die Apps, die kürzlich und VMs erstellt wurden.
2. Überprüfen Sie alle Aktivitäten, die die App seit ihrer Erstellung ausgeführt hat.
3. Überprüfen Sie die Bereiche, die von der App in Graph-API und ihr in Ihrem Abonnement gewährt wurden.

Nächste Schritte

Verwalten von App-Governancewarnungen