Untersuchen vordefinierter App-Richtlinienwarnungen

App-Governance bietet vordefinierte App-Richtlinienwarnungen für anomale Aktivitäten. Der Zweck dieses Leitfadens ist es, Ihnen allgemeine und praktische Informationen zu jeder Benachrichtigung zu geben, um Sie bei Ihren Untersuchungs- und Behebungsaufgaben zu unterstützen.

In diesem Leitfaden eingeschlossen sind allgemeine Informationen über die Bedingungen für das Auslösen von Benachrichtigungen. Da vordefinierte Richtlinien von Natur aus nicht deterministisch sind, werden sie nur ausgelöst, wenn ein Verhalten vorliegt, das von der Norm abweicht.

Tipp

Einige Warnungen befinden sich möglicherweise in der Vorschauphase. Überprüfen Sie daher regelmäßig die aktualisierten Warnungsstatus.

Klassifizierungen der Sicherheitsbenachrichtigungen

Nach einer ordnungsgemäßen Untersuchung können alle App-Governance-Warnungen in einen der folgenden Aktivitätstypen klassifiziert werden:

• True Positive (TP): Eine Warnung zu einer bestätigten schädlichen Aktivität.
• Gutartige wahr positive (B-TP): Eine Warnung bei verdächtigen, aber nicht schädlichen Aktivitäten, z. B. einem Penetrationstest oder einer anderen autorisierten verdächtigen Aktion.
• Falsch positiv (False Positive, FP): Eine Warnung bei einer nicht bösartigen Aktivität.

Allgemeine Untersuchungsschritte

Verwenden Sie die folgende allgemeine Richtlinie, wenn Sie eine beliebige Art von Benachrichtigung untersuchen, um ein besseres Verständnis der potenziellen Bedrohung zu erhalten, bevor Sie die empfohlene Maßnahme anwenden.

1. Überprüfen Sie den Schweregrad der App und vergleichen Sie ihn mit dem Rest der Apps in Ihrem Mandanten. Mit dieser Überprüfung können Sie ermitteln, welche Apps in Ihrem Mandanten ein höheres Risiko darstellen.

2. Wenn Sie ein TP identifizieren, überprüfen Sie alle App-Aktivitäten, um ein Verständnis der Auswirkungen zu erhalten. Überprüfen Sie beispielsweise die folgenden App-Informationen:

   • Bereiche mit gewährtem Zugriff
   • Ungewohntes Verhalten
   • IP-Adresse und Standort

Vordefinierte App-Richtlinienwarnungen

Dieser Abschnitt enthält Informationen zu jeder vordefinierten Richtlinienwarnung sowie Schritte zur Untersuchung und Korrektur.

Erhöhung der Datennutzung durch eine überprivilegierte oder hoch privilegierte App

Schweregrad: Mittel

Suchen Sie Apps mit leistungsstarken oder nicht verwendeten Berechtigungen, die durch Graph-API plötzliche Zunahmen der Datennutzung aufweisen. Ungewöhnliche Änderungen bei der Datennutzung können auf eine Kompromittierung hinweisen.

TP oder FP?

Um festzustellen, ob es sich bei der Warnung um ein true positives (TP) oder ein falsch positives Ergebnis (False Positive, FP) handelt, überprüfen Sie alle aktivitäten, die von der App ausgeführt werden, bereiche, die der App gewährt wurden, und benutzeraktivität, die der App zugeordnet sind.

• TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass der Anstieg der Datennutzung durch eine überprivilegierte oder hoch privilegierte App unregelmäßig oder potenziell böswillig ist.

  Empfohlene Aktion: Wenden Sie sich an Benutzer zu den App-Aktivitäten, die den Anstieg der Datennutzung verursacht haben. Deaktivieren Sie die App vorübergehend, setzen Sie das Kennwort zurück, und aktivieren Sie die App dann erneut.

• FP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die erkannte App-Aktivität beabsichtigt ist und eine legitime geschäftliche Verwendung im organization hat.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Ungewöhnliche Aktivität von einer App mit Zustimmung des Prioritätskontos

Schweregrad: Mittel

Finden Sie ungewöhnliche Zunahmen bei der Datennutzung oder Graph-API Zugriffsfehler, die bei Apps auftreten, denen ein Prioritätskonto die Zustimmung erteilt hat.

TP oder FP?

Überprüfen Sie alle aktivitäten, die von der App ausgeführt werden, bereiche, die der App gewährt wurden, und benutzeraktivitäten, die der App zugeordnet sind.

• TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die Zunahme von Datennutzungs- oder API-Zugriffsfehlern durch eine App mit Zustimmung eines Prioritätskontos hochgradig unregelmäßig oder potenziell böswillig ist.

  Empfohlene Aktion: Wenden Sie sich an Prioritätskontobenutzer über die App-Aktivitäten, die die Zunahme der Datennutzung oder API-Zugriffsfehler verursacht haben. Deaktivieren Sie die App vorübergehend, setzen Sie das Kennwort zurück, und aktivieren Sie die App dann erneut.

• FP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die erkannte App-Aktivität beabsichtigt ist und eine legitime geschäftliche Verwendung im organization hat.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Neue App mit niedriger Zustimmungsrate

Schweregrad: Mittel

Zustimmungsanforderungen von einer neu erstellten App wurden häufig von Benutzern abgelehnt. Benutzer lehnen in der Regel Zustimmungsanforderungen von Apps ab, die ein unerwartetes Verhalten aufweisen oder von einer nicht vertrauenswürdigen Quelle empfangen wurden. Apps mit niedrigen Zustimmungsraten sind eher riskant oder böswillig.

TP oder FP?

Überprüfen Sie alle aktivitäten, die von der App ausgeführt werden, bereiche, die der App gewährt wurden, und benutzeraktivitäten, die der App zugeordnet sind.

• TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die App aus einer unbekannten Quelle stammt und ihre Aktivitäten hochgradig unregelmäßig oder potenziell böswillig waren.

  Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Kennwort zurück, und aktivieren Sie die App dann erneut.

• FP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die erkannte App-Aktivität legitim ist.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Spitze in Graph-API Anrufen an OneDrive

Schweregrad: Mittel

Eine Cloud-App zeigte einen erheblichen Anstieg der Graph-API Aufrufe an OneDrive. Diese App kann an der Datenexfiltration oder an anderen Versuchen beteiligt sein, auf vertrauliche Daten zuzugreifen und diese abzurufen.

TP oder FP?

Überprüfen Sie alle aktivitäten, die von der App ausgeführt werden, bereiche, die der App gewährt wurden, und benutzeraktivitäten, die der App zugeordnet sind.

• TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass hochgradig unregelmäßige, potenziell böswillige Aktivitäten zu dem erkannten Anstieg der OneDrive-Nutzung geführt haben.

  Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Kennwort zurück, und aktivieren Sie die App dann erneut.

• FP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die erkannte App-Aktivität legitim ist.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Spitze in Graph-API Aufrufen von SharePoint

Schweregrad: Mittel

Eine Cloud-App zeigte einen erheblichen Anstieg der Graph-API Aufrufe an SharePoint. Diese App kann an der Datenexfiltration oder an anderen Versuchen beteiligt sein, auf vertrauliche Daten zuzugreifen und diese abzurufen.

TP oder FP?

Überprüfen Sie alle aktivitäten, die von der App ausgeführt werden, bereiche, die der App gewährt wurden, und benutzeraktivitäten, die der App zugeordnet sind.

• TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass hochgradig unregelmäßige, potenziell schädliche Aktivitäten zu dem erkannten Anstieg der SharePoint-Nutzung geführt haben.

  Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Kennwort zurück, und aktivieren Sie die App dann erneut.

• FP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die erkannte App-Aktivität legitim ist.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Spitze bei Graph-API an Exchange getätigten Anrufen

Schweregrad: Mittel

Eine Cloud-App zeigte einen deutlichen Anstieg der Graph-API Aufrufe an Exchange. Diese App kann an der Datenexfiltration oder an anderen Versuchen beteiligt sein, auf vertrauliche Daten zuzugreifen und diese abzurufen.

TP oder FP?

Überprüfen Sie alle aktivitäten, die von der App ausgeführt werden, bereiche, die der App gewährt wurden, und benutzeraktivitäten, die der App zugeordnet sind.

• TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass hochgradig unregelmäßige, potenziell böswillige Aktivitäten zu dem erkannten Anstieg der Exchange-Nutzung geführt haben.

  Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Kennwort zurück, und aktivieren Sie die App dann erneut.

• FP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die erkannte App-Aktivität legitim ist.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Verdächtige App mit Zugriff auf mehrere Microsoft 365-Dienste

Schweregrad: Mittel

Suchen Sie Apps mit OAuth-Zugriff auf mehrere Microsoft 365-Dienste, die nach einem Zertifikat- oder Geheimnisupdate statistisch anomale Graph-API Aktivitäten gezeigt haben. Indem Sie diese Apps identifizieren und auf Kompromittierung überprüfen, können Sie laterale Verschiebungen, Datenexfiltration und andere schädliche Aktivitäten verhindern, die Cloudordner, E-Mails und andere Dienste durchlaufen.

TP oder FP?

Überprüfen Sie alle aktivitäten, die von der App ausgeführt werden, bereiche, die der App gewährt wurden, und benutzeraktivitäten, die der App zugeordnet sind.

• TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die Updates für App-Zertifikate oder -Geheimnisse und andere App-Aktivitäten hochgradig unregelmäßig oder potenziell böswillig waren.

  Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Kennwort zurück, und aktivieren Sie die App dann erneut.

• FP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die erkannte App-Aktivität legitim ist.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Große Anzahl von Aktivitäten zur Erstellung von Posteingangsregeln durch eine App

Schweregrad: Mittel

Eine App hat viele Graph-API Aufrufe ausgeführt, um Exchange-Posteingangsregeln zu erstellen. Diese App kann an der Sammlung und Exfiltration von Daten oder an anderen Versuchen beteiligt sein, auf vertrauliche Informationen zuzugreifen und diese abzurufen.

TP oder FP?

Überprüfen Sie alle aktivitäten, die von der App ausgeführt werden, bereiche, die der App gewährt wurden, und benutzeraktivitäten, die der App zugeordnet sind.

• TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die Erstellung von Posteingangsregeln und anderen Aktivitäten hochgradig unregelmäßig oder potenziell böswillig war.

  Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Kennwort zurück, und aktivieren Sie die App dann erneut.

• FP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die erkannte App-Aktivität legitim ist.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Große Anzahl von E-Mail-Suchaktivitäten durch eine App

Schweregrad: Mittel

Eine App hat eine große Anzahl von Graph-API Aufrufen zum Durchsuchen von Exchange-E-Mail-Inhalten ausgeführt. Diese App kann an der Datensammlung oder an anderen Versuchen beteiligt sein, auf vertrauliche Informationen zuzugreifen und diese abzurufen.

TP oder FP?

Überprüfen Sie alle aktivitäten, die von der App ausgeführt werden, bereiche, die der App gewährt wurden, und benutzeraktivitäten, die der App zugeordnet sind.

• TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die Inhaltssuchen in Exchange und anderen Aktivitäten hochgradig unregelmäßig oder potenziell böswillig waren.

  Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Kennwort zurück, und aktivieren Sie die App dann erneut.

• FP: Sie können bestätigen, dass keine ungewöhnlichen E-Mail-Suchaktivitäten von der App ausgeführt wurden oder dass die App ungewöhnliche E-Mail-Suchaktivitäten über Graph-API durchführen soll.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Große Anzahl von E-Mail-Sendeaktivitäten durch eine App

Schweregrad: Mittel

Eine App hat eine große Anzahl von Graph-API Anrufen ausgeführt, um E-Mail-Nachrichten mithilfe von Exchange Online zu senden. Diese App kann an der Sammlung und Exfiltration von Daten oder an anderen Versuchen beteiligt sein, auf vertrauliche Informationen zuzugreifen und diese abzurufen.

TP oder FP?

Überprüfen Sie alle aktivitäten, die von der App ausgeführt werden, bereiche, die der App gewährt wurden, und benutzeraktivitäten, die der App zugeordnet sind.

• TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass das Senden von E-Mail-Nachrichten und anderen Aktivitäten hochgradig unregelmäßig oder potenziell böswillig war.

  Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Kennwort zurück, und aktivieren Sie die App dann erneut.

• FP: Wenn Sie bestätigen können, dass keine ungewöhnlichen E-Mail-Sendeaktivitäten von der App ausgeführt wurden oder dass die App ungewöhnliche E-Mail-Sendeaktivitäten über Graph-API durchführen soll.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Zugriff auf vertrauliche Daten

Schweregrad: Mittel

Suchen Sie Apps, die auf vertrauliche Daten zugreifen, die durch bestimmte vertraulichkeitsbezogene Bezeichnungen identifiziert werden.

TP oder FP?

Überprüfen Sie die Ressourcen, auf die die App zugreift, um festzustellen, ob es sich bei der Warnung um ein true positives (TP) oder ein falsch positives (False Positive, FP) handelt.

• TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die App oder die erkannte Aktivität unregelmäßig oder potenziell böswillig ist.

  Empfohlene Aktion: Verhindern Sie, dass die App auf Ressourcen zugreift, indem Sie sie von Microsoft Entra ID deaktivieren.

• FP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die App im organization rechtmäßig verwendet wird und die erkannte Aktivität erwartet wurde.

  Empfohlene Aktion: Schließen Sie die Benachrichtigung.

Nächste Schritte

Informationen zu Erkennung und Behebung von App-Bedrohungen