Investigación de alertas de detección de amenazas de gobernanza de aplicaciones

La gobernanza de aplicaciones proporciona detecciones de seguridad y alertas para actividades malintencionadas. En este artículo se enumeran los detalles de cada alerta que puede ayudar a su investigación y corrección, incluidas las condiciones para desencadenar alertas. Dado que las detecciones de amenazas son no deterministas por naturaleza, solo se desencadenan cuando hay un comportamiento que se desvía de la norma.

Para obtener más información, consulte Gobernanza de aplicaciones en Microsoft Defender for Cloud Apps

Nota:

Las detecciones de amenazas de gobernanza de aplicaciones se basan en el recuento de actividades en datos que son transitorios y que pueden no almacenarse, por lo que las alertas pueden proporcionar el número de actividades o indicaciones de picos, pero no necesariamente todos los datos pertinentes. Específicamente para las aplicaciones de OAuth Graph API actividades, el inquilino puede auditar las propias actividades mediante Log Analytics y Sentinel.

Para más información, consulte:

• Acceso a los registros de actividad de Microsoft Graph
• Análisis de registros de actividad mediante Log Analytics

Pasos generales de la investigación

Búsqueda de alertas relacionadas con la gobernanza de aplicaciones

Para buscar alertas relacionadas específicamente con la gobernanza de aplicaciones, vaya a la página Alertas del portal XDR. En la lista de alertas, use el campo "Orígenes de servicio/detección" para filtrar las alertas. Establezca el valor de este campo en "Gobernanza de aplicaciones" para ver todas las alertas generadas por La gobernanza de aplicaciones.

Instrucciones generales

Utilice las siguientes directrices generales cuando investigue cualquier tipo de alerta para obtener una comprensión más clara de la amenaza potencial antes de aplicar la acción recomendada.

• Revise el nivel de gravedad de la aplicación y compárelo con el resto de aplicaciones en su inquilino. Esta revisión le ayuda a identificar qué aplicaciones del inquilino suponen un mayor riesgo.

• Si identifica un TP, revise todas las actividades de la aplicación para comprender el impacto. Por ejemplo, revise la siguiente información de la aplicación:

  • Ámbitos de acceso concedidos
  • Comportamiento inusual
  • Dirección IP y ubicación

Clasificación de las alertas de seguridad

Tras una investigación adecuada, todas las alertas de gobernanza de aplicaciones pueden clasificarse como uno de los siguientes tipos de actividad:

• Verdadero positivo (TP): una alerta sobre una actividad malintencionada confirmada.
• Verdadero positivo benigno (B-TP): una alerta sobre actividades sospechosas pero no malintencionadas, como una prueba de penetración u otra acción sospechosa autorizada.
• Falso positivo (FP): una alerta sobre una actividad no malintencionada.

MITRE ATT&CK

Para facilitar la relación entre las alertas de gobernanza de aplicaciones y la conocida matriz ATT&CK de MITRE, hemos clasificado las alertas según su correspondiente táctica ATT&CK de MITRE. Esta referencia adicional facilita la comprensión de la técnica de ataques sospechosos potencialmente en uso cuando se desencadena la alerta de gobernanza de aplicaciones.

Esta guía proporciona información sobre cómo investigar y solucionar las alertas de gobernanza de aplicaciones en las siguientes categorías.

• Acceso inicial
• Ejecución
• Persistencia
• Elevación de privilegios
• Evasión de defensa
• Acceso a credenciales
• Descubrimiento
• Movimiento lateral
• Colección
• Filtración
• Impacto

Alertas de acceso inicial

Esta sección describe las alertas que indican que una aplicación maliciosa puede estar intentando mantenerse en su organización.

La aplicación redirige a la dirección URL de phishing aprovechando la vulnerabilidad de redireccionamiento de OAuth

Gravedad: media

Esta detección identifica las aplicaciones de OAuth que redirigen a direcciones URL de suplantación de identidad mediante la explotación del parámetro de tipo de respuesta en la implementación de OAuth a través de Microsoft Graph API.

¿TP o FP?

• TP: si puede confirmar que la aplicación OAuth se ha entregado desde un origen desconocido, el tipo de respuesta de la dirección URL de respuesta después de dar su consentimiento a la aplicación OAuth contiene una solicitud no válida y redirige a una dirección URL de respuesta desconocida o que no es de confianza.

  Acción recomendada: deshabilitar y quitar la aplicación, restablecer la contraseña y quitar la regla de bandeja de entrada. 

• Falso positivo (FP): Si tras la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise todas las actividades realizadas por la aplicación. 
2. Revise los alcances otorgados por la aplicación. 

Aplicación OAuth con dirección URL de respuesta sospechosa

Gravedad: media

Esta detección identifica una aplicación de OAuth a la que se ha accedido a una dirección URL de respuesta sospechosa a través de Microsoft Graph API.

¿TP o FP?

• TP: si puede confirmar que la aplicación OAuth se entrega desde un origen desconocido y redirige a una dirección URL sospechosa, se indica un verdadero positivo. Una dirección URL sospechosa es aquella en la que se desconoce la reputación de la dirección URL, no es de confianza o cuyo dominio se ha registrado recientemente y la solicitud de aplicación tiene un ámbito de privilegios elevados.

  Acción recomendada: revise la dirección URL de respuesta, los dominios y los ámbitos solicitados por la aplicación. En función de la investigación, puede optar por prohibir el acceso a esta aplicación. Revise el nivel de permiso solicitado por esta aplicación y a qué usuarios se les concede acceso.

  Para prohibir el acceso a la aplicación, vaya a la pestaña correspondiente de la aplicación en la página Gobernanza de la aplicación. En la fila en la que aparece la aplicación que desea prohibir, seleccione el icono de prohibición. Puedes elegir si quieres informar a los usuarios de que la aplicación que instalaron y autorizaron ha sido prohibida. La notificación permite a los usuarios saber que la aplicación se deshabilitará y que no tendrán acceso a la aplicación conectada. Si no quiere que lo sepan, anule la selección de Notificar a los usuarios que han concedido acceso a esta aplicación prohibida en el cuadro de diálogo. Le recomendamos que haga saber a los usuarios de la aplicación que su uso está a punto de ser prohibido.

• Falso positivo (FP): Si tras la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise las aplicaciones creadas recientemente y sus direcciones URL de respuesta.

2. Revise todas las actividades realizadas por la aplicación. 

3. Revise los alcances otorgados por la aplicación. 

La aplicación creada recientemente tiene una tasa de consentimiento baja

Gravedad: baja

Esta detección identifica una aplicación de OAuth creada recientemente que tiene una tasa de consentimiento baja. Esto puede indicar una aplicación malintencionada o de riesgo que atrae a los usuarios en concesiones de consentimiento ilícitas.

¿TP o FP?

• Verdadero positivo (TP): si se confirma que la aplicación OAuth procede de un origen desconocido, se indica un verdadero positivo (TP).

  Acción recomendada: revise el nombre para mostrar, las direcciones URL de respuesta y los dominios de la aplicación. Basándose en su investigación, puede optar por prohibir el acceso a esta aplicación. Revise el nivel de permiso solicitado por esta aplicación y qué usuarios han concedido el acceso.

• Falso positivo (FP): Si tras la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise todas las actividades realizadas por la aplicación.
2. Si sospecha de una aplicación, le recomendamos que investigue el nombre de la aplicación y el dominio de respuesta en diferentes tiendas de aplicaciones. Cuando compruebe las tiendas de aplicaciones, céntrese en los siguientes tipos de aplicaciones:
   • Aplicaciones que se han creado recientemente
   • Aplicación con nombre para mostrar inusual
   • Aplicaciones con un dominio de respuesta sospechoso
3. Si todavía cree que una aplicación es sospechosa, puede investigar el nombre para mostrar y el dominio de respuesta de la aplicación.

Aplicación con mala reputación de dirección URL

Gravedad: media

Esta detección identifica una aplicación de OAuth cuya dirección URL tiene una mala reputación.

¿TP o FP?

• Verdadero positivo (TP): si se confirma que la aplicación de OAuth procede de un origen desconocido y redirige a una dirección URL sospechosa, se indica un verdadero positivo (TP).

  Acción recomendada: revise la dirección URL de respuesta y los ámbitos solicitados por la aplicación. Basándose en su investigación, puede optar por prohibir el acceso a esta aplicación. Revise el nivel de permiso solicitado por esta aplicación y qué usuarios han concedido el acceso.

• Falso positivo (FP): Si tras la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise todas las actividades realizadas por la aplicación.
2. Si sospecha de una aplicación, le recomendamos que investigue el nombre de la aplicación y el dominio de respuesta en diferentes tiendas de aplicaciones. Cuando compruebe las tiendas de aplicaciones, céntrese en los siguientes tipos de aplicaciones:
   • Aplicaciones que se han creado recientemente
   • Aplicación con nombre para mostrar inusual
   • Aplicaciones con un dominio de respuesta sospechoso
3. Si todavía cree que una aplicación es sospechosa, puede investigar el nombre para mostrar y el dominio de respuesta de la aplicación.

Nombre de la aplicación codificado con ámbitos de consentimiento sospechosos

Gravedad: media

Descripción: esta detección identifica aplicaciones OAuth con caracteres (como Unicode o caracteres codificados) solicitados para ámbitos de consentimiento sospechosos y que accedieron a las carpetas de correo de los usuarios a través de la Graph API. Esta alerta puede indicar un intento de camuflar una aplicación maliciosa como una aplicación conocida y de confianza para que los adversarios puedan engañar a los usuarios para que den su consentimiento a la aplicación maliciosa.

¿TP o FP?

• Verdadero positivo (TP): si puede confirmar que la aplicación de OAuth ha codificado el nombre para mostrar con ámbitos sospechosos entregados desde un origen desconocido, se indica un verdadero positivo.

  Acción recomendada: revise el nivel de permiso solicitado por esta aplicación y los usuarios a los que se les ha concedido acceso. Basándose en su investigación, puede optar por prohibir el acceso a esta aplicación.

  Para prohibir el acceso a la aplicación, vaya a la pestaña correspondiente de la aplicación en la página Gobernanza de la aplicación. En la fila en la que aparece la aplicación que desea prohibir, seleccione el icono de prohibición. Puedes elegir si quieres informar a los usuarios de que la aplicación que instalaron y autorizaron ha sido prohibida. La notificación permite a los usuarios saber que la aplicación se deshabilitará y que no tendrán acceso a la aplicación conectada. Si no quiere que lo sepan, anule la selección de Notificar a los usuarios que han concedido acceso a esta aplicación prohibida en el cuadro de diálogo. Le recomendamos que haga saber a los usuarios de la aplicación que su uso está a punto de ser prohibido.

• FP: si quiere confirmar que la aplicación tiene un nombre codificado pero que tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

Siga el tutorial sobre cómo investigar aplicaciones de OAuth de riesgo.

La aplicación OAuth con ámbitos de lectura tiene una dirección URL de respuesta sospechosa

Gravedad: media

Descripción: esta detección identifica una aplicación de OAuth con solo ámbitos de lectura, como User.Read, Personas. Read, Contacts.Read, Mail.Read, Contacts.Read. Redirecciones compartidas a la dirección URL de respuesta sospechosa a través de Graph API. Esta actividad intenta indicar que una aplicación maliciosa con permisos de menor privilegio (como los ámbitos de lectura) podría ser explotada para llevar a cabo el reconocimiento de la cuenta de los usuarios.

¿TP o FP?

• TP: si puede confirmar que la aplicación OAuth con alcance de lectura se entrega desde una fuente desconocida, y redirige a una URL sospechosa, entonces se indica un verdadero positivo.

  Acción recomendada: revise la URL de respuesta y los ámbitos solicitados por la aplicación. Basándose en su investigación, puede optar por prohibir el acceso a esta aplicación. Revise el nivel de permiso solicitado por esta aplicación y qué usuarios han concedido el acceso.

  Para prohibir el acceso a la aplicación, vaya a la pestaña correspondiente de la aplicación en la página Gobernanza de la aplicación. En la fila en la que aparece la aplicación que desea prohibir, seleccione el icono de prohibición. Puedes elegir si quieres informar a los usuarios de que la aplicación que instalaron y autorizaron ha sido prohibida. La notificación permite a los usuarios saber que la aplicación se deshabilitará y que no tendrán acceso a la aplicación conectada. Si no quiere que lo sepan, anule la selección de Notificar a los usuarios que han concedido acceso a esta aplicación prohibida en el cuadro de diálogo. Le recomendamos que haga saber a los usuarios de la aplicación que su uso está a punto de ser prohibido.

• FP: Si tras la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise todas las actividades realizadas por la aplicación.
2. Si sospecha de una aplicación, le recomendamos que investigue el nombre de la aplicación y la URL de respuesta en diferentes tiendas de aplicaciones. Cuando compruebe las tiendas de aplicaciones, céntrese en los siguientes tipos de aplicaciones:
   • Aplicaciones que se han creado recientemente.
   • Aplicaciones con una URL de respuesta sospechosa
   • Aplicaciones que no han sido actualizadas recientemente. La falta de actualizaciones puede indicar que la aplicación ya no es compatible.
3. Si todavía sospecha que una aplicación es sospechosa, puede investigar el nombre de la aplicación, el nombre del editor y la URL de respuesta en línea

Aplicación con un nombre para mostrar inusual y un TLD inusual en el dominio de respuesta

Gravedad: media

Esta detección identifica la aplicación con un nombre para mostrar inusual y redirige a un dominio de respuesta sospechoso con un dominio de nivel superior (TLD) inusual a través de Graph API. Esto puede indicar un intento de camuflar una aplicación malintencionada o de riesgo como una aplicación conocida y de confianza para que los adversarios puedan inducir a error a los usuarios a dar su consentimiento a su aplicación malintencionada o de riesgo. 

¿TP o FP?

• Verdadero positivo (TP): si puede confirmar que la aplicación con un nombre para mostrar inusual se entrega desde un origen desconocido y redirige a un dominio sospechoso que tiene un dominio inusual de nivel superior

  Acción recomendada: revise el nombre para mostrar y el dominio de respuesta de la aplicación. Basándose en su investigación, puede optar por prohibir el acceso a esta aplicación. Revise el nivel de permiso solicitado por esta aplicación y qué usuarios han concedido el acceso.

• Falso positivo (FP): Si tras la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

Revise todas las actividades realizadas por la aplicación. Si sospecha de una aplicación, le recomendamos que investigue el nombre de la aplicación y el dominio de respuesta en diferentes tiendas de aplicaciones. Cuando compruebe las tiendas de aplicaciones, céntrese en los siguientes tipos de aplicaciones:

• Aplicaciones que se han creado recientemente
• Aplicación con nombre para mostrar inusual
• Aplicaciones con un dominio de respuesta sospechoso

Si todavía cree que una aplicación es sospechosa, puede investigar el nombre para mostrar y el dominio de respuesta de la aplicación.

Nueva aplicación con permisos de correo con un patrón de consentimiento bajo

Gravedad: media

Esta detección identifica las aplicaciones de OAuth creadas recientemente en inquilinos de publicador relativamente nuevos con las siguientes características:

• Permisos para acceder o cambiar la configuración del buzón
• Tasa de consentimiento relativamente baja, que puede identificar aplicaciones no deseadas o incluso malintencionadas que intentan obtener consentimiento de usuarios desprevenidos

¿TP o FP?

• TP: si puede confirmar que la solicitud de consentimiento a la aplicación se ha entregado desde un origen desconocido o externo y que la aplicación no tiene un uso empresarial legítimo en la organización, se indica un verdadero positivo.

  Acción recomendada:

  • Póngase en contacto con los usuarios y administradores que han dado su consentimiento a esta aplicación para confirmar que esto fue intencionado y que los privilegios excesivos son normales.
  • Investigue la actividad de la aplicación y compruebe si hay actividad sospechosa en las cuentas afectadas.
  • En función de la investigación, deshabilite la aplicación y suspenda y restablezca las contraseñas de todas las cuentas afectadas.
  • Clasifique la alerta como un verdadero positivo.

• Falso positivo (FP): Si tras la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: clasifique la alerta como un falso positivo y considere la posibilidad de compartir comentarios en función de la investigación de la alerta.

Comprender el alcance de la infracción

Revise las concesiones de consentimiento a la aplicación realizadas por usuarios y administradores. Investigue todas las actividades realizadas por la aplicación, especialmente el acceso al buzón de correo de los usuarios asociados y las cuentas de administrador. Si sospecha que la aplicación es sospechosa, considere la posibilidad de deshabilitar la aplicación y rotar las credenciales de todas las cuentas afectadas.

Nueva aplicación con baja tasa de consentimiento para acceder a numerosos correos electrónicos

Gravedad: media

Esta alerta identifica las aplicaciones de OAuth registradas recientemente en un inquilino de publicador relativamente nuevo con permisos para cambiar la configuración del buzón y acceder a los correos electrónicos. También comprueba si la aplicación tiene una tasa de consentimiento global relativamente baja y realiza numerosas llamadas a Microsoft Graph API para acceder a los correos electrónicos de los usuarios con consentimiento. Las aplicaciones que desencadenan esta alerta pueden ser aplicaciones no deseadas o malintencionadas que intentan obtener el consentimiento de usuarios no deseados.

¿TP o FP?

• TP: si puede confirmar que la solicitud de consentimiento a la aplicación se ha entregado desde un origen desconocido o externo y que la aplicación no tiene un uso empresarial legítimo en la organización, se indica un verdadero positivo.

  Acción recomendada:

  • Póngase en contacto con los usuarios y administradores que han dado su consentimiento a esta aplicación para confirmar que esto fue intencionado y que los privilegios excesivos son normales.
  • Investigue la actividad de la aplicación y compruebe si hay actividad sospechosa en las cuentas afectadas.
  • En función de la investigación, deshabilite la aplicación y suspenda y restablezca las contraseñas de todas las cuentas afectadas.
  • Clasifique la alerta como un verdadero positivo.

• FP: si después de la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización, se indica un falso positivo.

  Acción recomendada: clasifique la alerta como un falso positivo y considere la posibilidad de compartir comentarios en función de la investigación de la alerta.

Comprender el alcance de la infracción

Revise las concesiones de consentimiento a la aplicación realizadas por usuarios y administradores. Investigue todas las actividades realizadas por la aplicación, especialmente el acceso a los buzones de correo de los usuarios asociados y las cuentas de administrador. Si sospecha que la aplicación es sospechosa, considere la posibilidad de deshabilitar la aplicación y rotar las credenciales de todas las cuentas afectadas.

Aplicación sospechosa con permisos de correo que envían numerosos correos electrónicos

Gravedad: media

Esta alerta encuentra aplicaciones de OAuth multiinquilino que han realizado numerosas llamadas a Microsoft Graph API para enviar correos electrónicos en un breve período de tiempo. También comprueba si las llamadas API han dado lugar a errores e intentos erróneos de enviar correos electrónicos. Las aplicaciones que desencadenan esta alerta pueden enviar correo no deseado o correos electrónicos malintencionados de forma activa a otros destinos.

¿TP o FP?

• TP: si puede confirmar que la solicitud de consentimiento a la aplicación se ha entregado desde un origen desconocido o externo y que la aplicación no tiene un uso empresarial legítimo en la organización, se indica un verdadero positivo.

  Acción recomendada:

  • Póngase en contacto con los usuarios y administradores que han dado su consentimiento a esta aplicación para confirmar que esto fue intencionado y que los privilegios excesivos son normales.
  • Investigue la actividad de la aplicación y compruebe si hay actividad sospechosa en las cuentas afectadas.
  • En función de la investigación, deshabilite la aplicación y suspenda y restablezca las contraseñas de todas las cuentas afectadas.
  • Clasifique la alerta como un verdadero positivo.

• FP: si después de la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización, se indica un falso positivo.

  Acción recomendada: clasifique la alerta como un falso positivo y considere la posibilidad de compartir comentarios en función de la investigación de la alerta.

Comprender el alcance de la infracción

Revise las concesiones de consentimiento a la aplicación realizadas por usuarios y administradores. Investigue todas las actividades realizadas por la aplicación, especialmente el acceso al buzón de correo de los usuarios asociados y las cuentas de administrador. Si sospecha que la aplicación es sospechosa, considere la posibilidad de deshabilitar la aplicación y rotar las credenciales de todas las cuentas afectadas.

Aplicación sospechosa de OAuth usada para enviar numerosos correos electrónicos

Gravedad: media

Esta alerta indica una aplicación de OAuth que ha realizado numerosas llamadas a Microsoft Graph API para enviar correos electrónicos en un breve período de tiempo. Se sabe que el inquilino del publicador de la aplicación genera un gran volumen de aplicaciones de OAuth que realizan llamadas de Microsoft Graph API similares. Un atacante podría usar activamente esta aplicación para enviar correo no deseado o correos electrónicos malintencionados a sus destinos.

¿TP o FP?

• TP: si puede confirmar que la solicitud de consentimiento a la aplicación se ha entregado desde un origen desconocido o externo y que la aplicación no tiene un uso empresarial legítimo en la organización, se indica un verdadero positivo.

  Acción recomendada:

  • Póngase en contacto con los usuarios y administradores que han dado su consentimiento a esta aplicación para confirmar que esto fue intencionado y que los privilegios excesivos son normales.
  • Investigue la actividad de la aplicación y compruebe si hay actividad sospechosa en las cuentas afectadas.
  • En función de la investigación, deshabilite la aplicación y suspenda y restablezca las contraseñas de todas las cuentas afectadas.
  • Clasifique la alerta como un verdadero positivo.

• FP: si después de la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización, se indica un falso positivo.

  Acción recomendada: clasifique la alerta como un falso positivo y considere la posibilidad de compartir comentarios en función de la investigación de la alerta.

Comprender el alcance de la infracción

Revise las concesiones de consentimiento a la aplicación realizadas por usuarios y administradores. Investigue todas las actividades realizadas por la aplicación, especialmente el acceso al buzón de correo de los usuarios asociados y las cuentas de administrador. Si sospecha que la aplicación es sospechosa, considere la posibilidad de deshabilitar la aplicación y rotar las credenciales de todas las cuentas afectadas.

Alertas de persistencia

Esta sección describe las alertas que indican que un actor malicioso puede estar intentando mantener su posición en su organización.

La aplicación realizó llamadas anómalas de Graph a la carga de trabajo de Exchange después de actualizar certificados o añadir nuevas credenciales

Gravedad: media

ID. DE MITRE: T1098.001, T1114

Esta detección desencadena una alerta cuando una aplicación de línea de negocio (LOB) ha actualizado el certificado o los secretos o cuando agrega nuevas credenciales y unos días después se observan actividades inusuales o un gran volumen de uso en la carga de trabajo de Exchange a través de la API de Graph mediante el algoritmo de aprendizaje automático.

¿TP o FP?

• Verdadero positivo (TP): si se confirma que la aplicación de línea de negocio ha realizado actividades inusuales o experimentado un gran volumen de uso para la carga de trabajo de Exchange a través de la API de Graph

  Acción recomendada: deshabilite temporalmente la aplicación, restablezca la contraseña y vuelva a habilitarla.

• FP: si se confirma que ninguna aplicación de línea de negocio ha realizado actividades inusuales o si la aplicación está diseñada para realizar un volumen inusualmente elevado de llamadas de grafo.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise toda la actividad realizada por esta aplicación.
2. Revise los alcances otorgados por la aplicación.
3. Revise la actividad de usuario asociada a esta aplicación.

La aplicación con ámbito de OAuth sospechoso se marcó como de alto riesgo por el modelo de aprendizaje automático, realizó llamadas de grafo para leer el correo electrónico y creó la regla de la Bandeja de entrada

Gravedad: media

ID. DE MITRE: T1137.005, T1114

Esta detección identifica una aplicación de OAuth marcada como de alto riesgo por el modelo de Machine Learning que dio su consentimiento a ámbitos sospechosos, crea una regla de bandeja de entrada sospechosa y, a continuación, accede a carpetas de correo y mensajes de los usuarios a través de la Graph API. Las reglas de la bandeja de entrada, como el reenvío de todos los correos electrónicos o de algunos específicos a otra cuenta de correo electrónico, y las llamadas de Graph para acceder a los correos electrónicos y enviarlos a otra cuenta de correo electrónico, pueden ser un intento de filtrar información de su organización.

¿TP o FP?

• Verdadero positivo (TP): si se puede confirmar que la regla de la bandeja de entrada fue creada por una aplicación de OAuth de terceros con ámbitos sospechosos procedentes de origen desconocido, se indica un verdadero positivo (TP).

  Acción recomendada: deshabilitar y quitar la aplicación, restablecer la contraseña y quitar la regla de bandeja de entrada.

Siga el tutorial sobre cómo restablecer una contraseña mediante Microsoft Entra ID y siga el tutorial sobre cómo quitar la regla de bandeja de entrada.

• FP: Si puede confirmar que la aplicación creó una regla de bandeja de entrada a una cuenta de correo electrónico externa nueva o personal por razones legítimas.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise todas las actividades realizadas por la aplicación.
2. Revise los alcances otorgados por la aplicación.
3. Revise la acción y la condición de la regla de entrada creada por la aplicación.

La aplicación con el ámbito de OAuth sospechoso realizó llamadas de grafos para leer el correo electrónico y creó la regla de bandeja de entrada.

Gravedad: media

Id. MITRE ID: T1137.005, T1114

Esta detección identifica una aplicación OAuth que consiente ámbitos sospechosos, crea una regla de bandeja de entrada sospechosa y luego accede a las carpetas de correo de los usuarios y a los mensajes a través de la Graph API. Las reglas de la bandeja de entrada, como el reenvío de todos los correos electrónicos o de algunos específicos a otra cuenta de correo electrónico, y las llamadas de Graph para acceder a los correos electrónicos y enviarlos a otra cuenta de correo electrónico, pueden ser un intento de filtrar información de su organización.

¿TP o FP?

• TP: si puede confirmar que la regla de la bandeja de entrada fue creada por una aplicación de terceros OAuth con alcances sospechosos entregados desde una fuente desconocida, entonces se indica un verdadero positivo.

  Acción recomendada: deshabilitar y quitar la aplicación, restablecer la contraseña y quitar la regla de bandeja de entrada.

  Siga el tutorial sobre cómo restablecer una contraseña mediante Microsoft Entra ID y siga el tutorial sobre cómo quitar la regla de bandeja de entrada.

• FP: Si puede confirmar que la aplicación creó una regla de bandeja de entrada a una cuenta de correo electrónico externa nueva o personal por razones legítimas.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise todas las actividades realizadas por la aplicación.
2. Revise los alcances otorgados por la aplicación.
3. Revise la acción y la condición de la regla de entrada creada por la aplicación.

Aplicación a la que se accede desde una ubicación inusual después de la actualización del certificado

Gravedad: baja

ID de MITRE: T1098

Esta detección desencadena una alerta cuando una aplicación de línea de negocio (LOB) se actualizó el certificado o secreto y, pocos días después de la actualización del certificado, se accede a la aplicación desde una ubicación inusual a la que no se ha visto recientemente o al que nunca se ha accedido en el pasado.

¿TP o FP?

• Verdadero positivo (TP): si puede confirmar que la aplicación LOB accedió desde una ubicación inusual y realizó actividades inusuales a través de la Graph API.

  Acción recomendada: deshabilite temporalmente la aplicación, restablezca la contraseña y vuelva a habilitarla.

• Falso positivo (FP): si puede confirmar que la aplicación LOB accedió desde una ubicación inusual con fines legítimos y no se realizaron actividades inusuales.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise toda la actividad realizada por esta aplicación.
2. Revise los alcances otorgados por la aplicación.
3. Revise la actividad de usuario asociada a esta aplicación.

La aplicación a la que se ha accedido desde una ubicación inusual ha realizado llamadas anómalas de Graph después de la actualización del certificado

Gravedad: media

ID de MITRE: T1098

Esta detección desencadena una alerta cuando una aplicación de línea de negocio (LOB) actualizó el certificado o secreto y, pocos días después de la actualización del certificado, se accede a la aplicación desde una ubicación inusual a la que no se ha visto recientemente o al que nunca se ha tenido acceso en el pasado y se han observado actividades o usos inusuales a través de Graph API mediante el algoritmo de aprendizaje automático.

¿TP o FP?

• Verdadero positivo (TP): si puede confirmar que la aplicación LOB realizó actividades o usos inusuales a través de la Graph API desde una ubicación inusual.

  Acción recomendada: deshabilite temporalmente la aplicación, restablezca la contraseña y vuelva a habilitarla.

• Falso positivo (FP): si puede confirmar que la aplicación LOB accedió desde una ubicación inusual con fines legítimos y no se realizaron actividades inusuales.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise toda la actividad realizada por esta aplicación.
2. Revise los alcances otorgados por la aplicación.
3. Revise la actividad de usuario asociada a esta aplicación.

La aplicación creada recientemente tiene un gran volumen de consentimientos revocados

Gravedad: media

Id. de MITRE: T1566, T1098

Varios usuarios han revocado su consentimiento a esta aplicación de línea de negocio (LOB) o de terceros creada recientemente. Esta aplicación podría haber atraído a los usuarios a darle su consentimiento involuntariamente.

¿TP o FP?

• TP: si puede confirmar que la aplicación OAuth se entrega desde un origen desconocido y que el comportamiento de la aplicación es sospechoso. 

  Acción recomendada: revoque los consentimientos concedidos a la aplicación y deshabilite la aplicación. 

• FP: si después de la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización y que la aplicación no realizó ninguna actividad inusual.

  Acción recomendada: descartar la alerta

Comprender el alcance de la infracción

1. Revise todas las actividades realizadas por la aplicación.
2. Si sospechas que una aplicación es sospechosa, te recomendamos que investigues el nombre y el dominio de respuesta de la aplicación en diferentes almacenes de aplicaciones. Cuando compruebe las tiendas de aplicaciones, céntrese en los siguientes tipos de aplicaciones:
   • Aplicaciones que se han creado recientemente
   • Aplicaciones con un nombre para mostrar inusual
   • Aplicaciones con un dominio de respuesta sospechoso
3. Si todavía cree que una aplicación es sospechosa, puede investigar el nombre para mostrar y el dominio de respuesta de la aplicación.

Metadatos de la aplicación asociados a una campaña de suplantación de identidad conocida

Gravedad: media

Esta detección genera alertas para aplicaciones que no son de Microsoft OAuth con metadatos, como nombre, dirección URL o publicador, que se habían observado anteriormente en aplicaciones asociadas a una campaña de suplantación de identidad (phishing). Estas aplicaciones podrían formar parte de la misma campaña y podrían estar implicadas en la filtración de información confidencial.

¿TP o FP?

• TP: si puede confirmar que la aplicación OAuth se entrega desde un origen desconocido y está realizando actividades inusuales.

  Acción recomendada:

  • Investigue los detalles de registro de la aplicación sobre la gobernanza de la aplicación y visite Microsoft Entra ID para obtener más detalles.
  • Póngase en contacto con los usuarios o administradores que concedieron consentimiento o permisos a la aplicación. Compruebe si los cambios fueron intencionados.
  • Busque en la tabla de búsqueda CloudAppEvents Advanced para comprender la actividad de la aplicación y determinar si se espera el comportamiento observado.
  • Compruebe si la aplicación es crítica para su organización antes de considerar las acciones de contención. Desactive la aplicación mediante la gobernanza de la aplicación o Microsoft Entra ID para evitar que acceda a los recursos. Es posible que las directivas de gobernanza de aplicaciones existentes ya hayan desactivado la aplicación.

• FP: si puede confirmar que la aplicación no realizó ninguna actividad inusual y que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta

Comprender el alcance de la infracción

1. Revise todas las actividades realizadas por la aplicación.
2. Revise los ámbitos concedidos a la aplicación.
3. Revise la actividad de usuario asociada a la aplicación.

Metadatos de aplicación asociados a aplicaciones sospechosas marcadas previamente

Gravedad: media

Esta detección genera alertas para aplicaciones que no son de Microsoft OAuth con metadatos, como el nombre, la dirección URL o el publicador, que se habían observado anteriormente en las aplicaciones marcadas por la gobernanza de aplicaciones debido a una actividad sospechosa. Esta aplicación podría formar parte de una campaña de ataque y podría estar implicada en la filtración de información confidencial.

¿TP o FP?

• TP: si puede confirmar que la aplicación OAuth se entrega desde un origen desconocido y está realizando actividades inusuales.

  Acción recomendada:

  • Investigue los detalles de registro de la aplicación sobre la gobernanza de la aplicación y visite Microsoft Entra ID para obtener más detalles.
  • Póngase en contacto con los usuarios o administradores que concedieron consentimiento o permisos a la aplicación. Compruebe si los cambios fueron intencionados.
  • Busque en la tabla de búsqueda CloudAppEvents Advanced para comprender la actividad de la aplicación y determinar si se espera el comportamiento observado.
  • Compruebe si la aplicación es crítica para su organización antes de considerar las acciones de contención. Desactive la aplicación mediante la gobernanza de la aplicación o Microsoft Entra ID para evitar que acceda a los recursos. Es posible que las directivas de gobernanza de aplicaciones existentes ya hayan desactivado la aplicación.

• FP: si puede confirmar que la aplicación no realizó ninguna actividad inusual y que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta

Comprender el alcance de la infracción

1. Revise todas las actividades realizadas por la aplicación.
2. Revise los ámbitos concedidos a la aplicación.
3. Revise la actividad de usuario asociada a la aplicación.

Actividad sospechosa de correo electrónico de la aplicación OAuth a través de Graph API

Gravedad: Alta

Esta detección genera alertas para aplicaciones de OAuth multiinquilino, registradas por usuarios con un inicio de sesión de alto riesgo, que realizaron llamadas a Microsoft Graph API para realizar actividades de correo electrónico sospechosas en un breve período de tiempo.

Esta detección comprueba si se realizaron llamadas API para la creación de reglas de buzón de correo, crear correo electrónico de respuesta, reenviar correo electrónico, responder o enviar nuevos correos electrónicos. Las aplicaciones que desencadenan esta alerta pueden estar enviando correo no deseado o correos electrónicos malintencionados a otros destinos o filtrando datos confidenciales y borrando pistas para evitar la detección.

¿TP o FP?

• TP: si puede confirmar que la solicitud de creación y consentimiento de la aplicación se entregó desde un origen desconocido o externo y que la aplicación no tiene un uso empresarial legítimo en la organización, se indicará un verdadero positivo.

  Acción recomendada:

  • Póngase en contacto con los usuarios y administradores que han dado su consentimiento a esta aplicación para confirmar que esto fue intencionado y que los privilegios excesivos son normales.

  • Investigue la actividad de la aplicación y compruebe si hay actividad sospechosa en las cuentas afectadas.

  • En función de la investigación, deshabilite la aplicación y suspenda y restablezca las contraseñas de todas las cuentas afectadas y quite la regla de bandeja de entrada.

  • Clasifique la alerta como un verdadero positivo.

• FP: si, después de la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización, se indica un falso positivo.

  Acción recomendada:

  • Clasifique la alerta como un falso positivo y considere la posibilidad de compartir comentarios en función de la investigación de la alerta.

  • Comprenda el ámbito de la infracción:

    Revise las concesiones de consentimiento a la aplicación realizadas por usuarios y administradores. Investigue todas las actividades realizadas por la aplicación, especialmente el acceso al buzón de correo de los usuarios asociados y las cuentas de administrador. Si sospecha que la aplicación es sospechosa, considere la posibilidad de deshabilitar la aplicación y rotar las credenciales de todas las cuentas afectadas.

Actividad sospechosa de correo electrónico de la aplicación OAuth a través de la API de EWS

Gravedad: Alta

Esta detección genera alertas para aplicaciones de OAuth multiinquilino, registradas por los usuarios con un inicio de sesión de alto riesgo, que realizaron llamadas a la API de Microsoft Exchange Web Services (EWS) para realizar actividades de correo electrónico sospechosas en un breve período de tiempo.

Esta detección comprueba si se realizaron llamadas API para actualizar las reglas de bandeja de entrada, mover elementos, eliminar correo electrónico, eliminar carpeta o eliminar datos adjuntos. Las aplicaciones que desencadenan esta alerta pueden estar filtrando o eliminando activamente datos confidenciales y borrando pistas para eludir la detección.

¿TP o FP?

• TP: si puede confirmar que la solicitud de creación y consentimiento de la aplicación se entregó desde un origen desconocido o externo y que la aplicación no tiene un uso empresarial legítimo en la organización, se indicará un verdadero positivo.

  Acción recomendada:

  • Póngase en contacto con los usuarios y administradores que han dado su consentimiento a esta aplicación para confirmar que esto fue intencionado y que los privilegios excesivos son normales.

  • Investigue la actividad de la aplicación y compruebe si hay actividad sospechosa en las cuentas afectadas.

  • En función de la investigación, deshabilite la aplicación y suspenda y restablezca las contraseñas de todas las cuentas afectadas y quite la regla de bandeja de entrada.

  • Clasifique la alerta como un verdadero positivo.

• FP: si después de la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización, se indica un falso positivo.

  Acción recomendada:

  • Clasifique la alerta como un falso positivo y considere la posibilidad de compartir comentarios en función de la investigación de la alerta.

  • Comprenda el ámbito de la infracción:

    Revise las concesiones de consentimiento a la aplicación realizadas por usuarios y administradores. Investigue todas las actividades realizadas por la aplicación, especialmente el acceso al buzón de correo de los usuarios asociados y las cuentas de administrador. Si sospecha que la aplicación es sospechosa, considere la posibilidad de deshabilitar la aplicación y rotar las credenciales de todas las cuentas afectadas.

Alertas de escalado de privilegios

La aplicación OAuth con metadatos sospechosos tiene permiso de Exchange

Gravedad: media

Id. de MITRE: T1078

Esta alerta se desencadena cuando una aplicación de línea de negocio con metadatos sospechosos tiene privilegios para administrar el permiso a través de Exchange.

¿TP o FP?

• TP: si puede confirmar que la aplicación OAuth se entrega desde un origen desconocido y tiene características de metadatos sospechosas, se indica un verdadero positivo.

Acción recomendada: revoque los consentimientos concedidos a la aplicación y deshabilite la aplicación.

Falso positivo (FP): Si tras la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

Acción recomendada: descartar la alerta

Comprender el alcance de la infracción

1. Revise todas las actividades realizadas por la aplicación.
2. Revise los alcances otorgados por la aplicación.
3. Revise la actividad de usuario asociada a la aplicación.

Alertas de evasión de defensa

Aplicación que suplanta un logotipo de Microsoft

Gravedad: media

Una aplicación en la nube que no es de Microsoft usa un logotipo que ha encontrado un algoritmo de aprendizaje automático para que sea similar a un logotipo de Microsoft. Esto puede ser un intento de suplantar los productos de software de Microsoft y parecer legítimo.

Nota:

Los administradores de inquilinos tendrán que dar su consentimiento a través de la ventana emergente para que se envíen los datos necesarios fuera del límite de cumplimiento actual y seleccionar los equipos asociados de Microsoft para habilitar esta detección de amenazas para aplicaciones de línea de negocio.

¿TP o FP?

• TP: si puede confirmar que el logotipo de la aplicación es una imitación de un logotipo de Microsoft y el comportamiento de la aplicación es sospechoso. 

  Acción recomendada: revoque los consentimientos concedidos a la aplicación y deshabilite la aplicación.

• FP: si puedes confirmar que el logotipo de la aplicación no es una imitación de un logotipo de Microsoft o que la aplicación no realizó ninguna actividad inusual. 

  Acción recomendada: descartar la alerta

Comprender el alcance de la infracción

1. Revise todas las actividades realizadas por la aplicación.
2. Revise los ámbitos concedidos a la aplicación.
3. Revise la actividad de usuario asociada a la aplicación.

La aplicación está asociada a un dominio con errores tipográficos

Gravedad: media

Esta detección genera alertas para aplicaciones que no son de Microsoft OAuth con dominios de publicador o direcciones URL de redireccionamiento que contienen versiones con errores tipográficos de nombres de marca de Microsoft. Por lo general, los errores tipográficos se usan para capturar el tráfico a los sitios cada vez que los usuarios escriben involuntariamente direcciones URL, pero también se pueden usar para suplantar productos y servicios de software populares.

¿TP o FP?

• TP: si puede confirmar que el dominio del publicador o la dirección URL de redireccionamiento de la aplicación están encuadronados y no se relacionan con la verdadera identidad de la aplicación.

  Acción recomendada:

  • Investigue los detalles de registro de la aplicación sobre la gobernanza de la aplicación y visite Microsoft Entra ID para obtener más detalles.
  • Compruebe si la aplicación tiene otros signos de suplantación o suplantación y cualquier actividad sospechosa.
  • Compruebe si la aplicación es crítica para su organización antes de considerar las acciones de contención. Desactive la aplicación mediante la gobernanza de la aplicación para impedir que acceda a los recursos. Es posible que las directivas de gobernanza de aplicaciones existentes ya hayan desactivado la aplicación.

• FP: si puede confirmar que el dominio del publicador y la dirección URL de redireccionamiento de la aplicación son legítimos. 

  Acción recomendada: clasifique la alerta como un falso positivo y considere la posibilidad de compartir comentarios en función de la investigación de la alerta.

Comprender el alcance de la infracción

1. Revise todas las actividades realizadas por la aplicación.
2. Revise los ámbitos concedidos a la aplicación.
3. Revise la actividad de usuario asociada a la aplicación.

Acceso a credenciales

En esta sección se describen las alertas que indican que un actor malintencionado puede estar intentando leer datos de credenciales confidenciales y consta de técnicas para robar credenciales, como nombres de cuenta, secretos, tokens, certificados y contraseñas en su organización.

Aplicación que inicia varias actividades de lectura de KeyVault con errores sin éxito

Gravedad: media

Id. de MITRE: T1078.004

Esta detección identifica una aplicación en el inquilino que se observó realizando varias llamadas de acción de lectura a KeyVault mediante azure Resource Manager API en un breve intervalo, con solo errores y sin actividad de lectura correcta completada.

¿TP o FP?

• TP: si la aplicación es desconocida o no se usa, la actividad especificada es potencialmente sospechosa. Después de comprobar el recurso de Azure que se usa y validar el uso de la aplicación en el inquilino, la actividad especificada puede requerir que la aplicación esté deshabilitada. Esto suele ser una prueba de la sospecha de actividad de enumeración en el recurso KeyVault para obtener acceso a las credenciales para el movimiento lateral o la elevación de privilegios.

  Acciones recomendadas: revise los recursos de Azure a los que ha accedido o creado la aplicación y los cambios recientes realizados en la aplicación. En función de la investigación, elija si desea prohibir el acceso a esta aplicación. Revise el nivel de permiso solicitado por esta aplicación y qué usuarios han concedido acceso.

• FP: si, después de la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise el acceso y la actividad de la aplicación.
2. Revise todas las actividades realizadas por la aplicación desde su creación.
3. Revise los ámbitos concedidos por la aplicación en Graph API y el rol que se le ha concedido en la suscripción.
4. Revise cualquier usuario que pueda haber accedido a la aplicación antes de la actividad.

Alertas de detección

Enumeración de unidad realizada por la aplicación

Gravedad: media

ID. DE MITRE: T1087

Esta detección identifica una aplicación de OAuth detectada por el modelo de aprendizaje automático que realiza enumeraciones en archivos de OneDrive mediante la API de Graph.

¿TP o FP?

• Verdadero positivo (TP): si se confirma que la aplicación de línea de negocio ha realizado actividades o un uso inusual de OneDrive a través de la API de Graph.

  Acción recomendada: deshabilitar y quitar la aplicación y restablecer la contraseña.

• FP: si se confirma que la aplicación no ha realizado ninguna actividad inusual.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise toda la actividad realizada por esta aplicación.
2. Revise los alcances otorgados por la aplicación.
3. Revise la actividad de usuario asociada a esta aplicación.

Actividades de enumeración sospechosas realizadas con PowerShell de Microsoft Graph

Gravedad: media

ID. DE MITRE: T1087

Esta detección identifica un gran volumen de actividades de enumeración sospechosas realizadas en un breve intervalo de tiempo a través de una aplicación de PowerShell de Microsoft Graph .

¿TP o FP?

• TP: si puede confirmar que la aplicación De PowerShell de Microsoft Graph realizó actividades de enumeración sospechosas o inusuales.

  Acción recomendada: deshabilitar y quitar la aplicación y restablecer la contraseña.

• FP: si se confirma que la aplicación no ha realizado ninguna actividad inusual.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise toda la actividad realizada por esta aplicación.
2. Revise la actividad del usuario asociada a esta aplicación.

La aplicación multiinquilino creada recientemente enumera la información de los usuarios con frecuencia

Gravedad: media

ID. DE MITRE: T1087

Esta alerta busca aplicaciones de OAuth registradas recientemente en un inquilino de publicador relativamente nuevo con permisos para cambiar la configuración del buzón y acceder a los correos electrónicos. Comprueba si la aplicación ha realizado numerosas llamadas a Microsoft Graph API solicitando información de directorio de usuario. Las aplicaciones que desencadenan esta alerta pueden estar atrayendo a los usuarios a conceder consentimiento para que puedan acceder a los datos de la organización.

¿TP o FP?

• TP: si puede confirmar que la solicitud de consentimiento a la aplicación se ha entregado desde un origen desconocido o externo y que la aplicación no tiene un uso empresarial legítimo en la organización, se indica un verdadero positivo.

  Acción recomendada:

  • Póngase en contacto con los usuarios y administradores que han dado su consentimiento a esta aplicación para confirmar que esto fue intencionado y que los privilegios excesivos son normales.
  • Investigue la actividad de la aplicación y compruebe si hay actividad sospechosa en las cuentas afectadas.
  • En función de la investigación, deshabilite la aplicación y suspenda y restablezca las contraseñas de todas las cuentas afectadas.
  • Clasifique la alerta como un verdadero positivo.

• FP: si después de la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización, se indica un falso positivo.

  Acción recomendada: clasifique la alerta como un falso positivo y considere la posibilidad de compartir comentarios en función de la investigación de la alerta.

Comprender el alcance de la infracción

Revise las concesiones de consentimiento a la aplicación realizadas por usuarios y administradores. Investigue todas las actividades realizadas por la aplicación, especialmente la enumeración de la información del directorio de usuario. Si sospecha que la aplicación es sospechosa, considere la posibilidad de deshabilitar la aplicación y rotar las credenciales de todas las cuentas afectadas.

Alertas de filtración

En esta sección se describen las alertas que indican que un actor malintencionado puede estar intentando robar datos de interés para su objetivo de la organización.

Aplicación OAuth con un agente de usuario inusual

Gravedad: baja

Id. de MITRE: T1567

Esta detección identifica una aplicación de OAuth que usa un agente de usuario inusual para acceder a la Graph API.

¿TP o FP?

• TP: si puede confirmar que la aplicación OAuth ha empezado a usar recientemente un nuevo agente de usuario que no se usó anteriormente y este cambio es inesperado, se indica un verdadero positivo.

  Acciones recomendadas: revise los agentes de usuario usados y los cambios recientes realizados en la aplicación. En función de la investigación, puede optar por prohibir el acceso a esta aplicación. Revise el nivel de permiso solicitado por esta aplicación y qué usuarios han concedido el acceso.

• Falso positivo (FP): Si tras la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise las aplicaciones creadas recientemente y los agentes de usuario usados.
2. Revise todas las actividades realizadas por la aplicación. 
3. Revise los alcances otorgados por la aplicación. 

La aplicación con un agente de usuario inusual ha accedido a los datos de correo electrónico a través de Exchange Web Services

Gravedad: Alta

Id. de MITRE: T1114, T1567

Esta detección identifica una aplicación de OAuth que usó un agente de usuario inusual para acceder a los datos de correo electrónico mediante la API de servicios web de Exchange.

¿TP o FP?

• TP: si puede confirmar que no se espera que la aplicación OAuth cambie el agente de usuario que usa para realizar solicitudes a la API de Servicios web de Exchange, se indica un verdadero positivo.

  Acciones recomendadas: clasifique la alerta como tp. En función de la investigación, si la aplicación es malintencionada, puede revocar los consentimientos y deshabilitar la aplicación en el inquilino. Si se trata de una aplicación en peligro, puede revocar los consentimientos, deshabilitar temporalmente la aplicación, revisar los permisos, restablecer el secreto y el certificado y, a continuación, volver a habilitar la aplicación.

• FP: si después de la investigación, puede confirmar que el agente de usuario usado por la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: clasifique la alerta como FP. Además, considere la posibilidad de compartir comentarios en función de la investigación de la alerta.

Comprender el alcance de la infracción

1. Revise si la aplicación se ha creado recientemente o si ha realizado cambios recientes en ella.
2. Revise los permisos concedidos a la aplicación y a los usuarios que han dado su consentimiento a la aplicación.
3. Revise todas las actividades realizadas por la aplicación.

Alertas de movimiento lateral

En esta sección se describen las alertas que indican que un actor malintencionado puede estar intentando moverse lateralmente dentro de diferentes recursos, a la vez que pivota a través de varios sistemas y cuentas para obtener más control en su organización.

Aplicación de OAuth inactiva que usa principalmente MS Graph o Servicios web de Exchange recientemente visto que está accediendo a cargas de trabajo de ARM

Gravedad: media

Id. de MITRE: T1078.004

Esta detección identifica una aplicación en el inquilino que, después de un largo intervalo de actividad inactiva, ha empezado a acceder a la API de Azure Resource Manager por primera vez. Anteriormente, esta aplicación usaba principalmente MS Graph o Exchange Web Service.

¿TP o FP?

• TP: si la aplicación es desconocida o no se usa, la actividad especificada es potencialmente sospechosa y puede requerir deshabilitar la aplicación, después de comprobar el recurso de Azure que se está usando y validar el uso de la aplicación en el inquilino.

  Acciones recomendadas:

  1. Revise los recursos de Azure a los que ha accedido o creado la aplicación y los cambios recientes realizados en la aplicación.
  2. Revise el nivel de permiso solicitado por esta aplicación y qué usuarios han concedido el acceso.
  3. En función de la investigación, elija si desea prohibir el acceso a esta aplicación.

• FP: si, después de la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise el acceso y la actividad de la aplicación.
2. Revise todas las actividades realizadas por la aplicación desde su creación.
3. Revise los ámbitos concedidos por la aplicación en Graph API y el rol que se le ha concedido en la suscripción.
4. Revise cualquier usuario que pueda haber accedido a la aplicación antes de la actividad.

Alertas de recopilación

Esta sección describe las alertas que indican que un actor malicioso puede estar intentando recopilar datos de interés para su objetivo desde su organización.

Actividades de búsqueda de correo electrónico inusuales realizadas por la aplicación

Gravedad: media

Id. MITRE: T1114

Esta detección identifica cuándo una aplicación dio su consentimiento al ámbito de OAuth sospechoso y realizó un gran volumen de actividades de búsqueda de correo electrónico inusuales, como la búsqueda por correo electrónico de contenido específico a través de la Graph API. Esto puede indicar un intento de vulneración de la organización, como adversarios que intentan buscar y leer un correo electrónico específico de la organización a través de Graph API. 

¿TP o FP?

• TP: si puede confirmar un gran volumen de actividades inusuales de búsqueda y lectura de correo electrónico a través de la Graph API por una aplicación de OAuth con un ámbito de OAuth sospechoso y que la aplicación se entrega desde un origen desconocido.

  Acciones recomendadas: deshabilite y quite la aplicación, restablezca la contraseña y quite la regla de bandeja de entrada. 

• FP: si puede confirmar que la aplicación ha realizado un gran volumen de búsqueda de correo electrónico inusual y leer Graph API por motivos legítimos.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise los alcances otorgados por la aplicación.
2. Revise todas las actividades realizadas por la aplicación. 

La aplicación hizo llamadas anómalas a Graph para leer el correo electrónico

Gravedad: media

Id. MITRE: T1114

Esta detección identifica cuando la aplicación OAuth de la línea de negocio (LOB) accede a un volumen inusual y elevado de carpetas de correo y mensajes de los usuarios a través de la Graph API, lo que puede indicar un intento de violación de su organización.

¿TP o FP?

• TP: si puede confirmar que la actividad gráfica inusual fue realizada por la aplicación OAuth de la línea de negocio (LOB), entonces se indica un verdadero positivo.

  Acciones recomendadas: deshabilite temporalmente la aplicación, restablezca la contraseña y vuelva a habilitarla. Siga el tutorial sobre cómo restablecer una contraseña mediante Microsoft Entra ID.

• FP: si puede confirmar que la aplicación está destinada a hacer un volumen inusualmente alto de llamadas gráficas.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise el registro de actividad de los eventos realizados por esta aplicación para obtener una mejor comprensión de otras actividades de Graph para leer correos electrónicos e intentar recopilar información de correo electrónico confidencial de los usuarios.
2. Supervisa si se agregan credenciales inesperadas a la aplicación.

La aplicación crea una regla de bandeja de entrada y realiza actividades inusuales de búsqueda de correo electrónico

Gravedad: media

Identificadores de MITRE: T1137, T1114

Esta detección identifica la aplicación consentida en el ámbito de privilegios elevados, crea una regla de bandeja de entrada sospechosa y realiza actividades de búsqueda de correo electrónico inusuales en las carpetas de correo de los usuarios a través de la Graph API. Esto puede indicar un intento de vulneración de su organización, como adversarios que intentan buscar y recopilar correos electrónicos específicos de su organización a través de la Graph API.

¿TP o FP?

• Verdadero positivo (TP): si puede confirmar cualquier búsqueda y recopilación de correos electrónicos específica realizada a través de la Graph API por parte de una aplicación de OAuth con un ámbito de privilegios elevados y la aplicación se entrega desde un origen desconocido.

  Acción recomendada: deshabilitar y quitar la aplicación, restablecer la contraseña y quitar la regla de bandeja de entrada.

• Falso positivo (FP): si puede confirmar que la aplicación ha realizado búsquedas y recopilaciones de correo electrónico específicas a través de la Graph API y ha creado una regla de bandeja de entrada para una cuenta de correo electrónico externa nueva o personal por motivos legítimos.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise todas las actividades realizadas por la aplicación.
2. Revise los alcances otorgados por la aplicación.
3. Revise cualquier acción de regla de bandeja de entrada creada por la aplicación.
4. Revise las actividades de búsqueda de correo electrónico realizadas por la aplicación.

La aplicación ha creado actividades de búsqueda de OneDrive o SharePoint y ha creado una regla de bandeja de entrada

Gravedad: media

Id. de MITRE: T1137, T1213

Esta detección identifica si una aplicación consiente el ámbito de privilegios elevados, creó una regla de la Bandeja de entrada sospechosa y realizó actividades de búsqueda inusuales de SharePoint o OneDrive a través de Graph API. Esto puede indicar un intento de vulneración de su organización, como adversarios que intentan buscar y recopilar datos específicos de SharePoint o OneDrive de su organización a través de Graph API. 

¿TP o FP?

• TP: si puede confirmar datos específicos de búsqueda y recopilación de SharePoint o OneDrive realizados a través de Graph API por una aplicación de OAuth con un ámbito de privilegios elevados, y la aplicación se entrega desde un origen desconocido. 

  Acción recomendada: deshabilite y quite la aplicación, restablezca la contraseña y quite la regla de bandeja de entrada. 

• FP: si puede confirmar que la aplicación ha realizado datos específicos de búsqueda y recopilación de SharePoint o OneDrive a través de Graph API por una aplicación de OAuth y ha creado una regla de bandeja de entrada en una cuenta de correo electrónico externa nueva o personal por motivos legítimos. 

  Acción recomendada: descartar la alerta

Comprender el alcance de la infracción

1. Revise todas las actividades realizadas por la aplicación. 
2. Revise los alcances otorgados por la aplicación. 
3. Revise cualquier acción de regla de bandeja de entrada creada por la aplicación. 
4. Revise las actividades de búsqueda de SharePoint o OneDrive realizadas por la aplicación.

La aplicación realizó numerosas búsquedas y ediciones en OneDrive

Gravedad: media

Identificadores de MITRE: T1137, T1213

Esta detección identifica las aplicaciones de OAuth con permisos de privilegios elevados que realizan un gran número de búsquedas y ediciones en OneDrive mediante Graph API.

¿TP o FP?

• TP: si puede confirmar que no se espera un uso elevado de la carga de trabajo de OneDrive a través de Graph API de esta aplicación de OAuth con permisos de privilegios elevados para leer y escribir en OneDrive, se indica un verdadero positivo.

  Acción recomendada: en función de la investigación, si la aplicación es malintencionada, puede revocar los consentimientos y deshabilitar la aplicación en el inquilino. Si se trata de una aplicación en peligro, puede revocar los consentimientos, deshabilitar temporalmente la aplicación, revisar los permisos necesarios, restablecer la contraseña y volver a habilitar la aplicación.

• Falso positivo (FP): Si tras la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: resuelva la alerta e informe de los resultados.

Comprender el alcance de la infracción

1. Compruebe si la aplicación procede de un origen confiable.
2. Compruebe si la aplicación se ha creado recientemente o si ha realizado cambios recientes en ella.
3. Revise los permisos concedidos a la aplicación y a los usuarios que han dado su consentimiento a la aplicación.
4. Investigue todas las demás actividades de la aplicación.

La aplicación realizó un gran volumen de lectura de correo importante y creó la regla de bandeja de entrada

Gravedad: media

Identificadores de MITRE: T1137, T1114

Esta detección identifica que una aplicación consiente el ámbito de privilegios elevados, crea una regla de bandeja de entrada sospechosa y ha realizado un gran volumen de lectura de correos importantes a través de la API de Graph. Esto puede indicar un intento de vulneración de seguridad en su organización, por ejemplo, un rival que intenta leer el correo electrónico importante de su organización a través de la API de Graph. 

¿TP o FP?

• TP: si puede confirmar que una aplicación de OAuth lee un gran volumen de correo electrónico importante a través de Graph API con un ámbito de privilegios elevado y que la aplicación se entrega desde un origen desconocido. 

  Acción recomendada: deshabilite y quite la aplicación, restablezca la contraseña y quite la regla de bandeja de entrada. 

• FP: si puede confirmar que la aplicación ha realizado un gran volumen de correo electrónico importante leído a través de Graph API y ha creado una regla de bandeja de entrada en una cuenta de correo electrónico externa nueva o personal por motivos legítimos. 

  Acción recomendada: descartar la alerta

Comprender el alcance de la infracción

1. Revise todas las actividades realizadas por la aplicación. 
2. Revise los alcances otorgados por la aplicación. 
3. Revise cualquier acción de regla de bandeja de entrada creada por la aplicación. 
4. Revise cualquier actividad de lectura de correo electrónico importante realizada por la aplicación.

La aplicación con privilegios realizó actividades inusuales en Teams

Gravedad: media

Esta detección identifica las aplicaciones con consentimiento para ámbitos de OAuth con privilegios elevados, que accedieron a Microsoft Teams y realizaron un volumen inusual de actividades de lectura o publicación de mensajes de chat a través de Graph API. Esto puede indicar un intento de vulneración de la organización, como adversarios que intentan recopilar información de la organización a través de Graph API.

¿TP o FP?

• TP: si puede confirmar que las actividades inusuales de mensajes de chat en Microsoft Teams a través de Graph API por una aplicación OAuth con un ámbito de privilegios elevados, y la aplicación se entrega desde un origen desconocido.

  Acción recomendada: deshabilitar y quitar la aplicación y restablecer la contraseña

• FP: si puede confirmar que las actividades inusuales realizadas en Microsoft Teams a través de Graph API fueron por motivos legítimos.

  Acción recomendada: descartar la alerta

Comprender el alcance de la infracción

1. Revise los alcances otorgados por la aplicación.
2. Revise todas las actividades realizadas por la aplicación.
3. Revise la actividad de usuario asociada a la aplicación.

Actividad anómala de OneDrive por aplicación que acaba de actualizar o agregar nuevas credenciales

Gravedad: media

Identificadores de MITRE: T1098.001, T1213

Una aplicación en la nube que no es de Microsoft realizó llamadas anómalas Graph API a OneDrive, incluido el uso de datos de gran volumen. Detectadas por el aprendizaje automático, estas llamadas API inusuales se realizaron unos días después de que la aplicación agregara certificados o secretos existentes nuevos o actualizados. Esta aplicación podría estar implicada en la filtración de datos u otros intentos de acceso y recuperación de información confidencial.

¿TP o FP?

• TP: si puede confirmar que la aplicación realizó actividades inusuales, como el uso de gran volumen de la carga de trabajo de OneDrive, a través de Graph API.

  Acción recomendada: deshabilite temporalmente la aplicación, restablezca la contraseña y vuelva a habilitarla.

• FP: si puedes confirmar que la aplicación no realizó ninguna actividad inusual o que la aplicación está diseñada para realizar un volumen inusualmente alto de llamadas de Graph.

  Acción recomendada: descartar la alerta

Comprender el alcance de la infracción

1. Revise todas las actividades realizadas por la aplicación.
2. Revise los alcances otorgados por la aplicación.
3. Revise la actividad de usuario asociada a la aplicación.

Actividad anómala de SharePoint por aplicación que acaba de actualizar o agregar nuevas credenciales

Gravedad: media

Identificadores de MITRE: T1098.001, T1213.002

Una aplicación en la nube que no es de Microsoft realizó llamadas anómalas Graph API a SharePoint, incluido el uso de datos de gran volumen. Detectadas por el aprendizaje automático, estas llamadas API inusuales se realizaron unos días después de que la aplicación agregara certificados o secretos existentes nuevos o actualizados. Esta aplicación podría estar implicada en la filtración de datos u otros intentos de acceso y recuperación de información confidencial.

¿TP o FP?

• TP: si puede confirmar que la aplicación realizó actividades inusuales, como el uso de gran volumen de la carga de trabajo de SharePoint, a través de Graph API.

  Acción recomendada: deshabilite temporalmente la aplicación, restablezca la contraseña y vuelva a habilitarla.

• FP: si puedes confirmar que la aplicación no realizó ninguna actividad inusual o que la aplicación está diseñada para realizar un volumen inusualmente alto de llamadas de Graph.

  Acción recomendada: descartar la alerta

Comprender el alcance de la infracción

1. Revise todas las actividades realizadas por la aplicación.
2. Revise los alcances otorgados por la aplicación.
3. Revise la actividad de usuario asociada a la aplicación.

Metadatos de la aplicación asociados a actividades sospechosas relacionadas con el correo

Gravedad: media

Identificadores de MITRE: T1114

Esta detección genera alertas para aplicaciones que no son de Microsoft OAuth con metadatos, como nombre, dirección URL o publicador, que se habían observado anteriormente en aplicaciones con actividad sospechosa relacionada con el correo. Esta aplicación podría formar parte de una campaña de ataque y podría estar implicada en la filtración de información confidencial.

¿TP o FP?

• TP: si puede confirmar que la aplicación ha creado reglas de buzón o ha realizado un gran número de llamadas Graph API inusuales a la carga de trabajo de Exchange.

  Acción recomendada:

  • Investigue los detalles de registro de la aplicación sobre la gobernanza de la aplicación y visite Microsoft Entra ID para obtener más detalles.
  • Póngase en contacto con los usuarios o administradores que concedieron consentimiento o permisos a la aplicación. Compruebe si los cambios fueron intencionados.
  • Busque en la tabla de búsqueda CloudAppEvents Advanced para comprender la actividad de la aplicación e identificar los datos a los que accede la aplicación. Compruebe los buzones afectados y revise los mensajes que podrían haber sido leídos o reenviados por la propia aplicación o las reglas que ha creado.
  • Compruebe si la aplicación es crítica para su organización antes de considerar las acciones de contención. Desactive la aplicación mediante la gobernanza de la aplicación o Microsoft Entra ID para evitar que acceda a los recursos. Es posible que las directivas de gobernanza de aplicaciones existentes ya hayan desactivado la aplicación.

• FP: si puede confirmar que la aplicación no realizó ninguna actividad inusual y que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta

Comprender el alcance de la infracción

1. Revise todas las actividades realizadas por la aplicación.
2. Revise los ámbitos concedidos a la aplicación.
3. Revise la actividad de usuario asociada a la aplicación.

Aplicación con permisos de aplicación de EWS que accede a numerosos correos electrónicos

Gravedad: media

Identificadores de MITRE: T1114

Esta detección genera alertas para aplicaciones en la nube multiinquilino con permisos de aplicación de EWS que muestran un aumento significativo de las llamadas a la API de Exchange Web Services que son específicas de la enumeración y recopilación de correo electrónico. Esta aplicación podría estar implicada en el acceso y la recuperación de datos de correo electrónico confidenciales.

¿TP o FP?

• TP: si puede confirmar que la aplicación ha accedido a datos de correo electrónico confidenciales o ha realizado un gran número de llamadas inusuales a la carga de trabajo de Exchange.

  Acción recomendada:

  • Investigue los detalles de registro de la aplicación sobre la gobernanza de la aplicación y visite Microsoft Entra ID para obtener más detalles.
  • Póngase en contacto con los usuarios o administradores que concedieron consentimiento o permisos a la aplicación. Compruebe si los cambios fueron intencionados.
  • Busque en la tabla de búsqueda CloudAppEvents Advanced para comprender la actividad de la aplicación e identificar los datos a los que accede la aplicación. Compruebe los buzones afectados y revise los mensajes que podrían haber sido leídos o reenviados por la propia aplicación o las reglas que ha creado.
  • Compruebe si la aplicación es crítica para su organización antes de considerar las acciones de contención. Desactive la aplicación mediante la gobernanza de la aplicación o Microsoft Entra ID para evitar que acceda a los recursos. Es posible que las directivas de gobernanza de aplicaciones existentes ya hayan desactivado la aplicación.

• FP: si puede confirmar que la aplicación no realizó ninguna actividad inusual y que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta

Comprender el alcance de la infracción

1. Revise todas las actividades realizadas por la aplicación.
2. Revise los ámbitos concedidos a la aplicación.
3. Revise la actividad de usuario asociada a la aplicación.

Aplicación sin usar que acaba de acceder a las API

Gravedad: media

Identificadores de MITRE: T1530

Esta detección genera alertas para una aplicación en la nube multiinquilino que ha estado inactiva durante un tiempo y que recientemente ha empezado a realizar llamadas API. Es posible que un atacante ponga en peligro esta aplicación y que se use para acceder a datos confidenciales y recuperarlos.

¿TP o FP?

• TP: si puede confirmar que la aplicación ha accedido a datos confidenciales o ha realizado un gran número de llamadas inusuales a cargas de trabajo de Microsoft Graph, Exchange o Azure Resource Manager.

  Acción recomendada:

  • Investigue los detalles de registro de la aplicación sobre la gobernanza de la aplicación y visite Microsoft Entra ID para obtener más detalles.
  • Póngase en contacto con los usuarios o administradores que concedieron consentimiento o permisos a la aplicación. Compruebe si los cambios fueron intencionados.
  • Busque en la tabla de búsqueda CloudAppEvents Advanced para comprender la actividad de la aplicación e identificar los datos a los que accede la aplicación. Compruebe los buzones afectados y revise los mensajes que podrían haber sido leídos o reenviados por la propia aplicación o las reglas que ha creado.
  • Compruebe si la aplicación es crítica para su organización antes de considerar las acciones de contención. Desactive la aplicación mediante la gobernanza de la aplicación o Microsoft Entra ID para evitar que acceda a los recursos. Es posible que las directivas de gobernanza de aplicaciones existentes ya hayan desactivado la aplicación.

• FP: si puede confirmar que la aplicación no realizó ninguna actividad inusual y que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta

Comprender el alcance de la infracción

1. Revise todas las actividades realizadas por la aplicación.
2. Revise los ámbitos concedidos a la aplicación.
3. Revise la actividad de usuario asociada a la aplicación.

Alertas de impacto

En esta sección se describen las alertas que indican que un actor malintencionado puede estar intentando manipular, interrumpir o destruir los sistemas y los datos de su organización.

Aplicación entra línea de negocio que inicia un pico anómalo en la creación de máquinas virtuales

Gravedad: media

Id. de MITRE: T1496

Esta detección identifica una nueva aplicación de OAuth de un solo inquilino que crea la mayor parte de azure Virtual Machines en el inquilino mediante la API de Azure Resource Manager.

¿TP o FP?

• TP: si puede confirmar que la aplicación OAuth se ha creado recientemente y está creando un gran número de Virtual Machines en el inquilino, se indica un verdadero positivo.

  Acciones recomendadas: revise las máquinas virtuales creadas y los cambios recientes realizados en la aplicación. En función de la investigación, puede optar por prohibir el acceso a esta aplicación. Revise el nivel de permiso solicitado por esta aplicación y qué usuarios han concedido el acceso.

• Falso positivo (FP): Si tras la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Comprenda el ámbito de la infracción:

1. Revise las aplicaciones creadas recientemente y las máquinas virtuales creadas.
2. Revise todas las actividades realizadas por la aplicación desde su creación.
3. Revise los ámbitos concedidos por la aplicación en Graph API y el rol que se le concede en la suscripción.

Se observó que la aplicación OAuth con privilegios de alto ámbito en Microsoft Graph iniciaba la creación de máquinas virtuales

Gravedad: media

Id. de MITRE: T1496

Esta detección identifica la aplicación de OAuth que crea la mayor parte de azure Virtual Machines en el inquilino mediante la API de Azure Resource Manager, al tiempo que tiene privilegios elevados en el inquilino a través de MS Graph API antes de la actividad.

¿TP o FP?

• TP: si puede confirmar que se ha creado la aplicación OAuth que tiene ámbitos de privilegios elevados y está creando un gran número de Virtual Machines en el inquilino, se indica un verdadero positivo.

  Acciones recomendadas: revise las máquinas virtuales creadas y los cambios recientes realizados en la aplicación. En función de la investigación, puede optar por prohibir el acceso a esta aplicación. Revise el nivel de permiso solicitado por esta aplicación y qué usuarios han concedido el acceso.

• Falso positivo (FP): Si tras la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Comprenda el ámbito de la infracción:

1. Revise las aplicaciones creadas recientemente y las máquinas virtuales creadas.
2. Revise todas las actividades realizadas por la aplicación desde su creación.
3. Revise los ámbitos concedidos por la aplicación en Graph API y el rol que se le concede en la suscripción.

Pasos siguientes

Administración de alertas de gobernanza de aplicaciones