Investigación de alertas de directiva de aplicaciones predefinidas

La gobernanza de aplicaciones proporciona alertas de directiva de aplicaciones predefinidas para actividades anómalas. El objetivo de esta guía es proporcionarle información general y práctica sobre cada alerta, para ayudarle en sus tareas de investigación y corrección.

En esta guía se incluye información general sobre las condiciones de activación de las alertas. Dado que las directivas predefinidas son no deterministas por naturaleza, solo se desencadenan cuando hay un comportamiento que se desvía de la norma.

Sugerencia

Algunas alertas pueden estar en versión preliminar, por lo que revise periódicamente los estados de alerta actualizados.

Clasificación de las alertas de seguridad

Tras una investigación adecuada, todas las alertas de gobernanza de aplicaciones se pueden clasificar en uno de los siguientes tipos de actividad:

• Verdadero positivo (TP): una alerta sobre una actividad malintencionada confirmada.
• Verdadero positivo benigno (B-TP): una alerta sobre actividades sospechosas pero no malintencionadas, como una prueba de penetración u otra acción sospechosa autorizada.
• Falso positivo (FP): una alerta sobre una actividad no confiable.

Pasos generales de la investigación

Utilice las siguientes directrices generales cuando investigue cualquier tipo de alerta para obtener una comprensión más clara de la amenaza potencial antes de aplicar la acción recomendada.

1. Revise el nivel de gravedad de la aplicación y compárelo con el resto de aplicaciones en su inquilino. Esta revisión le ayuda a identificar qué aplicaciones del inquilino suponen un mayor riesgo.

2. Si identifica un TP, revise todas las actividades de la aplicación para comprender el impacto. Por ejemplo, revise la siguiente información de la aplicación:

   • Ámbitos de acceso concedidos
   • Comportamiento inusual
   • Dirección IP y ubicación

Alertas de directiva de aplicaciones predefinidas

En esta sección se proporciona información sobre cada alerta de directiva predefinida, junto con los pasos para la investigación y la corrección.

Aumento del uso de datos por parte de una aplicación con privilegios excesivos o con privilegios elevados

Gravedad: media

Busque aplicaciones con permisos eficaces o sin usar que muestren aumentos repentinos en el uso de datos a través de Graph API. Los cambios inusuales en el uso de datos pueden indicar un riesgo.

¿TP o FP?

Para determinar si la alerta es un verdadero positivo (TP) o un falso positivo (FP), revise todas las actividades realizadas por la aplicación, los ámbitos concedidos a la aplicación y la actividad del usuario asociada a la aplicación.

• TP: aplique esta acción recomendada si ha confirmado que el aumento del uso de datos por parte de una aplicación con privilegios excesivos o con privilegios elevados es irregular o potencialmente malintencionado.

  Acción recomendada: póngase en contacto con los usuarios sobre las actividades de la aplicación que han provocado el aumento del uso de datos. Deshabilite temporalmente la aplicación, restablezca la contraseña y vuelva a habilitarla.

• FP: aplique esta acción recomendada si ha confirmado que la actividad de la aplicación detectada está pensada y tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Actividad inusual desde una aplicación con el consentimiento de la cuenta de prioridad

Gravedad: media

Busque aumentos inusuales en el uso de datos o en los errores de acceso Graph API que muestran las aplicaciones a las que una cuenta de prioridad ha dado su consentimiento.

¿TP o FP?

Revise todas las actividades realizadas por la aplicación, los ámbitos concedidos a la aplicación y la actividad de usuario asociada a la aplicación.

• TP: aplique esta acción recomendada si ha confirmado que el aumento del uso de datos o los errores de acceso a la API por parte de una aplicación con consentimiento de una cuenta de prioridad es altamente irregular o potencialmente malintencionado.

  Acción recomendada: póngase en contacto con los usuarios de la cuenta de prioridad sobre las actividades de la aplicación que han provocado el aumento del uso de datos o de los errores de acceso a la API. Deshabilite temporalmente la aplicación, restablezca la contraseña y vuelva a habilitarla.

• FP: aplique esta acción recomendada si ha confirmado que la actividad de la aplicación detectada está pensada y tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Nueva aplicación con baja tasa de consentimiento

Gravedad: media

Los usuarios han rechazado con frecuencia las solicitudes de consentimiento de una aplicación recién creada. Normalmente, los usuarios rechazan las solicitudes de consentimiento de aplicaciones que han mostrado un comportamiento inesperado o que han llegado desde un origen que no es de confianza. Es más probable que las aplicaciones que tienen tasas de consentimiento bajas sean de riesgo o malintencionadas.

¿TP o FP?

Revise todas las actividades realizadas por la aplicación, los ámbitos concedidos a la aplicación y la actividad de usuario asociada a la aplicación.

• TP: aplique esta acción recomendada si ha confirmado que la aplicación procede de un origen desconocido y sus actividades han sido muy irregulares o potencialmente malintencionadas.

  Acción recomendada: deshabilite temporalmente la aplicación, restablezca la contraseña y vuelva a habilitarla.

• FP: aplique esta acción recomendada si ha confirmado que la actividad de la aplicación detectada es legítima.

  Acción recomendada: descartar la alerta.

Aumento en las llamadas Graph API realizadas a OneDrive

Gravedad: media

Una aplicación en la nube mostró un aumento significativo en las llamadas Graph API a OneDrive. Esta aplicación podría estar implicada en la filtración de datos u otros intentos de acceso y recuperación de datos confidenciales.

¿TP o FP?

Revise todas las actividades realizadas por la aplicación, los ámbitos concedidos a la aplicación y la actividad de usuario asociada a la aplicación.

• TP: aplique esta acción recomendada si ha confirmado que las actividades altamente irregulares y potencialmente malintencionadas han dado lugar al aumento detectado del uso de OneDrive.

  Acción recomendada: deshabilite temporalmente la aplicación, restablezca la contraseña y vuelva a habilitarla.

• FP: aplique esta acción recomendada si ha confirmado que la actividad de la aplicación detectada es legítima.

  Acción recomendada: descartar la alerta.

Pico en las llamadas Graph API realizadas a SharePoint

Gravedad: media

Una aplicación en la nube mostró un aumento significativo en las llamadas Graph API a SharePoint. Esta aplicación podría estar implicada en la filtración de datos u otros intentos de acceso y recuperación de datos confidenciales.

¿TP o FP?

Revise todas las actividades realizadas por la aplicación, los ámbitos concedidos a la aplicación y la actividad de usuario asociada a la aplicación.

• TP: aplique esta acción recomendada si ha confirmado que las actividades altamente irregulares y potencialmente malintencionadas han dado lugar al aumento detectado del uso de SharePoint.

  Acción recomendada: deshabilite temporalmente la aplicación, restablezca la contraseña y vuelva a habilitarla.

• FP: aplique esta acción recomendada si ha confirmado que la actividad de la aplicación detectada es legítima.

  Acción recomendada: descartar la alerta.

Aumento en las llamadas Graph API realizadas a Exchange

Gravedad: media

Una aplicación en la nube mostró un aumento significativo en las llamadas Graph API a Exchange. Esta aplicación podría estar implicada en la filtración de datos u otros intentos de acceso y recuperación de datos confidenciales.

¿TP o FP?

Revise todas las actividades realizadas por la aplicación, los ámbitos concedidos a la aplicación y la actividad de usuario asociada a la aplicación.

• TP: aplique esta acción recomendada si ha confirmado que las actividades altamente irregulares y potencialmente malintencionadas han dado lugar al aumento detectado del uso de Exchange.

  Acción recomendada: deshabilite temporalmente la aplicación, restablezca la contraseña y vuelva a habilitarla.

• FP: aplique esta acción recomendada si ha confirmado que la actividad de la aplicación detectada es legítima.

  Acción recomendada: descartar la alerta.

Aplicación sospechosa con acceso a varios servicios de Microsoft 365

Gravedad: media

Busque aplicaciones con acceso de OAuth a varios servicios de Microsoft 365 que han mostrado actividad de Graph API estadísticamente anómala después de una actualización de certificado o secreto. Al identificar estas aplicaciones y comprobar si están en peligro, puede evitar el movimiento lateral, la filtración de datos y otras actividades malintencionadas que atraviesan carpetas en la nube, correos electrónicos y otros servicios.

¿TP o FP?

Revise todas las actividades realizadas por la aplicación, los ámbitos concedidos a la aplicación y la actividad de usuario asociada a la aplicación.

• TP: aplique esta acción recomendada si ha confirmado que las actualizaciones de los certificados o secretos de la aplicación y otras actividades de la aplicación han sido muy irregulares o potencialmente malintencionadas.

  Acción recomendada: deshabilite temporalmente la aplicación, restablezca la contraseña y vuelva a habilitarla.

• FP: aplique esta acción recomendada si ha confirmado que la actividad de la aplicación detectada es legítima.

  Acción recomendada: descartar la alerta.

Gran volumen de actividad de creación de reglas de bandeja de entrada por parte de una aplicación

Gravedad: media

Una aplicación realizó un gran número de llamadas Graph API para crear reglas de bandeja de entrada de Exchange. Esta aplicación podría estar implicada en la recopilación y filtración de datos u otros intentos de acceder a información confidencial y recuperarla.

¿TP o FP?

Revise todas las actividades realizadas por la aplicación, los ámbitos concedidos a la aplicación y la actividad de usuario asociada a la aplicación.

• TP: aplique esta acción recomendada si ha confirmado que la creación de reglas de bandeja de entrada y otras actividades han sido altamente irregulares o potencialmente malintencionadas.

  Acción recomendada: deshabilite temporalmente la aplicación, restablezca la contraseña y vuelva a habilitarla.

• FP: aplique esta acción recomendada si ha confirmado que la actividad de la aplicación detectada es legítima.

  Acción recomendada: descartar la alerta.

Gran volumen de actividad de búsqueda de correo electrónico por parte de una aplicación

Gravedad: media

Una aplicación realizó un gran número de llamadas Graph API para buscar contenido de correo electrónico de Exchange. Esta aplicación podría estar implicada en la recopilación de datos u otros intentos de acceder a información confidencial y recuperarla.

¿TP o FP?

Revise todas las actividades realizadas por la aplicación, los ámbitos concedidos a la aplicación y la actividad de usuario asociada a la aplicación.

• TP: aplique esta acción recomendada si ha confirmado que las búsquedas de contenido en Exchange y otras actividades han sido altamente irregulares o potencialmente malintencionadas.

  Acción recomendada: deshabilite temporalmente la aplicación, restablezca la contraseña y vuelva a habilitarla.

• FP: si puede confirmar que la aplicación no realizó ninguna actividad de búsqueda de correo inusual o que la aplicación está pensada para realizar actividades de búsqueda de correo inusuales a través de Graph API.

  Acción recomendada: descartar la alerta.

Gran volumen de actividad de envío de correo electrónico por parte de una aplicación

Gravedad: media

Una aplicación realizó un gran número de llamadas Graph API para enviar mensajes de correo electrónico mediante Exchange Online. Esta aplicación podría estar implicada en la recopilación y filtración de datos u otros intentos de acceder a información confidencial y recuperarla.

¿TP o FP?

Revise todas las actividades realizadas por la aplicación, los ámbitos concedidos a la aplicación y la actividad de usuario asociada a la aplicación.

• TP: aplique esta acción recomendada si ha confirmado que el envío de mensajes de correo electrónico y otras actividades han sido altamente irregulares o potencialmente malintencionados.

  Acción recomendada: deshabilite temporalmente la aplicación, restablezca la contraseña y vuelva a habilitarla.

• FP: si puedes confirmar que la aplicación no realizó ninguna actividad de envío de correo inusual o que la aplicación está pensada para realizar actividades de envío de correo inusuales a través de Graph API.

  Acción recomendada: descartar la alerta.

Acceso a datos confidenciales

Gravedad: media

Busque aplicaciones que accedan a datos confidenciales identificados por etiquetas específicas.

¿TP o FP?

Para determinar si la alerta es un verdadero positivo (TP) o un falso positivo (FP), revise los recursos a los que accede la aplicación.

• TP: aplique esta acción recomendada si ha confirmado que la aplicación o la actividad detectada son irregulares o potencialmente malintencionadas.

  Acción recomendada: evite que la aplicación acceda a los recursos mediante la desactivación de Microsoft Entra ID.

• FP: aplique esta acción recomendada si ha confirmado que la aplicación tiene un uso empresarial legítimo en la organización y se esperaba la actividad detectada.

  Acción recomendada: descartar la alerta.

Pasos siguientes

Más información sobre la detección y corrección de aplicaciones