Sovelluksen hallinnan uhkien havaitsemisilmoitusten tutkiminen

Sovellusten hallinta tarjoaa suojauksen tunnistuksia ja hälytyksiä haitallisia toimintoja varten. Tässä artikkelissa on kunkin ilmoituksen tiedot, jotka voivat auttaa tutkinnassa ja korjaamisessa, mukaan lukien ilmoitusten käynnistymisen ehdot. Koska uhkien havaitseminen on luonteeltaan epädeterminististä, ne käynnistyvät vain, kun toiminta poikkeaa normista.

Lisätietoja on kohdassa Sovellusten hallinta Microsoft Defender for Cloud Apps

Huomautus

Sovellusten hallinnan uhkien havaitseminen perustuu tilapäisten ja tallentamatta jätettävien tietojen toimintoihin, joten hälytykset voivat tarjota toimintojen määrän tai viitteitä piikeistä, mutta eivät välttämättä kaikkia olennaisia tietoja. Erityisesti OAuth-sovellusten Graph-ohjelmointirajapintatoiminnoissa vuokraaja voi valvoa itse toimintoja Log Analyticsin ja Sentinel avulla.

Lisätietoja:

• Microsoft Graphin toimintolokien käyttäminen
• Toimintolokien analysointi Log Analyticsin avulla

Yleiset tutkimusvaiheet

Sovellusten hallinnointiin liittyvien ilmoitusten etsiminen

Jos haluat etsiä erityisesti sovellusten hallinnointiin liittyviä ilmoituksia, siirry XDR-portaalin Ilmoitukset-sivulle. Suodata hälytykset "Palvelun/tunnistuksen lähteet" -kentän avulla Hälytysten luettelossa. Määritä tämän kentän arvoksi "Sovellusten hallinta", jotta voit tarkastella kaikkia Sovellusten hallinnan luomia ilmoituksia.

Yleiset ohjeet

Käytä seuraavia yleisiä ohjeita, kun tutkit minkä tahansa tyyppisiä ilmoituksia, jotta saat selkeämmän käsityksen mahdollisesta uhasta ennen suositellun toiminnon soveltamista.

• Tarkista sovelluksen vakavuustaso ja vertaa sitä muihin vuokraajasi sovelluksiin. Tämän arvion avulla voit tunnistaa, mitkä vuokraajasi sovellukset aiheuttavat suuremman riskin.

• Jos tunnistat TP:n, tarkista kaikki sovellustoiminnot saadaksesi käsityksen vaikutuksista. Voit esimerkiksi tarkastella seuraavia sovellustietoja:

  • Käyttöalueiden myönnetty käyttöoikeus
  • Epätavallinen käyttäytyminen
  • IP-osoite ja sijainti

Suojaushälytysten luokitukset

Asianmukaisen tutkimuksen jälkeen kaikki sovellusten hallintoilmoitukset voidaan luokitella yhdeksi seuraavista toimintatyypeistä:

• True positive (TP): Ilmoitus vahvistetusta haitallisesta toiminnasta.
• Benign true positive (B-TP): Ilmoitus epäilyttävästä mutta ei haitallisesta toiminnasta, kuten penetraatiotestistä tai muusta valtuutetusta epäilyttävästä toiminnasta.
• Epätosi-positiivinen (FP): Ilmoitus ei-haitallisista toimista.

MITRE ATT&CK

Jotta sovellusten hallintoilmoitusten ja tutun MITRE ATT&CK Matrixin välisen suhteen yhdistäminen olisi helpompaa, olemme luokitelleet hälytykset niitä vastaavan MITRE ATT&CK -taktiikkansa perusteella. Tämän ylimääräisen viittauksen avulla on helpompi ymmärtää epäiltyjen hyökkäysten tekniikkaa, joka on mahdollisesti käytössä, kun sovelluksen hallintohälytys käynnistetään.

Tässä oppaassa on tietoja sovellusten hallintoilmoitusten tutkimisesta ja korjaamisesta seuraavissa luokissa.

• Alkukäyttö
• Teloitus
• Sitkeys
• Oikeuksien eskalointi
• Puolustuksen välttely
• Tunnistetietojen käyttö
• Löytö
• Sivusuuntainen liike
• Kokoelma
• Suodatus
• Vaikutus

Ensimmäiset käyttöoikeusilmoitukset

Tässä osiossa kuvataan hälytyksiä, jotka ilmaisevat, että haitallinen sovellus saattaa yrittää säilyttää jalansijaa organisaatiossasi.

Sovellus ohjaa tietojenkalastelun URL-osoitteeseen hyödyntämällä OAuth-uudelleenohjauksen haavoittuvuutta

Vakavuus: Keskikoko

Tämä tunnistus tunnistaa tietojenkalastelun URL-osoitteisiin uudelleenohjattavat OAuth-sovellukset hyödyntämällä OAuth-toteutuksen vastaustyyppiparametria Microsoft Graph -ohjelmointirajapinnan kautta.

TP vai FP?

• TP: Jos voit vahvistaa, että OAuth-sovellus toimitettiin tuntemattomasta lähteestä, vastauksen URL-osoitteen vastaustyyppi OAuth-sovellukseen suostumuksen jälkeen sisältää virheellisen pyynnön ja ohjaa sen tuntemattomaan tai ei-luotettuun vastauksen URL-osoitteeseen.

  Suositeltu toiminto: Poista sovellus käytöstä ja poista se, palauta salasana ja poista Saapuneet-kansion sääntö. 

• FP: Jos voit tutkinnan jälkeen vahvistaa, että sovelluksella on laillinen yrityskäyttö organisaatiossa.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkastele kaikkia sovelluksen tekemiä toimintoja. 
2. Tarkista sovelluksen myöntämät käyttöalueet. 

OAuth-sovellus, jossa on epäilyttävä vastauksen URL-osoite

Vakavuus: Keskikoko

Tämä tunnistaminen tunnistaa, että OAuth-sovellus on saanut epäilyttävän Vastauksen URL-osoitteen Microsoft Graph -ohjelmointirajapinnan kautta.

TP vai FP?

• TP: Jos voit vahvistaa, että OAuth-sovellus toimitetaan tuntemattomasta lähteestä, ja ohjaa epäilyttävään URL-osoitteeseen, ilmaisee true-positiivisen. Epäilyttävä URL-osoite on osoite, jossa URL-osoitteen maine on tuntematon, ei luotettu tai jonka toimialue on rekisteröity äskettäin ja sovelluspyyntöön liittyy laaja-alainen käyttöoikeus.

  Suositeltu toiminto: Tarkista vastauksen URL-osoite, toimialueet ja käyttöalueet, joita sovellus pyytää. Tutkimusten perusteella voit kieltää tämän sovelluksen käytön. Tarkista tämän sovelluksen pyytämä käyttöoikeustaso ja se, mille käyttäjille on myönnetty käyttöoikeus.

  Jos haluat kieltää sovelluksen käytön, siirry sovelluksen asianmukaiseen välilehteen Sovelluksen hallinta -sivulla. Valitse kiellettävän sovelluksen riviltä kieltokuvake. Voit valita, haluatko kertoa käyttäjille, että heidän asentamansa ja valtuuttamansa sovellus on kielletty. Ilmoitus kertoo käyttäjille, että sovellus poistetaan käytöstä, eivätkä he voi käyttää yhdistettyä sovellusta. Jos et halua heidän tietävän, poista valintaikkunassa Ilmoitus käyttäjille, jotka ovat myöntäneet käyttöoikeuden tähän kiellettyyn sovellukseen . Suosittelemme, että ilmoitat sovelluksen käyttäjille sovelluksen käyttökiellosta.

• FP: Jos voit tutkinnan jälkeen vahvistaa, että sovelluksella on laillinen yrityskäyttö organisaatiossa.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista sovellukset, jotka on luotu äskettäin, ja niiden Vastaus-URL-osoitteet.

2. Tarkastele kaikkia sovelluksen tekemiä toimintoja. 

3. Tarkista sovelluksen myöntämät käyttöalueet. 

Äskettäin luodulla sovelluksella on alhainen suostumusaste

Vakavuusaste: Pieni

Tämä tunnistaminen tunnistaa OAuth-sovelluksen, joka on luotu äskettäin ja jonka suostumusaste on havaittu alhaiseksi. Tämä voi tarkoittaa haitallista tai riskialtista sovellusta, joka houkuttelee käyttäjiä laittomilla suostumusavustuksilla.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että OAuth-sovellus on toimitettu tuntemattomasta lähteestä, todellinen positiivinen tulos on ilmoitettu.

  Suositeltu toiminto: Tarkista sovelluksen näyttönimi, Vastauksen URL-osoitteet ja toimialueet. Tutkimuksen perusteella voit kieltää tämän sovelluksen käytön. Tarkista tämän sovelluksen pyytämä käyttöoikeustaso ja se, ketkä käyttäjät ovat myöntäneet käyttöoikeuden.

• FP: Jos voit tutkinnan jälkeen vahvistaa, että sovelluksella on laillinen yrityskäyttö organisaatiossa.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkastele kaikkia sovelluksen tekemiä toimintoja.
2. Jos epäilet sovelluksen olevan epäilyttävä, suosittelemme tutkimaan sovelluksen nimen ja vastaustoimialueen eri sovelluskaupoissa. Kun tarkistat sovelluskauppoja, keskity seuraavantyyppisiin sovelluksiin:
   • Sovellukset, jotka on luotu äskettäin
   • Sovellus, jolla on epätavallinen näyttönimi
   • Sovellukset, joilla on epäilyttävä Vastaus-toimialue
3. Jos epäilet sovelluksen olevan epäilyttävä, voit tutkia sovelluksen näyttönimeä ja vastaustoimialuetta.

Sovellus, jolla on huono URL-maine

Vakavuus: Keskikoko

Tämä tunnistus tunnistaa OAuth-sovelluksen, jolla todettiin olevan huono URL-maine.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että OAuth-sovellus on toimitettu tuntemattomasta lähteestä ja ohjaa epäilyttävään URL-osoitteeseen, tosi-positiivinen näytetään.

  Suositeltu toiminto: Tarkista sovelluksen pyytämät vastauksen URL-osoitteet, toimialueet ja käyttöalueet. Tutkimuksen perusteella voit kieltää tämän sovelluksen käytön. Tarkista tämän sovelluksen pyytämä käyttöoikeustaso ja se, ketkä käyttäjät ovat myöntäneet käyttöoikeuden.

• FP: Jos voit tutkinnan jälkeen vahvistaa, että sovelluksella on laillinen yrityskäyttö organisaatiossa.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkastele kaikkia sovelluksen tekemiä toimintoja.
2. Jos epäilet sovelluksen olevan epäilyttävä, suosittelemme tutkimaan sovelluksen nimen ja vastaustoimialueen eri sovelluskaupoissa. Kun tarkistat sovelluskauppoja, keskity seuraavantyyppisiin sovelluksiin:
   • Sovellukset, jotka on luotu äskettäin
   • Sovellus, jolla on epätavallinen näyttönimi
   • Sovellukset, joilla on epäilyttävä Vastaus-toimialue
3. Jos epäilet sovelluksen olevan epäilyttävä, voit tutkia sovelluksen näyttönimeä ja vastaustoimialuetta.

Koodatun sovelluksen nimi, jossa on epäilyttävät suostumusalueet

Vakavuus: Keskikoko

Kuvaus: Tämä tunnistus tunnistaa OAuth-sovellukset merkeillä, kuten Unicodella tai koodatuilla merkeillä, joita pyydetään epäilyttäviin suostumusalueisiin ja jotka käyttävät käyttäjien postikansioita Graph-ohjelmointirajapinnan kautta. Tämä ilmoitus voi olla merkki yrityksestä naamioida haitallinen sovellus tunnetuksi ja luotetuksi sovellukseksi, jotta vastustajat voivat harhaanjohtaa käyttäjät suostumaan haitalliseen sovellukseen.

TP vai FP?

• TP: Jos voit vahvistaa, että OAuth-sovellus on koodannut näyttönimen epäilyttävillä vaikutusalueilla, jotka on toimitettu tuntemattomasta lähteestä, tosi-positiivinen on ilmoitettu.

  Suositeltu toiminto: Tarkista tämän sovelluksen pyytämä käyttöoikeustaso ja se, ketkä käyttäjät ovat myöntäneet käyttöoikeuden. Tutkimuksen perusteella voit kieltää tämän sovelluksen käytön.

  Jos haluat kieltää sovelluksen käytön, siirry sovelluksen asianmukaiseen välilehteen Sovelluksen hallinta -sivulla. Valitse kiellettävän sovelluksen riviltä kieltokuvake. Voit valita, haluatko kertoa käyttäjille, että heidän asentamansa ja valtuuttamansa sovellus on kielletty. Ilmoitus kertoo käyttäjille, että sovellus poistetaan käytöstä, eivätkä he voi käyttää yhdistettyä sovellusta. Jos et halua heidän tietävän, poista valintaikkunassa Ilmoitus käyttäjille, jotka ovat myöntäneet käyttöoikeuden tähän kiellettyyn sovellukseen. Suosittelemme, että ilmoitat sovelluksen käyttäjille sovelluksen käyttökiellosta.

• FP: Jos haluat vahvistaa, että sovelluksella on koodattu nimi, mutta että sillä on laillinen yrityskäyttö organisaatiossa.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

Seuraa opetusohjelmaa, jossa kerrotaan , miten riskialttiit OAuth-sovellukset tutkitaan.

OAuth-sovelluksella, jolla on Luku-vaikutusalueet, on epäilyttävä Url-vastausosoite

Vakavuus: Keskikoko

Kuvaus: Tämä tunnistus tunnistaa OAuth-sovelluksen, jolla on vain Luku-vaikutusalueita, kuten User.Read, Ihmiset. Read, Contacts.Read, Mail.Read, Contacts.Read. Jaetut uudelleenohjaukset epäilyttävään Vastauksen URL-osoitteeseen Graph-ohjelmointirajapinnan kautta. Tämä toiminto yrittää osoittaa, että haitallista sovellusta, jolla on vähemmän oikeuksia (kuten lukualueet), voidaan hyödyntää käyttäjien tilin tiedustelun suorittamiseen.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että OAuth-sovellus, jonka vaikutusalue on lukualue, toimitetaan tuntemattomasta lähteestä ja ohjaa sen epäilyttävään URL-osoitteeseen, todellinen positiivinen tulos on merkitty.

  Suositeltu toiminto: Tarkista vastauksen URL-osoite ja sovelluksen pyytämät käyttöalueet. Tutkimuksen perusteella voit kieltää tämän sovelluksen käytön. Tarkista tämän sovelluksen pyytämä käyttöoikeustaso ja se, ketkä käyttäjät ovat myöntäneet käyttöoikeuden.

  Jos haluat kieltää sovelluksen käytön, siirry sovelluksen asianmukaiseen välilehteen Sovelluksen hallinta -sivulla. Valitse kiellettävän sovelluksen riviltä kieltokuvake. Voit valita, haluatko kertoa käyttäjille, että heidän asentamansa ja valtuuttamansa sovellus on kielletty. Ilmoitus kertoo käyttäjille, että sovellus poistetaan käytöstä, eivätkä he voi käyttää yhdistettyä sovellusta. Jos et halua heidän tietävän, poista valintaikkunassa Ilmoitus käyttäjille, jotka ovat myöntäneet käyttöoikeuden tähän kiellettyyn sovellukseen. Suosittelemme, että ilmoitat sovelluksen käyttäjille sovelluksen käyttökiellosta.

• B-TP: Tutkimuksen jälkeen voit vahvistaa, että sovelluksella on laillinen yrityskäyttö organisaatiossa.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkastele kaikkia sovelluksen tekemiä toimintoja.
2. Jos epäilet sovelluksen olevan epäilyttävä, suosittelemme tutkimaan sovelluksen nimen ja Vastauksen URL-osoitteen eri sovelluskaupoissa. Kun tarkistat sovelluskauppoja, keskity seuraavantyyppisiin sovelluksiin:
   • Sovellukset, jotka on luotu äskettäin.
   • Sovellukset, joilla on epäilyttävä vastauksen URL-osoite
   • Sovellukset, joita ei ole päivitetty äskettäin. Päivitysten puuttuminen saattaa tarkoittaa, että sovellusta ei enää tueta.
3. Jos epäilet sovelluksen olevan epäilyttävä, voit tutkia sovelluksen nimeä, julkaisijan nimeä ja vastata URL-osoitteeseen verkossa

Sovellus, jolla on epätavallinen näyttönimi ja epätavallinen TLD Vastaus-toimialueella

Vakavuus: Keskikoko

Tämä tunnistus tunnistaa sovelluksen epätavallisella näyttönimellä ja ohjaa epäilyttävään vastaustoimialueeseen epätavallisella ylimmän tason toimialueella (TLD) Graph-ohjelmointirajapinnan kautta. Tämä voi tarkoittaa yritystä naamioida haitallinen tai riskialtis sovellus tunnetuksi ja luotetuksi sovellukseksi, jotta vastustajat voivat harhaanjohtaa käyttäjät suostumaan haitallisiin tai riskialttiisiin sovelluksiinsa. 

TP vai FP?

• TP: Jos pystyt vahvistamaan, että sovellus, jolla on epätavallinen näyttönimi, joka toimitetaan tuntemattomasta lähteestä, ja ohjaa epäilyttävälle toimialueelle, jolla on epätavallinen ylimmän tason toimialue

  Suositeltu toiminto: Tarkista sovelluksen näyttönimi ja Vastaus-toimialue. Tutkimuksen perusteella voit kieltää tämän sovelluksen käytön. Tarkista tämän sovelluksen pyytämä käyttöoikeustaso ja se, ketkä käyttäjät ovat myöntäneet käyttöoikeuden.

• FP: Jos voit tutkinnan jälkeen vahvistaa, että sovelluksella on laillinen yrityskäyttö organisaatiossa.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

Tarkastele kaikkia sovelluksen tekemiä toimintoja. Jos epäilet sovelluksen olevan epäilyttävä, suosittelemme tutkimaan sovelluksen nimen ja vastaustoimialueen eri sovelluskaupoissa. Kun tarkistat sovelluskauppoja, keskity seuraavantyyppisiin sovelluksiin:

• Sovellukset, jotka on luotu äskettäin
• Sovellus, jolla on epätavallinen näyttönimi
• Sovellukset, joilla on epäilyttävä Vastaus-toimialue

Jos epäilet sovelluksen olevan epäilyttävä, voit tutkia sovelluksen näyttönimeä ja vastaustoimialuetta.

Uusi sovellus, jonka sähköpostin käyttöoikeudet ovat alhaisen suostumuksen kaavoja

Vakavuus: Keskikoko

Tämä tunnistus tunnistaa hiljattain luodut OAuth-sovellukset suhteellisen uusissa julkaisijan vuokraajissa seuraavilla ominaisuuksilla:

• Oikeudet postilaatikon asetusten käyttämiseen tai muuttamiseen
• Suhteellisen alhainen suostumusaste, joka voi tunnistaa ei-toivotut tai jopa haitalliset sovellukset, jotka yrittävät saada suostumuksen pahaa-aavistamattomille käyttäjille

TP vai FP?

• TP: Jos pystyt vahvistamaan, että suostumuspyyntö sovellukselle on toimitettu tuntemattomasta tai ulkoisesta lähteestä eikä sovelluksella ole laillista yrityskäyttöä organisaatiossa, todellinen positiivinen tulos on merkitty.

  Suositeltu toiminto:

  • Ota yhteyttä käyttäjiin ja järjestelmänvalvojiin, jotka ovat antaneet suostumuksensa tälle sovellukselle, varmistaaksesi, että tämä on tarkoituksellista ja liian suuret oikeudet ovat normaaleja.
  • Tutki sovelluksen toimintaa ja tarkista epäilyttävän toiminnan tilit.
  • Poista tutkimustesi perusteella sovellus käytöstä ja keskeytä ja palauta kaikkien tilien salasanat, joita asia koskee.
  • Luokittele ilmoitus todelliseksi positiiviseksi.

• FP: Jos voit tutkinnan jälkeen vahvistaa, että sovelluksella on laillinen yrityskäyttö organisaatiossa.

  Suositeltu toiminto: Luokittele ilmoitus false-positiiviseksi ja harkitse palautteen jakamista hälytyksen tutkinnan perusteella.

Tutustu tietomurron laajuuteen

Tarkastele käyttäjien ja järjestelmänvalvojien tekemälle sovellukselle myönnettyjä suostumusavustuksia. Tutki kaikkia sovelluksen tekemiä toimintoja, erityisesti siihen liittyvien käyttäjien postilaatikon ja järjestelmänvalvojatilien käyttöoikeuksia. Jos epäilet sovelluksen olevan epäilyttävä, harkitse sovelluksen poistamista käytöstä ja kaikkien tilien tunnistetietojen kiertämistä.

Uusi sovellus, jolla on alhainen suostumusaste lukuisten sähköpostiviestien käyttämiseen

Vakavuus: Keskikoko

Tämä ilmoitus tunnistaa OAuth-sovellukset, jotka on rekisteröity äskettäin suhteellisen uuteen julkaisijan vuokraajaan ja joilla on oikeus muuttaa postilaatikon asetuksia ja käyttää sähköpostiviestejä. Se myös tarkistaa, onko sovelluksella suhteellisen alhainen yleinen suostumusaste, ja tekee useita kutsuja Microsoft Graph -ohjelmointirajapintaan, jotta se voi käyttää suostuvien käyttäjien sähköpostiviestejä. Sovellukset, jotka käynnistävät tämän ilmoituksen, voivat olla ei-toivottuja tai haitallisia sovelluksia, jotka yrittävät saada suostumuksen pahaa-aavistamattomille käyttäjille.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että suostumuspyyntö sovellukselle on toimitettu tuntemattomasta tai ulkoisesta lähteestä eikä sovelluksella ole laillista yrityskäyttöä organisaatiossa, todellinen positiivinen tulos on merkitty.

  Suositeltu toiminto:

  • Ota yhteyttä käyttäjiin ja järjestelmänvalvojiin, jotka ovat antaneet suostumuksensa tälle sovellukselle, varmistaaksesi, että tämä on tarkoituksellista ja liian suuret oikeudet ovat normaaleja.
  • Tutki sovelluksen toimintaa ja tarkista epäilyttävän toiminnan tilit.
  • Poista tutkimustesi perusteella sovellus käytöstä ja keskeytä ja palauta kaikkien tilien salasanat, joita asia koskee.
  • Luokittele ilmoitus todelliseksi positiiviseksi.

• FP: Jos voit tutkinnan jälkeen vahvistaa, että sovelluksella on laillinen yrityskäyttö organisaatiossa, näytetään false-positiivinen arvo.

  Suositeltu toiminto: Luokittele ilmoitus false-positiiviseksi ja harkitse palautteen jakamista hälytyksen tutkinnan perusteella.

Tutustu tietomurron laajuuteen

Tarkastele käyttäjien ja järjestelmänvalvojien tekemälle sovellukselle myönnettyjä suostumusavustuksia. Tutki kaikkia sovelluksen tekemiä toimintoja, erityisesti niihin liittyvien käyttäjien postilaatikoiden ja hallintatilien käyttöoikeuksia. Jos epäilet sovelluksen olevan epäilyttävä, harkitse sovelluksen poistamista käytöstä ja kaikkien tilien tunnistetietojen kiertämistä.

Epäilyttävä sovellus, jolla on sähköpostioikeudet ja joka lähettää lukuisia sähköpostiviestejä

Vakavuus: Keskikoko

Tämä ilmoitus löytää useita OAuth-sovelluksia, jotka ovat tehneet useita kutsuja Microsoft Graph -ohjelmointirajapintaan sähköpostiviestien lähettämiseksi lyhyessä ajassa. Se myös tarkistaa, ovatko ohjelmointirajapintakutsut johtaneet virheisiin ja epäonnistuneita yrityksiä lähettää sähköpostiviestejä. Sovellukset, jotka käynnistävät tämän ilmoituksen, saattavat aktiivisesti lähettää roskapostia tai haitallisia sähköpostiviestejä muihin kohteisiin.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että suostumuspyyntö sovellukselle on toimitettu tuntemattomasta tai ulkoisesta lähteestä eikä sovelluksella ole laillista yrityskäyttöä organisaatiossa, todellinen positiivinen tulos on merkitty.

  Suositeltu toiminto:

  • Ota yhteyttä käyttäjiin ja järjestelmänvalvojiin, jotka ovat antaneet suostumuksensa tälle sovellukselle, varmistaaksesi, että tämä on tarkoituksellista ja liian suuret oikeudet ovat normaaleja.
  • Tutki sovelluksen toimintaa ja tarkista epäilyttävän toiminnan tilit.
  • Poista tutkimustesi perusteella sovellus käytöstä ja keskeytä ja palauta kaikkien tilien salasanat, joita asia koskee.
  • Luokittele ilmoitus todelliseksi positiiviseksi.

• FP: Jos voit tutkinnan jälkeen vahvistaa, että sovelluksella on laillinen yrityskäyttö organisaatiossa, näytetään false-positiivinen arvo.

  Suositeltu toiminto: Luokittele ilmoitus false-positiiviseksi ja harkitse palautteen jakamista hälytyksen tutkinnan perusteella.

Tutustu tietomurron laajuuteen

Tarkastele käyttäjien ja järjestelmänvalvojien tekemälle sovellukselle myönnettyjä suostumusavustuksia. Tutki kaikkia sovelluksen tekemiä toimintoja, erityisesti siihen liittyvien käyttäjien postilaatikon ja järjestelmänvalvojatilien käyttöoikeuksia. Jos epäilet sovelluksen olevan epäilyttävä, harkitse sovelluksen poistamista käytöstä ja kaikkien tilien tunnistetietojen kiertämistä.

Epäilyttävä OAuth-sovellus, jota käytetään useiden sähköpostiviestien lähettämiseen

Vakavuus: Keskikoko

Tämä ilmoitus ilmaisee OAuth-sovelluksen, joka on tehnyt useita kutsuja Microsoft Graph -ohjelmointirajapintaan sähköpostiviestien lähettämiseksi lyhyen ajan kuluessa. Sovelluksen julkaisijan vuokraajan tiedetään luovan suuren määrän OAuth-sovelluksia, jotka tekevät samanlaisia Microsoft Graph -ohjelmointirajapintakutsuja. Hyökkääjä saattaa aktiivisesti käyttää tätä sovellusta roskapostin tai haitallisten sähköpostiviestien lähettämiseen kohteisiinsa.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että suostumuspyyntö sovellukselle on toimitettu tuntemattomasta tai ulkoisesta lähteestä eikä sovelluksella ole laillista yrityskäyttöä organisaatiossa, todellinen positiivinen tulos on merkitty.

  Suositeltu toiminto:

  • Ota yhteyttä käyttäjiin ja järjestelmänvalvojiin, jotka ovat antaneet suostumuksensa tälle sovellukselle, varmistaaksesi, että tämä on tarkoituksellista ja liian suuret oikeudet ovat normaaleja.
  • Tutki sovelluksen toimintaa ja tarkista epäilyttävän toiminnan tilit.
  • Poista tutkimustesi perusteella sovellus käytöstä ja keskeytä ja palauta kaikkien tilien salasanat, joita asia koskee.
  • Luokittele ilmoitus todelliseksi positiiviseksi.

• FP: Jos voit tutkinnan jälkeen vahvistaa, että sovelluksella on laillinen yrityskäyttö organisaatiossa, näytetään false-positiivinen arvo.

  Suositeltu toiminto: Luokittele ilmoitus false-positiiviseksi ja harkitse palautteen jakamista hälytyksen tutkinnan perusteella.

Tutustu tietomurron laajuuteen

Tarkastele käyttäjien ja järjestelmänvalvojien tekemälle sovellukselle myönnettyjä suostumusavustuksia. Tutki kaikkia sovelluksen tekemiä toimintoja, erityisesti siihen liittyvien käyttäjien postilaatikon ja järjestelmänvalvojatilien käyttöoikeuksia. Jos epäilet sovelluksen olevan epäilyttävä, harkitse sovelluksen poistamista käytöstä ja kaikkien tilien tunnistetietojen kiertämistä.

Pysyvyysilmoitukset

Tässä osiossa kuvataan hälytyksiä, jotka ilmaisevat, että pahantahtoinen toimija saattaa yrittää säilyttää jalansijaa organisaatiossasi.

Sovellus teki poikkeavia Graph-kutsuja Exchangen kuormituksen jälkivarmenteen päivitykseen tai uusien tunnistetietojen lisäämiseen

Vakavuus: Keskikoko

MITRE-tunnus: T1098.001, T1114

Tämä tunnistaminen käynnistää ilmoituksen, kun Lob (Line of Business) -sovellus päivitti varmenteita/salaisuuksia tai lisäsi uusia tunnistetietoja ja muutaman päivän kuluessa varmenteen päivittämisestä tai uusien tunnistetietojen lisäämisestä, havaittu epätavallisia toimintoja tai suuren määrän käyttöä Exchange-kuormituksessa Graph-ohjelmointirajapinnan kautta koneoppimisalgoritmin avulla.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että LOB-sovellus suoritti epätavallisia toimintoja tai suuren määrän käyttöä Exchange-kuormitukseen Graph-ohjelmointirajapinnan kautta

  Suositeltu toiminto: Poista sovellus tilapäisesti käytöstä, palauta salasana ja ota sovellus sitten uudelleen käyttöön.

• FP: Jos voit vahvistaa, että LOB-sovellus tai sovellus ei suorita epätavallisia toimintoja, on tarkoitus tehdä epätavallisen paljon kaaviokutsuja.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista kaikki tämän sovelluksen suorittamat toimet.
2. Tarkista sovelluksen myöntämät käyttöalueet.
3. Tarkista tähän sovellukseen liittyvä käyttäjän toiminta.

Koneoppimismalli merkitsi sovelluksen epäilyttävällä OAuth-laajuudella suuren riskin, teki kaaviokutsuja lukeakseen sähköpostia ja loi Saapuneet-kansion säännön

Vakavuus: Keskikoko

MITRE-tunnus: T1137.005, T1114

Tämä tunnistaminen tunnistaa OAuth-sovelluksen, jonka koneoppimismalli on merkinnyt suureksi riskiksi ja joka suostui epäilyttäviin vaikutusalueisiin, luo epäilyttävän Saapuneet-kansion säännön ja pääsi sitten käyttäjien postikansioihin ja viesteihin Graph-ohjelmointirajapinnan kautta. Saapuneet-kansion säännöt, kuten kaikkien tai tiettyjen sähköpostiviestien edelleenlähetys toiselle sähköpostitilille ja Graph-kutsut sähköpostien käyttämiseksi ja lähettämiseksi toiselle sähköpostitilille, saattavat olla yritys suodattaa tietoja organisaatiostasi.

TP vai FP?

• TP: Jos voit vahvistaa, että Saapuneet-kansion sääntö on luotu OAuth-kolmannen osapuolen sovelluksella epäilyttävillä vaikutusalueilla, jotka on toimitettu tuntemattomasta lähteestä, todellinen positiivinen havaitaan.

  Suositeltu toiminto: Poista sovellus käytöstä ja poista se, palauta salasana ja poista Saapuneet-kansion sääntö.

Seuraa opetusohjelmaa salasanan vaihtamisesta Microsoft Entra ID avulla ja noudata Saapuneet-kansiosäännön poistamisen opetusohjelmaa.

• FP: Jos voit vahvistaa, että sovellus on luonut Saapuneet-kansion säännön uuteen tai henkilökohtaiseen ulkoiseen sähköpostitiliin oikeutetuista syistä.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkastele kaikkia sovelluksen tekemiä toimintoja.
2. Tarkista sovelluksen myöntämät käyttöalueet.
3. Tarkista sovelluksen luoma Saapuneet-kansion sääntötoiminto ja ehto.

Sovellus, jolla on epäilyttävä OAuth-laajuus, teki kaaviokutsuja sähköpostin lukemiseksi ja loi Saapuneet-kansion säännön

Vakavuus: Keskikoko

MITRE ID:t: T1137.005, T1114

Tämä tunnistaminen tunnistaa OAuth-sovelluksen, joka suostui epäilyttäviin vaikutusalueisiin, luo epäilyttävän Saapuneet-kansion säännön ja pääsi sitten käyttäjien postikansioihin ja viesteihin Graph-ohjelmointirajapinnan kautta. Saapuneet-kansion säännöt, kuten kaikkien tai tiettyjen sähköpostiviestien edelleenlähetys toiselle sähköpostitilille ja Graph-kutsut sähköpostien käyttämiseksi ja lähettämiseksi toiselle sähköpostitilille, saattavat olla yritys suodattaa tietoja organisaatiostasi.

TP vai FP?

• TP: Jos voit vahvistaa, että Saapuneet-kansion sääntö on luotu OAuth-kolmannen osapuolen sovelluksella, jonka vaikutusalueet ovat epäilyttävät tuntemattomasta lähteestä, tosi-positiivinen ilmoitetaan.

  Suositeltu toiminto: Poista sovellus käytöstä ja poista se, palauta salasana ja poista Saapuneet-kansion sääntö.

  Seuraa opetusohjelmaa salasanan vaihtamisesta Microsoft Entra ID avulla ja noudata Saapuneet-kansiosäännön poistamisen opetusohjelmaa.

• FP: Jos voit vahvistaa, että sovellus on luonut Saapuneet-kansion säännön uuteen tai henkilökohtaiseen ulkoiseen sähköpostitiliin oikeutetuista syistä.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkastele kaikkia sovelluksen tekemiä toimintoja.
2. Tarkista sovelluksen myöntämät käyttöalueet.
3. Tarkista sovelluksen luoma Saapuneet-kansion sääntötoiminto ja ehto.

Sovellusta on käytettävä epätavallisesta sijainnin sertifikaatin jälkeisestä päivityksestä

Vakavuusaste: Pieni

MITRE-tunnus: T1098

Tämä tunnistaminen käynnistää ilmoituksen, kun Line of Business (LOB) -sovellus päivitettiin varmenteeseen /salauskoodiin. Muutaman päivän kuluessa varmenteen päivityksestä sovellusta käytetään epätavallisesta sijainnista, jota ei ole nähty äskettäin tai jota ei ole koskaan käytetty aiemmin.

TP vai FP?

• TP: jos pystyt vahvistamaan, että LOB-sovellus pääsi epätavallisesta sijainnista ja suoritti epätavallisia toimintoja Graph-ohjelmointirajapinnan kautta.

  Suositeltu toiminto: Poista sovellus tilapäisesti käytöstä, palauta salasana ja ota sovellus sitten uudelleen käyttöön.

• FP: Jos pystyt vahvistamaan, että LOB-sovellus pääsi epätavallisesta sijainnista lailliseen tarkoitukseen eikä epätavallisia toimintoja suoritettu.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista kaikki tämän sovelluksen suorittamat toimet.
2. Tarkista sovelluksen myöntämät käyttöalueet.
3. Tarkista tähän sovellukseen liittyvä käyttäjän toiminta.

Sovellus, jota on käyttää epätavallisesta sijainnista, teki poikkeavia Graph-kutsuja varmenteen päivityksen jälkeen

Vakavuus: Keskikoko

MITRE-tunnus: T1098

Tämä tunnistaminen käynnistää ilmoituksen, kun Line of Business (LOB) -sovellus päivitti varmenteen /salaisen koodin. Muutaman päivän kuluessa varmenteen päivityksestä sovellusta käytetään epätavallisesta sijainnista, jota ei ole nähty äskettäin tai jota ei ole koskaan käytetty aiemmin, ja havaittu epätavallisia toimintoja tai käyttöä Graph-ohjelmointirajapinnan kautta koneoppimisalgoritmin avulla.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että LOB-sovellus suoritti epätavallisia toimintoja/käyttöä Graph-ohjelmointirajapinnan kautta epätavallisesta sijainnista.

  Suositeltu toiminto: Poista sovellus tilapäisesti käytöstä, palauta salasana ja ota sovellus sitten uudelleen käyttöön.

• FP: Jos pystyt vahvistamaan, että LOB-sovellus pääsi epätavallisesta sijainnista lailliseen tarkoitukseen eikä epätavallisia toimintoja suoritettu.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista kaikki tämän sovelluksen suorittamat toimet.
2. Tarkista sovelluksen myöntämät käyttöalueet.
3. Tarkista tähän sovellukseen liittyvä käyttäjän toiminta.

Äskettäin luodulla sovelluksella on paljon kumotut suostumukset

Vakavuus: Keskikoko

MITRE-tunnus: T1566, T1098

Useat käyttäjät ovat peruneet suostumuksensa tähän äskettäin luotuun toimialaan (LOB) tai kolmannen osapuolen sovellukseen. Tämä sovellus on saattanut houkutella käyttäjiä antamaan sille vahingossa suostumuksen.

TP vai FP?

• TP: Jos voit vahvistaa, että OAuth-sovellus toimitetaan tuntemattomasta lähteestä ja että sovelluksen toiminta on epäilyttävää. 

  Suositeltu toiminto: Kumoa sovellukselle myönnetyt hyväksynnät ja poista sovellus käytöstä. 

• FP: Jos voit tutkinnan jälkeen vahvistaa, että sovelluksella on laillinen liiketoimintakäyttö organisaatiossa eikä sovellus ole suorittanut epätavallisia toimintoja.

  Suositeltu toiminto: Hylkää ilmoitus

Tutustu tietomurron laajuuteen

1. Tarkista kaikki sovelluksen suorittamat toimet.
2. Jos epäilet sovelluksen olevan epäilyttävä, suosittelemme tutkimaan sovelluksen nimen ja vastaustoimialueen eri sovelluskaupoissa. Kun tarkistat sovelluskauppoja, keskity seuraavantyyppisiin sovelluksiin:
   • Sovellukset, jotka on luotu äskettäin
   • Sovellukset, joilla on epätavallinen näyttönimi
   • Sovellukset, joilla on epäilyttävä Vastaus-toimialue
3. Jos epäilet sovelluksen olevan epäilyttävä, voit tutkia sovelluksen näyttönimeä ja vastaustoimialuetta.

Sovelluksen metatiedot, jotka liittyvät tunnettuun tietojenkalastelukampanjaan

Vakavuus: Keskikoko

Tämä tunnistaminen luo ilmoituksia muille kuin Microsoft OAuth -sovelluksille, jotka sisältävät metatietoja, kuten nimen, URL-osoitteen tai julkaisijan, jotka oli aiemmin havaittu tietojenkalastelukampanjaan liittyvissä sovelluksissa. Nämä sovellukset saattavat olla osa samaa kampanjaa ja ne saattavat olla mukana arkaluonteisten tietojen suodatustilassa.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että OAuth-sovellus toimitetaan tuntemattomasta lähteestä ja suorittaa epätavallisia toimintoja.

  Suositeltu toiminto:

  • Tutki sovelluksen rekisteröintitiedot sovellusten hallinnasta ja katso lisätietoja Microsoft Entra ID.
  • Ota yhteyttä käyttäjiin tai järjestelmänvalvojiin, jotka ovat myöntäneet sovelluksen suostumuksen tai käyttöoikeudet. Tarkista, olivatko muutokset tahallisia.
  • Etsi CloudAppEvents Advanced - metsästystaulukosta sovelluksen toiminnan ymmärtämistä ja sen selvittämiseksi, onko havaittua toimintaa odotettavissa.
  • Tarkista, onko sovellus kriittinen organisaatiollesi, ennen kuin harkitset eristämistoimia. Poista sovelluksen aktivointi sovellusten hallinnan tai Microsoft Entra ID avulla, jotta sovellus ei voi käyttää resursseja. Sovelluksen hallintakäytännöt ovat saattaneet jo poistaa sovelluksen aktivoinnin.

• FP: Jos voit vahvistaa, että sovellus ei ole suorittanut epätavallisia toimintoja ja että sovelluksella on laillinen liiketoimintakäyttö organisaatiossa.

  Suositeltu toiminto: Hylkää ilmoitus

Tutustu tietomurron laajuuteen

1. Tarkista kaikki sovelluksen suorittamat toimet.
2. Tarkista sovellukselle myönnetyt käyttöalueet.
3. Tarkista sovellukseen liittyvä käyttäjän toiminta.

Sovelluksen metatiedot, jotka liittyvät aiemmin merkittyihin epäilyttäviin sovelluksiin

Vakavuus: Keskikoko

Tämä tunnistaminen luo ilmoituksia muille kuin Microsoft OAuth -sovelluksille, joissa on metatietoja, kuten nimi, URL-osoite tai julkaisija, jotka oli aiemmin havaittu sovellusten hallinnon merkitsemässä sovelluksessa epäilyttävän toiminnan vuoksi. Tämä sovellus saattaa olla osa hyökkäyskampanjaa, ja se saattaa olla mukana arkaluonteisten tietojen suodattimessa.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että OAuth-sovellus toimitetaan tuntemattomasta lähteestä ja suorittaa epätavallisia toimintoja.

  Suositeltu toiminto:

  • Tutki sovelluksen rekisteröintitiedot sovellusten hallinnasta ja katso lisätietoja Microsoft Entra ID.
  • Ota yhteyttä käyttäjiin tai järjestelmänvalvojiin, jotka ovat myöntäneet sovelluksen suostumuksen tai käyttöoikeudet. Tarkista, olivatko muutokset tahallisia.
  • Etsi CloudAppEvents Advanced - metsästystaulukosta sovelluksen toiminnan ymmärtämistä ja sen selvittämiseksi, onko havaittua toimintaa odotettavissa.
  • Tarkista, onko sovellus kriittinen organisaatiollesi, ennen kuin harkitset eristämistoimia. Poista sovelluksen aktivointi sovellusten hallinnan tai Microsoft Entra ID avulla, jotta sovellus ei voi käyttää resursseja. Sovelluksen hallintakäytännöt ovat saattaneet jo poistaa sovelluksen aktivoinnin.

• FP: Jos voit vahvistaa, että sovellus ei ole suorittanut epätavallisia toimintoja ja että sovelluksella on laillinen liiketoimintakäyttö organisaatiossa.

  Suositeltu toiminto: Hylkää ilmoitus

Tutustu tietomurron laajuuteen

1. Tarkista kaikki sovelluksen suorittamat toimet.
2. Tarkista sovellukselle myönnetyt käyttöalueet.
3. Tarkista sovellukseen liittyvä käyttäjän toiminta.

Epäilyttävä OAuth-sovelluksen sähköpostitoiminta Graph-ohjelmointirajapinnan kautta

Vakavuusaste: Suuri

Tämä tunnistaminen luo ilmoituksia useille käyttäjille, joilla on suuri riski -sisäänkirjautuminen, rekisteröimät hälytykset, jotka soittivat Microsoft Graph -ohjelmointirajapintaan epäilyttävien sähköpostitoimintojen suorittamiseksi lyhyessä ajassa.

Tämä tunnistus tarkistaa, tehtiinkö ohjelmointirajapintakutsuja postilaatikon säännön luontia, vastaussähköpostin luomista, edelleenlähetyssähköpostia, vastausta vai uusia sähköpostiviestejä varten. Sovellukset, jotka käynnistävät tämän ilmoituksen, voivat aktiivisesti lähettää roskapostia tai haitallisia sähköpostiviestejä muihin kohteisiin tai tyhjentää luottamuksellisia tietoja ja tyhjentää jälkiä tunnistuksen välttämiseksi.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että sovelluksen luonti- ja suostumuspyyntö sovellukselle on toimitettu tuntemattomasta tai ulkoisesta lähteestä eikä sovelluksella ole laillista liiketoimintakäyttöä organisaatiossa, todellinen positiivinen tulos on merkitty.

  Suositeltu toiminto:

  • Ota yhteyttä käyttäjiin ja järjestelmänvalvojiin, jotka ovat antaneet suostumuksensa tälle sovellukselle, varmistaaksesi, että tämä on tarkoituksellista ja liian suuret oikeudet ovat normaaleja.

  • Tutki sovelluksen toimintaa ja tarkista epäilyttävän toiminnan tilit.

  • Poista tutkimustesi perusteella sovellus käytöstä, keskeytä ja palauta kaikkien tilien salasanat, joita asia koskee, ja poista Saapuneet-kansion sääntö.

  • Luokittele ilmoitus todelliseksi positiiviseksi.

• FP: Jos tutkimuksen jälkeen voit vahvistaa, että sovelluksella on laillinen yrityskäyttö organisaatiossa, ilmoitetaan false-positiivinen.

  Suositeltu toiminto:

  • Luokittele ilmoitus false-positiiviseksi ja harkitse palautteen jakamista ilmoituksen tutkinnan perusteella.

  • Tutustu tietomurron laajuuteen:

    Tarkastele käyttäjien ja järjestelmänvalvojien tekemälle sovellukselle myönnettyjä suostumusavustuksia. Tutki kaikkia sovelluksen tekemiä toimintoja, erityisesti siihen liittyvien käyttäjien postilaatikon ja järjestelmänvalvojatilien käyttöoikeuksia. Jos epäilet sovelluksen olevan epäilyttävä, harkitse sovelluksen poistamista käytöstä ja kaikkien tilien tunnistetietojen kiertämistä.

Epäilyttävä OAuth-sovelluksen sähköpostitoiminta EWS-ohjelmointirajapinnan kautta

Vakavuusaste: Suuri

Tämä tunnistaminen luo ilmoituksia useille OAuth-sovelluksille, jotka on rekisteröinyt käyttäjät, joilla on suuri riski -sisäänkirjautuminen ja jotka ovat tehneet Microsoft Exchange Web Services (EWS) -ohjelmointirajapintaan kutsuja epäilyttävien sähköpostitoimintojen suorittamiseksi lyhyessä ajassa.

Tämä tunnistus tarkistaa, tehtiinkö ohjelmointirajapintakutsuja Saapuneet-kansion sääntöjen päivittämiseksi, kohteiden siirtämiseksi, sähköpostin poistamiseen, kansion poistamiseen tai liitteen poistamiseen. Sovellukset, jotka käynnistävät tämän ilmoituksen, saattavat aktiivisesti tyhjentää tai poistaa luottamuksellisia tietoja ja tyhjentää jälkiä tunnistuksen välttämiseksi.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että sovelluksen luonti- ja suostumuspyyntö sovellukselle on toimitettu tuntemattomasta tai ulkoisesta lähteestä eikä sovelluksella ole laillista liiketoimintakäyttöä organisaatiossa, todellinen positiivinen tulos on merkitty.

  Suositeltu toiminto:

  • Ota yhteyttä käyttäjiin ja järjestelmänvalvojiin, jotka ovat antaneet suostumuksensa tälle sovellukselle, varmistaaksesi, että tämä on tarkoituksellista ja liian suuret oikeudet ovat normaaleja.

  • Tutki sovelluksen toimintaa ja tarkista epäilyttävän toiminnan tilit.

  • Poista tutkimustesi perusteella sovellus käytöstä, keskeytä ja palauta kaikkien tilien salasanat, joita asia koskee, ja poista Saapuneet-kansion sääntö.

  • Luokittele ilmoitus todelliseksi positiiviseksi.

• FP: Jos voit tutkinnan jälkeen vahvistaa, että sovelluksella on laillinen yrityskäyttö organisaatiossa, näytetään false-positiivinen arvo.

  Suositeltu toiminto:

  • Luokittele ilmoitus false-positiiviseksi ja harkitse palautteen jakamista ilmoituksen tutkinnan perusteella.

  • Tutustu tietomurron laajuuteen:

    Tarkastele käyttäjien ja järjestelmänvalvojien tekemälle sovellukselle myönnettyjä suostumusavustuksia. Tutki kaikkia sovelluksen tekemiä toimintoja, erityisesti siihen liittyvien käyttäjien postilaatikon ja järjestelmänvalvojatilien käyttöoikeuksia. Jos epäilet sovelluksen olevan epäilyttävä, harkitse sovelluksen poistamista käytöstä ja kaikkien tilien tunnistetietojen kiertämistä.

Oikeuksien eskalointi-ilmoitukset

OAuth-sovelluksella, jolla on epäilyttävät metatiedot, on Exchange-käyttöoikeus

Vakavuus: Keskikoko

MITRE-tunnus: T1078

Tämä ilmoitus käynnistyy, kun epäilyttävää metatietoa sisältävällä liiketoiminta-alueen sovelluksella on oikeus hallita Exchange-käyttöoikeuksia.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että OAuth-sovellus on toimitettu tuntemattomasta lähteestä ja että sen metatiedot ovat epäilyttäviä, arvo on true positive.

Suositeltu toiminto: Kumoa sovellukselle myönnetyt hyväksynnät ja poista sovellus käytöstä.

FP: Jos voit tutkinnan jälkeen vahvistaa, että sovelluksella on laillinen yrityskäyttö organisaatiossa.

Suositeltu toiminto: Hylkää ilmoitus

Tutustu tietomurron laajuuteen

1. Tarkastele kaikkia sovelluksen tekemiä toimintoja.
2. Tarkista sovelluksen myöntämät käyttöalueet.
3. Tarkista sovellukseen liittyvä käyttäjän toiminta.

Puolustuksen veronkiertoilmoitukset

Sovellus, joka tekeytyy Microsoft-logoksi

Vakavuus: Keskikoko

Muu kuin Microsoftin pilvisovellus käyttää koneoppimisalgoritmin löytämää logoa samankaltaiseen microsoft-logoon. Tämä voi olla yritys tekeytyä Microsoft-ohjelmistotuotteiksi ja vaikuttaa lailliselta.

Huomautus

Vuokraajan järjestelmänvalvojien on annettava ponnahdusikkunan kautta suostumus tarvittavien tietojen lähettämiseksi nykyisen yhteensopivuusrajan ulkopuolelle ja kumppanitiimien valitsemiseksi Microsoftissa, jotta tämä uhkien tunnistaminen voidaan ottaa käyttöön toimialakohtaisissa sovelluksissa.

TP vai FP?

• TP: Jos voit vahvistaa, että sovelluksen logo on Microsoft-logon jäljitelmä ja että sovelluksen toiminta on epäilyttävää. 

  Suositeltu toiminto: Kumoa sovellukselle myönnetyt hyväksynnät ja poista sovellus käytöstä.

• FP: Jos voit vahvistaa, että sovelluksen logo ei ole Microsoft-logon jäljitelmä tai että sovellus ei ole suorittanut epätavallisia toimintoja. 

  Suositeltu toiminto: Hylkää ilmoitus

Tutustu tietomurron laajuuteen

1. Tarkista kaikki sovelluksen suorittamat toimet.
2. Tarkista sovellukselle myönnetyt käyttöalueet.
3. Tarkista sovellukseen liittyvä käyttäjän toiminta.

Sovellus liittyy kirjoitusvirhetoimialueeseen

Vakavuus: Keskikoko

Tämä tunnistaminen luo ilmoituksia muille kuin Microsoft OAuth -sovelluksille, joissa on julkaisijan toimialueita, tai uudelleenohjauksen URL-osoitteet, jotka sisältävät Kirjoitusvirheitä sisältäviä Microsoft-tuotenimiä. Kirjoitusvirheitä käytetään yleensä sieppaamaan liikenne sivustoihin aina, kun käyttäjät vahingossa kirjoittavat URL-osoitteita väärin, mutta niitä voidaan myös käyttää tekeytymään suosituksi ohjelmistotuotteiksi ja -palveluksi.

TP vai FP?

• TP: Jos voit vahvistaa, että sovelluksen julkaisijan toimialue tai uudelleenohjauksen URL-osoite on kirjoitusvirhe eikä se liity sovelluksen todellisiin käyttäjätietoihin.

  Suositeltu toiminto:

  • Tutki sovelluksen rekisteröintitiedot sovellusten hallinnasta ja katso lisätietoja Microsoft Entra ID.
  • Tarkista, onko sovelluksessa muita merkkejä tekeytymisestä tai tekeytymisestä sekä epäilyttävästä toiminnasta.
  • Tarkista, onko sovellus kriittinen organisaatiollesi, ennen kuin harkitset eristämistoimia. Poista sovelluksen aktivointi sovelluksen hallinnan avulla, jotta se ei voi käyttää resursseja. Sovelluksen hallintakäytännöt ovat saattaneet jo poistaa sovelluksen aktivoinnin.

• FP: Jos voit vahvistaa, että julkaisijan toimialue ja sovelluksen uudelleenohjauksen URL-osoite ovat laillisia. 

  Suositeltu toiminto: Luokittele ilmoitus false-positiiviseksi ja harkitse palautteen jakamista hälytyksen tutkinnan perusteella.

Tutustu tietomurron laajuuteen

1. Tarkista kaikki sovelluksen suorittamat toimet.
2. Tarkista sovellukselle myönnetyt käyttöalueet.
3. Tarkista sovellukseen liittyvä käyttäjän toiminta.

Tunnistetietojen käyttö

Tässä osiossa kuvataan hälytyksiä, jotka ilmaisevat, että pahantahtoinen toimija saattaa yrittää lukea luottamuksellisia tunnistetietoja, ja koostuu tekniikoista, joilla voi varastaa tunnistetietoja, kuten tilien nimiä, salaisuuksia, tunnuksia, varmenteita ja salasanoja organisaatiossasi.

Sovellus, joka aloittaa useiden epäonnistuneiden KeyVault-lukutoimintojen luomisen ilman onnistumista

Vakavuus: Keskikoko

MITRE-tunnus: T1078.004

Tämä tunnistaminen tunnistaa vuokraajassasi sovelluksen, jonka havaittiin tekevän useita lukutoimintokutsuja KeyVaultiin Azure Resource Manager -ohjelmointirajapinnan avulla lyhyessä ajassa. Vain virheitä ei ole tehty eikä onnistunutta lukutoimintoa suoritettu loppuun.

TP vai FP?

• TP: Jos sovellus on tuntematon tai sitä ei käytetä, annettu toiminta on mahdollisesti epäilyttävää. Kun käytössä oleva Azure-resurssi on vahvistettu ja sovelluksen käyttö vuokraajassa on vahvistettu, annettu toiminto saattaa edellyttää sovelluksen käytöstä poistamista. Tämä on yleensä todiste epäillystä luettelointitoiminnasta KeyVault-resurssia vastaan, jotta voit käyttää tunnistetietoja sivuttaista siirtämistä tai oikeuksien eskalointia varten.

  Suositellut toiminnot: Tarkista sovelluksen käyttämät tai luomat Azure-resurssit ja sovellukseen tehdyt viimeaikaiset muutokset. Valitse tutkimuksesi perusteella, haluatko kieltää tämän sovelluksen käytön. Tarkista tämän sovelluksen pyytämä käyttöoikeustaso ja se, ketkä käyttäjät ovat myöntäneet käyttöoikeuden.

• FP: Jos voit tutkimusten jälkeen vahvistaa, että sovelluksella on laillinen liiketoimintakäyttö organisaatiossa.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista sovelluksen käyttöoikeus ja toiminta.
2. Tarkista kaikki toiminnot, joita sovellus on tehnyt sen luomisen jälkeen.
3. Tarkista sovelluksen myöntämät käyttöalueet Graph-ohjelmointirajapinnassa ja rooli, joka sille on myönnetty tilauksessasi.
4. Tarkista kaikki käyttäjät, jotka ovat käyttäneet sovellusta ennen toimintoa.

Etsintäilmoitukset

Sovelluksen suorittama aseman luettelointi

Vakavuus: Keskikoko

MITRE-tunnus: T1087

Tämä tunnistus tunnistaa OAuth-sovelluksen, jonka koneoppimismalli havaitsi ja joka teki luetteloinnin OneDrive-tiedostoille Graph-ohjelmointirajapinnan avulla.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että LOB-sovellus suoritti epätavallisia toimintoja tai käyttöä OneDrivessa Graph-ohjelmointirajapinnan kautta.

  Suositeltu toiminto: Poista sovellus käytöstä ja poista se ja palauta salasana.

• FP: Jos voit vahvistaa, että sovellus ei ole suorittanut epätavallisia toimintoja.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista kaikki tämän sovelluksen suorittamat toimet.
2. Tarkista sovelluksen myöntämät käyttöalueet.
3. Tarkista tähän sovellukseen liittyvä käyttäjän toiminta.

Microsoft Graph PowerShellin avulla suoritetut epäilyttävät luettelointitoiminnot

Vakavuus: Keskikoko

MITRE-tunnus: T1087

Tämä tunnistaminen tunnistaa suuren määrän epäilyttäviä luettelointitoimintoja, jotka suoritetaan lyhyessä ajassa Microsoft Graph PowerShell -sovelluksen kautta.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että Microsoft Graph PowerShell -sovellus suoritti epäilyttäviä/epätavallisia luettelointitoimintoja.

  Suositeltu toiminto: Poista sovellus käytöstä ja poista se käytöstä ja palauta salasana.

• FP: Jos voit vahvistaa, että sovellus ei ole suorittanut epätavallisia toimintoja.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista kaikki tämän sovelluksen suorittamat toimet.
2. Tarkista tähän sovellukseen liittyvä käyttäjän toiminta.

Äskettäin luotu usean käyttäjän sovellus luetteloi käyttäjien tiedot usein

Vakavuus: Keskikoko

MITRE-tunnus: T1087

Tämä ilmoitus löytää OAuth-sovellukset, jotka on rekisteröity äskettäin suhteellisen uuteen julkaisijan vuokraajaan ja joilla on oikeus muuttaa postilaatikon asetuksia ja käyttää sähköpostiviestejä. Se tarkistaa, onko sovellus tehnyt useita kutsuja Microsoft Graph -ohjelmointirajapintaan ja pyytänyt käyttäjähakemistotietoja. Sovellukset, jotka käynnistävät tämän ilmoituksen, saattavat houkutella käyttäjiä myöntämään suostumuksensa, jotta he voivat käyttää organisaation tietoja.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että suostumuspyyntö sovellukselle on toimitettu tuntemattomasta tai ulkoisesta lähteestä eikä sovelluksella ole laillista yrityskäyttöä organisaatiossa, todellinen positiivinen tulos on merkitty.

  Suositeltu toiminto:

  • Ota yhteyttä käyttäjiin ja järjestelmänvalvojiin, jotka ovat antaneet suostumuksensa tälle sovellukselle, varmistaaksesi, että tämä on tarkoituksellista ja liian suuret oikeudet ovat normaaleja.
  • Tutki sovelluksen toimintaa ja tarkista epäilyttävän toiminnan tilit.
  • Poista tutkimustesi perusteella sovellus käytöstä ja keskeytä ja palauta kaikkien tilien salasanat, joita asia koskee.
  • Luokittele ilmoitus todelliseksi positiiviseksi.

• FP: Jos voit tutkinnan jälkeen vahvistaa, että sovelluksella on laillinen yrityskäyttö organisaatiossa, näytetään false-positiivinen arvo.

  Suositeltu toiminto: Luokittele ilmoitus false-positiiviseksi ja harkitse palautteen jakamista hälytyksen tutkinnan perusteella.

Tutustu tietomurron laajuuteen

Tarkastele käyttäjien ja järjestelmänvalvojien tekemälle sovellukselle myönnettyjä suostumusavustuksia. Tutki kaikkia sovelluksen tekemiä toimintoja, erityisesti käyttäjähakemistotietojen luettelointi. Jos epäilet sovelluksen olevan epäilyttävä, harkitse sovelluksen poistamista käytöstä ja kaikkien tilien tunnistetietojen kiertämistä.

Suodatusilmoitukset

Tässä osiossa kuvataan hälytyksiä, jotka ilmaisevat, että pahantahtoinen toimija saattaa yrittää varastaa tietoja, jotka ovat hänen tavoitteensa mukaisia organisaatiossasi.

OAuth-sovellus käyttää epätavallista käyttäjäagenttia

Vakavuusaste: Pieni

MITRE-tunnus: T1567

Tämä tunnistus tunnistaa OAuth-sovelluksen, joka käyttää epätavallista käyttäjäagenttia Graph-ohjelmointirajapinnan käyttämiseen.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että OAuth-sovellus on äskettäin alkanut käyttää uutta käyttäjäagenttia, jota ei ole käytetty aiemmin, ja tämä muutos on odottamaton, todellinen positiivinen tulos on.

  Suositellut toimet: Tarkista käytetyt käyttäjäagentit ja sovellukseen tehdyt viimeaikaiset muutokset. Tutkimusten perusteella voit kieltää tämän sovelluksen käytön. Tarkista tämän sovelluksen pyytämä käyttöoikeustaso ja se, ketkä käyttäjät ovat myöntäneet käyttöoikeuden.

• FP: Jos voit tutkinnan jälkeen vahvistaa, että sovelluksella on laillinen yrityskäyttö organisaatiossa.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista sovellukset, jotka on luotu äskettäin, ja käytetyt käyttäjäagentit.
2. Tarkastele kaikkia sovelluksen tekemiä toimintoja. 
3. Tarkista sovelluksen myöntämät käyttöalueet. 

Sovellus, jolla on epätavallinen käyttäjäagentti, pääsi käyttämään sähköpostitietoja Exchange Web Servicesin kautta

Vakavuusaste: Suuri

MITRE-tunnus: T1114, T1567

Tämä tunnistaminen tunnistaa OAuth-sovelluksen, joka käytti epätavallista käyttäjäagenttia sähköpostitietojen käyttämiseen Exchange Web Services -ohjelmointirajapinnan avulla.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että OAuth-sovelluksen ei odoteta muuttavan käyttäjäagenttia, jota se käyttää Exchange Web Services -ohjelmointirajapinnan pyyntöjen tekemiseen, todellinen positiivinen arvo näytetään.

  Suositellut toiminnot: Luokittele ilmoitus TP:ksi. Jos sovellus on vahingollinen tutkimuksen perusteella, voit kumota suostumukset ja poistaa sovelluksen käytöstä vuokraajassa. Jos sovellus on vaarantunut, voit kumota suostumukset, poistaa sovelluksen tilapäisesti käytöstä, tarkistaa käyttöoikeudet, palauttaa salaisen koodin ja varmenteen ja ottaa sitten sovelluksen uudelleen käyttöön.

• FP: Jos tutkimuksen jälkeen, voit vahvistaa, että sovelluksen käyttämällä käyttäjäagentilla on laillinen yrityskäyttö organisaatiossa.

  Suositeltu toiminto: Luokittele ilmoitus FP:ksi. Harkitse myös palautteen jakamista ilmoituksen tutkinnan perusteella.

Tutustu tietomurron laajuuteen

1. Tarkista, onko sovellus juuri luotu tai onko siihen äskettäin tehty muutoksia.
2. Tarkista käyttöoikeudet, jotka on myönnetty sovellukselle ja käyttäjille, jotka ovat antaneet suostumuksensa sovellukselle.
3. Tarkastele kaikkia sovelluksen tekemiä toimintoja.

Sivusuuntaiset liikehälytykset

Tässä osiossa kuvataan hälytyksiä, jotka ilmaisevat, että pahantahtoinen toimija saattaa yrittää siirtyä sivuttain eri resurssien sisällä, samalla kun hän pivotoi useita järjestelmiä ja tilejä saadakseen organisaatiossasi enemmän hallintaa.

Dormant OAuth -sovellus, joka käyttää pääasiassa MS Graphia tai Exchange Web Servicesiä, joiden äskettäin nähtiin käyttävän ARM-kuormituksia

Vakavuus: Keskikoko

MITRE-tunnus: T1078.004

Tämä tunnistaminen tunnistaa vuokraajan sovelluksen, joka on pitkän uinuvan toiminnan jälkeen aloittanut Azure Resource Manager -ohjelmointirajapinnan käytön ensimmäistä kertaa. Aiemmin tämä sovellus käytti enimmäkseen MS Graphia tai Exchange-verkkopalvelua.

TP vai FP?

• TP: Jos sovellus on tuntematon tai sitä ei käytetä, annettu toiminta on mahdollisesti epäilyttävää ja saattaa edellyttää sovelluksen poistamista käytöstä sen jälkeen, kun käytössä oleva Azure-resurssi on vahvistettu ja sovelluksen käyttö vuokraajassa on vahvistettu.

  Suositellut toiminnot:

  1. Tarkista sovelluksen käyttämät tai luomat Azure-resurssit ja sovellukseen tehdyt viimeaikaiset muutokset.
  2. Tarkista tämän sovelluksen pyytämä käyttöoikeustaso ja se, ketkä käyttäjät ovat myöntäneet käyttöoikeuden.
  3. Valitse tutkimuksesi perusteella, haluatko kieltää tämän sovelluksen käytön.

• FP: Jos voit tutkimusten jälkeen vahvistaa, että sovelluksella on laillinen liiketoimintakäyttö organisaatiossa.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista sovelluksen käyttöoikeus ja toiminta.
2. Tarkista kaikki toiminnot, joita sovellus on tehnyt sen luomisen jälkeen.
3. Tarkista sovelluksen myöntämät käyttöalueet Graph-ohjelmointirajapinnassa ja rooli, joka sille on myönnetty tilauksessasi.
4. Tarkista kaikki käyttäjät, jotka ovat käyttäneet sovellusta ennen toimintoa.

Kokoelman ilmoitukset

Tässä osiossa kuvataan hälytyksiä, jotka ilmaisevat, että pahantahtoinen toimija saattaa yrittää kerätä tavoitetietoja organisaatiostasi.

Sovellus teki epätavallisia sähköpostihakutoimintoja

Vakavuus: Keskikoko

MITRE-tunnus: T1114

Tämä tunnistus tunnistaa, kun sovellus suostui epäilyttävään OAuth-laajuuteen ja teki suuren määrän epätavallisia sähköpostihakutoimintoja, kuten tietyn sisällön sähköpostihaun Graph-ohjelmointirajapinnan kautta. Tämä voi tarkoittaa yritystä murtaa organisaatiosi, kuten vastustajat, jotka yrittävät hakea ja lukea tietyn sähköpostiviestin organisaatiostasi Graph-ohjelmointirajapinnan kautta. 

TP vai FP?

• TP: Jos voit vahvistaa suuren määrän epätavallisia sähköpostihaku- ja lukutoimintoja Graph-ohjelmointirajapinnan kautta OAuth-sovelluksella, jolla on epäilyttävä OAuth-laajuus, ja että sovellus toimitetaan tuntemattomasta lähteestä.

  Suositellut toiminnot: Poista sovellus käytöstä ja poista se, palauta salasana ja poista Saapuneet-kansion sääntö. 

• FP: Jos voit vahvistaa, että sovellus on suorittanut suuren määrän epätavallista sähköpostihakua ja lukenut Graph-ohjelmointirajapinnan kautta oikeutetuista syistä.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista sovelluksen myöntämät käyttöalueet.
2. Tarkastele kaikkia sovelluksen tekemiä toimintoja. 

Sovellus teki poikkeavia Graph-kutsuja sähköpostin lukemiseksi

Vakavuus: Keskikoko

MITRE-tunnus: T1114

Tämä tunnistus tunnistaa, kun Line of Business (LOB) OAuth -sovellus käyttää Graph-ohjelmointirajapinnan kautta epätavallista ja suurta määrää käyttäjän postikansioita ja viestejä, mikä voi tarkoittaa yritystä murtaa organisaatiosi.

TP vai FP?

• TP: Jos voit vahvistaa, että Line of Business (LOB) OAuth -sovellus suoritti epätavallisen kaaviotoiminnon, arvoksi merkitään true-positiivinen.

  Suositellut toiminnot: Poista sovellus tilapäisesti käytöstä, palauta salasana ja ota sovellus sitten uudelleen käyttöön. Noudata opetusohjelmaa salasanan vaihtamisesta Microsoft Entra ID avulla.

• FP: Jos voit vahvistaa, että sovelluksen on tarkoitus tehdä epätavallisen suuri määrä kaaviokutsuja.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkista tämän sovelluksen suorittamien tapahtumien toimintaloki, jotta saat paremman käsityksen muista Graph-toiminnoista sähköpostiviestien lukemiseksi ja käyttäjien luottamuksellisten sähköpostitietojen keräämiseksi.
2. Valvo, että sovellukseen lisätään odottamattomia tunnistetietoja.

Sovellus luo Saapuneet-kansion säännön ja teki epätavallisia sähköpostihakutoimintoja

Vakavuus: Keskikoko

MITRE-tunnukset: T1137, T1114

Tämä tunnistaminen tunnistaa sovelluksen, jolle on annettu suostumus suuren oikeuden laajuuteen, luo epäilyttävän Saapuneet-kansion säännön ja teki epätavallisia sähköpostihakutoimintoja käyttäjien postikansioissa Graph-ohjelmointirajapinnan kautta. Tämä voi tarkoittaa yritystä rikkoa organisaatiotasi, kuten vastustajia, jotka yrittävät hakea ja kerätä tiettyjä sähköpostiviestejä organisaatiostasi Graph-ohjelmointirajapinnan kautta.

TP vai FP?

• TP: Jos pystyt vahvistamaan tietyn sähköpostihaun ja -kokoelman, joka on tehty Graph-ohjelmointirajapinnan kautta OAuth-sovelluksella, jolla on suuri oikeus, ja sovellus toimitetaan tuntemattomasta lähteestä.

  Suositeltu toiminto: Poista sovellus käytöstä ja poista se, palauta salasana ja poista Saapuneet-kansion sääntö.

• FP: Jos pystyt vahvistamaan, että sovellus on suorittanut tietyn sähköpostihaun ja -kokoelman Graph-ohjelmointirajapinnan kautta ja luonut Saapuneet-kansion säännön uudelle tai henkilökohtaiselle ulkoiselle sähköpostitilille oikeutetuista syistä.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen

1. Tarkastele kaikkia sovelluksen tekemiä toimintoja.
2. Tarkista sovelluksen myöntämät käyttöalueet.
3. Tarkista kaikki sovelluksen luomat Saapuneet-kansion sääntötoiminnot.
4. Tarkista sovelluksen tekemät sähköpostihakutoiminnot.

Sovellus teki OneDrive- ja SharePoint-hakutoimintoja ja loi Saapuneet-kansion säännön

Vakavuus: Keskikoko

MITRE ID:t: T1137, T1213

Tämä tunnistaminen tunnistaa, että sovellus suostui suuren oikeuden laajuuteen, loi epäilyttävän Saapuneet-kansion säännön ja teki epätavallisia SharePoint- tai OneDrive-hakutoimintoja Graph-ohjelmointirajapinnan kautta. Tämä voi tarkoittaa yritystä murtaa organisaatiosi, kuten vastustajat, jotka yrittävät hakea ja kerätä tiettyjä tietoja SharePointista tai OneDrivesta organisaatiostasi Graph-ohjelmointirajapinnan kautta. 

TP vai FP?

• TP: Jos pystyt vahvistamaan tietyt tiedot SharePointista tai OneDrive-hausta ja -kokoelmasta, jotka on tehty Graph-ohjelmointirajapinnan kautta OAuth-sovelluksella, jolla on suuri käyttöoikeus, ja sovellus toimitetaan tuntemattomasta lähteestä. 

  Suositeltu toiminto: Poista sovellus käytöstä ja poista se, palauta salasana ja poista Saapuneet-kansion sääntö. 

• FP: Jos pystyt vahvistamaan, että sovellus on suorittanut tiettyjä tietoja SharePointista tai OneDrive-hausta ja -kokoelmasta OAuth-sovelluksen Graph-ohjelmointirajapinnan kautta ja luonut Saapuneet-kansion säännön uudelle tai henkilökohtaiselle ulkoiselle sähköpostitilille oikeutetuista syistä. 

  Suositeltu toiminto: Hylkää ilmoitus

Tutustu tietomurron laajuuteen

1. Tarkastele kaikkia sovelluksen tekemiä toimintoja. 
2. Tarkista sovelluksen myöntämät käyttöalueet. 
3. Tarkista kaikki sovelluksen luomat Saapuneet-kansion sääntötoiminnot. 
4. Tarkista sovelluksen suorittamat SharePoint- tai OneDrive-hakutoiminnot.

Sovellus teki useita hakuja ja muokkauksia OneDrivessa

Vakavuus: Keskikoko

MITRE-tunnukset: T1137, T1213

Tämä tunnistaminen tunnistaa OAuth-sovellukset, joilla on suuret käyttöoikeudet ja jotka suorittavat suuren määrän hakuja ja muokkauksia OneDrivessa Graph-ohjelmointirajapinnan avulla.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että OneDrive-kuormitusta Graph-ohjelmointirajapinnan kautta ei odoteta olevan odotettavissa tältä OAuth-sovellukselta, jolla on suuret oikeudet lukea OneDrivea ja kirjoittaa siihen, ohjelma antaa todellisen positiivisen arvon.

  Suositeltu toiminto: Jos sovellus on vahingollinen tutkimuksen perusteella, voit kumota suostumukset ja poistaa sovelluksen käytöstä vuokraajassa. Jos sovellus on vaarantunut, voit kumota suostumukset, poistaa sovelluksen tilapäisesti käytöstä, tarkistaa vaaditut käyttöoikeudet, palauttaa salasanan ja ottaa sovelluksen sitten uudelleen käyttöön.

• FP: Jos voit tutkinnan jälkeen vahvistaa, että sovelluksella on laillinen yrityskäyttö organisaatiossa.

  Suositeltu toiminto: Ratkaise ilmoitus ja ilmoita havainnoistasi.

Tutustu tietomurron laajuuteen

1. Tarkista, onko sovellus peräisin luotettavasta lähteestä.
2. Tarkista, onko sovellus juuri luotu tai onko siihen tehty viimeisimpiä muutoksia.
3. Tarkista käyttöoikeudet, jotka on myönnetty sovellukselle ja käyttäjille, jotka ovat antaneet suostumuksensa sovellukselle.
4. Tutki kaikkia muita sovellustoimintoja.

Sovellus teki tärkeäksi sähköpostin lukemisen ja luomisen Saapuneet-kansion säännön

Vakavuus: Keskikoko

MITRE-tunnukset: T1137, T1114

Tämä tunnistaminen tunnistaa, että sovellus suostui suuren oikeuden laajuuteen, luo epäilyttävän Saapuneet-kansion säännön ja teki suuren määrän tärkeitä sähköpostin lukutoimintoja Graph-ohjelmointirajapinnan kautta. Tämä voi tarkoittaa yritystä murtaa organisaatiosi, kuten vastustajat, jotka yrittävät lukea tärkeän sähköpostiviestin organisaatiostasi Graph-ohjelmointirajapinnan kautta. 

TP vai FP?

• TP: Jos pystyt vahvistamaan, että suuri määrä tärkeitä Graph-ohjelmointirajapinnan kautta luettuja sähköpostiviestejä on OAuth-sovelluksessa, jolla on suuri käyttöoikeus, ja sovellus toimitetaan tuntemattomasta lähteestä. 

  Suositeltu toiminto: Poista sovellus käytöstä ja poista se, palauta salasana ja poista Saapuneet-kansion sääntö. 

• FP: Jos pystyt vahvistamaan, että sovellus on suorittanut suuren määrän tärkeitä Graph-ohjelmointirajapinnan kautta luettuja tärkeitä sähköpostiviestejä ja luonut Saapuneet-kansiosäännön uudelle tai henkilökohtaiselle ulkoiselle sähköpostitilille oikeutetuista syistä. 

  Suositeltu toiminto: Hylkää ilmoitus

Tutustu tietomurron laajuuteen

1. Tarkastele kaikkia sovelluksen tekemiä toimintoja. 
2. Tarkista sovelluksen myöntämät käyttöalueet. 
3. Tarkista kaikki sovelluksen luomat Saapuneet-kansion sääntötoiminnot. 
4. Tarkista sovelluksen tekemät tärkeät sähköpostin lukutoiminnot.

Privileged-sovellus suoritti epätavallisia toimintoja Teamsissa

Vakavuus: Keskikoko

Tämä tunnistaminen tunnistaa sovellukset, joille on annettu suostumus suuriin OAuth-käyttöalueisiin, jotka ovat päässeet Microsoft Teamsiin ja tehneet epätavallisen määrän luku- tai viestitoimintoja Graph-ohjelmointirajapinnan kautta. Tämä voi tarkoittaa yritystä rikkoa organisaatiotasi, kuten vastustajia, jotka yrittävät kerätä tietoja organisaatiostasi Graph-ohjelmointirajapinnan kautta.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että epätavalliset keskusteluviestitoiminnot Microsoft Teamsissa Graph-ohjelmointirajapinnan kautta OAuth-sovelluksella, jolla on suuri käyttöoikeus, ja sovellus toimitetaan tuntemattomasta lähteestä.

  Suositeltu toiminto: Poista sovellus käytöstä ja poista se sekä palauta salasana

• FP: Jos pystyt vahvistamaan, että Microsoft Teamsissa Graph-ohjelmointirajapinnan kautta suoritetut epätavalliset toimet olivat perusteltuja syitä.

  Suositeltu toiminto: Hylkää ilmoitus

Tutustu tietomurron laajuuteen

1. Tarkista sovelluksen myöntämät käyttöalueet.
2. Tarkastele kaikkia sovelluksen tekemiä toimintoja.
3. Tarkista sovellukseen liittyvä käyttäjän toiminta.

Sovelluksen poikkeava OneDrive-toiminto, joka juuri päivitti tai lisäsi uudet tunnistetiedot

Vakavuus: Keskikoko

MITRE-tunnukset: T1098.001, T1213

Muu kuin Microsoft-pilvisovellus teki poikkeavia Graph-ohjelmointirajapintakutsuja OneDriveen, mukaan lukien suuren määrän tietojen käyttöä. Koneoppimisen havaitsemat epätavalliset ohjelmointirajapintakutsut tehtiin muutaman päivän kuluessa siitä, kun sovellus lisäsi uusia tai päivitettyjä olemassa olevia varmenteita/salaisuuksia. Tämä sovellus saattaa olla mukana tietojen kaavoissa tai muissa yrityksissä käyttää ja noutaa arkaluonteisia tietoja.

TP vai FP?

• TP: Jos voit vahvistaa, että sovellus suoritti epätavallisia toimintoja, kuten OneDrive-kuormituksen suuren kuormituksen, Graph-ohjelmointirajapinnan kautta.

  Suositeltu toiminto: Poista sovellus tilapäisesti käytöstä, palauta salasana ja ota sovellus sitten uudelleen käyttöön.

• FP: Jos voit vahvistaa, että sovellus ei ole suorittanut epätavallisia toimintoja tai että sovelluksen on tarkoitus tehdä epätavallisen paljon Graph-kutsuja.

  Suositeltu toiminto: Hylkää ilmoitus

Tutustu tietomurron laajuuteen

1. Tarkista kaikki sovelluksen suorittamat toimet.
2. Tarkista sovelluksen myöntämät käyttöalueet.
3. Tarkista sovellukseen liittyvä käyttäjän toiminta.

Poikkeavia SharePoint-toimintoja sovellukselta, joka juuri päivitti tai lisäsi uudet tunnistetiedot

Vakavuus: Keskikoko

MITRE-tunnukset: T1098.001, T1213.002

Muu kuin Microsoftin pilvisovellus teki poikkeavia Graph-ohjelmointirajapintakutsuja SharePointiin, mukaan lukien suuren määrän tietojen käyttöä. Koneoppimisen havaitsemat epätavalliset ohjelmointirajapintakutsut tehtiin muutaman päivän kuluessa siitä, kun sovellus lisäsi uusia tai päivitettyjä olemassa olevia varmenteita/salaisuuksia. Tämä sovellus saattaa olla mukana tietojen kaavoissa tai muissa yrityksissä käyttää ja noutaa arkaluonteisia tietoja.

TP vai FP?

• TP: Jos voit vahvistaa, että sovellus suoritti epätavallisia toimintoja, kuten SharePoint-kuormituksen suuren määrän käyttöä, Graph-ohjelmointirajapinnan kautta.

  Suositeltu toiminto: Poista sovellus tilapäisesti käytöstä, palauta salasana ja ota sovellus sitten uudelleen käyttöön.

• FP: Jos voit vahvistaa, että sovellus ei ole suorittanut epätavallisia toimintoja tai että sovelluksen on tarkoitus tehdä epätavallisen paljon Graph-kutsuja.

  Suositeltu toiminto: Hylkää ilmoitus

Tutustu tietomurron laajuuteen

1. Tarkista kaikki sovelluksen suorittamat toimet.
2. Tarkista sovelluksen myöntämät käyttöalueet.
3. Tarkista sovellukseen liittyvä käyttäjän toiminta.

Sovelluksen metatiedot, jotka liittyvät epäilyttävään sähköpostiin liittyvään toimintaan

Vakavuus: Keskikoko

MITRE-tunnukset: T1114

Tämä tunnistaminen luo ilmoituksia muille kuin Microsoft OAuth -sovelluksille, joissa on metatietoja, kuten nimi, URL-osoite tai julkaisija, jotka on aiemmin havaittu sovelluksissa, joissa on epäilyttävään sähköpostiin liittyvää toimintaa. Tämä sovellus saattaa olla osa hyökkäyskampanjaa, ja se saattaa olla mukana arkaluonteisten tietojen suodattimessa.

TP vai FP?

• TP: Jos voit vahvistaa, että sovellus on luonut postilaatikon sääntöjä tai tehnyt suuren määrän epätavallisia Graph-ohjelmointirajapinnan kutsuja Exchange-kuormitukseen.

  Suositeltu toiminto:

  • Tutki sovelluksen rekisteröintitiedot sovellusten hallinnasta ja katso lisätietoja Microsoft Entra ID.
  • Ota yhteyttä käyttäjiin tai järjestelmänvalvojiin, jotka ovat myöntäneet sovelluksen suostumuksen tai käyttöoikeudet. Tarkista, olivatko muutokset tahallisia.
  • Hae CloudAppEvents Advanced - metsästystaulukosta sovelluksen toiminnan ymmärtämistä ja sovelluksen käsittelemien tietojen tunnistamista varten. Tarkista postilaatikot, joihin tämä vaikuttaa, ja tarkista viestit, jotka itse sovellus tai sen luomat säännöt ovat saattaneet lukea tai välittää.
  • Tarkista, onko sovellus kriittinen organisaatiollesi, ennen kuin harkitset eristämistoimia. Poista sovelluksen aktivointi sovellusten hallinnan tai Microsoft Entra ID avulla, jotta sovellus ei voi käyttää resursseja. Sovelluksen hallintakäytännöt ovat saattaneet jo poistaa sovelluksen aktivoinnin.

• FP: Jos voit vahvistaa, että sovellus ei ole suorittanut epätavallisia toimintoja ja että sovelluksella on laillinen liiketoimintakäyttö organisaatiossa.

  Suositeltu toiminto: Hylkää ilmoitus

Tutustu tietomurron laajuuteen

1. Tarkista kaikki sovelluksen suorittamat toimet.
2. Tarkista sovellukselle myönnetyt käyttöalueet.
3. Tarkista sovellukseen liittyvä käyttäjän toiminta.

Sovellus, jossa on EWS-sovelluksen käyttöoikeudet lukuisten sähköpostiviestien käyttämiseen

Vakavuus: Keskikoko

MITRE-tunnukset: T1114

Tämä tunnistaminen luo ilmoituksia useille pilvisovelluksille, joilla on EWS-sovelluksen käyttöoikeudet, ja jotka osoittavat Exchange Web Services -ohjelmointirajapinnan kutsujen lisääntyneen merkittävästi ja jotka koskevat sähköpostien luettelointia ja keräämistä. Tämä sovellus saattaa olla mukana luottamuksellisten sähköpostitietojen käytössä ja noutamisessa.

TP vai FP?

• TP: Jos voit vahvistaa, että sovellus on käyttänyt luottamuksellisia sähköpostitietoja tai tehnyt paljon epätavallisia kutsuja Exchange-kuormitukseen.

  Suositeltu toiminto:

  • Tutki sovelluksen rekisteröintitiedot sovellusten hallinnasta ja katso lisätietoja Microsoft Entra ID.
  • Ota yhteyttä käyttäjiin tai järjestelmänvalvojiin, jotka ovat myöntäneet sovelluksen suostumuksen tai käyttöoikeudet. Tarkista, olivatko muutokset tahallisia.
  • Hae CloudAppEvents Advanced - metsästystaulukosta sovelluksen toiminnan ymmärtämistä ja sovelluksen käsittelemien tietojen tunnistamista varten. Tarkista postilaatikot, joihin tämä vaikuttaa, ja tarkista viestit, jotka itse sovellus tai sen luomat säännöt ovat saattaneet lukea tai välittää.
  • Tarkista, onko sovellus kriittinen organisaatiollesi, ennen kuin harkitset eristämistoimia. Poista sovelluksen aktivointi sovellusten hallinnan tai Microsoft Entra ID avulla, jotta sovellus ei voi käyttää resursseja. Sovelluksen hallintakäytännöt ovat saattaneet jo poistaa sovelluksen aktivoinnin.

• FP: Jos voit vahvistaa, että sovellus ei ole suorittanut epätavallisia toimintoja ja että sovelluksella on laillinen liiketoimintakäyttö organisaatiossa.

  Suositeltu toiminto: Hylkää ilmoitus

Tutustu tietomurron laajuuteen

1. Tarkista kaikki sovelluksen suorittamat toimet.
2. Tarkista sovellukselle myönnetyt käyttöalueet.
3. Tarkista sovellukseen liittyvä käyttäjän toiminta.

Käyttämätön sovellus, joka käyttää äskettäin ohjelmointirajapintoja

Vakavuus: Keskikoko

MITRE-tunnukset: T1530

Tämä tunnistaminen luo ilmoituksia usealle pilvisovellukselle, joka on ollut käyttämättomanä jo jonkin aikaa ja on äskettäin aloittanut ohjelmointirajapintakutsujen tekemisen. Hyökkääjä voi vaarantaa tämän sovelluksen, ja sitä käytetään luottamuksellisten tietojen käyttämiseen ja noutamiseen.

TP vai FP?

• TP: Jos voit vahvistaa, että sovellus on käyttänyt luottamuksellisia tietoja tai tehnyt useita epätavallisia kutsuja Microsoft Graphiin, Exchangeen tai Azureen Resource Manager kuormituksia.

  Suositeltu toiminto:

  • Tutki sovelluksen rekisteröintitiedot sovellusten hallinnasta ja katso lisätietoja Microsoft Entra ID.
  • Ota yhteyttä käyttäjiin tai järjestelmänvalvojiin, jotka ovat myöntäneet sovelluksen suostumuksen tai käyttöoikeudet. Tarkista, olivatko muutokset tahallisia.
  • Hae CloudAppEvents Advanced - metsästystaulukosta sovelluksen toiminnan ymmärtämistä ja sovelluksen käsittelemien tietojen tunnistamista varten. Tarkista postilaatikot, joihin tämä vaikuttaa, ja tarkista viestit, jotka itse sovellus tai sen luomat säännöt ovat saattaneet lukea tai välittää.
  • Tarkista, onko sovellus kriittinen organisaatiollesi, ennen kuin harkitset eristämistoimia. Poista sovelluksen aktivointi sovellusten hallinnan tai Microsoft Entra ID avulla, jotta sovellus ei voi käyttää resursseja. Sovelluksen hallintakäytännöt ovat saattaneet jo poistaa sovelluksen aktivoinnin.

• FP: Jos voit vahvistaa, että sovellus ei ole suorittanut epätavallisia toimintoja ja että sovelluksella on laillinen liiketoimintakäyttö organisaatiossa.

  Suositeltu toiminto: Hylkää ilmoitus

Tutustu tietomurron laajuuteen

1. Tarkista kaikki sovelluksen suorittamat toimet.
2. Tarkista sovellukselle myönnetyt käyttöalueet.
3. Tarkista sovellukseen liittyvä käyttäjän toiminta.

Vaikutusilmoitukset

Tässä osiossa kuvataan hälytyksiä, jotka ilmaisevat, että pahantahtoinen toimija saattaa yrittää muokata, keskeyttää tai tuhota järjestelmiäsi ja tietojasi organisaatiostasi.

Entra Line-of-Business -sovellus, joka käynnistää poikkeavan piikin näennäiskoneen luomisessa

Vakavuus: Keskikoko

MITRE-tunnus: T1496

Tämä tunnistaminen tunnistaa yksittäisen vuokraajan uuden OAuth-sovelluksen, joka luo suurimman osan Azure-Näennäiskoneet vuokraajassasi Azure Resource Manager -ohjelmointirajapinnan avulla.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että OAuth-sovellus on luotu äskettäin ja luo suuria määriä Näennäiskoneet vuokraajassasi, todellinen positiivinen tulos on merkitty.

  Suositellut toiminnot: Tarkista luodut näennäiskoneet ja sovellukseen tehdyt viimeaikaiset muutokset. Tutkimusten perusteella voit kieltää tämän sovelluksen käytön. Tarkista tämän sovelluksen pyytämä käyttöoikeustaso ja se, ketkä käyttäjät ovat myöntäneet käyttöoikeuden.

• FP: Jos voit tutkinnan jälkeen vahvistaa, että sovelluksella on laillinen yrityskäyttö organisaatiossa.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen:

1. Tarkista sovellukset, jotka on luotu äskettäin, ja näennäiskoneet, jotka on luotu.
2. Tarkista kaikki toiminnot, joita sovellus on tehnyt sen luomisen jälkeen.
3. Tarkista käyttöalueet, jotka sovellus on myöntänyt Graph-ohjelmointirajapinnassa ja roolille tilauksessasi.

OAuth-sovellusta, jolla on suuren laajuuden oikeudet Microsoft Graphissa, havaittiin käynnistämässä näennäiskoneen luomista

Vakavuus: Keskikoko

MITRE-tunnus: T1496

Tämä tunnistaminen tunnistaa OAuth-sovelluksen, joka luo suurimman osan Azure-Näennäiskoneet vuokraajassasi Azure Resource Manager -ohjelmointirajapinnan avulla, kun sillä on suuret oikeudet vuokraajassa MS Graph -ohjelmointirajapinnan kautta ennen toimintoa.

TP vai FP?

• TP: Jos pystyt vahvistamaan, että OAuth-sovellus, jolla on suuret oikeudet, on luotu ja luo suuria määriä Näennäiskoneet vuokraajassasi, todellinen positiivinen tulos on.

  Suositellut toiminnot: Tarkista luodut näennäiskoneet ja sovellukseen tehdyt viimeaikaiset muutokset. Tutkimusten perusteella voit kieltää tämän sovelluksen käytön. Tarkista tämän sovelluksen pyytämä käyttöoikeustaso ja se, ketkä käyttäjät ovat myöntäneet käyttöoikeuden.

• FP: Jos voit tutkinnan jälkeen vahvistaa, että sovelluksella on laillinen yrityskäyttö organisaatiossa.

  Suositeltu toiminto: Hylkää ilmoitus.

Tutustu tietomurron laajuuteen:

1. Tarkista sovellukset, jotka on luotu äskettäin, ja näennäiskoneet, jotka on luotu.
2. Tarkista kaikki toiminnot, joita sovellus on tehnyt sen luomisen jälkeen.
3. Tarkista käyttöalueet, jotka sovellus on myöntänyt Graph-ohjelmointirajapinnassa ja roolille tilauksessasi.

Seuraavat vaiheet

Sovellusten hallintahälytysten hallinta