Tutki esimääritettyjä sovelluskäytäntöilmoituksia

Sovellusten hallinta tarjoaa esimääritettyjä sovelluskäytäntöilmoituksia poikkeavia toimintoja varten. Tämän oppaan tarkoituksena on antaa yleisiä ja käytännön tietoja kustakin ilmoituksesta, jotta voit auttaa tutkinnassa ja korjaustehtävissä.

Tähän oppaaseen sisältyy yleisiä tietoja ilmoitusten käynnistämisen ehdoista. Koska ennalta määritetyt käytännöt ovat luonteeltaan epädeterministisiä, ne käynnistyvät vain, kun toiminta poikkeaa normista.

Vihje

Jotkin hälytykset voivat olla esikatselutilassa, joten tarkista päivitetyt ilmoitustilat säännöllisesti.

Suojaushälytysten luokitukset

Asianmukaisen tutkimuksen jälkeen kaikki sovellusten hallintahälytykset voidaan luokitella johonkin seuraavista toimintatyypeistä:

• True positive (TP): Ilmoitus vahvistetusta haitallisesta toiminnasta.
• Benign true positive (B-TP): Ilmoitus epäilyttävästä mutta ei haitallisesta toiminnasta, kuten penetraatiotestistä tai muusta valtuutetusta epäilyttävästä toiminnasta.
• Epätosi-positiivinen (FP): Ilmoitus ei-aktiivisuudesta.

Yleiset tutkimusvaiheet

Käytä seuraavia yleisiä ohjeita, kun tutkit minkä tahansa tyyppisiä ilmoituksia, jotta saat selkeämmän käsityksen mahdollisesta uhasta ennen suositellun toiminnon soveltamista.

1. Tarkista sovelluksen vakavuustaso ja vertaa sitä muihin vuokraajasi sovelluksiin. Tämän arvion avulla voit tunnistaa, mitkä vuokraajasi sovellukset aiheuttavat suuremman riskin.

2. Jos tunnistat TP:n, tarkista kaikki sovelluksen toiminnot saadaksesi käsityksen vaikutuksista. Voit esimerkiksi tarkastella seuraavia sovelluksen tietoja:

   • Käyttöalueiden myönnetty käyttöoikeus
   • Epätavallinen käyttäytyminen
   • IP-osoite ja sijainti

Ennalta määritetyt sovelluskäytäntöilmoitukset

Tässä osiossa on tietoja jokaisesta ennalta määritetystä käytäntöilmoituksesta sekä tutkimus- ja korjausvaiheet.

Ylioikeutetun tai hyvin etuoikeutetun sovelluksen tietojen käytön lisääminen

Vakavuus: Keskikoko

Etsi sovelluksia, joilla on tehokkaat tai käyttämättömät käyttöoikeudet ja jotka lisäävät tietojen käyttöä äkillisesti Graph-ohjelmointirajapinnan kautta. Epätavalliset tietojen käyttöön tehdyt muutokset saattavat olla merkki kompromissista.

TP vai FP?

Voit selvittää, onko ilmoitus tosi-positiivinen (TP) vai epätosi-positiivinen (FP), tarkastelemalla kaikkia sovelluksen suorittamia toimintoja, sovellukseen liittyviä vaikutusalueita ja sovellukseen liittyviä käyttäjätoimintoja.

• TP: Käytä tätä suositeltua toimintoa, jos olet vahvistanut, että ylioikeutetun tai hyvin etuoikeutetun sovelluksen lisäämä tietojen käyttö on epäsäännöllistä tai mahdollisesti haitallista.

  Suositeltu toiminto: Ota yhteyttä käyttäjiin sovelluksen toiminnoista, jotka ovat aiheuttaneet tietojen käytön lisääntymisen. Poista sovellus tilapäisesti käytöstä, palauta salasana ja ota sovellus sitten uudelleen käyttöön.

• FP: Käytä tätä suositeltua toimintoa, jos olet vahvistanut, että havaittu sovellustoiminta on tarkoitettu ja että sillä on laillinen yrityskäyttö organisaatiossa.

  Suositeltu toiminto: Hylkää ilmoitus.

Epätavallinen toiminta sovellukselta, jolla on etuoikeutetun tilin suostumus

Vakavuus: Keskikoko

Löydä epätavallisia joko tietojen käytön tai Graph-ohjelmointirajapinnan käyttövirheitä, jotka ovat tulleet vastaan sovelluksissa, joille on annettu etusijatilin suostumus.

TP vai FP?

Tarkista kaikki sovelluksen suorittamat toimet, sovellukseen myönnetyt käyttöalueet ja sovellukseen liittyvät käyttäjätoiminnot.

• TP: Käytä tätä suositeltua toimintoa, jos olet vahvistanut, että sovelluksen tietojen käytön tai ohjelmointirajapinnan käyttövirheiden lisääntyminen prioriteettitilin suostumuksella on erittäin epäsäännöllinen tai mahdollisesti haitallinen.

  Suositeltu toiminto: Ota yhteyttä prioriteettitilin käyttäjiin sovelluksen toiminnoista, jotka ovat aiheuttaneet tietojen käytön lisääntymisen tai ohjelmointirajapinnan käyttövirheet. Poista sovellus tilapäisesti käytöstä, palauta salasana ja ota sovellus sitten uudelleen käyttöön.

• FP: Käytä tätä suositeltua toimintoa, jos olet vahvistanut, että havaittu sovellustoiminta on tarkoitettu ja että sillä on laillinen yrityskäyttö organisaatiossa.

  Suositeltu toiminto: Hylkää ilmoitus.

Uusi sovellus, jonka suostumusaste on alhainen

Vakavuus: Keskikoko

Käyttäjät ovat usein hylänneet äskettäin luodun sovelluksen suostumuspyynnöt. Käyttäjät hylkäävät yleensä suostumuspyynnöt sovelluksista, joissa on ilmennyt odottamatonta toimintaa tai jotka ovat saapuneet epäluotettavasta lähteestä. Sovellukset, joiden suostumustaso on alhainen, ovat todennäköisemmin riskialttiita tai haitallisia.

TP vai FP?

Tarkista kaikki sovelluksen suorittamat toimet, sovellukseen myönnetyt käyttöalueet ja sovellukseen liittyvät käyttäjätoiminnot.

• TP: Käytä tätä suositeltua toimintoa, jos olet vahvistanut sovelluksen olevan peräisin tuntemattomasta lähteestä ja sen toimet ovat olleet erittäin epäsäännöllisiä tai mahdollisesti haitallisia.

  Suositeltu toiminto: Poista sovellus tilapäisesti käytöstä, palauta salasana ja ota sovellus sitten uudelleen käyttöön.

• FP: Käytä tätä suositeltua toimintoa, jos olet vahvistanut, että havaittu sovellustoiminta on oikeutettua.

  Suositeltu toiminto: Hylkää ilmoitus.

OneDriveen tehtyjen Graph-ohjelmointirajapintakutsujen piikki

Vakavuus: Keskikoko

Pilvisovellus osoitti Graph-ohjelmointirajapintakutsujen lisääntyneen merkittävästi OneDrivessa. Tämä sovellus saattaa olla mukana tietojen suodattimessa tai muissa yrityksissä käyttää ja noutaa luottamuksellisia tietoja.

TP vai FP?

Tarkista kaikki sovelluksen suorittamat toimet, sovellukseen myönnetyt käyttöalueet ja sovellukseen liittyvät käyttäjätoiminnot.

• TP: Käytä tätä suositeltua toimintoa, jos olet vahvistanut, että erittäin epäsäännölliset ja mahdollisesti haitalliset toimet ovat johtaneet havaittuun OneDrive-käytön lisääntymiseen.

  Suositeltu toiminto: Poista sovellus tilapäisesti käytöstä, palauta salasana ja ota sovellus sitten uudelleen käyttöön.

• FP: Käytä tätä suositeltua toimintoa, jos olet vahvistanut, että havaittu sovellustoiminta on oikeutettua.

  Suositeltu toiminto: Hylkää ilmoitus.

SharePointiin tehtyjen Graph-ohjelmointirajapintakutsujen piikki

Vakavuus: Keskikoko

Pilvisovellus osoitti Graph-ohjelmointirajapintakutsujen lisääntyneen merkittävästi SharePointiin. Tämä sovellus saattaa olla mukana tietojen suodattimessa tai muissa yrityksissä käyttää ja noutaa luottamuksellisia tietoja.

TP vai FP?

Tarkista kaikki sovelluksen suorittamat toimet, sovellukseen myönnetyt käyttöalueet ja sovellukseen liittyvät käyttäjätoiminnot.

• TP: Käytä tätä suositeltua toimintoa, jos olet vahvistanut, että erittäin epäsäännölliset ja mahdollisesti haitalliset toimet ovat johtaneet SharePoint-käytön havaittuun lisääntymiseen.

  Suositeltu toiminto: Poista sovellus tilapäisesti käytöstä, palauta salasana ja ota sovellus sitten uudelleen käyttöön.

• FP: Käytä tätä suositeltua toimintoa, jos olet vahvistanut, että havaittu sovellustoiminta on oikeutettua.

  Suositeltu toiminto: Hylkää ilmoitus.

Exchangeen tehtyjen Graph-ohjelmointirajapintakutsujen piikki

Vakavuus: Keskikoko

Pilvisovellus osoitti, että Graph-ohjelmointirajapintakutsut Exchangeen ovat lisääntyneet merkittävästi. Tämä sovellus saattaa olla mukana tietojen suodattimessa tai muissa yrityksissä käyttää ja noutaa luottamuksellisia tietoja.

TP vai FP?

Tarkista kaikki sovelluksen suorittamat toimet, sovellukseen myönnetyt käyttöalueet ja sovellukseen liittyvät käyttäjätoiminnot.

• TP: Käytä tätä suositeltua toimintoa, jos olet vahvistanut, että erittäin epäsäännölliset ja mahdollisesti haitalliset toimet ovat johtaneet Exchange-käytön havaittuun kasvuun.

  Suositeltu toiminto: Poista sovellus tilapäisesti käytöstä, palauta salasana ja ota sovellus sitten uudelleen käyttöön.

• FP: Käytä tätä suositeltua toimintoa, jos olet vahvistanut, että havaittu sovellustoiminta on oikeutettua.

  Suositeltu toiminto: Hylkää ilmoitus.

Epäilyttävä sovellus, jolla on useiden Microsoft 365 -palveluiden käyttöoikeus

Vakavuus: Keskikoko

Etsi sovelluksia, joilla on OAuth-käyttöoikeus useisiin Microsoft 365 -palveluihin, joissa on havaittu tilastollisesti poikkeavia Graph API -toimintoja varmenteen tai salaisen päivityksen jälkeen. Tunnistamalla nämä sovellukset ja tarkistamalla niiden kompromissit voit estää sivuttaisten siirtojen, tietojen suodattimen ja muut haitalliset toimet, jotka kulkevat pilvikansioiden, sähköpostien ja muiden palvelujen läpi.

TP vai FP?

Tarkista kaikki sovelluksen suorittamat toimet, sovellukseen myönnetyt käyttöalueet ja sovellukseen liittyvät käyttäjätoiminnot.

• TP: Käytä tätä suositeltua toimintoa, jos olet vahvistanut, että sovellusvarmenteiden tai salaisten koodien päivitykset ja muut sovellustoiminnot ovat olleet erittäin epäsäännöllisiä tai mahdollisesti haitallisia.

  Suositeltu toiminto: Poista sovellus tilapäisesti käytöstä, palauta salasana ja ota sovellus sitten uudelleen käyttöön.

• FP: Käytä tätä suositeltua toimintoa, jos olet vahvistanut, että havaittu sovellustoiminta on oikeutettua.

  Suositeltu toiminto: Hylkää ilmoitus.

Suuri määrä Saapuneet-kansion sääntöjen luontitoimintoja sovelluksen mukaan

Vakavuus: Keskikoko

Sovellus teki suuren määrän Graph-ohjelmointirajapintakutsuja Exchangen Saapuneet-kansion sääntöjen luomiseksi. Tämä sovellus saattaa olla mukana tietojen keräämisessä ja kaavoissa tai muissa yrityksissä käyttää ja noutaa arkaluonteisia tietoja.

TP vai FP?

Tarkista kaikki sovelluksen suorittamat toimet, sovellukseen myönnetyt käyttöalueet ja sovellukseen liittyvät käyttäjätoiminnot.

• TP: Sovella tätä suositeltua toimintoa, jos olet vahvistanut, että Saapuneet-kansion sääntöjen ja muiden toimintojen luominen on ollut erittäin epäsäännöllistä tai mahdollisesti haitallista.

  Suositeltu toiminto: Poista sovellus tilapäisesti käytöstä, palauta salasana ja ota sovellus sitten uudelleen käyttöön.

• FP: Käytä tätä suositeltua toimintoa, jos olet vahvistanut, että havaittu sovellustoiminta on oikeutettua.

  Suositeltu toiminto: Hylkää ilmoitus.

Sovelluksen suuri määrä sähköpostihakutoimintoja

Vakavuus: Keskikoko

Sovellus teki suuren määrän Graph-ohjelmointirajapintakutsuja Exchange-sähköpostisisällön hakemiseksi. Tämä sovellus saattaa olla mukana tietojen keräämisessä tai muissa yrityksissä käyttää ja noutaa arkaluonteisia tietoja.

TP vai FP?

Tarkista kaikki sovelluksen suorittamat toimet, sovellukseen myönnetyt käyttöalueet ja sovellukseen liittyvät käyttäjätoiminnot.

• TP: Käytä tätä suositeltua toimintoa, jos olet vahvistanut, että Sisältöhaut Exchangessa ja muissa toiminnoissa ovat olleet erittäin epäsäännöllisiä tai mahdollisesti haitallisia.

  Suositeltu toiminto: Poista sovellus tilapäisesti käytöstä, palauta salasana ja ota sovellus sitten uudelleen käyttöön.

• FP: Jos voit vahvistaa, että sovellus ei suorita epätavallisia sähköpostihakutoimintoja tai että sovelluksen on tarkoitus tehdä epätavallisia sähköpostihakutoimintoja Graph-ohjelmointirajapinnan kautta.

  Suositeltu toiminto: Hylkää ilmoitus.

Sovelluksen lähettämän sähköpostin suuri määrä

Vakavuus: Keskikoko

Sovellus teki suuren määrän Graph-ohjelmointirajapintakutsuja sähköpostiviestien lähettämiseksi Exchange Online. Tämä sovellus saattaa olla mukana tietojen keräämisessä ja kaavoissa tai muissa yrityksissä käyttää ja noutaa arkaluonteisia tietoja.

TP vai FP?

Tarkista kaikki sovelluksen suorittamat toimet, sovellukseen myönnetyt käyttöalueet ja sovellukseen liittyvät käyttäjätoiminnot.

• TP: Käytä tätä suositeltua toimintoa, jos olet vahvistanut, että sähköpostiviestien ja muiden toimintojen lähettäminen on ollut erittäin epäsäännöllistä tai mahdollisesti haitallista.

  Suositeltu toiminto: Poista sovellus tilapäisesti käytöstä, palauta salasana ja ota sovellus sitten uudelleen käyttöön.

• FP: Jos voit vahvistaa, että sovellus ei ole suorittanut epätavallisia sähköpostin lähetystoimintoja tai että sovelluksen tarkoituksena on tehdä epätavallisia sähköpostin lähetystoimintoja Graph-ohjelmointirajapinnan kautta.

  Suositeltu toiminto: Hylkää ilmoitus.

Luottamuksellisten tietojen käyttö

Vakavuus: Keskikoko

Etsi sovelluksia, jotka käyttävät luottamuksellisia tietoja, jotka tunnistetaan tietyillä luottamuksellisilla tunnisteilla.

TP vai FP?

Jos haluat selvittää, onko ilmoitus tosi positiivinen (TP) vai epätosi positiivinen (FP), tarkista sovelluksen käyttämät resurssit.

• TP: Käytä tätä suositeltua toimintoa, jos olet vahvistanut, että sovellus tai havaittu toiminta on epäsäännöllistä tai mahdollisesti haitallista.

  Suositeltu toiminto: Estä sovellusta käyttämästä resursseja poistamalla sen aktivointi Microsoft Entra ID.

• FP: Käytä tätä suositeltua toimintoa, jos olet vahvistanut, että sovelluksella on laillinen yrityskäyttö organisaatiossa ja että havaittua toimintaa odotettiin.

  Suositeltu toiminto: Hylkää ilmoitus.

Seuraavat vaiheet

Lisätietoja sovelluksen uhkien tunnistamisesta ja korjaamisesta