Examiner les alertes de détection des menaces de gouvernance des applications

La gouvernance des applications fournit des détections de sécurité et des alertes pour les activités malveillantes. Cet article répertorie les détails de chaque alerte qui peuvent faciliter votre investigation et votre correction, y compris les conditions de déclenchement des alertes. Étant donné que les détections de menaces ne sont pas déterministes par nature, elles ne sont déclenchées que lorsqu’il existe un comportement qui s’écarte de la norme.

Pour plus d’informations, consultez Gouvernance des applications dans Microsoft Defender for Cloud Apps

Remarque

Les détections de menaces de gouvernance des applications sont basées sur le comptage des activités sur des données qui sont temporaires et qui peuvent ne pas être stockées. Par conséquent, les alertes peuvent fournir le nombre d’activités ou des indications de pics, mais pas nécessairement toutes les données pertinentes. En particulier pour les applications OAuth API Graph activités, les activités elles-mêmes peuvent être auditées par le locataire à l’aide de Log Analytics et de Sentinel.

Pour plus d’informations, voir :

• Accéder aux journaux d’activité Microsoft Graph
• Analyser les journaux d’activité à l’aide de Log Analytics

Étapes d’investigation générales

Recherche d’alertes liées à la gouvernance des applications

Pour localiser les alertes spécifiquement liées à la gouvernance des applications, accédez à la page Alertes du portail XDR. Dans la liste des alertes, utilisez le champ « Sources de service/détection » pour filtrer les alertes. Définissez la valeur de ce champ sur « Gouvernance des applications » pour afficher toutes les alertes générées par la gouvernance des applications.

Instructions générales

Utilisez les instructions générales suivantes lors de l’examen d’un type d’alerte pour mieux comprendre la menace potentielle avant d’appliquer l’action recommandée.

• Examinez le niveau de gravité de l'application et comparez-le avec le reste des applications de votre client. Cette révision vous aide à identifier les applications de votre locataire qui posent le plus grand risque.

• Si vous identifiez un TP, passez en revue toutes les activités de l’application pour mieux comprendre l’impact. Par exemple, passez en revue les informations d’application suivantes :

  • Étendues d’accès accordées
  • Comportement inhabituel
  • Adresse IP et emplacement

Classifications des alertes de sécurité

Après une enquête appropriée, toutes les alertes de gouvernance d'application peuvent être classées dans l'un des types d'activité suivants :

• Vrai positif (TP) : alerte sur une activité malveillante confirmée.
• Vrai positif bénin (B-TP) : alerte sur une activité suspecte, mais pas malveillante, telle qu’un test d’intrusion ou toute autre action suspecte autorisée.
• Faux positif (FP) : alerte sur une activité non malveillante.

MITRE ATT&CK

Pour faciliter la cartographie de la relation entre les alertes de gouvernance des applications et la matrice familière MITRE ATT&CK, nous avons classé les alertes par leur tactique MITRE ATT&CK correspondante. Cette référence supplémentaire facilite la compréhension de la technique des attaques suspectes potentiellement en cours d’utilisation lorsque l’alerte de gouvernance des applications est déclenchée.

Ce guide fournit des informations sur l’examen et la correction des alertes de gouvernance des applications dans les catégories suivantes.

• Accès initial
• Exécution
• Persistance
• Réaffectation des privilèges
• Fraude à la défense
• Accès informations d'identification
• Discovery
• Mouvement latéral
• Collection
• Exfiltration
• Impact

Alertes d’accès initial

Cette section décrit les alertes indiquant qu’une application malveillante tente peut-être de maintenir son pied de page dans votre organisation.

L’application redirige vers l’URL d’hameçonnage en exploitant la vulnérabilité de redirection OAuth

Gravité : moyen

Cette détection identifie les applications OAuth qui redirigent vers les URL d’hameçonnage en exploitant le paramètre de type de réponse dans l’implémentation OAuth via microsoft API Graph.

TP ou FP ?

• TP : si vous pouvez confirmer que l’application OAuth a été remise à partir d’une source inconnue, le type de réponse de l’URL de réponse après avoir donné son consentement à l’application OAuth contient une requête non valide et redirige vers une URL de réponse inconnue ou non approuvée.

  Action recommandée: désactivez et supprimez l’application, réinitialisez le mot de passe et supprimez la règle de boîte de réception. 

• FP: Si, après investigation, vous pouvez confirmer que l'application a une utilisation commerciale légitime dans l'organisation.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par l’application. 
2. Passez en revue les étendues accordées par l’application. 

Application OAuth avec une URL de réponse suspecte

Gravité : moyen

Cette détection identifie une application OAuth qui a accédé à une URL de réponse suspecte via le API Graph Microsoft.

TP ou FP ?

• TP : si vous pouvez confirmer que l’application OAuth est remise à partir d’une source inconnue et qu’elle redirige vers une URL suspecte, un vrai positif est indiqué. Une URL suspecte est celle où la réputation de l’URL est inconnue, non approuvée ou dont le domaine a été récemment inscrit et dont la demande d’application concerne une étendue de privilèges élevés.

  Action recommandée : passez en revue l’URL de réponse, les domaines et les étendues demandés par l’application. En fonction de votre enquête, vous pouvez choisir d’interdire l’accès à cette application. Passez en revue le niveau d’autorisation demandé par cette application et les utilisateurs auxquels l’accès est accordé.

  Pour interdire l’accès à l’application, accédez à l’onglet approprié pour votre application sur la page Gouvernance des applications. Sur la ligne dans laquelle l’application que vous souhaitez interdire s’affiche, sélectionnez l’icône d’interdiction. Vous pouvez choisir d’indiquer aux utilisateurs que l’application qu’ils ont installée et autorisée a été interdite. La notification indique aux utilisateurs que l’application sera désactivée et qu’ils n’auront pas accès à l’application connectée. Si vous ne souhaitez pas qu’ils le sachent, désélectionnez Notifier les utilisateurs qui ont accordé l’accès à cette application interdite dans la boîte de dialogue. Nous vous recommandons d’informer les utilisateurs de l’application que leur application est sur le point d’être interdite.

• FP: Si, après investigation, vous pouvez confirmer que l'application a une utilisation commerciale légitime dans l'organisation.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue les applications qui ont été créées récemment et leurs URL de réponse.

2. Passez en revue toutes les activités effectuées par l’application. 

3. Passez en revue les étendues accordées par l’application. 

L’application créée récemment présente un faible taux de consentement

Sévérité: faible

Cette détection identifie une application OAuth qui a été créée récemment et qui présente un faible taux de consentement. Cela peut indiquer une application malveillante ou risquée qui attirera les utilisateurs dans des octrois de consentement illicites.

TP ou FP ?

• TP : si vous êtes en mesure de confirmer que l’application OAuth est fournie à partir d’une source inconnue, un vrai positif est indiqué.

  Action recommandée : vérifiez le nom complet, les URL de réponse et les domaines de l’application. En fonction de votre investigation, vous pouvez choisir d’interdire l’accès à cette application. Examinez le niveau d’autorisation demandé par cette application et les utilisateurs qui ont accordé l’accès.

• FP: Si, après investigation, vous pouvez confirmer que l'application a une utilisation commerciale légitime dans l'organisation.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par l’application.
2. Si vous pensez qu'une application est suspecte, nous vous recommandons d'enquêter sur le nom et le domaine de réponse de l'application dans différents magasins d'applications. Lors de la vérification des magasins d’applications, concentrez-vous sur les types d’applications suivants :
   • Applications qui ont été créées récemment.
   • Application avec un nom d’affichage inhabituel
   • Applications avec une Domaine de réponse suspecte
3. Si vous pensez toujours qu'une application est suspecte, vous pouvez rechercher le nom d'affichage de l'application et le domaine de réponse.

Application avec une mauvaise réputation d’URL

Sévérité: moyenne

Cette détection identifie une application OAuth dont la réputation d’URL a été détectée comme mauvaise.

TP ou FP ?

• TP : si vous êtes en mesure de confirmer que l’application OAuth est fournie à partir d’une source inconnue et qu’elle est redirigée vers une URL suspecte, un vrai positif est indiqué.

  Action recommandée : examinez les URL de réponse, les domaines et les étendues demandés par l’application. En fonction de votre enquête, vous pouvez choisir d’interdire l’accès à cette application. Examinez le niveau d’autorisation demandé par cette application et les utilisateurs qui ont accordé l’accès.

• FP: Si, après investigation, vous pouvez confirmer que l'application a une utilisation commerciale légitime dans l'organisation.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par l’application.
2. Si vous pensez qu'une application est suspecte, nous vous recommandons d'enquêter sur le nom et le domaine de réponse de l'application dans différents magasins d'applications. Lors de la vérification des magasins d’applications, concentrez-vous sur les types d’applications suivants :
   • Applications qui ont été créées récemment.
   • Application avec un nom d’affichage inhabituel
   • Applications avec une Domaine de réponse suspecte
3. Si vous pensez toujours qu'une application est suspecte, vous pouvez rechercher le nom d'affichage de l'application et le domaine de réponse.

Nom d’application encodé avec des étendues de consentement suspectes

Sévérité: moyenne

Description: cette détection identifie les applications OAuth avec des caractères, tels que des caractères Unicode ou codés, demandés pour des étendues de consentement suspectes et qui ont accédé aux dossiers de messagerie des utilisateurs via l'API Graph. Cette alerte peut indiquer une tentative d’étiquetage d’une application malveillante en tant qu’application connue et approuvée afin que les adversaires puissent induire les utilisateurs en erreur en consentant à l’application malveillante.

TP ou FP ?

• TP: si vous pouvez confirmer que l'application OAuth a encodé le nom d'affichage avec des étendues suspectes fournies par une source inconnue, un vrai positif est indiqué.

  Action recommandée: vérifiez le niveau d’autorisation demandé par cette application et les utilisateurs auxquels l’accès a été accordé. En fonction de votre enquête, vous pouvez choisir d’interdire l’accès à cette application.

  Pour interdire l’accès à l’application, accédez à l’onglet approprié pour votre application sur la page Gouvernance des applications. Sur la ligne dans laquelle l’application que vous souhaitez interdire s’affiche, sélectionnez l’icône d’interdiction. Vous pouvez choisir d’indiquer aux utilisateurs que l’application qu’ils ont installée et autorisée a été interdite. La notification indique aux utilisateurs que l’application sera désactivée et qu’ils n’auront pas accès à l’application connectée. Si vous ne souhaitez pas qu’ils le sachent, désélectionnez Notifier les utilisateurs qui ont accordé l’accès à cette application interdite dans la boîte de dialogue. Nous vous recommandons d’informer les utilisateurs de l’application que leur application est sur le point d’être interdite.

• FP : Si vous souhaitez confirmer que l’application a un nom encodé, mais qu’elle a une utilisation professionnelle légitime dans le organization.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

Suivez le didacticiel sur la façon d’examiner les applications OAuth à risque.

Application OAuth avec des étendues de lecture a une URL de réponse suspecte

Gravité : moyen

Description : cette détection identifie une application OAuth avec uniquement des étendues Lecture telles que User.Read, Personnes. Read, Contacts.Read, Mail.Read, Contacts.Read. Redirections partagées vers une URL de réponse suspecte via API Graph. Cette activité tente d’indiquer que l’application malveillante disposant d’autorisations moins privilégiées (telles que les étendues de lecture) peut être exploitée pour effectuer une reconnaissance de compte d’utilisateurs.

TP ou FP ?

• TP: si vous êtes en mesure de confirmer que l’application OAuth avec étendue de lecture est fournie à partir d’une source inconnue et qu’elle est redirigée vers une URL suspecte, un vrai positif est indiqué.

  Action recommandée: examinez l’URL de réponse et les étendues demandées par l’application. En fonction de votre enquête, vous pouvez choisir d’interdire l’accès à cette application. Examinez le niveau d’autorisation demandé par cette application et les utilisateurs qui ont accordé l’accès.

  Pour interdire l’accès à l’application, accédez à l’onglet approprié pour votre application sur la page Gouvernance des applications. Sur la ligne dans laquelle l’application que vous souhaitez interdire s’affiche, sélectionnez l’icône d’interdiction. Vous pouvez choisir d’indiquer aux utilisateurs que l’application qu’ils ont installée et autorisée a été interdite. La notification indique aux utilisateurs que l’application sera désactivée et qu’ils n’auront pas accès à l’application connectée. Si vous ne souhaitez pas qu’ils le sachent, désélectionnez Notifier les utilisateurs qui ont accordé l’accès à cette application interdite dans la boîte de dialogue. Nous vous recommandons d’informer les utilisateurs de l’application que leur application est sur le point d’être interdite.

• B-TP: si vous effectuez une investigation, vous pouvez confirmer que l’application a une utilisation commerciale légitime dans l’organisation.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par l’application.
2. Si vous pensez qu’une application est suspecte, nous vous recommandons d’examiner le nom et l’URL de réponse de l’application dans différents magasins d’applications. Lors de la vérification des magasins d’applications, concentrez-vous sur les types d’applications suivants :
   • Applications qui ont été créées récemment.
   • Applications avec une URL de réponse suspecte
   • Applications qui n’ont pas été récemment mises à jour. L’absence de mises à jour peut indiquer que l’application n’est plus prise en charge.
3. Si vous pensez toujours qu’une application est suspecte, vous pouvez rechercher le nom de l’application, le nom de l’éditeur et l’URL de réponse en ligne

Application avec un nom d’affichage inhabituel et un TLD inhabituel dans le domaine de réponse

Gravité : moyen

Cette détection identifie l’application avec un nom d’affichage inhabituel et redirige vers un domaine de réponse suspect avec un domaine de niveau supérieur (TLD) inhabituel via API Graph. Cela peut indiquer une tentative de camoufler une application malveillante ou risquée en tant qu’application connue et approuvée afin que les adversaires puissent induire les utilisateurs en erreur en leur permettant de donner leur consentement à leur application malveillante ou risquée. 

TP ou FP ?

• TP: si vous êtes en mesure de confirmer que l'application avec un nom d'affichage inhabituel provient d'une source inconnue et redirige vers un domaine suspect ayant un domaine de premier niveau inhabituel

  action recommandée: vérifiez le nom complet et le Domaine de réponse de l’application. En fonction de votre investigation, vous pouvez choisir d’interdire l’accès à cette application. Examinez le niveau d’autorisation demandé par cette application et les utilisateurs qui ont accordé l’accès.

• FP: Si, après investigation, vous pouvez confirmer que l'application a une utilisation commerciale légitime dans l'organisation.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

Passez en revue toutes les activités effectuées par l’application. Si vous pensez qu'une application est suspecte, nous vous recommandons d'enquêter sur le nom et le domaine de réponse de l'application dans différents magasins d'applications. Lors de la vérification des magasins d’applications, concentrez-vous sur les types d’applications suivants :

• Applications qui ont été créées récemment.
• Application avec un nom d’affichage inhabituel
• Applications avec une Domaine de réponse suspecte

Si vous pensez toujours qu'une application est suspecte, vous pouvez rechercher le nom d'affichage de l'application et le domaine de réponse.

Nouvelle application avec des autorisations de messagerie avec un modèle de consentement faible

Gravité : moyen

Cette détection identifie les applications OAuth créées récemment dans des locataires d’éditeur relativement nouveaux avec les caractéristiques suivantes :

• Autorisations d’accès ou de modification des paramètres de boîte aux lettres
• Taux de consentement relativement faible, ce qui peut identifier les applications indésirables ou même malveillantes qui tentent d’obtenir le consentement d’utilisateurs non méfiants

TP ou FP ?

• TP : si vous êtes en mesure de confirmer que la demande de consentement à l’application a été remise à partir d’une source inconnue ou externe et que l’application n’a pas d’utilisation professionnelle légitime dans le organization, un vrai positif est indiqué.

  Action recommandée :

  • Contactez les utilisateurs et les administrateurs qui ont donné leur consentement à cette application pour confirmer que cela était intentionnel et que les privilèges excessifs sont normaux.
  • Examinez l’activité de l’application et case activée comptes affectés pour détecter toute activité suspecte.
  • En fonction de votre investigation, désactivez l’application et suspendez et réinitialisez les mots de passe pour tous les comptes affectés.
  • Classifiez l’alerte comme étant un vrai positif.

• FP: Si, après investigation, vous pouvez confirmer que l'application a une utilisation commerciale légitime dans l'organisation.

  Action recommandée : Classifiez l’alerte comme un faux positif et envisagez de partager des commentaires en fonction de votre examen de l’alerte.

Comprendre l’étendue de la violation

Passez en revue les octrois de consentement à l’application effectués par les utilisateurs et les administrateurs. Examinez toutes les activités effectuées par l’application, en particulier l’accès aux boîtes aux lettres des utilisateurs associés et des comptes d’administrateur. Si vous pensez que l’application est suspecte, envisagez de désactiver l’application et de faire pivoter les informations d’identification de tous les comptes affectés.

Nouvelle application avec un faible taux de consentement pour accéder à de nombreux e-mails

Gravité : moyen

Cette alerte identifie les applications OAuth inscrites récemment dans un locataire d’éditeur relativement nouveau avec les autorisations nécessaires pour modifier les paramètres de boîte aux lettres et accéder aux e-mails. Il vérifie également si l’application a un taux de consentement global relativement faible et effectue de nombreux appels à Microsoft API Graph pour accéder aux e-mails des utilisateurs consentants. Les applications qui déclenchent cette alerte peuvent être des applications indésirables ou malveillantes qui tentent d’obtenir le consentement d’utilisateurs non méfiants.

TP ou FP ?

• TP : si vous êtes en mesure de confirmer que la demande de consentement à l’application a été remise à partir d’une source inconnue ou externe et que l’application n’a pas d’utilisation professionnelle légitime dans le organization, un vrai positif est indiqué.

  Action recommandée :

  • Contactez les utilisateurs et les administrateurs qui ont donné leur consentement à cette application pour confirmer que cela était intentionnel et que les privilèges excessifs sont normaux.
  • Examinez l’activité de l’application et case activée comptes affectés pour détecter toute activité suspecte.
  • En fonction de votre investigation, désactivez l’application et suspendez et réinitialisez les mots de passe pour tous les comptes affectés.
  • Classifiez l’alerte comme étant un vrai positif.

• FP : Si, après enquête, vous pouvez confirmer que l’application a une utilisation professionnelle légitime dans le organization, un faux positif est indiqué.

  Action recommandée : Classifiez l’alerte comme un faux positif et envisagez de partager des commentaires en fonction de votre examen de l’alerte.

Comprendre l’étendue de la violation

Passez en revue les octrois de consentement à l’application effectués par les utilisateurs et les administrateurs. Examinez toutes les activités effectuées par l’application, en particulier l’accès aux boîtes aux lettres des utilisateurs associés et des comptes d’administrateur. Si vous pensez que l’application est suspecte, envisagez de désactiver l’application et de faire pivoter les informations d’identification de tous les comptes affectés.

Application suspecte avec des autorisations de messagerie envoyant de nombreux e-mails

Gravité : moyen

Cette alerte détecte les applications OAuth multilocataires qui ont effectué de nombreux appels à Microsoft API Graph pour envoyer des e-mails dans un court laps de temps. Il vérifie également si les appels d’API ont entraîné des erreurs et des tentatives d’envoi d’e-mails ayant échoué. Les applications qui déclenchent cette alerte peuvent envoyer activement du courrier indésirable ou des e-mails malveillants à d’autres cibles.

TP ou FP ?

• TP : si vous êtes en mesure de confirmer que la demande de consentement à l’application a été remise à partir d’une source inconnue ou externe et que l’application n’a pas d’utilisation professionnelle légitime dans le organization, un vrai positif est indiqué.

  Action recommandée :

  • Contactez les utilisateurs et les administrateurs qui ont donné leur consentement à cette application pour confirmer que cela était intentionnel et que les privilèges excessifs sont normaux.
  • Examinez l’activité de l’application et case activée comptes affectés pour détecter toute activité suspecte.
  • En fonction de votre investigation, désactivez l’application et suspendez et réinitialisez les mots de passe pour tous les comptes affectés.
  • Classifiez l’alerte comme étant un vrai positif.

• FP : Si, après enquête, vous pouvez confirmer que l’application a une utilisation professionnelle légitime dans le organization, un faux positif est indiqué.

  Action recommandée : Classifiez l’alerte comme un faux positif et envisagez de partager des commentaires en fonction de votre examen de l’alerte.

Comprendre l’étendue de la violation

Passez en revue les octrois de consentement à l’application effectués par les utilisateurs et les administrateurs. Examinez toutes les activités effectuées par l’application, en particulier l’accès aux boîtes aux lettres des utilisateurs associés et des comptes d’administrateur. Si vous pensez que l’application est suspecte, envisagez de désactiver l’application et de faire pivoter les informations d’identification de tous les comptes affectés.

Application OAuth suspecte utilisée pour envoyer de nombreux e-mails

Gravité : moyen

Cette alerte indique une application OAuth qui a effectué de nombreux appels à Microsoft API Graph pour envoyer des e-mails dans un court laps de temps. Le locataire de l’éditeur de l’application est connu pour générer un volume élevé d’applications OAuth qui effectuent des appels microsoft API Graph similaires. Un attaquant peut utiliser activement cette application pour envoyer du courrier indésirable ou des e-mails malveillants à ses cibles.

TP ou FP ?

• TP : si vous êtes en mesure de confirmer que la demande de consentement à l’application a été remise à partir d’une source inconnue ou externe et que l’application n’a pas d’utilisation professionnelle légitime dans le organization, un vrai positif est indiqué.

  Action recommandée :

  • Contactez les utilisateurs et les administrateurs qui ont donné leur consentement à cette application pour confirmer que cela était intentionnel et que les privilèges excessifs sont normaux.
  • Examinez l’activité de l’application et case activée comptes affectés pour détecter toute activité suspecte.
  • En fonction de votre investigation, désactivez l’application et suspendez et réinitialisez les mots de passe pour tous les comptes affectés.
  • Classifiez l’alerte comme étant un vrai positif.

• FP : Si, après enquête, vous pouvez confirmer que l’application a une utilisation professionnelle légitime dans le organization, un faux positif est indiqué.

  Action recommandée : Classifiez l’alerte comme un faux positif et envisagez de partager des commentaires en fonction de votre examen de l’alerte.

Comprendre l’étendue de la violation

Passez en revue les octrois de consentement à l’application effectués par les utilisateurs et les administrateurs. Examinez toutes les activités effectuées par l’application, en particulier l’accès aux boîtes aux lettres des utilisateurs associés et des comptes d’administrateur. Si vous pensez que l’application est suspecte, envisagez de désactiver l’application et de faire pivoter les informations d’identification de tous les comptes affectés.

Alertes de persistance

Cette section décrit les alertes indiquant qu’un acteur malveillant tente peut-être de maintenir son pied dans votre organisation.

L’application a effectué des appels Graph inhabituels vers la charge de travail Exchange après la mise à jour du certificat ou l’ajout de nouvelles informations d’identification

Sévérité: moyenne

ID MITRE : T1098.001, T1114

Cette détection déclenche une alerte lorsqu’une application cœur de métier (LOB) met à jour des certificats/clés secrètes ou ajoute de nouvelles informations d’identification et, dans les quelques jours suivant la mise à jour du certificat ou l’ajout de nouvelles informations d’identification, observe des activités inhabituelles ou une utilisation en volume élevé de la charge de travail Exchange par le biais de l’API Graph à l’aide de l’algorithme Machine Learning.

TP ou FP ?

• TP: si vous pouvez confirmer que des activités/utilisations inhabituelles ont été effectuées par l’application LOB via API Graph à partir d’un emplacement inhabituel.

  Actions recommandée: désactivez temporairement l’application et réinitialisez le mot de passe, puis réactivez l’application.

• FP : si vous pouvez confirmer qu’aucune activité inhabituelle n’a été effectuée par l’application LOB ou l’application objet est destinée à effectuer un volume anormalement élevé d’appels graphiques.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par cette application.
2. Passez en revue les étendues accordées par l’application.
3. Examinez l'activité de l'utilisateur associée à cette application.

L’application avec une étendue OAuth suspecte a été marquée comme à haut risque par le modèle Machine Learning, a effectué des appels Graph pour lire les e-mails et créé une règle de boîte de réception

Sévérité: moyenne

ID MITRE : T1137.005, T1114

Cette détection identifie un Application OAuth marqué à haut risque par le modèle Machine Learning qui a consenti à des étendues suspectes, crée une règle de boîte de réception suspecte, puis accède aux dossiers de messagerie et aux messages des utilisateurs via le API Graph. Les règles de boîte de réception, telles que le transfert de tout ou de certains e-mails vers un autre compte de messagerie, et les appels Graph pour accéder aux e-mails et les envoyer à un autre compte de messagerie, peuvent être une tentative d’exfiltrer des informations de votre organisation.

TP ou FP ?

• TP : si vous pouvez confirmer que la règle de boîte de réception a été créée par une application tierce OAuth avec des étendues suspectes fournies à partir d’une source inconnue, un vrai positif est détecté.

  Action recommandée: désactivez et supprimez l’application, réinitialisez le mot de passe et supprimez la règle de boîte de réception.

Suivez le tutoriel sur la réinitialisation d’un mot de passe à l’aide de Microsoft Entra ID et suivez le tutoriel sur la suppression de la règle de boîte de réception.

• FP: si vous pouvez confirmer que l’application a créé une règle de boîte de réception dans un compte de messagerie externe nouveau ou personnel pour des raisons légitimes.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par l’application.
2. Passez en revue les étendues accordées par l’application.
3. Passez en revue l’action et la condition de règle de boîte de réception créées par l’application.

L’application avec une étendue OAuth suspecte a effectué des appels graphiques pour lire des e-mails et créé une règle de boîte de réception

Gravité : moyen

MITRE ID’s: T1137.005, T1114

Cette détection identifie une application OAuth qui a accepté des étendues suspectes, crée une règle de boîte de réception suspecte, puis accède aux dossiers de courrier et aux messages des utilisateurs via le API Graph. Les règles de boîte de réception, telles que le transfert de tout ou de certains e-mails vers un autre compte de messagerie, et les appels Graph pour accéder aux e-mails et les envoyer à un autre compte de messagerie, peuvent être une tentative d’exfiltrer des informations de votre organisation.

TP ou FP ?

• TP: si vous pouvez confirmer que la règle de boîte de réception a été créée par une application tierce OAuth avec des étendues suspectes fournies à partir d’une source inconnue, un vrai positif est indiqué.

  Action recommandée: désactivez et supprimez l’application, réinitialisez le mot de passe et supprimez la règle de boîte de réception.

  Suivez le tutoriel sur la réinitialisation d’un mot de passe à l’aide de Microsoft Entra ID et suivez le tutoriel sur la suppression de la règle de boîte de réception.

• FP: si vous pouvez confirmer que l’application a créé une règle de boîte de réception dans un compte de messagerie externe nouveau ou personnel pour des raisons légitimes.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par l’application.
2. Passez en revue les étendues accordées par l’application.
3. Passez en revue l’action et la condition de règle de boîte de réception créées par l’application.

Application consultée à partir d’un emplacement inhabituel après la mise à jour du certificat

Sévérité: faible

MITRE ID: T1098

Cette détection déclenche une alerte lorsqu’une application métier (LOB) a été mise à jour du certificat/secret et, dans les quelques jours suivant la mise à jour du certificat, l’application est accessible à partir d’un emplacement inhabituel qui n’a pas été vu récemment ou n’a jamais été consulté par le passé.

TP ou FP ?

• TP: si vous pouvez vérifier que l’application métier a accédé à partir d’un emplacement inhabituel et a effectué des activités inhabituelles via API Graph.

  Actions recommandée: désactivez temporairement l’application et réinitialisez le mot de passe, puis réactivez l’application.

• FP: si vous pouvez confirmer que l’application métier a accédé à partir d’un emplacement inhabituel à des fins légitimes et qu’aucune activité inhabituelle n’a été effectuée.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par cette application.
2. Passez en revue les étendues accordées par l’application.
3. Examinez l'activité de l'utilisateur associée à cette application.

Application consultée à partir d’un emplacement inhabituel a fait des Appels graphiques anormaux après la mise à jour du certificat

Sévérité: moyenne

MITRE ID: T1098

Cette détection déclenche une alerte lorsqu’une application métier (LOB) a mis à jour le certificat/secret et que, quelques jours après la mise à jour du certificat, l’application est accessible à partir d’un emplacement inhabituel qui n’a pas été vu récemment ou n’a jamais été consulté dans le passé et a observé des activités ou une utilisation inhabituelles via API Graph à l’aide de l’algorithme Machine Learning.

TP ou FP ?

• TP: si vous pouvez confirmer que des activités/utilisations inhabituelles ont été effectuées par l’application métier via API Graph à partir d’un emplacement inhabituel.

  Actions recommandée: désactivez temporairement l’application et réinitialisez le mot de passe, puis réactivez l’application.

• FP: si vous pouvez confirmer que l’application métier a accédé à partir d’un emplacement inhabituel à des fins légitimes et qu’aucune activité inhabituelle n’a été effectuée.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par cette application.
2. Passez en revue les étendues accordées par l’application.
3. Examinez l'activité de l'utilisateur associée à cette application.

L’application créée récemment a un volume élevé de consentements révoqués

Gravité : moyen

ID MITRE : T1566, T1098

Plusieurs utilisateurs ont révoqué leur consentement à cette application métier ou tierce récemment créée. Cette application a peut-être attiré les utilisateurs en lui donnant leur consentement par inadvertance.

TP ou FP ?

• TP : si vous pouvez confirmer que l’application OAuth est remise à partir d’une source inconnue et que le comportement de l’application est suspect. 

  Action recommandée : Révoquer les consentements accordés à l’application et désactiver l’application. 

• FP : Si, après investigation, vous pouvez confirmer que l’application a une utilisation professionnelle légitime dans le organization et qu’aucune activité inhabituelle n’a été effectuée par l’application.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par l’application.
2. Si vous pensez qu’une application est suspecte, nous vous recommandons d’examiner le nom et le domaine de réponse de l’application dans différents magasins d’applications. Lors de la vérification des magasins d’applications, concentrez-vous sur les types d’applications suivants :
   • Applications qui ont été créées récemment.
   • Applications avec un nom d’affichage inhabituel
   • Applications avec une Domaine de réponse suspecte
3. Si vous pensez toujours qu'une application est suspecte, vous pouvez rechercher le nom d'affichage de l'application et le domaine de réponse.

Métadonnées d’application associées à une campagne de hameçonnage connue

Gravité : moyen

Cette détection génère des alertes pour les applications OAuth non-Microsoft avec des métadonnées, telles que le nom, l’URL ou l’éditeur, qui avaient été observées précédemment dans les applications associées à une campagne de hameçonnage. Ces applications peuvent faire partie de la même campagne et être impliquées dans l’exfiltration d’informations sensibles.

TP ou FP ?

• TP : si vous êtes en mesure de confirmer que l’application OAuth est remise à partir d’une source inconnue et effectue des activités inhabituelles.

  Action recommandée :

  • Examinez les détails de l’inscription de l’application sur la gouvernance des applications et visitez Microsoft Entra ID pour plus d’informations.
  • Contactez les utilisateurs ou les administrateurs qui ont accordé un consentement ou des autorisations à l’application. Vérifiez si les modifications étaient intentionnelles.
  • Recherchez dans la table de repérage avancé CloudAppEvents pour comprendre l’activité de l’application et déterminer si le comportement observé est attendu.
  • Vérifiez si l’application est essentielle pour votre organization avant d’envisager des actions d’endiguement. Désactivez l’application à l’aide de la gouvernance des applications ou de Microsoft Entra ID pour l’empêcher d’accéder aux ressources. Les stratégies de gouvernance des applications existantes ont peut-être déjà désactivé l’application.

• FP : Si vous pouvez confirmer qu’aucune activité inhabituelle n’a été effectuée par l’application et que l’application a une utilisation professionnelle légitime dans le organization.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par l’application.
2. Passez en revue les étendues accordées à l’application.
3. Passez en revue l’activité de l’utilisateur associée à l’application.

Métadonnées d’application associées à des applications suspectes précédemment signalées

Gravité : moyen

Cette détection génère des alertes pour les applications OAuth non Microsoft avec des métadonnées, telles que le nom, l’URL ou l’éditeur, qui avaient été observées précédemment dans les applications signalées par la gouvernance des applications en raison d’une activité suspecte. Cette application peut faire partie d’une campagne d’attaque et être impliquée dans l’exfiltration d’informations sensibles.

TP ou FP ?

• TP : si vous êtes en mesure de confirmer que l’application OAuth est remise à partir d’une source inconnue et effectue des activités inhabituelles.

  Action recommandée :

  • Examinez les détails de l’inscription de l’application sur la gouvernance des applications et visitez Microsoft Entra ID pour plus d’informations.
  • Contactez les utilisateurs ou les administrateurs qui ont accordé un consentement ou des autorisations à l’application. Vérifiez si les modifications étaient intentionnelles.
  • Recherchez dans la table de repérage avancé CloudAppEvents pour comprendre l’activité de l’application et déterminer si le comportement observé est attendu.
  • Vérifiez si l’application est essentielle pour votre organization avant d’envisager des actions d’endiguement. Désactivez l’application à l’aide de la gouvernance des applications ou de Microsoft Entra ID pour l’empêcher d’accéder aux ressources. Les stratégies de gouvernance des applications existantes ont peut-être déjà désactivé l’application.

• FP : Si vous pouvez confirmer qu’aucune activité inhabituelle n’a été effectuée par l’application et que l’application a une utilisation professionnelle légitime dans le organization.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par l’application.
2. Passez en revue les étendues accordées à l’application.
3. Passez en revue l’activité de l’utilisateur associée à l’application.

Activité e-mail suspecte de l’application OAuth via API Graph

Gravité : élevée

Cette détection génère des alertes pour les applications OAuth multilocataires, inscrites par des utilisateurs avec une connexion à haut risque, qui ont effectué des appels à Microsoft API Graph pour effectuer des activités de messagerie suspectes dans un court laps de temps.

Cette détection vérifie si les appels d’API ont été effectués pour la création de règles de boîte aux lettres, la création d’un e-mail de réponse, le transfert d’e-mail, la réponse ou l’envoi de nouveaux e-mails. Les applications qui déclenchent cette alerte peuvent envoyer activement du courrier indésirable ou des e-mails malveillants à d’autres cibles ou exfiltrer des données confidentielles et effacer les pistes pour échapper à la détection.

TP ou FP ?

• TP : si vous êtes en mesure de confirmer que la création de l’application et la demande de consentement à l’application ont été remises à partir d’une source inconnue ou externe et que l’application n’a pas d’utilisation professionnelle légitime dans le organization, un vrai positif est indiqué.

  Action recommandée :

  • Contactez les utilisateurs et les administrateurs qui ont donné leur consentement à cette application pour confirmer que cela était intentionnel et que les privilèges excessifs sont normaux.

  • Examinez l’activité de l’application et case activée comptes affectés pour détecter toute activité suspecte.

  • En fonction de votre investigation, désactivez l’application, suspendez et réinitialisez les mots de passe pour tous les comptes affectés et supprimez la règle de boîte de réception.

  • Classifiez l’alerte comme étant un vrai positif.

• FP : Si, après investigation, vous pouvez confirmer que l’application a une utilisation professionnelle légitime dans le organization, un faux positif est indiqué.

  Action recommandée :

  • Classifiez l’alerte en tant que faux positif et envisagez de partager des commentaires en fonction de votre examen de l’alerte.

  • Comprendre l’étendue de la violation :

    Passez en revue les octrois de consentement à l’application effectués par les utilisateurs et les administrateurs. Examinez toutes les activités effectuées par l’application, en particulier l’accès aux boîtes aux lettres des utilisateurs associés et des comptes d’administrateur. Si vous pensez que l’application est suspecte, envisagez de désactiver l’application et de faire pivoter les informations d’identification de tous les comptes affectés.

Activité suspecte d’e-mail d’application OAuth via l’API EWS

Gravité : élevée

Cette détection génère des alertes pour les applications OAuth multilocataires, inscrites par des utilisateurs avec une connexion à haut risque, qui ont effectué des appels à l’API EWS (Microsoft Exchange Web Services) pour effectuer des activités de messagerie suspectes dans un court laps de temps.

Cette détection vérifie si les appels d’API ont été effectués pour mettre à jour les règles de boîte de réception, déplacer des éléments, supprimer un e-mail, supprimer un dossier ou supprimer une pièce jointe. Les applications qui déclenchent cette alerte peuvent activement exfiltrer ou supprimer des données confidentielles et effacer les pistes pour échapper à la détection.

TP ou FP ?

• TP : si vous êtes en mesure de confirmer que la création de l’application et la demande de consentement à l’application ont été remises à partir d’une source inconnue ou externe et que l’application n’a pas d’utilisation professionnelle légitime dans le organization, un vrai positif est indiqué.

  Action recommandée :

  • Contactez les utilisateurs et les administrateurs qui ont donné leur consentement à cette application pour confirmer que cela était intentionnel et que les privilèges excessifs sont normaux.

  • Examinez l’activité de l’application et case activée comptes affectés pour détecter toute activité suspecte.

  • En fonction de votre investigation, désactivez l’application, suspendez et réinitialisez les mots de passe pour tous les comptes affectés et supprimez la règle de boîte de réception.

  • Classifiez l’alerte comme étant un vrai positif.

• FP : Si, après enquête, vous pouvez confirmer que l’application a une utilisation professionnelle légitime dans le organization, un faux positif est indiqué.

  Action recommandée :

  • Classifiez l’alerte en tant que faux positif et envisagez de partager des commentaires en fonction de votre examen de l’alerte.

  • Comprendre l’étendue de la violation :

    Passez en revue les octrois de consentement à l’application effectués par les utilisateurs et les administrateurs. Examinez toutes les activités effectuées par l’application, en particulier l’accès aux boîtes aux lettres des utilisateurs associés et des comptes d’administrateur. Si vous pensez que l’application est suspecte, envisagez de désactiver l’application et de faire pivoter les informations d’identification de tous les comptes affectés.

Alertes d’escalade de privilèges

L’application OAuth avec des métadonnées suspectes dispose de l’autorisation Exchange

Gravité : moyen

ID MITRE : T1078

Cette alerte est déclenchée lorsqu’une application métier avec des métadonnées suspectes dispose du privilège de gérer les autorisations sur Exchange.

TP ou FP ?

• TP : si vous êtes en mesure de confirmer que l’application OAuth est fournie à partir d’une source inconnue et a des caractéristiques de métadonnées suspectes, un vrai positif est indiqué.

Action recommandée : Révoquer les consentements accordés à l’application et désactiver l’application.

FP: Si, après investigation, vous pouvez confirmer que l'application a une utilisation commerciale légitime dans l'organisation.

Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par l’application.
2. Passez en revue les étendues accordées par l’application.
3. Passez en revue l’activité de l’utilisateur associée à l’application.

Alertes d’évasion de défense

Application empruntant l’identité d’un logo Microsoft

Gravité : moyen

Une application cloud non-Microsoft utilise un logo qui a été trouvé par un algorithme d’apprentissage automatique comme similaire à un logo Microsoft. Il peut s’agir d’une tentative d’emprunt d’identité de produits logiciels Microsoft et sembler légitime.

Remarque

Les administrateurs de locataires devront donner leur consentement via une fenêtre contextuelle pour que les données requises soient envoyées en dehors de la limite de conformité actuelle et pour sélectionner des équipes partenaires au sein de Microsoft afin d’activer cette détection des menaces pour les applications métier.

TP ou FP ?

• TP : si vous pouvez confirmer que le logo de l’application est une imitation d’un logo Microsoft et que le comportement de l’application est suspect. 

  Action recommandée : Révoquer les consentements accordés à l’application et désactiver l’application.

• FP : si vous pouvez confirmer que le logo de l’application n’est pas une imitation d’un logo Microsoft ou qu’aucune activité inhabituelle n’a été effectuée par l’application. 

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par l’application.
2. Passez en revue les étendues accordées à l’application.
3. Passez en revue l’activité de l’utilisateur associée à l’application.

L’application est associée à un domaine typosquaté

Gravité : moyen

Cette détection génère des alertes pour les applications OAuth non-Microsoft avec des domaines d’éditeur ou des URL de redirection qui contiennent des versions typosquatées des noms de marque Microsoft. La typosquatting est généralement utilisée pour capturer le trafic vers les sites chaque fois que les utilisateurs ont mal tapé des URL par inadvertance, mais elles peuvent également être utilisées pour emprunter l’identité de produits et services logiciels populaires.

TP ou FP ?

• TP : si vous pouvez confirmer que le domaine de l’éditeur ou l’URL de redirection de l’application est typosquaté et n’est pas lié à l’identité réelle de l’application.

  Action recommandée :

  • Examinez les détails de l’inscription de l’application sur la gouvernance des applications et visitez Microsoft Entra ID pour plus d’informations.
  • Vérifiez dans l’application d’autres signes d’usurpation d’identité ou d’usurpation d’identité et toute activité suspecte.
  • Vérifiez si l’application est essentielle pour votre organization avant d’envisager des actions d’endiguement. Désactivez l’application à l’aide de la gouvernance des applications pour l’empêcher d’accéder aux ressources. Les stratégies de gouvernance des applications existantes ont peut-être déjà désactivé l’application.

• FP : Si vous pouvez confirmer que le domaine de l’éditeur et l’URL de redirection de l’application sont légitimes. 

  Action recommandée : Classifiez l’alerte comme un faux positif et envisagez de partager des commentaires en fonction de votre examen de l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par l’application.
2. Passez en revue les étendues accordées à l’application.
3. Passez en revue l’activité de l’utilisateur associée à l’application.

Accès aux informations d’identification

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de lire des données d’informations d’identification sensibles et se compose de techniques permettant de voler des informations d’identification telles que les noms de compte, les secrets, les jetons, les certificats et les mots de passe dans votre organization.

Application lançant plusieurs échecs d’activité de lecture KeyVault sans succès

Gravité : moyen

ID MITRE : T1078.004

Cette détection identifie une application dans votre locataire qui a été observée en effectuant plusieurs appels d’action de lecture au Coffre de clés à l’aide de l’API Azure Resource Manager dans un court intervalle, avec uniquement des échecs et aucune activité de lecture réussie n’étant terminée.

TP ou FP ?

• TP : Si l’application est inconnue ou n’est pas utilisée, l’activité donnée est potentiellement suspecte. Après avoir vérifié la ressource Azure utilisée et validé l’utilisation de l’application dans le locataire, l’activité donnée peut nécessiter la désactivation de l’application. Il s’agit généralement de la preuve d’une activité d’énumération suspectée sur la ressource KeyVault pour accéder aux informations d’identification pour le mouvement latéral ou l’escalade de privilèges.

  Actions recommandées : passez en revue les ressources Azure consultées ou créées par l’application et toutes les modifications récentes apportées à l’application. En fonction de votre investigation, choisissez si vous souhaitez interdire l’accès à cette application. Passez en revue le niveau d’autorisation demandé par cette application et les utilisateurs qui ont accordé l’accès.

• FP : Si, après investigation, vous pouvez confirmer que l’application a une utilisation professionnelle légitime dans le organization.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue l’accès et l’activité de l’application.
2. Passez en revue toutes les activités effectuées par l’application depuis sa création.
3. Passez en revue les étendues accordées par l’application dans API Graph et le rôle qui lui est accordé dans votre abonnement.
4. Passez en revue tout utilisateur qui a peut-être accédé à l’application avant l’activité.

Alertes de découverte

Énumération de lecteur effectuée par l’application

Sévérité: moyenne

ID MITRE : T1087

Cette détection identifie une application OAuth détectée par un modèle Machine Learning effectuant une énumération sur des fichiers OneDrive à l’aide de l’API Graph.

TP ou FP ?

• TP : si vous pouvez confirmer que des activités/utilisations inhabituelles vers OneDrive ont été effectuées par l’application LOB via l’API Graph.

  Action recommandée : désactivez et supprimez l’application et réinitialisez le mot de passe.

• FP : si vous pouvez confirmer qu’aucune activité inhabituelle n’a été effectuée par l’application.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par cette application.
2. Passez en revue les étendues accordées par l’application.
3. Examinez l'activité de l'utilisateur associée à cette application.

Activités d’énumération suspectes effectuées à l’aide de Microsoft Graph PowerShell

Sévérité: moyenne

ID MITRE : T1087

Cette détection identifie un grand volume d’activités d’énumération suspectes effectuées dans un court laps de temps via une application Microsoft Graph PowerShell .

TP ou FP ?

• TP : si vous êtes en mesure de confirmer que des activités d’énumération suspectes/inhabituelles ont été effectuées par l’application Microsoft Graph PowerShell.

  Action recommandée: désactivez et supprimez l’application et réinitialisez le mot de passe.

• FP: si vous pouvez confirmer qu’aucune activité inhabituelle n’a été effectuée par l’application.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par cette application.
2. Passez en revue l’activité de l’utilisateur associée à cette application.

L’application multilocataire récemment créée énumère fréquemment les informations des utilisateurs

Sévérité: moyenne

ID MITRE : T1087

Cette alerte détecte les applications OAuth inscrites récemment dans un locataire d’éditeur relativement nouveau avec les autorisations nécessaires pour modifier les paramètres de boîte aux lettres et accéder aux e-mails. Il vérifie si l’application a effectué de nombreux appels à Microsoft API Graph demandant des informations d’annuaire utilisateur. Les applications qui déclenchent cette alerte peuvent entraîner les utilisateurs à accorder leur consentement afin qu’ils puissent accéder aux données de l’organisation.

TP ou FP ?

• TP : si vous êtes en mesure de confirmer que la demande de consentement à l’application a été remise à partir d’une source inconnue ou externe et que l’application n’a pas d’utilisation professionnelle légitime dans le organization, un vrai positif est indiqué.

  Action recommandée :

  • Contactez les utilisateurs et les administrateurs qui ont donné leur consentement à cette application pour confirmer que cela était intentionnel et que les privilèges excessifs sont normaux.
  • Examinez l’activité de l’application et case activée comptes affectés pour détecter toute activité suspecte.
  • En fonction de votre investigation, désactivez l’application et suspendez et réinitialisez les mots de passe pour tous les comptes affectés.
  • Classifiez l’alerte comme étant un vrai positif.

• FP : Si, après enquête, vous pouvez confirmer que l’application a une utilisation professionnelle légitime dans le organization, un faux positif est indiqué.

  Action recommandée : Classifiez l’alerte comme un faux positif et envisagez de partager des commentaires en fonction de votre examen de l’alerte.

Comprendre l’étendue de la violation

Passez en revue les octrois de consentement à l’application effectués par les utilisateurs et les administrateurs. Examinez toutes les activités effectuées par l’application, en particulier l’énumération des informations d’annuaire utilisateur. Si vous pensez que l’application est suspecte, envisagez de désactiver l’application et de faire pivoter les informations d’identification de tous les comptes affectés.

Alertes d’exfiltration

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de voler des données intéressantes pour atteindre son objectif de votre organization.

Application OAuth à l’aide d’un agent utilisateur inhabituel

Sévérité: faible

ID MITRE : T1567

Cette détection identifie une application OAuth qui utilise un agent utilisateur inhabituel pour accéder aux API Graph.

TP ou FP ?

• TP : si vous êtes en mesure de confirmer que l’application OAuth a récemment commencé à utiliser un nouvel agent utilisateur qui n’a pas été utilisé précédemment et que cette modification est inattendue, un vrai positif est indiqué.

  Actions recommandées : passez en revue les agents utilisateur utilisés et les modifications récentes apportées à l’application. En fonction de votre enquête, vous pouvez choisir d’interdire l’accès à cette application. Examinez le niveau d’autorisation demandé par cette application et les utilisateurs qui ont accordé l’accès.

• FP: Si, après investigation, vous pouvez confirmer que l'application a une utilisation commerciale légitime dans l'organisation.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue les applications qui ont été créées récemment et les agents utilisateur utilisés.
2. Passez en revue toutes les activités effectuées par l’application. 
3. Passez en revue les étendues accordées par l’application. 

Application avec un agent utilisateur inhabituel ayant accédé aux données de messagerie via les services web Exchange

Gravité : élevée

ID MITRE : T1114, T1567

Cette détection identifie une application OAuth qui a utilisé un agent utilisateur inhabituel pour accéder aux données de messagerie à l’aide de l’API des services Web Exchange.

TP ou FP ?

• TP : si vous êtes en mesure de confirmer que l’application OAuth n’est pas censée modifier l’agent utilisateur qu’elle utilise pour effectuer des demandes à l’API des services Web Exchange, un vrai positif est indiqué.

  Actions recommandées : Classifiez l’alerte en tant que TP. En fonction de l’examen, si l’application est malveillante, vous pouvez révoquer les consentements et désactiver l’application dans le locataire. S’il s’agit d’une application compromise, vous pouvez révoquer les consentements, désactiver temporairement l’application, examiner les autorisations, réinitialiser le secret et le certificat, puis réactiver l’application.

• FP : Si, après investigation, vous pouvez confirmer que l’agent utilisateur utilisé par l’application a une utilisation professionnelle légitime dans le organization.

  Action recommandée : Classifiez l’alerte comme un FP. Envisagez également de partager des commentaires en fonction de votre examen de l’alerte.

Comprendre l’étendue de la violation

1. Vérifiez si l’application a été créée ou si des modifications récentes lui ont été apportées.
2. Passez en revue les autorisations accordées à l’application et aux utilisateurs qui ont consenti à l’application.
3. Passez en revue toutes les activités effectuées par l’application.

Alertes de mouvement latéral

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de se déplacer latéralement dans différentes ressources, tout en faisant pivoter plusieurs systèmes et comptes pour obtenir plus de contrôle dans votre organization.

Les Application OAuth dormantes utilisant principalement MS Graph ou les services web Exchange récemment vus pour accéder aux charges de travail ARM

Gravité : moyen

ID MITRE : T1078.004

Cette détection identifie une application dans votre locataire qui, après une longue période d’activité dormante, a commencé à accéder à l’API Azure Resource Manager pour la première fois. Auparavant, cette application utilisait principalement MS Graph ou le service web Exchange.

TP ou FP ?

• TP : si l’application est inconnue ou n’est pas utilisée, l’activité donnée est potentiellement suspecte et peut nécessiter la désactivation de l’application, après avoir vérifié la ressource Azure utilisée et validé l’utilisation de l’application dans le locataire.

  Actions recommandées :

  1. Passez en revue les ressources Azure consultées ou créées par l’application et toutes les modifications récentes apportées à l’application.
  2. Examinez le niveau d’autorisation demandé par cette application et les utilisateurs qui ont accordé l’accès.
  3. En fonction de votre investigation, choisissez si vous souhaitez interdire l’accès à cette application.

• FP : Si, après investigation, vous pouvez confirmer que l’application a une utilisation professionnelle légitime dans le organization.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue l’accès et l’activité de l’application.
2. Passez en revue toutes les activités effectuées par l’application depuis sa création.
3. Passez en revue les étendues accordées par l’application dans API Graph et le rôle qui lui est accordé dans votre abonnement.
4. Passez en revue tout utilisateur qui a peut-être accédé à l’application avant l’activité.

Alertes de collecte

Cette section décrit les alertes indiquant qu’un acteur malveillant tente peut-être de recueillir des données d’intérêt pour son objectif auprès de votre organisation.

L’application a effectué des activités de recherche d’e-mails inhabituelles

Gravité : moyen

MITRE ID: T1114

Cette détection identifie quand une application a consenti à une étendue OAuth suspecte et a effectué un volume élevé d’activités de recherche d’e-mails inhabituelles, telles que la recherche de contenu spécifique par le biais de la API Graph. Cela peut indiquer une tentative de violation de votre organization, par exemple des adversaires qui tentent de rechercher et de lire des courriers électroniques spécifiques à partir de votre organization via API Graph. 

TP ou FP ?

• TP : si vous pouvez confirmer un volume élevé d’activités inhabituelles de recherche et de lecture par e-mail via le API Graph par une application OAuth avec une étendue OAuth suspecte et que l’application est remise à partir d’une source inconnue.

  Actions recommandées : désactivez et supprimez l’application, réinitialisez le mot de passe et supprimez la règle de boîte de réception. 

• FP : Si vous pouvez confirmer que l’application a effectué un volume élevé de recherche d’e-mails inhabituels et lu API Graph pour des raisons légitimes.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue les étendues accordées par l’application.
2. Passez en revue toutes les activités effectuées par l’application. 

L’application a effectué des appels Graph anormaux pour lire le courrier électronique

Gravité : moyen

MITRE ID: T1114

Cette détection identifie le moment où l’application OAuth métier accède à un volume inhabituel et élevé de dossiers de messagerie et de messages de l’utilisateur via le API Graph, ce qui peut indiquer une tentative de violation de votre organisation.

TP ou FP ?

• TP: si vous pouvez confirmer que l’activité de graphe inhabituelle a été effectuée par l’application OAuth métier, un vrai positif est indiqué.

  Actions recommandées : désactivez temporairement l’application et réinitialisez le mot de passe, puis réactivez l’application. Suivez le tutoriel sur la réinitialisation d’un mot de passe à l’aide de Microsoft Entra ID.

• FP: si vous pouvez confirmer que l’application est destinée à effectuer un volume anormalement élevé d’appels de graphe.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Consultez le journal d’activité des événements effectués par cette application pour mieux comprendre les autres activités Graph afin de lire les e-mails et de tenter de collecter les informations sensibles des utilisateurs.
2. Recherchez les informations d’identification inattendues ajoutées à l’application.

L’application crée une règle de boîte de réception et effectue des activités de recherche de courrier inhabituelles

Sévérité: moyenne

ID MITRE : T1137, T1114

Cette détection identifie l’application qui a accepté des étendues de privilèges élevés, crée une règle de boîte de réception suspecte et a effectué des activités de recherche d'e-mails inhabituelles dans les dossiers de messagerie des utilisateurs via l'API Graph. Cela peut indiquer une tentative de violation de votre organisation, par exemple des adversaires qui tentent de rechercher et de collecter des e-mails spécifiques de votre organisation via API Graph.

TP ou FP ?

• TP: si vous pouvez confirmer la recherche et la collecte d’e-mails spécifiques effectuées via API Graph par une application OAuth avec une étendue de privilèges élevés, et que l’application est fournie à partir d’une source inconnue.

  Action recommandée: désactivez et supprimez l’application, réinitialisez le mot de passe et supprimez la règle de boîte de réception.

• fp: si vous pouvez confirmer que l’application a effectué une recherche et une collecte de courriers spécifiques via API Graph et a créé une règle de boîte de réception dans un compte de messagerie externe nouveau ou personnel pour des raisons légitimes.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par l’application.
2. Passez en revue les étendues accordées par l’application.
3. Examinez toute action de règle de boîte de réception créée par l'application.
4. Passez en revue toutes les activités de recherche de courrier effectuées par l’application.

L’application a créé des activités de recherche OneDrive/SharePoint et créé une règle de boîte de réception

Gravité : moyen

ID MITRE : T1137, T1213

Cette détection identifie qu’une application a accepté des étendues de privilèges élevés, crée une règle de boîte de réception suspecte et a effectué des activités de recherche d'e-mails inhabituelles dans les dossiers de messagerie des utilisateurs via l'API Graph. Cela peut indiquer une tentative d’intrusion dans votre organisation, par exemple des adversaires qui tentent de rechercher et de collecter des e-mails spécifiques de votre organisation via API Graph. 

TP ou FP ?

• TP : si vous êtes en mesure de confirmer des données spécifiques à partir de la recherche et de la collecte SharePoint ou OneDrive effectuées via API Graph par une application OAuth avec une étendue de privilèges élevés, et que l’application est remise à partir d’une source inconnue. 

  Action recommandée : désactivez et supprimez l’application, réinitialisez le mot de passe et supprimez la règle de boîte de réception. 

• FP : si vous êtes en mesure de confirmer que l’application a effectué des données spécifiques à partir de la recherche et de la collecte sharePoint ou OneDrive via API Graph par une application OAuth et que vous avez créé une règle de boîte de réception dans un compte de messagerie externe nouveau ou personnel pour des raisons légitimes. 

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par l’application. 
2. Passez en revue les étendues accordées par l’application. 
3. Examinez toute action de règle de boîte de réception créée par l'application. 
4. Passez en revue toutes les activités de recherche SharePoint ou OneDrive effectuées par l’application.

L’application a effectué de nombreuses recherches et modifications dans OneDrive

Gravité : moyen

ID MITRE : T1137, T1213

Cette détection identifie les applications OAuth disposant d’autorisations à privilèges élevés qui effectuent un grand nombre de recherches et de modifications dans OneDrive à l’aide de API Graph.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer qu’une utilisation élevée de la charge de travail OneDrive via API Graph n’est pas attendue de cette application OAuth disposant d’autorisations de privilèges élevés pour lire et écrire dans OneDrive, un vrai positif est indiqué.

  Action recommandée : en fonction de l’examen, si l’application est malveillante, vous pouvez révoquer les consentements et désactiver l’application dans le locataire. S’il s’agit d’une application compromise, vous pouvez révoquer les consentements, désactiver temporairement l’application, passer en revue les autorisations requises, réinitialiser le mot de passe, puis réactiver l’application.

• FP: Si, après investigation, vous pouvez confirmer que l'application a une utilisation commerciale légitime dans l'organisation.

  Action recommandée : résolvez l’alerte et signalez vos résultats.

Comprendre l’étendue de la violation

1. Vérifiez si l’application provient d’une source fiable.
2. Vérifiez si l’application a été créée ou si des modifications récentes lui ont été apportées.
3. Passez en revue les autorisations accordées à l’application et aux utilisateurs qui ont consenti à l’application.
4. Examinez toutes les autres activités de l’application.

Règle de boîte de réception créée et l’application a créé un volume élevé de messages d’importance

Gravité : moyen

ID MITRE : T1137, T1114

Cette détection identifie qu’une application a accepté l’étendue des privilèges élevés, crée une règle de boîte de réception suspecte et a effectué un volume élevé d’activités importantes de lecture de courrier via Graph API. Cela peut indiquer une tentative de violation de votre organisation, par exemple des adversaires qui tentent de rechercher et de collecter des e-mails spécifiques de votre organisation via API Graph. 

TP ou FP ?

• TP : si vous êtes en mesure de confirmer que le volume élevé d’e-mails importants lus via API Graph par une application OAuth avec une étendue de privilèges élevés, et que l’application est remise à partir d’une source inconnue. 

  Action recommandée : désactivez et supprimez l’application, réinitialisez le mot de passe et supprimez la règle de boîte de réception. 

• FP : si vous êtes en mesure de confirmer que l’application a effectué un volume élevé d’e-mails importants lus dans API Graph et créé une règle de boîte de réception dans un compte de messagerie externe nouveau ou personnel pour des raisons légitimes. 

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par l’application. 
2. Passez en revue les étendues accordées par l’application. 
3. Examinez toute action de règle de boîte de réception créée par l'application. 
4. Consultez toute activité de lecture de courrier électronique d’importance élevée effectuée par l’application.

L’application privilégiée a effectué des activités inhabituelles dans Teams

Gravité : moyen

Cette détection identifie les applications autorisées pour les étendues OAuth à privilèges élevés, qui ont accédé à Microsoft Teams et ont effectué un volume inhabituel d’activités de message de lecture ou de publication de conversation via API Graph. Cela peut indiquer une tentative de violation de votre organization, telle que des adversaires qui tentent de recueillir des informations auprès de votre organization via API Graph.

TP ou FP ?

• TP : si vous êtes en mesure de confirmer que les activités inhabituelles des messages de conversation dans Microsoft Teams via API Graph par une application OAuth avec une étendue de privilèges élevés, et que l’application est remise à partir d’une source inconnue.

  Action recommandée : Désactiver et supprimer l’application et réinitialiser le mot de passe

• FP : Si vous êtes en mesure de confirmer que les activités inhabituelles effectuées dans Microsoft Teams via API Graph étaient pour des raisons légitimes.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue les étendues accordées par l’application.
2. Passez en revue toutes les activités effectuées par l’application.
3. Passez en revue l’activité de l’utilisateur associée à l’application.

Activité OneDrive anormale par application qui vient de mettre à jour ou d’ajouter de nouvelles informations d’identification

Gravité : moyen

ID MITRE : T1098.001, T1213

Une application cloud non-Microsoft a effectué des appels API Graph anormaux vers OneDrive, y compris l’utilisation de données à volume élevé. Détectés par le Machine Learning, ces appels d’API inhabituels ont été effectués quelques jours après que l’application a ajouté ou mis à jour des certificats/secrets existants. Cette application peut être impliquée dans l’exfiltration de données ou d’autres tentatives d’accès et de récupération d’informations sensibles.

TP ou FP ?

• TP : si vous pouvez confirmer que des activités inhabituelles, telles que l’utilisation à haut volume de la charge de travail OneDrive, ont été effectuées par l’application via API Graph.

  Action recommandée : désactivez temporairement l’application, réinitialisez le mot de passe, puis réactivez l’application.

• FP : si vous pouvez confirmer qu’aucune activité inhabituelle n’a été effectuée par l’application ou que l’application est destinée à effectuer un volume inhabituellement élevé d’appels Graph.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par l’application.
2. Passez en revue les étendues accordées par l’application.
3. Passez en revue l’activité de l’utilisateur associée à l’application.

Activité SharePoint anormale par application qui vient de mettre à jour ou d’ajouter de nouvelles informations d’identification

Gravité : moyen

ID MITRE : T1098.001, T1213.002

Une application cloud non-Microsoft a effectué des appels API Graph anormaux vers SharePoint, y compris l’utilisation de données à volume élevé. Détectés par le Machine Learning, ces appels d’API inhabituels ont été effectués quelques jours après que l’application a ajouté ou mis à jour des certificats/secrets existants. Cette application peut être impliquée dans l’exfiltration de données ou d’autres tentatives d’accès et de récupération d’informations sensibles.

TP ou FP ?

• TP : si vous pouvez confirmer que des activités inhabituelles, telles que l’utilisation à haut volume de la charge de travail SharePoint, ont été effectuées par l’application via API Graph.

  Action recommandée : désactivez temporairement l’application, réinitialisez le mot de passe, puis réactivez l’application.

• FP : si vous pouvez confirmer qu’aucune activité inhabituelle n’a été effectuée par l’application ou que l’application est destinée à effectuer un volume inhabituellement élevé d’appels Graph.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par l’application.
2. Passez en revue les étendues accordées par l’application.
3. Passez en revue l’activité de l’utilisateur associée à l’application.

Métadonnées d’application associées à une activité liée à la messagerie suspecte

Gravité : moyen

ID MITRE : T1114

Cette détection génère des alertes pour les applications OAuth non-Microsoft avec des métadonnées, telles que le nom, l’URL ou l’éditeur, qui avaient été observées précédemment dans les applications avec une activité de messagerie suspecte. Cette application peut faire partie d’une campagne d’attaque et être impliquée dans l’exfiltration d’informations sensibles.

TP ou FP ?

• TP : si vous pouvez confirmer que l’application a créé des règles de boîte aux lettres ou effectué un grand nombre d’appels API Graph inhabituels à la charge de travail Exchange.

  Action recommandée :

  • Examinez les détails de l’inscription de l’application sur la gouvernance des applications et visitez Microsoft Entra ID pour plus d’informations.
  • Contactez les utilisateurs ou les administrateurs qui ont accordé un consentement ou des autorisations à l’application. Vérifiez si les modifications étaient intentionnelles.
  • Recherchez dans la table de repérage avancé CloudAppEvents pour comprendre l’activité de l’application et identifier les données auxquelles l’application accède. Vérifiez les boîtes aux lettres affectées et passez en revue les messages qui peuvent avoir été lus ou transférés par l’application elle-même ou les règles qu’elle a créées.
  • Vérifiez si l’application est essentielle pour votre organization avant d’envisager des actions d’endiguement. Désactivez l’application à l’aide de la gouvernance des applications ou de Microsoft Entra ID pour l’empêcher d’accéder aux ressources. Les stratégies de gouvernance des applications existantes ont peut-être déjà désactivé l’application.

• FP : Si vous pouvez confirmer qu’aucune activité inhabituelle n’a été effectuée par l’application et que l’application a une utilisation professionnelle légitime dans le organization.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par l’application.
2. Passez en revue les étendues accordées à l’application.
3. Passez en revue l’activité de l’utilisateur associée à l’application.

Application avec des autorisations d’application EWS accédant à de nombreux e-mails

Gravité : moyen

ID MITRE : T1114

Cette détection génère des alertes pour les applications cloud multilocataires avec des autorisations d’application EWS montrant une augmentation significative des appels à l’API des services web Exchange qui sont spécifiques à l’énumération et à la collecte des e-mails. Cette application peut être impliquée dans l’accès et la récupération de données de courrier sensibles.

TP ou FP ?

• TP : si vous pouvez confirmer que l’application a accédé à des données de messagerie sensibles ou a effectué un grand nombre d’appels inhabituels à la charge de travail Exchange.

  Action recommandée :

  • Examinez les détails de l’inscription de l’application sur la gouvernance des applications et visitez Microsoft Entra ID pour plus d’informations.
  • Contactez les utilisateurs ou les administrateurs qui ont accordé un consentement ou des autorisations à l’application. Vérifiez si les modifications étaient intentionnelles.
  • Recherchez dans la table de repérage avancé CloudAppEvents pour comprendre l’activité de l’application et identifier les données auxquelles l’application accède. Vérifiez les boîtes aux lettres affectées et passez en revue les messages qui peuvent avoir été lus ou transférés par l’application elle-même ou les règles qu’elle a créées.
  • Vérifiez si l’application est essentielle pour votre organization avant d’envisager des actions d’endiguement. Désactivez l’application à l’aide de la gouvernance des applications ou de Microsoft Entra ID pour l’empêcher d’accéder aux ressources. Les stratégies de gouvernance des applications existantes ont peut-être déjà désactivé l’application.

• FP : Si vous pouvez confirmer qu’aucune activité inhabituelle n’a été effectuée par l’application et que l’application a une utilisation professionnelle légitime dans le organization.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par l’application.
2. Passez en revue les étendues accordées à l’application.
3. Passez en revue l’activité de l’utilisateur associée à l’application.

Application inutilisée qui vient d’accéder aux API

Gravité : moyen

ID MITRE : T1530

Cette détection génère des alertes pour une application cloud multilocataire qui est inactive depuis un certain temps et qui a récemment commencé à effectuer des appels d’API. Cette application peut être compromise par un attaquant et être utilisée pour accéder à des données sensibles et les récupérer.

TP ou FP ?

• TP : si vous pouvez confirmer que l’application a accédé à des données sensibles ou effectué un grand nombre d’appels inhabituels à des charges de travail Microsoft Graph, Exchange ou Azure Resource Manager.

  Action recommandée :

  • Examinez les détails de l’inscription de l’application sur la gouvernance des applications et visitez Microsoft Entra ID pour plus d’informations.
  • Contactez les utilisateurs ou les administrateurs qui ont accordé un consentement ou des autorisations à l’application. Vérifiez si les modifications étaient intentionnelles.
  • Recherchez dans la table de repérage avancé CloudAppEvents pour comprendre l’activité de l’application et identifier les données auxquelles l’application accède. Vérifiez les boîtes aux lettres affectées et passez en revue les messages qui peuvent avoir été lus ou transférés par l’application elle-même ou les règles qu’elle a créées.
  • Vérifiez si l’application est essentielle pour votre organization avant d’envisager des actions d’endiguement. Désactivez l’application à l’aide de la gouvernance des applications ou de Microsoft Entra ID pour l’empêcher d’accéder aux ressources. Les stratégies de gouvernance des applications existantes ont peut-être déjà désactivé l’application.

• FP : Si vous pouvez confirmer qu’aucune activité inhabituelle n’a été effectuée par l’application et que l’application a une utilisation professionnelle légitime dans le organization.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue toutes les activités effectuées par l’application.
2. Passez en revue les étendues accordées à l’application.
3. Passez en revue l’activité de l’utilisateur associée à l’application.

Alertes d’impact

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de manipuler, d’interrompre ou de détruire vos systèmes et données de votre organization.

Application métier Entra à l’origine d’un pic anormal dans la création de machines virtuelles

Gravité : moyen

ID MITRE : T1496

Cette détection identifie une nouvelle application OAuth à locataire unique qui crée la majeure partie des Machines Virtuelles Azure dans votre locataire à l’aide de l’API Azure Resource Manager.

TP ou FP ?

• TP : si vous êtes en mesure de confirmer que l’application OAuth a été récemment créée et qu’elle crée un grand nombre de Machines Virtuelles dans votre locataire, un vrai positif est indiqué.

  Actions recommandées : passez en revue les machines virtuelles créées et les modifications récentes apportées à l’application. En fonction de votre enquête, vous pouvez choisir d’interdire l’accès à cette application. Examinez le niveau d’autorisation demandé par cette application et les utilisateurs qui ont accordé l’accès.

• FP: Si, après investigation, vous pouvez confirmer que l'application a une utilisation commerciale légitime dans l'organisation.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation :

1. Passez en revue les applications créées récemment et les machines virtuelles créées.
2. Passez en revue toutes les activités effectuées par l’application depuis sa création.
3. Passez en revue les étendues accordées par l’application dans API Graph et le rôle qui lui est accordé dans votre abonnement.

L’application OAuth avec des privilèges d’étendue élevée dans Microsoft Graph a été observée lors de la création d’une machine virtuelle

Gravité : moyen

ID MITRE : T1496

Cette détection identifie l’application OAuth qui crée la majeure partie des Machines Virtuelles Azure dans votre locataire à l’aide de l’API Azure Resource Manager tout en disposant de privilèges élevés dans le locataire via MS API Graph avant l’activité.

TP ou FP ?

• TP : si vous êtes en mesure de confirmer que l’application OAuth ayant des étendues de privilèges élevés a été créée et qu’elle crée un grand nombre de Machines Virtuelles dans votre locataire, un vrai positif est indiqué.

  Actions recommandées : passez en revue les machines virtuelles créées et les modifications récentes apportées à l’application. En fonction de votre enquête, vous pouvez choisir d’interdire l’accès à cette application. Examinez le niveau d’autorisation demandé par cette application et les utilisateurs qui ont accordé l’accès.

• FP: Si, après investigation, vous pouvez confirmer que l'application a une utilisation commerciale légitime dans l'organisation.

  Action recommandée: ignorer l’alerte.

Comprendre l’étendue de la violation :

1. Passez en revue les applications créées récemment et les machines virtuelles créées.
2. Passez en revue toutes les activités effectuées par l’application depuis sa création.
3. Passez en revue les étendues accordées par l’application dans API Graph et le rôle qui lui est accordé dans votre abonnement.

Étapes suivantes

Gérer les alertes de gouvernance des applications