Examiner les alertes de stratégie d’application prédéfinies
La gouvernance des applications fournit des alertes de stratégie d’application prédéfinies pour les activités anormales. L’objectif de ce guide est de vous fournir des informations générales et pratiques sur chaque alerte, afin de faciliter vos tâches d’investigation et de correction.
Ce guide contient des informations générales sur les conditions de déclenchement des alertes. Étant donné que les stratégies prédéfinies sont non déterministes par nature, elles ne sont déclenchées que lorsqu’il existe un comportement qui s’écarte de la norme.
Conseil
Certaines alertes peuvent être en préversion. Par conséquent, passez régulièrement en revue les états d’alerte mis à jour.
Classifications des alertes de sécurité
Après examen approprié, toutes les alertes de gouvernance des applications peuvent être classées dans l’un des types d’activités suivants :
- Vrai positif (TP) : alerte sur une activité malveillante confirmée.
- Vrai positif bénin (B-TP) : alerte sur une activité suspecte, mais pas malveillante, telle qu’un test d’intrusion ou toute autre action suspecte autorisée.
- Faux positif (FP) : alerte sur une activité non malicieux.
Étapes d’investigation générales
Utilisez les instructions générales suivantes lors de l’examen d’un type d’alerte pour mieux comprendre la menace potentielle avant d’appliquer l’action recommandée.
Examinez le niveau de gravité de l'application et comparez-le avec le reste des applications de votre client. Cette révision vous aide à identifier les applications de votre locataire qui présentent un risque plus élevé.
Si vous identifiez un tp, passez en revue toutes les activités de l’application pour en comprendre l’impact. Par exemple, passez en revue les informations suivantes sur l’application :
- Étendues d’accès accordées
- Comportement inhabituel
- Adresse IP et emplacement
Alertes de stratégie d’application prédéfinies
Cette section fournit des informations sur chaque alerte de stratégie prédéfinie, ainsi que des étapes d’investigation et de correction.
Augmentation de l’utilisation des données par une application trop privilégiée ou hautement privilégiée
Gravité : moyen
Recherchez des applications avec des autorisations puissantes ou inutilisées qui présentent des augmentations soudaines de l’utilisation des données via API Graph. Des modifications inhabituelles dans l’utilisation des données peuvent indiquer une compromission.
TP ou FP ?
Pour déterminer si l’alerte est un vrai positif (TP) ou un faux positif (FP), passez en revue toutes les activités effectuées par l’application, les étendues accordées à l’application et l’activité utilisateur associée à l’application.
TP : Appliquez cette action recommandée si vous avez confirmé que l’augmentation de l’utilisation des données par une application trop privilégiée ou hautement privilégiée est irrégulière ou potentiellement malveillante.
Action recommandée : Contactez les utilisateurs au sujet des activités de l’application qui ont provoqué l’augmentation de l’utilisation des données. Désactivez temporairement l’application, réinitialisez le mot de passe, puis réactivez l’application.
FP : Appliquez cette action recommandée si vous avez confirmé que l’activité d’application détectée est prévue et qu’elle a une utilisation professionnelle légitime dans le organization.
Action recommandée: ignorer l’alerte.
Activité inhabituelle à partir d’une application avec consentement de compte prioritaire
Sévérité: moyenne
Recherchez des augmentations inhabituelles de l’utilisation des données ou des erreurs d’accès API Graph présentées par les applications qui ont reçu le consentement d’un compte de priorité.
TP ou FP ?
Passez en revue toutes les activités effectuées par l’application, les étendues accordées à l’application et l’activité utilisateur associée à l’application.
TP : Appliquez cette action recommandée si vous avez confirmé que l’augmentation de l’utilisation des données ou des erreurs d’accès à l’API par une application avec le consentement d’un compte prioritaire est très irrégulière ou potentiellement malveillante.
Action recommandée : Contactez les utilisateurs du compte prioritaire au sujet des activités de l’application qui ont provoqué l’augmentation de l’utilisation des données ou des erreurs d’accès à l’API. Désactivez temporairement l’application, réinitialisez le mot de passe, puis réactivez l’application.
FP : Appliquez cette action recommandée si vous avez confirmé que l’activité d’application détectée est prévue et qu’elle a une utilisation professionnelle légitime dans le organization.
Action recommandée: ignorer l’alerte.
Nouvelle application avec un faible taux de consentement
Gravité : moyen
Les demandes de consentement d’une application nouvellement créée ont été fréquemment rejetées par les utilisateurs. Les utilisateurs rejettent généralement les demandes de consentement des applications qui ont présenté un comportement inattendu ou sont arrivées d’une source non approuvée. Les applications qui ont des taux de consentement faibles sont plus susceptibles d’être risquées ou malveillantes.
TP ou FP ?
Passez en revue toutes les activités effectuées par l’application, les étendues accordées à l’application et l’activité utilisateur associée à l’application.
TP : appliquez cette action recommandée si vous avez confirmé que l’application provient d’une source inconnue et que ses activités ont été très irrégulières ou potentiellement malveillantes.
Action recommandée : désactivez temporairement l’application, réinitialisez le mot de passe, puis réactivez l’application.
FP : Appliquez cette action recommandée si vous avez confirmé que l’activité d’application détectée est légitime.
Action recommandée: ignorer l’alerte.
Pic d’appels API Graph passés à OneDrive
Sévérité: moyenne
Une application cloud a montré une augmentation significative des appels API Graph à OneDrive. Cette application peut être impliquée dans l’exfiltration de données ou d’autres tentatives d’accès et de récupération de données sensibles.
TP ou FP ?
Passez en revue toutes les activités effectuées par l’application, les étendues accordées à l’application et l’activité utilisateur associée à l’application.
TP : Appliquez cette action recommandée si vous avez confirmé que des activités très irrégulières et potentiellement malveillantes ont entraîné l’augmentation détectée de l’utilisation de OneDrive.
Action recommandée : désactivez temporairement l’application, réinitialisez le mot de passe, puis réactivez l’application.
FP : Appliquez cette action recommandée si vous avez confirmé que l’activité d’application détectée est légitime.
Action recommandée: ignorer l’alerte.
Pic dans les appels API Graph effectués à SharePoint
Gravité : moyen
Une application cloud a montré une augmentation significative des appels API Graph à SharePoint. Cette application peut être impliquée dans l’exfiltration de données ou d’autres tentatives d’accès et de récupération de données sensibles.
TP ou FP ?
Passez en revue toutes les activités effectuées par l’application, les étendues accordées à l’application et l’activité utilisateur associée à l’application.
TP : Appliquez cette action recommandée si vous avez confirmé que des activités très irrégulières et potentiellement malveillantes ont entraîné l’augmentation détectée de l’utilisation de SharePoint.
Action recommandée : désactivez temporairement l’application, réinitialisez le mot de passe, puis réactivez l’application.
FP : Appliquez cette action recommandée si vous avez confirmé que l’activité d’application détectée est légitime.
Action recommandée: ignorer l’alerte.
Pic d’appels API Graph passés à Exchange
Sévérité: moyenne
Une application cloud a montré une augmentation significative des appels API Graph à Exchange. Cette application peut être impliquée dans l’exfiltration de données ou d’autres tentatives d’accès et de récupération de données sensibles.
TP ou FP ?
Passez en revue toutes les activités effectuées par l’application, les étendues accordées à l’application et l’activité utilisateur associée à l’application.
TP : Appliquez cette action recommandée si vous avez confirmé que des activités potentiellement malveillantes très irrégulières ont entraîné l’augmentation détectée de l’utilisation d’Exchange.
Action recommandée : désactivez temporairement l’application, réinitialisez le mot de passe, puis réactivez l’application.
FP : Appliquez cette action recommandée si vous avez confirmé que l’activité d’application détectée est légitime.
Action recommandée: ignorer l’alerte.
Application suspecte avec accès à plusieurs services Microsoft 365
Gravité : moyen
Recherchez des applications disposant d’un accès OAuth à plusieurs services Microsoft 365 qui ont montré une activité API Graph anormale statistiquement après une mise à jour de certificat ou de secret. En identifiant ces applications et en vérifiant leur compromission, vous pouvez empêcher le déplacement latéral, l’exfiltration de données et d’autres activités malveillantes qui traversent des dossiers cloud, des e-mails et d’autres services.
TP ou FP ?
Passez en revue toutes les activités effectuées par l’application, les étendues accordées à l’application et l’activité utilisateur associée à l’application.
TP : Appliquez cette action recommandée si vous avez confirmé que les mises à jour des certificats ou secrets d’application et d’autres activités d’application ont été très irrégulières ou potentiellement malveillantes.
Action recommandée : désactivez temporairement l’application, réinitialisez le mot de passe, puis réactivez l’application.
FP : Appliquez cette action recommandée si vous avez confirmé que l’activité d’application détectée est légitime.
Action recommandée: ignorer l’alerte.
Volume élevé d’activités de création de règles de boîte de réception par une application
Gravité : moyen
Une application a effectué un grand nombre d’appels API Graph pour créer des règles de boîte de réception Exchange. Cette application peut être impliquée dans la collecte de données et l’exfiltration ou d’autres tentatives d’accès et de récupération d’informations sensibles.
TP ou FP ?
Passez en revue toutes les activités effectuées par l’application, les étendues accordées à l’application et l’activité utilisateur associée à l’application.
TP : Appliquez cette action recommandée si vous avez confirmé que la création de règles de boîte de réception et d’autres activités ont été très irrégulières ou potentiellement malveillantes.
Action recommandée : désactivez temporairement l’application, réinitialisez le mot de passe, puis réactivez l’application.
FP : Appliquez cette action recommandée si vous avez confirmé que l’activité d’application détectée est légitime.
Action recommandée: ignorer l’alerte.
Volume élevé d’activités de recherche d’e-mails par une application
Gravité : moyen
Une application a effectué un grand nombre d’appels API Graph pour rechercher du contenu d’e-mail Exchange. Cette application peut être impliquée dans la collecte de données ou d’autres tentatives d’accès et de récupération d’informations sensibles.
TP ou FP ?
Passez en revue toutes les activités effectuées par l’application, les étendues accordées à l’application et l’activité utilisateur associée à l’application.
TP : appliquez cette action recommandée si vous avez confirmé que les recherches de contenu sur Exchange et d’autres activités ont été très irrégulières ou potentiellement malveillantes.
Action recommandée : désactivez temporairement l’application, réinitialisez le mot de passe, puis réactivez l’application.
FP : Si vous pouvez confirmer qu’aucune activité de recherche de courrier inhabituelle n’a été effectuée par l’application ou que l’application est destinée à effectuer des activités de recherche de courrier inhabituelles via API Graph.
Action recommandée: ignorer l’alerte.
Volume élevé d’envoi d’e-mails par une application
Sévérité: moyenne
Une application a effectué un grand nombre d’appels API Graph pour envoyer des messages électroniques à l’aide de Exchange Online. Cette application peut être impliquée dans la collecte de données et l’exfiltration ou d’autres tentatives d’accès et de récupération d’informations sensibles.
TP ou FP ?
Passez en revue toutes les activités effectuées par l’application, les étendues accordées à l’application et l’activité utilisateur associée à l’application.
TP : Appliquez cette action recommandée si vous avez confirmé que l’envoi de messages électroniques et d’autres activités ont été très irréguliers ou potentiellement malveillants.
Action recommandée : désactivez temporairement l’application, réinitialisez le mot de passe, puis réactivez l’application.
FP : si vous pouvez confirmer qu’aucune activité d’envoi de courrier inhabituelle n’a été effectuée par l’application ou que l’application est destinée à effectuer des activités d’envoi de courrier inhabituelles via API Graph.
Action recommandée: ignorer l’alerte.
Accès aux données sensibles
Sévérité: moyenne
Recherchez les applications qui accèdent à des données sensibles identifiées par des étiquettes sensibles spécifiques.
TP ou FP ?
Pour déterminer si l’alerte est un vrai positif (TP) ou un faux positif (FP), passez en revue les ressources auxquelles l’application accède.
TP : appliquez cette action recommandée si vous avez confirmé que l’application ou l’activité détectée est irrégulière ou potentiellement malveillante.
Action recommandée : Empêchez l’application d’accéder à des ressources en la désactivant de Microsoft Entra ID.
FP : Appliquez cette action recommandée si vous avez confirmé que l’application a une utilisation professionnelle légitime dans le organization et que l’activité détectée était attendue.
Action recommandée: ignorer l’alerte.
Étapes suivantes
En savoir plus sur la détection et la correction des menaces d’application