다음을 통해 공유

앱 거버넌스 위협 탐지 경고 조사

  • 아티클

앱 거버넌스는 악의적인 활동에 대한 보안 검색 및 경고를 제공합니다. 이 문서에서는 경고 트리거 조건을 포함하여 조사 및 수정에 도움이 될 수 있는 각 경고에 대한 세부 정보를 나열합니다. 위협 탐지는 본질적으로 비결정적이므로 표준에서 벗어나는 동작이 있을 때만 트리거됩니다.

자세한 내용은 Microsoft Defender for Cloud Apps 앱 거버넌스를 참조하세요.

참고

앱 거버넌스 위협 검색은 일시적이고 저장되지 않을 수 있는 데이터에 대한 계산 활동을 기반으로 하므로 경고는 활동 수 또는 급증 표시를 제공할 수 있지만 모든 관련 데이터가 반드시 필요한 것은 아닙니다. 특히 OAuth 앱 Graph API 활동의 경우 Log Analytics 및 Sentinel 사용하여 테넌트에서 활동 자체를 감사할 수 있습니다.

자세한 내용은 다음을 참조하십시오:

일반적인 조사 단계

앱 거버넌스와 관련된 경고를 찾으려면 XDR 포털 경고 페이지로 이동합니다. 경고 목록에서 "서비스/검색 원본" 필드를 사용하여 경고를 필터링합니다. 이 필드의 값을 "앱 거버넌스"로 설정하여 앱 거버넌스에서 생성된 모든 경고를 봅니다.

일반 지침

모든 유형의 경고를 조사할 때 다음 일반 지침을 사용하여 권장 조치를 적용하기 전에 잠재적 위협을 보다 명확하게 이해합니다.

  • 앱 심각도 수준을 검토하고 테넌트의 나머지 앱과 비교합니다. 이 검토는 테넌트에서 더 큰 위험을 초래하는 앱을 식별하는 데 도움이 됩니다.

  • TP를 식별하는 경우 모든 앱 활동을 검토하여 영향을 파악합니다. 예를 들어 다음 앱 정보를 검토합니다.

    • 액세스 권한이 부여된 범위
    • 평소와 다른 행동
    • IP 주소 및 위치

보안 경고 분류

적절한 조사에 따라 모든 앱 거버넌스 경고를 다음 활동 유형 중 하나로 분류할 수 있습니다.

  • TP(True positive) : 확인된 악성 활동에 대한 경고입니다.
  • 양성 참 긍정(B-TP): 침투 테스트 또는 기타 승인된 의심스러운 작업과 같이 의심스럽지만 악의적이지 않은 활동에 대한 경고입니다.
  • FP(가양성) : 악의적이 아닌 활동에 대한 경고입니다.

MITRE ATT&CK

앱 거버넌스 경고와 친숙한 MITRE ATT&CK 행렬 간의 관계를 더욱 쉽게 매핑할 수 있도록 해당 MITRE ATT&CK 전술별로 경고를 분류했습니다. 이 추가 참조를 사용하면 앱 거버넌스 경고가 트리거될 때 잠재적으로 사용 중인 의심스러운 공격 기술을 더 쉽게 이해할 수 있습니다.

이 가이드에서는 다음 범주에서 앱 거버넌스 경고를 조사하고 수정하는 방법에 관한 정보를 제공합니다.

초기 액세스 경고

이 섹션에서는 악의적인 앱이 조직에서 기반을 유지하려고 할 수 있음을 나타내는 경고에 대해 설명합니다.

OAuth 리디렉션 취약성을 악용하여 앱이 피싱 URL로 리디렉션

심각도: 보통

이 검색은 Microsoft Graph API 통해 OAuth 구현의 응답 형식 매개 변수를 악용하여 피싱 URL로 리디렉션되는 OAuth 앱을 식별합니다.

TP일까요, FP일까요?

  • TP: OAuth 앱이 알 수 없는 원본에서 배달되었는지 확인할 수 있는 경우 OAuth 앱에 동의한 후 응답 URL의 응답 유형에 잘못된 요청이 포함되고 알 수 없거나 신뢰할 수 없는 회신 URL로 리디렉션됩니다.

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 다시 설정하고, 받은 편지함 규칙을 제거합니다. 

  • FP: 조사 후 앱에 조직 내 정당한 비즈니스 용도가 있음을 확인할 수 있는 경우입니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 수행한 모든 활동을 검토합니다. 
  2. 앱에서 승인한 범위를 검토합니다. 

의심스러운 회신 URL을 사용하여 OAuth 앱

심각도: 보통

이 검색은 Microsoft Graph API 통해 의심스러운 회신 URL에 액세스한 OAuth 앱을 식별합니다.

TP일까요, FP일까요?

  • TP: OAuth 앱이 알 수 없는 원본에서 배달되고 의심스러운 URL로 리디렉션되는지 확인할 수 있는 경우 진정한 긍정이 표시됩니다. 의심스러운 URL은 URL의 평판을 알 수 없거나 신뢰할 수 없거나 도메인이 최근에 등록되었으며 앱 요청이 높은 권한 scope 대한 URL입니다.

    권장 작업: 앱에서 요청한 회신 URL, 도메인 및 범위를 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청한 사용 권한 수준 및 액세스 권한이 부여된 사용자를 검토합니다.

    앱에 대한 액세스를 금지하려면 앱 거버넌스 페이지에서 앱에 대한 관련 탭으로 이동합니다. 금지하려는 앱이 표시되는 행에서 금지 아이콘을 선택합니다. 사용자에게 사용자가 설치하고 권한을 부여한 앱이 금지되었음을 알릴지 여부를 선택할 수 있습니다. 알림을 통해 사용자는 앱이 비활성화되고 연결된 앱에 액세스할 수 없음을 알 수 있습니다. 사용자에게 알리지 않으려면 대화 상자에서 이 금지된 앱에 대한 액세스 권한을 부여한 사용자에게 알리 기를 선택 취소합니다. 앱 사용자에게 앱이 사용 금지될 것임을 알리는 것이 좋습니다.

  • FP: 조사 후 앱에 조직 내 정당한 비즈니스 용도가 있음을 확인할 수 있는 경우입니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 최근에 만든 앱과 회신 URL을 검토합니다.

  2. 앱에서 수행한 모든 활동을 검토합니다. 

  3. 앱에서 승인한 범위를 검토합니다. 

심각도: 낮음

이 탐지는 최근에 생성되고 동의율이 낮은 것으로 확인된 OAuth 앱을 식별합니다. 이는 불법 동의 부여에서 사용자를 유인하는 악의적이거나 위험한 앱을 나타낼 수 있습니다.

TP일까요, FP일까요?

  • TP: OAuth 앱이 알 수 없는 원본으로부터 배달되었음을 확인할 수 있는 경우 진정한 TP(True Positive) 메시지가 표시됩니다.

    권장 작업: 앱의 표시 이름, 회신 URL, 도메인을 검토합니다. 조사 결과에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청한 권한 수준과 액세스 권한을 부여한 사용자를 검토합니다.

  • FP: 조사 후 앱에 조직 내 정당한 비즈니스 용도가 있음을 확인할 수 있는 경우입니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 수행한 모든 활동을 검토합니다.
  2. 앱이 의심스럽다고 생각되는 경우 다른 앱 스토어에서 앱의 이름 및 회신 도메인을 조사하는 것이 좋습니다. 앱 스토어를 확인할 때 다음 앱 유형에 집중합니다.
    • 최근에 만든 앱
    • 비정상적인 표시 이름을 가진 앱
    • 의심스러운 회신 도메인이 있는 앱
  3. 앱이 여전히 의심스러운 경우 앱 표시 이름과 회신 도메인을 조사할 수 있습니다.

잘못된 URL 평판이 있는 앱

심각도: 보통

이 탐지는 URL 신뢰도가 좋지 않은 것으로 확인된 OAuth 앱을 식별합니다.

TP일까요, FP일까요?

  • TP: OAuth 앱이 알 수 없는 원본에서 전달되었고, 의심스러운 URL로 리디렉션된다는 사실을 확인할 수 있다면 TP(True Positive)를 표시합니다.

    권장 작업: 앱에서 요청한 회신 URL, 도메인, 범위를 검토합니다. 조사 결과에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청하고, 사용자가 액세스를 허용한 권한 수준을 검토합니다.

  • FP: 조사 후 앱에 조직 내 정당한 비즈니스 용도가 있음을 확인할 수 있는 경우입니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 수행한 모든 활동을 검토합니다.
  2. 앱이 의심스럽다고 생각되는 경우 다른 앱 스토어에서 앱의 이름 및 회신 도메인을 조사하는 것이 좋습니다. 앱 스토어를 확인할 때 다음 앱 유형에 집중합니다.
    • 최근에 만든 앱
    • 비정상적인 표시 이름을 가진 앱
    • 의심스러운 회신 도메인이 있는 앱
  3. 앱이 여전히 의심스러운 경우 앱 표시 이름과 회신 도메인을 조사할 수 있습니다.

심각도: 보통

설명: 이 탐지는 유니코드 또는 인코딩된 문자와 같이 문자가 있고, 의심스러운 동의 범위를 요청하며, Graph API를 통해 사용자 메일 폴더에 액세스하는 OAuth 앱을 식별합니다. 이 경고는 악의적 앱이 잘 알려지고 신뢰할 수 있는 앱으로 가장하여 사용자가 악의적 앱에 동의하게 하려는 악의적 사용자의 시도를 나타낼 수 있습니다.

TP일까요, FP일까요?

  • TP: OAuth 앱이 알 수 없는 원본에서 전달된 의심스러운 범위를 가진 표시 이름을 인코딩했음을 확인할 수 있다면 TP(True Positive)를 표시합니다.

    권장 작업: 이 앱에서 요청하고, 사용자가 액세스를 허용할 수 있는 권한 수준을 검토합니다. 조사 결과에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다.

    앱에 대한 액세스를 금지하려면 앱 거버넌스 페이지에서 앱에 대한 관련 탭으로 이동합니다. 금지하려는 앱이 표시되는 행에서 금지 아이콘을 선택합니다. 사용자에게 사용자가 설치하고 권한을 부여한 앱이 금지되었음을 알릴지 여부를 선택할 수 있습니다. 알림을 통해 사용자는 앱이 비활성화되고 연결된 앱에 액세스할 수 없음을 알 수 있습니다. 사용자에게 알리지 않으려면 대화 상자에서 이 금지된 앱에 대한 액세스 권한을 부여한 사용자에게 알리기를 선택 취소합니다. 앱 사용자에게 앱이 사용 금지될 것임을 알리는 것이 좋습니다.

  • FP: 앱에 인코딩된 이름이 있지만 organization 합법적인 비즈니스 용도가 있는지 확인하려는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

위험한 OAuth 앱을 조사하는 방법에 관한 자습서를 따릅니다.

읽기 범위가 있는 OAuth 앱 의심스러운 회신 URL이 있습니다.

심각도: 보통

설명: 이 검색은 User.Read, 사람 같은 읽기 범위만 있는 OAuth 앱을 식별합니다. 읽기, Contacts.Read, Mail.Read, Contacts.Read. Graph API 통해 의심스러운 회신 URL로의 공유 리디렉션. 이 활동은 읽기 범위 등 권한이 적은 악성 앱이 사용자 계정 정찰을 수행하는 데 악용될 수 있음을 나타냅니다.

TP일까요, FP일까요?

  • TP: 읽기 범위가 있는 OAuth 앱이 알 수 없는 원본에서 전달되었고, 의심스러운 URL로 리디렉션된다는 사실을 확인할 수 있다면 TP(True Positive)를 표시합니다.

    권장 작업: 앱에서 요청한 회신 URL과 범위를 검토합니다. 조사 결과에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청하고, 사용자가 액세스를 허용한 권한 수준을 검토합니다.

    앱에 대한 액세스를 금지하려면 앱 거버넌스 페이지에서 앱에 대한 관련 탭으로 이동합니다. 금지하려는 앱이 표시되는 행에서 금지 아이콘을 선택합니다. 사용자에게 사용자가 설치하고 권한을 부여한 앱이 금지되었음을 알릴지 여부를 선택할 수 있습니다. 알림을 통해 사용자는 앱이 비활성화되고 연결된 앱에 액세스할 수 없음을 알 수 있습니다. 사용자에게 알리지 않으려면 대화 상자에서 이 금지된 앱에 대한 액세스 권한을 부여한 사용자에게 알리기를 선택 취소합니다. 앱 사용자에게 앱이 사용 금지될 것임을 알리는 것이 좋습니다.

  • B-TP: 조사 후 앱에 조직 내 정당한 비즈니스 용도가 있음을 확인할 수 있는 경우.

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 수행한 모든 활동을 검토합니다.
  2. 앱이 의심스럽다고 생각되는 경우 다른 앱 스토어에서 앱의 이름 및 회신 URL을 조사하는 것이 좋습니다. 앱 스토어를 확인할 때 다음 앱 유형에 집중합니다.
    • 최근에 만든 앱
    • 의심스러운 회신 URL이 있는 앱
    • 최근에 업데이트되지 않은 앱. 업데이트가 없다는 건 앱이 더 이상 지원되지 않는다는 뜻일 수 있습니다.
  3. 여전히 앱이 의심스럽다면 앱 이름과 게시자 이름, 회신 URL을 온라인에서 조사할 수 있습니다.

회신 도메인에서 비정상적인 표시 이름 및 비정상적인 TLD가 있는 앱

심각도: 보통

이 검색은 비정상적인 표시 이름을 가진 앱을 식별하고 Graph API 통해 비정상적인 TLD(최상위 도메인)가 있는 의심스러운 회신 도메인으로 리디렉션됩니다. 이는 악의적이거나 위험한 앱을 알려진 신뢰할 수 있는 앱으로 위장하려는 시도를 나타낼 수 있으므로 악의적인 사용자가 악의적이거나 위험한 앱에 동의하도록 사용자를 오도할 수 있습니다. 

TP일까요, FP일까요?

  • TP: 알 수 없는 출처에서 이상한 표시 이름을 가진 앱이 전달되고 비정상적인 최상위 도메인을 가진 의심스러운 도메인으로 리디렉션되는 것을 확인할 수 있는 경우

    권장 작업: 앱의 표시 이름 및 회신 도메인을 검토합니다. 조사 결과에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청한 권한 수준과 액세스 권한을 부여한 사용자를 검토합니다.

  • FP: 조사 후 앱에 조직 내 정당한 비즈니스 용도가 있음을 확인할 수 있는 경우입니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

앱에서 수행한 모든 활동을 검토합니다. 앱이 의심스럽다고 생각되는 경우 다른 앱 스토어에서 앱의 이름 및 회신 도메인을 조사하는 것이 좋습니다. 앱 스토어를 확인할 때 다음 앱 유형에 집중합니다.

  • 최근에 만든 앱
  • 비정상적인 표시 이름을 가진 앱
  • 의심스러운 회신 도메인이 있는 앱

앱이 여전히 의심스러운 경우 앱 표시 이름과 회신 도메인을 조사할 수 있습니다.

심각도: 보통

이 검색은 다음과 같은 특성을 사용하여 비교적 새로운 게시자 테넌트에서 최근에 만든 OAuth 앱을 식별합니다.

  • 사서함 설정에 액세스하거나 변경할 수 있는 권한
  • 상대적으로 낮은 동의율- 원치 않는 사용자 또는 심지어 의심하지 않는 사용자로부터 동의를 얻으려고 시도하는 악의적인 앱을 식별할 수 있습니다.

TP일까요, FP일까요?

  • TP: 앱에 대한 동의 요청이 알 수 없거나 외부 원본에서 전달되었고 앱이 organization 합법적인 비즈니스 용도가 없는 경우 진정한 긍정이 표시됩니다.

    권장 작업:

    • 이 앱에 동의한 사용자 및 관리자에게 문의하여 의도적이고 과도한 권한이 정상인지 확인합니다.
    • 앱 활동을 조사하고 의심스러운 활동에 대해 영향을 받는 계정을 검사.
    • 조사에 따라 앱을 사용하지 않도록 설정하고 영향을 받는 모든 계정에 대한 암호를 일시 중단 및 재설정합니다.
    • 경고를 진정한 긍정으로 분류합니다.

  • FP: 조사 후 앱에 조직 내 정당한 비즈니스 용도가 있음을 확인할 수 있는 경우입니다.

    권장 작업: 경고를 가양성으로 분류하고 경고 조사에 따라 피드백을 공유하는 것이 좋습니다.

위반 범위 이해하기

사용자 및 관리자가 수행한 애플리케이션에 대한 동의 부여를 검토합니다. 앱에서 수행하는 모든 활동, 특히 연결된 사용자 및 관리자 계정의 사서함에 대한 액세스를 조사합니다. 앱이 의심스러운 경우 애플리케이션을 사용하지 않도록 설정하거나 영향을 받는 모든 계정의 자격 증명을 회전하는 것이 좋습니다.

심각도: 보통

이 경고는 사서함 설정을 변경하고 전자 메일에 액세스할 수 있는 권한이 있는 비교적 새로운 게시자 테넌트에서 최근에 등록된 OAuth 앱을 식별합니다. 또한 앱의 글로벌 동의율이 상대적으로 낮은지 확인하고 동의한 사용자의 전자 메일에 액세스하기 위해 Microsoft Graph API 여러 번 호출합니다. 이 경고를 트리거하는 앱은 원치 않거나 악의적인 앱이 의심하지 않는 사용자로부터 동의를 얻으려고 시도할 수 있습니다.

TP일까요, FP일까요?

  • TP: 앱에 대한 동의 요청이 알 수 없거나 외부 원본에서 전달되었고 앱이 organization 합법적인 비즈니스 용도가 없는 경우 진정한 긍정이 표시됩니다.

    권장 작업:

    • 이 앱에 동의한 사용자 및 관리자에게 문의하여 의도적이고 과도한 권한이 정상인지 확인합니다.
    • 앱 활동을 조사하고 의심스러운 활동에 대해 영향을 받는 계정을 검사.
    • 조사에 따라 앱을 사용하지 않도록 설정하고 영향을 받는 모든 계정에 대한 암호를 일시 중단 및 재설정합니다.
    • 경고를 진정한 긍정으로 분류합니다.

  • FP: 조사 후 앱이 organization 합법적인 비즈니스 사용이 있는지 확인할 수 있는 경우 가양성 표시가 표시됩니다.

    권장 작업: 경고를 가양성으로 분류하고 경고 조사에 따라 피드백을 공유하는 것이 좋습니다.

위반 범위 이해하기

사용자 및 관리자가 수행한 애플리케이션에 대한 동의 부여를 검토합니다. 앱에서 수행한 모든 활동, 특히 연결된 사용자 및 관리자 계정의 사서함에 대한 액세스를 조사합니다. 앱이 의심스러운 경우 애플리케이션을 사용하지 않도록 설정하거나 영향을 받는 모든 계정의 자격 증명을 회전하는 것이 좋습니다.

수많은 이메일을 보내는 메일 권한이 있는 의심스러운 앱

심각도: 보통

이 경고는 짧은 기간 내에 이메일을 보내기 위해 Microsoft Graph API 여러 번 호출한 다중 테넌트 OAuth 앱을 찾습니다. 또한 API 호출로 인해 오류가 발생했는지, 전자 메일을 보내지 못했는지도 확인합니다. 이 경고를 트리거하는 앱은 스팸 또는 악성 전자 메일을 다른 대상에 적극적으로 보낼 수 있습니다.

TP일까요, FP일까요?

  • TP: 앱에 대한 동의 요청이 알 수 없거나 외부 원본에서 전달되었고 앱이 organization 합법적인 비즈니스 용도가 없는 경우 진정한 긍정이 표시됩니다.

    권장 작업:

    • 이 앱에 동의한 사용자 및 관리자에게 문의하여 의도적이고 과도한 권한이 정상인지 확인합니다.
    • 앱 활동을 조사하고 의심스러운 활동에 대해 영향을 받는 계정을 검사.
    • 조사에 따라 앱을 사용하지 않도록 설정하고 영향을 받는 모든 계정에 대한 암호를 일시 중단 및 재설정합니다.
    • 경고를 진정한 긍정으로 분류합니다.

  • FP: 조사 후 앱이 organization 합법적인 비즈니스 사용이 있는지 확인할 수 있는 경우 가양성 표시가 표시됩니다.

    권장 작업: 경고를 가양성으로 분류하고 경고 조사에 따라 피드백을 공유하는 것이 좋습니다.

위반 범위 이해하기

사용자 및 관리자가 수행한 애플리케이션에 대한 동의 부여를 검토합니다. 앱에서 수행하는 모든 활동, 특히 연결된 사용자 및 관리자 계정의 사서함에 대한 액세스를 조사합니다. 앱이 의심스러운 경우 애플리케이션을 사용하지 않도록 설정하거나 영향을 받는 모든 계정의 자격 증명을 회전하는 것이 좋습니다.

수많은 이메일을 보내는 데 사용되는 의심스러운 OAuth 앱

심각도: 보통

이 경고는 짧은 기간 내에 이메일을 보내기 위해 Microsoft Graph API 여러 번 호출한 OAuth 앱을 나타냅니다. 앱의 게시자 테넌트는 유사한 Microsoft Graph API 호출을 하는 많은 양의 OAuth 앱을 생성하는 것으로 알려져 있습니다. 공격자가 이 앱을 적극적으로 사용하여 스팸 또는 악성 전자 메일을 대상에 보낼 수 있습니다.

TP일까요, FP일까요?

  • TP: 앱에 대한 동의 요청이 알 수 없거나 외부 원본에서 전달되었고 앱이 organization 합법적인 비즈니스 용도가 없는 경우 진정한 긍정이 표시됩니다.

    권장 작업:

    • 이 앱에 동의한 사용자 및 관리자에게 문의하여 의도적이고 과도한 권한이 정상인지 확인합니다.
    • 앱 활동을 조사하고 의심스러운 활동에 대해 영향을 받는 계정을 검사.
    • 조사에 따라 앱을 사용하지 않도록 설정하고 영향을 받는 모든 계정에 대한 암호를 일시 중단 및 재설정합니다.
    • 경고를 진정한 긍정으로 분류합니다.

  • FP: 조사 후 앱이 organization 합법적인 비즈니스 사용이 있는지 확인할 수 있는 경우 가양성 표시가 표시됩니다.

    권장 작업: 경고를 가양성으로 분류하고 경고 조사에 따라 피드백을 공유하는 것이 좋습니다.

위반 범위 이해하기

사용자 및 관리자가 수행한 애플리케이션에 대한 동의 부여를 검토합니다. 앱에서 수행하는 모든 활동, 특히 연결된 사용자 및 관리자 계정의 사서함에 대한 액세스를 조사합니다. 앱이 의심스러운 경우 애플리케이션을 사용하지 않도록 설정하거나 영향을 받는 모든 계정의 자격 증명을 회전하는 것이 좋습니다.

지속성 경고

이 섹션에서는 악의적인 행위자가 조직에서 기반을 유지하려고 할 수 있음을 나타내는 경고에 대해 설명합니다.

앱에서 인증서 업데이트 후 또는 새 자격 증명을 추가하기 위한 비정상적인 그래프 호출을 수행했습니다.

심각도: 보통

MITRE ID: T1098.001, T1114

이 탐지는 LOB(Line of Business) 앱이 인증서/비밀을 업데이트하거나 새 자격 증명을 추가하고 며칠 내에 인증서 업데이트 또는 새 자격 증명을 추가한 경우, 기계 학습 알고리즘을 사용하여 그래프 API를 통해 비정상적인 작업이나 대량으로 Exchange 워크로드를 사용할 때 경고를 트리거합니다.

TP일까요, FP일까요?

  • TP: 그래프 API를 통해 Exchange 워크로드의 비정상적인 활동/대량 사용량이 LOB 앱에 의해 수행되었음을 확인할 수 있는 경우입니다.

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 다시 설정한 다음 앱을 다시 사용하도록 설정합니다.

  • FP: LOB 앱 또는 앱이 비정상적으로 많은 양의 그래프 호출을 수행하기 위한 비정상적인 작업이 수행되지 않았음을 확인할 수 있는 경우입니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 이 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에서 승인한 범위를 검토합니다.
  3. 이 앱과 연결된 사용자 활동을 검토합니다.

의심스러운 OAuth 범위를 가진 앱이 기계 학습 모델에 의해 고위험 플래그로 지정되고, 전자 메일을 읽기 위해 그래프 호출을 수행하며 받은 문서 규칙을 만들었습니다.

심각도: 보통

MITRE ID: T1137.005, T1114

이 검색은 의심스러운 범위에 동의하고 의심스러운 받은 편지함 규칙을 만든 다음 Graph API 통해 사용자에게 메일 폴더 및 메시지에 액세스한 Machine Learning 모델에서 고위험 플래그가 지정된 OAuth 앱 식별합니다. 모든 전자 메일 또는 특정 전자 메일 다른 전자 메일 계정으로 전달과 같은 받은 편지함 규칙, 전자 메일에 액세스하고 다른 전자 메일 계정에 보내기 위한 그래프 호출은 조직의 정보를 유출하려는 시도일 수 있습니다.

TP일까요, FP일까요?

  • TP: 알 수 없는 원본에서 전달된 의심스러운 범위를 가진 OAuth 타사 앱이 받은 편지함 규칙을 만들었다는 사실을 확인할 수 있다면 TP(True Positive)가 탐지됩니다.

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 다시 설정하고, 받은 편지함 규칙을 제거합니다.

Microsoft Entra ID 사용하여 암호를 재설정하는 방법에 대한 자습서를 따르고 받은 편지함 규칙을 제거하는 방법에 대한 자습서를 따릅니다.

  • FP: 앱이 정당한 이유로 새 또는 개인 외부 전자 메일 계정에 받은 편지함 규칙을 만들었음을 확인할 수 있는 경우.

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 수행한 모든 활동을 검토합니다.
  2. 앱에서 승인한 범위를 검토합니다.
  3. 앱에서 만든 받은 편지함 규칙 작업과 조건을 검토합니다.

의심스러운 OAuth scope 있는 앱은 전자 메일을 읽기 위해 그래프를 호출하고 받은 편지함 규칙을 만들었습니다.

심각도: 보통

MITRE ID: T1137.005, T1114

이 탐지는 의심스러운 범위에 동의하고, 의심스러운 받은 편지함 규칙을 만든 다음 Graph API를 통해 사용자 메일 폴더 및 메시지에 액세스하는 OAuth 앱을 식별합니다. 모든 전자 메일 또는 특정 전자 메일 다른 전자 메일 계정으로 전달과 같은 받은 편지함 규칙, 전자 메일에 액세스하고 다른 전자 메일 계정에 보내기 위한 그래프 호출은 조직의 정보를 유출하려는 시도일 수 있습니다.

TP일까요, FP일까요?

  • TP: 알 수 없는 원본에서 전달된 의심스러운 범위를 가진 OAuth 타사 앱이 받은 편지함 규칙을 만들었다는 사실을 확인할 수 있다면 TP(True Positive)를 표시합니다.

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 다시 설정하고, 받은 편지함 규칙을 제거합니다.

    Microsoft Entra ID 사용하여 암호를 재설정하는 방법에 대한 자습서를 따르고 받은 편지함 규칙을 제거하는 방법에 대한 자습서를 따릅니다.

  • FP: 앱이 정당한 이유로 새 또는 개인 외부 전자 메일 계정에 받은 편지함 규칙을 만들었음을 확인할 수 있는 경우.

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 수행한 모든 활동을 검토합니다.
  2. 앱에서 승인한 범위를 검토합니다.
  3. 앱에서 만든 받은 편지함 규칙 작업과 조건을 검토합니다.

인증서 업데이트 후 비정상적인 위치에서 액세스된 앱

심각도: 낮음

MITRE ID: T1098

이 검색은 LOB(기간 업무) 앱이 인증서/비밀을 업데이트하고 몇 일 이내에 인증서 업데이트 후 최근에 못했거나 과거에 액세스하지 않은 비정상적인 위치에서 앱에 액세스할 때 경고를 트리거합니다.

TP일까요, FP일까요?

  • TP: LOB 앱이 비정상적인 위치에서 접근하고 Graph API를 통해 비정상적인 활동을 수행한 것을 확인할 수 있는 경우입니다.

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 다시 설정한 다음 앱을 다시 사용하도록 설정합니다.

  • FP: LOB 앱이 합법적인 목적을 위해 비정상적인 위치에서 액세스했으며 비정상적인 활동이 수행되지 않았음을 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 이 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에서 승인한 범위를 검토합니다.
  3. 이 앱과 연결된 사용자 활동을 검토합니다.

인증서 업데이트 후 비정상적인 위치에서 액세스된 앱이 비정상적인 Graph 호출을 생성함

심각도: 보통

MITRE ID: T1098

이 검색은 LOB(기간 업무) 앱이 인증서/비밀을 업데이트하고 인증서 업데이트 후 며칠 이내에 앱이 최근에 못했거나 과거에 액세스한 적이 없는 비정상적인 위치에서 앱에 액세스하고 기계 학습 알고리즘을 사용하여 Graph API 통해 비정상적인 활동 또는 사용을 관찰할 때 경고를 트리거합니다.

TP일까요, FP일까요?

  • TP: 비정상적인 위치에서 Graph API를 통해 LOB 앱에 의해 비정상적인 활동/사용이 수행되었음을 확인할 수 있는 경우입니다.

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 다시 설정한 다음 앱을 다시 사용하도록 설정합니다.

  • FP: LOB 앱이 합법적인 목적을 위해 비정상적인 위치에서 액세스했으며 비정상적인 활동이 수행되지 않았음을 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 이 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에서 승인한 범위를 검토합니다.
  3. 이 앱과 연결된 사용자 활동을 검토합니다.

최근에 만든 앱에는 많은 양의 해지된 동의가 있습니다.

심각도: 보통

MITRE ID: T1566, T1098

몇몇 사용자가 최근에 만든 LOB(기간 업무) 또는 타사 앱에 대한 동의를 취소했습니다. 이 앱은 사용자가 실수로 동의를 제공하게 했을 수 있습니다.

TP일까요, FP일까요?

  • TP: OAuth 앱이 알 수 없는 원본에서 배달되고 앱 동작이 의심스러운지 확인할 수 있는 경우 

    권장 작업: 앱에 부여된 동의를 취소하고 앱을 사용하지 않도록 설정합니다. 

  • FP: 조사 후 앱이 organization 합법적인 비즈니스 사용이 있고 앱에서 비정상적인 활동이 수행되지 않은 것을 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱이 의심스럽다고 의심되는 경우 다른 앱 스토어에서 앱의 이름 및 회신 도메인을 조사하는 것이 좋습니다. 앱 스토어를 확인할 때 다음 앱 유형에 집중합니다.
    • 최근에 만든 앱
    • 비정상적인 표시 이름을 가진 앱
    • 의심스러운 회신 도메인이 있는 앱
  3. 앱이 여전히 의심스러운 경우 앱 표시 이름과 회신 도메인을 조사할 수 있습니다.

알려진 피싱 캠페인과 관련된 앱 메타데이터

심각도: 보통

이 검색은 이전에 피싱 캠페인과 연결된 앱에서 관찰된 메타데이터(예: 이름, URL 또는 게시자)를 사용하여 타사 OAuth 앱에 대한 경고를 생성합니다. 이러한 앱은 동일한 캠페인의 일부일 수 있으며 중요한 정보의 반출에 관여할 수 있습니다.

TP일까요, FP일까요?

  • TP: OAuth 앱이 알 수 없는 원본에서 배달되고 비정상적인 작업을 수행하고 있는지 확인할 수 있는 경우

    권장 작업:

    • 앱 거버넌스에 대한 앱의 등록 세부 정보를 조사하고 자세한 내용은 Microsoft Entra ID 방문하세요.
    • 앱에 동의 또는 권한을 부여한 사용자 또는 관리자에게 문의하세요. 변경 내용이 의도적인지 확인합니다.
    • CloudAppEvents 고급 헌팅 테이블을 검색하여 앱 활동을 이해하고 관찰된 동작이 예상되는지 확인합니다.
    • 포함 작업을 고려하기 전에 앱이 organization 중요한지 확인합니다. 앱 거버넌스 또는 Microsoft Entra ID 사용하여 앱을 비활성화하여 리소스에 액세스하지 못하도록 합니다. 기존 앱 거버넌스 정책은 이미 앱을 비활성화했을 수 있습니다.

  • FP: 앱에서 비정상적인 활동이 수행되지 않았으며 앱이 organization 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에 부여된 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

이전에 플래그가 지정된 의심스러운 앱과 연결된 앱 메타데이터

심각도: 보통

이 검색은 의심스러운 활동으로 인해 앱 거버넌스에 의해 플래그가 지정된 앱에서 이전에 관찰된 메타데이터(예: 이름, URL 또는 게시자)를 사용하여 타사 OAuth 앱에 대한 경고를 생성합니다. 이 앱은 공격 캠페인의 일부일 수 있으며 중요한 정보의 반출에 관여할 수 있습니다.

TP일까요, FP일까요?

  • TP: OAuth 앱이 알 수 없는 원본에서 배달되고 비정상적인 작업을 수행하고 있는지 확인할 수 있는 경우

    권장 작업:

    • 앱 거버넌스에 대한 앱의 등록 세부 정보를 조사하고 자세한 내용은 Microsoft Entra ID 방문하세요.
    • 앱에 동의 또는 권한을 부여한 사용자 또는 관리자에게 문의하세요. 변경 내용이 의도적인지 확인합니다.
    • CloudAppEvents 고급 헌팅 테이블을 검색하여 앱 활동을 이해하고 관찰된 동작이 예상되는지 확인합니다.
    • 포함 작업을 고려하기 전에 앱이 organization 중요한지 확인합니다. 앱 거버넌스 또는 Microsoft Entra ID 사용하여 앱을 비활성화하여 리소스에 액세스하지 못하도록 합니다. 기존 앱 거버넌스 정책은 이미 앱을 비활성화했을 수 있습니다.

  • FP: 앱에서 비정상적인 활동이 수행되지 않았으며 앱이 organization 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에 부여된 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

Graph API 통해 의심스러운 OAuth 앱 이메일 활동

심각도: 높음

이 검색은 위험 수준이 높은 로그인을 가진 사용자가 등록한 다중 테넌트 OAuth 앱에 대한 경고를 생성하여 짧은 기간 내에 의심스러운 전자 메일 활동을 수행하기 위해 Microsoft Graph API 호출했습니다.

이 검색은 사서함 규칙 만들기, 회신 전자 메일 만들기, 전자 메일 전달, 회신 또는 전송 중인 새 전자 메일에 대한 API 호출이 수행되었는지 여부를 확인합니다. 이 경고를 트리거하는 앱은 스팸 또는 악성 전자 메일을 다른 대상에 적극적으로 보내거나 기밀 데이터를 유출하고 검색을 회피하기 위해 트랙을 지울 수 있습니다.

TP일까요, FP일까요?

  • TP: 앱에 대한 앱 만들기 및 동의 요청이 알 수 없거나 외부 원본에서 전달되었으며 앱이 organization 합법적인 비즈니스 용도가 없는 경우 진정한 긍정이 표시됩니다.

    권장 작업:

    • 이 앱에 동의한 사용자 및 관리자에게 문의하여 의도적이고 과도한 권한이 정상인지 확인합니다.

    • 앱 활동을 조사하고 의심스러운 활동에 대해 영향을 받는 계정을 검사.

    • 조사에 따라 앱을 사용하지 않도록 설정하고 영향을 받는 모든 계정에 대한 암호를 일시 중단 및 재설정하고 받은 편지함 규칙을 제거합니다.

    • 경고를 진정한 긍정으로 분류합니다.

  • FP: 조사 후 앱이 organization 합법적인 비즈니스 사용이 있는지 확인할 수 있는 경우 가양성 표시가 표시됩니다.

    권장 작업:

    • 경고를 가양성으로 분류하고 경고 조사에 따라 피드백을 공유하는 것이 좋습니다.

    • 위반의 scope 이해합니다.

      사용자 및 관리자가 수행한 애플리케이션에 대한 동의 부여를 검토합니다. 앱에서 수행하는 모든 활동, 특히 연결된 사용자 및 관리자 계정의 사서함에 대한 액세스를 조사합니다. 앱이 의심스러운 경우 애플리케이션을 사용하지 않도록 설정하거나 영향을 받는 모든 계정의 자격 증명을 회전하는 것이 좋습니다.

EWS API를 통한 의심스러운 OAuth 앱 이메일 작업

심각도: 높음

이 검색은 위험한 로그인이 있는 사용자가 등록한 다중 테넌트 OAuth 앱에 대한 경고를 생성하여 짧은 기간 내에 의심스러운 전자 메일 작업을 수행하기 위해 EWS(Microsoft Exchange Web Services) API를 호출했습니다.

이 검색은 받은 편지함 규칙을 업데이트하거나, 항목을 이동하거나, 전자 메일을 삭제하거나, 폴더를 삭제하거나, 첨부 파일을 삭제하기 위해 API 호출이 수행되었는지 여부를 확인합니다. 이 경고를 트리거하는 앱은 기밀 데이터를 적극적으로 유출하거나 삭제하고 검색을 피하기 위해 트랙을 지울 수 있습니다.

TP일까요, FP일까요?

  • TP: 앱에 대한 앱 만들기 및 동의 요청이 알 수 없거나 외부 원본에서 전달되었으며 앱이 organization 합법적인 비즈니스 용도가 없는 경우 진정한 긍정이 표시됩니다.

    권장 작업:

    • 이 앱에 동의한 사용자 및 관리자에게 문의하여 의도적이고 과도한 권한이 정상인지 확인합니다.

    • 앱 활동을 조사하고 의심스러운 활동에 대해 영향을 받는 계정을 검사.

    • 조사에 따라 앱을 사용하지 않도록 설정하고 영향을 받는 모든 계정에 대한 암호를 일시 중단 및 재설정하고 받은 편지함 규칙을 제거합니다.

    • 경고를 진정한 긍정으로 분류합니다.

  • FP: 조사 후 앱이 organization 합법적인 비즈니스 사용이 있는지 확인할 수 있는 경우 가양성 표시가 표시됩니다.

    권장 작업:

    • 경고를 가양성으로 분류하고 경고 조사에 따라 피드백을 공유하는 것이 좋습니다.

    • 위반의 scope 이해합니다.

      사용자 및 관리자가 수행한 애플리케이션에 대한 동의 부여를 검토합니다. 앱에서 수행하는 모든 활동, 특히 연결된 사용자 및 관리자 계정의 사서함에 대한 액세스를 조사합니다. 앱이 의심스러운 경우 애플리케이션을 사용하지 않도록 설정하거나 영향을 받는 모든 계정의 자격 증명을 회전하는 것이 좋습니다.

권한 에스컬레이션 경고

의심스러운 메타데이터가 있는 OAuth 앱에 Exchange 권한이 있습니다.

심각도: 보통

MITRE ID: T1078

이 경고는 의심스러운 메타데이터가 있는 기간 업무 앱이 Exchange에 대한 권한을 관리할 수 있는 권한이 있는 경우 트리거됩니다.

TP일까요, FP일까요?

  • TP: OAuth 앱이 알 수 없는 원본에서 배달되고 의심스러운 메타데이터 특성이 있는지 확인할 수 있는 경우 진정한 긍정이 표시됩니다.

권장 작업: 앱에 부여된 동의를 취소하고 앱을 사용하지 않도록 설정합니다.

FP: 조사 후 앱에 조직 내 정당한 비즈니스 용도가 있음을 확인할 수 있는 경우입니다.

권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 수행한 모든 활동을 검토합니다.
  2. 앱에서 승인한 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

방어 회피 경고

심각도: 보통

Microsoft가 아닌 클라우드 앱은 기계 학습 알고리즘에서 Microsoft 로고와 유사한 로고를 사용하고 있습니다. 이는 Microsoft 소프트웨어 제품을 가장하고 합법적인 것으로 보이려는 시도일 수 있습니다.

참고

테넌트 관리자는 팝업을 통해 동의를 제공하여 필요한 데이터를 현재 규정 준수 경계 외부로 보내고, 기간 업무 앱에 대해 이 위협 탐지를 사용하도록 설정하기 위해 Microsoft 내에서 파트너 팀을 선택해야 합니다.

TP일까요, FP일까요?

  • TP: 앱 로고가 Microsoft 로고를 모방하고 앱 동작이 의심스러운지 확인할 수 있는 경우 

    권장 작업: 앱에 부여된 동의를 취소하고 앱을 사용하지 않도록 설정합니다.

  • FP: 앱 로고가 Microsoft 로고를 모방한 것이 아니거나 앱에서 비정상적인 활동을 수행하지 않은 것을 확인할 수 있는 경우 

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에 부여된 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

앱이 오타스쿼트된 도메인과 연결됨

심각도: 보통

이 검색은 게시자 도메인이 있는 타사 OAuth 앱에 대한 경고를 생성하거나 오타가 있는 버전의 Microsoft 브랜드 이름을 포함하는 리디렉션 URL을 생성합니다. 오타 쿼팅은 일반적으로 사용자가 실수로 URL을 잘못 입력할 때마다 사이트로의 트래픽을 캡처하는 데 사용되지만 인기 있는 소프트웨어 제품 및 서비스를 가장하는 데도 사용할 수 있습니다.

TP일까요, FP일까요?

  • TP: 앱의 게시자 도메인 또는 리디렉션 URL이 오타로 겹치며 앱의 실제 ID와 관련이 없는지 확인할 수 있는 경우

    권장 작업:

    • 앱 거버넌스에 대한 앱의 등록 세부 정보를 조사하고 자세한 내용은 Microsoft Entra ID 방문하세요.
    • 앱에서 스푸핑 또는 가장의 다른 징후와 의심스러운 활동을 확인합니다.
    • 포함 작업을 고려하기 전에 앱이 organization 중요한지 확인합니다. 앱 거버넌스를 사용하여 앱이 리소스에 액세스하지 못하도록 앱을 비활성화합니다. 기존 앱 거버넌스 정책은 이미 앱을 비활성화했을 수 있습니다.

  • FP: 앱의 게시자 도메인 및 리디렉션 URL이 합법적인지 확인할 수 있는 경우 

    권장 작업: 경고를 가양성으로 분류하고 경고 조사에 따라 피드백을 공유하는 것이 좋습니다.

위반 범위 이해하기

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에 부여된 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

자격 증명 액세스

이 섹션에서는 악의적인 행위자가 중요한 자격 증명 데이터를 읽으려고 할 수 있음을 나타내는 경고에 대해 설명하고 organization 계정 이름, 비밀, 토큰, 인증서 및 암호와 같은 자격 증명을 도용하는 기술로 구성됩니다.

실패한 여러 KeyVault 읽기 작업을 시작하는 애플리케이션이 성공하지 못했습니다.

심각도: 보통

MITRE ID: T1078.004

이 검색은 짧은 간격으로 Azure Resource Manager API를 사용하여 KeyVault에 대한 여러 읽기 작업 호출을 수행한 것으로 관찰된 테넌트의 애플리케이션을 식별하며, 오류만 있고 성공적인 읽기 작업이 완료되지 않습니다.

TP일까요, FP일까요?

  • TP: 앱을 알 수 없거나 사용하지 않는 경우 지정된 활동이 잠재적으로 의심스럽습니다. 사용 중인 Azure 리소스를 확인하고 테넌트에서 앱 사용의 유효성을 검사한 후 지정된 작업을 수행하려면 앱을 사용하지 않도록 설정해야 할 수 있습니다. 이는 일반적으로 횡적 이동 또는 권한 상승에 대한 자격 증명에 대한 액세스 권한을 얻기 위해 KeyVault 리소스에 대해 의심되는 열거 작업의 증거입니다.

    권장 작업: 애플리케이션에서 액세스하거나 만든 Azure 리소스와 애플리케이션에 대한 최근 변경 내용을 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지할지 여부를 선택합니다. 이 앱에서 요청한 권한 수준 및 액세스 권한을 부여한 사용자를 검토합니다.

  • FP: 조사 후 앱이 organization 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱의 액세스 및 활동을 검토합니다.
  2. 앱이 만든 이후 앱에서 수행한 모든 활동을 검토합니다.
  3. Graph API 앱에서 부여한 범위와 구독에서 부여된 역할을 검토합니다.
  4. 활동 전에 앱에 액세스했을 수 있는 사용자를 검토합니다.

검색 경고

앱이 수행한 드라이브 열거형

심각도: 보통

MITRE ID: T1087

이 탐지는 Graph API를 사용하여 OneDrive 파일에서 열거를 수행하는 기계 학습 모델에 의해 감지된 OAuth 앱을 식별합니다.

TP일까요, FP일까요?

  • TP: Graph API를 통해 OneDrive에 대한 비정상적인 활동/사용이 LOB 앱에 의해 수행되었음을 확인할 수 있는 경우입니다.

    권장 작업: 앱을 비활성화 및 제거하고 암호를 재설정합니다.

  • FP: 앱에서 비정상적인 작업이 수행되지 않았는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 이 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에서 승인한 범위를 검토합니다.
  3. 이 앱과 연결된 사용자 활동을 검토합니다.

Microsoft Graph PowerShell을 사용하여 수행된 의심스러운 열거형 활동

심각도: 보통

MITRE ID: T1087

이 검색은 Microsoft Graph PowerShell 애플리케이션을 통해 짧은 시간 내에 수행되는 많은 양의 의심스러운 열거 활동을 식별합니다.

TP일까요, FP일까요?

  • TP: Microsoft Graph PowerShell 애플리케이션에서 의심스러운/비정상적인 열거형 작업이 수행되었는지 확인할 수 있는 경우

    권장 작업: 애플리케이션을 사용하지 않도록 설정 및 제거하고 암호를 다시 설정합니다.

  • FP: 애플리케이션에서 비정상적인 활동이 수행되지 않았다는 것을 확인할 수 있는 경우입니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 이 애플리케이션에서 수행하는 모든 활동을 검토합니다.
  2. 이 애플리케이션과 연결된 사용자 활동을 검토합니다.

최근에 만든 다중 테넌트 애플리케이션은 사용자 정보를 자주 열거합니다.

심각도: 보통

MITRE ID: T1087

이 경고는 사서함 설정을 변경하고 전자 메일에 액세스할 수 있는 권한이 있는 비교적 새로운 게시자 테넌트에서 최근에 등록된 OAuth 앱을 찾습니다. 앱이 Microsoft Graph API 사용자 디렉터리 정보를 요청하는 수많은 호출을 했는지 여부를 확인합니다. 이 경고를 트리거하는 앱은 사용자가 조직 데이터에 액세스할 수 있도록 동의를 부여하게 할 수 있습니다.

TP일까요, FP일까요?

  • TP: 앱에 대한 동의 요청이 알 수 없거나 외부 원본에서 전달되었고 앱이 organization 합법적인 비즈니스 용도가 없는 경우 진정한 긍정이 표시됩니다.

    권장 작업:

    • 이 앱에 동의한 사용자 및 관리자에게 문의하여 의도적이고 과도한 권한이 정상인지 확인합니다.
    • 앱 활동을 조사하고 의심스러운 활동에 대해 영향을 받는 계정을 검사.
    • 조사에 따라 앱을 사용하지 않도록 설정하고 영향을 받는 모든 계정에 대한 암호를 일시 중단 및 재설정합니다.
    • 경고를 진정한 긍정으로 분류합니다.

  • FP: 조사 후 앱이 organization 합법적인 비즈니스 사용이 있는지 확인할 수 있는 경우 가양성 표시가 표시됩니다.

    권장 작업: 경고를 가양성으로 분류하고 경고 조사에 따라 피드백을 공유하는 것이 좋습니다.

위반 범위 이해하기

사용자 및 관리자가 수행한 애플리케이션에 대한 동의 부여를 검토합니다. 앱에서 수행하는 모든 활동, 특히 사용자 디렉터리 정보 열거를 조사합니다. 앱이 의심스러운 경우 애플리케이션을 사용하지 않도록 설정하거나 영향을 받는 모든 계정의 자격 증명을 회전하는 것이 좋습니다.

반출 경고

이 섹션에서는 악의적인 행위자가 organization 목표까지 관심 있는 데이터를 도용하려고 시도할 수 있음을 나타내는 경고에 대해 설명합니다.

비정상적인 사용자 에이전트를 사용하는 OAuth 앱

심각도: 낮음

MITRE ID: T1567

이 검색은 비정상적인 사용자 에이전트를 사용하여 Graph API 액세스하는 OAuth 애플리케이션을 식별합니다.

TP일까요, FP일까요?

  • TP: OAuth 앱이 이전에 사용되지 않은 새 사용자 에이전트를 사용하기 시작했으며 이 변경이 예기치 않은 경우 진정한 긍정이 표시됩니다.

    권장 작업: 사용된 사용자 에이전트 및 애플리케이션에 대한 최근 변경 내용을 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청하고, 사용자가 액세스를 허용한 권한 수준을 검토합니다.

  • FP: 조사 후 앱에 조직 내 정당한 비즈니스 용도가 있음을 확인할 수 있는 경우입니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 최근에 만든 앱과 사용된 사용자 에이전트를 검토합니다.
  2. 앱에서 수행한 모든 활동을 검토합니다. 
  3. 앱에서 승인한 범위를 검토합니다. 

비정상적인 사용자 에이전트가 있는 앱은 Exchange Web Services를 통해 전자 메일 데이터에 액세스했습니다.

심각도: 높음

MITRE ID: T1114, T1567

이 검색은 비정상적인 사용자 에이전트를 사용하여 Exchange 웹 서비스 API를 사용하여 전자 메일 데이터에 액세스하는 OAuth 앱을 식별합니다.

TP일까요, FP일까요?

  • TP: OAuth 애플리케이션이 Exchange Web Services API에 대한 요청을 만드는 데 사용하는 사용자 에이전트를 변경할 것으로 예상되지 않는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 경고를 TP로 분류합니다. 조사에 따라 앱이 악의적인 경우 동의를 취소하고 테넌트에서 앱을 사용하지 않도록 설정할 수 있습니다. 손상된 앱인 경우 동의를 취소하고, 앱을 일시적으로 사용하지 않도록 설정하고, 권한을 검토하고, 비밀 및 인증서를 다시 설정한 다음, 앱을 다시 사용하도록 설정할 수 있습니다.

  • FP: 조사 후 애플리케이션에서 사용하는 사용자 에이전트가 organization 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 FP로 분류합니다. 또한 경고 조사에 따라 피드백을 공유하는 것이 좋습니다.

위반 범위 이해하기

  1. 애플리케이션이 새로 만들어졌거나 최근에 변경한 내용을 검토합니다.
  2. 애플리케이션에 부여된 권한 및 애플리케이션에 동의한 사용자를 검토합니다.
  3. 앱에서 수행한 모든 활동을 검토합니다.

횡적 이동 경고

이 섹션에서는 악의적인 행위자가 여러 시스템 및 계정을 피벗하여 organization 더 많은 제어권을 확보하면서 여러 리소스 내에서 횡적으로 이동하려고 시도할 수 있음을 나타내는 경고에 대해 설명합니다.

최근 ARM 워크로드에 액세스하는 것으로 보이는 MS Graph 또는 Exchange Web Services를 주로 사용하는 휴면 OAuth 앱

심각도: 보통

MITRE ID: T1078.004

이 검색은 오랜 기간의 휴면 작업 후에 처음으로 Azure Resource Manager API에 액세스하기 시작한 테넌트의 애플리케이션을 식별합니다. 이전에는 이 애플리케이션이 대부분 MS Graph 또는 Exchange 웹 서비스를 사용했습니다.

TP일까요, FP일까요?

  • TP: 앱을 알 수 없거나 사용하지 않는 경우 지정된 활동이 잠재적으로 의심스럽고 사용 중인 Azure 리소스를 확인하고 테넌트에서 앱 사용의 유효성을 검사한 후 앱을 사용하지 않도록 설정해야 할 수 있습니다.

    권장 작업:

    1. 애플리케이션에서 액세스하거나 만든 Azure 리소스와 애플리케이션에 대한 최근 변경 내용을 검토합니다.
    2. 이 앱에서 요청하고, 사용자가 액세스를 허용한 권한 수준을 검토합니다.
    3. 조사에 따라 이 앱에 대한 액세스를 금지할지 여부를 선택합니다.

  • FP: 조사 후 앱이 organization 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱의 액세스 및 활동을 검토합니다.
  2. 앱이 만든 이후 앱에서 수행한 모든 활동을 검토합니다.
  3. Graph API 앱에서 부여한 범위와 구독에서 부여된 역할을 검토합니다.
  4. 활동 전에 앱에 액세스했을 수 있는 사용자를 검토합니다.

컬렉션 경고

이 섹션에서는 악의적인 행위자가 조직에서 목적을 이루기 위한 관련 데이터를 수집하려는 시도를 나타내는 경고에 대해 설명합니다.

앱이 비정상적인 전자 메일 검색 활동을 수행했습니다.

심각도: 보통

MITRE ID: T1114

이 검색은 앱이 의심스러운 OAuth scope 동의하고 Graph API 통해 특정 콘텐츠에 대한 이메일 검색과 같은 비정상적인 전자 메일 검색 활동을 대량으로 수행한 시기를 식별합니다. 이는 organization Graph API 통해 특정 전자 메일을 검색하고 읽으려는 악의적 사용자와 같은 organization 위반을 나타낼 수 있습니다. 

TP일까요, FP일까요?

  • TP: 의심스러운 OAuth scope 있는 OAuth 앱에서 Graph API 통해 비정상적인 전자 메일 검색 및 읽기 활동을 대량으로 확인할 수 있고 앱을 알 수 없는 원본에서 배달할 수 있는 경우

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 재설정하고, 받은 편지함 규칙을 제거합니다. 

  • FP: 앱이 비정상적인 전자 메일 검색을 대량으로 수행했는지 확인하고 합법적인 이유로 Graph API 읽습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 승인한 범위를 검토합니다.
  2. 앱에서 수행한 모든 활동을 검토합니다. 

앱에서 전자 메일을 읽기 위해 비정상적인 그래프 호출을 수행함

심각도: 보통

MITRE ID: T1114

이 탐지는 LOB(Line of Business) OAuth 앱이 Graph API를 통해 비정상적이고 많은 양의 사용자 메일 폴더 및 메시지에 액세스하는 경우를 식별하며, 이는 조직의 보안 위반 시도를 나타낼 수 있습니다.

TP일까요, FP일까요?

  • TP: LOB(Line of Business)가 비정상적인 그래프 활동을 수행했다는 사실을 확인할 수 있다면 TP(True Positive)를 표시합니다.

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 다시 설정한 다음, 앱을 다시 사용하도록 설정합니다. Microsoft Entra ID 사용하여 암호를 재설정하는 방법에 대한 자습서를 따릅니다.

  • FP: 앱이 비정상적으로 많은 양의 그래프 호출을 수행하는 게 정상이라는 사실을 확인할 수 있는 경우.

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 이 앱에서 수행한 이벤트에 대한 활동 로그를 검토하여 전자 메일을 읽고 사용자의 중요한 전자 메일 정보를 수집하려는 기타 그래프 활동을 이해합니다.
  2. 앱에 추가되는 예기치 않은 자격 증명을 모니터링합니다.

앱이 받은 편지함 규칙을 만들고 비정상적인 전자 메일 검색 활동을 만들었습니다.

심각도: 보통

MITRE ID: T1137, T1114

이 감지 기능은 높은 권한 범위에 동의한 앱을 식별하고 의심스러운 받은 편지함 규칙을 생성하며 Graph API를 통해 사용자 메일 폴더에서 비정상적인 이메일 검색 활동을 수행합니다. 이는 Graph API를 통해 조직의 특정 이메일을 검색하고 수집하려는 공격자와 같은 조직의 위반 시도를 나타낼 수 있습니다.

TP일까요, FP일까요?

  • TP: 권한 범위가 높은 OAuth 앱이 Graph API를 통해 수행한 특정 이메일 검색 및 수집을 확인할 수 있고 앱이 출처를 알 수 없는 경우입니다.

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 다시 설정하고, 받은 편지함 규칙을 제거합니다.

  • FP: 앱이 Graph API를 통해 특정 이메일 검색 및 수집을 수행하고 합법적인 이유로 새 또는 개인 외부 이메일 계정에 대한 받은 편지함 규칙을 생성했음을 확인할 수 있는 경우입니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 수행한 모든 활동을 검토합니다.
  2. 앱에서 승인한 범위를 검토합니다.
  3. 앱에서 만든 받은 편지함 규칙 작업을 검토합니다.
  4. 앱에서 수행한 전자 메일 검색 활동을 검토합니다.

앱이 OneDrive/SharePoint 검색 작업을 수행하고 받은 편지함 규칙을 만들었습니다.

심각도: 보통

MITRE ID: T1137, T1213

이 감지 기능은 앱이 높은 권한 범위에 동의하고, 의심스러운 메일에 대해 받은 편지함 규칙을 만들며, Graph API를 통해 비정상적인 SharePoint 또는 OneDrive 검색 활동을 수행했음을 식별합니다. 이는 Graph API를 통해 조직의 SharePoint 또는 OneDrive에서 특정 데이터를 검색 및 수집하려는 공격자와 같은 조직의 침해 시도를 나타낼 수 있습니다. 

TP일까요, FP일까요?

  • TP: 높은 권한 scope OAuth 앱에서 Graph API 통해 수행된 SharePoint 또는 OneDrive 검색 및 컬렉션에서 특정 데이터를 확인할 수 있고 알 수 없는 원본에서 앱이 전달되는 경우 

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 재설정하고, 받은 편지함 규칙을 제거합니다. 

  • FP: 앱이 OAuth 앱의 Graph API 통해 SharePoint 또는 OneDrive 검색 및 컬렉션에서 특정 데이터를 수행하고 합법적인 이유로 새 또는 개인 외부 전자 메일 계정에 받은 편지함 규칙을 만들었는지 확인할 수 있는 경우 

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 수행한 모든 활동을 검토합니다. 
  2. 앱에서 승인한 범위를 검토합니다. 
  3. 앱에서 만든 받은 편지함 규칙 작업을 검토합니다. 
  4. 앱에서 수행한 모든 SharePoint 또는 OneDrive 검색 활동을 검토합니다.

앱은 OneDrive에서 수많은 검색 및 편집을 했습니다.

심각도: 보통

MITRE ID: T1137, T1213

이 검색은 Graph API 사용하여 OneDrive에서 많은 수의 검색 및 편집을 수행하는 높은 권한 권한이 있는 OAuth 앱을 식별합니다.

TP일까요, FP일까요?

  • TP: OneDrive를 읽고 쓸 수 있는 높은 권한 권한이 있는 이 OAuth 애플리케이션에서 Graph API 통한 OneDrive 워크로드의 높은 사용량을 확인할 수 있는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 조사에 따라 애플리케이션이 악의적인 경우 동의를 취소하고 테넌트에서 애플리케이션을 사용하지 않도록 설정할 수 있습니다. 손상된 애플리케이션인 경우 동의를 취소하고, 앱을 일시적으로 사용하지 않도록 설정하고, 필요한 권한을 검토하고, 암호를 재설정한 다음, 앱을 다시 사용하도록 설정할 수 있습니다.

  • FP: 조사 후 앱에 조직 내 정당한 비즈니스 용도가 있음을 확인할 수 있는 경우입니다.

    권장 작업: 경고를 해결하고 결과를 보고합니다.

위반 범위 이해하기

  1. 앱이 신뢰할 수 있는 원본에서 온 것인지 확인합니다.
  2. 애플리케이션이 새로 만들어졌는지 또는 최근에 변경했는지 확인합니다.
  3. 애플리케이션에 부여된 권한 및 애플리케이션에 동의한 사용자를 검토합니다.
  4. 다른 모든 앱 활동을 조사합니다.

앱에서 많은 양의 중요도 메일을 읽고 받은 편지함 규칙을 만들었습니다.

심각도: 보통

MITRE ID: T1137, T1114

이 탐지는 앱이 높은 권한 범위에 동의하고 의심스러운 받은 편지함 규칙을 만들고 Graph API를 통해 중요한 메일 읽기 작업을 대량으로 수행했음을 나타냅니다. 이는 공격자가 Graph API를 통해 조직의 중요도가 높은 전자 메일을 읽으려고 시도하는 것과 같은 조직 침해 시도가 있었음을 나타낼 수 있습니다. 

TP일까요, FP일까요?

  • TP: 높은 권한 scope 있는 OAuth 앱에서 Graph API 통해 읽은 중요한 전자 메일의 양이 많고 알 수 없는 원본에서 앱이 배달되는지 확인할 수 있는 경우 

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 재설정하고, 받은 편지함 규칙을 제거합니다. 

  • FP: 앱이 Graph API 통해 읽은 중요한 전자 메일을 대량으로 수행하고 합법적인 이유로 새 또는 개인 외부 전자 메일 계정에 받은 편지함 규칙을 만들었는지 확인할 수 있는 경우 

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 수행한 모든 활동을 검토합니다. 
  2. 앱에서 승인한 범위를 검토합니다. 
  3. 앱에서 만든 받은 편지함 규칙 작업을 검토합니다. 
  4. 앱에서 수행하는 중요도가 높은 전자 메일 읽기 활동을 검토합니다.

권한 있는 앱이 Teams에서 비정상적인 활동을 수행했습니다.

심각도: 보통

이 검색은 높은 권한 OAuth 범위에 동의하고, Microsoft Teams에 액세스하고, Graph API 통해 비정상적인 양의 읽기 또는 사후 채팅 메시지 활동을 수행한 앱을 식별합니다. 이는 Graph API 통해 organization 정보를 수집하려는 악의적 사용자와 같은 organization 위반을 시도할 수 있습니다.

TP일까요, FP일까요?

  • TP: 높은 권한 scope OAuth 앱에서 Graph API 통해 Microsoft Teams에서 비정상적인 채팅 메시지 활동을 확인할 수 있고 알 수 없는 소스에서 앱이 전달되는 경우

    권장 작업: 앱 사용 안 함 및 제거 및 암호 재설정

  • FP: Graph API 통해 Microsoft Teams에서 수행된 비정상적인 활동이 합법적인 이유인지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 승인한 범위를 검토합니다.
  2. 앱에서 수행한 모든 활동을 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

새 자격 증명을 업데이트하거나 추가한 앱별 비정상적인 OneDrive 활동

심각도: 보통

MITRE ID: T1098.001, T1213

Microsoft가 아닌 클라우드 앱은 대용량 데이터 사용을 포함하여 OneDrive에 대한 비정상적인 Graph API 호출을 했습니다. 기계 학습에서 검색된 이러한 비정상적인 API 호출은 앱이 새 인증서/비밀을 추가하거나 업데이트한 후 며칠 내에 이루어졌습니다. 이 앱은 데이터 반출 또는 중요한 정보에 액세스하고 검색하려는 기타 시도와 관련이 있을 수 있습니다.

TP일까요, FP일까요?

  • TP: OneDrive 워크로드의 대용량 사용과 같은 비정상적인 활동이 Graph API 통해 앱에서 수행되었는지 확인할 수 있습니다.

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 다시 설정한 다음, 앱을 다시 사용하도록 설정합니다.

  • FP: 앱에서 비정상적인 활동이 수행되지 않거나 앱이 비정상적으로 많은 양의 Graph 호출을 수행하도록 의도된 것을 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에서 승인한 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

새 자격 증명을 업데이트하거나 추가한 앱별 비정상적인 SharePoint 작업

심각도: 보통

MITRE ID: T1098.001, T1213.002

Microsoft가 아닌 클라우드 앱은 대용량 데이터 사용을 포함하여 SharePoint에 대한 비정상적인 Graph API 호출을 했습니다. 기계 학습에서 검색된 이러한 비정상적인 API 호출은 앱이 새 인증서/비밀을 추가하거나 업데이트한 후 며칠 내에 이루어졌습니다. 이 앱은 데이터 반출 또는 중요한 정보에 액세스하고 검색하려는 기타 시도와 관련이 있을 수 있습니다.

TP일까요, FP일까요?

  • TP: SharePoint 워크로드의 대량 사용과 같은 비정상적인 활동이 Graph API 통해 앱에서 수행되었는지 확인할 수 있습니다.

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 다시 설정한 다음, 앱을 다시 사용하도록 설정합니다.

  • FP: 앱에서 비정상적인 활동이 수행되지 않거나 앱이 비정상적으로 많은 양의 Graph 호출을 수행하도록 의도된 것을 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에서 승인한 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

심각도: 보통

MITRE ID: T1114

이 검색은 이전에 의심스러운 메일 관련 활동이 있는 앱에서 관찰된 메타데이터(예: 이름, URL 또는 게시자)를 사용하여 타사 OAuth 앱에 대한 경고를 생성합니다. 이 앱은 공격 캠페인의 일부일 수 있으며 중요한 정보의 반출에 관여할 수 있습니다.

TP일까요, FP일까요?

  • TP: 앱이 사서함 규칙을 만들었거나 Exchange 워크로드에 대한 비정상적인 Graph API 호출을 많이 했는지 확인할 수 있는 경우

    권장 작업:

    • 앱 거버넌스에 대한 앱의 등록 세부 정보를 조사하고 자세한 내용은 Microsoft Entra ID 방문하세요.
    • 앱에 동의 또는 권한을 부여한 사용자 또는 관리자에게 문의하세요. 변경 내용이 의도적인지 확인합니다.
    • CloudAppEvents 고급 헌팅 테이블을 검색하여 앱 활동을 이해하고 앱에서 액세스하는 데이터를 식별합니다. 영향을 받는 사서함을 확인하고 앱 자체 또는 앱이 만든 규칙에서 읽거나 전달했을 수 있는 메시지를 검토합니다.
    • 포함 작업을 고려하기 전에 앱이 organization 중요한지 확인합니다. 앱 거버넌스 또는 Microsoft Entra ID 사용하여 앱을 비활성화하여 리소스에 액세스하지 못하도록 합니다. 기존 앱 거버넌스 정책은 이미 앱을 비활성화했을 수 있습니다.

  • FP: 앱에서 비정상적인 활동이 수행되지 않았으며 앱이 organization 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에 부여된 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

수많은 전자 메일에 액세스하는 EWS 애플리케이션 권한이 있는 앱

심각도: 보통

MITRE ID: T1114

이 검색은 EWS 애플리케이션 권한이 있는 다중 테넌트 클라우드 앱에 대한 경고를 생성하여 전자 메일 열거 및 수집과 관련된 Exchange Web Services API에 대한 호출이 크게 증가합니다. 이 앱은 중요한 전자 메일 데이터에 액세스하고 검색하는 데 관여할 수 있습니다.

TP일까요, FP일까요?

  • TP: 앱이 중요한 전자 메일 데이터에 액세스했거나 Exchange 워크로드에 대해 많은 수의 비정상적인 호출을 했는지 확인할 수 있는 경우

    권장 작업:

    • 앱 거버넌스에 대한 앱의 등록 세부 정보를 조사하고 자세한 내용은 Microsoft Entra ID 방문하세요.
    • 앱에 동의 또는 권한을 부여한 사용자 또는 관리자에게 문의하세요. 변경 내용이 의도적인지 확인합니다.
    • CloudAppEvents 고급 헌팅 테이블을 검색하여 앱 활동을 이해하고 앱에서 액세스하는 데이터를 식별합니다. 영향을 받는 사서함을 확인하고 앱 자체 또는 앱이 만든 규칙에서 읽거나 전달했을 수 있는 메시지를 검토합니다.
    • 포함 작업을 고려하기 전에 앱이 organization 중요한지 확인합니다. 앱 거버넌스 또는 Microsoft Entra ID 사용하여 앱을 비활성화하여 리소스에 액세스하지 못하도록 합니다. 기존 앱 거버넌스 정책은 이미 앱을 비활성화했을 수 있습니다.

  • FP: 앱에서 비정상적인 활동이 수행되지 않았으며 앱이 organization 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에 부여된 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

사용되지 않는 앱에서 API에 새로 액세스

심각도: 보통

MITRE ID: T1530

이 검색은 한동안 비활성 상태이며 최근에 API 호출을 시작한 다중 테넌트 클라우드 앱에 대한 경고를 생성합니다. 공격자가 이 앱을 손상하고 중요한 데이터에 액세스하고 검색하는 데 사용될 수 있습니다.

TP일까요, FP일까요?

  • TP: 앱이 중요한 데이터에 액세스했거나 Microsoft Graph, Exchange 또는 Azure Resource Manager 워크로드에 대해 많은 수의 비정상적인 호출을 했는지 확인할 수 있는 경우

    권장 작업:

    • 앱 거버넌스에 대한 앱의 등록 세부 정보를 조사하고 자세한 내용은 Microsoft Entra ID 방문하세요.
    • 앱에 동의 또는 권한을 부여한 사용자 또는 관리자에게 문의하세요. 변경 내용이 의도적인지 확인합니다.
    • CloudAppEvents 고급 헌팅 테이블을 검색하여 앱 활동을 이해하고 앱에서 액세스하는 데이터를 식별합니다. 영향을 받는 사서함을 확인하고 앱 자체 또는 앱이 만든 규칙에서 읽거나 전달했을 수 있는 메시지를 검토합니다.
    • 포함 작업을 고려하기 전에 앱이 organization 중요한지 확인합니다. 앱 거버넌스 또는 Microsoft Entra ID 사용하여 앱을 비활성화하여 리소스에 액세스하지 못하도록 합니다. 기존 앱 거버넌스 정책은 이미 앱을 비활성화했을 수 있습니다.

  • FP: 앱에서 비정상적인 활동이 수행되지 않았으며 앱이 organization 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해하기

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에 부여된 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

영향 경고

이 섹션에서는 악의적인 행위자가 organization 시스템 및 데이터를 조작, 중단 또는 삭제하려고 시도할 수 있음을 나타내는 경고에 대해 설명합니다.

가상 머신 만들기에서 비정상적인 급증을 시작하는 Entra 기간 업무 앱

심각도: 보통

MITRE ID: T1496

이 검색은 Azure Resource Manager API를 사용하여 테넌트에서 대량의 Azure Virtual Machines 만드는 단일 테넌트 새 OAuth 애플리케이션을 식별합니다.

TP일까요, FP일까요?

  • TP: OAuth 앱이 최근에 만들어졌으며 테넌트에서 많은 수의 Virtual Machines 만들고 있는지 확인할 수 있는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 만든 가상 머신 및 애플리케이션에 대한 최근 변경 내용을 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청하고, 사용자가 액세스를 허용한 권한 수준을 검토합니다.

  • FP: 조사 후 앱에 조직 내 정당한 비즈니스 용도가 있음을 확인할 수 있는 경우입니다.

    권장 작업: 경고를 해제합니다.

위반의 scope 이해합니다.

  1. 최근에 만든 앱과 생성된 VM을 검토합니다.
  2. 앱이 만든 이후 앱에서 수행한 모든 활동을 검토합니다.
  3. Graph API 앱에서 부여한 범위와 구독에서 부여된 역할을 검토합니다.

Microsoft Graph에서 높은 scope 권한이 있는 OAuth 앱이 가상 머신 만들기를 시작하는 것으로 확인되었습니다.

심각도: 보통

MITRE ID: T1496

이 검색은 활동 전에 MS Graph API 통해 테넌트에서 높은 권한을 가지면서 Azure Resource Manager API를 사용하여 테넌트에서 대량의 Azure Virtual Machines 만드는 OAuth 애플리케이션을 식별합니다.

TP일까요, FP일까요?

  • TP: 높은 권한 범위를 가진 OAuth 앱이 생성되었고 테넌트에서 많은 수의 Virtual Machines 만드는 것을 확인할 수 있는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 만든 가상 머신 및 애플리케이션에 대한 최근 변경 내용을 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청하고, 사용자가 액세스를 허용한 권한 수준을 검토합니다.

  • FP: 조사 후 앱에 조직 내 정당한 비즈니스 용도가 있음을 확인할 수 있는 경우입니다.

    권장 작업: 경고를 해제합니다.

위반의 scope 이해합니다.

  1. 최근에 만든 앱과 생성된 VM을 검토합니다.
  2. 앱이 만든 이후 앱에서 수행한 모든 활동을 검토합니다.
  3. Graph API 앱에서 부여한 범위와 구독에서 부여된 역할을 검토합니다.

다음 단계

앱 거버넌스 경고 관리