Del via

Undersøk varsler om trusselregistrering for appstyring

  • Artikkel

Appstyring gir sikkerhetsgjenkjenninger og varsler for ondsinnede aktiviteter. Denne artikkelen viser detaljer for hvert varsel som kan hjelpe deg med etterforskningen og utbedringen, inkludert betingelsene for utløsing av varsler. Siden trusseldeteksjoner er ikke-ubestemte av natur, utløses de bare når det er atferd som avviker fra normen.

Hvis du vil ha mer informasjon, kan du se Appstyring i Microsoft Defender for Cloud Apps

Obs!

Trusselregistreringer for appstyring er basert på å telle aktiviteter på data som er forbigående og kanskje ikke lagres, derfor kan varsler gi antall aktiviteter eller indikasjoner på pigger, men ikke nødvendigvis alle relevante data. Spesielt for OAuth apps Graph API-aktiviteter kan selve aktivitetene overvåkes av leieren ved hjelp av Log Analytics og Sentinel.

Hvis du vil ha mer informasjon, kan du se:

Generelle undersøkelsestrinn

Hvis du vil finne varsler som er spesielt relatert til appstyring, kan du gå til siden for varsler i XDR-portalen. Bruk feltet Tjeneste/gjenkjenningskilder i listen over varsler til å filtrere varsler. Angi verdien for dette feltet til «Appstyring» for å vise alle varsler som genereres av App Governance.

Generelle retningslinjer

Bruk følgende generelle retningslinjer når du undersøker en hvilken som helst type varsel for å få en klarere forståelse av den potensielle trusselen før du bruker den anbefalte handlingen.

  • Se gjennom alvorsgradnivået for appen, og sammenlign med resten av appene i leieren. Denne gjennomgangen hjelper deg med å identifisere hvilke apper i leieren som utgjør en større risiko.

  • Hvis du identifiserer en TP, kan du se gjennom alle appaktivitetene for å få en forståelse av virkningen. Se for eksempel gjennom følgende appinformasjon:

    • Omfang gitt tilgang
    • Uvanlig oppførsel
    • IP-adresse og plassering

Klassifisering av sikkerhetsvarsel

Etter riktig undersøkelse kan alle varsler om appstyring klassifiseres som én av følgende aktivitetstyper:

  • Sann positiv (TP): Et varsel om en bekreftet ondsinnet aktivitet.
  • Godartet sann positiv (B-TP): Et varsel om mistenkelig, men ikke ondsinnet aktivitet, for eksempel en penetrasjonstest eller annen autorisert mistenkelig handling.
  • Usann positiv (FP): Et varsel om en ikke-skadelig aktivitet.

MITRE ATT&CK

For å gjøre det enklere å kartlegge relasjonen mellom appstyringsvarsler og den kjente MITRE ATT-&CK Matrix, har vi kategorisert varslene etter deres tilsvarende MITRE ATT-&CK-taktikk. Denne ekstra referansen gjør det enklere å forstå den mistenkte angrepsteknikken som potensielt er i bruk når varsel om appstyring utløses.

Denne veiledningen gir informasjon om hvordan du undersøker og utbedrer varsler om appstyring i følgende kategorier.

Innledende tilgangsvarsler

Denne delen beskriver varsler som angir at en skadelig app kanskje prøver å opprettholde sitt fotfeste i organisasjonen.

Appen omdirigeres til nettadresse for phishing ved å utnytte sikkerhetsproblemet for OAuth-omadressering

Alvorlighetsgrad: Middels

Denne gjenkjenningen identifiserer OAuth-apper som omdirigerer til phishing-nettadresser ved å utnytte svartypeparameteren i OAuth-implementeringen gjennom Microsoft Graph-API-en.

TP eller FP?

  • TP: Hvis du kan bekrefte at OAuth-appen ble levert fra en ukjent kilde, inneholder svartypen for nettadressen for svar etter samtykke til OAuth-appen en ugyldig forespørsel, og omadresseres til en ukjent eller uklarert nettadresse for svar.

    Anbefalt handling: Deaktivere og fjerne appen, tilbakestille passordet og fjerne innboksregelen. 

  • FP: Hvis du etter undersøkelsen kan bekrefte at appen har en legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som er utført av appen. 
  2. Se gjennom omfangene som er gitt av appen. 

OAuth-app med mistenkelig url-adresse for svar

Alvorlighetsgrad: Middels

Denne gjenkjenningen identifiserer en OAuth-app som har fått tilgang til en mistenkelig nettadresse for svar gjennom Microsoft Graph-API-en.

TP eller FP?

  • TP: Hvis du kan bekrefte at OAuth-appen leveres fra en ukjent kilde og omdirigeres til en mistenkelig nettadresse, angis en sann positiv. En mistenkelig nettadresse er en der omdømmet til nettadressen er ukjent, ikke klarert, eller hvis domene nylig ble registrert, og appforespørselen er for et område med høy tilgang.

    Anbefalt handling: Se gjennom nettadressen for svar, domener og omfang som appen ber om. Basert på undersøkelsen kan du velge å forby tilgang til denne appen. Se gjennom tilgangsnivået som denne appen ber om, og hvilke brukere som får tilgang.

    Hvis du vil forby tilgang til appen, kan du gå til den relevante fanen for appen på siden for appstyring . Velg forbudsikonet på raden der appen du vil forby, vises. Du kan velge om du vil fortelle brukerne at appen de installerte og autoriserte, er utestengt. Varselet gir brukerne beskjed om at appen vil bli deaktivert, og de har ikke tilgang til den tilkoblede appen. Hvis du ikke vil at de skal vite det, fjerner du merkingen for Varsle brukere som har gitt tilgang til denne forbudte appen i dialogboksen. Vi anbefaler at du lar appbrukerne få vite at appen deres er i ferd med å bli utestengt fra bruk.

  • FP: Hvis du etter undersøkelsen kan bekrefte at appen har en legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom appene som nylig er opprettet, og svar-nettadressene deres.

  2. Se gjennom alle aktiviteter som er utført av appen. 

  3. Se gjennom omfangene som er gitt av appen. 

Alvorlighetsgrad: Lav

Denne gjenkjenningen identifiserer en OAuth-app som nylig ble opprettet og funnet å ha lav samtykkefrekvens. Dette kan indikere en ondsinnet eller risikabel app som lokker brukere i ulovlig samtykketilskudd.

TP eller FP?

  • TP: Hvis du kan bekrefte at OAuth-appen leveres fra en ukjent kilde, angis en sann positiv.

    Anbefalt handling: Se gjennom visningsnavnet, svar-nettadresser og domener i appen. Basert på undersøkelsen kan du velge å forby tilgang til denne appen. Se gjennom tilgangsnivået som denne appen ber om, og hvilke brukere som har fått tilgang.

  • FP: Hvis du etter undersøkelsen kan bekrefte at appen har en legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som er utført av appen.
  2. Hvis du mistenker at en app er mistenkelig, anbefaler vi at du undersøker appens navn og svardomene i forskjellige appbutikker. Når du kontrollerer app-butikker, kan du fokusere på følgende typer apper:
    • Apper som nylig er opprettet
    • App med uvanlig visningsnavn
    • Apper med et mistenkelig svardomene
  3. Hvis du fortsatt mistenker at en app er mistenkelig, kan du undersøke appens visningsnavn og svardomene.

App med dårlig omdømme for nettadresse

Alvorlighetsgrad: Middels

Denne gjenkjenningen identifiserer en OAuth-app som ble funnet å ha ugyldig url-omdømme.

TP eller FP?

  • TP: Hvis du kan bekrefte at OAuth-appen leveres fra en ukjent kilde og omdirigeres til en mistenkelig nettadresse, angis en sann positiv.

    Anbefalt handling: Se gjennom nettadressene, domenene og omfangene som appen ber om. Basert på undersøkelsen kan du velge å forby tilgang til denne appen. Se gjennom tilgangsnivået som denne appen ber om, og hvilke brukere som har gitt tilgang.

  • FP: Hvis du etter undersøkelsen kan bekrefte at appen har en legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som er utført av appen.
  2. Hvis du mistenker at en app er mistenkelig, anbefaler vi at du undersøker appens navn og svardomene i forskjellige appbutikker. Når du kontrollerer app-butikker, kan du fokusere på følgende typer apper:
    • Apper som nylig er opprettet
    • App med uvanlig visningsnavn
    • Apper med et mistenkelig svardomene
  3. Hvis du fortsatt mistenker at en app er mistenkelig, kan du undersøke appens visningsnavn og svardomene.

Alvorlighetsgrad: Middels

Beskrivelse: Denne gjenkjenningen identifiserer OAuth-apper med tegn, for eksempel Unicode eller kodede tegn, forespurt for mistenkelige samtykkeomfang og som fikk tilgang til brukeres e-postmapper gjennom Graph API-en. Dette varselet kan indikere et forsøk på å kamuflere en skadelig app som en kjent og pålitelig app, slik at motstandere kan villede brukerne til å samtykke til den skadelige appen.

TP eller FP?

  • TP: Hvis du kan bekrefte at OAuth-appen har kodet visningsnavnet med mistenkelige omfang levert fra en ukjent kilde, angis en sann positiv.

    Anbefalt handling: Se gjennom tilgangsnivået som denne appen ber om, og hvilke brukere som har fått tilgang. Basert på undersøkelsen kan du velge å forby tilgang til denne appen.

    Hvis du vil forby tilgang til appen, kan du gå til den relevante fanen for appen på siden for appstyring . Velg forbudsikonet på raden der appen du vil forby, vises. Du kan velge om du vil fortelle brukerne at appen de installerte og autoriserte, er utestengt. Varselet gir brukerne beskjed om at appen vil bli deaktivert, og de har ikke tilgang til den tilkoblede appen. Hvis du ikke vil at de skal vite det, fjerner du merkingen for Varsle brukere som har gitt tilgang til denne forbudte appen i dialogboksen. Vi anbefaler at du lar appbrukerne få vite at appen deres er i ferd med å bli utestengt fra bruk.

  • FP: Hvis du skal bekrefte at appen har et kodet navn, men har en legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

Følg opplæringen om hvordan du undersøker risikable OAuth-apper.

OAuth-app med leseomfang har mistenkelig url-adresse for svar

Alvorlighetsgrad: Middels

Beskrivelse: Denne gjenkjenningen identifiserer en OAuth-app med bare leseomfang, for eksempel User.Read, Folk. Les, Kontakter.Les, E-post.Les, Kontakter.Les. Delte omadresseringer til mistenkelig nettadresse for svar via Graph API. Denne aktiviteten forsøker å indikere at skadelig app med færre tillatelser (for eksempel leseomfang) kan utnyttes til å utføre brukerkontorekognosering.

TP eller FP?

  • TP: Hvis du kan bekrefte at OAuth-appen med leseomfang leveres fra en ukjent kilde og omdirigeres til en mistenkelig nettadresse, angis en sann positiv.

    Anbefalt handling: Se gjennom nettadressen for svar og omfang forespurt av appen. Basert på undersøkelsen kan du velge å forby tilgang til denne appen. Se gjennom tilgangsnivået som denne appen ber om, og hvilke brukere som har gitt tilgang.

    Hvis du vil forby tilgang til appen, kan du gå til den relevante fanen for appen på siden for appstyring . Velg forbudsikonet på raden der appen du vil forby, vises. Du kan velge om du vil fortelle brukerne at appen de installerte og autoriserte, er utestengt. Varselet gir brukerne beskjed om at appen vil bli deaktivert, og de har ikke tilgang til den tilkoblede appen. Hvis du ikke vil at de skal vite det, fjerner du merkingen for Varsle brukere som har gitt tilgang til denne forbudte appen i dialogboksen. Vi anbefaler at du lar appbrukerne få vite at appen deres er i ferd med å bli utestengt fra bruk.

  • B-TP: Hvis du etter undersøkelsen kan bekrefte at appen har en legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som er utført av appen.
  2. Hvis du mistenker at en app er mistenkelig, anbefaler vi at du undersøker appens navn og nettadresse for svar i forskjellige appbutikker. Når du kontrollerer app-butikker, kan du fokusere på følgende typer apper:
    • Apper som nylig er opprettet.
    • Apper med en mistenkelig nettadresse for svar
    • Apper som ikke nylig er oppdatert. Mangel på oppdateringer kan indikere at appen ikke lenger støttes.
  3. Hvis du fortsatt mistenker at en app er mistenkelig, kan du undersøke navnet på appen, utgivernavnet og nettadressen for svar på nettet

App med uvanlig visningsnavn og uvanlig TLD i svardomenet

Alvorlighetsgrad: Middels

Denne gjenkjenningen identifiserer appen med uvanlig visningsnavn og omdirigerer til mistenkelig svardomene med et uvanlig toppdomene (TLD) gjennom Graph API. Dette kan indikere et forsøk på å kamuflere en skadelig eller risikabel app som en kjent og pålitelig app, slik at motstandere kan villede brukerne til å samtykke til deres ondsinnede eller risikable app. 

TP eller FP?

  • TP: Hvis du kan bekrefte at appen med uvanlig visningsnavn leveres fra en ukjent kilde og omdirigeres til et mistenkelig domene med uvanlig toppnivådomene

    Anbefalt handling: Se gjennom visningsnavnet og svardomenet for appen. Basert på undersøkelsen kan du velge å forby tilgang til denne appen. Se gjennom tilgangsnivået som denne appen ber om, og hvilke brukere som har fått tilgang.

  • FP: Hvis du etter undersøkelsen kan bekrefte at appen har en legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

Se gjennom alle aktiviteter som er utført av appen. Hvis du mistenker at en app er mistenkelig, anbefaler vi at du undersøker appens navn og svardomene i forskjellige appbutikker. Når du kontrollerer app-butikker, kan du fokusere på følgende typer apper:

  • Apper som nylig er opprettet
  • App med uvanlig visningsnavn
  • Apper med et mistenkelig svardomene

Hvis du fortsatt mistenker at en app er mistenkelig, kan du undersøke appens visningsnavn og svardomene.

Alvorlighetsgrad: Middels

Denne gjenkjenningen identifiserer OAuth-apper som nylig ble opprettet i relativt nye utgiverleier med følgende egenskaper:

  • Tillatelser til å få tilgang til eller endre postboksinnstillinger
  • Relativt lav samtykkerate, som kan identifisere uønskede eller skadelige apper som forsøker å få samtykke fra intetanende brukere

TP eller FP?

  • TP: Hvis du kan bekrefte at samtykkeforespørselen til appen ble levert fra en ukjent eller ekstern kilde, og appen ikke har en legitim forretningsbruk i organisasjonen, angis en sann positiv.

    Anbefalt handling:

    • Kontakt brukere og administratorer som har gitt samtykke til denne appen for å bekrefte at dette var tilsiktet, og de overflødige rettighetene er normale.
    • Undersøk appaktivitet og kontroller berørte kontoer for mistenkelig aktivitet.
    • Deaktiver appen basert på undersøkelsen, og avvis og tilbakestill passord for alle berørte kontoer.
    • Klassifiser varselet som en sann positiv.

  • FP: Hvis du etter undersøkelsen kan bekrefte at appen har en legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Klassifiser varselet som en falsk positiv og vurder å dele tilbakemeldinger basert på undersøkelsen av varselet.

Forstå omfanget av bruddet

Se gjennom samtykketilskudd til programmet som er gjort av brukere og administratorer. Undersøk alle aktiviteter som er utført av appen, spesielt tilgang til postboksen til tilknyttede brukere og administratorkontoer. Hvis du mistenker at appen er mistenkelig, kan du vurdere å deaktivere programmet og rotere legitimasjonen for alle berørte kontoer.

Alvorlighetsgrad: Middels

Dette varselet identifiserer OAuth-apper som nylig er registrert i en relativt ny utgiverleier med tillatelse til å endre postboksinnstillinger og få tilgang til e-postmeldinger. Den bekrefter også om appen har en relativt lav global samtykkerate og foretar en rekke kall til Microsoft Graph API for å få tilgang til e-postmeldinger fra samtykkende brukere. Apper som utløser dette varselet, kan være uønskede eller skadelige apper som prøver å få samtykke fra intetanende brukere.

TP eller FP?

  • TP: Hvis du kan bekrefte at samtykkeforespørselen til appen ble levert fra en ukjent eller ekstern kilde, og appen ikke har en legitim forretningsbruk i organisasjonen, angis en sann positiv.

    Anbefalt handling:

    • Kontakt brukere og administratorer som har gitt samtykke til denne appen for å bekrefte at dette var tilsiktet, og de overflødige rettighetene er normale.
    • Undersøk appaktivitet og kontroller berørte kontoer for mistenkelig aktivitet.
    • Deaktiver appen basert på undersøkelsen, og avvis og tilbakestill passord for alle berørte kontoer.
    • Klassifiser varselet som en sann positiv.

  • FP: Hvis du etter undersøkelsen kan bekrefte at appen har en legitim forretningsbruk i organisasjonen, angis en falsk positiv verdi.

    Anbefalt handling: Klassifiser varselet som en falsk positiv og vurder å dele tilbakemeldinger basert på undersøkelsen av varselet.

Forstå omfanget av bruddet

Se gjennom samtykketilskudd til programmet som er gjort av brukere og administratorer. Undersøk alle aktiviteter som er utført av appen, spesielt tilgang til postboksene til tilknyttede brukere og administratorkontoer. Hvis du mistenker at appen er mistenkelig, kan du vurdere å deaktivere programmet og rotere legitimasjonen for alle berørte kontoer.

Mistenkelig app med e-posttillatelser som sender flere e-postmeldinger

Alvorlighetsgrad: Middels

Dette varselet finner flertenant OAuth-apper som har gjort mange kall til Microsoft Graph API for å sende e-postmeldinger innen kort tid. Den bekrefter også om API-kall har resultert i feil og mislykkede forsøk på å sende e-postmeldinger. Apper som utløser dette varselet, kan aktivt sende søppelpost eller skadelige e-postmeldinger til andre mål.

TP eller FP?

  • TP: Hvis du kan bekrefte at samtykkeforespørselen til appen ble levert fra en ukjent eller ekstern kilde, og appen ikke har en legitim forretningsbruk i organisasjonen, angis en sann positiv.

    Anbefalt handling:

    • Kontakt brukere og administratorer som har gitt samtykke til denne appen for å bekrefte at dette var tilsiktet, og de overflødige rettighetene er normale.
    • Undersøk appaktivitet og kontroller berørte kontoer for mistenkelig aktivitet.
    • Deaktiver appen basert på undersøkelsen, og avvis og tilbakestill passord for alle berørte kontoer.
    • Klassifiser varselet som en sann positiv.

  • FP: Hvis du etter undersøkelsen kan bekrefte at appen har en legitim forretningsbruk i organisasjonen, angis en falsk positiv verdi.

    Anbefalt handling: Klassifiser varselet som en falsk positiv og vurder å dele tilbakemeldinger basert på undersøkelsen av varselet.

Forstå omfanget av bruddet

Se gjennom samtykketilskudd til programmet som er gjort av brukere og administratorer. Undersøk alle aktiviteter som er utført av appen, spesielt tilgang til postboksen til tilknyttede brukere og administratorkontoer. Hvis du mistenker at appen er mistenkelig, kan du vurdere å deaktivere programmet og rotere legitimasjonen for alle berørte kontoer.

Mistenkelig OAuth-app som brukes til å sende en rekke e-postmeldinger

Alvorlighetsgrad: Middels

Dette varselet angir en OAuth-app som har gjort mange kall til Microsoft Graph API for å sende e-postmeldinger innen kort tid. Appens utgiverleier er kjent for å gyte et høyt volum av OAuth-apper som foretar lignende Microsoft Graph API-kall. En angriper kan aktivt bruke denne appen til å sende søppelpost eller skadelige e-postmeldinger til målene sine.

TP eller FP?

  • TP: Hvis du kan bekrefte at samtykkeforespørselen til appen ble levert fra en ukjent eller ekstern kilde, og appen ikke har en legitim forretningsbruk i organisasjonen, angis en sann positiv.

    Anbefalt handling:

    • Kontakt brukere og administratorer som har gitt samtykke til denne appen for å bekrefte at dette var tilsiktet, og de overflødige rettighetene er normale.
    • Undersøk appaktivitet og kontroller berørte kontoer for mistenkelig aktivitet.
    • Deaktiver appen basert på undersøkelsen, og avvis og tilbakestill passord for alle berørte kontoer.
    • Klassifiser varselet som en sann positiv.

  • FP: Hvis du etter undersøkelsen kan bekrefte at appen har en legitim forretningsbruk i organisasjonen, angis en falsk positiv verdi.

    Anbefalt handling: Klassifiser varselet som en falsk positiv og vurder å dele tilbakemeldinger basert på undersøkelsen av varselet.

Forstå omfanget av bruddet

Se gjennom samtykketilskudd til programmet som er gjort av brukere og administratorer. Undersøk alle aktiviteter som er utført av appen, spesielt tilgang til postboksen til tilknyttede brukere og administratorkontoer. Hvis du mistenker at appen er mistenkelig, kan du vurdere å deaktivere programmet og rotere legitimasjonen for alle berørte kontoer.

Varsler om vedvarende frekvens

Denne delen beskriver varsler som angir at en ondsinnet aktør kanskje prøver å opprettholde sitt fotfeste i organisasjonen.

App gjorde uregelmessige Graph-kall til Exchange-arbeidsbelastning etter sertifikatoppdatering eller tillegg av ny legitimasjon

Alvorlighetsgrad: Middels

MITRE-ID: T1098.001, T1114

Denne gjenkjenningen utløser et varsel når en BRANSJE-app (Line of Business) oppdaterte sertifikat/hemmeligheter eller la til ny legitimasjon, og innen få dager etter sertifikatoppdatering eller tillegg av ny legitimasjon observerte uvanlige aktiviteter eller bruk med høyt volum til Exchange-arbeidsbelastning gjennom Graph API ved hjelp av maskinlæringsalgoritmen.

TP eller FP?

  • TP: Hvis du kan bekrefte at uvanlige aktiviteter/bruk av høyt volum til Exchange-arbeidsbelastningen ble utført av LOB-appen gjennom Graph API

    Anbefal handling: Deaktiver appen midlertidig og tilbakestill passordet, og aktiver deretter appen på nytt.

  • FP: Hvis du kan bekrefte at ingen uvanlige aktiviteter ble utført av LOB-appen eller appen er ment å gjøre uvanlig høyt volum av grafkaller.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som utføres av denne appen.
  2. Se gjennom omfangene som er gitt av appen.
  3. Se gjennom brukeraktiviteten som er knyttet til denne appen.

App med mistenkelig OAuth-omfang ble flagget med høy risiko av Machine Learning-modellen, gjorde grafoppkall for å lese e-post og opprettet innboksregel

Alvorlighetsgrad: Middels

MITRE-ID: T1137.005, T1114

Denne gjenkjenningen identifiserer en OAuth-app som ble flagget med høy risiko av Machine Learning-modellen som samtykket til mistenkelige omfang, oppretter en mistenkelig innboksregel og deretter får tilgang til brukernes e-postmapper og meldinger gjennom Graph API-en. Innboksregler, for eksempel videresending av alle eller bestemte e-postmeldinger til en annen e-postkonto, og Graph-anrop for å få tilgang til e-postmeldinger og sende til en annen e-postkonto, kan være et forsøk på å eksfiltrere informasjon fra organisasjonen.

TP eller FP?

  • TP: Hvis du kan bekrefte at innboksregelen ble opprettet av en tredjepartsapp fra OAuth med mistenkelige omfang levert fra en ukjent kilde, oppdages en sann positiv.

    Anbefalt handling: Deaktivere og fjerne appen, tilbakestille passordet og fjerne innboksregelen.

Følg opplæringen om hvordan du tilbakestiller et passord ved hjelp av Microsoft Entra ID og følger opplæringen om hvordan du fjerner innboksregelen.

  • FP: Hvis du kan bekrefte at appen opprettet en innboksregel til en ny eller personlig ekstern e-postkonto av legitime årsaker.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som er utført av appen.
  2. Se gjennom omfangene som er gitt av appen.
  3. Se gjennom innboksregelhandlingen og betingelsen som er opprettet av appen.

App med mistenkelig OAuth-omfang foretatt grafoppkall for å lese e-post og opprettet innboksregel

Alvorlighetsgrad: Middels

MITRE-ID-er: T1137.005, T1114

Denne gjenkjenningen identifiserer en OAuth-app som samtykket i mistenkelig omfang, oppretter en mistenkelig innboksregel og deretter får tilgang til brukernes e-postmapper og meldinger gjennom Graph API-en. Innboksregler, for eksempel videresending av alle eller bestemte e-postmeldinger til en annen e-postkonto, og Graph-anrop for å få tilgang til e-postmeldinger og sende til en annen e-postkonto, kan være et forsøk på å eksfiltrere informasjon fra organisasjonen.

TP eller FP?

  • TP: Hvis du kan bekrefte at innboksregelen ble opprettet av en tredjepartsapp fra OAuth med mistenkelige omfang levert fra en ukjent kilde, angis en sann positiv.

    Anbefalt handling: Deaktivere og fjerne appen, tilbakestille passordet og fjerne innboksregelen.

    Følg opplæringen om hvordan du tilbakestiller et passord ved hjelp av Microsoft Entra ID og følger opplæringen om hvordan du fjerner innboksregelen.

  • FP: Hvis du kan bekrefte at appen opprettet en innboksregel til en ny eller personlig ekstern e-postkonto av legitime årsaker.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som er utført av appen.
  2. Se gjennom omfangene som er gitt av appen.
  3. Se gjennom innboksregelhandlingen og betingelsen som er opprettet av appen.

App tilgjengelig fra uvanlig plassering etter sertifikatoppdatering

Alvorlighetsgrad: Lav

MITRE-ID: T1098

Denne gjenkjenningen utløser et varsel når en BRANSJE-app (Line of Business) ble oppdatert sertifikatet /hemmeligheten, og innen få dager etter sertifikatoppdatering, åpnes appen fra uvanlig plassering som ikke ble sett nylig eller aldri åpnet tidligere.

TP eller FP?

  • TP: Hvis du kan bekrefte at LOB-appen ble åpnet fra uvanlig plassering og utførte uvanlige aktiviteter gjennom Graph API.

    Anbefal handling: Deaktiver appen midlertidig og tilbakestill passordet, og aktiver deretter appen på nytt.

  • FP: Hvis du kan bekrefte at LOB-appen er tilgjengelig fra uvanlig plassering for legitime formål og ingen uvanlige aktiviteter utført.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom all aktivitet som utføres av denne appen.
  2. Se gjennom omfangene som er gitt av appen.
  3. Se gjennom brukeraktiviteten som er knyttet til denne appen.

App åpnet fra uvanlig plassering gjort uregelmessige Graph-kall etter sertifikatoppdatering

Alvorlighetsgrad: Middels

MITRE-ID: T1098

Denne gjenkjenningen utløser et varsel når en Lob-app (Line of Business) oppdaterte sertifikatet / hemmeligheten, og innen få dager etter sertifikatoppdatering, åpnes appen fra en uvanlig plassering som ikke ble sett nylig eller aldri åpnet tidligere, og observerte uvanlige aktiviteter eller bruk gjennom Graph API ved hjelp av maskinlæringsalgoritme.

TP eller FP?

  • TP: Hvis du kan bekrefte at uvanlige aktiviteter/bruk ble utført av LOB-appen gjennom Graph API fra en uvanlig plassering.

    Anbefal handling: Deaktiver appen midlertidig og tilbakestill passordet, og aktiver deretter appen på nytt.

  • FP: Hvis du kan bekrefte at LOB-appen er tilgjengelig fra uvanlig plassering for legitime formål og ingen uvanlige aktiviteter utført.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom all aktivitet som utføres av denne appen.
  2. Se gjennom omfangene som er gitt av appen.
  3. Se gjennom brukeraktiviteten som er knyttet til denne appen.

App opprettet nylig har et høyt volum av tilbakekalte samtykker

Alvorlighetsgrad: Middels

MITRE-ID: T1566, T1098

Flere brukere har opphevet sitt samtykke til denne nylig opprettede bransjespesifikke appen (LOB) eller tredjepartsappen. Denne appen kan ha lokket brukere til å gi den samtykke utilsiktet.

TP eller FP?

  • TP: Hvis du kan bekrefte at OAuth-appen leveres fra en ukjent kilde, og appens virkemåte er mistenkelig. 

    Anbefalt handling: Tilbakekall samtykker som er gitt til appen, og deaktiver appen. 

  • FP: Hvis du etter undersøkelsen kan bekrefte at appen har en legitim forretningsbruk i organisasjonen, og ingen uvanlige aktiviteter ble utført av appen.

    Anbefalt handling: Lukk varselet

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som utføres av appen.
  2. Hvis du mistenker at en app er mistenkelig, anbefaler vi at du undersøker navnet og svardomenet til appen i forskjellige appbutikker. Når du kontrollerer app-butikker, kan du fokusere på følgende typer apper:
    • Apper som nylig er opprettet
    • Apper med uvanlig visningsnavn
    • Apper med et mistenkelig svardomene
  3. Hvis du fortsatt mistenker at en app er mistenkelig, kan du undersøke appens visningsnavn og svardomene.

Appmetadata knyttet til kjent phishing-kampanje

Alvorlighetsgrad: Middels

Denne gjenkjenningen genererer varsler for ikke-Microsoft OAuth-apper med metadata, for eksempel navn, nettadresse eller utgiver, som tidligere hadde blitt observert i apper som er knyttet til en phishing-kampanje. Disse appene kan være en del av den samme kampanjen og kan være involvert i eksfiltrering av sensitiv informasjon.

TP eller FP?

  • TP: Hvis du kan bekrefte at OAuth-appen leveres fra en ukjent kilde og utfører uvanlige aktiviteter.

    Anbefalt handling:

    • Undersøk appens registreringsdetaljer om appstyring, og gå til Microsoft Entra ID for mer informasjon.
    • Kontakt brukerne eller administratorene som har gitt samtykke eller tillatelser til appen. Kontroller om endringene var tilsiktet.
    • Søk i den avanserte jakttabellen i CloudAppEvents for å forstå appaktiviteten og finne ut om den observerte virkemåten er forventet.
    • Kontroller om appen er kritisk for organisasjonen før du vurderer eventuelle oppdemingshandlinger. Deaktiver appen ved hjelp av appstyring eller Microsoft Entra ID for å hindre at den får tilgang til ressurser. Eksisterende policyer for appstyring kan allerede ha deaktivert appen.

  • FP: Hvis du kan bekrefte at ingen uvanlige aktiviteter ble utført av appen, og at appen har en legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Lukk varselet

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som utføres av appen.
  2. Se gjennom omfangene som er gitt til appen.
  3. Se gjennom brukeraktiviteten som er knyttet til appen.

Appmetadata knyttet til tidligere flaggede mistenkelige apper

Alvorlighetsgrad: Middels

Denne gjenkjenningen genererer varsler for ikke-Microsoft OAuth-apper med metadata, for eksempel navn, nettadresse eller utgiver, som tidligere hadde blitt observert i apper som er flagget av appstyring på grunn av mistenkelig aktivitet. Denne appen kan være en del av en angrepskampanje og kan være involvert i utsfiltrering av sensitiv informasjon.

TP eller FP?

  • TP: Hvis du kan bekrefte at OAuth-appen leveres fra en ukjent kilde og utfører uvanlige aktiviteter.

    Anbefalt handling:

    • Undersøk appens registreringsdetaljer om appstyring, og gå til Microsoft Entra ID for mer informasjon.
    • Kontakt brukerne eller administratorene som har gitt samtykke eller tillatelser til appen. Kontroller om endringene var tilsiktet.
    • Søk i den avanserte jakttabellen i CloudAppEvents for å forstå appaktiviteten og finne ut om den observerte virkemåten er forventet.
    • Kontroller om appen er kritisk for organisasjonen før du vurderer eventuelle oppdemingshandlinger. Deaktiver appen ved hjelp av appstyring eller Microsoft Entra ID for å hindre at den får tilgang til ressurser. Eksisterende policyer for appstyring kan allerede ha deaktivert appen.

  • FP: Hvis du kan bekrefte at ingen uvanlige aktiviteter ble utført av appen, og at appen har en legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Lukk varselet

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som utføres av appen.
  2. Se gjennom omfangene som er gitt til appen.
  3. Se gjennom brukeraktiviteten som er knyttet til appen.

Mistenkelig OAuth-app-e-postaktivitet gjennom Graph API

Alvorlighetsgrad: Høy

Denne gjenkjenningen genererer varsler for flertenant OAuth-apper, registrert av brukere med høy risiko pålogging, som ringte til Microsoft Graph API for å utføre mistenkelige e-postaktiviteter innen kort tid.

Denne gjenkjenningen bekrefter om API-oppkall ble gjort for oppretting av postboksregler, oppretting av svar-e-post, videresend e-post, svar eller nye e-postmeldinger som sendes. Apper som utløser dette varselet, kan aktivt sende søppelpost eller skadelige e-postmeldinger til andre mål eller eksfiltrere konfidensielle data og fjerne spor for å unngå gjenkjenning.

TP eller FP?

  • TP: Hvis du kan bekrefte at appopprettelsen og samtykkeforespørselen til appen ble levert fra en ukjent eller ekstern kilde, og appen ikke har en legitim forretningsbruk i organisasjonen, indikeres en sann positiv.

    Anbefalt handling:

    • Kontakt brukere og administratorer som har gitt samtykke til denne appen for å bekrefte at dette var tilsiktet, og de overflødige rettighetene er normale.

    • Undersøk appaktivitet og kontroller berørte kontoer for mistenkelig aktivitet.

    • Deaktiver appen, deaktiver og tilbakestill passord for alle berørte kontoer, og fjern innboksregelen basert på undersøkelsen.

    • Klassifiser varselet som en sann positiv.

  • FP: Hvis du, etter undersøkelse, kan bekrefte at appen har en legitim forretningsbruk i organisasjonen, angis en falsk positiv.

    Anbefalt handling:

    • Klassifiser varselet som en falsk positiv og vurder å dele tilbakemeldinger basert på undersøkelsen av varselet.

    • Forstå omfanget av bruddet:

      Se gjennom samtykketilskudd til programmet som er gjort av brukere og administratorer. Undersøk alle aktiviteter som er utført av appen, spesielt tilgang til postboksen til tilknyttede brukere og administratorkontoer. Hvis du mistenker at appen er mistenkelig, kan du vurdere å deaktivere programmet og rotere legitimasjonen for alle berørte kontoer.

Mistenkelig e-postaktivitet for OAuth-appen gjennom EWS API

Alvorlighetsgrad: Høy

Denne gjenkjenningen genererer varsler for flertenant OAuth-apper, registrert av brukere med en høyrisiko pålogging, som ringte til Microsoft Exchange Web Services (EWS) API for å utføre mistenkelige e-postaktiviteter innen kort tid.

Denne gjenkjenningen bekrefter om API-kall ble gjort for å oppdatere innboksregler, flytte elementer, slette e-post, slette mappe eller slette vedlegg. Apper som utløser dette varselet, kan aktivt eksfiltrere eller slette konfidensielle data og fjerne spor for å unngå gjenkjenning.

TP eller FP?

  • TP: Hvis du kan bekrefte at appopprettelsen og samtykkeforespørselen til appen ble levert fra en ukjent eller ekstern kilde, og appen ikke har en legitim forretningsbruk i organisasjonen, indikeres en sann positiv.

    Anbefalt handling:

    • Kontakt brukere og administratorer som har gitt samtykke til denne appen for å bekrefte at dette var tilsiktet, og de overflødige rettighetene er normale.

    • Undersøk appaktivitet og kontroller berørte kontoer for mistenkelig aktivitet.

    • Deaktiver appen, deaktiver og tilbakestill passord for alle berørte kontoer, og fjern innboksregelen basert på undersøkelsen.

    • Klassifiser varselet som en sann positiv.

  • FP: Hvis du etter undersøkelsen kan bekrefte at appen har en legitim forretningsbruk i organisasjonen, angis en falsk positiv verdi.

    Anbefalt handling:

    • Klassifiser varselet som en falsk positiv og vurder å dele tilbakemeldinger basert på undersøkelsen av varselet.

    • Forstå omfanget av bruddet:

      Se gjennom samtykketilskudd til programmet som er gjort av brukere og administratorer. Undersøk alle aktiviteter som er utført av appen, spesielt tilgang til postboksen til tilknyttede brukere og administratorkontoer. Hvis du mistenker at appen er mistenkelig, kan du vurdere å deaktivere programmet og rotere legitimasjonen for alle berørte kontoer.

Varsler om videresending av rettigheter

OAuth-app med mistenkelige metadata har Exchange-tillatelse

Alvorlighetsgrad: Middels

MITRE-ID: T1078

Dette varselet utløses når en bransjeapp med mistenkelige metadata har tillatelse til å administrere tillatelse over Exchange.

TP eller FP?

  • TP: Hvis du kan bekrefte at OAuth-appen leveres fra en ukjent kilde og har mistenkelige metadataegenskaper, angis en sann positiv.

Anbefalt handling: Tilbakekall samtykker som er gitt til appen, og deaktiver appen.

FP: Hvis du etter undersøkelsen kan bekrefte at appen har en legitim forretningsbruk i organisasjonen.

Anbefalt handling: Lukk varselet

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som er utført av appen.
  2. Se gjennom omfangene som er gitt av appen.
  3. Se gjennom brukeraktiviteten som er knyttet til appen.

Varsler om forsvarsunndragelse

Alvorlighetsgrad: Middels

En ikke-Microsoft-skyapp bruker en logo som ble funnet av en maskinlæringsalgoritme for å ligne på en Microsoft-logo. Dette kan være et forsøk på å representere Microsoft-programvareprodukter og se ekte ut.

Obs!

Leieradministratorer må gi samtykke via popup for å få nødvendige data sendt utenfor gjeldende samsvarsgrense og for å velge partnerteam i Microsoft for å aktivere denne trusselregistreringen for bransjespesifikke apper.

TP eller FP?

  • TP: Hvis du kan bekrefte at applogoen er en imitasjon av en Microsoft-logo, og appens virkemåte er mistenkelig. 

    Anbefalt handling: Tilbakekall samtykker som er gitt til appen, og deaktiver appen.

  • FP: Hvis du kan bekrefte at applogoen ikke er en imitasjon av en Microsoft-logo eller ingen uvanlige aktiviteter ble utført av appen. 

    Anbefalt handling: Lukk varselet

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som utføres av appen.
  2. Se gjennom omfangene som er gitt til appen.
  3. Se gjennom brukeraktiviteten som er knyttet til appen.

Appen er knyttet til et skrivefeildomene

Alvorlighetsgrad: Middels

Denne gjenkjenningen genererer varsler for ikke-Microsoft OAuth-apper med utgiverdomener eller omadresseringsnettadresser som inneholder skrivefeilversjoner av Microsoft-merkenavn. Skrivefeil brukes vanligvis til å registrere trafikk til nettsteder når brukere utilsiktet skriver feil url-adresser, men de kan også brukes til å representere populære programvareprodukter og -tjenester.

TP eller FP?

  • TP: Hvis du kan bekrefte at utgiverdomenet eller nettadressen for omadressering av appen er skrivefeil og ikke er relatert til appens sanne identitet.

    Anbefalt handling:

    • Undersøk appens registreringsdetaljer om appstyring, og gå til Microsoft Entra ID for mer informasjon.
    • Kontroller appen for andre tegn på forfalskning eller etterligning og eventuell mistenkelig aktivitet.
    • Kontroller om appen er kritisk for organisasjonen før du vurderer eventuelle oppdemingshandlinger. Deaktiver appen ved hjelp av appstyring for å hindre at den får tilgang til ressurser. Eksisterende policyer for appstyring kan allerede ha deaktivert appen.

  • FP: Hvis du kan bekrefte at utgiverdomenet og nettadressen for omadressering av appen er legitim. 

    Anbefalt handling: Klassifiser varselet som en falsk positiv og vurder å dele tilbakemeldinger basert på undersøkelsen av varselet.

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som utføres av appen.
  2. Se gjennom omfangene som er gitt til appen.
  3. Se gjennom brukeraktiviteten som er knyttet til appen.

Legitimasjonstilgang

Denne delen beskriver varsler som angir at en ondsinnet aktør kanskje prøver å lese sensitive legitimasjonsdata, og består av teknikker for å stjele legitimasjon som kontonavn, hemmeligheter, tokener, sertifikater og passord i organisasjonen.

Program som starter flere mislykkede KeyVault-leseaktivitet uten å lykkes

Alvorlighetsgrad: Middels

MITRE-ID: T1078.004

Denne gjenkjenningen identifiserer et program i leieren som ble observert ved å foreta flere lesehandlingskall til KeyVault ved hjelp av Azure Resource Manager API på kort tid, med bare feil og ingen vellykket leseaktivitet som ble fullført.

TP eller FP?

  • TP: Hvis appen er ukjent eller ikke brukes, er den angitte aktiviteten potensielt mistenkelig. Når du har bekreftet at Azure-ressursen brukes og validerer appbruken i leieren, kan den angitte aktiviteten kreve at appen deaktiveres. Dette er vanligvis bevis på mistanke om opplistingsaktivitet mot KeyVault-ressursen for å få tilgang til legitimasjon for lateral bevegelse eller privilegiskalering.

    Anbefalte handlinger: Se gjennom Azure-ressursene som er åpnet eller opprettet av programmet, og eventuelle nylige endringer i programmet. Velg om du vil forby tilgang til denne appen basert på undersøkelsen. Se gjennom tilgangsnivået som denne appen ber om, og hvilke brukere som har gitt tilgang.

  • FP: Hvis du etter undersøkelse kan bekrefte at appen har legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom appens tilgang og aktivitet.
  2. Se gjennom alle aktiviteter som er utført av appen siden den ble opprettet.
  3. Se gjennom omfangene som er gitt av appen i Graph API og rollen som er gitt til den i abonnementet.
  4. Se gjennom alle brukere som har åpnet appen før aktiviteten.

Oppdagelsesvarsler

Opplisting av apputføret stasjon

Alvorlighetsgrad: Middels

MITRE-ID: T1087

Denne gjenkjenningen identifiserer en OAuth-app som ble oppdaget av Machine Learning-modellen som utfører opplisting på OneDrive-filer ved hjelp av Graph API.

TP eller FP?

  • TP: Hvis du kan bekrefte at uvanlige aktiviteter/bruk til OneDrive ble utført av LOB-appen via Graph API.

    Anbefalt handling: Deaktivere og fjerne appen og tilbakestille passordet.

  • FP: Hvis du kan bekrefte at ingen uvanlige aktiviteter ble utført av appen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som utføres av denne appen.
  2. Se gjennom omfangene som er gitt av appen.
  3. Se gjennom brukeraktiviteten som er knyttet til denne appen.

Mistenkelige opplistingsaktiviteter utført ved hjelp av Microsoft Graph PowerShell

Alvorlighetsgrad: Middels

MITRE-ID: T1087

Denne gjenkjenningen identifiserer et stort antall mistenkelige opplistingsaktiviteter som utføres innen kort tid gjennom et Microsoft Graph PowerShell-program .

TP eller FP?

  • TP: Hvis du kan bekrefte at mistenkelige/uvanlige opplistingsaktiviteter ble utført av Microsoft Graph PowerShell-programmet.

    Anbefalt handling: Deaktivere og fjerne programmet og tilbakestille passordet.

  • FP: Hvis du kan bekrefte at ingen uvanlige aktiviteter ble utført av programmet.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som utføres av dette programmet.
  2. Se gjennom brukeraktiviteten som er knyttet til dette programmet.

Nylig opprettet flertenant program lister opp brukerinformasjon ofte

Alvorlighetsgrad: Middels

MITRE-ID: T1087

Dette varselet finner OAuth-apper som nylig er registrert i en relativt ny utgiverleier med tillatelse til å endre postboksinnstillinger og få tilgang til e-postmeldinger. Den bekrefter om appen har gjort en rekke kall til Microsoft Graph API som ber om informasjon om brukerkatalog. Apper som utløser dette varselet, kan lokke brukere til å gi samtykke slik at de kan få tilgang til organisasjonsdata.

TP eller FP?

  • TP: Hvis du kan bekrefte at samtykkeforespørselen til appen ble levert fra en ukjent eller ekstern kilde, og appen ikke har en legitim forretningsbruk i organisasjonen, angis en sann positiv.

    Anbefalt handling:

    • Kontakt brukere og administratorer som har gitt samtykke til denne appen for å bekrefte at dette var tilsiktet, og de overflødige rettighetene er normale.
    • Undersøk appaktivitet og kontroller berørte kontoer for mistenkelig aktivitet.
    • Deaktiver appen basert på undersøkelsen, og avvis og tilbakestill passord for alle berørte kontoer.
    • Klassifiser varselet som en sann positiv.

  • FP: Hvis du etter undersøkelsen kan bekrefte at appen har en legitim forretningsbruk i organisasjonen, angis en falsk positiv verdi.

    Anbefalt handling: Klassifiser varselet som en falsk positiv og vurder å dele tilbakemeldinger basert på undersøkelsen av varselet.

Forstå omfanget av bruddet

Se gjennom samtykketilskudd til programmet som er gjort av brukere og administratorer. Undersøk alle aktiviteter som er utført av appen, spesielt opplisting av brukerkataloginformasjon. Hvis du mistenker at appen er mistenkelig, kan du vurdere å deaktivere programmet og rotere legitimasjonen for alle berørte kontoer.

Exfiltration-varsler

Denne delen beskriver varsler som angir at en ondsinnet aktør kanskje prøver å stjele data av interesse til målet fra organisasjonen.

OAuth-appen bruker uvanlig brukeragent

Alvorlighetsgrad: Lav

MITRE-ID: T1567

Denne gjenkjenningen identifiserer et OAuth-program som bruker en uvanlig brukeragent til å få tilgang til Graph API-en.

TP eller FP?

  • TP: Hvis du kan bekrefte at OAuth-appen nylig har begynt å bruke en ny brukeragent som ikke ble brukt tidligere, og denne endringen er uventet, angis en sann positiv.

    Anbefalte handlinger: Se gjennom brukeragentene som er brukt, og eventuelle nylige endringer i programmet. Basert på undersøkelsen kan du velge å forby tilgang til denne appen. Se gjennom tilgangsnivået som denne appen ber om, og hvilke brukere som har gitt tilgang.

  • FP: Hvis du etter undersøkelsen kan bekrefte at appen har en legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom appene som nylig er opprettet, og brukeragentene som brukes.
  2. Se gjennom alle aktiviteter som er utført av appen. 
  3. Se gjennom omfangene som er gitt av appen. 

App med en uvanlig brukeragent åpnet e-postdata via Exchange Web Services

Alvorlighetsgrad: Høy

MITRE-ID: T1114, T1567

Denne gjenkjenningen identifiserer en OAuth-app som brukte en uvanlig brukeragent til å få tilgang til e-postdata ved hjelp av Exchange Web Services-API.

TP eller FP?

  • TP: Hvis du kan bekrefte at OAuth-programmet ikke forventes å endre brukeragenten den bruker til å sende forespørsler til Exchange Web Services-API-en, angis en sann positiv.

    Anbefalte handlinger: Klassifiser varselet som en TP. Basert på undersøkelsen, hvis appen er skadelig, kan du tilbakekalle samtykker og deaktivere appen i leieren. Hvis det er en kompromittert app, kan du tilbakekalle samtykkene, deaktivere appen midlertidig, se gjennom tillatelsene, tilbakestille hemmeligheten og sertifikatet og deretter aktivere appen på nytt.

  • FP: Hvis du etter undersøkelsen kan bekrefte at brukeragenten som brukes av programmet, har en legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Klassifiser varselet som en FP. Vurder også å dele tilbakemeldinger basert på din undersøkelse av varselet.

Forstå omfanget av bruddet

  1. Se gjennom om programmet nylig ble opprettet eller har gjort noen nylige endringer i det.
  2. Se gjennom tillatelsene som er gitt til programmet, og brukere som har samtykket i programmet.
  3. Se gjennom alle aktiviteter som er utført av appen.

Varsler om sidebevegelse

Denne delen beskriver varsler som angir at en ondsinnet aktør kanskje prøver å flytte seg i ulike ressurser senere, samtidig som du blar gjennom flere systemer og kontoer for å få mer kontroll i organisasjonen.

Sovende OAuth App bruker hovedsakelig MS Graph eller Exchange Web Services som nylig ble sett på som tilgang til ARM-arbeidsbelastninger

Alvorlighetsgrad: Middels

MITRE-ID: T1078.004

Denne gjenkjenningen identifiserer et program i leieren som etter en lang periode med sovende aktivitet begynte å få tilgang til Azure Resource Manager-API-en for første gang. Tidligere hadde dette programmet for det meste brukt MS Graph eller Exchange Web Service.

TP eller FP?

  • TP: Hvis appen er ukjent eller ikke brukes, er den angitte aktiviteten potensielt mistenkelig og kan kreve deaktivering av appen, etter å ha bekreftet at Azure-ressursen er i bruk, og validering av appbruken i leieren.

    Anbefalte handlinger:

    1. Se gjennom Azure-ressursene som er åpnet eller opprettet av programmet, og eventuelle nylige endringer i programmet.
    2. Se gjennom tilgangsnivået som denne appen ber om, og hvilke brukere som har gitt tilgang.
    3. Velg om du vil forby tilgang til denne appen basert på undersøkelsen.

  • FP: Hvis du etter undersøkelse kan bekrefte at appen har legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom appens tilgang og aktivitet.
  2. Se gjennom alle aktiviteter som er utført av appen siden den ble opprettet.
  3. Se gjennom omfangene som er gitt av appen i Graph API og rollen som er gitt til den i abonnementet.
  4. Se gjennom alle brukere som har åpnet appen før aktiviteten.

Samlingsvarsler

Denne delen beskriver varsler som angir at en ondsinnet aktør kanskje prøver å samle inn data av interesse for målet fra organisasjonen.

Appen har gjort uvanlige e-postsøkeaktiviteter

Alvorlighetsgrad: Middels

MITRE-ID: T1114

Denne gjenkjenningen identifiserer når en app samtykket til mistenkelig OAuth-omfang og gjorde et høyt volum av uvanlige e-postsøkaktiviteter, for eksempel e-postsøk etter bestemt innhold gjennom Graph API. Dette kan indikere et forsøk på brudd på organisasjonen, for eksempel motstandere som prøver å søke og lese spesifikk e-post fra organisasjonen gjennom Graph API. 

TP eller FP?

  • TP: Hvis du kan bekrefte et høyt volum av uvanlig e-postsøk og leseaktiviteter gjennom Graph API av en OAuth-app med et mistenkelig OAuth-omfang, og at appen leveres fra ukjent kilde.

    Anbefalte handlinger: Deaktivere og fjerne appen, tilbakestille passordet og fjerne innboksregelen. 

  • FP: Hvis du kan bekrefte at appen har utført store mengder uvanlig e-postsøk og lest gjennom Graph API av legitime årsaker.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom omfangene som er gitt av appen.
  2. Se gjennom alle aktiviteter som er utført av appen. 

App gjorde uregelmessige Graph-kall for å lese e-post

Alvorlighetsgrad: Middels

MITRE-ID: T1114

Denne gjenkjenningen identifiserer når OAuth-appen (Line of Business) får tilgang til en uvanlig og høy mengde av brukerens e-postmapper og meldinger gjennom Graph API, noe som kan indikere et forsøk på brudd på organisasjonen.

TP eller FP?

  • TP: Hvis du kan bekrefte at den uvanlige grafaktiviteten ble utført av OAuth-appen (Line of Business), angis en sann positiv.

    Anbefalte handlinger: Deaktiver appen midlertidig og tilbakestill passordet, og aktiver deretter appen på nytt. Følg opplæringen om hvordan du tilbakestiller et passord ved hjelp av Microsoft Entra ID.

  • FP: Hvis du kan bekrefte at appen er ment å utføre uvanlig høyt volum av grafkaller.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom aktivitetsloggen for hendelser som utføres av denne appen, for å få en bedre forståelse av andre Graph-aktiviteter for å lese e-postmeldinger og forsøke å samle inn e-postinformasjon for brukere.
  2. Overvåk for uventet legitimasjon som legges til i appen.

App oppretter innboksregel og har gjort uvanlige aktiviteter for e-postsøk

Alvorlighetsgrad: Middels

MITRE-ID-er: T1137, T1114

Denne gjenkjenningen identifiserer appsamtykket til omfang med høye rettigheter, oppretter mistenkelig innboksregel og har gjort uvanlige e-postsøkeaktiviteter i brukernes e-postmapper gjennom Graph API. Dette kan indikere et forsøk på brudd på organisasjonen, for eksempel motstandere som prøver å søke og samle inn bestemte e-postmeldinger fra organisasjonen gjennom Graph API.

TP eller FP?

  • TP: Hvis du er i stand til å bekrefte eventuelle spesifikke e-postmeldinger søk og samling gjort gjennom Graph API av en OAuth app med høy rettighetsomfang, og appen leveres fra ukjent kilde.

    Anbefalt handling: Deaktivere og fjerne appen, tilbakestille passordet og fjerne innboksregelen.

  • FP: Hvis du kan bekrefte at appen har utført bestemte e-postsøk og -samlinger gjennom Graph API og opprettet en innboksregel til en ny eller personlig ekstern e-postkonto av legitime årsaker.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som er utført av appen.
  2. Se gjennom omfangene som er gitt av appen.
  3. Se gjennom alle innboksregelhandlinger som er opprettet av appen.
  4. Se gjennom eventuelle aktiviteter for e-postsøk som utføres av appen.

App laget OneDrive / SharePoint-søkeaktiviteter og opprettet innboksregel

Alvorlighetsgrad: Middels

MITRE-ID-er: T1137, T1213

Denne gjenkjenningen identifiserer at en app samtykket til omfang med høye rettigheter, opprettet en mistenkelig innboksregel og gjorde uvanlige SharePoint- eller OneDrive-søkeaktiviteter gjennom Graph API. Dette kan indikere et forsøk på brudd på organisasjonen, for eksempel motstandere som prøver å søke etter og samle inn bestemte data fra SharePoint eller OneDrive fra organisasjonen gjennom Graph API. 

TP eller FP?

  • TP: Hvis du kan bekrefte bestemte data fra SharePoint- eller OneDrive-søk og -samling som er utført via Graph API av en OAuth-app med høy tilgangsomfang, og appen leveres fra ukjent kilde. 

    Anbefalt handling: Deaktivere og fjerne appen, tilbakestille passordet og fjerne innboksregelen. 

  • FP: Hvis du kan bekrefte at appen har utført bestemte data fra SharePoint- eller OneDrive-søk og -samling gjennom Graph API av en OAuth-app og opprettet en innboksregel til en ny eller personlig ekstern e-postkonto av legitime grunner. 

    Anbefalt handling: Lukk varselet

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som er utført av appen. 
  2. Se gjennom omfangene som er gitt av appen. 
  3. Se gjennom alle innboksregelhandlinger som er opprettet av appen. 
  4. Se gjennom eventuelle SharePoint- eller OneDrive-søkeaktiviteter som er utført av appen.

Appen har gjort mange søk og redigeringer i OneDrive

Alvorlighetsgrad: Middels

MITRE-ID-er: T1137, T1213

Denne gjenkjenningen identifiserer OAuth-apper med tillatelser med høye rettigheter som utfører et stort antall søk og redigeringer i OneDrive ved hjelp av Graph API.

TP eller FP?

  • TP: Hvis du kan bekrefte at en høy bruk av OneDrive-arbeidsbelastning via Graph API ikke forventes fra dette OAuth-programmet som har tillatelse til å lese og skrive til OneDrive, angis en sann positiv.

    Anbefalt handling: Hvis programmet er skadelig, kan du oppheve samtykker og deaktivere programmet i leieren, basert på undersøkelsen. Hvis det er et kompromittert program, kan du tilbakekalle samtykkene, deaktivere appen midlertidig, se gjennom de nødvendige tillatelsene, tilbakestille passordet og deretter aktivere appen på nytt.

  • FP: Hvis du etter undersøkelsen kan bekrefte at appen har en legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Løs varselet og rapporter resultatene dine.

Forstå omfanget av bruddet

  1. Kontroller om appen kommer fra en pålitelig kilde.
  2. Kontroller om programmet nylig ble opprettet eller har gjort noen nylige endringer i det.
  3. Se gjennom tillatelsene som er gitt til programmet, og brukere som har samtykket i programmet.
  4. Undersøk alle andre appaktiviteter.

App gjorde høyt volum av viktighet e-post lest og opprettet innboks regel

Alvorlighetsgrad: Middels

MITRE-ID-er: T1137, T1114

Denne gjenkjenningen identifiserer at en app samtykket i omfang med høyt tilgangsnivå, oppretter mistenkelig innboksregel og har gjort et stort antall viktige aktiviteter for e-postlesing gjennom Graph API. Dette kan indikere et forsøk på brudd på organisasjonen, for eksempel motstandere som prøver å lese e-post med høy viktighet fra organisasjonen gjennom Graph API. 

TP eller FP?

  • TP: Hvis du kan bekrefte at store mengder viktig e-post leses gjennom Graph API av en OAuth-app med høyt tilgangsomfang, og appen leveres fra ukjent kilde. 

    Anbefalt handling: Deaktivere og fjerne appen, tilbakestille passordet og fjerne innboksregelen. 

  • FP: Hvis du kan bekrefte at appen har utført store mengder viktig e-post lest gjennom Graph API og opprettet en innboksregel til en ny eller personlig ekstern e-postkonto av legitime grunner. 

    Anbefalt handling: Lukk varselet

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som er utført av appen. 
  2. Se gjennom omfangene som er gitt av appen. 
  3. Se gjennom alle innboksregelhandlinger som er opprettet av appen. 
  4. Se gjennom all e-postlesingsaktivitet med høy viktighet som gjøres av appen.

Privilegert app utførte uvanlige aktiviteter i Teams

Alvorlighetsgrad: Middels

Denne gjenkjenningen identifiserer apper som er samtykket til OAuth-omfang med høye rettigheter, som åpnet Microsoft Teams, og gjorde et uvanlig volum av lese- eller innleggsmeldingsaktiviteter gjennom Graph API. Dette kan indikere et forsøk på brudd på organisasjonen, for eksempel motstandere som forsøker å samle inn informasjon fra organisasjonen gjennom Graph API.

TP eller FP?

  • TP: Hvis du kan bekrefte uvanlige chatmeldingsaktiviteter i Microsoft Teams gjennom Graph API av en OAuth-app med et stort tilgangsomfang, og appen leveres fra en ukjent kilde.

    Anbefalt handling: Deaktivere og fjerne appen og tilbakestille passordet

  • FP: Hvis du kan bekrefte at de uvanlige aktivitetene utført i Microsoft Teams gjennom Graph API var av legitime årsaker.

    Anbefalt handling: Lukk varselet

Forstå omfanget av bruddet

  1. Se gjennom omfangene som er gitt av appen.
  2. Se gjennom alle aktiviteter som er utført av appen.
  3. Se gjennom brukeraktiviteten som er knyttet til appen.

Uregelmessig OneDrive-aktivitet etter app som nettopp har oppdatert eller lagt til ny legitimasjon

Alvorlighetsgrad: Middels

MITRE-ID-er: T1098.001, T1213

En ikke-Microsoft-skyapp gjorde uregelmessige Graph API-kall til OneDrive, inkludert databruk med høyt volum. Disse uvanlige API-oppkallene ble oppdaget av maskinlæring i løpet av få dager etter at appen la til nye eller oppdaterte eksisterende sertifikater/hemmeligheter. Denne appen kan være involvert i dataeksfiltrering eller andre forsøk på å få tilgang til og hente sensitiv informasjon.

TP eller FP?

  • TP: Hvis du kan bekrefte at uvanlige aktiviteter, for eksempel bruk av onedrive-arbeidsbelastning med høyt volum, ble utført av appen via Graph API.

    Anbefalt handling: Deaktiver appen midlertidig, tilbakestill passordet og aktiver deretter appen på nytt.

  • FP: Hvis du kan bekrefte at ingen uvanlige aktiviteter ble utført av appen, eller at appen er ment å gjøre uvanlig høyt volum av Graph-kall.

    Anbefalt handling: Lukk varselet

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som utføres av appen.
  2. Se gjennom omfangene som er gitt av appen.
  3. Se gjennom brukeraktiviteten som er knyttet til appen.

Uregelmessig SharePoint-aktivitet etter app som nettopp har oppdatert eller lagt til ny legitimasjon

Alvorlighetsgrad: Middels

MITRE-ID-er: T1098.001, T1213.002

En ikke-Microsoft-skyapp gjorde uregelmessige Graph API-kall til SharePoint, inkludert databruk med høyt volum. Disse uvanlige API-oppkallene ble oppdaget av maskinlæring i løpet av få dager etter at appen la til nye eller oppdaterte eksisterende sertifikater/hemmeligheter. Denne appen kan være involvert i dataeksfiltrering eller andre forsøk på å få tilgang til og hente sensitiv informasjon.

TP eller FP?

  • TP: Hvis du kan bekrefte at uvanlige aktiviteter, for eksempel bruk av store mengder SharePoint-arbeidsbelastning, ble utført av appen via Graph API.

    Anbefalt handling: Deaktiver appen midlertidig, tilbakestill passordet og aktiver deretter appen på nytt.

  • FP: Hvis du kan bekrefte at ingen uvanlige aktiviteter ble utført av appen, eller at appen er ment å gjøre uvanlig høyt volum av Graph-kall.

    Anbefalt handling: Lukk varselet

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som utføres av appen.
  2. Se gjennom omfangene som er gitt av appen.
  3. Se gjennom brukeraktiviteten som er knyttet til appen.

Alvorlighetsgrad: Middels

MITRE-ID-er: T1114

Denne gjenkjenningen genererer varsler for ikke-Microsoft OAuth-apper med metadata, for eksempel navn, nettadresse eller utgiver, som tidligere hadde blitt observert i apper med mistenkelig e-postrelatert aktivitet. Denne appen kan være en del av en angrepskampanje og kan være involvert i utsfiltrering av sensitiv informasjon.

TP eller FP?

  • TP: Hvis du kan bekrefte at appen har opprettet postboksregler eller gjort et stort antall uvanlige Graph API-kall til Exchange-arbeidsbelastningen.

    Anbefalt handling:

    • Undersøk appens registreringsdetaljer om appstyring, og gå til Microsoft Entra ID for mer informasjon.
    • Kontakt brukerne eller administratorene som har gitt samtykke eller tillatelser til appen. Kontroller om endringene var tilsiktet.
    • Søk i avansert jakttabell for CloudAppEvents for å forstå appaktivitet og identifisere data som er tilgjengelig for appen. Merk av for berørte postbokser og se gjennom meldinger som kan ha blitt lest eller videresendt av selve appen eller reglene den har opprettet.
    • Kontroller om appen er kritisk for organisasjonen før du vurderer eventuelle oppdemingshandlinger. Deaktiver appen ved hjelp av appstyring eller Microsoft Entra ID for å hindre at den får tilgang til ressurser. Eksisterende policyer for appstyring kan allerede ha deaktivert appen.

  • FP: Hvis du kan bekrefte at ingen uvanlige aktiviteter ble utført av appen, og at appen har en legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Lukk varselet

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som utføres av appen.
  2. Se gjennom omfangene som er gitt til appen.
  3. Se gjennom brukeraktiviteten som er knyttet til appen.

App med EWS-programtillatelser som får tilgang til en rekke e-postmeldinger

Alvorlighetsgrad: Middels

MITRE-ID-er: T1114

Denne gjenkjenningen genererer varsler for flertenant skyapper med EWS-programtillatelser som viser en betydelig økning i kall til Exchange Web Services-API-en som er spesifikke for opplisting og samling av e-post. Denne appen kan være involvert i å få tilgang til og hente sensitive e-postdata.

TP eller FP?

  • TP: Hvis du kan bekrefte at appen har fått tilgang til sensitive e-postdata eller gjort et stort antall uvanlige kall til Exchange-arbeidsbelastningen.

    Anbefalt handling:

    • Undersøk appens registreringsdetaljer om appstyring, og gå til Microsoft Entra ID for mer informasjon.
    • Kontakt brukerne eller administratorene som har gitt samtykke eller tillatelser til appen. Kontroller om endringene var tilsiktet.
    • Søk i avansert jakttabell for CloudAppEvents for å forstå appaktivitet og identifisere data som er tilgjengelig for appen. Merk av for berørte postbokser og se gjennom meldinger som kan ha blitt lest eller videresendt av selve appen eller reglene den har opprettet.
    • Kontroller om appen er kritisk for organisasjonen før du vurderer eventuelle oppdemingshandlinger. Deaktiver appen ved hjelp av appstyring eller Microsoft Entra ID for å hindre at den får tilgang til ressurser. Eksisterende policyer for appstyring kan allerede ha deaktivert appen.

  • FP: Hvis du kan bekrefte at ingen uvanlige aktiviteter ble utført av appen, og at appen har en legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Lukk varselet

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som utføres av appen.
  2. Se gjennom omfangene som er gitt til appen.
  3. Se gjennom brukeraktiviteten som er knyttet til appen.

Ubrukt app som nylig har tilgang til API-er

Alvorlighetsgrad: Middels

MITRE-ID-er: T1530

Denne gjenkjenningen genererer varsler for en flertenant skyapp som har vært inaktiv en stund, og som nylig har begynt å foreta API-oppkall. Denne appen kan bli kompromittert av en angriper og brukes til å få tilgang til og hente sensitive data.

TP eller FP?

  • TP: Hvis du kan bekrefte at appen har åpnet sensitive data eller utført et stort antall uvanlige kall til Microsoft Graph, Exchange eller Azure Resource Manager arbeidsbelastninger.

    Anbefalt handling:

    • Undersøk appens registreringsdetaljer om appstyring, og gå til Microsoft Entra ID for mer informasjon.
    • Kontakt brukerne eller administratorene som har gitt samtykke eller tillatelser til appen. Kontroller om endringene var tilsiktet.
    • Søk i avansert jakttabell for CloudAppEvents for å forstå appaktivitet og identifisere data som er tilgjengelig for appen. Merk av for berørte postbokser og se gjennom meldinger som kan ha blitt lest eller videresendt av selve appen eller reglene den har opprettet.
    • Kontroller om appen er kritisk for organisasjonen før du vurderer eventuelle oppdemingshandlinger. Deaktiver appen ved hjelp av appstyring eller Microsoft Entra ID for å hindre at den får tilgang til ressurser. Eksisterende policyer for appstyring kan allerede ha deaktivert appen.

  • FP: Hvis du kan bekrefte at ingen uvanlige aktiviteter ble utført av appen, og at appen har en legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Lukk varselet

Forstå omfanget av bruddet

  1. Se gjennom alle aktiviteter som utføres av appen.
  2. Se gjennom omfangene som er gitt til appen.
  3. Se gjennom brukeraktiviteten som er knyttet til appen.

Innvirkningsvarsler

Denne delen beskriver varsler som angir at en ondsinnet aktør kanskje prøver å manipulere, avbryte eller ødelegge systemer og data fra organisasjonen.

Entra Line-of-Business-appen starter en uregelmessig økning i oppretting av virtuelle maskiner

Alvorlighetsgrad: Middels

MITRE-ID: T1496

Denne gjenkjenningen identifiserer et enkelt leier-nytt OAuth-program som oppretter en masse Azure-Virtual Machines i leieren ved hjelp av Azure Resource Manager API.

TP eller FP?

  • TP: Hvis du kan bekrefte at OAuth-appen nylig er opprettet og oppretter et stort antall Virtual Machines i leieren, angis en sann positiv verdi.

    Anbefalte handlinger: Se gjennom de virtuelle maskinene som er opprettet, og eventuelle nylige endringer i programmet. Basert på undersøkelsen kan du velge å forby tilgang til denne appen. Se gjennom tilgangsnivået som denne appen ber om, og hvilke brukere som har gitt tilgang.

  • FP: Hvis du etter undersøkelsen kan bekrefte at appen har en legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet:

  1. Se gjennom appene som nylig er opprettet, og virtuelle maskiner er opprettet.
  2. Se gjennom alle aktiviteter som er utført av appen siden den ble opprettet.
  3. Se gjennom omfangene som er gitt av appen i Graph API og Rolle som er gitt til den i abonnementet.

OAuth-app med høye omfangsrettigheter i Microsoft Graph ble observert ved oppstart av virtuell maskin

Alvorlighetsgrad: Middels

MITRE-ID: T1496

Denne gjenkjenningen identifiserer OAuth-programmet som oppretter en masse Azure-Virtual Machines i leieren ved hjelp av Azure Resource Manager-API-en, samtidig som den har høy tilgang i leieren via MS Graph API før aktiviteten.

TP eller FP?

  • TP: Hvis du kan bekrefte at OAuth-appen har omfang med høye rettigheter og oppretter et stort antall Virtual Machines i leieren, angis en sann positiv verdi.

    Anbefalte handlinger: Se gjennom de virtuelle maskinene som er opprettet, og eventuelle nylige endringer i programmet. Basert på undersøkelsen kan du velge å forby tilgang til denne appen. Se gjennom tilgangsnivået som denne appen ber om, og hvilke brukere som har gitt tilgang.

  • FP: Hvis du etter undersøkelsen kan bekrefte at appen har en legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Lukk varselet.

Forstå omfanget av bruddet:

  1. Se gjennom appene som nylig er opprettet, og virtuelle maskiner er opprettet.
  2. Se gjennom alle aktiviteter som er utført av appen siden den ble opprettet.
  3. Se gjennom omfangene som er gitt av appen i Graph API og Rolle som er gitt til den i abonnementet.

Neste trinn

Administrer varsler om appstyring