Del via

Undersøk forhåndsdefinerte apppolicyvarsler

  • Artikkel

Appstyring gir forhåndsdefinerte apppolicyvarsler for uregelmessige aktiviteter. Formålet med denne veiledningen er å gi deg generell og praktisk informasjon om hvert varsel, for å hjelpe deg med undersøkelses- og utbedringsoppgaver.

Inkludert i denne veiledningen er generell informasjon om betingelsene for utløsing av varsler. Fordi forhåndsdefinerte retningslinjer er ikke-ubestemte av natur, utløses de bare når det er atferd som avviker fra normen.

Tips

Noen varsler kan være i forhåndsversjon, så se regelmessig gjennom de oppdaterte varslingsstatusene.

Klassifisering av sikkerhetsvarsel

Etter riktig undersøkelse kan alle varsler om appstyring klassifiseres i én av følgende aktivitetstyper:

  • Sann positiv (TP): Et varsel om en bekreftet ondsinnet aktivitet.
  • Godartet sann positiv (B-TP): Et varsel om mistenkelig, men ikke ondsinnet aktivitet, for eksempel en penetrasjonstest eller annen autorisert mistenkelig handling.
  • Usann positiv (FP): Et varsel om en ikke-skadelig aktivitet.

Generelle undersøkelsestrinn

Bruk følgende generelle retningslinjer når du undersøker en hvilken som helst type varsel for å få en klarere forståelse av den potensielle trusselen før du bruker den anbefalte handlingen.

  1. Se gjennom alvorsgradnivået for appen, og sammenlign med resten av appene i leieren. Denne gjennomgangen hjelper deg med å identifisere hvilke apper i leieren som utgjør en større risiko.

  2. Hvis du identifiserer en TP, kan du se gjennom alle appaktivitetene for å få en forståelse av virkningen. Se for eksempel gjennom følgende appinformasjon:

    • Omfang gitt tilgang
    • Uvanlig oppførsel
    • IP-adresse og plassering

Forhåndsdefinerte policyvarsler for apper

Denne delen gir informasjon om hvert forhåndsdefinerte policyvarsel, sammen med trinn for undersøkelse og utbedring.

Økning i databruken med en overprivilegert eller svært privilegert app

Alvorlighetsgrad: Middels

Finn apper med kraftige eller ubrukte tillatelser som viser plutselig økning i databruk gjennom Graph API. Uvanlige endringer i databruken kan indikere kompromisser.

TP eller FP?

Hvis du vil finne ut om varselet er en sann positiv (TP) eller en falsk positiv (FP), kan du se gjennom alle aktiviteter som utføres av appen, omfang som er gitt til appen og brukeraktiviteten som er knyttet til appen.

  • TP: Bruk denne anbefalte handlingen hvis du har bekreftet at økningen i databruken av en overprivilegert eller svært privilegert app er uregelmessig eller potensielt skadelig.

    Anbefalt handling: Kontakt brukere om appaktivitetene som har forårsaket økningen i databruken. Deaktiver appen midlertidig, tilbakestill passordet, og aktiver deretter appen på nytt.

  • FP: Bruk denne anbefalte handlingen hvis du har bekreftet at den registrerte appaktiviteten er tiltenkt og har en legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Lukk varselet.

Alvorlighetsgrad: Middels

Finn uvanlige økninger i enten databruk eller Graph API-tilgangsfeil som vises av apper som har fått samtykke av en prioritert konto.

TP eller FP?

Se gjennom alle aktiviteter som utføres av appen, omfang som er gitt til appen og brukeraktiviteten som er knyttet til appen.

  • TP: Bruk denne anbefalte handlingen hvis du har bekreftet at økningen i databruk eller API-tilgangsfeil fra en app med samtykke fra en prioritetskonto er svært uregelmessig eller potensielt skadelig.

    Anbefalt handling: Kontakt brukere av prioritert konto om appaktivitetene som har forårsaket økningen i databruk eller API-tilgangsfeil. Deaktiver appen midlertidig, tilbakestill passordet og aktiver deretter appen på nytt.

  • FP: Bruk denne anbefalte handlingen hvis du har bekreftet at den registrerte appaktiviteten er tiltenkt og har en legitim forretningsbruk i organisasjonen.

    Anbefalt handling: Lukk varselet.

Alvorlighetsgrad: Middels

Samtykkeforespørsler fra en nylig opprettet app har blitt avvist ofte av brukere. Brukere avviser vanligvis forespørsler om samtykke fra apper som har vist uventet virkemåte eller som kommer fra en uklarert kilde. Det er mer sannsynlig at apper som har lave samtykkepriser, er risikable eller skadelige.

TP eller FP?

Se gjennom alle aktiviteter som utføres av appen, omfang som er gitt til appen og brukeraktiviteten som er knyttet til appen.

  • TP: Bruk denne anbefalte handlingen hvis du har bekreftet at appen kommer fra en ukjent kilde, og aktivitetene har vært svært uregelmessige eller potensielt skadelige.

    Anbefalt handling: Deaktiver appen midlertidig, tilbakestill passordet og aktiver deretter appen på nytt.

  • FP: Bruk denne anbefalte handlingen hvis du har bekreftet at den registrerte appaktiviteten er legitim.

    Anbefalt handling: Lukk varselet.

Spike i Graph API-kall gjort til OneDrive

Alvorlighetsgrad: Middels

En skyapp viste en betydelig økning i Graph API-kall til OneDrive. Denne appen kan være involvert i dataeksfiltrering eller andre forsøk på å få tilgang til og hente sensitive data.

TP eller FP?

Se gjennom alle aktiviteter som utføres av appen, omfang som er gitt til appen og brukeraktiviteten som er knyttet til appen.

  • TP: Bruk denne anbefalte handlingen hvis du har bekreftet at svært uregelmessige, potensielt skadelige aktiviteter har resultert i den registrerte økningen i OneDrive-bruken.

    Anbefalt handling: Deaktiver appen midlertidig, tilbakestill passordet og aktiver deretter appen på nytt.

  • FP: Bruk denne anbefalte handlingen hvis du har bekreftet at den registrerte appaktiviteten er legitim.

    Anbefalt handling: Lukk varselet.

Spike i Graph API-kall gjort til SharePoint

Alvorlighetsgrad: Middels

En skyapp viste en betydelig økning i Graph API-kall til SharePoint. Denne appen kan være involvert i dataeksfiltrering eller andre forsøk på å få tilgang til og hente sensitive data.

TP eller FP?

Se gjennom alle aktiviteter som utføres av appen, omfang som er gitt til appen og brukeraktiviteten som er knyttet til appen.

  • TP: Bruk denne anbefalte handlingen hvis du har bekreftet at svært uregelmessige, potensielt skadelige aktiviteter har resultert i den registrerte økningen i SharePoint-bruk.

    Anbefalt handling: Deaktiver appen midlertidig, tilbakestill passordet og aktiver deretter appen på nytt.

  • FP: Bruk denne anbefalte handlingen hvis du har bekreftet at den registrerte appaktiviteten er legitim.

    Anbefalt handling: Lukk varselet.

Spike i Graph API-kall gjort til Exchange

Alvorlighetsgrad: Middels

En skyapp viste en betydelig økning i Graph API-kall til Exchange. Denne appen kan være involvert i dataeksfiltrering eller andre forsøk på å få tilgang til og hente sensitive data.

TP eller FP?

Se gjennom alle aktiviteter som utføres av appen, omfang som er gitt til appen og brukeraktiviteten som er knyttet til appen.

  • TP: Bruk denne anbefalte handlingen hvis du har bekreftet at svært uregelmessige, potensielt skadelige aktiviteter har resultert i den registrerte økningen i Exchange-bruken.

    Anbefalt handling: Deaktiver appen midlertidig, tilbakestill passordet og aktiver deretter appen på nytt.

  • FP: Bruk denne anbefalte handlingen hvis du har bekreftet at den registrerte appaktiviteten er legitim.

    Anbefalt handling: Lukk varselet.

Mistenkelig app med tilgang til flere Microsoft 365-tjenester

Alvorlighetsgrad: Middels

Finn apper med OAuth-tilgang til flere Microsoft 365-tjenester som har vist statistisk uregelmessig Graph API-aktivitet etter et sertifikat eller en hemmelig oppdatering. Ved å identifisere disse appene og kontrollere dem for kompromisser, kan du forhindre lateral bevegelse, datautfiltrering og andre ondsinnede aktiviteter som krysser skymapper, e-postmeldinger og andre tjenester.

TP eller FP?

Se gjennom alle aktiviteter som utføres av appen, omfang som er gitt til appen og brukeraktiviteten som er knyttet til appen.

  • TP: Bruk denne anbefalte handlingen hvis du har bekreftet at oppdateringene for appsertifikater eller hemmeligheter og andre appaktiviteter har vært svært uregelmessige eller potensielt skadelige.

    Anbefalt handling: Deaktiver appen midlertidig, tilbakestill passordet og aktiver deretter appen på nytt.

  • FP: Bruk denne anbefalte handlingen hvis du har bekreftet at den registrerte appaktiviteten er legitim.

    Anbefalt handling: Lukk varselet.

Høyt volum av innboksregelopprettingsaktivitet av en app

Alvorlighetsgrad: Middels

En app gjorde et stort antall Graph API-kall for å opprette Exchange-innboksregler. Denne appen kan være involvert i datainnsamling og eksfiltrering eller andre forsøk på å få tilgang til og hente sensitiv informasjon.

TP eller FP?

Se gjennom alle aktiviteter som utføres av appen, omfang som er gitt til appen og brukeraktiviteten som er knyttet til appen.

  • TP: Bruk denne anbefalte handlingen hvis du har bekreftet at opprettingen av innboksregler og andre aktiviteter har vært svært uregelmessig eller potensielt skadelig.

    Anbefalt handling: Deaktiver appen midlertidig, tilbakestill passordet og aktiver deretter appen på nytt.

  • FP: Bruk denne anbefalte handlingen hvis du har bekreftet at den registrerte appaktiviteten er legitim.

    Anbefalt handling: Lukk varselet.

Store mengder e-postsøkaktivitet etter en app

Alvorlighetsgrad: Middels

En app gjorde et stort antall Graph API-kall for å søke i Exchange-e-postinnhold. Denne appen kan være involvert i datainnsamling eller andre forsøk på å få tilgang til og hente sensitiv informasjon.

TP eller FP?

Se gjennom alle aktiviteter som utføres av appen, omfang som er gitt til appen og brukeraktiviteten som er knyttet til appen.

  • TP: Bruk denne anbefalte handlingen hvis du har bekreftet at innholdssøkene på Exchange og andre aktiviteter har vært svært uregelmessige eller potensielt skadelige.

    Anbefalt handling: Deaktiver appen midlertidig, tilbakestill passordet og aktiver deretter appen på nytt.

  • FP: Hvis du kan bekrefte at ingen uvanlige søkeaktiviteter for e-post ble utført av appen, eller at appen er ment å lage uvanlige e-postsøkaktiviteter gjennom Graph API.

    Anbefalt handling: Lukk varselet.

Høyt volum av sendeaktivitet for e-post av en app

Alvorlighetsgrad: Middels

En app gjorde et stort antall Graph API-kall for å sende e-postmeldinger ved hjelp av Exchange Online. Denne appen kan være involvert i datainnsamling og eksfiltrering eller andre forsøk på å få tilgang til og hente sensitiv informasjon.

TP eller FP?

Se gjennom alle aktiviteter som utføres av appen, omfang som er gitt til appen og brukeraktiviteten som er knyttet til appen.

  • TP: Bruk denne anbefalte handlingen hvis du har bekreftet at sending av e-postmeldinger og andre aktiviteter har vært svært uregelmessig eller potensielt skadelig.

    Anbefalt handling: Deaktiver appen midlertidig, tilbakestill passordet og aktiver deretter appen på nytt.

  • FP: Hvis du kan bekrefte at ingen uvanlige aktiviteter for sending av e-post ble utført av appen, eller at appen er ment å gjøre uvanlige e-postsendingsaktiviteter gjennom Graph API.

    Anbefalt handling: Lukk varselet.

Tilgang til sensitive data

Alvorlighetsgrad: Middels

Finn apper som får tilgang til sensitive data som identifiseres av bestemte etiketter sensitivt.

TP eller FP?

Hvis du vil finne ut om varselet er en sann positiv (TP) eller en falsk positiv (FP), kan du se gjennom ressurser som appen har tilgang til.

  • TP: Bruk denne anbefalte handlingen hvis du har bekreftet at appen eller den oppdagede aktiviteten er uregelmessig eller potensielt skadelig.

    Anbefalt handling: Hindre at appen får tilgang til ressurser ved å deaktivere den fra Microsoft Entra ID.

  • FP: Bruk denne anbefalte handlingen hvis du har bekreftet at appen har legitim forretningsbruk i organisasjonen, og forventet den registrerte aktiviteten.

    Anbefalt handling: Lukk varselet.

Neste trinn

Finn ut mer om oppdagelse og utbedring av apptrusler