Waarschuwingen voor detectie van bedreigingen voor app-governance onderzoeken

App-governance biedt beveiligingsdetecties en waarschuwingen voor schadelijke activiteiten. In dit artikel vindt u details voor elke waarschuwing die u kan helpen bij het onderzoeken en herstellen, inclusief de voorwaarden voor het activeren van waarschuwingen. Omdat detecties van bedreigingen van nature niet-deterministisch zijn, worden ze alleen geactiveerd wanneer er gedrag is dat afwijkt van de norm.

Zie App-governance in Microsoft Defender for Cloud Apps voor meer informatie

Opmerking

Detecties van bedreigingen voor app-governance zijn gebaseerd op het tellen van activiteiten op gegevens die tijdelijk zijn en mogelijk niet worden opgeslagen. Waarschuwingen kunnen daarom het aantal activiteiten of aanwijzingen van pieken geven, maar niet noodzakelijkerwijs alle relevante gegevens. Met name voor OAuth-apps Graph API activiteiten kunnen de activiteiten zelf door de tenant worden gecontroleerd met behulp van Log Analytics en Sentinel.

Zie voor meer informatie:

• Microsoft Graph-activiteitenlogboeken openen
• Activiteitenlogboeken analyseren met behulp van Log Analytics

MITRE ATT&CK

Om het gemakkelijker te maken om de relatie tussen waarschuwingen voor app-governance en de bekende MITRE ATT&CK Matrix in kaart te brengen, hebben we de waarschuwingen gecategoriseerd op basis van hun overeenkomstige MITRE ATT&CK-tactiek. Deze extra verwijzing maakt het gemakkelijker om de verdachte aanvalstechniek te begrijpen die mogelijk wordt gebruikt wanneer een waarschuwing voor app-governance wordt geactiveerd.

Deze handleiding bevat informatie over het onderzoeken en oplossen van app-governance-waarschuwingen in de volgende categorieën.

• Initiële toegang
• Uitvoering
• Persistentie
• Escalatie van bevoegdheden
• Ontwijking van verdediging
• Toegang tot referenties
• Ontdekken
• Zijdelingse verplaatsing
• Verzameling
• Exfiltratie
• Gevolg

Classificaties van beveiligingswaarschuwingen

Na goed onderzoek kunnen alle waarschuwingen voor app-governance worden geclassificeerd als een van de volgende activiteitstypen:

• Waar positief (TP): een waarschuwing over een bevestigde schadelijke activiteit.
• Goedaardig waar positief (B-TP): een waarschuwing bij verdachte maar niet schadelijke activiteiten, zoals een penetratietest of andere geautoriseerde verdachte actie.
• Fout-positief (FP): een waarschuwing voor een niet-kwaadaardige activiteit.

Algemene onderzoeksstappen

Gebruik de volgende algemene richtlijnen bij het onderzoeken van een type waarschuwing om een duidelijker beeld te krijgen van de mogelijke bedreiging voordat u de aanbevolen actie toepast.

• Controleer het ernstniveau van de app en vergelijk deze met de rest van de apps in uw Tenant. Met deze beoordeling kunt u bepalen welke apps in uw tenant het grootste risico vormen.

• Als u een TP identificeert, bekijk dan alle app-activiteiten om inzicht te krijgen in de impact. Bekijk bijvoorbeeld de volgende app-informatie:

  • Bereiken waarvoor toegang is verleend
  • Ongebruikelijk gedrag
  • IP-adres en locatie

Waarschuwingen voor initiële toegang

In deze sectie worden waarschuwingen beschreven die aangeven dat een schadelijke app probeert voet aan de grond te houden in uw organisatie.

App-omleidingen naar phishing-URL door misbruik te maken van het OAuth-omleidingsprobleem

Ernst: gemiddeld

Deze detectie identificeert OAuth-apps die omleiden naar phishing-URL's door gebruik te maken van de parameter van het antwoordtype in de OAuth-implementatie via de Microsoft Graph API.

TP of FP?

• TP: Als u kunt bevestigen dat de OAuth-app is geleverd vanuit een onbekende bron, bevat het antwoordtype van de antwoord-URL na toestemming voor de OAuth-app een ongeldige aanvraag en wordt omgeleid naar een onbekende of niet-vertrouwde antwoord-URL.

  Aanbevolen actie: de app uitschakelen en verwijderen, het wachtwoord opnieuw instellen en de regel voor Postvak IN verwijderen. 

• FP: als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk alle activiteiten die door de app zijn uitgevoerd. 
2. Controleer de bereiken die door de app zijn verleend. 

OAuth-app met verdachte antwoord-URL

Ernst: gemiddeld

Deze detectie identificeert een OAuth-app die toegang heeft tot een verdachte antwoord-URL via de Microsoft Graph API.

TP of FP?

• TP: Als u kunt bevestigen dat de OAuth-app wordt geleverd vanuit een onbekende bron en wordt omgeleid naar een verdachte URL, wordt een waar-positief aangegeven. Een verdachte URL is een URL waarbij de reputatie van de URL onbekend is, niet wordt vertrouwd of waarvan het domein onlangs is geregistreerd en de app-aanvraag een groot bevoegdheidsbereik heeft.

  Aanbevolen actie: Controleer de antwoord-URL, domeinen en bereiken die door de app zijn aangevraagd. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te verbieden. Controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang krijgen.

  Als u de toegang tot de app wilt verbieden, gaat u naar het relevante tabblad voor uw app op de pagina App-beheer . Selecteer in de rij waarin de app die u wilt verbieden, het pictogram Voor verbieden. U kunt kiezen of u gebruikers wilt laten weten dat de app die ze hebben geïnstalleerd en geautoriseerd, is geblokkeerd. De melding laat gebruikers weten dat de app wordt uitgeschakeld en dat ze geen toegang hebben tot de verbonden app. Als u niet wilt dat ze dit weten, schakelt u Gebruikers waarschuwen die toegang hebben verleend tot deze verboden app uit in het dialoogvenster. We raden u aan app-gebruikers te laten weten dat hun app binnenkort wordt geblokkeerd voor gebruik.

• FP: als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer de apps die onlangs zijn gemaakt en hun antwoord-URL's.

2. Bekijk alle activiteiten die door de app zijn uitgevoerd. 

3. Controleer de bereiken die door de app zijn verleend. 

Onlangs gemaakte app heeft een laag toestemmingspercentage

Urgentieniveau: laag

Deze detectie identificeert een OAuth-app die onlangs is gemaakt en die een laag toestemmingspercentage heeft. Dit kan duiden op een schadelijke of riskante app die gebruikers lokken bij onrechtmatige toestemmingsverlening.

TP of FP?

• TP: als u kunt bevestigen dat de OAuth-app wordt geleverd vanuit een onbekende bron, wordt een terecht-positief aangegeven.

  Aanbevolen actie: controleer de weergavenaam en het antwoorddomein van de app. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te blokkeren. Controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend.

• FP: als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk alle activiteiten die door de app zijn uitgevoerd.
2. Als u vermoedt dat een app verdacht is, raden we u aan het naam- en antwoord-domein van de app te onderzoeken in verschillende app-stores. Wanneer u app-stores controleert, richt u zich op de volgende typen apps:
   • Apps die onlangs zijn gemaakt.
   • App met ongebruikelijke weergavenaam
   • Apps met een verdacht antwoorddomein
3. Als u nog steeds vermoedt dat een app verdacht is, kunt u de weergavenaam en het antwoorddomein van de app onderzoeken.

App met slechte URL-reputatie

Ernst: gemiddeld

Deze detectie identificeert een OAuth-app met een slechte URL-reputatie.

TP of FP?

• TP: als u kunt bevestigen dat de OAuth-app wordt geleverd vanuit een onbekende bron en wordt omgeleid naar een verdachte URL, wordt een terecht-positief aangegeven.

  Aanbevolen actie: controleer de antwoorddomeinen die door de app zijn aangevraagd. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te blokkeren. Controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend.

• FP: als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk alle activiteiten die door de app zijn uitgevoerd.
2. Als u vermoedt dat een app verdacht is, raden we u aan het naam- en antwoord-domein van de app te onderzoeken in verschillende app-stores. Wanneer u app-stores controleert, richt u zich op de volgende typen apps:
   • Apps die onlangs zijn gemaakt.
   • App met ongebruikelijke weergavenaam
   • Apps met een verdacht antwoorddomein
3. Als u nog steeds vermoedt dat een app verdacht is, kunt u de weergavenaam en het antwoorddomein van de app onderzoeken.

Gecodeerde app-naam met verdachte toestemmingsbereiken

Ernst: gemiddeld

Beschrijving: met deze detectie worden OAuth-apps geïdentificeerd met tekens, zoals Unicode- of gecodeerde tekens, die zijn aangevraagd voor verdachte toestemmingsbereiken en die toegang hebben verkregen tot e-mailmappen van gebruikers via de Graph API. Deze waarschuwing kan duiden op een poging om een schadelijke app te camoufleren als een bekende en vertrouwde app, zodat kwaadwillenden de gebruikers kunnen misleiden om toestemming te geven voor de schadelijke app.

TP of FP?

• TP-: als u kunt bevestigen dat de OAuth-app de weergavenaam heeft gecodeerd met verdachte bereiken die afkomstig zijn van een onbekende bron, wordt een terecht-positief aangegeven.

  Aanbevolen actie: controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te blokkeren.

  Als u de toegang tot de app wilt verbieden, gaat u naar het relevante tabblad voor uw app op de pagina App-beheer . Selecteer in de rij waarin de app die u wilt verbieden, het pictogram Voor verbieden. U kunt kiezen of u gebruikers wilt laten weten dat de app die ze hebben geïnstalleerd en geautoriseerd, is geblokkeerd. De melding laat gebruikers weten dat de app wordt uitgeschakeld en dat ze geen toegang hebben tot de verbonden app. Als u niet wilt dat ze dit weten, schakelt u Gebruikers waarschuwen die toegang hebben verleend tot deze verboden app uit in het dialoogvenster. We raden u aan app-gebruikers te laten weten dat hun app binnenkort wordt geblokkeerd voor gebruik.

• FP: als u wilt bevestigen dat de app een gecodeerde naam heeft, maar een legitiem zakelijk gebruik in de organisatie heeft.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht in het bereik van de schending

Volg de zelfstudie over het onderzoeken van riskante OAuth-apps.

OAuth-app met leesbereiken heeft een verdachte antwoord-URL

Ernst: gemiddeld

Beschrijving: deze detectie identificeert een OAuth-app met alleen leesbereiken, zoals User.Read, Mensen. Lezen, Contacts.Read, Mail.Read, Contacts.Read. Gedeelde omleidingen naar verdachte antwoord-URL via Graph API. Met deze activiteit wordt geprobeerd aan te geven dat schadelijke apps met minder machtigingen (zoals leesbereiken) kunnen worden misbruikt om gebruikersaccountverkenningen uit te voeren.

TP of FP?

• TP-: als u kunt bevestigen dat de OAuth-app met leesbereik wordt geleverd vanuit een onbekende bron en wordt omgeleid naar een verdachte URL, wordt een terecht-positief aangegeven.

  Aanbevolen actie: controleer de antwoord-URL en bereiken die door de app zijn aangevraagd. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te blokkeren. Controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend.

  Als u de toegang tot de app wilt verbieden, gaat u naar het relevante tabblad voor uw app op de pagina App-beheer . Selecteer in de rij waarin de app die u wilt verbieden, het pictogram Voor verbieden. U kunt kiezen of u gebruikers wilt laten weten dat de app die ze hebben geïnstalleerd en geautoriseerd, is geblokkeerd. De melding laat gebruikers weten dat de app wordt uitgeschakeld en dat ze geen toegang hebben tot de verbonden app. Als u niet wilt dat ze dit weten, schakelt u Gebruikers waarschuwen die toegang hebben verleend tot deze verboden app uit in het dialoogvenster. We raden u aan app-gebruikers te laten weten dat hun app binnenkort wordt geblokkeerd voor gebruik.

• B-TP-: als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk alle activiteiten die door de app zijn uitgevoerd.
2. Als u vermoedt dat een app verdacht is, raden we u aan de naam en antwoord-URL van de app te onderzoeken in verschillende app-stores. Wanneer u app-stores controleert, richt u zich op de volgende typen apps:
   • Apps die onlangs zijn gemaakt.
   • Apps met een verdachte antwoord-URL
   • Apps die niet recent zijn bijgewerkt. Als er geen updates zijn, wordt de app mogelijk niet meer ondersteund.
3. Als u nog steeds vermoedt dat een app verdacht is, kunt u de naam van de app, de naam van de uitgever en de antwoord-URL online onderzoeken

App met ongebruikelijke weergavenaam en ongebruikelijke TLD in antwoorddomein

Ernst: gemiddeld

Deze detectie identificeert een app met een ongebruikelijke weergavenaam en wordt omgeleid naar een verdacht antwoorddomein met een ongebruikelijk topniveaudomein (TLD) via Graph API. Dit kan duiden op een poging om een schadelijke of riskante app te camoufleren als een bekende en vertrouwde app, zodat aanvallers de gebruikers kunnen misleiden om toestemming te geven voor hun schadelijke of riskante app. 

TP of FP?

• TP-: als u kunt bevestigen dat de app met een ongebruikelijke weergavenaam afkomstig is van een onbekende bron en wordt omgeleid naar een verdacht domein met een ongebruikelijk domein op het hoogste niveau

  Aanbevolen actie: controleer de weergavenaam en het antwoorddomein van de app. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te blokkeren. Controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend.

• FP: als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

Bekijk alle activiteiten die door de app zijn uitgevoerd. Als u vermoedt dat een app verdacht is, raden we u aan het naam- en antwoord-domein van de app te onderzoeken in verschillende app-stores. Wanneer u app-stores controleert, richt u zich op de volgende typen apps:

• Apps die onlangs zijn gemaakt.
• App met ongebruikelijke weergavenaam
• Apps met een verdacht antwoorddomein

Als u nog steeds vermoedt dat een app verdacht is, kunt u de weergavenaam en het antwoorddomein van de app onderzoeken.

Nieuwe app met e-mailmachtigingen met een patroon voor lage toestemming

Ernst: gemiddeld

Deze detectie identificeert OAuth-apps die onlangs zijn gemaakt in relatief nieuwe uitgeverstenants met de volgende kenmerken:

• Machtigingen voor toegang tot of wijziging van postvakinstellingen
• Relatief laag aantal toestemmingen, waarmee ongewenste of zelfs schadelijke apps kunnen worden geïdentificeerd die proberen toestemming te verkrijgen van nietsvermoedende gebruikers

TP of FP?

• TP: Als u kunt bevestigen dat de toestemmingsaanvraag voor de app is geleverd vanuit een onbekende of externe bron en de app geen legitiem zakelijk gebruik heeft in de organisatie, wordt een echt positief aangegeven.

  Aanbevolen actie:

  • Neem contact op met gebruikers en beheerders die toestemming hebben verleend voor deze app om te bevestigen dat dit opzettelijk was en de overmatige bevoegdheden normaal zijn.
  • App-activiteit onderzoeken en betrokken accounts controleren op verdachte activiteiten.
  • Op basis van uw onderzoek kunt u de app uitschakelen en wachtwoorden onderbreken en opnieuw instellen voor alle betrokken accounts.
  • Classificeer de waarschuwing als een waar-positief.

• FP: als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

  Aanbevolen actie: classificeer de waarschuwing als een fout-positief en overweeg feedback te delen op basis van uw onderzoek naar de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

Bekijk de toestemming die wordt verleend aan de toepassing die is gemaakt door gebruikers en beheerders. Onderzoek alle activiteiten die door de app worden uitgevoerd, met name toegang tot het postvak van gekoppelde gebruikers en beheerdersaccounts. Als u vermoedt dat de app verdacht is, kunt u overwegen de toepassing uit te schakelen en referenties van alle betrokken accounts te roteren.

Nieuwe app met een lage toestemmingsfrequentie voor toegang tot talloze e-mailberichten

Ernst: gemiddeld

Deze waarschuwing identificeert OAuth-apps die onlangs zijn geregistreerd in een relatief nieuwe uitgevertenant met machtigingen voor het wijzigen van postvakinstellingen en toegang tot e-mailberichten. Er wordt ook gecontroleerd of de app een relatief laag globaal toestemmingspercentage heeft en talloze aanroepen naar Microsoft Graph API voor toegang tot e-mailberichten van gebruikers die toestemming geven. Apps die deze waarschuwing activeren, kunnen ongewenste of schadelijke apps zijn die proberen toestemming te verkrijgen van nietsvermoedende gebruikers.

TP of FP?

• TP: Als u kunt bevestigen dat de toestemmingsaanvraag voor de app is geleverd vanuit een onbekende of externe bron en de app geen legitiem zakelijk gebruik heeft in de organisatie, wordt een echt positief aangegeven.

  Aanbevolen actie:

  • Neem contact op met gebruikers en beheerders die toestemming hebben verleend voor deze app om te bevestigen dat dit opzettelijk was en de overmatige bevoegdheden normaal zijn.
  • App-activiteit onderzoeken en betrokken accounts controleren op verdachte activiteiten.
  • Op basis van uw onderzoek kunt u de app uitschakelen en wachtwoorden onderbreken en opnieuw instellen voor alle betrokken accounts.
  • Classificeer de waarschuwing als een waar-positief.

• FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik in de organisatie heeft, wordt een fout-positief aangegeven.

  Aanbevolen actie: classificeer de waarschuwing als een fout-positief en overweeg feedback te delen op basis van uw onderzoek naar de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

Bekijk de toestemming die wordt verleend aan de toepassing die is gemaakt door gebruikers en beheerders. Onderzoek alle activiteiten die door de app worden uitgevoerd, met name toegang tot de postvakken van gekoppelde gebruikers en beheerdersaccounts. Als u vermoedt dat de app verdacht is, kunt u overwegen de toepassing uit te schakelen en referenties van alle betrokken accounts te roteren.

Verdachte app met e-mailmachtigingen die talloze e-mailberichten verzenden

Ernst: gemiddeld

Met deze waarschuwing vindt u OAuth-apps met meerdere tenants die meerdere aanroepen hebben gedaan naar Microsoft Graph API om binnen een korte periode e-mailberichten te verzenden. Ook wordt gecontroleerd of de API-aanroepen hebben geleid tot fouten en mislukte pogingen om e-mailberichten te verzenden. Apps die deze waarschuwing activeren, verzenden mogelijk actief spam of schadelijke e-mailberichten naar andere doelen.

TP of FP?

• TP: Als u kunt bevestigen dat de toestemmingsaanvraag voor de app is geleverd vanuit een onbekende of externe bron en de app geen legitiem zakelijk gebruik heeft in de organisatie, wordt een echt positief aangegeven.

  Aanbevolen actie:

  • Neem contact op met gebruikers en beheerders die toestemming hebben verleend voor deze app om te bevestigen dat dit opzettelijk was en de overmatige bevoegdheden normaal zijn.
  • App-activiteit onderzoeken en betrokken accounts controleren op verdachte activiteiten.
  • Op basis van uw onderzoek kunt u de app uitschakelen en wachtwoorden onderbreken en opnieuw instellen voor alle betrokken accounts.
  • Classificeer de waarschuwing als een waar-positief.

• FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik in de organisatie heeft, wordt een fout-positief aangegeven.

  Aanbevolen actie: classificeer de waarschuwing als een fout-positief en overweeg feedback te delen op basis van uw onderzoek naar de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

Bekijk de toestemming die wordt verleend aan de toepassing die is gemaakt door gebruikers en beheerders. Onderzoek alle activiteiten die door de app worden uitgevoerd, met name toegang tot het postvak van gekoppelde gebruikers en beheerdersaccounts. Als u vermoedt dat de app verdacht is, kunt u overwegen de toepassing uit te schakelen en referenties van alle betrokken accounts te roteren.

Verdachte OAuth-app die wordt gebruikt voor het verzenden van talloze e-mailberichten

Ernst: gemiddeld

Deze waarschuwing geeft aan dat een OAuth-app meerdere aanroepen heeft gedaan naar Microsoft Graph API om binnen een korte periode e-mailberichten te verzenden. Het is bekend dat de uitgevertenant van de app een groot aantal OAuth-apps voortzet die vergelijkbare Microsoft-Graph API-aanroepen maken. Een aanvaller gebruikt deze app mogelijk actief om spam of schadelijke e-mailberichten naar zijn doelwitten te verzenden.

TP of FP?

• TP: Als u kunt bevestigen dat de toestemmingsaanvraag voor de app is geleverd vanuit een onbekende of externe bron en de app geen legitiem zakelijk gebruik heeft in de organisatie, wordt een echt positief aangegeven.

  Aanbevolen actie:

  • Neem contact op met gebruikers en beheerders die toestemming hebben verleend voor deze app om te bevestigen dat dit opzettelijk was en de overmatige bevoegdheden normaal zijn.
  • App-activiteit onderzoeken en betrokken accounts controleren op verdachte activiteiten.
  • Op basis van uw onderzoek kunt u de app uitschakelen en wachtwoorden onderbreken en opnieuw instellen voor alle betrokken accounts.
  • Classificeer de waarschuwing als een waar-positief.

• FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik in de organisatie heeft, wordt een fout-positief aangegeven.

  Aanbevolen actie: classificeer de waarschuwing als een fout-positief en overweeg feedback te delen op basis van uw onderzoek naar de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

Bekijk de toestemming die wordt verleend aan de toepassing die is gemaakt door gebruikers en beheerders. Onderzoek alle activiteiten die door de app worden uitgevoerd, met name toegang tot het postvak van gekoppelde gebruikers en beheerdersaccounts. Als u vermoedt dat de app verdacht is, kunt u overwegen de toepassing uit te schakelen en referenties van alle betrokken accounts te roteren.

Persistentiewaarschuwingen

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor probeert voet aan de grond te houden in uw organisatie.

App heeft na de certificaatupdate of toevoeging van nieuwe referenties afwijkende Graph-aanroepen uitgevoerd naar de Exchange werkbelasting

Ernst: gemiddeld

MITRE-id: T1098.001, T1114

Deze detectie activeert een waarschuwing wanneer een LOB-app (Line of Business) certificaat/geheimen heeft bijgewerkt of nieuwe referenties heeft toegevoegd en binnen enkele dagen na het bijwerken of toevoegen van nieuwe referenties, ongebruikelijke activiteiten of hoog volumegebruik heeft waargenomen voor Exchange werkbelasting via Graph API met behulp van Machine Learning-algoritme.

TP of FP?

• TP: als u kunt bevestigen dat ongebruikelijke activiteiten/hoog volumegebruik voor Exchange werkbelasting door de LOB-app zijn uitgevoerd via Graph API.

  Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app opnieuw in.

• FP:Als u kunt bevestigen dat er geen ongebruikelijke activiteiten zijn uitgevoerd met de LOB-app of app, is dit bedoeld om ongebruikelijk veel Graph-aanroepen uit te voeren.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk alle activiteiten die door deze app zijn uitgevoerd.
2. Controleer de bereiken die door de app zijn verleend.
3. Controleer de gebruikersactiviteit die is gekoppeld aan deze app.

App met verdacht OAuth-bereik is gemarkeerd met een hoog risico Machine Learning-model, heeft Graph-aanroepen uitgevoerd om e-mail te lezen en een regel voor Postvak IN gemaakt

Ernst: gemiddeld

MITRE-id's: T1137.005, T1114

Deze detectie identificeert een OAuth-app die is gemarkeerd als een hoog risico door het Machine Learning-model, die toestemming heeft gegeven voor verdachte bereiken, een verdachte regel voor Postvak IN maakt en vervolgens mappen en berichten van gebruikers heeft geopend via de Graph API. Regels voor Postvak IN, zoals het doorsturen van alle of specifieke e-mailberichten naar een ander e-mailaccount en Graph-aanroepen voor toegang tot e-mailberichten en het verzenden naar een ander e-mailaccount, kunnen een poging zijn om gegevens van uw organisatie te exfiltreren.

TP of FP?

• TP: als u kunt bevestigen dat de regel voor Postvak IN is gemaakt door een OAuth-app van derden met verdachte bereiken die afkomstig zijn van een onbekende bron, wordt een terecht-positief aangegeven.

  Aanbevolen actie: de app uitschakelen en verwijderen, het wachtwoord opnieuw instellen en de regel voor Postvak IN verwijderen.

Volg de zelfstudie over het opnieuw instellen van een wachtwoord met behulp van Microsoft Entra ID en volg de zelfstudie over het verwijderen van de regel voor Postvak IN.

• FP: als u kunt bevestigen dat de app om legitieme redenen een regel voor postvak IN heeft gemaakt voor een nieuw of persoonlijk extern e-mailaccount.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk alle activiteiten die door de app zijn uitgevoerd.
2. Controleer de bereiken die door de app zijn verleend.
3. Controleer de regelactie en voorwaarde voor postvak IN die door de app zijn gemaakt.

App met verdacht OAuth-bereik heeft grafiekoproepen gedaan om e-mail te lezen en een regel voor Postvak IN gemaakt

Ernst: gemiddeld

MITRE-id's: T1137.005, T1114

Deze detectie identificeert een OAuth-app die toestemming heeft verleend voor verdachte bereiken, een verdachte regel voor Postvak IN heeft gemaakt en vervolgens de e-mailmappen en berichten van gebruikers heeft geopend via de Graph API. Regels voor Postvak IN, zoals het doorsturen van alle of specifieke e-mailberichten naar een ander e-mailaccount en Graph-aanroepen voor toegang tot e-mailberichten en het verzenden naar een ander e-mailaccount, kunnen een poging zijn om gegevens van uw organisatie te exfiltreren.

TP of FP?

• TP: als u kunt bevestigen dat de regel voor postvak IN is gemaakt door een OAuth-app van derden met verdachte bereiken die afkomstig zijn van een onbekende bron, wordt een terecht-positief aangegeven.

  Aanbevolen actie: de app uitschakelen en verwijderen, het wachtwoord opnieuw instellen en de regel voor Postvak IN verwijderen.

  Volg de zelfstudie over het opnieuw instellen van een wachtwoord met behulp van Microsoft Entra ID en volg de zelfstudie over het verwijderen van de regel voor Postvak IN.

• FP: als u kunt bevestigen dat de app om legitieme redenen een regel voor postvak IN heeft gemaakt voor een nieuw of persoonlijk extern e-mailaccount.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk alle activiteiten die door de app zijn uitgevoerd.
2. Controleer de bereiken die door de app zijn verleend.
3. Controleer de regelactie en voorwaarde voor postvak IN die door de app zijn gemaakt.

App geopend vanaf ongebruikelijke locatie na het bijwerken van het certificaat

Urgentieniveau: laag

MITRE ID: T1098

Deze detectie activeert een waarschuwing wanneer een LOB-app (Line of Business) het certificaat/geheim is bijgewerkt en binnen enkele dagen na het bijwerken van het certificaat wordt de app geopend vanaf een ongebruikelijke locatie die niet onlangs is gezien of in het verleden nooit is geopend.

TP of FP?

• TP: als u kunt bevestigen dat de LOB-app vanaf een ongebruikelijke locatie is geopend en ongebruikelijke activiteiten heeft uitgevoerd via Graph API.

  Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app opnieuw in.

• FP-: als u kunt bevestigen dat de LOB-app toegankelijk is vanaf een ongebruikelijke locatie voor legitieme doeleinden en er geen ongebruikelijke activiteiten zijn uitgevoerd.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk alle activiteiten die door deze app zijn uitgevoerd.
2. Controleer de bereiken die door de app zijn verleend.
3. Controleer de gebruikersactiviteit die is gekoppeld aan deze app.

App geopend vanaf ongebruikelijke locatie heeft afwijkende Graph-aanroepen gedaan na het bijwerken van het certificaat

Ernst: gemiddeld

MITRE ID: T1098

Deze detectie activeert een waarschuwing wanneer een LOB-app (Line of Business) het certificaat/geheim heeft bijgewerkt en binnen enkele dagen na het bijwerken van het certificaat wordt de app geopend vanaf een ongebruikelijke locatie die in het verleden niet is gezien of nooit is geopend en ongebruikelijke activiteiten of gebruik heeft waargenomen via Graph API met behulp van machine learning-algoritme.

TP of FP?

• TP-: als u kunt bevestigen dat ongebruikelijke activiteiten/gebruik door de LOB-app zijn uitgevoerd via Graph API vanaf een ongebruikelijke locatie.

  Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app opnieuw in.

• FP-: als u kunt bevestigen dat de LOB-app toegankelijk is vanaf een ongebruikelijke locatie voor legitieme doeleinden en er geen ongebruikelijke activiteiten zijn uitgevoerd.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk alle activiteiten die door deze app zijn uitgevoerd.
2. Controleer de bereiken die door de app zijn verleend.
3. Controleer de gebruikersactiviteit die is gekoppeld aan deze app.

App die onlangs is gemaakt, heeft een groot aantal ingetrokken toestemmingen

Ernst: gemiddeld

MITRE-id: T1566, T1098

Verschillende gebruikers hebben hun toestemming voor deze onlangs gemaakte LOB-app (Line-Of-Business) of een app van derden ingetrokken. Deze app heeft gebruikers mogelijk onbedoeld toestemming gegeven.

TP of FP?

• TP: als u kunt bevestigen dat de OAuth-app wordt geleverd vanuit een onbekende bron en dat het app-gedrag verdacht is. 

  Aanbevolen actie: trek toestemmingen in die aan de app zijn verleend en schakel de app uit. 

• FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik in de organisatie heeft en dat er geen ongebruikelijke activiteiten door de app zijn uitgevoerd.

  Aanbevolen actie: Sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer alle activiteiten die door de app worden uitgevoerd.
2. Als u vermoedt dat een app verdacht is, raden we u aan de naam en het antwoorddomein van de app in verschillende app-stores te onderzoeken. Wanneer u app-stores controleert, richt u zich op de volgende typen apps:
   • Apps die onlangs zijn gemaakt.
   • Apps met een ongebruikelijke weergavenaam
   • Apps met een verdacht antwoorddomein
3. Als u nog steeds vermoedt dat een app verdacht is, kunt u de weergavenaam en het antwoorddomein van de app onderzoeken.

App-metagegevens die zijn gekoppeld aan bekende phishingcampagne

Ernst: gemiddeld

Deze detectie genereert waarschuwingen voor niet-Microsoft OAuth-apps met metagegevens, zoals naam, URL of uitgever, die eerder waren waargenomen in apps die zijn gekoppeld aan een phishingcampagne. Deze apps maken mogelijk deel uit van dezelfde campagne en zijn mogelijk betrokken bij exfiltratie van gevoelige informatie.

TP of FP?

• TP: als u kunt bevestigen dat de OAuth-app wordt geleverd vanuit een onbekende bron en ongebruikelijke activiteiten uitvoert.

  Aanbevolen actie:

  • Onderzoek de registratiegegevens van de app over app-governance en ga naar Microsoft Entra ID voor meer informatie.
  • Neem contact op met de gebruikers of beheerders die toestemming of machtigingen voor de app hebben verleend. Controleer of de wijzigingen opzettelijk zijn.
  • Zoek in de geavanceerde opsporingstabel van CloudAppEvents om de app-activiteit te begrijpen en te bepalen of het waargenomen gedrag wordt verwacht.
  • Controleer of de app essentieel is voor uw organisatie voordat u eventuele insluitingsacties overweegt. Deactiveer de app met behulp van app-governance of Microsoft Entra ID om te voorkomen dat deze toegang heeft tot resources. Bestaande beleidsregels voor app-governance hebben de app mogelijk al gedeactiveerd.

• FP: Als u kunt bevestigen dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de app en dat de app een legitiem zakelijk gebruik in de organisatie heeft.

  Aanbevolen actie: Sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer alle activiteiten die door de app worden uitgevoerd.
2. Controleer de bereiken die aan de app zijn verleend.
3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

App-metagegevens die zijn gekoppeld aan eerder gemarkeerde verdachte apps

Ernst: gemiddeld

Met deze detectie worden waarschuwingen gegenereerd voor niet-Microsoft OAuth-apps met metagegevens, zoals naam, URL of uitgever, die eerder waren waargenomen in apps die zijn gemarkeerd door app-governance vanwege verdachte activiteiten. Deze app maakt mogelijk deel uit van een aanvalscampagne en is mogelijk betrokken bij exfiltratie van gevoelige informatie.

TP of FP?

• TP: als u kunt bevestigen dat de OAuth-app wordt geleverd vanuit een onbekende bron en ongebruikelijke activiteiten uitvoert.

  Aanbevolen actie:

  • Onderzoek de registratiegegevens van de app over app-governance en ga naar Microsoft Entra ID voor meer informatie.
  • Neem contact op met de gebruikers of beheerders die toestemming of machtigingen voor de app hebben verleend. Controleer of de wijzigingen opzettelijk zijn.
  • Zoek in de geavanceerde opsporingstabel van CloudAppEvents om de app-activiteit te begrijpen en te bepalen of het waargenomen gedrag wordt verwacht.
  • Controleer of de app essentieel is voor uw organisatie voordat u eventuele insluitingsacties overweegt. Deactiveer de app met behulp van app-governance of Microsoft Entra ID om te voorkomen dat deze toegang heeft tot resources. Bestaande beleidsregels voor app-governance hebben de app mogelijk al gedeactiveerd.

• FP: Als u kunt bevestigen dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de app en dat de app een legitiem zakelijk gebruik in de organisatie heeft.

  Aanbevolen actie: Sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer alle activiteiten die door de app worden uitgevoerd.
2. Controleer de bereiken die aan de app zijn verleend.
3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

Verdachte E-mailactiviteit van de OAuth-app via Graph API

Ernst: Hoog

Met deze detectie worden waarschuwingen gegenereerd voor OAuth-apps met meerdere tenants, geregistreerd door gebruikers met een hoog risico, die oproepen hebben gedaan naar Microsoft Graph API om binnen korte tijd verdachte e-mailactiviteiten uit te voeren.

Met deze detectie wordt gecontroleerd of de API-aanroepen zijn gemaakt voor het maken van postvakregels, het maken van antwoord-e-mail, het doorsturen van e-mail, het beantwoorden of nieuwe e-mailberichten die worden verzonden. Apps die deze waarschuwing activeren, verzenden mogelijk actief spam of schadelijke e-mailberichten naar andere doelen of exfiltreren vertrouwelijke gegevens en wissen sporen om detectie te omzeilen.

TP of FP?

• TP: Als u kunt bevestigen dat het maken van de app en de toestemmingsaanvraag voor de app is geleverd vanuit een onbekende of externe bron en de app geen legitiem zakelijk gebruik heeft in de organisatie, wordt een echt positief weergegeven.

  Aanbevolen actie:

  • Neem contact op met gebruikers en beheerders die toestemming hebben verleend voor deze app om te bevestigen dat dit opzettelijk was en de overmatige bevoegdheden normaal zijn.

  • App-activiteit onderzoeken en betrokken accounts controleren op verdachte activiteiten.

  • Op basis van uw onderzoek schakelt u de app uit, onderbreekt en stelt u wachtwoorden opnieuw in voor alle betrokken accounts en verwijdert u de regel voor Postvak IN.

  • Classificeer de waarschuwing als een waar-positief.

• FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik in de organisatie heeft, wordt een fout-positief aangegeven.

  Aanbevolen actie:

  • Classificeer de waarschuwing als een fout-positief en overweeg feedback te delen op basis van uw onderzoek van de waarschuwing.

  • Inzicht in het bereik van de inbreuk:

    Bekijk de toestemming die wordt verleend aan de toepassing die is gemaakt door gebruikers en beheerders. Onderzoek alle activiteiten die door de app worden uitgevoerd, met name toegang tot het postvak van gekoppelde gebruikers en beheerdersaccounts. Als u vermoedt dat de app verdacht is, kunt u overwegen de toepassing uit te schakelen en referenties van alle betrokken accounts te roteren.

Verdachte E-mailactiviteit van OAuth-apps via EWS-API

Ernst: Hoog

Met deze detectie worden waarschuwingen gegenereerd voor OAuth-apps met meerdere tenants, geregistreerd door gebruikers met een hoog risicovolle aanmelding, die aanroepen naar de EWS-API (Microsoft Exchange Web Services) hebben gedaan om binnen korte tijd verdachte e-mailactiviteiten uit te voeren.

Met deze detectie wordt gecontroleerd of de API-aanroepen zijn gedaan om regels voor Postvak IN bij te werken, items te verplaatsen, e-mail te verwijderen, map te verwijderen of bijlage te verwijderen. Apps die deze waarschuwing activeren, kunnen vertrouwelijke gegevens actief exfiltreren of verwijderen en sporen wissen om detectie te omzeilen.

TP of FP?

• TP: Als u kunt bevestigen dat het maken van de app en de toestemmingsaanvraag voor de app is geleverd vanuit een onbekende of externe bron en de app geen legitiem zakelijk gebruik heeft in de organisatie, wordt een echt positief weergegeven.

  Aanbevolen actie:

  • Neem contact op met gebruikers en beheerders die toestemming hebben verleend voor deze app om te bevestigen dat dit opzettelijk was en de overmatige bevoegdheden normaal zijn.

  • App-activiteit onderzoeken en betrokken accounts controleren op verdachte activiteiten.

  • Op basis van uw onderzoek schakelt u de app uit, onderbreekt en stelt u wachtwoorden opnieuw in voor alle betrokken accounts en verwijdert u de regel voor Postvak IN.

  • Classificeer de waarschuwing als een waar-positief.

• FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik in de organisatie heeft, wordt een fout-positief aangegeven.

  Aanbevolen actie:

  • Classificeer de waarschuwing als een fout-positief en overweeg feedback te delen op basis van uw onderzoek van de waarschuwing.

  • Inzicht in het bereik van de inbreuk:

    Bekijk de toestemming die wordt verleend aan de toepassing die is gemaakt door gebruikers en beheerders. Onderzoek alle activiteiten die door de app worden uitgevoerd, met name toegang tot het postvak van gekoppelde gebruikers en beheerdersaccounts. Als u vermoedt dat de app verdacht is, kunt u overwegen de toepassing uit te schakelen en referenties van alle betrokken accounts te roteren.

Waarschuwingen voor escalatie van bevoegdheden

De OAuth-app met verdachte metagegevens heeft een Exchange-machtiging

Ernst: gemiddeld

MITRE-id: T1078

Deze waarschuwing wordt geactiveerd wanneer een Line-Of-Business-app met verdachte metagegevens gemachtigd is om machtigingen voor Exchange te beheren.

TP of FP?

• TP: Als u kunt bevestigen dat de OAuth-app wordt geleverd vanuit een onbekende bron en verdachte metagegevenskenmerken heeft, wordt een waar-positief aangegeven.

Aanbevolen actie: trek toestemmingen in die aan de app zijn verleend en schakel de app uit.

FP: als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

Aanbevolen actie: Sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk alle activiteiten die door de app zijn uitgevoerd.
2. Controleer de bereiken die door de app zijn verleend.
3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

Waarschuwingen voor beveiligingsontduiking

App die een Microsoft-logo imiteert

Ernst: gemiddeld

Een niet-Microsoft-cloud-app gebruikt een logo dat is gevonden door een machine learning-algoritme dat lijkt op een Microsoft-logo. Dit kan een poging zijn om Microsoft-softwareproducten te imiteren en legitiem te lijken.

Opmerking

Tenantbeheerders moeten via pop-up toestemming geven om vereiste gegevens buiten de huidige nalevingsgrens te laten verzenden en partnerteams binnen Microsoft te selecteren om deze bedreigingsdetectie in te schakelen voor Line-Of-Business-apps.

TP of FP?

• TP: Als u kunt bevestigen dat het app-logo een imitatie is van een Microsoft-logo en dat het app-gedrag verdacht is. 

  Aanbevolen actie: trek toestemmingen in die aan de app zijn verleend en schakel de app uit.

• FP: Als u kunt bevestigen dat het app-logo geen imitatie van een Microsoft-logo is of dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de app. 

  Aanbevolen actie: Sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer alle activiteiten die door de app worden uitgevoerd.
2. Controleer de bereiken die aan de app zijn verleend.
3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

App is gekoppeld aan een typosquatted domein

Ernst: gemiddeld

Deze detectie genereert waarschuwingen voor niet-Microsoft OAuth-apps met uitgeversdomeinen of omleidings-URL's die typosquatted versies van Microsoft-merknamen bevatten. Typosquatting wordt over het algemeen gebruikt om verkeer naar sites vast te leggen wanneer gebruikers per ongeluk URL's verkeerd invoeren, maar ze kunnen ook worden gebruikt om populaire softwareproducten en -services te imiteren.

TP of FP?

• TP: als u kunt bevestigen dat het uitgeversdomein of de omleidings-URL van de app is getypeerd en niet gerelateerd is aan de ware identiteit van de app.

  Aanbevolen actie:

  • Onderzoek de registratiegegevens van de app over app-governance en ga naar Microsoft Entra ID voor meer informatie.
  • Controleer de app op andere tekenen van adresvervalsing of imitatie en verdachte activiteiten.
  • Controleer of de app essentieel is voor uw organisatie voordat u eventuele insluitingsacties overweegt. Deactiveer de app met app-governance om te voorkomen dat deze toegang heeft tot resources. Bestaande beleidsregels voor app-governance hebben de app mogelijk al gedeactiveerd.

• FP: als u kunt bevestigen dat het uitgeversdomein en de omleidings-URL van de app legitiem zijn. 

  Aanbevolen actie: classificeer de waarschuwing als een fout-positief en overweeg feedback te delen op basis van uw onderzoek naar de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer alle activiteiten die door de app worden uitgevoerd.
2. Controleer de bereiken die aan de app zijn verleend.
3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

Toegang tot referenties

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert gevoelige referentiegegevens te lezen en bestaat uit technieken voor het stelen van referenties zoals accountnamen, geheimen, tokens, certificaten en wachtwoorden in uw organisatie.

Toepassing die meerdere mislukte KeyVault-leesactiviteit start zonder succes

Ernst: gemiddeld

MITRE-id: T1078.004

Deze detectie identificeert een toepassing in uw tenant die meerdere leesactieaanroepen heeft uitgevoerd naar de KeyVault met behulp van Azure Resource Manager API in een kort interval, waarbij alleen fouten en geen geslaagde leesactiviteit zijn voltooid.

TP of FP?

• TP: als de app onbekend is of niet wordt gebruikt, is de opgegeven activiteit mogelijk verdacht. Na het controleren van de Gebruikte Azure-resource en het valideren van het app-gebruik in de tenant, kan voor de opgegeven activiteit vereist zijn dat de app wordt uitgeschakeld. Dit is meestal een bewijs van een vermoedelijke opsommingsactiviteit voor de KeyVault-resource om toegang te krijgen tot referenties voor laterale verplaatsing of escalatie van bevoegdheden.

  Aanbevolen acties: controleer de Azure-resources die zijn geopend of gemaakt door de toepassing en eventuele recente wijzigingen in de toepassing. Kies op basis van uw onderzoek of u de toegang tot deze app wilt verbieden. Controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend.

• FP: Als u na onderzoek kunt bevestigen dat de app legitiem zakelijk gebruik heeft in de organisatie.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer de toegang en activiteit van de app.
2. Bekijk alle activiteiten die door de app zijn uitgevoerd sinds het maken ervan.
3. Controleer de bereiken die zijn verleend door de app in Graph API en de rol die aan de app is verleend in uw abonnement.
4. Controleer elke gebruiker die de app mogelijk heeft geopend voorafgaand aan de activiteit.

Ontdekkingswaarschuwingen

App uitgevoerde stationsinventarisatie

Ernst: gemiddeld

MITRE-id: T1087

Met deze detectie wordt een OAuth-app geïdentificeerd die met een Machine Learning-model OneDrive-bestanden inventariseert met behulp van Graph API.

TP of FP?

• TP: als u kunt bevestigen dat ongebruikelijke activiteiten/gebruik van OneDrive door de LOB-app zijn uitgevoerd via Graph API.

  Aanbevolen actie: de app uitschakelen en verwijderen, en het wachtwoord opnieuw instellen.

• FP:Als u kunt bevestigen dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de app.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk alle activiteiten die door deze app zijn uitgevoerd.
2. Controleer de bereiken die door de app zijn verleend.
3. Controleer de gebruikersactiviteit die is gekoppeld aan deze app.

Verdachte opsommingsactiviteiten uitgevoerd met Microsoft Graph PowerShell

Ernst: gemiddeld

MITRE-id: T1087

Deze detectie identificeert een groot aantal verdachte opsommingsactiviteiten die binnen een korte periode worden uitgevoerd via een Microsoft Graph PowerShell-toepassing .

TP of FP?

• TP: als u kunt bevestigen dat verdachte/ongebruikelijke opsommingsactiviteiten zijn uitgevoerd door de Microsoft Graph PowerShell-toepassing.

  Aanbevolen actie: schakel de app uit en verwijder deze, en stel het wachtwoord opnieuw in.

• FP-: als u kunt bevestigen dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de toepassing.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk alle activiteiten die door deze toepassing worden uitgevoerd.
2. Controleer de gebruikersactiviteit die is gekoppeld aan deze toepassing.

Onlangs gemaakte multitenant-toepassing inventariseert gebruikersgegevens regelmatig

Ernst: gemiddeld

MITRE-id: T1087

Met deze waarschuwing vindt u OAuth-apps die onlangs zijn geregistreerd in een relatief nieuwe uitgevertenant met machtigingen voor het wijzigen van postvakinstellingen en toegang tot e-mailberichten. Er wordt gecontroleerd of de app meerdere aanroepen heeft gedaan naar Microsoft Graph API om gebruikerslijstgegevens op te vragen. Apps die deze waarschuwing activeren, lokken mogelijk gebruikers om toestemming te geven, zodat ze toegang hebben tot organisatiegegevens.

TP of FP?

• TP: Als u kunt bevestigen dat de toestemmingsaanvraag voor de app is geleverd vanuit een onbekende of externe bron en de app geen legitiem zakelijk gebruik heeft in de organisatie, wordt een echt positief aangegeven.

  Aanbevolen actie:

  • Neem contact op met gebruikers en beheerders die toestemming hebben verleend voor deze app om te bevestigen dat dit opzettelijk was en de overmatige bevoegdheden normaal zijn.
  • App-activiteit onderzoeken en betrokken accounts controleren op verdachte activiteiten.
  • Op basis van uw onderzoek kunt u de app uitschakelen en wachtwoorden onderbreken en opnieuw instellen voor alle betrokken accounts.
  • Classificeer de waarschuwing als een waar-positief.

• FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik in de organisatie heeft, wordt een fout-positief aangegeven.

  Aanbevolen actie: classificeer de waarschuwing als een fout-positief en overweeg feedback te delen op basis van uw onderzoek naar de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

Bekijk de toestemming die wordt verleend aan de toepassing die is gemaakt door gebruikers en beheerders. Onderzoek alle activiteiten die door de app worden uitgevoerd, met name inventarisatie van gebruikersmapgegevens. Als u vermoedt dat de app verdacht is, kunt u overwegen de toepassing uit te schakelen en referenties van alle betrokken accounts te roteren.

Exfiltratiewaarschuwingen

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert gegevens te stelen die interessant zijn voor hun doel van uw organisatie.

OAuth-app met ongebruikelijke gebruikersagent

Urgentieniveau: laag

MITRE-id: T1567

Deze detectie identificeert een OAuth-toepassing die gebruikmaakt van een ongebruikelijke gebruikersagent voor toegang tot de Graph API.

TP of FP?

• TP: Als u kunt bevestigen dat de OAuth-app onlangs een nieuwe gebruikersagent heeft gebruikt die niet eerder is gebruikt en deze wijziging onverwacht is, wordt een waar-positief aangegeven.

  Aanbevolen acties: controleer de gebruikte gebruikersagents en eventuele recente wijzigingen in de toepassing. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te verbieden. Controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend.

• FP: als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer de apps die onlangs zijn gemaakt en de gebruikte gebruikersagents.
2. Bekijk alle activiteiten die door de app zijn uitgevoerd. 
3. Controleer de bereiken die door de app zijn verleend. 

App met een ongebruikelijke gebruikersagent die toegang heeft tot e-mailgegevens via Exchange Web Services

Ernst: Hoog

MITRE-id: T1114, T1567

Deze detectie identificeert een OAuth-app die een ongebruikelijke gebruikersagent heeft gebruikt voor toegang tot e-mailgegevens met behulp van de Exchange Web Services-API.

TP of FP?

• TP: als u kunt bevestigen dat de OAuth-toepassing naar verwachting niet de gebruikersagent wijzigt die wordt gebruikt om aanvragen te doen bij de Exchange Web Services-API, wordt een waar-positief aangegeven.

  Aanbevolen acties: classificeer de waarschuwing als een TP. Op basis van het onderzoek kunt u, als de app schadelijk is, toestemming intrekken en de app uitschakelen in de tenant. Als het een gecompromitteerde app is, kunt u de toestemmingen intrekken, de app tijdelijk uitschakelen, de machtigingen controleren, het geheim en het certificaat opnieuw instellen en de app vervolgens opnieuw inschakelen.

• FP: Als u na onderzoek kunt bevestigen dat de gebruikersagent die door de toepassing wordt gebruikt, een legitiem zakelijk gebruik heeft in de organisatie.

  Aanbevolen actie: classificeer de waarschuwing als een FP. U kunt ook feedback delen op basis van uw onderzoek naar de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer of de toepassing zojuist is gemaakt of dat er recente wijzigingen zijn aangebracht.
2. Controleer de machtigingen die zijn verleend aan de toepassing en gebruikers die toestemming hebben gegeven voor de toepassing.
3. Bekijk alle activiteiten die door de app zijn uitgevoerd.

Waarschuwingen voor laterale verplaatsing

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk lateraal binnen verschillende resources probeert te verplaatsen, terwijl ze door meerdere systemen en accounts draaien om meer controle te krijgen in uw organisatie.

Slapende OAuth-app die voornamelijk gebruikmaakt van MS Graph of Exchange Web Services die onlangs toegang hebben tot ARM-workloads

Ernst: gemiddeld

MITRE-id: T1078.004

Deze detectie identificeert een toepassing in uw tenant die, na een lange periode van inactieve activiteit, voor het eerst toegang heeft tot de Azure Resource Manager API. Voorheen maakte deze toepassing voornamelijk gebruik van MS Graph of Exchange-webservice.

TP of FP?

• TP: als de app onbekend is of niet wordt gebruikt, is de opgegeven activiteit mogelijk verdacht en moet de app mogelijk worden uitgeschakeld, nadat is gecontroleerd welke Azure-resource wordt gebruikt en het app-gebruik in de tenant moet worden gecontroleerd.

  Aanbevolen acties:

  1. Controleer de Azure-resources die door de toepassing zijn geopend of gemaakt en eventuele recente wijzigingen in de toepassing.
  2. Controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend.
  3. Kies op basis van uw onderzoek of u de toegang tot deze app wilt verbieden.

• FP: Als u na onderzoek kunt bevestigen dat de app legitiem zakelijk gebruik heeft in de organisatie.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer de toegang en activiteit van de app.
2. Bekijk alle activiteiten die door de app zijn uitgevoerd sinds het maken ervan.
3. Controleer de bereiken die zijn verleend door de app in Graph API en de rol die aan de app is verleend in uw abonnement.
4. Controleer elke gebruiker die de app mogelijk heeft geopend voorafgaand aan de activiteit.

Verzamelingswaarschuwingen

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk gegevens probeert te verzamelen die van belang zijn voor het doel van uw organisatie.

App heeft ongebruikelijke e-mailzoekactiviteiten gemaakt

Ernst: gemiddeld

MITRE-ID: T1114

Deze detectie identificeert wanneer een app toestemming heeft gegeven voor een verdacht OAuth-bereik en een groot aantal ongebruikelijke e-mailzoekactiviteiten heeft uitgevoerd, zoals het zoeken naar e-mail naar specifieke inhoud via de Graph API. Dit kan duiden op een poging tot inbreuk op uw organisatie, zoals kwaadwillenden die specifieke e-mail van uw organisatie zoeken en lezen via Graph API. 

TP of FP?

• TP: Als u een groot aantal ongebruikelijke zoek- en leesactiviteiten via e-mail kunt bevestigen via de Graph API door een OAuth-app met een verdacht OAuth-bereik en dat de app wordt geleverd vanuit een onbekende bron.

  Aanbevolen acties: de app uitschakelen en verwijderen, het wachtwoord opnieuw instellen en de regel voor Postvak IN verwijderen. 

• FP: Als u kunt bevestigen dat de app een groot aantal ongebruikelijke e-mailzoekopdrachten heeft uitgevoerd en Graph API om legitieme redenen heeft doorgelezen.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer de bereiken die door de app zijn verleend.
2. Bekijk alle activiteiten die door de app zijn uitgevoerd. 

App heeft afwijkende Graph-aanroepen gedaan om e-mail te lezen

Ernst: gemiddeld

MITRE-ID: T1114

Deze detectie identificeert wanneer de Line of Business (LOB) OAuth-app toegang krijgt tot een ongebruikelijk en groot aantal e-mailmappen en berichten van gebruikers via de Graph API, wat kan wijzen op een poging tot inbreuk op uw organisatie.

TP of FP?

• TP: als u kunt bevestigen dat de ongebruikelijke Graph-activiteit is uitgevoerd door de Line of Business (LOB) OAuth-app, wordt een terecht-positief aangegeven.

  Aanbevolen acties: schakel de app tijdelijk uit en stel het wachtwoord opnieuw in en schakel de app vervolgens opnieuw in. Volg de zelfstudie over het opnieuw instellen van een wachtwoord met behulp van Microsoft Entra ID.

• FP: als u kunt bevestigen dat de app is bedoeld om ongebruikelijk grote hoeveelheden Graph-aanroepen uit te voeren.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer het activiteitenlogboek op gebeurtenissen die door deze app worden uitgevoerd om meer inzicht te krijgen in andere Graph-activiteiten om e-mailberichten te lezen en gevoelige e-mailgegevens van gebruikers te verzamelen.
2. Controleer op onverwachte referenties die worden toegevoegd aan de app.

App maakt regel voor Postvak IN en heeft ongebruikelijke activiteiten voor e-mailzoekopdrachten uitgevoerd

Ernst: gemiddeld

MITRE-id's: T1137, T1114

Deze detectie identificeert de app die is toegelaten tot het bereik met hoge bevoegdheden, maakt een verdachte regel voor Postvak IN en heeft ongebruikelijke e-mailzoekactiviteiten uitgevoerd in e-mailmappen van gebruikers via Graph API. Dit kan duiden op een poging tot schending van uw organisatie, zoals indringers die specifieke e-mailberichten van uw organisatie proberen te zoeken en verzamelen via Graph API.

TP of FP?

• TP: als u kunt bevestigen dat specifieke e-mailberichten worden gezocht en verzameld via Graph API door een OAuth-app met een hoog bevoegdheidsbereik en de app wordt geleverd vanuit een onbekende bron.

  Aanbevolen actie: de app uitschakelen en verwijderen, het wachtwoord opnieuw instellen en de regel voor Postvak IN verwijderen.

• FP: als u kunt bevestigen dat de app specifieke e-mailzoekopdrachten en -verzameling heeft uitgevoerd via Graph API en om legitieme redenen een regel voor Postvak IN heeft gemaakt in een nieuw of persoonlijk extern e-mailaccount.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk alle activiteiten die door de app zijn uitgevoerd.
2. Controleer de bereiken die door de app zijn verleend.
3. Controleer een regelactie voor Postvak IN die door de app is gemaakt.
4. Bekijk alle zoekactiviteiten voor e-mail die door de app zijn uitgevoerd.

App heeft OneDrive/SharePoint-zoekactiviteiten gemaakt en een regel voor Postvak IN gemaakt

Ernst: gemiddeld

MITRE-id's: T1137, T1213

Deze detectie identificeert dat een app toestemming heeft verleend voor een bereik met hoge bevoegdheden, een verdachte regel voor Postvak IN heeft gemaakt en ongebruikelijke SharePoint- of OneDrive-zoekactiviteiten heeft uitgevoerd via Graph API. Dit kan duiden op een poging tot schending van uw organisatie, zoals indringers die specifieke SharePoint- of OneDrive-gegevens van uw organisatie proberen te zoeken en verzamelen via Graph API. 

TP of FP?

• TP: als u specifieke gegevens uit SharePoint of OneDrive kunt bevestigen via Graph API door een OAuth-app met een bereik met hoge bevoegdheden en de app wordt geleverd vanuit een onbekende bron. 

  Aanbevolen actie: De app uitschakelen en verwijderen, het wachtwoord opnieuw instellen en de regel voor Postvak IN verwijderen. 

• FP: Als u kunt bevestigen dat de app specifieke gegevens heeft uitgevoerd vanuit SharePoint of OneDrive via Graph API door een OAuth-app en om legitieme redenen een regel voor Postvak IN heeft gemaakt voor een nieuw of persoonlijk extern e-mailaccount. 

  Aanbevolen actie: Sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk alle activiteiten die door de app zijn uitgevoerd. 
2. Controleer de bereiken die door de app zijn verleend. 
3. Controleer een regelactie voor Postvak IN die door de app is gemaakt. 
4. Bekijk alle SharePoint- of OneDrive-zoekactiviteiten die door de app zijn uitgevoerd.

App heeft talloze zoekopdrachten en bewerkingen uitgevoerd in OneDrive

Ernst: gemiddeld

MITRE-id's: T1137, T1213

Deze detectie identificeert OAuth-apps met machtigingen met hoge bevoegdheden die een groot aantal zoekopdrachten en bewerkingen uitvoeren in OneDrive met behulp van Graph API.

TP of FP?

• TP: Als u kunt bevestigen dat een hoog gebruik van OneDrive-workload via Graph API niet wordt verwacht van deze OAuth-toepassing met hoge machtigingen voor lezen en schrijven naar OneDrive, wordt een echt positief aangegeven.

  Aanbevolen actie: op basis van het onderzoek kunt u, als de toepassing schadelijk is, toestemming intrekken en de toepassing uitschakelen in de tenant. Als het een gecompromitteerde toepassing is, kunt u de toestemmingen intrekken, de app tijdelijk uitschakelen, de vereiste machtigingen controleren, het wachtwoord opnieuw instellen en de app vervolgens opnieuw inschakelen.

• FP: als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

  Aanbevolen actie: los de waarschuwing op en rapporteer uw bevindingen.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer of de app afkomstig is van een betrouwbare bron.
2. Controleer of de toepassing zojuist is gemaakt of dat er recente wijzigingen zijn aangebracht.
3. Controleer de machtigingen die zijn verleend aan de toepassing en gebruikers die toestemming hebben gegeven voor de toepassing.
4. Alle andere app-activiteiten onderzoeken.

App heeft groot aantal activiteiten voor belangrijke e-mail lezen uitgevoerd en regel voor Postvak IN gemaakt

Ernst: gemiddeld

MITRE-id's: T1137, T1114

Deze detectie identificeert dat een app toestemming heeft verleend voor een bereik met hoge bevoegdheden, een verdachte regel voor Postvak IN heeft gemaakt en een groot aantal activiteiten voor belangrijke e-mail lezen heeft uitgevoerd via Graph API. Dit kan duiden op een poging tot schending van uw organisatie, zoals indringers die belangrijke e-mail van uw organisatie proberen te lezen via Graph API. 

TP of FP?

• TP: als u kunt bevestigen dat een groot volume belangrijke e-mail wordt gelezen via Graph API door een OAuth-app met een hoog bevoegdheidsbereik en de app wordt geleverd vanuit een onbekende bron. 

  Aanbevolen actie: De app uitschakelen en verwijderen, het wachtwoord opnieuw instellen en de regel voor Postvak IN verwijderen. 

• FP: Als u kunt bevestigen dat de app een groot aantal belangrijke e-mail heeft doorgelezen Graph API en een regel voor Postvak IN heeft gemaakt voor een nieuw of persoonlijk extern e-mailaccount om legitieme redenen. 

  Aanbevolen actie: Sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Bekijk alle activiteiten die door de app zijn uitgevoerd. 
2. Controleer de bereiken die door de app zijn verleend. 
3. Controleer een regelactie voor Postvak IN die door de app is gemaakt. 
4. Controleer alle activiteiten voor belangrijke e-mail lezen die door de app zijn uitgevoerd.

Bevoorrechte app heeft ongebruikelijke activiteiten uitgevoerd in Teams

Ernst: gemiddeld

Deze detectie identificeert apps die toestemming hebben gegeven voor OAuth-bereiken met hoge bevoegdheden, die toegang hebben tot Microsoft Teams en een ongebruikelijk volume van activiteiten voor het lezen of posten van chatberichten hebben gemaakt via Graph API. Dit kan duiden op een poging tot inbreuk op uw organisatie, zoals kwaadwillenden die via Graph API informatie van uw organisatie proberen te verzamelen.

TP of FP?

• TP: als u kunt bevestigen dat ongebruikelijke chatberichten in Microsoft Teams via Graph API door een OAuth-app met een bereik met hoge bevoegdheden en de app wordt geleverd vanuit een onbekende bron.

  Aanbevolen actie: de app uitschakelen en verwijderen en het wachtwoord opnieuw instellen

• FP: Als u kunt bevestigen dat de ongebruikelijke activiteiten die via Graph API in Microsoft Teams zijn uitgevoerd, om legitieme redenen waren.

  Aanbevolen actie: Sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer de bereiken die door de app zijn verleend.
2. Bekijk alle activiteiten die door de app zijn uitgevoerd.
3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

Afwijkende OneDrive-activiteit per app die zojuist nieuwe referenties heeft bijgewerkt of toegevoegd

Ernst: gemiddeld

MITRE-id's: T1098.001, T1213

Een niet-Microsoft-cloud-app heeft afwijkende Graph API aanroepen naar OneDrive gemaakt, inclusief gegevensgebruik met een hoog volume. Deze ongebruikelijke API-aanroepen, die zijn gedetecteerd door machine learning, zijn binnen een paar dagen nadat de app nieuwe certificaten/geheimen heeft toegevoegd of bijgewerkt. Deze app is mogelijk betrokken bij gegevensexfiltratie of andere pogingen om gevoelige informatie te openen en op te halen.

TP of FP?

• TP: als u kunt bevestigen dat ongebruikelijke activiteiten, zoals een groot gebruik van OneDrive-workload, door de app zijn uitgevoerd via Graph API.

  Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app vervolgens opnieuw in.

• FP: als u kunt bevestigen dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de app of dat de app is bedoeld om een ongewoon groot aantal Graph-aanroepen te maken.

  Aanbevolen actie: Sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer alle activiteiten die door de app worden uitgevoerd.
2. Controleer de bereiken die door de app zijn verleend.
3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

Afwijkende SharePoint-activiteit per app die zojuist nieuwe referenties heeft bijgewerkt of toegevoegd

Ernst: gemiddeld

MITRE-id's: T1098.001, T1213.002

Een niet-Microsoft-cloud-app heeft afwijkende Graph API aanroepen naar SharePoint gemaakt, inclusief gegevensgebruik met een hoog volume. Deze ongebruikelijke API-aanroepen, die zijn gedetecteerd door machine learning, zijn binnen een paar dagen nadat de app nieuwe certificaten/geheimen heeft toegevoegd of bijgewerkt. Deze app is mogelijk betrokken bij gegevensexfiltratie of andere pogingen om gevoelige informatie te openen en op te halen.

TP of FP?

• TP: als u kunt bevestigen dat ongebruikelijke activiteiten, zoals een groot volumegebruik van SharePoint-workload, door de app zijn uitgevoerd via Graph API.

  Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app vervolgens opnieuw in.

• FP: als u kunt bevestigen dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de app of dat de app is bedoeld om een ongewoon groot aantal Graph-aanroepen te maken.

  Aanbevolen actie: Sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer alle activiteiten die door de app worden uitgevoerd.
2. Controleer de bereiken die door de app zijn verleend.
3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

App-metagegevens die zijn gekoppeld aan verdachte e-mailactiviteiten

Ernst: gemiddeld

MITRE-id's: T1114

Deze detectie genereert waarschuwingen voor niet-Microsoft OAuth-apps met metagegevens, zoals naam, URL of uitgever, die eerder waren waargenomen in apps met verdachte e-mailactiviteiten. Deze app maakt mogelijk deel uit van een aanvalscampagne en is mogelijk betrokken bij exfiltratie van gevoelige informatie.

TP of FP?

• TP: als u kunt bevestigen dat de app postvakregels heeft gemaakt of een groot aantal ongebruikelijke Graph API aanroepen naar de Exchange-workload heeft gemaakt.

  Aanbevolen actie:

  • Onderzoek de registratiegegevens van de app over app-governance en ga naar Microsoft Entra ID voor meer informatie.
  • Neem contact op met de gebruikers of beheerders die toestemming of machtigingen voor de app hebben verleend. Controleer of de wijzigingen opzettelijk zijn.
  • Zoek in de geavanceerde opsporingstabel van CloudAppEvents om inzicht te krijgen in app-activiteit en gegevens te identificeren die door de app worden geopend. Controleer de betrokken postvakken en controleer berichten die mogelijk zijn gelezen of doorgestuurd door de app zelf of regels die zijn gemaakt.
  • Controleer of de app essentieel is voor uw organisatie voordat u eventuele insluitingsacties overweegt. Deactiveer de app met behulp van app-governance of Microsoft Entra ID om te voorkomen dat deze toegang heeft tot resources. Bestaande beleidsregels voor app-governance hebben de app mogelijk al gedeactiveerd.

• FP: Als u kunt bevestigen dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de app en dat de app een legitiem zakelijk gebruik in de organisatie heeft.

  Aanbevolen actie: Sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer alle activiteiten die door de app worden uitgevoerd.
2. Controleer de bereiken die aan de app zijn verleend.
3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

App met EWS-toepassingsmachtigingen voor toegang tot talloze e-mailberichten

Ernst: gemiddeld

MITRE-id's: T1114

Met deze detectie worden waarschuwingen gegenereerd voor cloud-apps met meerdere tenants met EWS-toepassingsmachtigingen, met een aanzienlijke toename van aanroepen naar de Exchange Web Services-API die specifiek zijn voor e-mailinventarisatie en verzameling. Deze app is mogelijk betrokken bij het openen en ophalen van gevoelige e-mailgegevens.

TP of FP?

• TP: als u kunt bevestigen dat de app toegang heeft tot gevoelige e-mailgegevens of een groot aantal ongebruikelijke aanroepen naar de Exchange-workload heeft gedaan.

  Aanbevolen actie:

  • Onderzoek de registratiegegevens van de app over app-governance en ga naar Microsoft Entra ID voor meer informatie.
  • Neem contact op met de gebruikers of beheerders die toestemming of machtigingen voor de app hebben verleend. Controleer of de wijzigingen opzettelijk zijn.
  • Zoek in de geavanceerde opsporingstabel van CloudAppEvents om inzicht te krijgen in app-activiteit en gegevens te identificeren die door de app worden geopend. Controleer de betrokken postvakken en controleer berichten die mogelijk zijn gelezen of doorgestuurd door de app zelf of regels die zijn gemaakt.
  • Controleer of de app essentieel is voor uw organisatie voordat u eventuele insluitingsacties overweegt. Deactiveer de app met behulp van app-governance of Microsoft Entra ID om te voorkomen dat deze toegang heeft tot resources. Bestaande beleidsregels voor app-governance hebben de app mogelijk al gedeactiveerd.

• FP: Als u kunt bevestigen dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de app en dat de app een legitiem zakelijk gebruik in de organisatie heeft.

  Aanbevolen actie: Sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer alle activiteiten die door de app worden uitgevoerd.
2. Controleer de bereiken die aan de app zijn verleend.
3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

Ongebruikte app die zojuist toegang heeft tot API's

Ernst: gemiddeld

MITRE-id's: T1530

Deze detectie genereert waarschuwingen voor een multitenant cloud-app die een tijdje inactief is geweest en onlangs is begonnen met het maken van API-aanroepen. Deze app kan worden gehackt door een aanvaller en wordt gebruikt om toegang te krijgen tot gevoelige gegevens en deze op te halen.

TP of FP?

• TP: als u kunt bevestigen dat de app toegang heeft tot gevoelige gegevens of een groot aantal ongebruikelijke aanroepen heeft gedaan naar Microsoft Graph, Exchange of Azure Resource Manager workloads.

  Aanbevolen actie:

  • Onderzoek de registratiegegevens van de app over app-governance en ga naar Microsoft Entra ID voor meer informatie.
  • Neem contact op met de gebruikers of beheerders die toestemming of machtigingen voor de app hebben verleend. Controleer of de wijzigingen opzettelijk zijn.
  • Zoek in de geavanceerde opsporingstabel van CloudAppEvents om inzicht te krijgen in app-activiteit en gegevens te identificeren die door de app worden geopend. Controleer de betrokken postvakken en controleer berichten die mogelijk zijn gelezen of doorgestuurd door de app zelf of regels die zijn gemaakt.
  • Controleer of de app essentieel is voor uw organisatie voordat u eventuele insluitingsacties overweegt. Deactiveer de app met behulp van app-governance of Microsoft Entra ID om te voorkomen dat deze toegang heeft tot resources. Bestaande beleidsregels voor app-governance hebben de app mogelijk al gedeactiveerd.

• FP: Als u kunt bevestigen dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de app en dat de app een legitiem zakelijk gebruik in de organisatie heeft.

  Aanbevolen actie: Sluit de waarschuwing.

Inzicht krijgen in het bereik van de inbreuk

1. Controleer alle activiteiten die door de app worden uitgevoerd.
2. Controleer de bereiken die aan de app zijn verleend.
3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

Impactwaarschuwingen

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert uw systemen en gegevens van uw organisatie te manipuleren, onderbreken of vernietigen.

Entra Line-Of-Business-app die een afwijkende piek initieert bij het maken van virtuele machines

Ernst: gemiddeld

MITRE-id: T1496

Deze detectie identificeert een nieuwe OAuth-toepassing met één tenant die een groot aantal Azure-Virtual Machines in uw tenant maakt met behulp van de Azure Resource Manager API.

TP of FP?

• TP: Als u kunt bevestigen dat de OAuth-app onlangs is gemaakt en grote aantallen Virtual Machines in uw tenant maakt, wordt een waar-positief aangegeven.

  Aanbevolen acties: controleer de virtuele machines die zijn gemaakt en eventuele recente wijzigingen in de toepassing. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te verbieden. Controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend.

• FP: als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht in het bereik van de inbreuk:

1. Controleer de apps die onlangs zijn gemaakt en de VM's die zijn gemaakt.
2. Bekijk alle activiteiten die door de app zijn uitgevoerd sinds het maken ervan.
3. Controleer de bereiken die zijn verleend door de app in Graph API en de rol die aan de app is verleend in uw abonnement.

OAuth-app met bevoegdheden met een hoog bereik in Microsoft Graph is waargenomen bij het maken van virtuele machines

Ernst: gemiddeld

MITRE-id: T1496

Deze detectie identificeert de OAuth-toepassing die een groot aantal Azure-Virtual Machines in uw tenant maakt met behulp van de Azure Resource Manager-API en hoge bevoegdheden heeft in de tenant via MS Graph API voorafgaand aan de activiteit.

TP of FP?

• TP: Als u kunt bevestigen dat de OAuth-app met hoge bevoegdheden is gemaakt en grote aantallen Virtual Machines in uw tenant maakt, wordt een waar-positief weergegeven.

  Aanbevolen acties: controleer de virtuele machines die zijn gemaakt en eventuele recente wijzigingen in de toepassing. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te verbieden. Controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend.

• FP: als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

  Aanbevolen actie: sluit de waarschuwing.

Inzicht in het bereik van de inbreuk:

1. Controleer de apps die onlangs zijn gemaakt en de VM's die zijn gemaakt.
2. Bekijk alle activiteiten die door de app zijn uitgevoerd sinds het maken ervan.
3. Controleer de bereiken die zijn verleend door de app in Graph API en de rol die aan de app is verleend in uw abonnement.

Volgende stappen

Waarschuwingen voor app-governance beheren