Badanie alertów wykrywania zagrożeń ładu aplikacji

Ład aplikacji zapewnia wykrywanie zabezpieczeń i alerty dla złośliwych działań. W tym artykule wymieniono szczegółowe informacje dotyczące każdego alertu, który może ułatwić badanie i korygowanie, w tym warunki wyzwalania alertów. Ponieważ wykrywanie zagrożeń jest z natury niedeterministyczne, jest wyzwalane tylko wtedy, gdy istnieje zachowanie, które odbiega od normy.

Aby uzyskać więcej informacji, zobacz Zarządzanie aplikacjami w Microsoft Defender for Cloud Apps

Uwaga

Wykrywanie zagrożeń ładu aplikacji jest oparte na działaniach zliczania danych, które są przejściowe i mogą nie być przechowywane, dlatego alerty mogą dostarczać liczbę działań lub oznak skoków, ale niekoniecznie wszystkie odpowiednie dane. W szczególności w przypadku aplikacji OAuth interfejs Graph API działań, same działania mogą być poddawane inspekcji przez dzierżawcę przy użyciu usługi Log Analytics i Sentinel.

Więcej informacji można znaleźć w następującym artykule:

• Uzyskiwanie dostępu do dzienników aktywności programu Microsoft Graph
• Analizowanie dzienników aktywności przy użyciu usługi Log Analytics

Ogólne kroki badania

Znajdowanie alertów związanych z ładem aplikacji

Aby zlokalizować alerty dotyczące ładu aplikacji, przejdź do strony Alerty portalu XDR. Na liście alertów użyj pola "Źródła usługi/wykrywania", aby filtrować alerty. Ustaw wartość tego pola na "Zarządzanie aplikacjami", aby wyświetlić wszystkie alerty generowane przez ład aplikacji.

Ogólne wytyczne

Skorzystaj z poniższych ogólnych wytycznych podczas badania dowolnego typu alertu, aby lepiej zrozumieć potencjalne zagrożenie przed zastosowaniem zalecanej akcji.

• Przejrzyj poziom ważności aplikacji i porównaj go z pozostałymi aplikacjami w dzierżawie. Ta recenzja pomaga określić, które aplikacje w dzierżawie stanowią większe ryzyko.

• Jeśli zidentyfikujesz protokół TP, przejrzyj wszystkie działania aplikacji, aby zrozumieć wpływ. Na przykład przejrzyj następujące informacje o aplikacji:

  • Zakresy, którym udzielono dostępu
  • Nietypowe zachowanie
  • Adres IP i lokalizacja

Klasyfikacje alertów zabezpieczeń

Po odpowiednim zbadaniu wszystkie alerty ładu aplikacji można sklasyfikować jako jeden z następujących typów działań:

• Prawdziwie dodatni (TP): alert dotyczący potwierdzonego złośliwego działania.
• Niegroźny wynik prawdziwie dodatni (B-TP): alert dotyczący podejrzanych, ale nie złośliwych działań, takich jak test penetrowy lub inne autoryzowane podejrzane działanie.
• Fałszywie dodatni (FP): alert dotyczący niezłośliwego działania.

MITRE ATT&CK

Aby ułatwić mapowanie relacji między alertami ładu aplikacji a znaną macierzą mitre att&CK, sklasyfikowaliśmy alerty według odpowiedniej taktyki mitre att&CK. To dodatkowe odwołanie ułatwia zrozumienie potencjalnie używanej techniki podejrzanych ataków podczas wyzwalania alertu ładu aplikacji.

Ten przewodnik zawiera informacje dotyczące badania i korygowania alertów ładu aplikacji w następujących kategoriach.

• Dostęp początkowy
• Wykonanie
• Wytrwałość
• Eskalacja uprawnień
• Uchylanie się od obrony
• Dostęp poświadczeń
• Odkrycie
• Ruch boczny
• Kolekcja
• Eksfiltracja
• Wpływ

Alerty dostępu początkowego

W tej sekcji opisano alerty wskazujące, że złośliwa aplikacja może próbować utrzymać przyczółek w organizacji.

Przekierowywanie aplikacji do adresu URL wyłudzania informacji przez wykorzystanie luki w zabezpieczeniach przekierowania OAuth

Ważność: średnia

To wykrywanie identyfikuje aplikacje OAuth przekierowujące do adresów URL wyłudzania informacji, wykorzystując parametr typu odpowiedzi w implementacji OAuth za pośrednictwem interfejs Graph API firmy Microsoft.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth została dostarczona z nieznanego źródła, typ odpowiedzi adresu URL odpowiedzi po wyrażeniu zgody na aplikację OAuth zawiera nieprawidłowe żądanie i przekierowuje do nieznanego lub niezaufanego adresu URL odpowiedzi.

  Zalecana akcja: wyłącz i usuń aplikację, zresetuj hasło i usuń regułę skrzynki odbiorczej. 

• Fp: Jeśli po zbadaniu, można potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację. 
2. Przejrzyj zakresy przyznane przez aplikację. 

Aplikacja OAuth z podejrzanym adresem URL odpowiedzi

Ważność: średnia

To wykrywanie identyfikuje aplikację OAuth, która uzyskiwała dostęp do podejrzanego adresu URL odpowiedzi za pośrednictwem usługi Microsoft interfejs Graph API.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth jest dostarczana z nieznanego źródła i przekierowuje do podejrzanego adresu URL, zostanie wskazany wynik prawdziwie dodatni. Podejrzany adres URL to taki, w którym reputacja adresu URL jest nieznana, nie jest zaufana lub której domena została niedawno zarejestrowana, a żądanie aplikacji dotyczy zakresu wysokich uprawnień.

  Zalecana akcja: przejrzyj adres URL odpowiedzi, domeny i zakresy żądane przez aplikację. Na podstawie badania możesz zablokować dostęp do tej aplikacji. Zapoznaj się z poziomem uprawnień żądanym przez tę aplikację i tym, którym użytkownikom przyznano dostęp.

  Aby zablokować dostęp do aplikacji, przejdź do odpowiedniej karty aplikacji na stronie Ład aplikacji . W wierszu, w którym zostanie wyświetlona aplikacja, której chcesz zablokować, wybierz ikonę zakazu. Możesz wybrać, czy chcesz poinformować użytkowników o tym, że zainstalowana i autoryzowana aplikacja została zablokowana. Powiadomienie informuje użytkowników, że aplikacja zostanie wyłączona i nie będą mieli dostępu do połączonej aplikacji. Jeśli nie chcesz, aby wiedzieli, usuń zaznaczenie pozycji Powiadom użytkowników, którzy udzielili dostępu do tej zakazanej aplikacji w oknie dialogowym. Zalecamy poinformowanie użytkowników aplikacji, że ich aplikacja ma zostać zakazana.

• Fp: Jeśli po zbadaniu, można potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj aplikacje, które zostały ostatnio utworzone, i ich adresy URL odpowiedzi.

2. Przejrzyj wszystkie działania wykonywane przez aplikację. 

3. Przejrzyj zakresy przyznane przez aplikację. 

Ostatnio utworzona aplikacja ma niski współczynnik zgody

Ważność: niska

To wykrywanie identyfikuje aplikację OAuth, która została niedawno utworzona i stwierdzono, że ma niski współczynnik zgody. Może to wskazywać złośliwą lub ryzykowną aplikację, która zwabia użytkowników niedozwoloną zgodą.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth jest dostarczana z nieznanego źródła, oznacza to prawdziwie dodatni wynik.

  Zalecana akcja: przejrzyj nazwę wyświetlaną, adresy URL odpowiedzi i domeny aplikacji. Na podstawie badania możesz zablokować dostęp do tej aplikacji. Przejrzyj poziom uprawnień żądany przez tę aplikację i użytkowników, którym udzielono dostępu.

• Fp: Jeśli po zbadaniu, można potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Jeśli podejrzewasz, że aplikacja jest podejrzana, zalecamy zbadanie nazwy aplikacji i domeny odpowiedzi w różnych sklepach z aplikacjami. Podczas sprawdzania sklepów z aplikacjami skup się na następujących typach aplikacji:
   • Aplikacje, które zostały ostatnio utworzone
   • Aplikacja o nietypowej nazwie wyświetlanej
   • Aplikacje z podejrzaną domeną odpowiedzi
3. Jeśli nadal podejrzewasz, że aplikacja jest podejrzana, możesz zbadać nazwę wyświetlaną aplikacji i domenę odpowiedzi.

Aplikacja o złej reputacji adresu URL

Ważność: średnia

To wykrywanie identyfikuje aplikację OAuth, która została uznana za nieprawidłową reputację adresu URL.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth jest dostarczana z nieznanego źródła i przekierowuje do podejrzanego adresu URL, zostanie wskazany wynik prawdziwie dodatni.

  Zalecana akcja: przejrzyj adresy URL odpowiedzi, domeny i zakresy żądane przez aplikację. Na podstawie badania możesz zablokować dostęp do tej aplikacji. Przejrzyj poziom uprawnień żądany przez tę aplikację i użytkowników, którym udzielono dostępu.

• Fp: Jeśli po zbadaniu, można potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Jeśli podejrzewasz, że aplikacja jest podejrzana, zalecamy zbadanie nazwy aplikacji i domeny odpowiedzi w różnych sklepach z aplikacjami. Podczas sprawdzania sklepów z aplikacjami skup się na następujących typach aplikacji:
   • Aplikacje, które zostały ostatnio utworzone
   • Aplikacja o nietypowej nazwie wyświetlanej
   • Aplikacje z podejrzaną domeną odpowiedzi
3. Jeśli nadal podejrzewasz, że aplikacja jest podejrzana, możesz zbadać nazwę wyświetlaną aplikacji i domenę odpowiedzi.

Zakodowana nazwa aplikacji z podejrzanymi zakresami zgody

Ważność: średnia

Opis: To wykrywanie identyfikuje aplikacje OAuth ze znakami, takimi jak Unicode lub zakodowane znaki, żądane dla podejrzanych zakresów zgody i które uzyskiwały dostęp do folderów poczty użytkowników za pośrednictwem interfejs Graph API. Ten alert może wskazywać na próbę zakamuflowania złośliwej aplikacji jako znanej i zaufanej aplikacji, dzięki czemu osoby atakujące mogą wprowadzać użytkowników w błąd co do wyrażania zgody na złośliwą aplikację.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth zakodowała nazwę wyświetlaną z podejrzanymi zakresami dostarczonymi z nieznanego źródła, oznacza to prawdziwie dodatni wynik.

  Zalecana akcja: przejrzyj poziom uprawnień żądany przez tę aplikację i użytkowników, którym udzielono dostępu. Na podstawie badania możesz zablokować dostęp do tej aplikacji.

  Aby zablokować dostęp do aplikacji, przejdź do odpowiedniej karty aplikacji na stronie Ład aplikacji . W wierszu, w którym zostanie wyświetlona aplikacja, której chcesz zablokować, wybierz ikonę zakazu. Możesz wybrać, czy chcesz poinformować użytkowników o tym, że zainstalowana i autoryzowana aplikacja została zablokowana. Powiadomienie informuje użytkowników, że aplikacja zostanie wyłączona i nie będą mieli dostępu do połączonej aplikacji. Jeśli nie chcesz, aby wiedzieli, usuń zaznaczenie pozycji Powiadom użytkowników, którzy udzielili dostępu do tej zakazanej aplikacji w oknie dialogowym. Zalecamy poinformowanie użytkowników aplikacji, że ich aplikacja ma zostać zakazana.

• Fp: Jeśli chcesz potwierdzić, że aplikacja ma zakodowane nazwy, ale ma uzasadnione zastosowanie biznesowe w organizacji.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

Postępuj zgodnie z samouczkiem dotyczącym sposobu badania ryzykownych aplikacji OAuth.

Aplikacja OAuth z zakresami odczytu ma podejrzany adres URL odpowiedzi

Ważność: średnia

Opis: to wykrywanie identyfikuje aplikację OAuth z zakresami odczytu, takimi jak User.Read, Osoby. Read, Contacts.Read, Mail.Read, Contacts.Read. Udostępnione przekierowania do podejrzanego adresu URL odpowiedzi za pośrednictwem interfejs Graph API. To działanie próbuje wskazać, że złośliwa aplikacja z mniejszymi uprawnieniami (takimi jak zakresy odczytu) może zostać wykorzystana do przeprowadzenia rekonesansu konta użytkowników.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth z zakresem odczytu jest dostarczana z nieznanego źródła i przekierowuje do podejrzanego adresu URL, zostanie wskazany wynik prawdziwie dodatni.

  Zalecana akcja: przejrzyj adres URL odpowiedzi i zakresy żądane przez aplikację. Na podstawie badania możesz zablokować dostęp do tej aplikacji. Przejrzyj poziom uprawnień żądany przez tę aplikację i użytkowników, którym udzielono dostępu.

  Aby zablokować dostęp do aplikacji, przejdź do odpowiedniej karty aplikacji na stronie Ład aplikacji . W wierszu, w którym zostanie wyświetlona aplikacja, której chcesz zablokować, wybierz ikonę zakazu. Możesz wybrać, czy chcesz poinformować użytkowników o tym, że zainstalowana i autoryzowana aplikacja została zablokowana. Powiadomienie informuje użytkowników, że aplikacja zostanie wyłączona i nie będą mieli dostępu do połączonej aplikacji. Jeśli nie chcesz, aby wiedzieli, usuń zaznaczenie pozycji Powiadom użytkowników, którzy udzielili dostępu do tej zakazanej aplikacji w oknie dialogowym. Zalecamy poinformowanie użytkowników aplikacji, że ich aplikacja ma zostać zakazana.

• B-TP: Jeśli po zbadaniu możesz potwierdzić, że aplikacja ma uzasadnione zastosowanie biznesowe w organizacji.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Jeśli podejrzewasz, że aplikacja jest podejrzana, zalecamy zbadanie nazwy aplikacji i adresu URL odpowiedzi w różnych sklepach z aplikacjami. Podczas sprawdzania sklepów z aplikacjami skup się na następujących typach aplikacji:
   • Aplikacje, które zostały ostatnio utworzone.
   • Aplikacje z podejrzanym adresem URL odpowiedzi
   • Aplikacje, które nie zostały ostatnio zaktualizowane. Brak aktualizacji może wskazywać, że aplikacja nie jest już obsługiwana.
3. Jeśli nadal podejrzewasz, że aplikacja jest podejrzana, możesz sprawdzić nazwę aplikacji, nazwę wydawcy i adres URL odpowiedzi online

Aplikacja z nietypową nazwą wyświetlaną i nietypowym protokołem TLD w domenie odpowiedzi

Ważność: średnia

To wykrywanie identyfikuje aplikację z nietypową nazwą wyświetlaną i przekierowuje do podejrzanej domeny odpowiedzi z nietypową domeną najwyższego poziomu (TLD) za pośrednictwem interfejs Graph API. Może to wskazywać na próbę zakamuflowania złośliwej lub ryzykownej aplikacji jako znanej i zaufanej aplikacji, dzięki czemu osoby atakujące mogą wprowadzać użytkowników w błąd co do wyrażania zgody na złośliwą lub ryzykowną aplikację. 

TP czy FP?

• TP: Jeśli możesz potwierdzić, że aplikacja o nietypowej nazwie wyświetlanej została dostarczona z nieznanego źródła i przekierowuje do podejrzanej domeny o nietypowej domenie najwyższego poziomu

  Zalecana akcja: przejrzyj nazwę wyświetlaną i domenę Odpowiedzi aplikacji. Na podstawie badania możesz zablokować dostęp do tej aplikacji. Przejrzyj poziom uprawnień żądany przez tę aplikację i użytkowników, którym udzielono dostępu.

• Fp: Jeśli po zbadaniu, można potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

Przejrzyj wszystkie działania wykonywane przez aplikację. Jeśli podejrzewasz, że aplikacja jest podejrzana, zalecamy zbadanie nazwy aplikacji i domeny odpowiedzi w różnych sklepach z aplikacjami. Podczas sprawdzania sklepów z aplikacjami skup się na następujących typach aplikacji:

• Aplikacje, które zostały ostatnio utworzone
• Aplikacja o nietypowej nazwie wyświetlanej
• Aplikacje z podejrzaną domeną odpowiedzi

Jeśli nadal podejrzewasz, że aplikacja jest podejrzana, możesz zbadać nazwę wyświetlaną aplikacji i domenę odpowiedzi.

Nowa aplikacja z uprawnieniami poczty o niskim wzorcu zgody

Ważność: średnia

To wykrywanie identyfikuje aplikacje OAuth utworzone niedawno w stosunkowo nowych dzierżawach wydawców o następujących cechach:

• Uprawnienia dostępu lub zmiany ustawień skrzynki pocztowej
• Stosunkowo niski wskaźnik zgody, który może identyfikować niepożądane, a nawet złośliwe aplikacje, które próbują uzyskać zgodę od niczego nie podejrzewających użytkowników

TP czy FP?

• TP: Jeśli możesz potwierdzić, że żądanie zgody do aplikacji zostało dostarczone z nieznanego lub zewnętrznego źródła, a aplikacja nie ma legalnego użycia biznesowego w organizacji, oznacza to prawdziwie pozytywne.

  Zalecana akcja:

  • Skontaktuj się z użytkownikami i administratorami, którzy udzielili zgody na tę aplikację, aby potwierdzić, że było to zamierzone, a nadmierne uprawnienia są normalne.
  • Zbadaj działanie aplikacji i sprawdź konta, których dotyczy problem, pod kątem podejrzanych działań.
  • Na podstawie badania wyłącz aplikację i wstrzymywanie i resetowanie haseł dla wszystkich kont, których dotyczy problem.
  • Klasyfikowanie alertu jako prawdziwie dodatniego.

• Fp: Jeśli po zbadaniu, można potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: zaklasyfikuj alert jako fałszywie dodatni i rozważ udostępnienie opinii na podstawie badania alertu.

Omówienie zakresu naruszenia

Przejrzyj udzielenie zgody aplikacji przez użytkowników i administratorów. Zbadaj wszystkie działania wykonywane przez aplikację, zwłaszcza dostęp do skrzynki pocztowej skojarzonych użytkowników i kont administratorów. Jeśli podejrzewasz, że aplikacja jest podejrzana, rozważ wyłączenie aplikacji i rotację poświadczeń wszystkich kont, których dotyczy problem.

Nowa aplikacja z niską szybkością wyrażania zgody uzyskującą dostęp do licznych wiadomości e-mail

Ważność: średnia

Ten alert identyfikuje aplikacje OAuth zarejestrowane niedawno w stosunkowo nowej dzierżawie wydawcy z uprawnieniami do zmiany ustawień skrzynki pocztowej i uzyskiwania dostępu do wiadomości e-mail. Sprawdza również, czy aplikacja ma stosunkowo niski globalny wskaźnik zgody i wykonuje liczne wywołania do firmy Microsoft interfejs Graph API w celu uzyskania dostępu do wiadomości e-mail użytkowników wyrażających zgodę. Aplikacje wyzwalające ten alert mogą być niepożądanymi lub złośliwymi aplikacjami próbującymi uzyskać zgodę niczego nie podejrzewających użytkowników.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że żądanie zgody do aplikacji zostało dostarczone z nieznanego lub zewnętrznego źródła, a aplikacja nie ma legalnego użycia biznesowego w organizacji, oznacza to prawdziwie pozytywne.

  Zalecana akcja:

  • Skontaktuj się z użytkownikami i administratorami, którzy udzielili zgody na tę aplikację, aby potwierdzić, że było to zamierzone, a nadmierne uprawnienia są normalne.
  • Zbadaj działanie aplikacji i sprawdź konta, których dotyczy problem, pod kątem podejrzanych działań.
  • Na podstawie badania wyłącz aplikację i wstrzymywanie i resetowanie haseł dla wszystkich kont, których dotyczy problem.
  • Klasyfikowanie alertu jako prawdziwie dodatniego.

• Fp: Jeśli po badaniu możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji, zostanie wskazany wynik fałszywie dodatni.

  Zalecana akcja: zaklasyfikuj alert jako fałszywie dodatni i rozważ udostępnienie opinii na podstawie badania alertu.

Omówienie zakresu naruszenia

Przejrzyj udzielenie zgody aplikacji przez użytkowników i administratorów. Zbadaj wszystkie działania wykonywane przez aplikację, zwłaszcza dostęp do skrzynek pocztowych skojarzonych użytkowników i kont administratorów. Jeśli podejrzewasz, że aplikacja jest podejrzana, rozważ wyłączenie aplikacji i rotację poświadczeń wszystkich kont, których dotyczy problem.

Podejrzana aplikacja z uprawnieniami do poczty wysyłająca wiele wiadomości e-mail

Ważność: średnia

Ten alert znajduje wielodostępne aplikacje OAuth, które wykonały wiele wywołań do firmy Microsoft interfejs Graph API w celu wysyłania wiadomości e-mail w krótkim czasie. Sprawdza również, czy wywołania interfejsu API spowodowały błędy i nieudane próby wysyłania wiadomości e-mail. Aplikacje wyzwalające ten alert mogą aktywnie wysyłać spam lub złośliwe wiadomości e-mail do innych obiektów docelowych.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że żądanie zgody do aplikacji zostało dostarczone z nieznanego lub zewnętrznego źródła, a aplikacja nie ma legalnego użycia biznesowego w organizacji, oznacza to prawdziwie pozytywne.

  Zalecana akcja:

  • Skontaktuj się z użytkownikami i administratorami, którzy udzielili zgody na tę aplikację, aby potwierdzić, że było to zamierzone, a nadmierne uprawnienia są normalne.
  • Zbadaj działanie aplikacji i sprawdź konta, których dotyczy problem, pod kątem podejrzanych działań.
  • Na podstawie badania wyłącz aplikację i wstrzymywanie i resetowanie haseł dla wszystkich kont, których dotyczy problem.
  • Klasyfikowanie alertu jako prawdziwie dodatniego.

• Fp: Jeśli po badaniu możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji, zostanie wskazany wynik fałszywie dodatni.

  Zalecana akcja: zaklasyfikuj alert jako fałszywie dodatni i rozważ udostępnienie opinii na podstawie badania alertu.

Omówienie zakresu naruszenia

Przejrzyj udzielenie zgody aplikacji przez użytkowników i administratorów. Zbadaj wszystkie działania wykonywane przez aplikację, zwłaszcza dostęp do skrzynki pocztowej skojarzonych użytkowników i kont administratorów. Jeśli podejrzewasz, że aplikacja jest podejrzana, rozważ wyłączenie aplikacji i rotację poświadczeń wszystkich kont, których dotyczy problem.

Podejrzana aplikacja OAuth używana do wysyłania licznych wiadomości e-mail

Ważność: średnia

Ten alert wskazuje aplikację OAuth, która wykonała wiele wywołań do firmy Microsoft interfejs Graph API wysyłania wiadomości e-mail w krótkim czasie. Wiadomo, że dzierżawa wydawcy aplikacji zduplikuje dużą liczbę aplikacji OAuth, które wywołują podobne wywołania interfejs Graph API firmy Microsoft. Osoba atakująca może aktywnie używać tej aplikacji do wysyłania spamu lub złośliwych wiadomości e-mail do swoich celów.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że żądanie zgody do aplikacji zostało dostarczone z nieznanego lub zewnętrznego źródła, a aplikacja nie ma legalnego użycia biznesowego w organizacji, oznacza to prawdziwie pozytywne.

  Zalecana akcja:

  • Skontaktuj się z użytkownikami i administratorami, którzy udzielili zgody na tę aplikację, aby potwierdzić, że było to zamierzone, a nadmierne uprawnienia są normalne.
  • Zbadaj działanie aplikacji i sprawdź konta, których dotyczy problem, pod kątem podejrzanych działań.
  • Na podstawie badania wyłącz aplikację i wstrzymywanie i resetowanie haseł dla wszystkich kont, których dotyczy problem.
  • Klasyfikowanie alertu jako prawdziwie dodatniego.

• Fp: Jeśli po badaniu możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji, zostanie wskazany wynik fałszywie dodatni.

  Zalecana akcja: zaklasyfikuj alert jako fałszywie dodatni i rozważ udostępnienie opinii na podstawie badania alertu.

Omówienie zakresu naruszenia

Przejrzyj udzielenie zgody aplikacji przez użytkowników i administratorów. Zbadaj wszystkie działania wykonywane przez aplikację, zwłaszcza dostęp do skrzynki pocztowej skojarzonych użytkowników i kont administratorów. Jeśli podejrzewasz, że aplikacja jest podejrzana, rozważ wyłączenie aplikacji i rotację poświadczeń wszystkich kont, których dotyczy problem.

Alerty dotyczące trwałości

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować utrzymać przyczółek w organizacji.

Aplikacja wykonała nietypowe wywołania programu Graph do obciążenia programu Exchange po aktualizacji certyfikatu lub dodaniu nowych poświadczeń

Ważność: średnia

Identyfikator MITRE: T1098.001, T1114

To wykrywanie wyzwala alert, gdy aplikacja biznesowa zaktualizowała certyfikat/wpisy tajne lub dodała nowe poświadczenia oraz w ciągu kilku dni po aktualizacji certyfikatu lub dodaniu nowych poświadczeń, zaobserwowanych nietypowych działań lub dużego użycia do obciążenia programu Exchange za pośrednictwem interfejs Graph API przy użyciu algorytmu uczenia maszynowego.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że nietypowe działania/duże użycie woluminów w obciążeniu programu Exchange zostało wykonane przez aplikację LOB za pośrednictwem interfejs Graph API

  Akcja zalecana: tymczasowo wyłącz aplikację i zresetuj hasło, a następnie ponownie włącz aplikację.

• Fp: Jeśli możesz potwierdzić, że żadne nietypowe działania nie zostały wykonane przez aplikację lob lub aplikację, jest przeznaczony do wykonywania niezwykle dużej liczby wywołań grafów.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez tę aplikację.
2. Przejrzyj zakresy przyznane przez aplikację.
3. Przejrzyj działanie użytkownika skojarzone z tą aplikacją.

Aplikacja o podejrzanym zakresie uwierzytelniania OAuth została oflagowana przez model usługi Machine Learning o wysokim ryzyku, wykonała wywołania grafu w celu odczytu wiadomości e-mail i utworzyła regułę skrzynki odbiorczej

Ważność: średnia

Identyfikator MITRE: T1137.005, T1114

To wykrywanie identyfikuje aplikację OAuth, która została oflagowana przez model usługi Machine Learning o wysokim ryzyku, która wyraziła zgodę na podejrzane zakresy, tworzy podejrzaną regułę skrzynki odbiorczej, a następnie uzyskiwała dostęp do folderów i wiadomości e-mail użytkowników za pośrednictwem interfejs Graph API. Reguły skrzynki odbiorczej, takie jak przekazywanie wszystkich lub określonych wiadomości e-mail do innego konta e-mail i wywołania programu Graph w celu uzyskania dostępu do wiadomości e-mail i wysyłania na inne konto e-mail, mogą być próbą eksfiltrowania informacji z organizacji.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że reguła skrzynki odbiorczej została utworzona przez aplikację innej firmy OAuth z podejrzanymi zakresami dostarczonymi z nieznanego źródła, zostanie wykryta wartość prawdziwie dodatnia.

  Zalecana akcja: wyłącz i usuń aplikację, zresetuj hasło i usuń regułę skrzynki odbiorczej.

Postępuj zgodnie z samouczkiem dotyczącym resetowania hasła przy użyciu Tożsamość Microsoft Entra i postępuj zgodnie z samouczkiem dotyczącym usuwania reguły skrzynki odbiorczej.

• Fp: Jeśli możesz potwierdzić, że aplikacja utworzyła regułę skrzynki odbiorczej na nowym lub osobistym zewnętrznym koncie e-mail z uzasadnionych powodów.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane przez aplikację.
3. Przejrzyj akcję reguły skrzynki odbiorczej i warunek utworzony przez aplikację.

Aplikacja o podejrzanym zakresie OAuth wykonała wywołania grafu w celu odczytu wiadomości e-mail i utworzenia reguły skrzynki odbiorczej

Ważność: średnia

Identyfikatory MITRE: T1137.005, T1114

To wykrywanie identyfikuje aplikację OAuth, która wyraziła zgodę na podejrzane zakresy, tworzy podejrzaną regułę skrzynki odbiorczej, a następnie uzyskiwała dostęp do folderów i wiadomości e-mail użytkowników za pośrednictwem interfejs Graph API. Reguły skrzynki odbiorczej, takie jak przekazywanie wszystkich lub określonych wiadomości e-mail do innego konta e-mail i wywołania programu Graph w celu uzyskania dostępu do wiadomości e-mail i wysyłania na inne konto e-mail, mogą być próbą eksfiltrowania informacji z organizacji.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że reguła skrzynki odbiorczej została utworzona przez aplikację innej firmy OAuth z podejrzanymi zakresami dostarczonymi z nieznanego źródła, zostanie wskazany wynik prawdziwie dodatni.

  Zalecana akcja: wyłącz i usuń aplikację, zresetuj hasło i usuń regułę skrzynki odbiorczej.

  Postępuj zgodnie z samouczkiem dotyczącym resetowania hasła przy użyciu Tożsamość Microsoft Entra i postępuj zgodnie z samouczkiem dotyczącym usuwania reguły skrzynki odbiorczej.

• Fp: Jeśli możesz potwierdzić, że aplikacja utworzyła regułę skrzynki odbiorczej na nowym lub osobistym zewnętrznym koncie e-mail z uzasadnionych powodów.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane przez aplikację.
3. Przejrzyj akcję reguły skrzynki odbiorczej i warunek utworzony przez aplikację.

Aplikacja dostępna z nietypowej lokalizacji po aktualizacji certyfikatu

Ważność: niska

Identyfikator MITRE: T1098

To wykrywanie wyzwala alert, gdy aplikacja biznesowa została zaktualizowana certyfikatu / wpisu tajnego i w ciągu kilku dni po aktualizacji certyfikatu dostęp do aplikacji jest uzyskiwany z nietypowej lokalizacji, która nie była ostatnio widoczna lub nigdy nie była dostępna w przeszłości.

TP czy FP?

• TP: jeśli możesz potwierdzić, że aplikacja LOB uzyskiwała dostęp z nietypowej lokalizacji i wykonywała nietypowe działania za pośrednictwem interfejs Graph API.

  Akcja zalecana: tymczasowo wyłącz aplikację i zresetuj hasło, a następnie ponownie włącz aplikację.

• FP: Jeśli możesz potwierdzić, że aplikacja LOB była dostępna z nietypowej lokalizacji w uzasadnionym celu i nie wykonano żadnych nietypowych działań.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez tę aplikację.
2. Przejrzyj zakresy przyznane przez aplikację.
3. Przejrzyj działanie użytkownika skojarzone z tą aplikacją.

Aplikacja dostępna z nietypowej lokalizacji wykonała nietypowe wywołania programu Graph po aktualizacji certyfikatu

Ważność: średnia

Identyfikator MITRE: T1098

To wykrywanie wyzwala alert, gdy aplikacja biznesowa (LOB) zaktualizowała certyfikat /wpis tajny i w ciągu kilku dni po aktualizacji certyfikatu dostęp do aplikacji jest uzyskiwany z nietypowej lokalizacji, która nie była ostatnio widoczna lub nigdy nie była używana w przeszłości i zaobserwowano nietypowe działania lub użycie za pośrednictwem interfejs Graph API przy użyciu algorytmu uczenia maszynowego.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że nietypowe działania/użycie zostało wykonane przez aplikację LOB za pośrednictwem interfejs Graph API z nietypowej lokalizacji.

  Akcja zalecana: tymczasowo wyłącz aplikację i zresetuj hasło, a następnie ponownie włącz aplikację.

• FP: Jeśli możesz potwierdzić, że aplikacja LOB była dostępna z nietypowej lokalizacji w uzasadnionym celu i nie wykonano żadnych nietypowych działań.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez tę aplikację.
2. Przejrzyj zakresy przyznane przez aplikację.
3. Przejrzyj działanie użytkownika skojarzone z tą aplikacją.

Utworzona niedawno aplikacja ma dużą liczbę odwołanych zgod

Ważność: średnia

IDENTYFIKATOR MITRE: T1566, T1098

Kilku użytkowników odwołało swoją zgodę na tę niedawno utworzoną aplikację biznesową (LOB) lub aplikację innej firmy. Ta aplikacja mogła zwabić użytkowników do nieumyślnego wyrażenia zgody.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth jest dostarczana z nieznanego źródła, a zachowanie aplikacji jest podejrzane. 

  Zalecana akcja: odwołaj zgody udzielone aplikacji i wyłącz aplikację. 

• Fp: Jeśli po badaniu możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji i że aplikacja nie wykonała żadnych nietypowych działań.

  Zalecana akcja: odrzucenie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Jeśli podejrzewasz, że aplikacja jest podejrzana, zalecamy zbadanie nazwy i domeny odpowiedzi aplikacji w różnych sklepach z aplikacjami. Podczas sprawdzania sklepów z aplikacjami skup się na następujących typach aplikacji:
   • Aplikacje, które zostały ostatnio utworzone
   • Aplikacje o nietypowej nazwie wyświetlanej
   • Aplikacje z podejrzaną domeną odpowiedzi
3. Jeśli nadal podejrzewasz, że aplikacja jest podejrzana, możesz zbadać nazwę wyświetlaną aplikacji i domenę odpowiedzi.

Metadane aplikacji skojarzone ze znaną kampanią wyłudzania informacji

Ważność: średnia

To wykrywanie generuje alerty dla aplikacji OAuth innych niż Microsoft z metadanymi, takimi jak nazwa, adres URL lub wydawca, które były wcześniej obserwowane w aplikacjach skojarzonych z kampanią wyłudzania informacji. Te aplikacje mogą być częścią tej samej kampanii i mogą być zaangażowane w eksfiltrację poufnych informacji.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth jest dostarczana z nieznanego źródła i wykonuje nietypowe działania.

  Zalecana akcja:

  • Zbadaj szczegóły rejestracji aplikacji dotyczące ładu aplikacji i odwiedź stronę Tożsamość Microsoft Entra, aby uzyskać więcej szczegółów.
  • Skontaktuj się z użytkownikami lub administratorami, którzy udzielili zgody lub uprawnień do aplikacji. Sprawdź, czy zmiany były zamierzone.
  • Przeszukaj tabelę wyszukiwania zagrożeń CloudAppEvents Advanced, aby zrozumieć działanie aplikacji i określić, czy zaobserwowane zachowanie jest oczekiwane.
  • Przed rozważeniem jakichkolwiek akcji hermetyzowania sprawdź, czy aplikacja ma krytyczne znaczenie dla twojej organizacji. Dezaktywuj aplikację przy użyciu ładu aplikacji lub Tożsamość Microsoft Entra, aby uniemożliwić jej dostęp do zasobów. Istniejące zasady ładu aplikacji mogły już dezaktywować aplikację.

• Fp: Jeśli możesz potwierdzić, że aplikacja nie wykonała żadnych nietypowych działań i że aplikacja ma uzasadnione zastosowanie biznesowe w organizacji.

  Zalecana akcja: odrzucenie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane aplikacji.
3. Przejrzyj działanie użytkownika skojarzone z aplikacją.

Metadane aplikacji skojarzone z wcześniej oflagowanymi podejrzanymi aplikacjami

Ważność: średnia

To wykrywanie generuje alerty dla aplikacji OAuth innych niż Microsoft z metadanymi, takimi jak nazwa, adres URL lub wydawca, które były wcześniej obserwowane w aplikacjach oflagowanych przez ład aplikacji z powodu podejrzanych działań. Ta aplikacja może być częścią kampanii ataku i może być zaangażowana w eksfiltrację poufnych informacji.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth jest dostarczana z nieznanego źródła i wykonuje nietypowe działania.

  Zalecana akcja:

  • Zbadaj szczegóły rejestracji aplikacji dotyczące ładu aplikacji i odwiedź stronę Tożsamość Microsoft Entra, aby uzyskać więcej szczegółów.
  • Skontaktuj się z użytkownikami lub administratorami, którzy udzielili zgody lub uprawnień do aplikacji. Sprawdź, czy zmiany były zamierzone.
  • Przeszukaj tabelę wyszukiwania zagrożeń CloudAppEvents Advanced, aby zrozumieć działanie aplikacji i określić, czy zaobserwowane zachowanie jest oczekiwane.
  • Przed rozważeniem jakichkolwiek akcji hermetyzowania sprawdź, czy aplikacja ma krytyczne znaczenie dla twojej organizacji. Dezaktywuj aplikację przy użyciu ładu aplikacji lub Tożsamość Microsoft Entra, aby uniemożliwić jej dostęp do zasobów. Istniejące zasady ładu aplikacji mogły już dezaktywować aplikację.

• Fp: Jeśli możesz potwierdzić, że aplikacja nie wykonała żadnych nietypowych działań i że aplikacja ma uzasadnione zastosowanie biznesowe w organizacji.

  Zalecana akcja: odrzucenie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane aplikacji.
3. Przejrzyj działanie użytkownika skojarzone z aplikacją.

Podejrzane działanie poczty e-mail aplikacji OAuth za pośrednictwem interfejs Graph API

Ważność: wysoka

To wykrywanie generuje alerty dla wielodostępnych aplikacji OAuth zarejestrowanych przez użytkowników z logowaniem wysokiego ryzyka, które wysyłały wywołania do firmy Microsoft interfejs Graph API w celu wykonywania podejrzanych działań poczty e-mail w krótkim czasie.

To wykrywanie sprawdza, czy wywołania interfejsu API zostały wykonane na potrzeby tworzenia reguły skrzynki pocztowej, tworzenia wiadomości e-mail odpowiedzi, przesyłania dalej wiadomości e-mail, odpowiedzi lub nowych wiadomości e-mail. Aplikacje wyzwalające ten alert mogą aktywnie wysyłać spam lub złośliwe wiadomości e-mail do innych obiektów docelowych lub eksfiltrować poufne dane i czyścić ślady w celu uniknięcia wykrycia.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że żądanie utworzenia aplikacji i zgody do aplikacji zostało dostarczone z nieznanego lub zewnętrznego źródła, a aplikacja nie ma uzasadnionego użycia biznesowego w organizacji, oznacza to prawdziwie pozytywne.

  Zalecana akcja:

  • Skontaktuj się z użytkownikami i administratorami, którzy udzielili zgody na tę aplikację, aby potwierdzić, że było to zamierzone, a nadmierne uprawnienia są normalne.

  • Zbadaj działanie aplikacji i sprawdź konta, których dotyczy problem, pod kątem podejrzanych działań.

  • Na podstawie badania wyłącz aplikację i wstrzymywanie i resetowanie haseł dla wszystkich kont, których dotyczy problem, i usuń regułę skrzynki odbiorczej.

  • Klasyfikowanie alertu jako prawdziwie dodatniego.

• Fp: Jeśli po zbadaniu możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji, zostanie wskazany wynik fałszywie dodatni.

  Zalecana akcja:

  • Zaklasyfikuj alert jako fałszywie dodatni i rozważ udostępnienie opinii na podstawie badania alertu.

  • Opis zakresu naruszenia:

    Przejrzyj udzielenie zgody aplikacji przez użytkowników i administratorów. Zbadaj wszystkie działania wykonywane przez aplikację, zwłaszcza dostęp do skrzynki pocztowej skojarzonych użytkowników i kont administratorów. Jeśli podejrzewasz, że aplikacja jest podejrzana, rozważ wyłączenie aplikacji i rotację poświadczeń wszystkich kont, których dotyczy problem.

Podejrzane działanie poczty e-mail aplikacji OAuth za pośrednictwem interfejsu API EWS

Ważność: wysoka

To wykrywanie generuje alerty dla wielodostępnych aplikacji OAuth zarejestrowanych przez użytkowników z logowaniem o wysokim ryzyku, które wywoływały interfejs API usług Microsoft Exchange Web Services (EWS) w celu wykonywania podejrzanych działań poczty e-mail w krótkim czasie.

To wykrywanie sprawdza, czy wywołania interfejsu API zostały wykonane w celu zaktualizowania reguł skrzynki odbiorczej, przeniesienia elementów, usunięcia wiadomości e-mail, usunięcia folderu lub usunięcia załącznika. Aplikacje wyzwalające ten alert mogą aktywnie eksfiltrować lub usuwać poufne dane i czyścić ścieżki w celu uniknięcia wykrycia.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że żądanie utworzenia aplikacji i zgody do aplikacji zostało dostarczone z nieznanego lub zewnętrznego źródła, a aplikacja nie ma uzasadnionego użycia biznesowego w organizacji, oznacza to prawdziwie pozytywne.

  Zalecana akcja:

  • Skontaktuj się z użytkownikami i administratorami, którzy udzielili zgody na tę aplikację, aby potwierdzić, że było to zamierzone, a nadmierne uprawnienia są normalne.

  • Zbadaj działanie aplikacji i sprawdź konta, których dotyczy problem, pod kątem podejrzanych działań.

  • Na podstawie badania wyłącz aplikację i wstrzymywanie i resetowanie haseł dla wszystkich kont, których dotyczy problem, i usuń regułę skrzynki odbiorczej.

  • Klasyfikowanie alertu jako prawdziwie dodatniego.

• Fp: Jeśli po badaniu możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji, zostanie wskazany wynik fałszywie dodatni.

  Zalecana akcja:

  • Zaklasyfikuj alert jako fałszywie dodatni i rozważ udostępnienie opinii na podstawie badania alertu.

  • Opis zakresu naruszenia:

    Przejrzyj udzielenie zgody aplikacji przez użytkowników i administratorów. Zbadaj wszystkie działania wykonywane przez aplikację, zwłaszcza dostęp do skrzynki pocztowej skojarzonych użytkowników i kont administratorów. Jeśli podejrzewasz, że aplikacja jest podejrzana, rozważ wyłączenie aplikacji i rotację poświadczeń wszystkich kont, których dotyczy problem.

Alerty eskalacji uprawnień

Aplikacja OAuth z podejrzanymi metadanymi ma uprawnienie do programu Exchange

Ważność: średnia

Identyfikator MITRE: T1078

Ten alert jest wyzwalany, gdy aplikacja biznesowa z podejrzanymi metadanymi ma uprawnienia do zarządzania uprawnieniami za pośrednictwem programu Exchange.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth jest dostarczana z nieznanego źródła i ma podejrzane cechy metadanych, oznacza to prawdziwie dodatni wynik.

Zalecana akcja: odwołaj zgody udzielone aplikacji i wyłącz aplikację.

Fp: Jeśli po zbadaniu, można potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

Zalecana akcja: odrzucenie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane przez aplikację.
3. Przejrzyj działanie użytkownika skojarzone z aplikacją.

Alerty dotyczące uchylania się od płacenia podatków

Personifikowanie logo firmy Microsoft przez aplikację

Ważność: średnia

Aplikacja w chmurze firmy innej niż Microsoft używa logo, które zostało znalezione przez algorytm uczenia maszynowego, aby było podobne do logo firmy Microsoft. Może to być próba podszywania się pod produkty firmy Microsoft i wydawać się uzasadnione.

Uwaga

Administratorzy dzierżawy będą musieli wyrazić zgodę za pośrednictwem okna podręcznego, aby wymagane dane były wysyłane poza bieżącą granicę zgodności, oraz wybrać zespoły partnerskie w firmie Microsoft, aby umożliwić wykrywanie zagrożeń dla aplikacji biznesowych.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że logo aplikacji jest imitacją logo firmy Microsoft, a zachowanie aplikacji jest podejrzane. 

  Zalecana akcja: odwołaj zgody udzielone aplikacji i wyłącz aplikację.

• Fp: Jeśli możesz potwierdzić, że logo aplikacji nie jest imitacją logo firmy Microsoft lub nie zostały wykonane żadne nietypowe działania przez aplikację. 

  Zalecana akcja: odrzucenie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane aplikacji.
3. Przejrzyj działanie użytkownika skojarzone z aplikacją.

Aplikacja jest skojarzona z domeną typosquatted

Ważność: średnia

To wykrywanie generuje alerty dla aplikacji innych niż Microsoft OAuth z domenami wydawcy lub adresami URL przekierowania zawierającymi literówkirekwatne wersje nazw marek firmy Microsoft. Typosquatting jest zwykle używany do przechwytywania ruchu do witryn, gdy użytkownicy przypadkowo błędnie adresy URL, ale mogą być również używane do personifikacji popularnych produktów i usług oprogramowania.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że domena wydawcy lub adres URL przekierowania aplikacji jest typosquatted i nie odnosi się do prawdziwej tożsamości aplikacji.

  Zalecana akcja:

  • Zbadaj szczegóły rejestracji aplikacji dotyczące ładu aplikacji i odwiedź stronę Tożsamość Microsoft Entra, aby uzyskać więcej szczegółów.
  • Sprawdź aplikację pod kątem innych oznak fałszowania lub personifikacji oraz wszelkich podejrzanych działań.
  • Przed rozważeniem jakichkolwiek akcji hermetyzowania sprawdź, czy aplikacja ma krytyczne znaczenie dla twojej organizacji. Dezaktywuj aplikację przy użyciu ładu aplikacji, aby uniemożliwić jej dostęp do zasobów. Istniejące zasady ładu aplikacji mogły już dezaktywować aplikację.

• Fp: Jeśli możesz potwierdzić, że domena wydawcy i adres URL przekierowania aplikacji są uzasadnione. 

  Zalecana akcja: zaklasyfikuj alert jako fałszywie dodatni i rozważ udostępnienie opinii na podstawie badania alertu.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane aplikacji.
3. Przejrzyj działanie użytkownika skojarzone z aplikacją.

Dostęp poświadczeń

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować odczytać poufne dane poświadczeń i składa się z technik kradzieży poświadczeń, takich jak nazwy kont, wpisy tajne, tokeny, certyfikaty i hasła w organizacji.

Aplikacja inicjująca wiele nieudanych działań odczytu usługi KeyVault bez powodzenia

Ważność: średnia

Identyfikator MITRE: T1078.004

To wykrywanie identyfikuje aplikację w dzierżawie, która była obserwowana podczas wykonywania wielu wywołań akcji odczytu do usługi KeyVault przy użyciu interfejsu API usługi Azure Resource Manager w krótkim odstępie czasu, przy czym tylko błędy i żadne pomyślne działanie odczytu nie są wykonywane.

TP czy FP?

• TP: Jeśli aplikacja jest nieznana lub nie jest używana, dane działanie jest potencjalnie podejrzane. Po zweryfikowaniu używanego zasobu platformy Azure i zweryfikowaniu użycia aplikacji w dzierżawie dane działanie może wymagać wyłączenia aplikacji. Jest to zwykle dowód podejrzenia działania wyliczenia względem zasobu usługi KeyVault w celu uzyskania dostępu do poświadczeń na potrzeby przenoszenia bocznego lub eskalacji uprawnień.

  Zalecane akcje: przejrzyj zasoby platformy Azure, do którego uzyskano dostęp lub które zostały utworzone przez aplikację, oraz wszelkie ostatnie zmiany wprowadzone w aplikacji. Na podstawie badania wybierz, czy chcesz zakazać dostępu do tej aplikacji. Przejrzyj poziom uprawnień żądany przez tę aplikację i użytkowników, którym udzielono dostępu.

• Fp: Jeśli po zbadaniu możesz potwierdzić, że aplikacja ma legalne użycie biznesowe w organizacji.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj dostęp i działanie aplikacji.
2. Przejrzyj wszystkie działania wykonywane przez aplikację od momentu jej utworzenia.
3. Przejrzyj zakresy przyznane przez aplikację w interfejs Graph API i rolę przyznaną jej w subskrypcji.
4. Przejrzyj wszystkich użytkowników, którzy mogli uzyskać dostęp do aplikacji przed działaniem.

Alerty odnajdywania

Wyliczenie dysku wykonane przez aplikację

Ważność: średnia

Identyfikator MITRE: T1087

To wykrywanie identyfikuje aplikację OAuth wykrytą przez model usługi Machine Learning wykonującą wyliczenie w plikach usługi OneDrive przy użyciu interfejs Graph API.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że nietypowe działania/użycie w usłudze OneDrive zostało wykonane przez aplikację LOB za pośrednictwem interfejs Graph API.

  Zalecana akcja: Wyłącz i usuń aplikację oraz zresetuj hasło.

• FP: Jeśli możesz potwierdzić, że aplikacja nie wykonała żadnych nietypowych działań.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez tę aplikację.
2. Przejrzyj zakresy przyznane przez aplikację.
3. Przejrzyj działanie użytkownika skojarzone z tą aplikacją.

Podejrzane działania wyliczenia wykonywane przy użyciu programu Microsoft Graph PowerShell

Ważność: średnia

Identyfikator MITRE: T1087

To wykrywanie identyfikuje dużą liczbę podejrzanych działań wyliczania wykonywanych w krótkim czasie za pośrednictwem aplikacji Programu PowerShell programu Microsoft Graph .

TP czy FP?

• TP: Jeśli możesz potwierdzić, że podejrzane/nietypowe działania wyliczenia zostały wykonane przez aplikację Programu PowerShell programu Microsoft Graph.

  Zalecana akcja: wyłącz i usuń aplikację oraz zresetuj hasło.

• FP: Jeśli możesz potwierdzić, że aplikacja nie wykonała żadnych nietypowych działań.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez tę aplikację.
2. Przejrzyj działanie użytkownika skojarzone z tą aplikacją.

Ostatnio utworzona aplikacja wielodostępna często wylicza informacje o użytkownikach

Ważność: średnia

Identyfikator MITRE: T1087

Ten alert znajduje aplikacje OAuth zarejestrowane niedawno w stosunkowo nowej dzierżawie wydawcy z uprawnieniami do zmiany ustawień skrzynki pocztowej i dostępu do wiadomości e-mail. Sprawdza, czy aplikacja wykonała wiele wywołań do firmy Microsoft interfejs Graph API żądając informacji o katalogu użytkownika. Aplikacje wyzwalające ten alert mogą nakłaniać użytkowników do udzielania zgody, aby mogli uzyskiwać dostęp do danych organizacji.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że żądanie zgody do aplikacji zostało dostarczone z nieznanego lub zewnętrznego źródła, a aplikacja nie ma legalnego użycia biznesowego w organizacji, oznacza to prawdziwie pozytywne.

  Zalecana akcja:

  • Skontaktuj się z użytkownikami i administratorami, którzy udzielili zgody na tę aplikację, aby potwierdzić, że było to zamierzone, a nadmierne uprawnienia są normalne.
  • Zbadaj działanie aplikacji i sprawdź konta, których dotyczy problem, pod kątem podejrzanych działań.
  • Na podstawie badania wyłącz aplikację i wstrzymywanie i resetowanie haseł dla wszystkich kont, których dotyczy problem.
  • Klasyfikowanie alertu jako prawdziwie dodatniego.

• Fp: Jeśli po badaniu możesz potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji, zostanie wskazany wynik fałszywie dodatni.

  Zalecana akcja: zaklasyfikuj alert jako fałszywie dodatni i rozważ udostępnienie opinii na podstawie badania alertu.

Omówienie zakresu naruszenia

Przejrzyj udzielenie zgody aplikacji przez użytkowników i administratorów. Zbadaj wszystkie działania wykonywane przez aplikację, zwłaszcza wyliczanie informacji o katalogu użytkownika. Jeśli podejrzewasz, że aplikacja jest podejrzana, rozważ wyłączenie aplikacji i rotację poświadczeń wszystkich kont, których dotyczy problem.

Alerty eksfiltracji

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować ukraść dane interesujące dla swojej organizacji.

Aplikacja OAuth używająca nietypowego agenta użytkownika

Ważność: niska

Identyfikator MITRE: T1567

To wykrywanie identyfikuje aplikację OAuth, która używa nietypowego agenta użytkownika do uzyskiwania dostępu do interfejs Graph API.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth niedawno rozpoczęła korzystanie z nowego agenta użytkownika, który nie był wcześniej używany, a ta zmiana jest nieoczekiwana, oznacza to prawdziwie dodatni wynik.

  Zalecane akcje: przejrzyj użytych agentów użytkowników i wszelkie ostatnie zmiany wprowadzone w aplikacji. Na podstawie badania możesz zablokować dostęp do tej aplikacji. Przejrzyj poziom uprawnień żądany przez tę aplikację i użytkowników, którym udzielono dostępu.

• Fp: Jeśli po zbadaniu, można potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj aplikacje, które zostały ostatnio utworzone, oraz użyte agenty użytkowników.
2. Przejrzyj wszystkie działania wykonywane przez aplikację. 
3. Przejrzyj zakresy przyznane przez aplikację. 

Aplikacja z nietypowym agentem użytkownika uzyskującą dostęp do danych poczty e-mail za pośrednictwem usług Exchange Web Services

Ważność: wysoka

Identyfikator MITRE: T1114, T1567

To wykrywanie identyfikuje aplikację OAuth, która używała nietypowego agenta użytkownika do uzyskiwania dostępu do danych poczty e-mail przy użyciu interfejsu API usług sieci Web programu Exchange.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth nie powinna zmieniać agenta użytkownika używanego do wykonywania żądań do interfejsu API usług sieci Web programu Exchange, oznacza to prawdziwie dodatni wynik.

  Zalecane akcje: klasyfikowanie alertu jako protokołu TP. Na podstawie badania, jeśli aplikacja jest złośliwa, możesz odwołać zgody i wyłączyć aplikację w dzierżawie. Jeśli jest to aplikacja, której zabezpieczenia zostały naruszone, możesz odwołać zgody, tymczasowo wyłączyć aplikację, przejrzeć uprawnienia, zresetować wpis tajny i certyfikat, a następnie ponownie włączyć aplikację.

• Fp: Jeśli po badaniu możesz potwierdzić, że agent użytkownika używany przez aplikację ma uzasadnione zastosowanie biznesowe w organizacji.

  Zalecana akcja: klasyfikowanie alertu jako fp. Rozważ również udostępnienie opinii na podstawie badania alertu.

Omówienie zakresu naruszenia

1. Sprawdź, czy aplikacja została nowo utworzona lub czy wprowadzono w niej jakiekolwiek ostatnie zmiany.
2. Przejrzyj uprawnienia przyznane aplikacji i użytkownikom, którzy wyrazili zgodę na aplikację.
3. Przejrzyj wszystkie działania wykonywane przez aplikację.

Alerty dotyczące przenoszenia bocznego

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować później przenieść się w ramach różnych zasobów, jednocześnie przechodząc przez wiele systemów i kont, aby uzyskać większą kontrolę w organizacji.

Nieaktywna aplikacja OAuth głównie korzystająca z programu MS Graph lub usług Exchange Web Services, które ostatnio były postrzegane jako uzyskujące dostęp do obciążeń usługi ARM

Ważność: średnia

Identyfikator MITRE: T1078.004

To wykrywanie identyfikuje aplikację w dzierżawie, która po długim okresie uśpienia zaczęła uzyskiwać dostęp do interfejsu API usługi Azure Resource Manager po raz pierwszy. Wcześniej ta aplikacja korzystała głównie z programu MS Graph lub usługi sieci Web programu Exchange.

TP czy FP?

• TP: jeśli aplikacja jest nieznana lub nie jest używana, dane działanie jest potencjalnie podejrzane i może wymagać wyłączenia aplikacji, po sprawdzeniu używanego zasobu platformy Azure i zweryfikowaniu użycia aplikacji w dzierżawie.

  Zalecane akcje:

  1. Przejrzyj zasoby platformy Azure dostępne lub utworzone przez aplikację oraz wszelkie ostatnie zmiany wprowadzone w aplikacji.
  2. Przejrzyj poziom uprawnień żądany przez tę aplikację i użytkowników, którym udzielono dostępu.
  3. Na podstawie badania wybierz, czy chcesz zakazać dostępu do tej aplikacji.

• Fp: Jeśli po zbadaniu możesz potwierdzić, że aplikacja ma legalne użycie biznesowe w organizacji.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj dostęp i działanie aplikacji.
2. Przejrzyj wszystkie działania wykonywane przez aplikację od momentu jej utworzenia.
3. Przejrzyj zakresy przyznane przez aplikację w interfejs Graph API i rolę przyznaną jej w subskrypcji.
4. Przejrzyj wszystkich użytkowników, którzy mogli uzyskać dostęp do aplikacji przed działaniem.

Alerty kolekcji

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować zebrać interesujące go dane z organizacji.

Aplikacja wykonała nietypowe działania wyszukiwania w wiadomościach e-mail

Ważność: średnia

Identyfikator MITRE: T1114

To wykrywanie określa, kiedy aplikacja wyraziła zgodę na podejrzany zakres uwierzytelniania OAuth i wykonała dużą liczbę nietypowych działań wyszukiwania wiadomości e-mail, takich jak wyszukiwanie e-mail dla określonej zawartości za pośrednictwem interfejs Graph API. Może to wskazywać na próbę naruszenia twojej organizacji, na przykład osób atakujących próbujących wyszukać i odczytać określoną wiadomość e-mail z organizacji za pośrednictwem interfejs Graph API. 

TP czy FP?

• TP: Jeśli możesz potwierdzić dużą liczbę nietypowych działań wyszukiwania i odczytu wiadomości e-mail za pośrednictwem interfejs Graph API przez aplikację OAuth z podejrzanym zakresem OAuth i że aplikacja jest dostarczana z nieznanego źródła.

  Zalecane akcje: wyłącz i usuń aplikację, zresetuj hasło i usuń regułę skrzynki odbiorczej. 

• FP: Jeśli możesz potwierdzić, że aplikacja wykonała dużą liczbę nietypowych wyszukiwań wiadomości e-mail i przeczytała interfejs Graph API z uzasadnionych powodów.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj zakresy przyznane przez aplikację.
2. Przejrzyj wszystkie działania wykonywane przez aplikację. 

Aplikacja wykonała nietypowe wywołania programu Graph w celu odczytu wiadomości e-mail

Ważność: średnia

Identyfikator MITRE: T1114

To wykrywanie określa, kiedy aplikacja OAuth firmy (LOB) uzyskuje dostęp do nietypowej i dużej liczby folderów i wiadomości e-mail użytkownika za pośrednictwem interfejs Graph API, co może wskazywać na próbę naruszenia zabezpieczeń organizacji.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że nietypowe działanie grafu zostało wykonane przez aplikację OAuth linii biznesowej (LOB), oznacza to prawdziwie dodatni wynik.

  Zalecane akcje: tymczasowo wyłącz aplikację i zresetuj hasło, a następnie ponownie włącz aplikację. Postępuj zgodnie z samouczkiem dotyczącym resetowania hasła przy użyciu Tożsamość Microsoft Entra.

• Fp: Jeśli możesz potwierdzić, że aplikacja jest przeznaczona do wykonywania niezwykle dużej liczby wywołań grafów.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj dziennik aktywności pod kątem zdarzeń wykonywanych przez tę aplikację, aby lepiej zrozumieć inne działania programu Graph umożliwiające odczytywanie wiadomości e-mail i próby zbierania poufnych informacji e-mail użytkowników.
2. Monitoruj pod kątem nieoczekiwanego dodawania poświadczeń do aplikacji.

Aplikacja tworzy regułę skrzynki odbiorczej i tworzy nietypowe działania wyszukiwania wiadomości e-mail

Ważność: średnia

Identyfikatory MITRE: T1137, T1114

To wykrywanie identyfikuje aplikację, która wyraziła zgodę na zakres wysokich uprawnień, tworzy podejrzaną regułę skrzynki odbiorczej i tworzy nietypowe działania wyszukiwania poczty e-mail w folderach poczty użytkowników za pośrednictwem interfejs Graph API. Może to wskazywać na próbę naruszenia twojej organizacji, na przykład osób atakujących próbujących wyszukiwać i zbierać określone wiadomości e-mail od organizacji za pośrednictwem interfejs Graph API.

TP czy FP?

• TP: Jeśli możesz potwierdzić wyszukiwanie i zbieranie określonych wiadomości e-mail za pośrednictwem interfejs Graph API przez aplikację OAuth o wysokim zakresie uprawnień, a aplikacja jest dostarczana z nieznanego źródła.

  Zalecana akcja: wyłącz i usuń aplikację, zresetuj hasło i usuń regułę skrzynki odbiorczej.

• Fp: Jeśli możesz potwierdzić, że aplikacja wykonała określone wyszukiwanie i zbieranie wiadomości e-mail za pośrednictwem interfejs Graph API i utworzyła regułę skrzynki odbiorczej na nowym lub osobistym zewnętrznym koncie e-mail z uzasadnionych powodów.

  Zalecana akcja: odrzuć alert.

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane przez aplikację.
3. Przejrzyj dowolną akcję reguły skrzynki odbiorczej utworzoną przez aplikację.
4. Przejrzyj wszystkie działania wyszukiwania wiadomości e-mail wykonywane przez aplikację.

Aplikacja wykonała działania wyszukiwania w usłudze OneDrive/SharePoint i utworzyła regułę skrzynki odbiorczej

Ważność: średnia

Identyfikatory MITRE: T1137, T1213

To wykrywanie wskazuje, że aplikacja wyraziła zgodę na zakres wysokich uprawnień, utworzyła podejrzaną regułę skrzynki odbiorczej i wykonała nietypowe działania wyszukiwania programu SharePoint lub OneDrive za pośrednictwem interfejs Graph API. Może to wskazywać na próbę naruszenia twojej organizacji, na przykład osoby atakujące próbujące wyszukać i zebrać określone dane z programu SharePoint lub OneDrive z organizacji za pośrednictwem interfejs Graph API. 

TP czy FP?

• TP: Jeśli możesz potwierdzić jakiekolwiek konkretne dane z programu SharePoint lub usługi OneDrive, które zostały wykonane za pośrednictwem interfejs Graph API przez aplikację OAuth o wysokim zakresie uprawnień, a aplikacja jest dostarczana z nieznanego źródła. 

  Zalecana akcja: wyłącz i usuń aplikację, zresetuj hasło i usuń regułę skrzynki odbiorczej. 

• Fp: Jeśli możesz potwierdzić, że aplikacja wykonała określone dane z programu SharePoint lub usługi OneDrive, wyszukaj i zbierania za pośrednictwem interfejs Graph API przez aplikację OAuth i utworzył regułę skrzynki odbiorczej na nowym lub osobistym zewnętrznym koncie e-mail z uzasadnionych powodów. 

  Zalecana akcja: odrzucenie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację. 
2. Przejrzyj zakresy przyznane przez aplikację. 
3. Przejrzyj dowolną akcję reguły skrzynki odbiorczej utworzoną przez aplikację. 
4. Przejrzyj wszystkie działania wyszukiwania programu SharePoint lub OneDrive wykonywane przez aplikację.

Aplikacja dokonała wielu wyszukiwań i edycji w usłudze OneDrive

Ważność: średnia

Identyfikatory MITRE: T1137, T1213

To wykrywanie identyfikuje aplikacje OAuth z wysokimi uprawnieniami, które wykonują dużą liczbę wyszukiwań i edycji w usłudze OneDrive przy użyciu interfejs Graph API.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że wysokie użycie obciążenia usługi OneDrive za pośrednictwem interfejs Graph API nie jest oczekiwane, ponieważ ta aplikacja OAuth ma wysokie uprawnienia do odczytu i zapisu w usłudze OneDrive, oznacza to prawdziwie dodatni wynik.

  Zalecana akcja: na podstawie badania, jeśli aplikacja jest złośliwa, możesz odwołać zgody i wyłączyć aplikację w dzierżawie. Jeśli jest to aplikacja, której zabezpieczenia zostały naruszone, możesz odwołać zgody, tymczasowo wyłączyć aplikację, przejrzeć wymagane uprawnienia, zresetować hasło, a następnie ponownie włączyć aplikację.

• Fp: Jeśli po zbadaniu, można potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: rozwiąż alert i zgłoś wyniki.

Omówienie zakresu naruszenia

1. Sprawdź, czy aplikacja pochodzi z niezawodnego źródła.
2. Sprawdź, czy aplikacja została nowo utworzona lub czy wprowadzono w niej jakiekolwiek ostatnie zmiany.
3. Przejrzyj uprawnienia przyznane aplikacji i użytkownikom, którzy wyrazili zgodę na aplikację.
4. Zbadaj wszystkie inne działania aplikacji.

Aplikacja wykonała dużą ważną regułę odczytu i utworzenia skrzynki odbiorczej

Ważność: średnia

Identyfikatory MITRE: T1137, T1114

To wykrywanie identyfikuje, że aplikacja wyraziła zgodę na zakres wysokich uprawnień, tworzy podejrzaną regułę skrzynki odbiorczej i tworzy dużą liczbę ważnych działań odczytu poczty za pośrednictwem interfejs Graph API. Może to wskazywać na próbę naruszenia twojej organizacji, na przykład osoby atakujące próbujące odczytać ważną wiadomość e-mail z organizacji za pośrednictwem interfejs Graph API. 

TP czy FP?

• TP: Jeśli możesz potwierdzić, że duża liczba ważnych wiadomości e-mail jest odczytywana przez interfejs Graph API przez aplikację OAuth o wysokim zakresie uprawnień, a aplikacja jest dostarczana z nieznanego źródła. 

  Zalecana akcja: wyłącz i usuń aplikację, zresetuj hasło i usuń regułę skrzynki odbiorczej. 

• Fp: Jeśli możesz potwierdzić, że aplikacja wykonała dużą ilość ważnych wiadomości e-mail odczytanych za pośrednictwem interfejs Graph API i utworzyła regułę skrzynki odbiorczej na nowym lub osobistym zewnętrznym koncie e-mail z uzasadnionych powodów. 

  Zalecana akcja: odrzucenie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację. 
2. Przejrzyj zakresy przyznane przez aplikację. 
3. Przejrzyj dowolną akcję reguły skrzynki odbiorczej utworzoną przez aplikację. 
4. Przejrzyj wszystkie ważne działania dotyczące odczytu wiadomości e-mail wykonane przez aplikację.

Aplikacja uprzywilejowana wykonywała nietypowe działania w usłudze Teams

Ważność: średnia

To wykrywanie identyfikuje aplikacje, które wyraziły zgodę na zakresy OAuth o wysokim poziomie uprawnień, które uzyskiwały dostęp do usługi Microsoft Teams, i wykonały nietypową liczbę działań związanych z odczytem lub publikowaniem wiadomości czatu za pośrednictwem interfejs Graph API. Może to wskazywać na próbę naruszenia twojej organizacji, na przykład osób atakujących próbujących zebrać informacje z organizacji za pośrednictwem interfejs Graph API.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że nietypowe działania komunikatów czatu w usłudze Microsoft Teams są wykonywane za pośrednictwem interfejs Graph API przez aplikację OAuth o wysokim zakresie uprawnień, a aplikacja jest dostarczana z nieznanego źródła.

  Zalecana akcja: wyłączanie i usuwanie aplikacji oraz resetowanie hasła

• FP: Jeśli możesz potwierdzić, że nietypowe działania wykonywane w usłudze Microsoft Teams za pośrednictwem interfejs Graph API były uzasadnione.

  Zalecana akcja: odrzucenie alertu

Omówienie zakresu naruszenia

1. Przejrzyj zakresy przyznane przez aplikację.
2. Przejrzyj wszystkie działania wykonywane przez aplikację.
3. Przejrzyj działanie użytkownika skojarzone z aplikacją.

Nietypowe działanie usługi OneDrive według aplikacji, które właśnie zaktualizowało lub dodało nowe poświadczenia

Ważność: średnia

Identyfikatory MITRE: T1098.001, T1213

Aplikacja w chmurze firmy innej niż Microsoft wykonała nietypowe wywołania interfejs Graph API do usługi OneDrive, w tym duże użycie danych. Wykryte przez uczenie maszynowe te nietypowe wywołania interfejsu API zostały wykonane w ciągu kilku dni po dodaniu przez aplikację nowych lub zaktualizowanych istniejących certyfikatów/wpisów tajnych. Ta aplikacja może być zaangażowana w eksfiltrację danych lub inne próby uzyskania dostępu do informacji poufnych i pobierania ich.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że nietypowe działania, takie jak duże użycie obciążenia usługi OneDrive, zostały wykonane przez aplikację za pośrednictwem interfejs Graph API.

  Zalecana akcja: tymczasowo wyłącz aplikację, zresetuj hasło, a następnie ponownie włącz aplikację.

• Fp: Jeśli możesz potwierdzić, że aplikacja nie wykonała żadnych nietypowych działań lub że aplikacja jest przeznaczona do wykonywania niezwykle dużej liczby wywołań programu Graph.

  Zalecana akcja: odrzucenie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane przez aplikację.
3. Przejrzyj działanie użytkownika skojarzone z aplikacją.

Nietypowe działanie programu SharePoint według aplikacji, które właśnie zaktualizowało lub dodało nowe poświadczenia

Ważność: średnia

Identyfikatory MITRE: T1098.001, T1213.002

Aplikacja w chmurze firmy innej niż Microsoft wykonała nietypowe wywołania interfejs Graph API do programu SharePoint, w tym duże użycie danych. Wykryte przez uczenie maszynowe te nietypowe wywołania interfejsu API zostały wykonane w ciągu kilku dni po dodaniu przez aplikację nowych lub zaktualizowanych istniejących certyfikatów/wpisów tajnych. Ta aplikacja może być zaangażowana w eksfiltrację danych lub inne próby uzyskania dostępu do informacji poufnych i pobierania ich.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że nietypowe działania, takie jak duże użycie obciążenia programu SharePoint, zostały wykonane przez aplikację za pośrednictwem interfejs Graph API.

  Zalecana akcja: tymczasowo wyłącz aplikację, zresetuj hasło, a następnie ponownie włącz aplikację.

• Fp: Jeśli możesz potwierdzić, że aplikacja nie wykonała żadnych nietypowych działań lub że aplikacja jest przeznaczona do wykonywania niezwykle dużej liczby wywołań programu Graph.

  Zalecana akcja: odrzucenie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane przez aplikację.
3. Przejrzyj działanie użytkownika skojarzone z aplikacją.

Metadane aplikacji skojarzone z podejrzanymi działaniami związanymi z pocztą

Ważność: średnia

Identyfikatory MITRE: T1114

To wykrywanie generuje alerty dla aplikacji innych niż Microsoft OAuth z metadanymi, takimi jak nazwa, adres URL lub wydawca, które były wcześniej obserwowane w aplikacjach z podejrzanymi działaniami związanymi z pocztą. Ta aplikacja może być częścią kampanii ataku i może być zaangażowana w eksfiltrację poufnych informacji.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że aplikacja utworzyła reguły skrzynki pocztowej lub wykonała dużą liczbę nietypowych wywołań interfejs Graph API do obciążenia programu Exchange.

  Zalecana akcja:

  • Zbadaj szczegóły rejestracji aplikacji dotyczące ładu aplikacji i odwiedź stronę Tożsamość Microsoft Entra, aby uzyskać więcej szczegółów.
  • Skontaktuj się z użytkownikami lub administratorami, którzy udzielili zgody lub uprawnień do aplikacji. Sprawdź, czy zmiany były zamierzone.
  • Przeszukaj tabelę wyszukiwania zagrożeń CloudAppEvents Advanced, aby zrozumieć aktywność aplikacji i zidentyfikować dane, do których uzyskuje dostęp aplikacja. Sprawdź skrzynki pocztowe, których dotyczy problem, i przejrzyj wiadomości, które mogły zostać odczytane lub przekazane przez samą aplikację lub utworzone przez nią reguły.
  • Przed rozważeniem jakichkolwiek akcji hermetyzowania sprawdź, czy aplikacja ma krytyczne znaczenie dla twojej organizacji. Dezaktywuj aplikację przy użyciu ładu aplikacji lub Tożsamość Microsoft Entra, aby uniemożliwić jej dostęp do zasobów. Istniejące zasady ładu aplikacji mogły już dezaktywować aplikację.

• Fp: Jeśli możesz potwierdzić, że aplikacja nie wykonała żadnych nietypowych działań i że aplikacja ma uzasadnione zastosowanie biznesowe w organizacji.

  Zalecana akcja: odrzucenie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane aplikacji.
3. Przejrzyj działanie użytkownika skojarzone z aplikacją.

Aplikacja z uprawnieniami aplikacji EWS uzyskującymi dostęp do licznych wiadomości e-mail

Ważność: średnia

Identyfikatory MITRE: T1114

To wykrywanie generuje alerty dla wielodostępnych aplikacji w chmurze z uprawnieniami aplikacji EWS, co pokazuje znaczny wzrost liczby wywołań interfejsu API usług Exchange Web Services specyficznych dla wyliczania i zbierania wiadomości e-mail. Ta aplikacja może być zaangażowana w uzyskiwanie dostępu do poufnych danych poczty e-mail i pobieranie ich.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że aplikacja ma dostęp do poufnych danych poczty e-mail lub wykonała dużą liczbę nietypowych wywołań do obciążenia programu Exchange.

  Zalecana akcja:

  • Zbadaj szczegóły rejestracji aplikacji dotyczące ładu aplikacji i odwiedź stronę Tożsamość Microsoft Entra, aby uzyskać więcej szczegółów.
  • Skontaktuj się z użytkownikami lub administratorami, którzy udzielili zgody lub uprawnień do aplikacji. Sprawdź, czy zmiany były zamierzone.
  • Przeszukaj tabelę wyszukiwania zagrożeń CloudAppEvents Advanced, aby zrozumieć aktywność aplikacji i zidentyfikować dane, do których uzyskuje dostęp aplikacja. Sprawdź skrzynki pocztowe, których dotyczy problem, i przejrzyj wiadomości, które mogły zostać odczytane lub przekazane przez samą aplikację lub utworzone przez nią reguły.
  • Przed rozważeniem jakichkolwiek akcji hermetyzowania sprawdź, czy aplikacja ma krytyczne znaczenie dla twojej organizacji. Dezaktywuj aplikację przy użyciu ładu aplikacji lub Tożsamość Microsoft Entra, aby uniemożliwić jej dostęp do zasobów. Istniejące zasady ładu aplikacji mogły już dezaktywować aplikację.

• Fp: Jeśli możesz potwierdzić, że aplikacja nie wykonała żadnych nietypowych działań i że aplikacja ma uzasadnione zastosowanie biznesowe w organizacji.

  Zalecana akcja: odrzucenie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane aplikacji.
3. Przejrzyj działanie użytkownika skojarzone z aplikacją.

Nieużywana aplikacja uzyskująca dostęp do interfejsów API

Ważność: średnia

Identyfikatory MITRE: T1530

To wykrywanie generuje alerty dla wielodostępnej aplikacji w chmurze, która od jakiegoś czasu jest nieaktywna i niedawno rozpoczęła wykonywanie wywołań interfejsu API. Ta aplikacja może zostać naruszona przez osobę atakującą i będzie używana do uzyskiwania dostępu do poufnych danych i pobierania ich.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że aplikacja ma dostęp do poufnych danych lub wykonała dużą liczbę nietypowych wywołań do obciążeń programu Microsoft Graph, Exchange lub Azure Resource Manager.

  Zalecana akcja:

  • Zbadaj szczegóły rejestracji aplikacji dotyczące ładu aplikacji i odwiedź stronę Tożsamość Microsoft Entra, aby uzyskać więcej szczegółów.
  • Skontaktuj się z użytkownikami lub administratorami, którzy udzielili zgody lub uprawnień do aplikacji. Sprawdź, czy zmiany były zamierzone.
  • Przeszukaj tabelę wyszukiwania zagrożeń CloudAppEvents Advanced, aby zrozumieć aktywność aplikacji i zidentyfikować dane, do których uzyskuje dostęp aplikacja. Sprawdź skrzynki pocztowe, których dotyczy problem, i przejrzyj wiadomości, które mogły zostać odczytane lub przekazane przez samą aplikację lub utworzone przez nią reguły.
  • Przed rozważeniem jakichkolwiek akcji hermetyzowania sprawdź, czy aplikacja ma krytyczne znaczenie dla twojej organizacji. Dezaktywuj aplikację przy użyciu ładu aplikacji lub Tożsamość Microsoft Entra, aby uniemożliwić jej dostęp do zasobów. Istniejące zasady ładu aplikacji mogły już dezaktywować aplikację.

• Fp: Jeśli możesz potwierdzić, że aplikacja nie wykonała żadnych nietypowych działań i że aplikacja ma uzasadnione zastosowanie biznesowe w organizacji.

  Zalecana akcja: odrzucenie alertu

Omówienie zakresu naruszenia

1. Przejrzyj wszystkie działania wykonywane przez aplikację.
2. Przejrzyj zakresy przyznane aplikacji.
3. Przejrzyj działanie użytkownika skojarzone z aplikacją.

Alerty wpływu

W tej sekcji opisano alerty wskazujące, że złośliwy aktor może próbować manipulować, przerywać lub niszczyć systemy i dane z organizacji.

Aplikacja Entra Line-of-Business inicjująca nietypowy wzrost tworzenia maszyny wirtualnej

Ważność: średnia

Identyfikator MITRE: T1496

To wykrywanie identyfikuje nową aplikację OAuth z jedną dzierżawą, która tworzy większość Virtual Machines platformy Azure w dzierżawie przy użyciu interfejsu API usługi Azure Resource Manager.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth została niedawno utworzona i tworzy dużą liczbę Virtual Machines w dzierżawie, oznacza to prawdziwie dodatni wynik.

  Zalecane akcje: przejrzyj utworzone maszyny wirtualne i wszelkie ostatnie zmiany wprowadzone w aplikacji. Na podstawie badania możesz zablokować dostęp do tej aplikacji. Przejrzyj poziom uprawnień żądany przez tę aplikację i użytkowników, którym udzielono dostępu.

• Fp: Jeśli po zbadaniu, można potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: odrzuć alert.

Opis zakresu naruszenia:

1. Przejrzyj nowo utworzone aplikacje i utworzone maszyny wirtualne.
2. Przejrzyj wszystkie działania wykonywane przez aplikację od momentu jej utworzenia.
3. Przejrzyj zakresy przyznane przez aplikację w interfejs Graph API i roli przyznanej jej w subskrypcji.

Zaobserwowano, że aplikacja OAuth z wysokim zakresem uprawnień w programie Microsoft Graph inicjuje tworzenie maszyny wirtualnej

Ważność: średnia

Identyfikator MITRE: T1496

To wykrywanie identyfikuje aplikację OAuth, która tworzy większość Virtual Machines platformy Azure w dzierżawie przy użyciu interfejsu API usługi Azure Resource Manager, mając jednocześnie wysokie uprawnienia w dzierżawie za pośrednictwem usługi MS interfejs Graph API przed działaniem.

TP czy FP?

• TP: Jeśli możesz potwierdzić, że aplikacja OAuth mająca zakresy wysokich uprawnień została utworzona i tworzy dużą liczbę Virtual Machines w dzierżawie, oznacza to prawdziwie dodatni wynik.

  Zalecane akcje: przejrzyj utworzone maszyny wirtualne i wszelkie ostatnie zmiany wprowadzone w aplikacji. Na podstawie badania możesz zablokować dostęp do tej aplikacji. Przejrzyj poziom uprawnień żądany przez tę aplikację i użytkowników, którym udzielono dostępu.

• Fp: Jeśli po zbadaniu, można potwierdzić, że aplikacja ma uzasadnione użycie biznesowe w organizacji.

  Zalecana akcja: odrzuć alert.

Opis zakresu naruszenia:

1. Przejrzyj nowo utworzone aplikacje i utworzone maszyny wirtualne.
2. Przejrzyj wszystkie działania wykonywane przez aplikację od momentu jej utworzenia.
3. Przejrzyj zakresy przyznane przez aplikację w interfejs Graph API i roli przyznanej jej w subskrypcji.

Następne kroki

Zarządzanie alertami ładu aplikacji