Udostępnij za pośrednictwem

Badanie wstępnie zdefiniowanych alertów zasad aplikacji

  • Artykuł

Ład aplikacji udostępnia wstępnie zdefiniowane alerty zasad aplikacji dla nietypowych działań. Celem tego przewodnika jest dostarczenie ogólnych i praktycznych informacji na temat każdego alertu, aby pomóc w badaniu i korygowaniu zadań.

Ten przewodnik zawiera ogólne informacje o warunkach wyzwalania alertów. Ze względu na to, że wstępnie zdefiniowane zasady są z natury niedeterministyczne, są wyzwalane tylko wtedy, gdy istnieje zachowanie, które odbiega od normy.

Porada

Niektóre alerty mogą być w wersji zapoznawczej, więc regularnie przeglądaj zaktualizowane stany alertów.

Klasyfikacje alertów zabezpieczeń

Po odpowiednim zbadaniu wszystkie alerty ładu aplikacji można sklasyfikować w jednym z następujących typów działań:

  • Prawdziwie dodatni (TP): alert dotyczący potwierdzonego złośliwego działania.
  • Niegroźny wynik prawdziwie dodatni (B-TP): alert dotyczący podejrzanych, ale nie złośliwych działań, takich jak test penetrowy lub inne autoryzowane podejrzane działanie.
  • Fałszywie dodatni (FP): alert dotyczący działania niemalicious.

Ogólne kroki badania

Skorzystaj z poniższych ogólnych wytycznych podczas badania dowolnego typu alertu, aby lepiej zrozumieć potencjalne zagrożenie przed zastosowaniem zalecanej akcji.

  1. Przejrzyj poziom ważności aplikacji i porównaj go z pozostałymi aplikacjami w dzierżawie. Ten przegląd pomaga określić, które aplikacje w dzierżawie stanowią większe ryzyko.

  2. Jeśli zidentyfikujesz protokół TP, przejrzyj wszystkie działania aplikacji, aby zrozumieć wpływ. Na przykład przejrzyj następujące informacje o aplikacji:

    • Zakresy, którym udzielono dostępu
    • Nietypowe zachowanie
    • Adres IP i lokalizacja

Wstępnie zdefiniowane alerty zasad aplikacji

Ta sekcja zawiera informacje dotyczące każdego wstępnie zdefiniowanego alertu zasad wraz z krokami badania i korygowania.

Zwiększanie użycia danych przez nadmiernie uprzywilejowaną lub wysoce uprzywilejowaną aplikację

Ważność: średnia

Znajdź aplikacje z zaawansowanymi lub nieużywanymi uprawnieniami, które wykazują nagły wzrost użycia danych za pośrednictwem interfejs Graph API. Nietypowe zmiany w użyciu danych mogą wskazywać na naruszenie zabezpieczeń.

TP czy FP?

Aby ustalić, czy alert jest prawdziwie dodatni lub fałszywie dodatni (FP), przejrzyj wszystkie działania wykonywane przez aplikację, zakresy przyznane aplikacji i działania użytkownika skojarzone z aplikacją.

  • TP: Zastosuj tę zalecaną akcję, jeśli potwierdzono, że wzrost użycia danych przez nadmiernie uprzywilejowaną lub wysoce uprzywilejowaną aplikację jest nieregularny lub potencjalnie złośliwy.

    Zalecana akcja: skontaktuj się z użytkownikami w związku z działaniami aplikacji, które spowodowały wzrost użycia danych. Tymczasowo wyłącz aplikację, zresetuj hasło, a następnie ponownie włącz aplikację.

  • FP: Zastosuj tę zalecaną akcję, jeśli potwierdzono, że wykryte działanie aplikacji jest zamierzone i ma uzasadnione zastosowanie biznesowe w organizacji.

    Zalecana akcja: odrzuć alert.

Ważność: średnia

Znajdź nietypowe wzrosty użycia danych lub błędów dostępu interfejs Graph API wystawianych przez aplikacje, które otrzymały zgodę konta priorytetowego.

TP czy FP?

Przejrzyj wszystkie działania wykonywane przez aplikację, zakresy przyznane aplikacji i działania użytkownika skojarzone z aplikacją.

  • TP: Zastosuj tę zalecaną akcję, jeśli potwierdzono, że wzrost liczby błędów użycia danych lub dostępu do interfejsu API przez aplikację za zgodą konta priorytetowego jest wysoce nieregularny lub potencjalnie złośliwy.

    Zalecana akcja: Skontaktuj się z użytkownikami konta o priorytecie w związku z działaniami aplikacji, które spowodowały wzrost użycia danych lub błędów dostępu do interfejsu API. Tymczasowo wyłącz aplikację, zresetuj hasło, a następnie ponownie włącz aplikację.

  • FP: Zastosuj tę zalecaną akcję, jeśli potwierdzono, że wykryte działanie aplikacji jest zamierzone i ma uzasadnione zastosowanie biznesowe w organizacji.

    Zalecana akcja: odrzuć alert.

Ważność: średnia

Żądania zgody z nowo utworzonej aplikacji były często odrzucane przez użytkowników. Użytkownicy zazwyczaj odrzucają żądania zgody z aplikacji, które wykazywały nieoczekiwane zachowanie lub dotarły z niezaufanego źródła. Aplikacje, które mają niskie wskaźniki zgody, są bardziej narażone na ryzyko lub złośliwe działania.

TP czy FP?

Przejrzyj wszystkie działania wykonywane przez aplikację, zakresy przyznane aplikacji i działania użytkownika skojarzone z aplikacją.

  • TP: Zastosuj tę zalecaną akcję, jeśli potwierdzono, że aplikacja pochodzi z nieznanego źródła, a jej działania były wysoce nieregularne lub potencjalnie złośliwe.

    Zalecana akcja: tymczasowo wyłącz aplikację, zresetuj hasło, a następnie ponownie włącz aplikację.

  • FP: Zastosuj tę zalecaną akcję, jeśli potwierdzono, że wykryte działanie aplikacji jest uzasadnione.

    Zalecana akcja: odrzuć alert.

Wzrost liczby wywołań interfejs Graph API wykonanych w usłudze OneDrive

Ważność: średnia

Aplikacja w chmurze wykazała znaczny wzrost liczby interfejs Graph API wywołań do usługi OneDrive. Ta aplikacja może być zaangażowana w eksfiltrację danych lub inne próby uzyskania dostępu do poufnych danych i pobrania ich.

TP czy FP?

Przejrzyj wszystkie działania wykonywane przez aplikację, zakresy przyznane aplikacji i działania użytkownika skojarzone z aplikacją.

  • TP: Zastosuj tę zalecaną akcję, jeśli potwierdzono, że wysoce nieregularne, potencjalnie złośliwe działania spowodowały wykryty wzrost użycia usługi OneDrive.

    Zalecana akcja: tymczasowo wyłącz aplikację, zresetuj hasło, a następnie ponownie włącz aplikację.

  • FP: Zastosuj tę zalecaną akcję, jeśli potwierdzono, że wykryte działanie aplikacji jest uzasadnione.

    Zalecana akcja: odrzuć alert.

Wzrost liczby wywołań interfejs Graph API wykonanych w programie SharePoint

Ważność: średnia

Aplikacja w chmurze wykazała znaczny wzrost liczby interfejs Graph API wywołań do programu SharePoint. Ta aplikacja może być zaangażowana w eksfiltrację danych lub inne próby uzyskania dostępu do poufnych danych i pobrania ich.

TP czy FP?

Przejrzyj wszystkie działania wykonywane przez aplikację, zakresy przyznane aplikacji i działania użytkownika skojarzone z aplikacją.

  • TP: Zastosuj tę zalecaną akcję, jeśli potwierdzono, że wysoce nieregularne, potencjalnie złośliwe działania spowodowały wykryty wzrost użycia programu SharePoint.

    Zalecana akcja: tymczasowo wyłącz aplikację, zresetuj hasło, a następnie ponownie włącz aplikację.

  • FP: Zastosuj tę zalecaną akcję, jeśli potwierdzono, że wykryte działanie aplikacji jest uzasadnione.

    Zalecana akcja: odrzuć alert.

Wzrost liczby wywołań interfejs Graph API wykonanych do programu Exchange

Ważność: średnia

Aplikacja w chmurze wykazała znaczny wzrost liczby wywołań interfejs Graph API do programu Exchange. Ta aplikacja może być zaangażowana w eksfiltrację danych lub inne próby uzyskania dostępu do poufnych danych i pobrania ich.

TP czy FP?

Przejrzyj wszystkie działania wykonywane przez aplikację, zakresy przyznane aplikacji i działania użytkownika skojarzone z aplikacją.

  • TP: Zastosuj tę zalecaną akcję, jeśli potwierdzono, że wysoce nieregularne, potencjalnie złośliwe działania spowodowały wykryty wzrost użycia programu Exchange.

    Zalecana akcja: tymczasowo wyłącz aplikację, zresetuj hasło, a następnie ponownie włącz aplikację.

  • FP: Zastosuj tę zalecaną akcję, jeśli potwierdzono, że wykryte działanie aplikacji jest uzasadnione.

    Zalecana akcja: odrzuć alert.

Podejrzana aplikacja z dostępem do wielu usług Platformy Microsoft 365

Ważność: średnia

Znajdź aplikacje z dostępem OAuth do wielu usług platformy Microsoft 365, które wykazały statystycznie nietypowe działanie interfejs Graph API po aktualizacji certyfikatu lub wpisu tajnego. Identyfikując te aplikacje i sprawdzając je pod kątem naruszenia zabezpieczeń, możesz uniemożliwić przenoszenie boczne, eksfiltrację danych i inne złośliwe działania, które przechodzą przez foldery w chmurze, wiadomości e-mail i inne usługi.

TP czy FP?

Przejrzyj wszystkie działania wykonywane przez aplikację, zakresy przyznane aplikacji i działania użytkownika skojarzone z aplikacją.

  • TP: Zastosuj tę zalecaną akcję, jeśli potwierdzono, że aktualizacje certyfikatów aplikacji lub wpisów tajnych oraz inne działania aplikacji były wysoce nieregularne lub potencjalnie złośliwe.

    Zalecana akcja: tymczasowo wyłącz aplikację, zresetuj hasło, a następnie ponownie włącz aplikację.

  • FP: Zastosuj tę zalecaną akcję, jeśli potwierdzono, że wykryte działanie aplikacji jest uzasadnione.

    Zalecana akcja: odrzuć alert.

Duża liczba działań tworzenia reguł skrzynki odbiorczej przez aplikację

Ważność: średnia

Aplikacja wykonała dużą liczbę wywołań interfejs Graph API w celu utworzenia reguł skrzynki odbiorczej programu Exchange. Ta aplikacja może być zaangażowana w zbieranie i eksfiltrację danych lub inne próby uzyskania dostępu do informacji poufnych i pobierania ich.

TP czy FP?

Przejrzyj wszystkie działania wykonywane przez aplikację, zakresy przyznane aplikacji i działania użytkownika skojarzone z aplikacją.

  • TP: Zastosuj tę zalecaną akcję, jeśli potwierdzono, że tworzenie reguł skrzynki odbiorczej i innych działań było wysoce nieregularne lub potencjalnie złośliwe.

    Zalecana akcja: tymczasowo wyłącz aplikację, zresetuj hasło, a następnie ponownie włącz aplikację.

  • FP: Zastosuj tę zalecaną akcję, jeśli potwierdzono, że wykryte działanie aplikacji jest uzasadnione.

    Zalecana akcja: odrzuć alert.

Duża liczba działań wyszukiwania wiadomości e-mail przez aplikację

Ważność: średnia

Aplikacja wykonała dużą liczbę wywołań interfejs Graph API w celu wyszukania zawartości wiadomości e-mail programu Exchange. Ta aplikacja może być zaangażowana w zbieranie danych lub inne próby uzyskania dostępu do informacji poufnych i pobierania ich.

TP czy FP?

Przejrzyj wszystkie działania wykonywane przez aplikację, zakresy przyznane aplikacji i działania użytkownika skojarzone z aplikacją.

  • TP: Zastosuj tę zalecaną akcję, jeśli potwierdzono, że wyszukiwanie zawartości w programie Exchange i innych działaniach było wysoce nieregularne lub potencjalnie złośliwe.

    Zalecana akcja: tymczasowo wyłącz aplikację, zresetuj hasło, a następnie ponownie włącz aplikację.

  • FP: Jeśli możesz potwierdzić, że aplikacja nie wykonała nietypowych działań wyszukiwania poczty e-mail lub że aplikacja ma na celu wykonywanie nietypowych działań wyszukiwania poczty za pośrednictwem interfejs Graph API.

    Zalecana akcja: odrzuć alert.

Duża liczba działań wysyłania wiadomości e-mail przez aplikację

Ważność: średnia

Aplikacja wykonała dużą liczbę interfejs Graph API wywołań w celu wysyłania wiadomości e-mail przy użyciu Exchange Online. Ta aplikacja może być zaangażowana w zbieranie i eksfiltrację danych lub inne próby uzyskania dostępu do informacji poufnych i pobierania ich.

TP czy FP?

Przejrzyj wszystkie działania wykonywane przez aplikację, zakresy przyznane aplikacji i działania użytkownika skojarzone z aplikacją.

  • TP: Zastosuj tę zalecaną akcję, jeśli potwierdzono, że wysyłanie wiadomości e-mail i innych działań było wysoce nieregularne lub potencjalnie złośliwe.

    Zalecana akcja: tymczasowo wyłącz aplikację, zresetuj hasło, a następnie ponownie włącz aplikację.

  • FP: Jeśli możesz potwierdzić, że aplikacja nie wykonała nietypowych działań wysyłania wiadomości e-mail lub że aplikacja ma na celu wykonywanie nietypowych działań wysyłania wiadomości e-mail za pośrednictwem interfejs Graph API.

    Zalecana akcja: odrzuć alert.

Dostęp do danych poufnych

Ważność: średnia

Znajdź aplikacje uzyskujące dostęp do poufnych danych identyfikowanych przez określone etykiety z poufnością.

TP czy FP?

Aby ustalić, czy alert ma wartość prawdziwie dodatnią (TP) czy fałszywie dodatnią (FP), przejrzyj zasoby dostępne dla aplikacji.

  • TP: Zastosuj tę zalecaną akcję, jeśli potwierdzono, że aplikacja lub wykryte działanie jest nieregularne lub potencjalnie złośliwe.

    Zalecana akcja: uniemożliwia aplikacji dostęp do jakichkolwiek zasobów, dezaktywując ją z Tożsamość Microsoft Entra.

  • Fp: Zastosuj tę zalecaną akcję, jeśli potwierdzono, że aplikacja ma prawidłowe użycie biznesowe w organizacji, a wykryte działanie było oczekiwane.

    Zalecana akcja: odrzuć alert.

Następne kroki

Dowiedz się więcej o wykrywaniu i korygowaniu zagrożeń aplikacji