Investigar alertas de deteção de ameaças de governação de aplicações

A governação de aplicações fornece alertas e deteções de segurança para atividades maliciosas. Este artigo lista os detalhes de cada alerta que podem ajudar na investigação e remediação, incluindo as condições para acionar alertas. Uma vez que as deteções de ameaças não sãondeterministas por natureza, só são acionadas quando existe um comportamento que se desvia da norma.

Para obter mais informações, veja Governação de aplicações no Microsoft Defender para Aplicativos de Nuvem

Observação

As deteções de ameaças de governação de aplicações baseiam-se na contagem de atividades em dados transitórios e que podem não ser armazenados, pelo que os alertas podem fornecer o número de atividades ou indicações de picos, mas não necessariamente todos os dados relevantes. Especificamente para aplicações OAuth API do Graph atividades, as próprias atividades podem ser auditadas pelo inquilino através do Log Analytics e Sentinel.

Para saber mais, veja:

• Aceder aos registos de atividades do Microsoft Graph
• Analisar registos de atividades com o Log Analytics

Etapas gerais de investigação

Localizar Alertas Relacionados com a Governação de Aplicações

Para localizar alertas especificamente relacionados com a Governação de Aplicações, navegue para a página Alertas do portal XDR. Na lista de alertas, utilize o campo "Origens de serviço/deteção" para filtrar alertas. Defina o valor deste campo como "Governação de Aplicações" para ver todos os alertas gerados pela Governação de Aplicações.

Diretrizes gerais

Use as diretrizes gerais a seguir ao investigar qualquer tipo de alerta para obter uma compreensão mais clara da possível ameaça antes de aplicar a ação recomendada.

• Análise o nível de gravidade do aplicativo e compare com o restante dos aplicativos em seu locatário. Esta revisão ajuda-o a identificar quais as Aplicações no seu inquilino que representam um maior risco.

• Se você identificar um PV, examine todas as atividades do aplicativo para entender o impacto. Por exemplo, examine as seguintes informações do aplicativo:

  • Escopos com acesso concedido
  • Comportamento incomum
  • Endereço IP e local

Classificações de alerta de segurança

Após investigação adequada, todos os alertas de governança de aplicativos podem ser classificados como um dos seguintes tipos de atividades:

• Verdadeiro positivo (TP): um alerta sobre uma atividade maliciosa confirmada.
• Positivo verdadeiro benigno (B-TP): um alerta sobre atividades suspeitas, mas não maliciosas, como um teste de penetração ou outra ação suspeita autorizada.
• Falso positivo (FP): um alerta sobre uma atividade não maliciosa.

MITRE ATT&CK

Para tornar mais fácil mapear a relação entre alertas de governança de aplicativos e a familiar MITER ATT&CK Matrix, categorizamos os alertas por sua tática MITER ATT&CK correspondente. Esta referência adicional facilita a compreensão da técnica de ataques suspeitos potencialmente em utilização quando o alerta de governação de aplicações é acionado.

Este guia fornece informações sobre como investigar e corrigir alertas de governança de aplicativos nas seguintes categorias.

• Acesso inicial
• Execução
• Persistência
• Elevação de Privilégio
• Evasão de defesa
• Acesso à credencial
• Descoberta
• Movimento Lateral
• Conjunto
• Exfiltração
• Impacto

Alertas de acesso inicial

Esta seção descreve alertas que indicam que um aplicativo mal-intencionado pode estar tentando manter o suporte em sua organização.

A aplicação redireciona para o URL de phishing ao explorar a vulnerabilidade de redirecionamento OAuth

Severidade: média

Esta deteção identifica as aplicações OAuth que redirecionam para URLs de phishing ao explorar o parâmetro do tipo de resposta na implementação OAuth através do Microsoft API do Graph.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth foi entregue a partir de uma origem desconhecida, o tipo de resposta do URL de resposta após dar consentimento à aplicação OAuth contém um pedido inválido e redireciona para um URL de resposta desconhecido ou não fidedigno.

  Ação recomendada: desabilite e remova o aplicativo, redefina a senha e remova a regra de caixa de entrada. 

• FP: se após investigação, você pode confirmar se o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Examine todas as atividades realizadas pelo aplicativo. 
2. Examine os escopos concedidos pelo aplicativo. 

aplicação OAuth com URL de Resposta suspeito

Severidade: média

Esta deteção identifica que uma aplicação OAuth acedeu a um URL de Resposta suspeito através do microsoft API do Graph.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth é entregue a partir de uma origem desconhecida e redireciona para um URL suspeito, é indicado um verdadeiro positivo. Um URL suspeito é aquele em que a reputação do URL é desconhecida, não fidedigna ou cujo domínio foi registado recentemente e o pedido da aplicação é para um âmbito de privilégio elevado.

  Ação recomendada: reveja o URL de Resposta, os domínios e os âmbitos pedidos pela aplicação. Com base na sua investigação, pode optar por proibir o acesso a esta aplicação. Reveja o nível de permissão pedido por esta aplicação e a que utilizadores têm acesso.

  Para proibir o acesso à aplicação, aceda ao separador relevante da sua aplicação na página Governação de aplicações . Na linha na qual é apresentada a aplicação que pretende proibir, selecione o ícone de proibição. Você pode escolher se deseja informar aos usuários que o aplicativo instalado e autorizado foi banido. A notificação permite que os utilizadores saibam que a aplicação será desativada e que não terão acesso à aplicação ligada. Se não quiser que saibam, anule a seleção de Notificar os utilizadores que concederam acesso a esta aplicação proibida na caixa de diálogo. Recomendamos que você permita que os usuários do aplicativo saibam que seu aplicativo está prestes a ser banido do uso.

• FP: se após investigação, você pode confirmar se o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Reveja as aplicações que foram criadas recentemente e os respetivos URLs de Resposta.

2. Examine todas as atividades realizadas pelo aplicativo. 

3. Examine os escopos concedidos pelo aplicativo. 

O aplicativo criado recentemente tem baixa taxa de consentimento

Gravidade: baixa

Esta detecção identifica um aplicativo OAuth que foi criado recentemente e que se descobriu ter uma baixa taxa de consentimento. Isto pode indicar uma aplicação maliciosa ou arriscada que atrai utilizadores em concessões de consentimento ilícitas.

VP ou FP?

• TP: se você for capaz de confirmar que o aplicativo OAuth é entregue de uma fonte desconhecida, então um verdadeiro positivo é indicado.

  Ação recomendada: analisar o nome de exibição, URLs de resposta e domínios do aplicativo. Com base em sua investigação, você pode optar por proibir o acesso a este aplicativo. Análise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

• FP: se após investigação, você pode confirmar se o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Análise todas as atividades realizadas pelo aplicativo.
2. Se você suspeitar que um aplicativo é suspeito, recomendamos que você investigue o nome do aplicativo e a URL de Resposta em diferentes lojas de aplicativos. Ao verificar as lojas de aplicativos, concentre-se nos seguintes tipos de aplicativos:
   • Aplicativos que foram criados recentemente.
   • Aplicativo com nome de exibição incomum
   • Aplicativos com domínio de Resposta suspeito
3. Se você ainda suspeita que um aplicativo é suspeito, você pode pesquisar o nome de exibição do aplicativo e o domínio de resposta.

Aplicação com má reputação de URL

Severidade: média

Essa detecção identifica um aplicativo OAuth que foi considerado como tendo reputação de URL incorreta.

VP ou FP?

• TP: se você for capaz de confirmar que o aplicativo OAuth é entregue de uma fonte desconhecida e redireciona para um URL suspeito, então um verdadeiro positivo é indicado.

  Ação recomendada: analise a URL de Resposta e os escopos solicitados pelo aplicativo. Com base em sua investigação, você pode optar por proibir o acesso a este aplicativo. Examine o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

• FP: se após investigação, você pode confirmar se o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Análise todas as atividades realizadas pelo aplicativo.
2. Se você suspeitar que um aplicativo é suspeito, recomendamos que você investigue o nome do aplicativo e a URL de Resposta em diferentes lojas de aplicativos. Ao verificar as lojas de aplicativos, concentre-se nos seguintes tipos de aplicativos:
   • Aplicativos que foram criados recentemente.
   • Aplicativo com nome de exibição incomum
   • Aplicativos com domínio de Resposta suspeito
3. Se você ainda suspeita que um aplicativo é suspeito, você pode pesquisar o nome de exibição do aplicativo e o domínio de resposta.

Nome do aplicativo codificado com escopos de consentimento suspeitos

Gravidade: média

Descrição: essa detecção identifica aplicativos OAuth com caracteres, como Unicode ou caracteres codificados, solicitados para escopos de consentimento suspeitos e que acessaram as pastas de e-mail dos usuários por meio da API Graph. Esse alerta pode indicar uma tentativa de enganar um aplicativo mal-intencionado como um aplicativo conhecido e confiável para que os adversários possam induzir os usuários a consentir com o aplicativo mal-intencionado.

VP ou FP?

• TP: se você puder confirmar que o aplicativo OAuth codificou o nome de exibição com escopos suspeitos entregues de uma fonte desconhecida, um verdadeiro positivo é indicado.

  Ação recomendada: examine o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso. Com base em sua investigação, você pode optar por proibir o acesso a este aplicativo.

  Para proibir o acesso à aplicação, aceda ao separador relevante da sua aplicação na página Governação de aplicações . Na linha na qual é apresentada a aplicação que pretende proibir, selecione o ícone de proibição. Você pode escolher se deseja informar aos usuários que o aplicativo instalado e autorizado foi banido. A notificação permite que os utilizadores saibam que a aplicação será desativada e que não terão acesso à aplicação ligada. Se não quiser que saibam, anule a seleção de Notificar os utilizadores que concederam acesso a esta aplicação proibida na caixa de diálogo. Recomendamos que você permita que os usuários do aplicativo saibam que seu aplicativo está prestes a ser banido do uso.

• FP: se quiser confirmar que a aplicação tem um nome codificado, mas tem uma utilização comercial legítima na organização.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

Siga o tutorial sobre como investigar aplicativos OAuth arriscados.

aplicação OAuth com âmbitos de Leitura tem UM URL de Resposta suspeito

Severidade: média

Descrição: esta deteção identifica uma aplicação OAuth com apenas âmbitos de Leitura, como User.Read, Pessoas. Read, Contacts.Read, Mail.Read, Contacts.Read. Redirecionamentos partilhados para URL de Resposta suspeito através de API do Graph. Essa atividade tenta indicar que um aplicativo mal-intencionado com menos permissão de privilégio (como escopos de leitura) pode ser explorado para conduzir o reconhecimento de conta de usuários.

VP ou FP?

• VP: se você conseguir confirmar que o aplicativo OAuth com escopo de leitura é entregue de uma fonte desconhecida e redireciona para uma URL suspeita, um verdadeiro positivo é indicado.

  Ação recomendada: examine a URL de Resposta e os escopos solicitados pelo aplicativo. Com base em sua investigação, você pode optar por proibir o acesso a este aplicativo. Examine o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

  Para proibir o acesso à aplicação, aceda ao separador relevante da sua aplicação na página Governação de aplicações . Na linha na qual é apresentada a aplicação que pretende proibir, selecione o ícone de proibição. Você pode escolher se deseja informar aos usuários que o aplicativo instalado e autorizado foi banido. A notificação permite que os utilizadores saibam que a aplicação será desativada e que não terão acesso à aplicação ligada. Se não quiser que saibam, anule a seleção de Notificar os utilizadores que concederam acesso a esta aplicação proibida na caixa de diálogo. Recomendamos que você permita que os usuários do aplicativo saibam que seu aplicativo está prestes a ser banido do uso.

• VP-B: se após a investigação, você pode confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Examine todas as atividades realizadas pelo aplicativo.
2. Se você suspeitar que um aplicativo é suspeito, recomendamos que você investigue o nome do aplicativo e a URL de Resposta em diferentes lojas de aplicativos. Ao verificar as lojas de aplicativos, concentre-se nos seguintes tipos de aplicativos:
   • Aplicativos que foram criados recentemente.
   • Aplicativos com uma URL de Resposta suspeita
   • Aplicativos que não foram atualizados recentemente. A falta de atualizações pode indicar que o aplicativo não tem mais suporte.
3. Se você ainda suspeitar que um aplicativo é suspeito, poderá pesquisar o nome do aplicativo, o nome do editor e a URL de resposta online

Aplicação com nome a apresentar invulgar e TLD invulgar no domínio responder

Severidade: média

Esta deteção identifica a aplicação com um nome a apresentar invulgar e redireciona para um domínio de resposta suspeito com um domínio de nível superior (TLD) invulgar através de API do Graph. Isto pode indicar uma tentativa de camuflar uma aplicação maliciosa ou arriscada como uma aplicação conhecida e fidedigna para que os adversários possam levar os utilizadores a consentir a sua aplicação maliciosa ou arriscada. 

TP ou FP?

• TP: se você puder confirmar que o aplicativo com nome de exibição incomum foi entregue de uma fonte desconhecida e redireciona para um domínio suspeito com domínio de nível superior incomum

  Ação recomendada: análise o nome de exibição e o domínio de resposta do aplicativo. Com base em sua investigação, você pode optar por proibir o acesso a este aplicativo. Análise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

• FP: se após investigação, você pode confirmar se o aplicativo tem um uso comercial legítimo na organização.

  Ação Recomendada: ignore o alerta.

Entender o escopo da violação

Análise todas as atividades realizadas pelo aplicativo. Se você suspeitar que um aplicativo é suspeito, recomendamos que você investigue o nome do aplicativo e a URL de Resposta em diferentes lojas de aplicativos. Ao verificar as lojas de aplicativos, concentre-se nos seguintes tipos de aplicativos:

• Aplicativos que foram criados recentemente.
• Aplicativo com nome de exibição incomum
• Aplicativos com domínio de Resposta suspeito

Se você ainda suspeita que um aplicativo é suspeito, você pode pesquisar o nome de exibição do aplicativo e o domínio de resposta.

Nova aplicação com permissões de correio com baixo padrão de consentimento

Severidade: média

Esta deteção identifica as aplicações OAuth criadas recentemente em inquilinos do publicador relativamente novos com as seguintes características:

• Permissões para aceder ou alterar as definições da caixa de correio
• Taxa de consentimento relativamente baixa, que pode identificar aplicações indesejadas ou mesmo maliciosas que tentam obter consentimento de utilizadores insuspeitos

TP ou FP?

• TP: se conseguir confirmar que o pedido de consentimento para a aplicação foi entregue a partir de uma origem externa ou desconhecida e que a aplicação não tem uma utilização comercial legítima na organização, é indicado um verdadeiro positivo.

  Ação recomendada:

  • Contacte os utilizadores e administradores que tenham dado consentimento a esta aplicação para confirmar que esta situação foi intencional e que os privilégios excessivos são normais.
  • Investigue a atividade da aplicação e marcar contas afetadas para atividades suspeitas.
  • Com base na investigação, desative a aplicação e suspenda e reponha as palavras-passe de todas as contas afetadas.
  • Classificar o alerta como um verdadeiro positivo.

• FP: se após investigação, você pode confirmar se o aplicativo tem um uso comercial legítimo na organização.

  Ação Recomendada: classifique o alerta como um falso positivo e considere partilhar comentários com base na investigação do alerta.

Entender o escopo da violação

Reveja as concessões de consentimento à aplicação efetuadas por utilizadores e administradores. Investigue todas as atividades realizadas pela aplicação, especialmente o acesso à caixa de correio de utilizadores e contas de administrador associadas. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e rodar as credenciais de todas as contas afetadas.

Nova aplicação com baixa taxa de consentimento a aceder a vários e-mails

Severidade: média

Este alerta identifica as aplicações OAuth registadas recentemente num inquilino do publicador relativamente novo com permissões para alterar as definições da caixa de correio e aceder a e-mails. Também verifica se a aplicação tem uma taxa de consentimento global relativamente baixa e faz inúmeras chamadas à Microsoft API do Graph para aceder a e-mails de utilizadores que consentem. As aplicações que acionam este alerta podem ser aplicações indesejadas ou maliciosas que tentam obter o consentimento de utilizadores insuspeitos.

TP ou FP?

• TP: se conseguir confirmar que o pedido de consentimento para a aplicação foi entregue a partir de uma origem externa ou desconhecida e que a aplicação não tem uma utilização comercial legítima na organização, é indicado um verdadeiro positivo.

  Ação recomendada:

  • Contacte os utilizadores e administradores que tenham dado consentimento a esta aplicação para confirmar que esta situação foi intencional e que os privilégios excessivos são normais.
  • Investigue a atividade da aplicação e marcar contas afetadas para atividades suspeitas.
  • Com base na investigação, desative a aplicação e suspenda e reponha as palavras-passe de todas as contas afetadas.
  • Classificar o alerta como um verdadeiro positivo.

• FP: se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização e, em seguida, é indicado um falso positivo.

  Ação Recomendada: classifique o alerta como um falso positivo e considere partilhar comentários com base na investigação do alerta.

Entender o escopo da violação

Reveja as concessões de consentimento à aplicação efetuadas por utilizadores e administradores. Investigue todas as atividades realizadas pela aplicação, especialmente o acesso às caixas de correio de utilizadores e contas de administrador associadas. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e rodar as credenciais de todas as contas afetadas.

Aplicação suspeita com permissões de correio a enviar vários e-mails

Severidade: média

Este alerta localiza aplicações OAuth multi-inquilino que fizeram inúmeras chamadas à Microsoft API do Graph para enviar e-mails num curto espaço de tempo. Também verifica se as chamadas à API resultaram em erros e tentativas falhadas de envio de e-mails. As aplicações que acionam este alerta podem estar a enviar ativamente spam ou e-mails maliciosos para outros destinos.

TP ou FP?

• TP: se conseguir confirmar que o pedido de consentimento para a aplicação foi entregue a partir de uma origem externa ou desconhecida e que a aplicação não tem uma utilização comercial legítima na organização, é indicado um verdadeiro positivo.

  Ação recomendada:

  • Contacte os utilizadores e administradores que tenham dado consentimento a esta aplicação para confirmar que esta situação foi intencional e que os privilégios excessivos são normais.
  • Investigue a atividade da aplicação e marcar contas afetadas para atividades suspeitas.
  • Com base na investigação, desative a aplicação e suspenda e reponha as palavras-passe de todas as contas afetadas.
  • Classificar o alerta como um verdadeiro positivo.

• FP: se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização e, em seguida, é indicado um falso positivo.

  Ação Recomendada: classifique o alerta como um falso positivo e considere partilhar comentários com base na investigação do alerta.

Entender o escopo da violação

Reveja as concessões de consentimento à aplicação efetuadas por utilizadores e administradores. Investigue todas as atividades realizadas pela aplicação, especialmente o acesso à caixa de correio de utilizadores e contas de administrador associadas. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e rodar as credenciais de todas as contas afetadas.

Aplicação OAuth suspeita utilizada para enviar vários e-mails

Severidade: média

Este alerta indica uma aplicação OAuth que fez inúmeras chamadas à Microsoft API do Graph para enviar e-mails num curto espaço de tempo. O inquilino do publicador da aplicação é conhecido por gerar um grande volume de aplicações OAuth que fazem chamadas semelhantes à Microsoft API do Graph. Um atacante pode estar a utilizar ativamente esta aplicação para enviar spam ou e-mails maliciosos para os seus destinos.

TP ou FP?

• TP: se conseguir confirmar que o pedido de consentimento para a aplicação foi entregue a partir de uma origem externa ou desconhecida e que a aplicação não tem uma utilização comercial legítima na organização, é indicado um verdadeiro positivo.

  Ação recomendada:

  • Contacte os utilizadores e administradores que tenham dado consentimento a esta aplicação para confirmar que esta situação foi intencional e que os privilégios excessivos são normais.
  • Investigue a atividade da aplicação e marcar contas afetadas para atividades suspeitas.
  • Com base na investigação, desative a aplicação e suspenda e reponha as palavras-passe de todas as contas afetadas.
  • Classificar o alerta como um verdadeiro positivo.

• FP: se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização e, em seguida, é indicado um falso positivo.

  Ação Recomendada: classifique o alerta como um falso positivo e considere partilhar comentários com base na investigação do alerta.

Entender o escopo da violação

Reveja as concessões de consentimento à aplicação efetuadas por utilizadores e administradores. Investigue todas as atividades realizadas pela aplicação, especialmente o acesso à caixa de correio de utilizadores e contas de administrador associadas. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e rodar as credenciais de todas as contas afetadas.

Alertas de persistência

Esta seção descreve alertas que indicam que um ator mal-intencionado pode estar tentando manter o suporte em sua organização.

O aplicativo fez chamadas anômalas do Graph para a atualização do certificado de postagem da carga de trabalho do Exchange ou adição de novas credenciais

Severidade: média

ID MITRE: T1098.001, T1114

Esta detecção dispara um alerta quando um aplicativo de linha de negócios (LOB) atualiza o certificado/segredos ou adiciona novas credenciais e, dentro de alguns dias, atualiza o certificado ou adiciona novas credenciais, observa atividades incomuns ou uso de alto volume para a carga de trabalho do Exchange por meio do Graph API usando Algoritmo de Aprendizado de máquina.

VP ou FP?

• TP: se você puder confirmar que as atividades incomuns/uso de alto volume para a carga de trabalho do Exchange foram realizadas pelo aplicativo LOB por meio da API Graph

  Ação recomendada: desabilite temporariamente o aplicativo, redefina a senha e, em seguida, reabilite o aplicativo.

• FP: se você puder confirmar que nenhuma atividade incomum foi realizada pelo aplicativo LOB ou o aplicativo se destina a fazer um volume anormalmente alto de chamadas de gráfico.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Analise todas as atividades realizadas por este aplicativo.
2. Análise os escopos concedidos pelo aplicativo.
3. Análise a atividade do usuário associada a este aplicativo.

O aplicativo com escopo OAuth suspeito foi sinalizado como de alto risco pelo modelo de Aprendizado de Máquina, fez chamadas de gráfico para ler email e criou a Regra de Caixa de Entrada

Severidade: média

ID MITRE: T1137.005, T1114

Esta deteção identifica uma aplicação OAuth que foi sinalizada de alto risco pelo modelo do Machine Learning que consentiu em âmbitos suspeitos, cria uma regra de caixa de entrada suspeita e, em seguida, acedeu a pastas de correio e mensagens dos utilizadores através do API do Graph. Regras de caixa de entrada, como encaminhar emails específicos ou todos para outra conta de email, e chamadas do Graph para acessar emails e enviar para outra conta de email, podem ser uma tentativa de exfiltrar informações da sua organização.

VP ou FP?

• TP: se você puder confirmar que a regra de caixa de entrada foi criada por um aplicativo de terceiros OAuth com escopos suspeitos entregues de uma fonte desconhecida, um verdadeiro positivo é detectado.

  Ação recomendada: desabilite e remova o aplicativo, redefina a senha e remova a regra de caixa de entrada.

Siga o tutorial sobre como Repor uma palavra-passe com Microsoft Entra ID e siga o tutorial sobre como remover a regra de caixa de entrada.

• FP: se você puder confirmar que o aplicativo criou uma regra de caixa de entrada para uma conta de email externa nova ou pessoal por motivos legítimos.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Examine todas as atividades realizadas pelo aplicativo.
2. Examine os escopos concedidos pelo aplicativo.
3. Examine a ação e a condição da regra de caixa de entrada criadas pelo aplicativo.

Aplicação com âmbito OAuth suspeito efetuou chamadas de grafos para ler e-mails e criou a regra de caixa de entrada

Severidade: média

ID do MITRE: T1137.005, T1114

Essa detecção identifica um aplicativo OAuth que consentiu com escopos suspeitos, cria uma regra de caixa de entrada suspeita e acessa pastas de email e mensagens de usuários por meio do API do Graph. Regras de caixa de entrada, como encaminhar emails específicos ou todos para outra conta de email, e chamadas do Graph para acessar emails e enviar para outra conta de email, podem ser uma tentativa de exfiltrar informações da sua organização.

VP ou FP?

• VP: se você puder confirmar que a regra de caixa de entrada foi criada por um aplicativo de terceiros OAuth com escopos suspeitos entregues de uma fonte desconhecida, um verdadeiro positivo será indicado.

  Ação recomendada: desabilite e remova o aplicativo, redefina a senha e remova a regra de caixa de entrada.

  Siga o tutorial sobre como Repor uma palavra-passe com Microsoft Entra ID e siga o tutorial sobre como remover a regra de caixa de entrada.

• FP: se você puder confirmar que o aplicativo criou uma regra de caixa de entrada para uma conta de email externa nova ou pessoal por motivos legítimos.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Examine todas as atividades realizadas pelo aplicativo.
2. Examine os escopos concedidos pelo aplicativo.
3. Examine a ação e a condição da regra de caixa de entrada criadas pelo aplicativo.

Aplicativo acessado a partir de atualização de certificado de postagem de local incomum

Gravidade: baixa

MITRE ID: T1098

Esta deteção aciona um alerta quando uma aplicação de Linha de Negócio (LOB) foi atualizada com o certificado/segredo e, poucos dias após a atualização do certificado, a aplicação é acedida a partir de uma localização invulgar que não foi vista recentemente ou nunca foi acedida no passado.

TP ou FP?

• TP: se você puder confirmar que o aplicativo LOB acessou de um local incomum e realizou atividades incomuns por meio da API do Graph.

  Ação recomendada: desabilite temporariamente o aplicativo, redefina a senha e, em seguida, reabilite o aplicativo.

• FP: se você puder confirmar que o aplicativo LOB foi acessado de um local incomum para fins legítimos e nenhuma atividade incomum realizada.

  Ação Recomendada: ignore o alerta.

Entender o escopo da violação

1. Análise todas as atividades realizadas por este aplicativo.
2. Análise os escopos concedidos pelo aplicativo.
3. Análise a atividade do usuário associada a este aplicativo.

Aplicativo acessado de local incomum fez chamadas anômalas do Graph após atualização do certificado

Gravidade: média

MITRE ID: T1098

Esta deteção aciona um alerta quando uma aplicação de Linha de Negócio (LOB) atualizou o certificado/segredo e, poucos dias após a atualização do certificado, a aplicação é acedida a partir de uma localização invulgar que não foi vista recentemente ou nunca foi acedida no passado e observou atividades invulgares ou utilização através de API do Graph através do algoritmo de Aprendizagem automática.

TP ou FP?

• TP: se você puder confirmar que atividades / uso incomuns foram realizados pelo aplicativo LOB por meio da API do Graph de um local incomum.

  Ação recomendada: desabilite temporariamente o aplicativo, redefina a senha e, em seguida, reabilite o aplicativo.

• FP: se você puder confirmar que o aplicativo LOB foi acessado de um local incomum para fins legítimos e nenhuma atividade incomum realizada.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Análise todas as atividades realizadas por este aplicativo.
2. Análise os escopos concedidos pelo aplicativo.
3. Análise a atividade do usuário associada a este aplicativo.

A aplicação criada recentemente tem um elevado volume de consentimentos revogados

Severidade: média

ID MITRE: T1566, T1098

Vários utilizadores revogaram o seu consentimento para esta linha de negócio (LOB) ou aplicação de terceiros criada recentemente. Esta aplicação pode ter atraído os utilizadores para dar o seu consentimento inadvertidamente.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth é entregue a partir de uma origem desconhecida e se o comportamento da aplicação é suspeito. 

  Ação Recomendada: revogue os consentimentos concedidos à aplicação e desative a aplicação. 

• FP: se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização e que a aplicação não realizou atividades invulgares.

  Ação Recomendada: Ignorar o alerta

Entender o escopo da violação

1. Reveja todas as atividades realizadas pela aplicação.
2. Se suspeitar que uma aplicação é suspeita, recomendamos que investigue o nome e o domínio de resposta da aplicação em diferentes lojas de aplicações. Ao verificar as lojas de aplicativos, concentre-se nos seguintes tipos de aplicativos:
   • Aplicativos que foram criados recentemente.
   • Aplicações com um nome a apresentar invulgar
   • Aplicativos com domínio de Resposta suspeito
3. Se você ainda suspeita que um aplicativo é suspeito, você pode pesquisar o nome de exibição do aplicativo e o domínio de resposta.

Metadados de aplicações associados à campanha de phishing conhecida

Severidade: média

Esta deteção gera alertas para aplicações OAuth que não sejam da Microsoft com metadados, como o nome, URL ou publicador, que tinham sido observados anteriormente em aplicações associadas a uma campanha de phishing. Estas aplicações podem fazer parte da mesma campanha e podem estar envolvidas na transferência de informações confidenciais.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth é entregue a partir de uma origem desconhecida e está a realizar atividades invulgares.

  Ação recomendada:

  • Investigue os detalhes de registo da aplicação sobre a governação de aplicações e visite Microsoft Entra ID para obter mais detalhes.
  • Contacte os utilizadores ou administradores que concederam consentimento ou permissões à aplicação. Verifique se as alterações foram intencionais.
  • Pesquise na tabela CloudAppEvents Advanced hunting para compreender a atividade da aplicação e determinar se o comportamento observado é esperado.
  • Verifique se a aplicação é fundamental para a sua organização antes de considerar quaisquer ações de contenção. Desative a aplicação através da governação de aplicações ou Microsoft Entra ID para impedir que esta aceda aos recursos. As políticas de governação de aplicações existentes podem já ter desativado a aplicação.

• FP: Se puder confirmar que não foram realizadas atividades invulgares pela aplicação e que a aplicação tem uma utilização comercial legítima na organização.

  Ação Recomendada: Ignorar o alerta

Entender o escopo da violação

1. Reveja todas as atividades realizadas pela aplicação.
2. Reveja os âmbitos concedidos à aplicação.
3. Reveja a atividade do utilizador associada à aplicação.

Metadados de aplicações associados a aplicações suspeitas sinalizadas anteriormente

Severidade: média

Esta deteção gera alertas para aplicações OAuth que não sejam da Microsoft com metadados, como o nome, URL ou publicador, que tinham sido observados anteriormente em aplicações sinalizadas pela governação de aplicações devido a atividades suspeitas. Esta aplicação pode fazer parte de uma campanha de ataque e pode estar envolvida na transferência de informações confidenciais.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth é entregue a partir de uma origem desconhecida e está a realizar atividades invulgares.

  Ação recomendada:

  • Investigue os detalhes de registo da aplicação sobre a governação de aplicações e visite Microsoft Entra ID para obter mais detalhes.
  • Contacte os utilizadores ou administradores que concederam consentimento ou permissões à aplicação. Verifique se as alterações foram intencionais.
  • Pesquise na tabela CloudAppEvents Advanced hunting para compreender a atividade da aplicação e determinar se o comportamento observado é esperado.
  • Verifique se a aplicação é fundamental para a sua organização antes de considerar quaisquer ações de contenção. Desative a aplicação através da governação de aplicações ou Microsoft Entra ID para impedir que esta aceda aos recursos. As políticas de governação de aplicações existentes podem já ter desativado a aplicação.

• FP: Se puder confirmar que não foram realizadas atividades invulgares pela aplicação e que a aplicação tem uma utilização comercial legítima na organização.

  Ação Recomendada: Ignorar o alerta

Entender o escopo da violação

1. Reveja todas as atividades realizadas pela aplicação.
2. Reveja os âmbitos concedidos à aplicação.
3. Reveja a atividade do utilizador associada à aplicação.

Atividade de e-mail suspeita da aplicação OAuth através de API do Graph

Gravidade: Elevada

Esta deteção gera alertas para aplicações OAuth multi-inquilino, registadas por utilizadores com um início de sessão de alto risco, que efetuaram chamadas para o Microsoft API do Graph para realizar atividades de e-mail suspeitas num curto espaço de tempo.

Esta deteção verifica se as chamadas à API foram efetuadas para a criação de regras de caixa de correio, criar e-mail de resposta, reencaminhar e-mail, responder ou enviar novos e-mails. As aplicações que acionam este alerta podem estar a enviar ativamente spam ou e-mails maliciosos para outros destinos ou a exfiltrar dados confidenciais e limpar faixas para evitar a deteção.

TP ou FP?

• TP: se conseguir confirmar que a criação da aplicação e o pedido de consentimento para a aplicação foram entregues a partir de uma origem externa ou desconhecida e a aplicação não tiver uma utilização comercial legítima na organização, é indicado um verdadeiro positivo.

  Ação recomendada:

  • Contacte os utilizadores e administradores que tenham dado consentimento a esta aplicação para confirmar que esta situação foi intencional e que os privilégios excessivos são normais.

  • Investigue a atividade da aplicação e marcar contas afetadas para atividades suspeitas.

  • Com base na investigação, desative a aplicação e suspenda e reponha as palavras-passe de todas as contas afetadas e remova a regra de caixa de entrada.

  • Classificar o alerta como um verdadeiro positivo.

• FP: se, após a investigação, puder confirmar que a aplicação tem uma utilização comercial legítima na organização, é indicado um falso positivo.

  Ação recomendada:

  • Classifique o alerta como um falso positivo e considere partilhar comentários com base na investigação do alerta.

  • Compreenda o âmbito da falha de segurança:

    Reveja as concessões de consentimento à aplicação efetuadas por utilizadores e administradores. Investigue todas as atividades realizadas pela aplicação, especialmente o acesso à caixa de correio de utilizadores e contas de administrador associadas. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e rodar as credenciais de todas as contas afetadas.

Atividade de e-mail suspeita da aplicação OAuth através da API do EWS

Gravidade: Elevada

Esta deteção gera alertas para aplicações OAuth multi-inquilino, registadas por utilizadores com um início de sessão de alto risco, que efetuaram chamadas à API dos Serviços Web do Microsoft Exchange (EWS) para realizar atividades de e-mail suspeitas num curto espaço de tempo.

Esta deteção verifica se foram efetuadas chamadas à API para atualizar regras de caixa de entrada, mover itens, eliminar e-mail, eliminar pasta ou eliminar anexo. As aplicações que acionam este alerta podem estar ativamente a exfiltrar ou eliminar dados confidenciais e a limpar faixas para evitar a deteção.

TP ou FP?

• TP: se conseguir confirmar que a criação da aplicação e o pedido de consentimento para a aplicação foram entregues a partir de uma origem externa ou desconhecida e a aplicação não tiver uma utilização comercial legítima na organização, é indicado um verdadeiro positivo.

  Ação recomendada:

  • Contacte os utilizadores e administradores que tenham dado consentimento a esta aplicação para confirmar que esta situação foi intencional e que os privilégios excessivos são normais.

  • Investigue a atividade da aplicação e marcar contas afetadas para atividades suspeitas.

  • Com base na investigação, desative a aplicação e suspenda e reponha as palavras-passe de todas as contas afetadas e remova a regra de caixa de entrada.

  • Classificar o alerta como um verdadeiro positivo.

• FP: se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização e, em seguida, é indicado um falso positivo.

  Ação Recomendada:

  • Classifique o alerta como um falso positivo e considere partilhar comentários com base na investigação do alerta.

  • Compreenda o âmbito da falha de segurança:

    Reveja as concessões de consentimento à aplicação efetuadas por utilizadores e administradores. Investigue todas as atividades realizadas pela aplicação, especialmente o acesso à caixa de correio de utilizadores e contas de administrador associadas. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e rodar as credenciais de todas as contas afetadas.

Alertas de escalamento de privilégios

A aplicação OAuth com metadados suspeitos tem permissão do Exchange

Severidade: média

ID MITRE: T1078

Este alerta é acionado quando uma aplicação de linha de negócio com metadados suspeitos tem o privilégio de gerir a permissão através do Exchange.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth é entregue a partir de uma origem desconhecida e tem características de metadados suspeitas, é indicado um verdadeiro positivo.

Ação Recomendada: revogue os consentimentos concedidos à aplicação e desative a aplicação.

FP: se após investigação, você pode confirmar se o aplicativo tem um uso comercial legítimo na organização.

Ação Recomendada: Ignorar o alerta

Entender o escopo da violação

1. Examine todas as atividades realizadas pelo aplicativo.
2. Examine os escopos concedidos pelo aplicativo.
3. Reveja a atividade do utilizador associada à aplicação.

Alertas de Evasão de Defesa

Aplicação a representar um logótipo da Microsoft

Severidade: média

Uma aplicação na cloud que não seja da Microsoft está a utilizar um logótipo que foi encontrado por um algoritmo de machine learning para ser semelhante a um logótipo da Microsoft. Isto pode ser uma tentativa de representar produtos de software Microsoft e parecer legítimo.

Observação

Os administradores inquilinos terão de dar consentimento através de pop-up para que os dados necessários sejam enviados fora do limite de conformidade atual e para selecionar equipas de parceiros na Microsoft para ativar esta deteção de ameaças para aplicações de linha de negócio.

TP ou FP?

• TP: se conseguir confirmar que o logótipo da aplicação é uma imitação de um logótipo da Microsoft e que o comportamento da aplicação é suspeito. 

  Ação Recomendada: revogue os consentimentos concedidos à aplicação e desative a aplicação.

• FP: Se conseguir confirmar que o logótipo da aplicação não é uma imitação de um logótipo da Microsoft ou se não foram realizadas atividades invulgares pela aplicação. 

  Ação Recomendada: Ignorar o alerta

Entender o escopo da violação

1. Reveja todas as atividades realizadas pela aplicação.
2. Reveja os âmbitos concedidos à aplicação.
3. Reveja a atividade do utilizador associada à aplicação.

A aplicação está associada a um domínio digitado

Severidade: média

Esta deteção gera alertas para aplicações OAuth que não sejam da Microsoft com domínios de publicador ou URLs de redirecionamento que contêm versões digitais de nomes de marcas da Microsoft. A tipografia é geralmente utilizada para capturar tráfego para sites sempre que os utilizadores introduzem inadvertidamente URLs com erros, mas também podem ser utilizados para representar produtos e serviços de software populares.

TP ou FP?

• TP: se conseguir confirmar que o domínio do publicador ou o URL de redirecionamento da aplicação está digitado e não está relacionado com a identidade verdadeira da aplicação.

  Ação recomendada:

  • Investigue os detalhes de registo da aplicação sobre a governação de aplicações e visite Microsoft Entra ID para obter mais detalhes.
  • Verifique se existem outros sinais de spoofing ou representação na aplicação e qualquer atividade suspeita.
  • Verifique se a aplicação é fundamental para a sua organização antes de considerar quaisquer ações de contenção. Desative a aplicação através da governação de aplicações para impedir que esta aceda aos recursos. As políticas de governação de aplicações existentes podem já ter desativado a aplicação.

• FP: se puder confirmar que o domínio do publicador e o URL de redirecionamento da aplicação são legítimos. 

  Ação Recomendada: classifique o alerta como um falso positivo e considere partilhar comentários com base na investigação do alerta.

Entender o escopo da violação

1. Reveja todas as atividades realizadas pela aplicação.
2. Reveja os âmbitos concedidos à aplicação.
3. Reveja a atividade do utilizador associada à aplicação.

Acesso a credenciais

Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar ler dados de credenciais confidenciais e consiste em técnicas para roubar credenciais como nomes de contas, segredos, tokens, certificados e palavras-passe na sua organização.

Aplicação a iniciar várias atividades de leitura do KeyVault falhadas sem êxito

Severidade: média

ID MITRE: T1078.004

Esta deteção identifica uma aplicação no seu inquilino que foi observada a fazer várias chamadas de ação de leitura para o KeyVault com a API de Resource Manager do Azure num curto intervalo, com apenas falhas e nenhuma atividade de leitura bem-sucedida a ser concluída.

TP ou FP?

• TP: se a aplicação for desconhecida ou não estiver a ser utilizada, a atividade especificada é potencialmente suspeita. Depois de verificar o recurso do Azure que está a ser utilizado e validar a utilização da aplicação no inquilino, a determinada atividade poderá exigir que a aplicação seja desativada. Geralmente, isto é uma prova de atividade de enumeração suspeita no recurso do KeyVault para obter acesso às credenciais para movimento lateral ou escalamento de privilégios.

  Ações recomendadas: reveja os recursos do Azure acedidos ou criados pela aplicação e quaisquer alterações recentes efetuadas à aplicação. Com base na sua investigação, escolha se pretende proibir o acesso a esta aplicação. Reveja o nível de permissão pedido por esta aplicação e que utilizadores concederam acesso.

• FP: se, após a investigação, puder confirmar que a aplicação tem uma utilização comercial legítima na organização.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Reveja o acesso e a atividade da aplicação.
2. Reveja todas as atividades realizadas pela aplicação desde a sua criação.
3. Reveja os âmbitos concedidos pela aplicação no API do Graph e a Função que lhe foi concedida na sua subscrição.
4. Reveja qualquer utilizador que possa ter acedido à aplicação antes da atividade.

Alertas de descoberta

Enumeração de unidades executadas pela aplicação

Gravidade: média

ID MITRE: T1087

Essa detecção identifica um aplicativo OAuth que foi detectado por um Aprendizado de Máquina executando enumeração em arquivos do OneDrive usando API do Graph.

VP ou FP?

• TP: se você puder confirmar que atividades/uso incomuns para o OneDrive foram realizados pelo aplicativo LOB por meio da API Graph.

  Ação recomendada: desabilite e remova o aplicativo e redefina a senha.

• FP: se você pode confirmar que nenhuma atividade incomum foi realizada pelo aplicativo.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Analise todas as atividades realizadas por este aplicativo.
2. Análise os escopos concedidos pelo aplicativo.
3. Análise a atividade do usuário associada a este aplicativo.

Atividades de enumeração suspeitas realizadas com o Microsoft Graph PowerShell

Gravidade: média

ID MITRE: T1087

Esta deteção identifica um grande volume de atividades de enumeração suspeitas executadas num curto espaço de tempo através de uma aplicação do PowerShell do Microsoft Graph .

TP ou FP?

• TP: Se conseguir confirmar que as atividades de enumeração suspeitas/invulgares foram realizadas pela aplicação Do PowerShell do Microsoft Graph.

  Ação recomendada: Desabilitar e remover o aplicativo e redefinir a senha.

• FP: Se você puder confirmar que nenhuma atividade incomum foi realizada pelo aplicativo.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Analisar todas as atividades realizadas por este aplicativo.
2. Análise a atividade do usuário associada a este aplicativo.

A aplicação multi-inquilino criada recentemente enumera as informações dos utilizadores com frequência

Gravidade: média

ID MITRE: T1087

Este alerta localiza as aplicações OAuth registadas recentemente num inquilino do publicador relativamente novo com permissões para alterar as definições da caixa de correio e aceder a e-mails. Verifica se a aplicação efetuou várias chamadas para o Microsoft API do Graph pedir informações de diretório de utilizadores. As aplicações que acionam este alerta podem estar a atrair os utilizadores para concederem consentimento para que possam aceder aos dados organizacionais.

TP ou FP?

• TP: se conseguir confirmar que o pedido de consentimento para a aplicação foi entregue a partir de uma origem externa ou desconhecida e que a aplicação não tem uma utilização comercial legítima na organização, é indicado um verdadeiro positivo.

  Ação recomendada:

  • Contacte os utilizadores e administradores que tenham dado consentimento a esta aplicação para confirmar que esta situação foi intencional e que os privilégios excessivos são normais.
  • Investigue a atividade da aplicação e marcar contas afetadas para atividades suspeitas.
  • Com base na investigação, desative a aplicação e suspenda e reponha as palavras-passe de todas as contas afetadas.
  • Classificar o alerta como um verdadeiro positivo.

• FP: se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização e, em seguida, é indicado um falso positivo.

  Ação Recomendada: classifique o alerta como um falso positivo e considere partilhar comentários com base na investigação do alerta.

Entender o escopo da violação

Reveja as concessões de consentimento à aplicação efetuadas por utilizadores e administradores. Investigue todas as atividades realizadas pela aplicação, especialmente a enumeração de informações do diretório do utilizador. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e rodar as credenciais de todas as contas afetadas.

Alertas de exfiltração

Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar roubar dados de interesse para o objetivo da sua organização.

aplicação OAuth a utilizar um agente de utilizador invulgar

Gravidade: baixa

ID MITRE: T1567

Esta deteção identifica uma aplicação OAuth que está a utilizar um agente de utilizador invulgar para aceder ao API do Graph.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth começou recentemente a utilizar um novo agente de utilizador que não foi utilizado anteriormente e que esta alteração é inesperada, é indicado um verdadeiro positivo.

  Ações recomendadas: reveja os agentes de utilizador utilizados e quaisquer alterações recentes efetuadas à aplicação. Com base na sua investigação, pode optar por proibir o acesso a esta aplicação. Examine o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

• FP: se após investigação, você pode confirmar se o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Reveja as aplicações que foram criadas recentemente e os agentes de utilizador utilizados.
2. Examine todas as atividades realizadas pelo aplicativo. 
3. Examine os escopos concedidos pelo aplicativo. 

Aplicação com um agente de utilizador invulgar acedeu a dados de e-mail através dos Serviços Web do Exchange

Gravidade: Elevada

ID MITRE: T1114, T1567

Esta deteção identifica uma aplicação OAuth que utilizou um agente de utilizador invulgar para aceder a dados de e-mail através da API de serviços Web do Exchange.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth não é esperada para alterar o agente de utilizador que utiliza para fazer pedidos à API dos Serviços Web exchange, é indicado um verdadeiro positivo.

  Ações recomendadas: classifique o alerta como um TP. Com base na investigação, se a aplicação for maliciosa, pode revogar os consentimentos e desativar a aplicação no inquilino. Se for uma aplicação comprometida, pode revogar os consentimentos, desativar temporariamente a aplicação, rever as permissões, repor o segredo e o certificado e, em seguida, reativar a aplicação.

• FP: se após a investigação, pode confirmar que o agente de utilizador utilizado pela aplicação tem uma utilização comercial legítima na organização.

  Ação recomendada: classifique o alerta como um FP. Além disso, considere partilhar comentários com base na sua investigação do alerta.

Entender o escopo da violação

1. Reveja se a aplicação foi criada recentemente ou se fez alterações recentes à mesma.
2. Reveja as permissões concedidas à aplicação e os utilizadores que consentiram com a aplicação.
3. Examine todas as atividades realizadas pelo aplicativo.

Alertas de movimento lateral

Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar mover-se lateralmente dentro de diferentes recursos, ao mesmo tempo que percorre vários sistemas e contas para obter mais controlo na sua organização.

Dormente aplicação OAuth a utilizar predominantemente o MS Graph ou os Serviços Web exchange recentemente vistos como estando a aceder a cargas de trabalho do ARM

Severidade: média

ID MITRE: T1078.004

Esta deteção identifica uma aplicação no seu inquilino que, após um longo período de atividade inativa, começou a aceder pela primeira vez à API Resource Manager do Azure. Anteriormente, esta aplicação utilizava principalmente o MS Graph ou o Serviço Web Exchange.

TP ou FP?

• TP: se a aplicação for desconhecida ou não estiver a ser utilizada, a atividade especificada é potencialmente suspeita e pode exigir a desativação da aplicação, depois de verificar o recurso do Azure que está a ser utilizado e validar a utilização da aplicação no inquilino.

  Ações recomendadas:

  1. Reveja os recursos do Azure acedidos ou criados pela aplicação e quaisquer alterações recentes efetuadas à aplicação.
  2. Examine o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.
  3. Com base na sua investigação, escolha se pretende proibir o acesso a esta aplicação.

• FP: se, após a investigação, puder confirmar que a aplicação tem uma utilização comercial legítima na organização.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Reveja o acesso e a atividade da aplicação.
2. Reveja todas as atividades realizadas pela aplicação desde a sua criação.
3. Reveja os âmbitos concedidos pela aplicação no API do Graph e a Função que lhe foi concedida na sua subscrição.
4. Reveja qualquer utilizador que possa ter acedido à aplicação antes da atividade.

Alertas de coleta

Esta seção descreve alertas que indicam que um ator mal-intencionado pode estar tentando coletar dados de interesse para sua meta de sua organização.

A aplicação tornou atividades de pesquisa de e-mail invulgares

Severidade: média

MITRE ID: T1114

Esta deteção identifica quando uma aplicação consentiu um âmbito OAuth suspeito e fez um grande volume de atividades de pesquisa de e-mail invulgares, como a pesquisa de e-mail para conteúdo específico através do API do Graph. Isto pode indicar uma tentativa de violação da sua organização, como adversários que tentam procurar e ler e-mails específicos da sua organização através de API do Graph. 

TP ou FP?

• TP: se conseguir confirmar um grande volume de pesquisas de e-mail invulgares e ler atividades através do API do Graph por uma aplicação OAuth com um âmbito OAuth suspeito e que a aplicação é entregue a partir de uma origem desconhecida.

  Ações recomendadas: desative e remova a aplicação, reponha a palavra-passe e remova a regra da caixa de entrada. 

• FP: Se conseguir confirmar que a aplicação realizou um elevado volume de pesquisas de e-mail invulgares e ler API do Graph por motivos legítimos.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Examine os escopos concedidos pelo aplicativo.
2. Examine todas as atividades realizadas pelo aplicativo. 

O aplicativo fez chamadas anômalas do Graph para ler emails

Severidade: média

MITRE ID: T1114

Essa detecção identifica quando o aplicativo OAuth de Linha de Negócios (LOB) acessa um volume incomum e alto de mensagens e pastas de email do usuário por meio do API do Graph, o que pode indicar uma tentativa de violação da sua organização.

VP ou FP?

• VP: se você puder confirmar que a atividade de grafo incomum foi executada pelo aplicativo OAuth de Linha de Negócios (LOB), um verdadeiro positivo será indicado.

  Ações recomendadas: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação. Siga o tutorial sobre como Repor uma palavra-passe com Microsoft Entra ID.

• FP: se você puder confirmar que o aplicativo se destina a fazer um volume excepcionalmente alto de chamadas de grafo.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Examine o log de atividades de eventos executados por este aplicativo para obter uma melhor compreensão de outras atividades do Graph para ler emails e tentar coletar informações confidenciais de email dos usuários.
2. Monitore a adição de credenciais inesperadas ao aplicativo.

O aplicativo cria regra de caixa de entrada e realiza atividades incomuns de pesquisa de email

Gravidade: média

IDs MITRE: T1137, T1114

Essa detecção identifica o aplicativo consentido com o escopo de alto privilégio, cria regra de caixa de entrada suspeita e realiza atividades de pesquisa de e-mail incomuns nas pastas de email dos usuários por meio da API do Graph. Isso pode indicar uma tentativa de violação de sua organização, como adversários tentando pesquisar e coletar emails específicos de sua organização por meio da API do Graph.

TP ou FP?

• TP: se você for capaz de confirmar qualquer pesquisa e coleta de emails específica feita por meio da API Graph por um aplicativo OAuth com escopo de alto privilégio e o aplicativo é entregue de uma fonte desconhecida.

  Ação recomendada: desabilite e remova o aplicativo, redefina a senha e remova a regra de caixa de entrada.

• FP: se você puder confirmar que o aplicativo realizou uma pesquisa e coleta de email específica por meio da API Graph e criou uma regra de caixa de entrada para uma conta de email externa nova ou pessoal por motivos legítimos.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Examine todas as atividades realizadas pelo aplicativo.
2. Examine os escopos concedidos pelo aplicativo.
3. Análise qualquer ação de regra de caixa de entrada criada pelo aplicativo.
4. Análise todas as atividades de pesquisa de email feitas pelo aplicativo.

A aplicação criou atividades de pesquisa do OneDrive/SharePoint e criou uma regra de caixa de entrada

Severidade: média

IDs mitre: T1137, T1213

Essa detecção identifica que um aplicativo consentiu com o escopo de alto privilégio, criou uma regra de caixa de entrada suspeita e fez atividades incomuns de pesquisa do Microsoft Office SharePoint Online ou do OneDrive por meio de API do Graph. Isso pode indicar uma tentativa de violação de sua organização, como adversários que tentam pesquisar e coletar dados específicos do Microsoft Office SharePoint Online ou do OneDrive de sua organização por meio de API do Graph. 

VP ou FP?

• TP: se conseguir confirmar quaisquer dados específicos da pesquisa e coleção do SharePoint ou do OneDrive efetuados através de API do Graph por uma aplicação OAuth com um âmbito de privilégio elevado e a aplicação for entregue a partir de uma origem desconhecida. 

  Ação Recomendada: desative e remova a Aplicação, reponha a palavra-passe e remova a regra da caixa de entrada. 

• FP: se conseguir confirmar que a aplicação executou dados específicos do SharePoint ou da pesquisa e recolha do OneDrive através de API do Graph por uma aplicação OAuth e criou uma regra de caixa de entrada para uma conta de e-mail externa nova ou pessoal por motivos legítimos. 

  Ação Recomendada: Ignorar o alerta

Entender o escopo da violação

1. Examine todas as atividades realizadas pelo aplicativo. 
2. Examine os escopos concedidos pelo aplicativo. 
3. Análise qualquer ação de regra de caixa de entrada criada pelo aplicativo. 
4. Examine todas as atividades de pesquisa do Microsoft Office SharePoint Online ou do OneDrive realizadas pelo aplicativo.

A aplicação fez várias pesquisas e edições no OneDrive

Severidade: média

IDs MITRE: T1137, T1213

Esta deteção identifica aplicações OAuth com permissões de privilégios elevados que efetuam um grande número de pesquisas e edições no OneDrive com API do Graph.

TP ou FP?

• TP: se conseguir confirmar que não é esperada uma utilização elevada da carga de trabalho do OneDrive através de API do Graph desta aplicação OAuth com permissões de privilégios elevados para ler e escrever no OneDrive, é indicado um verdadeiro positivo.

  Ação Recomendada: com base na investigação, se a aplicação for maliciosa, pode revogar os consentimentos e desativar a aplicação no inquilino. Se for uma aplicação comprometida, pode revogar os consentimentos, desativar temporariamente a aplicação, rever as permissões necessárias, repor a palavra-passe e, em seguida, reativar a aplicação.

• FP: se após investigação, você pode confirmar se o aplicativo tem um uso comercial legítimo na organização.

  Ação Recomendada: resolva o alerta e comunique as suas conclusões.

Entender o escopo da violação

1. Verifique se a aplicação é de uma origem fiável.
2. Verifique se a aplicação foi criada recentemente ou se efetuou alterações recentes à mesma.
3. Reveja as permissões concedidas à aplicação e os utilizadores que consentiram com a aplicação.
4. Investigue todas as outras atividades da aplicação.

O aplicativo gerou grande volume de leitura de emails importantes e criou regra de caixa de entrada

Severidade: média

IDs MITRE: T1137, T1114

Essa detecção identifica que um aplicativo consentiu com um escopo de privilégio alto, cria uma regra de caixa de entrada suspeita e gerou um grande volume de atividades de leitura de email importantes por meio da API Graph. Isso pode indicar uma tentativa de violação de sua organização, como adversários tentando ler emails de alta importância de sua organização por meio da API Graph. 

VP ou FP?

• TP: se conseguir confirmar que o elevado volume de e-mails importantes é lido através de API do Graph por uma aplicação OAuth com um âmbito de privilégio elevado e a aplicação é entregue a partir de uma origem desconhecida. 

  Ação Recomendada: desative e remova a Aplicação, reponha a palavra-passe e remova a regra da caixa de entrada. 

• FP: Se conseguir confirmar que a aplicação realizou um elevado volume de e-mails importantes lidos através de API do Graph e criou uma regra de caixa de entrada para uma conta de e-mail externa nova ou pessoal por motivos legítimos. 

  Ação Recomendada: Ignorar o alerta

Entender o escopo da violação

1. Examine todas as atividades realizadas pelo aplicativo. 
2. Examine os escopos concedidos pelo aplicativo. 
3. Análise qualquer ação de regra de caixa de entrada criada pelo aplicativo. 
4. Analise qualquer atividade de leitura de email de alta importância feita pelo aplicativo.

A aplicação com privilégios realizou atividades invulgares no Teams

Severidade: média

Esta deteção identifica as aplicações que consentem âmbitos OAuth com privilégios elevados, que acederam ao Microsoft Teams e tornaram um volume invulgar de atividades de mensagens de chat de leitura ou publicação através de API do Graph. Isto pode indicar uma tentativa de violação da sua organização, como adversários que tentam recolher informações da sua organização através de API do Graph.

TP ou FP?

• TP: se conseguir confirmar que atividades invulgares de mensagens de chat no Microsoft Teams através de API do Graph por uma aplicação OAuth com um âmbito de privilégio elevado e a aplicação for entregue a partir de uma origem desconhecida.

  Ação Recomendada: Desativar e remover a aplicação e repor a palavra-passe

• FP: Se conseguir confirmar que as atividades invulgares realizadas no Microsoft Teams através de API do Graph foram por motivos legítimos.

  Ação Recomendada: Ignorar o alerta

Entender o escopo da violação

1. Examine os escopos concedidos pelo aplicativo.
2. Examine todas as atividades realizadas pelo aplicativo.
3. Reveja a atividade do utilizador associada à aplicação.

Atividade anómalo do OneDrive por aplicação que acabou de atualizar ou adicionar novas credenciais

Severidade: média

IDs MITRE: T1098.001, T1213

Uma aplicação na cloud que não seja da Microsoft fez chamadas anómalos API do Graph para o OneDrive, incluindo a utilização de dados de elevado volume. Detetadas pelo machine learning, estas chamadas invulgares à API foram efetuadas poucos dias depois de a aplicação ter adicionado certificados/segredos existentes novos ou atualizados. Esta aplicação pode estar envolvida na transferência de dados não autorizada ou noutras tentativas de acesso e obtenção de informações confidenciais.

TP ou FP?

• TP: se conseguir confirmar que atividades invulgares, como a utilização de volume elevado da carga de trabalho do OneDrive, foram realizadas pela aplicação através de API do Graph.

  Ação Recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

• FP: Se conseguir confirmar que não foram realizadas atividades invulgares pela aplicação ou se a aplicação se destina a fazer um volume invulgarmente elevado de chamadas do Graph.

  Ação Recomendada: Ignorar o alerta

Entender o escopo da violação

1. Reveja todas as atividades realizadas pela aplicação.
2. Examine os escopos concedidos pelo aplicativo.
3. Reveja a atividade do utilizador associada à aplicação.

Atividade anómalo do SharePoint por aplicação que acabou de atualizar ou adicionar novas credenciais

Severidade: média

IDs MITRE: T1098.001, T1213.002

Uma aplicação na cloud que não seja da Microsoft efetuou chamadas anómalos API do Graph para o SharePoint, incluindo a utilização de dados de elevado volume. Detetadas pelo machine learning, estas chamadas invulgares à API foram efetuadas poucos dias depois de a aplicação ter adicionado certificados/segredos existentes novos ou atualizados. Esta aplicação pode estar envolvida na transferência de dados não autorizada ou noutras tentativas de acesso e obtenção de informações confidenciais.

TP ou FP?

• TP: se conseguir confirmar que atividades invulgares, como a utilização de volume elevado da carga de trabalho do SharePoint, foram realizadas pela aplicação através de API do Graph.

  Ação Recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

• FP: Se conseguir confirmar que não foram realizadas atividades invulgares pela aplicação ou se a aplicação se destina a fazer um volume invulgarmente elevado de chamadas do Graph.

  Ação Recomendada: Ignorar o alerta

Entender o escopo da violação

1. Reveja todas as atividades realizadas pela aplicação.
2. Examine os escopos concedidos pelo aplicativo.
3. Reveja a atividade do utilizador associada à aplicação.

Metadados de aplicações associados a atividades suspeitas relacionadas com correio

Severidade: média

IDs MITRE: T1114

Esta deteção gera alertas para aplicações OAuth que não sejam da Microsoft com metadados, como o nome, URL ou publicador, que tinham sido observados anteriormente em aplicações com atividade suspeita relacionada com correio. Esta aplicação pode fazer parte de uma campanha de ataque e pode estar envolvida na transferência de informações confidenciais.

TP ou FP?

• TP: se conseguir confirmar que a aplicação criou regras de caixa de correio ou efetuou um grande número de chamadas de API do Graph invulgares para a carga de trabalho do Exchange.

  Ação recomendada:

  • Investigue os detalhes de registo da aplicação sobre a governação de aplicações e visite Microsoft Entra ID para obter mais detalhes.
  • Contacte os utilizadores ou administradores que concederam consentimento ou permissões à aplicação. Verifique se as alterações foram intencionais.
  • Pesquise na tabela CloudAppEvents Advanced hunting (Investigação avançada do CloudAppEvents) para compreender a atividade da aplicação e identificar os dados acedidos pela aplicação. Verifique as caixas de correio afetadas e reveja as mensagens que possam ter sido lidas ou reencaminhadas pela própria aplicação ou pelas regras que criou.
  • Verifique se a aplicação é fundamental para a sua organização antes de considerar quaisquer ações de contenção. Desative a aplicação através da governação de aplicações ou Microsoft Entra ID para impedir que esta aceda aos recursos. As políticas de governação de aplicações existentes podem já ter desativado a aplicação.

• FP: Se puder confirmar que não foram realizadas atividades invulgares pela aplicação e que a aplicação tem uma utilização comercial legítima na organização.

  Ação Recomendada: Ignorar o alerta

Entender o escopo da violação

1. Reveja todas as atividades realizadas pela aplicação.
2. Reveja os âmbitos concedidos à aplicação.
3. Reveja a atividade do utilizador associada à aplicação.

Aplicação com permissões de aplicação EWS a aceder a vários e-mails

Severidade: média

IDs MITRE: T1114

Esta deteção gera alertas para aplicações na cloud multi-inquilino com permissões de aplicações EWS que mostram um aumento significativo nas chamadas à API dos Serviços Web Exchange que são específicas da enumeração e recolha de e-mails. Esta aplicação pode estar envolvida no acesso e obtenção de dados de e-mail confidenciais.

TP ou FP?

• TP: se conseguir confirmar que a aplicação acedeu a dados de e-mail confidenciais ou efetuou um grande número de chamadas invulgares para a carga de trabalho do Exchange.

  Ação recomendada:

  • Investigue os detalhes de registo da aplicação sobre a governação de aplicações e visite Microsoft Entra ID para obter mais detalhes.
  • Contacte os utilizadores ou administradores que concederam consentimento ou permissões à aplicação. Verifique se as alterações foram intencionais.
  • Pesquise na tabela CloudAppEvents Advanced hunting (Investigação avançada do CloudAppEvents) para compreender a atividade da aplicação e identificar os dados acedidos pela aplicação. Verifique as caixas de correio afetadas e reveja as mensagens que possam ter sido lidas ou reencaminhadas pela própria aplicação ou pelas regras que criou.
  • Verifique se a aplicação é fundamental para a sua organização antes de considerar quaisquer ações de contenção. Desative a aplicação através da governação de aplicações ou Microsoft Entra ID para impedir que esta aceda aos recursos. As políticas de governação de aplicações existentes podem já ter desativado a aplicação.

• FP: Se puder confirmar que não foram realizadas atividades invulgares pela aplicação e que a aplicação tem uma utilização comercial legítima na organização.

  Ação Recomendada: Ignorar o alerta

Entender o escopo da violação

1. Reveja todas as atividades realizadas pela aplicação.
2. Reveja os âmbitos concedidos à aplicação.
3. Reveja a atividade do utilizador associada à aplicação.

Aplicação não utilizada que está a aceder recentemente às APIs

Severidade: média

IDs mitre: T1530

Esta deteção gera alertas para uma aplicação na cloud multi-inquilino que está inativa há algum tempo e começou recentemente a fazer chamadas à API. Esta aplicação pode ser comprometida por um atacante e ser utilizada para aceder e obter dados confidenciais.

TP ou FP?

• TP: se conseguir confirmar que a aplicação acedeu a dados confidenciais ou efetuou um grande número de chamadas invulgares para cargas de trabalho do Microsoft Graph, Exchange ou Azure Resource Manager.

  Ação recomendada:

  • Investigue os detalhes de registo da aplicação sobre a governação de aplicações e visite Microsoft Entra ID para obter mais detalhes.
  • Contacte os utilizadores ou administradores que concederam consentimento ou permissões à aplicação. Verifique se as alterações foram intencionais.
  • Pesquise na tabela CloudAppEvents Advanced hunting (Investigação avançada do CloudAppEvents) para compreender a atividade da aplicação e identificar os dados acedidos pela aplicação. Verifique as caixas de correio afetadas e reveja as mensagens que possam ter sido lidas ou reencaminhadas pela própria aplicação ou pelas regras que criou.
  • Verifique se a aplicação é fundamental para a sua organização antes de considerar quaisquer ações de contenção. Desative a aplicação através da governação de aplicações ou Microsoft Entra ID para impedir que esta aceda aos recursos. As políticas de governação de aplicações existentes podem já ter desativado a aplicação.

• FP: Se puder confirmar que não foram realizadas atividades invulgares pela aplicação e que a aplicação tem uma utilização comercial legítima na organização.

  Ação Recomendada: Ignorar o alerta

Entender o escopo da violação

1. Reveja todas as atividades realizadas pela aplicação.
2. Reveja os âmbitos concedidos à aplicação.
3. Reveja a atividade do utilizador associada à aplicação.

Alertas de impacto

Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar manipular, interromper ou destruir os seus sistemas e dados da sua organização.

Aplicação Entra Line-of-Business que inicia um pico anómalo na criação de máquinas virtuais

Severidade: média

ID MITRE: T1496

Esta deteção identifica uma nova aplicação OAuth de inquilino único que está a criar uma grande parte do Azure Máquinas Virtuais no seu inquilino com a API de Resource Manager do Azure.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth foi criada recentemente e estiver a criar um grande número de Máquinas Virtuais no seu inquilino, é indicado um verdadeiro positivo.

  Ações recomendadas: reveja as Máquinas virtuais criadas e quaisquer alterações recentes efetuadas à aplicação. Com base na sua investigação, pode optar por proibir o acesso a esta aplicação. Examine o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

• FP: se após investigação, você pode confirmar se o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta.

Compreenda o âmbito da falha de segurança:

1. Reveja as aplicações criadas recentemente e as VMs criadas.
2. Reveja todas as atividades realizadas pela aplicação desde a sua criação.
3. Reveja os âmbitos concedidos pela aplicação no API do Graph e Função que lhe foi concedida na sua subscrição.

A aplicação OAuth com privilégios de âmbito elevado no Microsoft Graph foi observada a iniciar a criação de máquinas virtuais

Severidade: média

ID MITRE: T1496

Esta deteção identifica a aplicação OAuth que cria a maior parte do Azure Máquinas Virtuais no seu inquilino com a API de Resource Manager do Azure enquanto tem privilégios elevados no inquilino através do MS API do Graph antes da atividade.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth com âmbitos de privilégios elevados foi criada e está a criar um grande número de Máquinas Virtuais no seu inquilino, é indicado um verdadeiro positivo.

  Ações recomendadas: reveja as Máquinas virtuais criadas e quaisquer alterações recentes efetuadas à aplicação. Com base na sua investigação, pode optar por proibir o acesso a esta aplicação. Examine o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

• FP: se após investigação, você pode confirmar se o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta.

Compreenda o âmbito da falha de segurança:

1. Reveja as aplicações criadas recentemente e as VMs criadas.
2. Reveja todas as atividades realizadas pela aplicação desde a sua criação.
3. Reveja os âmbitos concedidos pela aplicação no API do Graph e Função que lhe foi concedida na sua subscrição.

Próximas etapas

Gerir alertas de governação de aplicações