Compartilhar via

Investigar alertas de políticas de aplicações predefinidos

  • Artigo

A governação de aplicações fornece alertas de política de aplicações predefinidos para atividades anómalas. O objetivo deste guia é fornecer informações gerais e práticas sobre cada alerta, para ajudar com suas tarefas de investigação e correção.

Neste guia estão informações gerais sobre as condições para disparar alertas. Uma vez que as políticas predefinidas não sãondeterministas por natureza, só são acionadas quando existe um comportamento que se desvia da norma.

Dica

Alguns alertas podem estar em pré-visualização, pelo que deve rever regularmente os estados dos alertas atualizados.

Classificações de alerta de segurança

Após uma investigação adequada, todos os alertas de governação de aplicações podem ser classificados num dos seguintes tipos de atividade:

  • Verdadeiro positivo (TP): um alerta sobre uma atividade maliciosa confirmada.
  • Positivo verdadeiro benigno (B-TP): um alerta sobre atividades suspeitas, mas não maliciosas, como um teste de penetração ou outra ação suspeita autorizada.
  • Falso positivo (FP): um alerta sobre uma atividade não amaliciou.

Etapas gerais de investigação

Use as diretrizes gerais a seguir ao investigar qualquer tipo de alerta para obter uma compreensão mais clara da possível ameaça antes de aplicar a ação recomendada.

  1. Análise o nível de gravidade do aplicativo e compare com o restante dos aplicativos em seu locatário. Esta revisão ajuda-o a identificar quais as aplicações no seu inquilino que representam um maior risco.

  2. Se identificar um TP, reveja todas as atividades da aplicação para compreender o impacto. Por exemplo, reveja as seguintes informações da aplicação:

    • Escopos com acesso concedido
    • Comportamento incomum
    • Endereço IP e local

Alertas de política de aplicações predefinidos

Esta secção fornece informações sobre cada alerta de política predefinido, juntamente com os passos para investigação e remediação.

Aumentar a utilização de dados por uma aplicação com privilégios excessivos ou altamente privilegiada

Severidade: média

Encontre aplicações com permissões avançadas ou não utilizadas que apresentem aumentos repentinos na utilização de dados através de API do Graph. Alterações invulgares na utilização de dados podem indicar um compromisso.

TP ou FP?

Para determinar se o alerta é um verdadeiro positivo (TP) ou um falso positivo (FP), reveja todas as atividades realizadas pela aplicação, os âmbitos concedidos à aplicação e a atividade do utilizador associada à aplicação.

  • TP: aplique esta ação recomendada se tiver confirmado que o aumento da utilização de dados por uma aplicação com privilégios excessivos ou altamente privilegiados é irregular ou potencialmente malicioso.

    Ação recomendada: contacte os utilizadores sobre as atividades da aplicação que causaram o aumento da utilização de dados. Desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

  • FP: aplique esta ação recomendada se tiver confirmado que a atividade da aplicação detetada se destina e tem uma utilização comercial legítima na organização.

    Ação recomendada: ignorar o alerta.

Severidade: média

Encontre aumentos invulgares na utilização de dados ou API do Graph erros de acesso apresentados por aplicações que receberam consentimento de uma conta prioritária.

TP ou FP?

Reveja todas as atividades realizadas pela aplicação, os âmbitos concedidos à aplicação e a atividade do utilizador associada à aplicação.

  • TP: aplique esta ação recomendada se tiver confirmado que o aumento da utilização de dados ou erros de acesso à API por uma aplicação com consentimento de uma conta prioritária é altamente irregular ou potencialmente malicioso.

    Ação recomendada: contacte os utilizadores da conta de prioridade sobre as atividades da aplicação que causaram o aumento da utilização de dados ou erros de acesso à API. Desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

  • FP: aplique esta ação recomendada se tiver confirmado que a atividade da aplicação detetada se destina e tem uma utilização comercial legítima na organização.

    Ação recomendada: ignorar o alerta.

Gravidade: média

Os pedidos de consentimento de uma aplicação recentemente criada foram rejeitados frequentemente pelos utilizadores. Normalmente, os utilizadores rejeitam pedidos de consentimento de aplicações que apresentaram comportamentos inesperados ou chegaram de uma origem não fidedigna. As aplicações com taxas de consentimento baixas são mais propensas a serem arriscadas ou maliciosas.

TP ou FP?

Reveja todas as atividades realizadas pela aplicação, os âmbitos concedidos à aplicação e a atividade do utilizador associada à aplicação.

  • TP: aplique esta ação recomendada se tiver confirmado que a aplicação provém de uma origem desconhecida e se as respetivas atividades tiverem sido altamente irregulares ou potencialmente maliciosas.

    Ação recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

  • FP: aplique esta ação recomendada se tiver confirmado que a atividade da aplicação detetada é legítima.

    Ação recomendada: ignorar o alerta.

Pico de API do Graph chamadas efetuadas no OneDrive

Gravidade: média

Uma aplicação na cloud mostrou um aumento significativo nas chamadas API do Graph para o OneDrive. Esta aplicação pode estar envolvida na transferência de dados não autorizada ou noutras tentativas de acesso e obtenção de dados confidenciais.

TP ou FP?

Reveja todas as atividades realizadas pela aplicação, os âmbitos concedidos à aplicação e a atividade do utilizador associada à aplicação.

  • TP: aplique esta ação recomendada se tiver confirmado que atividades potencialmente maliciosas e altamente irregulares resultaram no aumento detetado na utilização do OneDrive.

    Ação recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

  • FP: aplique esta ação recomendada se tiver confirmado que a atividade da aplicação detetada é legítima.

    Ação recomendada: ignorar o alerta.

Pico de API do Graph chamadas efetuadas no SharePoint

Gravidade: média

Uma aplicação na cloud mostrou um aumento significativo nas chamadas API do Graph para o SharePoint. Esta aplicação pode estar envolvida na transferência de dados não autorizada ou noutras tentativas de acesso e obtenção de dados confidenciais.

TP ou FP?

Reveja todas as atividades realizadas pela aplicação, os âmbitos concedidos à aplicação e a atividade do utilizador associada à aplicação.

  • TP: Aplique esta ação recomendada se tiver confirmado que atividades potencialmente maliciosas e altamente irregulares resultaram no aumento detetado na utilização do SharePoint.

    Ação recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

  • FP: aplique esta ação recomendada se tiver confirmado que a atividade da aplicação detetada é legítima.

    Ação recomendada: ignorar o alerta.

Pico nas chamadas API do Graph feitas ao Exchange

Gravidade: média

Uma aplicação na cloud mostrou um aumento significativo nas chamadas API do Graph para o Exchange. Esta aplicação pode estar envolvida na transferência de dados não autorizada ou noutras tentativas de acesso e obtenção de dados confidenciais.

TP ou FP?

Reveja todas as atividades realizadas pela aplicação, os âmbitos concedidos à aplicação e a atividade do utilizador associada à aplicação.

  • TP: Aplique esta ação recomendada se tiver confirmado que atividades potencialmente maliciosas e altamente irregulares resultaram no aumento detetado na utilização do Exchange.

    Ação recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

  • FP: aplique esta ação recomendada se tiver confirmado que a atividade da aplicação detetada é legítima.

    Ação recomendada: ignorar o alerta.

Aplicação suspeita com acesso a vários serviços do Microsoft 365

Gravidade: média

Encontre aplicações com acesso OAuth a múltiplos serviços do Microsoft 365 que apresentaram atividade de API do Graph estatisticamente anómalo após uma atualização de certificado ou segredo. Ao identificar estas aplicações e ao verificá-las como comprometidas, pode impedir o movimento lateral, a transferência de dados e outras atividades maliciosas que atravessam pastas na cloud, e-mails e outros serviços.

TP ou FP?

Reveja todas as atividades realizadas pela aplicação, os âmbitos concedidos à aplicação e a atividade do utilizador associada à aplicação.

  • TP: aplique esta ação recomendada se tiver confirmado que as atualizações para certificados de aplicações ou segredos e outras atividades da aplicação foram altamente irregulares ou potencialmente maliciosas.

    Ação recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

  • FP: aplique esta ação recomendada se tiver confirmado que a atividade da aplicação detetada é legítima.

    Ação recomendada: ignorar o alerta.

Elevado volume de atividade de criação de regras de caixa de entrada por uma aplicação

Gravidade: média

Uma aplicação efetuou um grande número de chamadas API do Graph para criar regras de caixa de entrada do Exchange. Esta aplicação pode estar envolvida na recolha e exfiltração de dados ou noutras tentativas de acesso e obtenção de informações confidenciais.

TP ou FP?

Reveja todas as atividades realizadas pela aplicação, os âmbitos concedidos à aplicação e a atividade do utilizador associada à aplicação.

  • TP: Aplique esta ação recomendada se tiver confirmado que a criação de regras de caixa de entrada e outras atividades foram altamente irregulares ou potencialmente maliciosas.

    Ação recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

  • FP: aplique esta ação recomendada se tiver confirmado que a atividade da aplicação detetada é legítima.

    Ação recomendada: ignorar o alerta.

Elevado volume de atividade de pesquisa de e-mail por uma aplicação

Severidade: média

Uma aplicação efetuou um grande número de chamadas API do Graph para procurar conteúdos de e-mail do Exchange. Esta aplicação pode estar envolvida na recolha de dados ou noutras tentativas de aceder e obter informações confidenciais.

TP ou FP?

Reveja todas as atividades realizadas pela aplicação, os âmbitos concedidos à aplicação e a atividade do utilizador associada à aplicação.

  • TP: aplique esta ação recomendada se tiver confirmado que as pesquisas de conteúdos no Exchange e outras atividades foram altamente irregulares ou potencialmente maliciosas.

    Ação recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

  • FP: Se conseguir confirmar que não foram realizadas atividades de pesquisa de correio invulgares pela aplicação ou se a aplicação se destina a realizar atividades de pesquisa de correio invulgares através de API do Graph.

    Ação recomendada: ignorar o alerta.

Elevado volume de atividade de envio de e-mail por uma aplicação

Gravidade: média

Uma aplicação efetuou um grande número de chamadas API do Graph para enviar mensagens de e-mail com Exchange Online. Esta aplicação pode estar envolvida na recolha e exfiltração de dados ou noutras tentativas de acesso e obtenção de informações confidenciais.

TP ou FP?

Reveja todas as atividades realizadas pela aplicação, os âmbitos concedidos à aplicação e a atividade do utilizador associada à aplicação.

  • TP: aplique esta ação recomendada se tiver confirmado que o envio de mensagens de e-mail e outras atividades foram altamente irregulares ou potencialmente maliciosas.

    Ação recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

  • FP: Se conseguir confirmar que não foram realizadas atividades de envio de correio invulgares pela aplicação ou se a aplicação se destina a criar atividades de envio de correio invulgares através de API do Graph.

    Ação recomendada: ignorar o alerta.

Acesso a dados confidenciais

Severidade: média

Localize as aplicações que acedem a dados confidenciais identificados por etiquetas de forma sensível específicas.

TP ou FP?

Para determinar se o alerta é um verdadeiro positivo (TP) ou um falso positivo (FP), veja os recursos acedidos pela aplicação.

  • TP: aplique esta ação recomendada se tiver confirmado que a aplicação ou a atividade detetada é irregular ou potencialmente maliciosa.

    Ação recomendada: impeça que a aplicação aceda a quaisquer recursos ao desativá-la de Microsoft Entra ID.

  • FP: aplique esta ação recomendada se tiver confirmado que a aplicação tem uma utilização comercial legítima na organização e se a atividade detetada foi esperada.

    Ação recomendada: ignorar o alerta.

Próximas etapas

Saiba mais sobre a deteção e remediação de ameaças de aplicações