Investigar alertas de deteção de ameaças de governação de aplicações

A governação de aplicações fornece alertas e deteções de segurança para atividades maliciosas. Este artigo lista os detalhes de cada alerta que podem ajudar na investigação e remediação, incluindo as condições para acionar alertas. Uma vez que as deteções de ameaças não sãondeterministas por natureza, só são acionadas quando existe um comportamento que se desvia da norma.

Para obter mais informações, veja Governação de aplicações no Microsoft Defender for Cloud Apps

Nota

As deteções de ameaças de governação de aplicações baseiam-se na contagem de atividades em dados transitórios e que podem não ser armazenados, pelo que os alertas podem fornecer o número de atividades ou indicações de picos, mas não necessariamente todos os dados relevantes. Especificamente para aplicações OAuth Graph API atividades, as próprias atividades podem ser auditadas pelo inquilino com o Log Analytics e Sentinel.

Para obter mais informações, consulte:

• Aceder aos registos de atividades do Microsoft Graph
• Analisar registos de atividades com o Log Analytics

Passos gerais de investigação

Localizar Alertas Relacionados com a Governação de Aplicações

Para localizar alertas especificamente relacionados com a Governação de Aplicações, navegue para a página Alertas do portal XDR. Na lista de alertas, utilize o campo "Origens de serviço/deteção" para filtrar alertas. Defina o valor deste campo como "Governação de Aplicações" para ver todos os alertas gerados pela Governação de Aplicações.

Diretrizes Gerais

Utilize as seguintes diretrizes gerais ao investigar qualquer tipo de alerta para obter uma compreensão mais clara da ameaça potencial antes de aplicar a ação recomendada.

• Reveja o nível de gravidade da aplicação e compare com as restantes aplicações no seu inquilino. Esta revisão ajuda-o a identificar quais as Aplicações no seu inquilino que representam um maior risco.

• Se identificar um TP, reveja todas as atividades da Aplicação para compreender o impacto. Por exemplo, reveja as seguintes Informações da aplicação:

  • Âmbitos de acesso concedido
  • Comportamento invulgar
  • Endereço IP e localização

Classificações de alertas de segurança

Após uma investigação adequada, todos os alertas de governação de aplicações podem ser classificados como um dos seguintes tipos de atividade:

• Verdadeiro positivo (TP): um alerta sobre uma atividade maliciosa confirmada.
• Positivo verdadeiro benigno (B-TP): um alerta sobre atividades suspeitas, mas não maliciosas, como um teste de penetração ou outra ação suspeita autorizada.
• Falso positivo (FP): um alerta sobre uma atividade não maliciosa.

MITRE ATT&CK

Para facilitar o mapeamento da relação entre os alertas de governação de aplicações e a familiar MITRE ATT&Matriz CK, categorizámos os alertas pela respetiva tática MITRE ATT&CK correspondente. Esta referência adicional facilita a compreensão da técnica de ataques suspeitos potencialmente em utilização quando o alerta de governação de aplicações é acionado.

Este guia fornece informações sobre como investigar e remediar alertas de governação de aplicações nas seguintes categorias.

• Acesso Inicial
• Execução
• Persistência
• Escalamento de Privilégios
• Evasão à Defesa
• Acesso a Credenciais
• Deteção
• Movimento Lateral
• Coleção
• Exfiltração
• Impacto

Alertas de acesso inicial

Esta secção descreve alertas que indicam que uma aplicação maliciosa pode estar a tentar manter a sua posição de pé na sua organização.

A aplicação redireciona para o URL de phishing ao explorar a vulnerabilidade de redirecionamento OAuth

Gravidade: Média

Esta deteção identifica as aplicações OAuth que redirecionam para URLs de phishing ao explorar o parâmetro do tipo de resposta na implementação OAuth através do microsoft Graph API.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth foi entregue a partir de uma origem desconhecida, o tipo de resposta do URL de resposta após dar consentimento à aplicação OAuth contém um pedido inválido e redireciona para um URL de resposta desconhecido ou não fidedigno.

  Ação recomendada: desative e remova a aplicação, reponha a palavra-passe e remova a regra da caixa de entrada. 

• FP: Se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização.

  Ação recomendada: dispense o alerta.

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas pela aplicação. 
2. Reveja os âmbitos concedidos pela aplicação. 

Aplicação OAuth com URL de Resposta suspeito

Gravidade: Média

Esta deteção identifica que uma aplicação OAuth acedeu a um URL de Resposta suspeito através do microsoft Graph API.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth é entregue a partir de uma origem desconhecida e redireciona para um URL suspeito, é indicado um verdadeiro positivo. Um URL suspeito é aquele em que a reputação do URL é desconhecida, não fidedigna ou cujo domínio foi registado recentemente e o pedido da aplicação é para um âmbito de privilégio elevado.

  Ação recomendada: reveja o URL de Resposta, os domínios e os âmbitos pedidos pela aplicação. Com base na sua investigação, pode optar por proibir o acesso a esta aplicação. Reveja o nível de permissão pedido por esta aplicação e a que utilizadores têm acesso.

  Para proibir o acesso à aplicação, aceda ao separador relevante da sua aplicação na página Governação de aplicações . Na linha na qual é apresentada a aplicação que pretende proibir, selecione o ícone de proibição. Pode escolher se pretende indicar aos utilizadores que a aplicação instalada e autorizada foi proibida. A notificação permite que os utilizadores saibam que a aplicação será desativada e que não terão acesso à aplicação ligada. Se não quiser que saibam, anule a seleção de Notificar os utilizadores que concederam acesso a esta aplicação proibida na caixa de diálogo. Recomendamos que informe os utilizadores da aplicação de que a aplicação está prestes a ser proibida de utilizar.

• FP: Se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização.

  Ação recomendada: dispense o alerta.

Compreender o âmbito da falha de segurança

1. Reveja as aplicações que foram criadas recentemente e os respetivos URLs de Resposta.

2. Reveja todas as atividades realizadas pela aplicação. 

3. Reveja os âmbitos concedidos pela aplicação. 

A aplicação criada recentemente tem uma taxa de consentimento baixa

Gravidade: Baixa

Esta deteção identifica uma aplicação OAuth que foi criada recentemente e que se verificou ter uma taxa de consentimento baixa. Isto pode indicar uma aplicação maliciosa ou arriscada que atrai utilizadores em concessões de consentimento ilícitas.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth é entregue a partir de uma origem desconhecida, é indicado um verdadeiro positivo.

  Ação recomendada: reveja o nome a apresentar, os URLs de Resposta e os domínios da aplicação. Com base na sua investigação, pode optar por proibir o acesso a esta aplicação. Reveja o nível de permissão pedido por esta aplicação e que utilizadores concederam acesso.

• FP: Se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização.

  Ação recomendada: dispense o alerta.

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas pela aplicação.
2. Se suspeitar que uma aplicação é suspeita, recomendamos que investigue o nome da aplicação e o domínio de resposta em diferentes lojas de aplicações. Ao verificar as lojas de aplicações, concentre-se nos seguintes tipos de aplicações:
   • Aplicações que foram criadas recentemente
   • Aplicação com nome a apresentar invulgar
   • Aplicações com um domínio de Resposta suspeito
3. Se ainda suspeitar que uma aplicação é suspeita, pode pesquisar o nome a apresentar da aplicação e o domínio de resposta.

Aplicação com má reputação de URL

Gravidade: Média

Esta deteção identifica uma aplicação OAuth que se verificou ter má reputação de URL.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth é entregue a partir de uma origem desconhecida e redireciona para um URL suspeito, é indicado um verdadeiro positivo.

  Ação recomendada: reveja os URLs de Resposta, domínios e âmbitos pedidos pela aplicação. Com base na sua investigação, pode optar por proibir o acesso a esta aplicação. Reveja o nível de permissão pedido por esta aplicação e que utilizadores concederam acesso.

• FP: Se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização.

  Ação recomendada: dispense o alerta.

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas pela aplicação.
2. Se suspeitar que uma aplicação é suspeita, recomendamos que investigue o nome da aplicação e o domínio de resposta em diferentes lojas de aplicações. Ao verificar as lojas de aplicações, concentre-se nos seguintes tipos de aplicações:
   • Aplicações que foram criadas recentemente
   • Aplicação com nome a apresentar invulgar
   • Aplicações com um domínio de Resposta suspeito
3. Se ainda suspeitar que uma aplicação é suspeita, pode pesquisar o nome a apresentar da aplicação e o domínio de resposta.

Nome da aplicação codificada com âmbitos de consentimento suspeitos

Gravidade: Média

Descrição: esta deteção identifica aplicações OAuth com carateres, como Unicode ou carateres codificados, pedidos para âmbitos de consentimento suspeitos e que acederam às pastas de correio dos utilizadores através do Graph API. Este alerta pode indicar uma tentativa de camuflar uma aplicação maliciosa como uma aplicação conhecida e fidedigna para que os adversários possam levar os utilizadores a consentir a aplicação maliciosa.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth codificou o nome a apresentar com âmbitos suspeitos entregues a partir de uma origem desconhecida, é indicado um verdadeiro positivo.

  Ação recomendada: reveja o nível de permissão pedido por esta aplicação e que utilizadores concederam acesso. Com base na sua investigação, pode optar por proibir o acesso a esta aplicação.

  Para proibir o acesso à aplicação, aceda ao separador relevante da sua aplicação na página Governação de aplicações . Na linha na qual é apresentada a aplicação que pretende proibir, selecione o ícone de proibição. Pode escolher se pretende indicar aos utilizadores que a aplicação instalada e autorizada foi proibida. A notificação permite que os utilizadores saibam que a aplicação será desativada e que não terão acesso à aplicação ligada. Se não quiser que saibam, anule a seleção de Notificar os utilizadores que concederam acesso a esta aplicação proibida na caixa de diálogo. Recomendamos que informe os utilizadores da aplicação de que a aplicação está prestes a ser proibida de utilizar.

• FP: se quiser confirmar que a aplicação tem um nome codificado, mas tem uma utilização comercial legítima na organização.

  Ação recomendada: dispense o alerta.

Compreender o âmbito da falha de segurança

Siga o tutorial sobre como investigar aplicações OAuth arriscadas.

A Aplicação OAuth com âmbitos de Leitura tem UM URL de Resposta suspeito

Gravidade: Média

Descrição: esta deteção identifica uma aplicação OAuth com apenas âmbitos de Leitura, como User.Read, Pessoas. Read, Contacts.Read, Mail.Read, Contacts.Read. Redirecionamentos partilhados para URL de Resposta suspeito através de Graph API. Esta atividade tenta indicar que uma aplicação maliciosa com menos permissão de privilégio (como âmbitos de leitura) pode ser explorada para realizar o reconhecimento da conta de utilizadores.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth com âmbito de leitura é entregue a partir de uma origem desconhecida e redireciona para um URL suspeito, é indicado um verdadeiro positivo.

  Ação recomendada: reveja o URL de Resposta e os âmbitos pedidos pela aplicação. Com base na sua investigação, pode optar por proibir o acesso a esta aplicação. Reveja o nível de permissão pedido por esta aplicação e que utilizadores concederam acesso.

  Para proibir o acesso à aplicação, aceda ao separador relevante da sua aplicação na página Governação de aplicações . Na linha na qual é apresentada a aplicação que pretende proibir, selecione o ícone de proibição. Pode escolher se pretende indicar aos utilizadores que a aplicação instalada e autorizada foi proibida. A notificação permite que os utilizadores saibam que a aplicação será desativada e que não terão acesso à aplicação ligada. Se não quiser que saibam, anule a seleção de Notificar os utilizadores que concederam acesso a esta aplicação proibida na caixa de diálogo. Recomendamos que informe os utilizadores da aplicação de que a aplicação está prestes a ser proibida de utilizar.

• B-TP: se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização.

  Ação recomendada: dispense o alerta.

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas pela aplicação.
2. Se suspeitar que uma aplicação é suspeita, recomendamos que investigue o nome da aplicação e o URL de Resposta em diferentes lojas de aplicações. Ao verificar as lojas de aplicações, concentre-se nos seguintes tipos de aplicações:
   • Aplicações que foram criadas recentemente.
   • Aplicações com um URL de Resposta suspeito
   • Aplicações que não foram atualizadas recentemente. A falta de atualizações pode indicar que a aplicação já não é suportada.
3. Se ainda suspeitar que uma aplicação é suspeita, pode pesquisar o nome da aplicação, o nome do publicador e o URL de resposta online

Aplicação com nome a apresentar invulgar e TLD invulgar no domínio responder

Gravidade: Média

Esta deteção identifica a aplicação com um nome a apresentar invulgar e redireciona para um domínio de resposta suspeita com um domínio de nível superior (TLD) invulgar através de Graph API. Isto pode indicar uma tentativa de camuflar uma aplicação maliciosa ou arriscada como uma aplicação conhecida e fidedigna para que os adversários possam levar os utilizadores a consentir a sua aplicação maliciosa ou arriscada. 

TP ou FP?

• TP: Se conseguir confirmar que a aplicação com um nome a apresentar invulgar foi entregue a partir de uma origem desconhecida e redireciona para um domínio suspeito com um domínio de nível superior invulgar

  Ação recomendada: reveja o nome a apresentar e o domínio responder da aplicação. Com base na sua investigação, pode optar por proibir o acesso a esta aplicação. Reveja o nível de permissão pedido por esta aplicação e que utilizadores concederam acesso.

• FP: Se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização.

  Ação Recomendada: dispense o alerta.

Compreender o âmbito da falha de segurança

Reveja todas as atividades realizadas pela aplicação. Se suspeitar que uma aplicação é suspeita, recomendamos que investigue o nome da aplicação e o domínio de resposta em diferentes lojas de aplicações. Ao verificar as lojas de aplicações, concentre-se nos seguintes tipos de aplicações:

• Aplicações que foram criadas recentemente
• Aplicação com nome a apresentar invulgar
• Aplicações com um domínio de Resposta suspeito

Se ainda suspeitar que uma aplicação é suspeita, pode pesquisar o nome a apresentar da aplicação e o domínio de resposta.

Nova aplicação com permissões de correio com baixo padrão de consentimento

Gravidade: Média

Esta deteção identifica as aplicações OAuth criadas recentemente em inquilinos do publicador relativamente novos com as seguintes características:

• Permissões para aceder ou alterar as definições da caixa de correio
• Taxa de consentimento relativamente baixa, que pode identificar aplicações indesejadas ou mesmo maliciosas que tentam obter consentimento de utilizadores insuspeitos

TP ou FP?

• TP: se conseguir confirmar que o pedido de consentimento para a aplicação foi entregue a partir de uma origem externa ou desconhecida e que a aplicação não tem uma utilização comercial legítima na organização, é indicado um verdadeiro positivo.

  Ação recomendada:

  • Contacte os utilizadores e administradores que tenham dado consentimento a esta aplicação para confirmar que esta situação foi intencional e que os privilégios excessivos são normais.
  • Investigue a atividade da aplicação e verifique as contas afetadas relativamente a atividades suspeitas.
  • Com base na investigação, desative a aplicação e suspenda e reponha as palavras-passe de todas as contas afetadas.
  • Classificar o alerta como um verdadeiro positivo.

• FP: Se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização.

  Ação Recomendada: classifique o alerta como um falso positivo e considere partilhar comentários com base na investigação do alerta.

Compreender o âmbito da falha de segurança

Reveja as concessões de consentimento à aplicação efetuadas por utilizadores e administradores. Investigue todas as atividades realizadas pela aplicação, especialmente o acesso à caixa de correio de utilizadores e contas de administrador associadas. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e rodar as credenciais de todas as contas afetadas.

Nova aplicação com baixa taxa de consentimento a aceder a vários e-mails

Gravidade: Média

Este alerta identifica as aplicações OAuth registadas recentemente num inquilino do publicador relativamente novo com permissões para alterar as definições da caixa de correio e aceder a e-mails. Também verifica se a aplicação tem uma taxa de consentimento global relativamente baixa e faz inúmeras chamadas à Microsoft Graph API para aceder a e-mails de utilizadores que consentem. As aplicações que acionam este alerta podem ser aplicações indesejadas ou maliciosas que tentam obter o consentimento de utilizadores insuspeitos.

TP ou FP?

• TP: se conseguir confirmar que o pedido de consentimento para a aplicação foi entregue a partir de uma origem externa ou desconhecida e que a aplicação não tem uma utilização comercial legítima na organização, é indicado um verdadeiro positivo.

  Ação recomendada:

  • Contacte os utilizadores e administradores que tenham dado consentimento a esta aplicação para confirmar que esta situação foi intencional e que os privilégios excessivos são normais.
  • Investigue a atividade da aplicação e verifique as contas afetadas relativamente a atividades suspeitas.
  • Com base na investigação, desative a aplicação e suspenda e reponha as palavras-passe de todas as contas afetadas.
  • Classificar o alerta como um verdadeiro positivo.

• FP: se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização e, em seguida, é indicado um falso positivo.

  Ação Recomendada: classifique o alerta como um falso positivo e considere partilhar comentários com base na investigação do alerta.

Compreender o âmbito da falha de segurança

Reveja as concessões de consentimento à aplicação efetuadas por utilizadores e administradores. Investigue todas as atividades realizadas pela aplicação, especialmente o acesso às caixas de correio de utilizadores e contas de administrador associadas. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e rodar as credenciais de todas as contas afetadas.

Aplicação suspeita com permissões de correio a enviar vários e-mails

Gravidade: Média

Este alerta localiza aplicações OAuth multi-inquilino que fizeram inúmeras chamadas à Microsoft Graph API para enviar e-mails num curto espaço de tempo. Também verifica se as chamadas à API resultaram em erros e tentativas falhadas de envio de e-mails. As aplicações que acionam este alerta podem estar a enviar ativamente spam ou e-mails maliciosos para outros destinos.

TP ou FP?

• TP: se conseguir confirmar que o pedido de consentimento para a aplicação foi entregue a partir de uma origem externa ou desconhecida e que a aplicação não tem uma utilização comercial legítima na organização, é indicado um verdadeiro positivo.

  Ação recomendada:

  • Contacte os utilizadores e administradores que tenham dado consentimento a esta aplicação para confirmar que esta situação foi intencional e que os privilégios excessivos são normais.
  • Investigue a atividade da aplicação e verifique as contas afetadas relativamente a atividades suspeitas.
  • Com base na investigação, desative a aplicação e suspenda e reponha as palavras-passe de todas as contas afetadas.
  • Classificar o alerta como um verdadeiro positivo.

• FP: se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização e, em seguida, é indicado um falso positivo.

  Ação Recomendada: classifique o alerta como um falso positivo e considere partilhar comentários com base na investigação do alerta.

Compreender o âmbito da falha de segurança

Reveja as concessões de consentimento à aplicação efetuadas por utilizadores e administradores. Investigue todas as atividades realizadas pela aplicação, especialmente o acesso à caixa de correio de utilizadores e contas de administrador associadas. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e rodar as credenciais de todas as contas afetadas.

Aplicação OAuth suspeita utilizada para enviar vários e-mails

Gravidade: Média

Este alerta indica uma aplicação OAuth que fez inúmeras chamadas à Microsoft Graph API para enviar e-mails num curto espaço de tempo. O inquilino do publicador da aplicação é conhecido por gerar um grande volume de aplicações OAuth que fazem chamadas semelhantes à Microsoft Graph API. Um atacante pode estar a utilizar ativamente esta aplicação para enviar spam ou e-mails maliciosos para os seus destinos.

TP ou FP?

• TP: se conseguir confirmar que o pedido de consentimento para a aplicação foi entregue a partir de uma origem externa ou desconhecida e que a aplicação não tem uma utilização comercial legítima na organização, é indicado um verdadeiro positivo.

  Ação recomendada:

  • Contacte os utilizadores e administradores que tenham dado consentimento a esta aplicação para confirmar que esta situação foi intencional e que os privilégios excessivos são normais.
  • Investigue a atividade da aplicação e verifique as contas afetadas relativamente a atividades suspeitas.
  • Com base na investigação, desative a aplicação e suspenda e reponha as palavras-passe de todas as contas afetadas.
  • Classificar o alerta como um verdadeiro positivo.

• FP: se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização e, em seguida, é indicado um falso positivo.

  Ação Recomendada: classifique o alerta como um falso positivo e considere partilhar comentários com base na investigação do alerta.

Compreender o âmbito da falha de segurança

Reveja as concessões de consentimento à aplicação efetuadas por utilizadores e administradores. Investigue todas as atividades realizadas pela aplicação, especialmente o acesso à caixa de correio de utilizadores e contas de administrador associadas. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e rodar as credenciais de todas as contas afetadas.

Alertas de persistência

Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar manter a sua posição de pé na sua organização.

A aplicação efetuou chamadas anómalos do Graph para a carga de trabalho do Exchange após a atualização do certificado ou a adição de novas credenciais

Gravidade: Média

ID MITRE: T1098.001, T1114

Esta deteção aciona um alerta quando uma aplicação de Linha de Negócio (LOB) atualizou o certificado/segredos ou adicionou novas credenciais e, poucos dias depois da atualização do certificado ou da adição de novas credenciais, observou atividades invulgares ou utilização de elevado volume na carga de trabalho do Exchange através de Graph API através do algoritmo de Machine learning.

TP ou FP?

• TP: Se conseguir confirmar que atividades invulgares/utilização elevada do volume para a carga de trabalho do Exchange foi realizada pela aplicação LOB através de Graph API

  Ação recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

• FP: se conseguir confirmar que não foram realizadas atividades invulgares pela aplicação ou aplicação LOB, destina-se a fazer um volume invulgarmente elevado de chamadas de grafos.

  Ação recomendada: dispense o alerta.

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas por esta aplicação.
2. Reveja os âmbitos concedidos pela aplicação.
3. Reveja a atividade do utilizador associada a esta aplicação.

A aplicação com âmbito OAuth suspeito foi sinalizada de alto risco pelo modelo do Machine Learning, fez chamadas de grafo para ler e-mails e criou a Regra de Caixa de Entrada

Gravidade: Média

ID MITRE: T1137.005, T1114

Esta deteção identifica uma Aplicação OAuth que foi sinalizada de alto risco pelo modelo de Machine Learning que consentiu em âmbitos suspeitos, cria uma regra de caixa de entrada suspeita e, em seguida, acedeu a pastas de correio e mensagens dos utilizadores através do Graph API. As regras da caixa de entrada, como reencaminhar todos ou e-mails específicos para outra conta de e-mail e chamadas do Graph para aceder a e-mails e enviar para outra conta de e-mail, podem ser uma tentativa de exfiltrar informações da sua organização.

TP ou FP?

• TP: se conseguir confirmar que a regra de caixa de entrada foi criada por uma aplicação de terceiros OAuth com âmbitos suspeitos entregues a partir de uma origem desconhecida, é detetado um verdadeiro positivo.

  Ação recomendada: desative e remova a aplicação, reponha a palavra-passe e remova a regra da caixa de entrada.

Siga o tutorial sobre como Repor uma palavra-passe com Microsoft Entra ID e siga o tutorial sobre como remover a regra de caixa de entrada.

• FP: Se puder confirmar que a aplicação criou uma regra de caixa de entrada para uma conta de e-mail externa nova ou pessoal por motivos legítimos.

  Ação recomendada: dispense o alerta.

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas pela aplicação.
2. Reveja os âmbitos concedidos pela aplicação.
3. Reveja a ação e a condição da regra de caixa de entrada criadas pela aplicação.

Aplicação com âmbito OAuth suspeito efetuou chamadas de grafos para ler e-mails e criou a regra de caixa de entrada

Gravidade: Média

IDs mitre: T1137.005, T1114

Esta deteção identifica uma Aplicação OAuth que consentiu âmbitos suspeitos, cria uma regra de caixa de entrada suspeita e, em seguida, acedeu a pastas de correio e mensagens dos utilizadores através do Graph API. As regras da caixa de entrada, como reencaminhar todos ou e-mails específicos para outra conta de e-mail e chamadas do Graph para aceder a e-mails e enviar para outra conta de e-mail, podem ser uma tentativa de exfiltrar informações da sua organização.

TP ou FP?

• TP: se conseguir confirmar que a regra de caixa de entrada foi criada por uma aplicação de terceiros OAuth com âmbitos suspeitos entregues a partir de uma origem desconhecida, é indicado um verdadeiro positivo.

  Ação recomendada: desative e remova a aplicação, reponha a palavra-passe e remova a regra da caixa de entrada.

  Siga o tutorial sobre como Repor uma palavra-passe com Microsoft Entra ID e siga o tutorial sobre como remover a regra de caixa de entrada.

• FP: Se puder confirmar que a aplicação criou uma regra de caixa de entrada para uma conta de e-mail externa nova ou pessoal por motivos legítimos.

  Ação recomendada: dispense o alerta.

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas pela aplicação.
2. Reveja os âmbitos concedidos pela aplicação.
3. Reveja a ação e a condição da regra de caixa de entrada criadas pela aplicação.

Aplicação acedida a partir de uma localização invulgar após a atualização do certificado

Gravidade: Baixa

ID mitre: T1098

Esta deteção aciona um alerta quando uma aplicação de Linha de Negócio (LOB) foi atualizada com o certificado/segredo e, poucos dias após a atualização do certificado, a aplicação é acedida a partir de uma localização invulgar que não foi vista recentemente ou nunca foi acedida no passado.

TP ou FP?

• TP: se conseguir confirmar que a aplicação LOB acedeu a partir de uma localização invulgar e realizou atividades invulgares através de Graph API.

  Ação recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

• FP: Se conseguir confirmar que a aplicação LOB acedeu a partir de uma localização invulgar para fins legítimos e não foram realizadas atividades invulgares.

  Ação Recomendada: dispense o alerta.

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas por esta aplicação.
2. Reveja os âmbitos concedidos pela aplicação.
3. Reveja a atividade do utilizador associada a esta aplicação.

A aplicação acedida a partir de uma localização invulgar fez chamadas anómalos do Graph após a atualização do certificado

Gravidade: Média

ID mitre: T1098

Esta deteção aciona um alerta quando uma aplicação de Linha de Negócio (LOB) atualizou o certificado/segredo e, poucos dias após a atualização do certificado, a aplicação é acedida a partir de uma localização invulgar que não foi vista recentemente ou nunca foi acedida no passado e observou atividades invulgares ou utilização através de Graph API através do algoritmo de Aprendizagem automática.

TP ou FP?

• TP: se conseguir confirmar que atividades/utilização invulgares foram realizadas pela aplicação LOB através de Graph API a partir de uma localização invulgar.

  Ação recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

• FP: Se conseguir confirmar que a aplicação LOB acedeu a partir de uma localização invulgar para fins legítimos e não foram realizadas atividades invulgares.

  Ação recomendada: dispense o alerta.

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas por esta aplicação.
2. Reveja os âmbitos concedidos pela aplicação.
3. Reveja a atividade do utilizador associada a esta aplicação.

A aplicação criada recentemente tem um elevado volume de consentimentos revogados

Gravidade: Média

ID MITRE: T1566, T1098

Vários utilizadores revogaram o seu consentimento para esta linha de negócio (LOB) ou aplicação de terceiros criada recentemente. Esta aplicação pode ter atraído os utilizadores para dar o seu consentimento inadvertidamente.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth é entregue a partir de uma origem desconhecida e se o comportamento da aplicação é suspeito. 

  Ação Recomendada: revogue os consentimentos concedidos à aplicação e desative a aplicação. 

• FP: se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização e que a aplicação não realizou atividades invulgares.

  Ação Recomendada: Dispensar o alerta

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas pela aplicação.
2. Se suspeitar que uma aplicação é suspeita, recomendamos que investigue o nome e o domínio de resposta da aplicação em diferentes lojas de aplicações. Ao verificar as lojas de aplicações, concentre-se nos seguintes tipos de aplicações:
   • Aplicações que foram criadas recentemente
   • Aplicações com um nome a apresentar invulgar
   • Aplicações com um domínio de Resposta suspeito
3. Se ainda suspeitar que uma aplicação é suspeita, pode pesquisar o nome a apresentar da aplicação e o domínio de resposta.

Metadados de aplicações associados à campanha de phishing conhecida

Gravidade: Média

Esta deteção gera alertas para aplicações OAuth que não sejam da Microsoft com metadados, como o nome, URL ou publicador, que tinham sido observados anteriormente em aplicações associadas a uma campanha de phishing. Estas aplicações podem fazer parte da mesma campanha e podem estar envolvidas na transferência de informações confidenciais.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth é entregue a partir de uma origem desconhecida e está a realizar atividades invulgares.

  Ação recomendada:

  • Investigue os detalhes de registo da aplicação sobre a governação de aplicações e visite Microsoft Entra ID para obter mais detalhes.
  • Contacte os utilizadores ou administradores que concederam consentimento ou permissões à aplicação. Verifique se as alterações foram intencionais.
  • Pesquise na tabela CloudAppEvents Advanced hunting para compreender a atividade da aplicação e determinar se o comportamento observado é esperado.
  • Verifique se a aplicação é fundamental para a sua organização antes de considerar quaisquer ações de contenção. Desative a aplicação através da governação de aplicações ou Microsoft Entra ID para impedir que esta aceda aos recursos. As políticas de governação de aplicações existentes podem já ter desativado a aplicação.

• FP: Se puder confirmar que não foram realizadas atividades invulgares pela aplicação e que a aplicação tem uma utilização comercial legítima na organização.

  Ação Recomendada: Dispensar o alerta

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas pela aplicação.
2. Reveja os âmbitos concedidos à aplicação.
3. Reveja a atividade do utilizador associada à aplicação.

Metadados de aplicações associados a aplicações suspeitas sinalizadas anteriormente

Gravidade: Média

Esta deteção gera alertas para aplicações OAuth que não sejam da Microsoft com metadados, como o nome, URL ou publicador, que tinham sido observados anteriormente em aplicações sinalizadas pela governação de aplicações devido a atividades suspeitas. Esta aplicação pode fazer parte de uma campanha de ataque e pode estar envolvida na transferência de informações confidenciais.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth é entregue a partir de uma origem desconhecida e está a realizar atividades invulgares.

  Ação recomendada:

  • Investigue os detalhes de registo da aplicação sobre a governação de aplicações e visite Microsoft Entra ID para obter mais detalhes.
  • Contacte os utilizadores ou administradores que concederam consentimento ou permissões à aplicação. Verifique se as alterações foram intencionais.
  • Pesquise na tabela CloudAppEvents Advanced hunting para compreender a atividade da aplicação e determinar se o comportamento observado é esperado.
  • Verifique se a aplicação é fundamental para a sua organização antes de considerar quaisquer ações de contenção. Desative a aplicação através da governação de aplicações ou Microsoft Entra ID para impedir que esta aceda aos recursos. As políticas de governação de aplicações existentes podem já ter desativado a aplicação.

• FP: Se puder confirmar que não foram realizadas atividades invulgares pela aplicação e que a aplicação tem uma utilização comercial legítima na organização.

  Ação Recomendada: Dispensar o alerta

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas pela aplicação.
2. Reveja os âmbitos concedidos à aplicação.
3. Reveja a atividade do utilizador associada à aplicação.

Atividade de e-mail suspeita da aplicação OAuth através de Graph API

Gravidade: Elevada

Esta deteção gera alertas para aplicações OAuth multi-inquilino, registadas por utilizadores com um início de sessão de alto risco, que efetuaram chamadas à Microsoft Graph API para realizar atividades de e-mail suspeitas num curto espaço de tempo.

Esta deteção verifica se as chamadas à API foram efetuadas para a criação de regras de caixa de correio, criar e-mail de resposta, reencaminhar e-mail, responder ou enviar novos e-mails. As aplicações que acionam este alerta podem estar a enviar ativamente spam ou e-mails maliciosos para outros destinos ou a exfiltrar dados confidenciais e limpar faixas para evitar a deteção.

TP ou FP?

• TP: se conseguir confirmar que a criação da aplicação e o pedido de consentimento para a aplicação foram entregues a partir de uma origem externa ou desconhecida e a aplicação não tiver uma utilização comercial legítima na organização, é indicado um verdadeiro positivo.

  Ação recomendada:

  • Contacte os utilizadores e administradores que tenham dado consentimento a esta aplicação para confirmar que esta situação foi intencional e que os privilégios excessivos são normais.

  • Investigue a atividade da aplicação e verifique as contas afetadas relativamente a atividades suspeitas.

  • Com base na investigação, desative a aplicação e suspenda e reponha as palavras-passe de todas as contas afetadas e remova a regra de caixa de entrada.

  • Classificar o alerta como um verdadeiro positivo.

• FP: se, após a investigação, puder confirmar que a aplicação tem uma utilização comercial legítima na organização, é indicado um falso positivo.

  Ação recomendada:

  • Classifique o alerta como um falso positivo e considere partilhar comentários com base na investigação do alerta.

  • Compreenda o âmbito da falha de segurança:

    Reveja as concessões de consentimento à aplicação efetuadas por utilizadores e administradores. Investigue todas as atividades realizadas pela aplicação, especialmente o acesso à caixa de correio de utilizadores e contas de administrador associadas. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e rodar as credenciais de todas as contas afetadas.

Atividade de e-mail suspeita da aplicação OAuth através da API do EWS

Gravidade: Elevada

Esta deteção gera alertas para aplicações OAuth multi-inquilino, registadas por utilizadores com um início de sessão de alto risco, que efetuaram chamadas à API dos Serviços Web do Microsoft Exchange (EWS) para realizar atividades de e-mail suspeitas num curto espaço de tempo.

Esta deteção verifica se foram efetuadas chamadas à API para atualizar regras de caixa de entrada, mover itens, eliminar e-mail, eliminar pasta ou eliminar anexo. As aplicações que acionam este alerta podem estar ativamente a exfiltrar ou eliminar dados confidenciais e a limpar faixas para evitar a deteção.

TP ou FP?

• TP: se conseguir confirmar que a criação da aplicação e o pedido de consentimento para a aplicação foram entregues a partir de uma origem externa ou desconhecida e a aplicação não tiver uma utilização comercial legítima na organização, é indicado um verdadeiro positivo.

  Ação recomendada:

  • Contacte os utilizadores e administradores que tenham dado consentimento a esta aplicação para confirmar que esta situação foi intencional e que os privilégios excessivos são normais.

  • Investigue a atividade da aplicação e verifique as contas afetadas relativamente a atividades suspeitas.

  • Com base na investigação, desative a aplicação e suspenda e reponha as palavras-passe de todas as contas afetadas e remova a regra de caixa de entrada.

  • Classificar o alerta como um verdadeiro positivo.

• FP: se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização e, em seguida, é indicado um falso positivo.

  Ação Recomendada:

  • Classifique o alerta como um falso positivo e considere partilhar comentários com base na investigação do alerta.

  • Compreenda o âmbito da falha de segurança:

    Reveja as concessões de consentimento à aplicação efetuadas por utilizadores e administradores. Investigue todas as atividades realizadas pela aplicação, especialmente o acesso à caixa de correio de utilizadores e contas de administrador associadas. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e rodar as credenciais de todas as contas afetadas.

Alertas de escalamento de privilégios

A aplicação OAuth com metadados suspeitos tem permissão do Exchange

Gravidade: Média

ID MITRE: T1078

Este alerta é acionado quando uma aplicação de linha de negócio com metadados suspeitos tem o privilégio de gerir a permissão através do Exchange.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth é entregue a partir de uma origem desconhecida e tem características de metadados suspeitas, é indicado um verdadeiro positivo.

Ação Recomendada: revogue os consentimentos concedidos à aplicação e desative a aplicação.

FP: Se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização.

Ação Recomendada: Dispensar o alerta

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas pela aplicação.
2. Reveja os âmbitos concedidos pela aplicação.
3. Reveja a atividade do utilizador associada à aplicação.

Alertas de Evasão de Defesa

Aplicação a representar um logótipo da Microsoft

Gravidade: Média

Uma aplicação na cloud que não seja da Microsoft está a utilizar um logótipo que foi encontrado por um algoritmo de machine learning para ser semelhante a um logótipo da Microsoft. Isto pode ser uma tentativa de representar produtos de software Microsoft e parecer legítimo.

Nota

Os administradores inquilinos terão de dar consentimento através de pop-up para que os dados necessários sejam enviados fora do limite de conformidade atual e para selecionar equipas de parceiros na Microsoft para ativar esta deteção de ameaças para aplicações de linha de negócio.

TP ou FP?

• TP: se conseguir confirmar que o logótipo da aplicação é uma imitação de um logótipo da Microsoft e que o comportamento da aplicação é suspeito. 

  Ação Recomendada: revogue os consentimentos concedidos à aplicação e desative a aplicação.

• FP: Se conseguir confirmar que o logótipo da aplicação não é uma imitação de um logótipo da Microsoft ou se não foram realizadas atividades invulgares pela aplicação. 

  Ação Recomendada: Dispensar o alerta

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas pela aplicação.
2. Reveja os âmbitos concedidos à aplicação.
3. Reveja a atividade do utilizador associada à aplicação.

A aplicação está associada a um domínio digitado

Gravidade: Média

Esta deteção gera alertas para aplicações OAuth que não sejam da Microsoft com domínios de publicador ou URLs de redirecionamento que contêm versões digitais de nomes de marcas da Microsoft. A tipografia é geralmente utilizada para capturar tráfego para sites sempre que os utilizadores introduzem inadvertidamente URLs com erros, mas também podem ser utilizados para representar produtos e serviços de software populares.

TP ou FP?

• TP: se conseguir confirmar que o domínio do publicador ou o URL de redirecionamento da aplicação está digitado e não está relacionado com a identidade verdadeira da aplicação.

  Ação recomendada:

  • Investigue os detalhes de registo da aplicação sobre a governação de aplicações e visite Microsoft Entra ID para obter mais detalhes.
  • Verifique se existem outros sinais de spoofing ou representação na aplicação e qualquer atividade suspeita.
  • Verifique se a aplicação é fundamental para a sua organização antes de considerar quaisquer ações de contenção. Desative a aplicação através da governação de aplicações para impedir que esta aceda aos recursos. As políticas de governação de aplicações existentes podem já ter desativado a aplicação.

• FP: se puder confirmar que o domínio do publicador e o URL de redirecionamento da aplicação são legítimos. 

  Ação Recomendada: classifique o alerta como um falso positivo e considere partilhar comentários com base na investigação do alerta.

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas pela aplicação.
2. Reveja os âmbitos concedidos à aplicação.
3. Reveja a atividade do utilizador associada à aplicação.

Acesso a credenciais

Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar ler dados de credenciais confidenciais e consiste em técnicas para roubar credenciais como nomes de contas, segredos, tokens, certificados e palavras-passe na sua organização.

Aplicação a iniciar várias atividades de leitura do KeyVault falhadas sem êxito

Gravidade: Média

ID MITRE: T1078.004

Esta deteção identifica uma aplicação no seu inquilino que foi observada a fazer várias chamadas de ação de leitura para o KeyVault com a API de Resource Manager do Azure num curto intervalo, com apenas falhas e nenhuma atividade de leitura bem-sucedida a ser concluída.

TP ou FP?

• TP: se a aplicação for desconhecida ou não estiver a ser utilizada, a atividade especificada é potencialmente suspeita. Depois de verificar o recurso do Azure que está a ser utilizado e validar a utilização da aplicação no inquilino, a determinada atividade poderá exigir que a aplicação seja desativada. Geralmente, isto é uma prova de atividade de enumeração suspeita no recurso do KeyVault para obter acesso às credenciais para movimento lateral ou escalamento de privilégios.

  Ações recomendadas: reveja os recursos do Azure acedidos ou criados pela aplicação e quaisquer alterações recentes efetuadas à aplicação. Com base na sua investigação, escolha se pretende proibir o acesso a esta aplicação. Reveja o nível de permissão pedido por esta aplicação e que utilizadores concederam acesso.

• FP: se, após a investigação, puder confirmar que a aplicação tem uma utilização comercial legítima na organização.

  Ação recomendada: dispense o alerta.

Compreender o âmbito da falha de segurança

1. Reveja o acesso e a atividade da aplicação.
2. Reveja todas as atividades realizadas pela aplicação desde a sua criação.
3. Reveja os âmbitos concedidos pela aplicação no Graph API e a Função que lhe foi concedida na sua subscrição.
4. Reveja qualquer utilizador que possa ter acedido à aplicação antes da atividade.

Alertas de deteção

Enumeração de unidades executadas pela aplicação

Gravidade: Média

ID mitre: T1087

Esta deteção identifica uma aplicação OAuth que foi detetada pelo modelo do Machine Learning que efetua a enumeração em ficheiros do OneDrive com Graph API.

TP ou FP?

• TP: se conseguir confirmar que atividades/utilização invulgares no OneDrive foram realizadas pela aplicação LOB através de Graph API.

  Ação recomendada: desative e remova a aplicação e reponha a palavra-passe.

• FP: Se puder confirmar que não foram realizadas atividades invulgares pela aplicação.

  Ação recomendada: dispense o alerta.

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas por esta aplicação.
2. Reveja os âmbitos concedidos pela aplicação.
3. Reveja a atividade do utilizador associada a esta aplicação.

Atividades de enumeração suspeitas realizadas com o Microsoft Graph PowerShell

Gravidade: Média

ID mitre: T1087

Esta deteção identifica um grande volume de atividades de enumeração suspeitas executadas num curto espaço de tempo através de uma aplicação do PowerShell do Microsoft Graph .

TP ou FP?

• TP: Se conseguir confirmar que as atividades de enumeração suspeitas/invulgares foram realizadas pela aplicação Do PowerShell do Microsoft Graph.

  Ação recomendada: desative e remova a aplicação e reponha a palavra-passe.

• FP: Se puder confirmar que não foram realizadas atividades invulgares pela aplicação.

  Ação recomendada: dispense o alerta.

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas por esta aplicação.
2. Reveja a atividade do utilizador associada a esta aplicação.

A aplicação multi-inquilino criada recentemente enumera as informações dos utilizadores com frequência

Gravidade: Média

ID mitre: T1087

Este alerta localiza as aplicações OAuth registadas recentemente num inquilino do publicador relativamente novo com permissões para alterar as definições da caixa de correio e aceder a e-mails. Verifica se a aplicação efetuou várias chamadas para o Microsoft Graph API pedir informações de diretório de utilizadores. As aplicações que acionam este alerta podem estar a atrair os utilizadores para concederem consentimento para que possam aceder aos dados organizacionais.

TP ou FP?

• TP: se conseguir confirmar que o pedido de consentimento para a aplicação foi entregue a partir de uma origem externa ou desconhecida e que a aplicação não tem uma utilização comercial legítima na organização, é indicado um verdadeiro positivo.

  Ação recomendada:

  • Contacte os utilizadores e administradores que tenham dado consentimento a esta aplicação para confirmar que esta situação foi intencional e que os privilégios excessivos são normais.
  • Investigue a atividade da aplicação e verifique as contas afetadas relativamente a atividades suspeitas.
  • Com base na investigação, desative a aplicação e suspenda e reponha as palavras-passe de todas as contas afetadas.
  • Classificar o alerta como um verdadeiro positivo.

• FP: se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização e, em seguida, é indicado um falso positivo.

  Ação Recomendada: classifique o alerta como um falso positivo e considere partilhar comentários com base na investigação do alerta.

Compreender o âmbito da falha de segurança

Reveja as concessões de consentimento à aplicação efetuadas por utilizadores e administradores. Investigue todas as atividades realizadas pela aplicação, especialmente a enumeração de informações do diretório do utilizador. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e rodar as credenciais de todas as contas afetadas.

Alertas de exfiltração

Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar roubar dados de interesse para o objetivo da sua organização.

Aplicação OAuth com um agente de utilizador invulgar

Gravidade: Baixa

ID MITRE: T1567

Esta deteção identifica uma aplicação OAuth que está a utilizar um agente de utilizador invulgar para aceder ao Graph API.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth começou recentemente a utilizar um novo agente de utilizador que não foi utilizado anteriormente e que esta alteração é inesperada, é indicado um verdadeiro positivo.

  Ações recomendadas: reveja os agentes de utilizador utilizados e quaisquer alterações recentes efetuadas à aplicação. Com base na sua investigação, pode optar por proibir o acesso a esta aplicação. Reveja o nível de permissão pedido por esta aplicação e que utilizadores concederam acesso.

• FP: Se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização.

  Ação recomendada: dispense o alerta.

Compreender o âmbito da falha de segurança

1. Reveja as aplicações que foram criadas recentemente e os agentes de utilizador utilizados.
2. Reveja todas as atividades realizadas pela aplicação. 
3. Reveja os âmbitos concedidos pela aplicação. 

Aplicação com um agente de utilizador invulgar acedeu a dados de e-mail através dos Serviços Web do Exchange

Gravidade: Elevada

ID MITRE: T1114, T1567

Esta deteção identifica uma aplicação OAuth que utilizou um agente de utilizador invulgar para aceder a dados de e-mail através da API de serviços Web do Exchange.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth não é esperada para alterar o agente de utilizador que utiliza para fazer pedidos à API dos Serviços Web exchange, é indicado um verdadeiro positivo.

  Ações recomendadas: classifique o alerta como um TP. Com base na investigação, se a aplicação for maliciosa, pode revogar os consentimentos e desativar a aplicação no inquilino. Se for uma aplicação comprometida, pode revogar os consentimentos, desativar temporariamente a aplicação, rever as permissões, repor o segredo e o certificado e, em seguida, reativar a aplicação.

• FP: se após a investigação, pode confirmar que o agente de utilizador utilizado pela aplicação tem uma utilização comercial legítima na organização.

  Ação recomendada: classifique o alerta como um FP. Além disso, considere partilhar comentários com base na sua investigação do alerta.

Compreender o âmbito da falha de segurança

1. Reveja se a aplicação foi criada recentemente ou se fez alterações recentes à mesma.
2. Reveja as permissões concedidas à aplicação e os utilizadores que consentiram com a aplicação.
3. Reveja todas as atividades realizadas pela aplicação.

Alertas de movimento lateral

Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar mover-se lateralmente dentro de diferentes recursos, ao mesmo tempo que percorre vários sistemas e contas para obter mais controlo na sua organização.

Aplicação OAuth dormente que utiliza predominantemente o MS Graph ou os Serviços Web exchange recentemente vistos como estando a aceder a cargas de trabalho arm

Gravidade: Média

ID MITRE: T1078.004

Esta deteção identifica uma aplicação no seu inquilino que, após um longo período de atividade inativa, começou a aceder pela primeira vez à API Resource Manager do Azure. Anteriormente, esta aplicação utilizava principalmente o MS Graph ou o Serviço Web Exchange.

TP ou FP?

• TP: se a aplicação for desconhecida ou não estiver a ser utilizada, a atividade especificada é potencialmente suspeita e pode exigir a desativação da aplicação, depois de verificar o recurso do Azure que está a ser utilizado e validar a utilização da aplicação no inquilino.

  Ações recomendadas:

  1. Reveja os recursos do Azure acedidos ou criados pela aplicação e quaisquer alterações recentes efetuadas à aplicação.
  2. Reveja o nível de permissão pedido por esta aplicação e que utilizadores concederam acesso.
  3. Com base na sua investigação, escolha se pretende proibir o acesso a esta aplicação.

• FP: se, após a investigação, puder confirmar que a aplicação tem uma utilização comercial legítima na organização.

  Ação recomendada: dispense o alerta.

Compreender o âmbito da falha de segurança

1. Reveja o acesso e a atividade da aplicação.
2. Reveja todas as atividades realizadas pela aplicação desde a sua criação.
3. Reveja os âmbitos concedidos pela aplicação no Graph API e a Função que lhe foi concedida na sua subscrição.
4. Reveja qualquer utilizador que possa ter acedido à aplicação antes da atividade.

Alertas de coleção

Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar recolher dados de interesse para o objetivo da sua organização.

A aplicação tornou atividades de pesquisa de e-mail invulgares

Gravidade: Média

ID MITRE: T1114

Esta deteção identifica quando uma aplicação consentiu um âmbito OAuth suspeito e fez um grande volume de atividades de pesquisa de e-mail invulgares, como a pesquisa de e-mail para conteúdo específico através do Graph API. Isto pode indicar uma tentativa de violação da sua organização, como adversários que tentam procurar e ler e-mails específicos da sua organização através de Graph API. 

TP ou FP?

• TP: se conseguir confirmar um grande volume de pesquisas de e-mail invulgares e ler atividades através do Graph API por uma aplicação OAuth com um âmbito OAuth suspeito e que a aplicação é entregue a partir de uma origem desconhecida.

  Ações recomendadas: desative e remova a aplicação, reponha a palavra-passe e remova a regra da caixa de entrada. 

• FP: se puder confirmar que a aplicação realizou um elevado volume de pesquisas de e-mail invulgares e ler Graph API por motivos legítimos.

  Ação recomendada: dispense o alerta.

Compreender o âmbito da falha de segurança

1. Reveja os âmbitos concedidos pela aplicação.
2. Reveja todas as atividades realizadas pela aplicação. 

A aplicação efetuou chamadas anómalos do Graph para ler e-mail

Gravidade: Média

ID MITRE: T1114

Esta deteção identifica quando a Aplicação OAuth de Linha de Negócio (LOB) acede a um volume elevado e invulgar de mensagens e pastas de correio do utilizador através do Graph API, o que pode indicar uma tentativa de violação da sua organização.

TP ou FP?

• TP: se conseguir confirmar que a atividade de gráfico invulgar foi realizada pela Aplicação OAuth de Linha de Negócio (LOB), é indicado um verdadeiro positivo.

  Ações recomendadas: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação. Siga o tutorial sobre como Repor uma palavra-passe com Microsoft Entra ID.

• FP: Se conseguir confirmar que a aplicação se destina a fazer um volume invulgarmente elevado de chamadas de grafos.

  Ação recomendada: dispense o alerta.

Compreender o âmbito da falha de segurança

1. Reveja o registo de atividades para obter eventos realizados por esta aplicação para compreender melhor outras atividades do Graph para ler e-mails e tentar recolher informações de e-mail confidenciais dos utilizadores.
2. Monitorize a adição de credenciais inesperadas à aplicação.

A aplicação cria uma regra de caixa de entrada e faz atividades invulgares de pesquisas de e-mail

Gravidade: Média

IDs MITRE: T1137, T1114

Esta deteção identifica o Consentimento da aplicação para um âmbito de privilégios elevado, cria uma regra de caixa de entrada suspeita e efetua atividades de pesquisa de e-mail invulgares nas pastas de correio dos utilizadores através de Graph API. Isto pode indicar uma tentativa de violação da sua organização, como adversários que tentam procurar e recolher e-mails específicos da sua organização através de Graph API.

TP ou FP?

• TP: se conseguir confirmar qualquer pesquisa e coleção de e-mails específica efetuada através de Graph API por uma aplicação OAuth com um âmbito de privilégio elevado e a aplicação for entregue a partir de uma origem desconhecida.

  Ação recomendada: desative e remova a aplicação, reponha a palavra-passe e remova a regra da caixa de entrada.

• FP: Se conseguir confirmar que a aplicação efetuou pesquisas e coleções de e-mail específicas através de Graph API e criou uma regra de caixa de entrada para uma conta de e-mail externa nova ou pessoal por motivos legítimos.

  Ação recomendada: dispense o alerta.

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas pela aplicação.
2. Reveja os âmbitos concedidos pela aplicação.
3. Reveja qualquer ação de regra de caixa de entrada criada pela aplicação.
4. Reveja todas as atividades de pesquisa de e-mail realizadas pela aplicação.

A aplicação criou atividades de pesquisa do OneDrive/SharePoint e criou uma regra de caixa de entrada

Gravidade: Média

IDs mitre: T1137, T1213

Esta deteção identifica que uma Aplicação consentiu um âmbito de privilégios elevado, criou uma regra de caixa de entrada suspeita e fez atividades de pesquisa invulgares do SharePoint ou do OneDrive através de Graph API. Isto pode indicar uma tentativa de violação da sua organização, como adversários que tentam procurar e recolher dados específicos do SharePoint ou do OneDrive da sua organização através de Graph API. 

TP ou FP?

• TP: se conseguir confirmar quaisquer dados específicos da pesquisa e coleção do SharePoint ou do OneDrive efetuadas através de Graph API por uma aplicação OAuth com um âmbito de privilégio elevado e a aplicação for fornecida a partir de uma origem desconhecida. 

  Ação Recomendada: desative e remova a Aplicação, reponha a palavra-passe e remova a regra da caixa de entrada. 

• FP: Se conseguir confirmar que a aplicação executou dados específicos do SharePoint ou da pesquisa e recolha do OneDrive através de Graph API por uma aplicação OAuth e criou uma regra de caixa de entrada para uma conta de e-mail externa nova ou pessoal por motivos legítimos. 

  Ação Recomendada: Dispensar o alerta

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas pela aplicação. 
2. Reveja os âmbitos concedidos pela aplicação. 
3. Reveja qualquer ação de regra de caixa de entrada criada pela aplicação. 
4. Reveja as atividades de pesquisa do SharePoint ou do OneDrive realizadas pela aplicação.

A aplicação fez várias pesquisas e edições no OneDrive

Gravidade: Média

IDs MITRE: T1137, T1213

Esta deteção identifica as aplicações OAuth com permissões de privilégios elevados que efetuam um grande número de pesquisas e edições no OneDrive com Graph API.

TP ou FP?

• TP: se conseguir confirmar que não é esperada uma utilização elevada da carga de trabalho do OneDrive através de Graph API desta aplicação OAuth com permissões de privilégios elevados para ler e escrever no OneDrive, é indicado um verdadeiro positivo.

  Ação Recomendada: com base na investigação, se a aplicação for maliciosa, pode revogar os consentimentos e desativar a aplicação no inquilino. Se for uma aplicação comprometida, pode revogar os consentimentos, desativar temporariamente a aplicação, rever as permissões necessárias, repor a palavra-passe e, em seguida, reativar a aplicação.

• FP: Se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização.

  Ação Recomendada: resolva o alerta e comunique as suas conclusões.

Compreender o âmbito da falha de segurança

1. Verifique se a aplicação é de uma origem fiável.
2. Verifique se a aplicação foi criada recentemente ou se efetuou alterações recentes à mesma.
3. Reveja as permissões concedidas à aplicação e os utilizadores que consentiram com a aplicação.
4. Investigue todas as outras atividades da aplicação.

A aplicação tornou o correio de importância elevada lido e criado regra de caixa de entrada

Gravidade: Média

IDs MITRE: T1137, T1114

Esta deteção identifica que uma Aplicação consentiu um âmbito de privilégios elevado, cria uma regra de caixa de entrada suspeita e tornou um grande volume de atividades de leitura de correio importantes através de Graph API. Isto pode indicar uma tentativa de violação da sua organização, como adversários que tentam ler e-mails de alta importância da sua organização através de Graph API. 

TP ou FP?

• TP: se conseguir confirmar que o elevado volume de e-mails importantes é lido através de Graph API por uma aplicação OAuth com um âmbito de privilégio elevado e a aplicação é entregue a partir de uma origem desconhecida. 

  Ação Recomendada: desative e remova a Aplicação, reponha a palavra-passe e remova a regra da caixa de entrada. 

• FP: Se conseguir confirmar que a aplicação efetuou um elevado volume de e-mails importantes lidos através de Graph API e criou uma regra de caixa de entrada para uma conta de e-mail externa nova ou pessoal por motivos legítimos. 

  Ação Recomendada: Dispensar o alerta

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas pela aplicação. 
2. Reveja os âmbitos concedidos pela aplicação. 
3. Reveja qualquer ação de regra de caixa de entrada criada pela aplicação. 
4. Reveja qualquer atividade de leitura de e-mail de importância elevada realizada pela aplicação.

A aplicação com privilégios realizou atividades invulgares no Teams

Gravidade: Média

Esta deteção identifica as aplicações que consentem âmbitos OAuth com privilégios elevados, que acederam ao Microsoft Teams e fizeram um volume invulgar de atividades de mensagens de chat de leitura ou publicação através de Graph API. Isto pode indicar uma tentativa de violação da sua organização, como adversários que tentam recolher informações da sua organização através de Graph API.

TP ou FP?

• TP: se conseguir confirmar que atividades invulgares de mensagens de chat no Microsoft Teams através de Graph API por uma aplicação OAuth com um âmbito de privilégio elevado e a aplicação for entregue a partir de uma origem desconhecida.

  Ação Recomendada: Desativar e remover a aplicação e repor a palavra-passe

• FP: Se conseguir confirmar que as atividades invulgares realizadas no Microsoft Teams através de Graph API foram por motivos legítimos.

  Ação Recomendada: Dispensar o alerta

Compreender o âmbito da falha de segurança

1. Reveja os âmbitos concedidos pela aplicação.
2. Reveja todas as atividades realizadas pela aplicação.
3. Reveja a atividade do utilizador associada à aplicação.

Atividade anómalo do OneDrive por aplicação que acabou de atualizar ou adicionar novas credenciais

Gravidade: Média

IDs MITRE: T1098.001, T1213

Uma aplicação na cloud que não seja da Microsoft efetuou chamadas anómalos Graph API para o OneDrive, incluindo a utilização de dados de elevado volume. Detetadas pelo machine learning, estas chamadas invulgares à API foram efetuadas poucos dias depois de a aplicação ter adicionado certificados/segredos existentes novos ou atualizados. Esta aplicação pode estar envolvida na transferência de dados não autorizada ou noutras tentativas de acesso e obtenção de informações confidenciais.

TP ou FP?

• TP: se conseguir confirmar que atividades invulgares, como a utilização de volume elevado da carga de trabalho do OneDrive, foram realizadas pela aplicação através de Graph API.

  Ação Recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

• FP: Se conseguir confirmar que não foram realizadas atividades invulgares pela aplicação ou se a aplicação se destina a fazer um volume invulgarmente elevado de chamadas do Graph.

  Ação Recomendada: Dispensar o alerta

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas pela aplicação.
2. Reveja os âmbitos concedidos pela aplicação.
3. Reveja a atividade do utilizador associada à aplicação.

Atividade anómalo do SharePoint por aplicação que acabou de atualizar ou adicionar novas credenciais

Gravidade: Média

IDs MITRE: T1098.001, T1213.002

Uma aplicação na cloud que não seja da Microsoft efetuou chamadas anómalos Graph API para o SharePoint, incluindo a utilização de dados de elevado volume. Detetadas pelo machine learning, estas chamadas invulgares à API foram efetuadas poucos dias depois de a aplicação ter adicionado certificados/segredos existentes novos ou atualizados. Esta aplicação pode estar envolvida na transferência de dados não autorizada ou noutras tentativas de acesso e obtenção de informações confidenciais.

TP ou FP?

• TP: se conseguir confirmar que atividades invulgares, como a utilização de volume elevado da carga de trabalho do SharePoint, foram realizadas pela aplicação através de Graph API.

  Ação Recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

• FP: Se conseguir confirmar que não foram realizadas atividades invulgares pela aplicação ou se a aplicação se destina a fazer um volume invulgarmente elevado de chamadas do Graph.

  Ação Recomendada: Dispensar o alerta

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas pela aplicação.
2. Reveja os âmbitos concedidos pela aplicação.
3. Reveja a atividade do utilizador associada à aplicação.

Metadados de aplicações associados a atividades suspeitas relacionadas com correio

Gravidade: Média

IDs MITRE: T1114

Esta deteção gera alertas para aplicações OAuth que não sejam da Microsoft com metadados, como o nome, URL ou publicador, que tinham sido observados anteriormente em aplicações com atividade suspeita relacionada com correio. Esta aplicação pode fazer parte de uma campanha de ataque e pode estar envolvida na transferência de informações confidenciais.

TP ou FP?

• TP: se conseguir confirmar que a aplicação criou regras de caixa de correio ou efetuou um grande número de chamadas de Graph API invulgares para a carga de trabalho do Exchange.

  Ação recomendada:

  • Investigue os detalhes de registo da aplicação sobre a governação de aplicações e visite Microsoft Entra ID para obter mais detalhes.
  • Contacte os utilizadores ou administradores que concederam consentimento ou permissões à aplicação. Verifique se as alterações foram intencionais.
  • Pesquise na tabela CloudAppEvents Advanced hunting (Investigação avançada do CloudAppEvents) para compreender a atividade da aplicação e identificar os dados acedidos pela aplicação. Verifique as caixas de correio afetadas e reveja as mensagens que possam ter sido lidas ou reencaminhadas pela própria aplicação ou pelas regras que criou.
  • Verifique se a aplicação é fundamental para a sua organização antes de considerar quaisquer ações de contenção. Desative a aplicação através da governação de aplicações ou Microsoft Entra ID para impedir que esta aceda aos recursos. As políticas de governação de aplicações existentes podem já ter desativado a aplicação.

• FP: Se puder confirmar que não foram realizadas atividades invulgares pela aplicação e que a aplicação tem uma utilização comercial legítima na organização.

  Ação Recomendada: Dispensar o alerta

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas pela aplicação.
2. Reveja os âmbitos concedidos à aplicação.
3. Reveja a atividade do utilizador associada à aplicação.

Aplicação com permissões de aplicação EWS a aceder a vários e-mails

Gravidade: Média

IDs MITRE: T1114

Esta deteção gera alertas para aplicações na cloud multi-inquilino com permissões de aplicações EWS que mostram um aumento significativo nas chamadas à API dos Serviços Web Exchange que são específicas da enumeração e recolha de e-mails. Esta aplicação pode estar envolvida no acesso e obtenção de dados de e-mail confidenciais.

TP ou FP?

• TP: se conseguir confirmar que a aplicação acedeu a dados de e-mail confidenciais ou efetuou um grande número de chamadas invulgares para a carga de trabalho do Exchange.

  Ação recomendada:

  • Investigue os detalhes de registo da aplicação sobre a governação de aplicações e visite Microsoft Entra ID para obter mais detalhes.
  • Contacte os utilizadores ou administradores que concederam consentimento ou permissões à aplicação. Verifique se as alterações foram intencionais.
  • Pesquise na tabela CloudAppEvents Advanced hunting (Investigação avançada do CloudAppEvents) para compreender a atividade da aplicação e identificar os dados acedidos pela aplicação. Verifique as caixas de correio afetadas e reveja as mensagens que possam ter sido lidas ou reencaminhadas pela própria aplicação ou pelas regras que criou.
  • Verifique se a aplicação é fundamental para a sua organização antes de considerar quaisquer ações de contenção. Desative a aplicação através da governação de aplicações ou Microsoft Entra ID para impedir que esta aceda aos recursos. As políticas de governação de aplicações existentes podem já ter desativado a aplicação.

• FP: Se puder confirmar que não foram realizadas atividades invulgares pela aplicação e que a aplicação tem uma utilização comercial legítima na organização.

  Ação Recomendada: Dispensar o alerta

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas pela aplicação.
2. Reveja os âmbitos concedidos à aplicação.
3. Reveja a atividade do utilizador associada à aplicação.

Aplicação não utilizada que está a aceder recentemente às APIs

Gravidade: Média

IDs mitre: T1530

Esta deteção gera alertas para uma aplicação na cloud multi-inquilino que está inativa há algum tempo e começou recentemente a fazer chamadas à API. Esta aplicação pode ser comprometida por um atacante e ser utilizada para aceder e obter dados confidenciais.

TP ou FP?

• TP: se conseguir confirmar que a aplicação acedeu a dados confidenciais ou efetuou um grande número de chamadas invulgares para cargas de trabalho do Microsoft Graph, Exchange ou Azure Resource Manager.

  Ação recomendada:

  • Investigue os detalhes de registo da aplicação sobre a governação de aplicações e visite Microsoft Entra ID para obter mais detalhes.
  • Contacte os utilizadores ou administradores que concederam consentimento ou permissões à aplicação. Verifique se as alterações foram intencionais.
  • Pesquise na tabela CloudAppEvents Advanced hunting (Investigação avançada do CloudAppEvents) para compreender a atividade da aplicação e identificar os dados acedidos pela aplicação. Verifique as caixas de correio afetadas e reveja as mensagens que possam ter sido lidas ou reencaminhadas pela própria aplicação ou pelas regras que criou.
  • Verifique se a aplicação é fundamental para a sua organização antes de considerar quaisquer ações de contenção. Desative a aplicação através da governação de aplicações ou Microsoft Entra ID para impedir que esta aceda aos recursos. As políticas de governação de aplicações existentes podem já ter desativado a aplicação.

• FP: Se puder confirmar que não foram realizadas atividades invulgares pela aplicação e que a aplicação tem uma utilização comercial legítima na organização.

  Ação Recomendada: Dispensar o alerta

Compreender o âmbito da falha de segurança

1. Reveja todas as atividades realizadas pela aplicação.
2. Reveja os âmbitos concedidos à aplicação.
3. Reveja a atividade do utilizador associada à aplicação.

Alertas de impacto

Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar manipular, interromper ou destruir os seus sistemas e dados da sua organização.

Aplicação Entra Line-of-Business que inicia um pico anómalo na criação de máquinas virtuais

Gravidade: Média

ID MITRE: T1496

Esta deteção identifica uma nova aplicação OAuth de inquilino único que está a criar uma grande parte do Azure Máquinas Virtuais no seu inquilino com a API de Resource Manager do Azure.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth foi criada recentemente e estiver a criar um grande número de Máquinas Virtuais no seu inquilino, é indicado um verdadeiro positivo.

  Ações recomendadas: reveja as Máquinas virtuais criadas e quaisquer alterações recentes efetuadas à aplicação. Com base na sua investigação, pode optar por proibir o acesso a esta aplicação. Reveja o nível de permissão pedido por esta aplicação e que utilizadores concederam acesso.

• FP: Se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização.

  Ação recomendada: dispense o alerta.

Compreenda o âmbito da falha de segurança:

1. Reveja as aplicações criadas recentemente e as VMs criadas.
2. Reveja todas as atividades realizadas pela aplicação desde a sua criação.
3. Reveja os âmbitos concedidos pela aplicação no Graph API e Função que lhe foi concedida na sua subscrição.

A aplicação OAuth com privilégios de âmbito elevado no Microsoft Graph foi observada a iniciar a criação de máquinas virtuais

Gravidade: Média

ID MITRE: T1496

Esta deteção identifica a aplicação OAuth que cria a maior parte do Azure Máquinas Virtuais no seu inquilino com a API de Resource Manager do Azure enquanto tem privilégios elevados no inquilino através do MS Graph API antes da atividade.

TP ou FP?

• TP: se conseguir confirmar que a aplicação OAuth com âmbitos de privilégios elevados foi criada e está a criar um grande número de Máquinas Virtuais no seu inquilino, é indicado um verdadeiro positivo.

  Ações recomendadas: reveja as Máquinas virtuais criadas e quaisquer alterações recentes efetuadas à aplicação. Com base na sua investigação, pode optar por proibir o acesso a esta aplicação. Reveja o nível de permissão pedido por esta aplicação e que utilizadores concederam acesso.

• FP: Se após a investigação, pode confirmar que a aplicação tem uma utilização comercial legítima na organização.

  Ação recomendada: dispense o alerta.

Compreenda o âmbito da falha de segurança:

1. Reveja as aplicações criadas recentemente e as VMs criadas.
2. Reveja todas as atividades realizadas pela aplicação desde a sua criação.
3. Reveja os âmbitos concedidos pela aplicação no Graph API e Função que lhe foi concedida na sua subscrição.

Passos seguintes

Gerir alertas de governação de aplicações