Partilhar via


Investigar alertas de políticas de aplicações predefinidos

A governação de aplicações fornece alertas de política de aplicações predefinidos para atividades anómalas. O objetivo deste guia é fornecer-lhe informações gerais e práticas sobre cada alerta, para ajudar nas suas tarefas de investigação e remediação.

Neste guia estão incluídas informações gerais sobre as condições para acionar alertas. Uma vez que as políticas predefinidas não sãondeterministas por natureza, só são acionadas quando existe um comportamento que se desvia da norma.

Sugestão

Alguns alertas podem estar em pré-visualização, pelo que deve rever regularmente os estados dos alertas atualizados.

Classificações de alertas de segurança

Após uma investigação adequada, todos os alertas de governação de aplicações podem ser classificados num dos seguintes tipos de atividade:

  • Verdadeiro positivo (TP): um alerta sobre uma atividade maliciosa confirmada.
  • Positivo verdadeiro benigno (B-TP): um alerta sobre atividades suspeitas, mas não maliciosas, como um teste de penetração ou outra ação suspeita autorizada.
  • Falso positivo (FP): um alerta sobre uma atividade não amaliciou.

Passos gerais de investigação

Utilize as seguintes diretrizes gerais ao investigar qualquer tipo de alerta para obter uma compreensão mais clara da ameaça potencial antes de aplicar a ação recomendada.

  1. Reveja o nível de gravidade da aplicação e compare com as restantes aplicações no seu inquilino. Esta revisão ajuda-o a identificar quais as aplicações no seu inquilino que representam um maior risco.

  2. Se identificar um TP, reveja todas as atividades da aplicação para compreender o impacto. Por exemplo, reveja as seguintes informações da aplicação:

    • Âmbitos de acesso concedido
    • Comportamento invulgar
    • Endereço IP e localização

Alertas de política de aplicações predefinidos

Esta secção fornece informações sobre cada alerta de política predefinido, juntamente com os passos para investigação e remediação.

Aumentar a utilização de dados por uma aplicação com privilégios excessivos ou altamente privilegiada

Gravidade: Média

Encontre aplicações com permissões avançadas ou não utilizadas que apresentem aumentos repentinos na utilização de dados através de Graph API. Alterações invulgares na utilização de dados podem indicar um compromisso.

TP ou FP?

Para determinar se o alerta é um verdadeiro positivo (TP) ou um falso positivo (FP), reveja todas as atividades realizadas pela aplicação, os âmbitos concedidos à aplicação e a atividade do utilizador associada à aplicação.

  • TP: aplique esta ação recomendada se tiver confirmado que o aumento da utilização de dados por uma aplicação com privilégios excessivos ou altamente privilegiados é irregular ou potencialmente malicioso.

    Ação recomendada: contacte os utilizadores sobre as atividades da aplicação que causaram o aumento da utilização de dados. Desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

  • FP: aplique esta ação recomendada se tiver confirmado que a atividade da aplicação detetada se destina e tem uma utilização comercial legítima na organização.

    Ação recomendada: dispense o alerta.

Gravidade: Média

Encontre aumentos invulgares na utilização de dados ou Graph API erros de acesso apresentados por aplicações que receberam consentimento de uma conta prioritária.

TP ou FP?

Reveja todas as atividades realizadas pela aplicação, os âmbitos concedidos à aplicação e a atividade do utilizador associada à aplicação.

  • TP: aplique esta ação recomendada se tiver confirmado que o aumento da utilização de dados ou erros de acesso à API por uma aplicação com consentimento de uma conta prioritária é altamente irregular ou potencialmente malicioso.

    Ação recomendada: contacte os utilizadores da conta de prioridade sobre as atividades da aplicação que causaram o aumento da utilização de dados ou erros de acesso à API. Desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

  • FP: aplique esta ação recomendada se tiver confirmado que a atividade da aplicação detetada se destina e tem uma utilização comercial legítima na organização.

    Ação recomendada: dispense o alerta.

Gravidade: Média

Os pedidos de consentimento de uma aplicação recentemente criada foram rejeitados frequentemente pelos utilizadores. Normalmente, os utilizadores rejeitam pedidos de consentimento de aplicações que apresentaram comportamentos inesperados ou chegaram de uma origem não fidedigna. As aplicações com taxas de consentimento baixas são mais propensas a serem arriscadas ou maliciosas.

TP ou FP?

Reveja todas as atividades realizadas pela aplicação, os âmbitos concedidos à aplicação e a atividade do utilizador associada à aplicação.

  • TP: aplique esta ação recomendada se tiver confirmado que a aplicação provém de uma origem desconhecida e se as respetivas atividades tiverem sido altamente irregulares ou potencialmente maliciosas.

    Ação recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

  • FP: aplique esta ação recomendada se tiver confirmado que a atividade da aplicação detetada é legítima.

    Ação recomendada: dispense o alerta.

Pico de Graph API chamadas efetuadas no OneDrive

Gravidade: Média

Uma aplicação na cloud apresentou um aumento significativo de Graph API chamadas para o OneDrive. Esta aplicação pode estar envolvida na transferência de dados não autorizada ou noutras tentativas de acesso e obtenção de dados confidenciais.

TP ou FP?

Reveja todas as atividades realizadas pela aplicação, os âmbitos concedidos à aplicação e a atividade do utilizador associada à aplicação.

  • TP: aplique esta ação recomendada se tiver confirmado que atividades potencialmente maliciosas e altamente irregulares resultaram no aumento detetado na utilização do OneDrive.

    Ação recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

  • FP: aplique esta ação recomendada se tiver confirmado que a atividade da aplicação detetada é legítima.

    Ação recomendada: dispense o alerta.

Pico de Graph API chamadas efetuadas no SharePoint

Gravidade: Média

Uma aplicação na cloud mostrou um aumento significativo nas chamadas Graph API para o SharePoint. Esta aplicação pode estar envolvida na transferência de dados não autorizada ou noutras tentativas de acesso e obtenção de dados confidenciais.

TP ou FP?

Reveja todas as atividades realizadas pela aplicação, os âmbitos concedidos à aplicação e a atividade do utilizador associada à aplicação.

  • TP: Aplique esta ação recomendada se tiver confirmado que atividades potencialmente maliciosas e altamente irregulares resultaram no aumento detetado na utilização do SharePoint.

    Ação recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

  • FP: aplique esta ação recomendada se tiver confirmado que a atividade da aplicação detetada é legítima.

    Ação recomendada: dispense o alerta.

Pico nas chamadas Graph API efetuadas ao Exchange

Gravidade: Média

Uma aplicação na cloud mostrou um aumento significativo nas chamadas Graph API para o Exchange. Esta aplicação pode estar envolvida na transferência de dados não autorizada ou noutras tentativas de acesso e obtenção de dados confidenciais.

TP ou FP?

Reveja todas as atividades realizadas pela aplicação, os âmbitos concedidos à aplicação e a atividade do utilizador associada à aplicação.

  • TP: Aplique esta ação recomendada se tiver confirmado que atividades potencialmente maliciosas e altamente irregulares resultaram no aumento detetado na utilização do Exchange.

    Ação recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

  • FP: aplique esta ação recomendada se tiver confirmado que a atividade da aplicação detetada é legítima.

    Ação recomendada: dispense o alerta.

Aplicação suspeita com acesso a vários serviços do Microsoft 365

Gravidade: Média

Encontre aplicações com acesso OAuth a múltiplos serviços do Microsoft 365 que apresentaram atividade de Graph API estatisticamente anómalo após uma atualização de certificado ou segredo. Ao identificar estas aplicações e ao verificá-las como comprometidas, pode impedir o movimento lateral, a transferência de dados e outras atividades maliciosas que atravessam pastas na cloud, e-mails e outros serviços.

TP ou FP?

Reveja todas as atividades realizadas pela aplicação, os âmbitos concedidos à aplicação e a atividade do utilizador associada à aplicação.

  • TP: aplique esta ação recomendada se tiver confirmado que as atualizações para certificados de aplicações ou segredos e outras atividades da aplicação foram altamente irregulares ou potencialmente maliciosas.

    Ação recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

  • FP: aplique esta ação recomendada se tiver confirmado que a atividade da aplicação detetada é legítima.

    Ação recomendada: dispense o alerta.

Elevado volume de atividade de criação de regras de caixa de entrada por uma aplicação

Gravidade: Média

Uma aplicação efetuou um grande número de chamadas Graph API para criar regras de caixa de entrada do Exchange. Esta aplicação pode estar envolvida na recolha e exfiltração de dados ou noutras tentativas de acesso e obtenção de informações confidenciais.

TP ou FP?

Reveja todas as atividades realizadas pela aplicação, os âmbitos concedidos à aplicação e a atividade do utilizador associada à aplicação.

  • TP: Aplique esta ação recomendada se tiver confirmado que a criação de regras de caixa de entrada e outras atividades foram altamente irregulares ou potencialmente maliciosas.

    Ação recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

  • FP: aplique esta ação recomendada se tiver confirmado que a atividade da aplicação detetada é legítima.

    Ação recomendada: dispense o alerta.

Elevado volume de atividade de pesquisa de e-mail por uma aplicação

Gravidade: Média

Uma aplicação efetuou um grande número de chamadas Graph API para procurar conteúdos de e-mail do Exchange. Esta aplicação pode estar envolvida na recolha de dados ou noutras tentativas de aceder e obter informações confidenciais.

TP ou FP?

Reveja todas as atividades realizadas pela aplicação, os âmbitos concedidos à aplicação e a atividade do utilizador associada à aplicação.

  • TP: aplique esta ação recomendada se tiver confirmado que as pesquisas de conteúdos no Exchange e outras atividades foram altamente irregulares ou potencialmente maliciosas.

    Ação recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

  • FP: Se puder confirmar que não foram realizadas atividades de pesquisa de correio invulgares pela aplicação ou se a aplicação se destina a realizar atividades de pesquisa de correio invulgares através de Graph API.

    Ação recomendada: dispense o alerta.

Elevado volume de atividade de envio de e-mail por uma aplicação

Gravidade: Média

Uma aplicação efetuou um grande número de chamadas Graph API para enviar mensagens de e-mail com Exchange Online. Esta aplicação pode estar envolvida na recolha e exfiltração de dados ou noutras tentativas de acesso e obtenção de informações confidenciais.

TP ou FP?

Reveja todas as atividades realizadas pela aplicação, os âmbitos concedidos à aplicação e a atividade do utilizador associada à aplicação.

  • TP: aplique esta ação recomendada se tiver confirmado que o envio de mensagens de e-mail e outras atividades foram altamente irregulares ou potencialmente maliciosas.

    Ação recomendada: desative temporariamente a aplicação, reponha a palavra-passe e, em seguida, volte a ativar a aplicação.

  • FP: Se conseguir confirmar que não foram realizadas atividades de envio de correio invulgares pela aplicação ou se a aplicação se destina a criar atividades invulgares de envio de correio através de Graph API.

    Ação recomendada: dispense o alerta.

Acesso a dados confidenciais

Gravidade: Média

Localize as aplicações que acedem a dados confidenciais identificados por etiquetas de forma sensível específicas.

TP ou FP?

Para determinar se o alerta é um verdadeiro positivo (TP) ou um falso positivo (FP), veja os recursos acedidos pela aplicação.

  • TP: aplique esta ação recomendada se tiver confirmado que a aplicação ou a atividade detetada é irregular ou potencialmente maliciosa.

    Ação recomendada: impeça que a aplicação aceda a quaisquer recursos ao desativá-la de Microsoft Entra ID.

  • FP: aplique esta ação recomendada se tiver confirmado que a aplicação tem uma utilização comercial legítima na organização e se a atividade detetada foi esperada.

    Ação recomendada: dispense o alerta.

Passos seguintes

Saiba mais sobre a deteção e remediação de ameaças de aplicações