Изучение оповещений об обнаружении угроз системы управления приложениями

Управление приложениями обеспечивает обнаружение безопасности и оповещения о вредоносных действиях. В этой статье перечислены сведения о каждом оповещении, которое может помочь в исследовании и исправлении, включая условия для активации оповещений. Так как обнаружение угроз по своей природе недетерминировано, они активируются только при наличии поведения, которое отклоняется от нормы.

Дополнительные сведения см. в разделе Управление приложениями в Microsoft Defender for Cloud Apps

Примечание.

Обнаружение угроз управления приложениями основано на подсчете действий на данных, которые являются временными и не могут храниться, поэтому оповещения могут предоставлять количество действий или признаки пиков, но не обязательно все соответствующие данные. В частности, для приложений OAuth API Graph действий сами действия могут быть проверены клиентом с помощью Log Analytics и Sentinel.

Дополнительные сведения см. в следующих разделах.

• Доступ к журналам действий Microsoft Graph
• Анализ журналов действий с помощью Log Analytics

Общие шаги исследования

Поиск оповещений, связанных с управлением приложениями

Чтобы найти оповещения, связанные с управлением приложениями, перейдите на страницу Оповещения на портале XDR. В списке оповещений используйте поле "Источники службы и обнаружения" для фильтрации оповещений. Задайте для этого поля значение "Управление приложениями", чтобы просмотреть все оповещения, созданные системой управления приложениями.

Общие рекомендации

Используйте следующие общие рекомендации при исследовании любого типа оповещений, чтобы получить более четкое представление о потенциальной угрозе перед применением рекомендуемого действия.

• Проверьте уровень серьезности оповещений для приложения и сравните его с показателем для остальных приложений в клиенте. Эта проверка поможет определить, какие приложения в клиенте представляют больший риск.

• Если определен TP, проверьте все действия приложения, чтобы получить представление о влиянии. Например, проверьте следующие сведения приложения.

  • Области, к которым предоставлен доступ
  • Необычное поведение
  • IP-адрес и расположение

Классификации оповещений системы безопасности

После надлежащего исследования все оповещения системы управления приложениями можно отнести к одному из следующих типов действий:

• True positive (TP) — оповещение о подтвержденном вредоносном действии.
• Доброкачественный истинно положительный результат (B-TP): оповещение о подозрительных, но не вредоносных действиях, таких как тест на проникновение или другое санкционированное подозрительное действие.
• Ложноположительный результат (FP) — оповещение о невредоносном действии.

MITRE ATT&CK

Чтобы упростить сопоставление связей между оповещениями системы управления приложениями и знакомой матрицей MITRE ATT&CK, мы классифицировали оповещения по соответствующей тактике MITRE ATT&CK. Эта дополнительная ссылка упрощает понимание метода предполагаемых атак, потенциально используемого при срабатывании оповещения системы управления приложениями.

В этом руководстве содержится информация об исследовании и устранении оповещений системы управления приложениями в следующих категориях.

• Исходный доступ
• Выполнение
• Сохранение
• Повышение привилегий
• Обход мер защиты
• Доступ к учетным данным
• Обнаружение
• Боковое смещение
• Collection
• Кража данных
• Влияние

Оповещения об исходном доступе

В этом разделе описываются оповещения, указывающие на то, что вредоносное приложение может пытаться сохранить свой плацдарм в вашей организации.

Приложение перенаправляет на фишинговый URL-адрес путем использования уязвимости перенаправления OAuth

Серьезность: средний уровень

Это обнаружение определяет приложения OAuth, которые перенаправляются на фишинговые URL-адреса путем использования параметра типа ответа в реализации OAuth через API Graph Майкрософт.

TP или FP?

• TP. Если вы можете подтвердить, что приложение OAuth было доставлено из неизвестного источника, тип ответа URL-адреса ответа после предоставления согласия приложению OAuth содержит недопустимый запрос и перенаправляет на неизвестный или ненадежный URL-адрес ответа.

  Рекомендуемое действие. Отключите и удалите приложение, сбросьте пароль и удалите правило для папки "Входящие". 

• FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия, выполненные приложением. 
2. Проверьте области разрешений, предоставленные приложением. 

Приложение OAuth с подозрительным URL-адресом ответа

Серьезность: средний уровень

Это обнаружение определяет, что приложение OAuth обращается к подозрительному URL-адресу ответа через microsoft API Graph.

TP или FP?

• TP. Если вы можете убедиться, что приложение OAuth доставлено из неизвестного источника и перенаправляется на подозрительный URL-адрес, то будет указан истинный положительный результат. Подозрительный URL-адрес — это url-адрес, в котором репутация URL-адреса неизвестна, не является доверенным или домен которого недавно зарегистрирован, а запрос приложения предназначен для получения высоких привилегий область.

  Рекомендуемое действие: проверьте URL-адрес ответа, домены и области, запрошенные приложением. В зависимости от исследования вы можете запретить доступ к этому приложению. Проверьте уровень разрешений, запрошенных этим приложением, и пользователям, которым предоставляется доступ.

  Чтобы запретить доступ к приложению, перейдите на соответствующую вкладку приложения на странице Управление приложениями . В строке, в которой отображается приложение, которое вы хотите запретить, щелкните значок запрета. Вы можете выбрать, нужно ли сообщать пользователям о том, что приложение, которое они установили и авторизовали, было заблокировано. Уведомление уведомляет пользователей о том, что приложение будет отключено и у них не будет доступа к подключенном приложению. Если вы не хотите, чтобы они знали, снимите флажок Уведомлять пользователей, которые предоставили доступ к этому запрещено приложению в диалоговом окне. Рекомендуется сообщать пользователям о запрете их приложений.

• FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите недавно созданные приложения и ИХ URL-адреса ответов.

2. Проверьте все действия, выполненные приложением. 

3. Проверьте области разрешений, предоставленные приложением. 

Недавно созданное приложение обладает низким уровнем согласия

Серьезность: низкий уровень

Это обнаружение определяет недавно созданное приложение OAuth с низким уровнем согласия. Это может указывать на вредоносное или рискованное приложение, которое заманит пользователей в незаконное предоставление согласия.

TP или FP?

• TP: если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника, будет указан истинноположительный результат.

  Рекомендуемое действие. Проверьте отображаемое имя, URL-адреса ответов и домены приложения. На основе исследования вы можете запретить доступ к этому приложению. Проверьте уровень разрешения, запрашиваемого этим приложением, и пользователей, которые предоставили доступ.

• FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия, выполненные приложением.
2. Если вы полагаете, что приложение является подозрительным, рекомендуется исследовать его имя и домен ответа в разных магазинах приложений. При проверке магазинов приложений уделите внимание следующим типам приложений:
   • Приложения, созданные недавно
   • Приложение с необычным отображаемым именем
   • Приложения с подозрительным доменом ответа
3. Если вы все еще полагаете, что приложение является подозрительным, вы можете исследовать отображаемое имя приложения и домен ответа.

Приложение с плохой репутацией URL-адреса

Серьезность: средний уровень

Это обнаружение определяет приложение OAuth, у которого обнаружен URL-адрес с плохой репутацией.

TP или FP?

• TP: если вы можете подтвердить, что приложение OAuth предоставлено из неизвестного источника и перенаправляет на подозрительный URL-адрес, будет указан истинноположительный результат.

  Рекомендуемое действие. Проверьте URL-адреса ответа, домены и области, запрашиваемые приложением. На основе исследования вы можете запретить доступ к этому приложению. Проверьте уровень разрешения, запрашиваемого этим приложением, и пользователей, которые предоставили доступ.

• FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия, выполненные приложением.
2. Если вы полагаете, что приложение является подозрительным, рекомендуется исследовать его имя и домен ответа в разных магазинах приложений. При проверке магазинов приложений уделите внимание следующим типам приложений:
   • Приложения, созданные недавно
   • Приложение с необычным отображаемым именем
   • Приложения с подозрительным доменом ответа
3. Если вы все еще полагаете, что приложение является подозрительным, вы можете исследовать отображаемое имя приложения и домен ответа.

Закодированное имя приложения с подозрительными областями согласия

Серьезность: средний уровень

Описание: это обнаружение идентифицирует приложения OAuth с символами Юникод или закодированными символами, которые запросили подозрительные области согласия, а также получение доступа к почтовым папкам пользователей посредством API Graph. Это оповещение может указывать на попытку замаскировать вредоносное приложения как известное и доверенное приложение, чтобы злоумышленники могли ввести пользователей в заблуждение и получить их согласие на вредоносное приложение.

TP или FP?

• TP: если вы можете подтвердить, что приложение OAuth содержит закодированное отображаемое имя с подозрительными областями и доставлено из неизвестного источника, будет указан истинноположительный результат.

  Рекомендуемое действие. Проверьте уровень разрешения, запрашиваемого этим приложением, и пользователей, которые предоставили доступ. На основе исследования вы можете запретить доступ к этому приложению.

  Чтобы запретить доступ к приложению, перейдите на соответствующую вкладку приложения на странице Управление приложениями . В строке, в которой отображается приложение, которое вы хотите запретить, щелкните значок запрета. Вы можете выбрать, нужно ли сообщать пользователям о том, что приложение, которое они установили и авторизовали, было заблокировано. Уведомление уведомляет пользователей о том, что приложение будет отключено и у них не будет доступа к подключенном приложению. Если вы не хотите, чтобы они знали, снимите флажок Уведомлять пользователей, которые предоставили доступ к этому запрещено приложению в диалоговом окне. Рекомендуется сообщать пользователям о запрете их приложений.

• FP: если вы хотите убедиться, что приложение имеет закодированное имя, но имеет законное использование в организации.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

Следуйте инструкциям учебника по изучению рискованных приложений OAuth.

Приложение OAuth с областями чтения имеет подозрительный URL-адрес ответа

Серьезность: средний уровень

Описание. Это обнаружение идентифицирует приложение OAuth только с областями чтения, такими как User.Read, Люди. Read, Contacts.Read, Mail.Read, Contacts.Read. Общие перенаправления на подозрительный URL-адрес ответа через API Graph. Это действие пытается указать, что вредоносное приложение с меньшими привилегиями (например, с областями чтения) может эксплуатироваться для проведения рекогносцировки учетных записей пользователей.

TP или FP?

• TP: если вы можете подтвердить, что приложение OAuth с областью чтения доставлено из неизвестного источника и перенаправляет на подозрительный URL-адрес, будет указан истинноположительный результат.

  Рекомендуемое действие. Проверьте URL-адрес ответа и области, запрашиваемые приложением. На основе исследования вы можете запретить доступ к этому приложению. Проверьте уровень разрешения, запрашиваемого этим приложением, и пользователей, которые предоставили доступ.

  Чтобы запретить доступ к приложению, перейдите на соответствующую вкладку приложения на странице Управление приложениями . В строке, в которой отображается приложение, которое вы хотите запретить, щелкните значок запрета. Вы можете выбрать, нужно ли сообщать пользователям о том, что приложение, которое они установили и авторизовали, было заблокировано. Уведомление уведомляет пользователей о том, что приложение будет отключено и у них не будет доступа к подключенном приложению. Если вы не хотите, чтобы они знали, снимите флажок Уведомлять пользователей, которые предоставили доступ к этому запрещено приложению в диалоговом окне. Рекомендуется сообщать пользователям о запрете их приложений.

• B-TP: если после исследования вы можете подтвердить, что приложение предназначено для обоснованного бизнес-использования в организации.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия, выполненные приложением.
2. Если вы полагаете, что приложение является подозрительным, рекомендуется исследовать его имя и URL-адрес ответа в разных магазинах приложений. При проверке магазинов приложений уделите внимание следующим типам приложений.
   • Приложения, созданные недавно.
   • Приложения с подозрительным URL-адресом ответа
   • Приложения, которые не обновлялись в последнее время. Отсутствие обновлений может означать, что приложение больше не поддерживается.
3. Если вы все еще полагаете, что приложение является подозрительным, вы можете исследовать имя приложения, имя издателя и URL-адрес ответа в Интернете

Приложение с необычным отображаемым именем и необычным TLD в домене Reply

Серьезность: средний уровень

Это обнаружение определяет приложение с необычным отображаемым именем и перенаправление на подозрительный домен ответа с необычным доменом верхнего уровня (TLD) через API Graph. Это может указывать на попытку замаскировать вредоносное или рискованное приложение как известное и доверенное приложение, чтобы злоумышленники могли ввести пользователей в заблуждение для предоставления согласия на их вредоносное или рискованное приложение. 

TP или FP?

• TP: если вы можете подтвердить, что приложение с необычным отображаемым именем доставлено из неизвестного источника и перенаправляет на подозрительный домен с необычным доменом верхнего уровня

  Рекомендуемое действие. Проверьте отображаемое имя и домен ответа приложения. На основе исследования вы можете запретить доступ к этому приложению. Проверьте уровень разрешения, запрашиваемого этим приложением, и пользователей, которые предоставили доступ.

• FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

Проверьте все действия, выполненные приложением. Если вы полагаете, что приложение является подозрительным, рекомендуется исследовать его имя и домен ответа в разных магазинах приложений. При проверке магазинов приложений уделите внимание следующим типам приложений:

• Приложения, созданные недавно
• Приложение с необычным отображаемым именем
• Приложения с подозрительным доменом ответа

Если вы все еще полагаете, что приложение является подозрительным, вы можете исследовать отображаемое имя приложения и домен ответа.

Новое приложение с разрешениями на почту с низким уровнем согласия

Серьезность: средний уровень

Это обнаружение определяет приложения OAuth, созданные недавно в относительно новых клиентах издателя, со следующими характеристиками:

• Разрешения на доступ или изменение параметров почтового ящика
• Относительно низкая частота предоставления согласия, которая может выявлять нежелательные или даже вредоносные приложения, которые пытаются получить согласие от не подозревающих пользователей.

TP или FP?

• TP. Если вы можете подтвердить, что запрос согласия к приложению был доставлен из неизвестного или внешнего источника и приложение не имеет законного использования в организации, то будет указан истинный положительный результат.

  Рекомендуемое действие:

  • Обратитесь к пользователям и администраторам, которые предоставили согласие этому приложению, чтобы убедиться, что это было преднамеренным и чрезмерные привилегии являются нормальными.
  • Изучите действия приложений и проверка затронутых учетных записей для подозрительных действий.
  • На основе исследования отключите приложение, приостановите и сбросьте пароли для всех затронутых учетных записей.
  • Классифицируйте оповещение как истинно положительное.

• FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

  Рекомендуемое действие. Классифицируйте оповещение как ложноположительное и рассмотрите возможность обмена отзывами на основе исследования оповещения.

Знакомство с областью бреши в системе безопасности

Проверьте предоставление согласия приложению, предоставляемое пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовым ящикам связанных пользователей и учетных записей администраторов. Если вы подозреваете, что приложение является подозрительным, попробуйте отключить приложение и сменить учетные данные всех затронутых учетных записей.

Новое приложение с низкой скоростью получения согласия для доступа к многочисленным сообщениям электронной почты

Серьезность: средний уровень

Это оповещение определяет приложения OAuth, недавно зарегистрированные в относительно новом клиенте издателя с разрешениями на изменение параметров почтового ящика и доступ к электронной почте. Он также проверяет, имеет ли приложение относительно низкий глобальный уровень согласия, и выполняет многочисленные звонки в Microsoft API Graph для доступа к электронной почте пользователей, отправляющих согласие. Приложения, которые активируют это оповещение, могут быть нежелательными или вредоносными приложениями, пытающимися получить согласие от подозревающих пользователей.

TP или FP?

• TP. Если вы можете подтвердить, что запрос согласия к приложению был доставлен из неизвестного или внешнего источника и приложение не имеет законного использования в организации, то будет указан истинный положительный результат.

  Рекомендуемое действие:

  • Обратитесь к пользователям и администраторам, которые предоставили согласие этому приложению, чтобы убедиться, что это было преднамеренным и чрезмерные привилегии являются нормальными.
  • Изучите действия приложений и проверка затронутых учетных записей для подозрительных действий.
  • На основе исследования отключите приложение, приостановите и сбросьте пароли для всех затронутых учетных записей.
  • Классифицируйте оповещение как истинно положительное.

• FP. Если после исследования вы можете подтвердить, что приложение имеет законное использование в организации, то будет указан ложноположительный результат.

  Рекомендуемое действие. Классифицируйте оповещение как ложноположительное и рассмотрите возможность обмена отзывами на основе исследования оповещения.

Знакомство с областью бреши в системе безопасности

Проверьте предоставление согласия приложению, предоставляемое пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовым ящикам связанных пользователей и учетных записей администраторов. Если вы подозреваете, что приложение является подозрительным, попробуйте отключить приложение и сменить учетные данные всех затронутых учетных записей.

Подозрительное приложение с разрешениями на отправку большого количества сообщений электронной почты

Серьезность: средний уровень

Это оповещение находит мультитенантные приложения OAuth, которые сделали многочисленные вызовы в Microsoft API Graph для отправки сообщений электронной почты в течение короткого периода времени. Он также проверяет, привели ли вызовы API к ошибкам и неудачным попыткам отправки сообщений электронной почты. Приложения, которые активируют это оповещение, могут активно отправлять спам или вредоносные сообщения электронной почты другим целевым объектам.

TP или FP?

• TP. Если вы можете подтвердить, что запрос согласия к приложению был доставлен из неизвестного или внешнего источника и приложение не имеет законного использования в организации, то будет указан истинный положительный результат.

  Рекомендуемое действие:

  • Обратитесь к пользователям и администраторам, которые предоставили согласие этому приложению, чтобы убедиться, что это было преднамеренным и чрезмерные привилегии являются нормальными.
  • Изучите действия приложений и проверка затронутых учетных записей для подозрительных действий.
  • На основе исследования отключите приложение, приостановите и сбросьте пароли для всех затронутых учетных записей.
  • Классифицируйте оповещение как истинно положительное.

• FP. Если после исследования вы можете подтвердить, что приложение имеет законное использование в организации, то будет указан ложноположительный результат.

  Рекомендуемое действие. Классифицируйте оповещение как ложноположительное и рассмотрите возможность обмена отзывами на основе исследования оповещения.

Знакомство с областью бреши в системе безопасности

Проверьте предоставление согласия приложению, предоставляемое пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовым ящикам связанных пользователей и учетных записей администраторов. Если вы подозреваете, что приложение является подозрительным, попробуйте отключить приложение и сменить учетные данные всех затронутых учетных записей.

Подозрительное приложение OAuth, используемое для отправки многочисленных сообщений электронной почты

Серьезность: средний уровень

Это оповещение указывает на приложение OAuth, которое сделало многочисленные вызовы в Microsoft API Graph для отправки сообщений электронной почты в течение короткого периода времени. Известно, что клиент издателя приложения порождает большое количество приложений OAuth, которые делают аналогичные вызовы Microsoft API Graph. Злоумышленник может активно использовать это приложение для отправки спама или вредоносных сообщений электронной почты целевым объектам.

TP или FP?

• TP. Если вы можете подтвердить, что запрос согласия к приложению был доставлен из неизвестного или внешнего источника и приложение не имеет законного использования в организации, то будет указан истинный положительный результат.

  Рекомендуемое действие:

  • Обратитесь к пользователям и администраторам, которые предоставили согласие этому приложению, чтобы убедиться, что это было преднамеренным и чрезмерные привилегии являются нормальными.
  • Изучите действия приложений и проверка затронутых учетных записей для подозрительных действий.
  • На основе исследования отключите приложение, приостановите и сбросьте пароли для всех затронутых учетных записей.
  • Классифицируйте оповещение как истинно положительное.

• FP. Если после исследования вы можете подтвердить, что приложение имеет законное использование в организации, то будет указан ложноположительный результат.

  Рекомендуемое действие. Классифицируйте оповещение как ложноположительное и рассмотрите возможность обмена отзывами на основе исследования оповещения.

Знакомство с областью бреши в системе безопасности

Проверьте предоставление согласия приложению, предоставляемое пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовым ящикам связанных пользователей и учетных записей администраторов. Если вы подозреваете, что приложение является подозрительным, попробуйте отключить приложение и сменить учетные данные всех затронутых учетных записей.

Оповещения о сохраняемости

В этом разделе описываются оповещения, указывающие на то, что злоумышленник может пытаться сохранить свой плацдарм в вашей организации.

Приложение выполнило аномальные вызовы Graph в рабочую нагрузку Exchange после обновления сертификата или для добавления новых учетных данных

Серьезность: средний уровень

ИД MITRE: T1098.001, T1114

Это обнаружение инициирует оповещение, если бизнес-приложение обновляет сертификат или секреты либо добавляет новые учетные данные и через несколько дней после обновления сертификата или добавления новых учетных данных наблюдаются необычные действия или высокий уровень использования рабочей нагрузки Exchange через API Graph с помощью алгоритма машинного обучения.

TP или FP?

• TP: если вы можете подтвердить необычные действия или высокий уровень использования рабочей нагрузки Exchange бизнес-приложением посредством API Graph

  Рекомендуемое действие. Временно отключите приложение и сбросьте пароль, а затем повторно включите приложение.

• FP: если вы можете подтвердить, что бизнес-приложение не выполняло никаких необычных действий либо что приложение предназначено для выполнения необычно большого количества вызовов Graph.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия, выполненные этим приложением.
2. Проверьте области, предоставленные приложением.
3. Проверьте действия пользователей, связанные с этим приложением.

Приложение с подозрительной областью OAuth было помечено как высокорискованное моделью Машинного обучения, вызывало Graph для чтения писем и создало правило для папки "Входящие"

Серьезность: средний уровень

ИД MITRE: T1137.005, T1114

Это обнаружение определяет Приложение OAuth, которая была помечена моделью машинного обучения с высоким риском, которая согласилась на подозрительные области, создает подозрительное правило папки "Входящие", а затем обращается к почтовым папкам и сообщениям пользователей через API Graph. Правила для папки "Входящие", например перенаправление всех или определенных писем в другую учетную запись электронной почты, а также вызовы Graph для доступа к письмам и их отправки в другую учетную запись электронной почты, могут быть попыткой извлечь сведения из вашей организации.

TP или FP?

• TP: если вы можете подтвердить, что правило для папки "Входящие" было создано сторонним приложением OAuth с подозрительными областями, предоставленным из неизвестного источника, определяется истинноположительный результат.

  Рекомендуемое действие. Отключите и удалите приложение, сбросьте пароль и удалите правило для папки "Входящие".

Следуйте инструкциям в руководстве по сбросу пароля с помощью Microsoft Entra ID и следуйте инструкциям по удалению правила папки "Входящие".

• FP: если вы можете подтвердить, что приложение создало правило для папки "Входящие" в новой или личной внешней учетной записи электронной почты по обоснованным причинам.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия, выполненные приложением.
2. Проверьте области разрешений, предоставленные приложением.
3. Проверьте действие и условие правила для папки "Входящие", созданные приложением.

Приложение с подозрительными область OAuth делало вызовы графа для чтения электронной почты и создало правило папки "Входящие"

Серьезность: средний уровень

ИД MITRE: T1137.005, T1114

Это обнаружение определяет приложение OAuth, которое предоставило согласие на подозрительные области, создает подозрительное правило для папки "Входящие", а затем обращается к почтовым папкам и сообщениям пользователей посредством API Graph. Правила для папки "Входящие", например перенаправление всех или определенных писем в другую учетную запись электронной почты, а также вызовы Graph для доступа к письмам и их отправки в другую учетную запись электронной почты, могут быть попыткой извлечь сведения из вашей организации.

TP или FP?

• TP: если вы можете подтвердить, что правило для папки "Входящие" было создано сторонним приложением OAuth с подозрительными областями, предоставленным из неизвестного источника, будет указан истинноположительный результат.

  Рекомендуемое действие. Отключите и удалите приложение, сбросьте пароль и удалите правило для папки "Входящие".

  Следуйте инструкциям в руководстве по сбросу пароля с помощью Microsoft Entra ID и следуйте инструкциям по удалению правила папки "Входящие".

• FP: если вы можете подтвердить, что приложение создало правило для папки "Входящие" в новой или личной внешней учетной записи электронной почты по обоснованным причинам.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия, выполненные приложением.
2. Проверьте области разрешений, предоставленные приложением.
3. Проверьте действие и условие правила для папки "Входящие", созданные приложением.

Доступ к приложению получен из необычного расположения после обновления сертификата

Серьезность: низкий уровень

ИД MITRE: T1098

Это обнаружение активирует оповещение, когда бизнес-приложение (LOB) было обновлено сертификат или секрет, и в течение нескольких дней после обновления сертификата доступ к приложению осуществляется из необычного расположения, которое не было недавно просмотрено или никогда не было доступно в прошлом.

TP или FP?

• TP: если вы можете подтвердить, что доступ к бизнес-приложению получен из необычного расположения и что оно выполняло необычные действия посредством API Graph.

  Рекомендуемое действие. Временно отключите приложение и сбросьте пароль, а затем повторно включите приложение.

• FP: если вы можете подтвердить, что доступ к бизнес-приложению получен из необычного расположения с законной целью и что оно не выполняло никаких необычных действий.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия, выполненные этим приложением.
2. Проверьте области, предоставленные приложением.
3. Проверьте действия пользователей, связанные с этим приложением.

Доступ к приложению получен из необычного расположения и выполнялись аномальные вызовы Graph после обновления сертификата

Серьезность: средний уровень

ИД MITRE: T1098

Это обнаружение активирует оповещение, когда бизнес-приложение обновляет сертификат или секрет, и в течение нескольких дней после обновления сертификата доступ к приложению осуществляется из необычного расположения, которое недавно не было или никогда не было доступно в прошлом, и наблюдалось необычное действие или использование через API Graph с помощью алгоритма машинного обучения.

TP или FP?

• TP: если вы можете подтвердить необычное использование или выполнение необычных действий бизнес-приложением посредством API Graph из необычного расположения.

  Рекомендуемое действие. Временно отключите приложение и сбросьте пароль, а затем повторно включите приложение.

• FP: если вы можете подтвердить, что доступ к бизнес-приложению получен из необычного расположения с законной целью и что оно не выполняло никаких необычных действий.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия, выполненные этим приложением.
2. Проверьте области, предоставленные приложением.
3. Проверьте действия пользователей, связанные с этим приложением.

Приложение, созданное недавно, имеет большое количество отозванных согласия

Серьезность: средний уровень

ИДЕНТИФИКАТОР MITRE: T1566, T1098

Несколько пользователей отозвали свое согласие на это недавно созданное бизнес-приложение (LOB) или стороннее приложение. Это приложение могло заманить пользователей на предоставление согласия непреднамеренно.

TP или FP?

• TP: если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника, и поведение приложения является подозрительным. 

  Рекомендуемое действие. Отзыв согласия, предоставленных приложению, и отключение приложения. 

• FP: если после исследования вы можете подтвердить, что приложение имеет законное использование в организации и что приложение не выполняло необычных действий.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите все действия, выполняемые приложением.
2. Если вы подозреваете, что приложение является подозрительным, рекомендуется изучить имя и домен ответа приложения в разных магазинах приложений. При проверке магазинов приложений уделите внимание следующим типам приложений:
   • Приложения, созданные недавно
   • Приложения с необычным отображаемым именем
   • Приложения с подозрительным доменом ответа
3. Если вы все еще полагаете, что приложение является подозрительным, вы можете исследовать отображаемое имя приложения и домен ответа.

Метаданные приложения, связанные с известной кампанией фишинга

Серьезность: средний уровень

Это обнаружение создает оповещения для приложений OAuth, отличных от Майкрософт, с метаданными, такими как имя, URL-адрес или издатель, которые ранее наблюдались в приложениях, связанных с фишинговой кампанией. Эти приложения могут быть частью одной кампании и могут участвовать в краже конфиденциальной информации.

TP или FP?

• TP: если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника и выполняет необычные действия.

  Рекомендуемое действие:

  • Изучите сведения о регистрации приложения по управлению приложениями и посетите Microsoft Entra ID для получения дополнительных сведений.
  • Обратитесь к пользователям или администраторам, которые предоставили согласие или разрешения для приложения. Проверьте, были ли изменения преднамеренными.
  • Выполните поиск в таблице Расширенной охоты CloudAppEvents , чтобы понять действия приложения и определить, ожидается ли наблюдаемое поведение.
  • Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия по сдерживанию. Отключите приложение с помощью управления приложениями или Microsoft Entra ID, чтобы запретить ему доступ к ресурсам. Возможно, существующие политики управления приложениями уже деактивировали приложение.

• FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий и что приложение имеет законное использование в организации.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите все действия, выполняемые приложением.
2. Просмотрите области, предоставленные приложению.
3. Просмотрите действия пользователя, связанные с приложением.

Метаданные приложения, связанные с ранее помеченными подозрительными приложениями

Серьезность: средний уровень

Это обнаружение создает оповещения для приложений OAuth, отличных от Майкрософт, с метаданными, такими как имя, URL-адрес или издатель, которые ранее наблюдались в приложениях, помеченных системой управления приложениями из-за подозрительных действий. Это приложение может быть частью кампании атак и может быть вовлечено в кражу конфиденциальной информации.

TP или FP?

• TP: если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника и выполняет необычные действия.

  Рекомендуемое действие:

  • Изучите сведения о регистрации приложения по управлению приложениями и посетите Microsoft Entra ID для получения дополнительных сведений.
  • Обратитесь к пользователям или администраторам, которые предоставили согласие или разрешения для приложения. Проверьте, были ли изменения преднамеренными.
  • Выполните поиск в таблице Расширенной охоты CloudAppEvents , чтобы понять действия приложения и определить, ожидается ли наблюдаемое поведение.
  • Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия по сдерживанию. Отключите приложение с помощью управления приложениями или Microsoft Entra ID, чтобы запретить ему доступ к ресурсам. Возможно, существующие политики управления приложениями уже деактивировали приложение.

• FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий и что приложение имеет законное использование в организации.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите все действия, выполняемые приложением.
2. Просмотрите области, предоставленные приложению.
3. Просмотрите действия пользователя, связанные с приложением.

Подозрительные действия по электронной почте приложения OAuth через API Graph

Серьезность: высокая

Это обнаружение создает оповещения для мультитенантных приложений OAuth, зарегистрированных пользователями с высоким риском входа, которые звонили в Microsoft API Graph для выполнения подозрительных действий электронной почты в течение короткого периода времени.

Это обнаружение проверяет, были ли выполнены вызовы API для создания правила почтового ящика, создания ответного сообщения, пересылки, ответа или отправки новых сообщений электронной почты. Приложения, которые активируют это оповещение, могут активно отправлять спам или вредоносные сообщения электронной почты другим целевым объектам или удалять конфиденциальные данные и очищать дорожки, чтобы избежать обнаружения.

TP или FP?

• TP. Если вы можете подтвердить, что запрос на создание приложения и предоставление согласия к приложению был доставлен из неизвестного или внешнего источника и приложение не имеет законного использования в организации, то будет указан истинный положительный результат.

  Рекомендуемое действие:

  • Обратитесь к пользователям и администраторам, которые предоставили согласие этому приложению, чтобы убедиться, что это было преднамеренным и чрезмерные привилегии являются нормальными.

  • Изучите действия приложений и проверка затронутых учетных записей для подозрительных действий.

  • На основе исследования отключите приложение, приостановите и сбросьте пароли для всех затронутых учетных записей и удалите правило папки "Входящие".

  • Классифицируйте оповещение как истинно положительное.

• FP. Если после исследования вы можете подтвердить, что приложение используется в организации на законных основаниях, то будет указан ложноположительный результат.

  Рекомендуемое действие:

  • Классифицируйте оповещение как ложноположительное и рассмотрите возможность предоставления отзывов на основе изучения оповещения.

  • Изучите область нарушения.

    Проверьте предоставление согласия приложению, предоставляемое пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовым ящикам связанных пользователей и учетных записей администраторов. Если вы подозреваете, что приложение является подозрительным, попробуйте отключить приложение и сменить учетные данные всех затронутых учетных записей.

Подозрительные действия по электронной почте приложения OAuth через API EWS

Серьезность: высокая

Это обнаружение создает оповещения для мультитенантных приложений OAuth, зарегистрированных пользователями с высоким риском входа, которые выполняли вызовы API веб-служб Microsoft Exchange (EWS) для выполнения подозрительных действий электронной почты в течение короткого периода времени.

Это обнаружение проверяет, были ли выполнены вызовы API для обновления правил папки "Входящие", перемещения элементов, удаления электронной почты, удаления папки или вложения. Приложения, которые активируют это оповещение, могут активно удалять или удалять конфиденциальные данные, а также очищать дорожки, чтобы избежать обнаружения.

TP или FP?

• TP. Если вы можете подтвердить, что запрос на создание приложения и предоставление согласия к приложению был доставлен из неизвестного или внешнего источника и приложение не имеет законного использования в организации, то будет указан истинный положительный результат.

  Рекомендуемое действие:

  • Обратитесь к пользователям и администраторам, которые предоставили согласие этому приложению, чтобы убедиться, что это было преднамеренным и чрезмерные привилегии являются нормальными.

  • Изучите действия приложений и проверка затронутых учетных записей для подозрительных действий.

  • На основе исследования отключите приложение, приостановите и сбросьте пароли для всех затронутых учетных записей и удалите правило папки "Входящие".

  • Классифицируйте оповещение как истинно положительное.

• FP. Если после исследования вы можете подтвердить, что приложение имеет законное использование в организации, то будет указан ложноположительный результат.

  Рекомендуемое действие:

  • Классифицируйте оповещение как ложноположительное и рассмотрите возможность предоставления отзывов на основе изучения оповещения.

  • Изучите область нарушения.

    Проверьте предоставление согласия приложению, предоставляемое пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовым ящикам связанных пользователей и учетных записей администраторов. Если вы подозреваете, что приложение является подозрительным, попробуйте отключить приложение и сменить учетные данные всех затронутых учетных записей.

Оповещения об эскалации привилегий

Приложение OAuth с подозрительными метаданными имеет разрешение Exchange

Серьезность: средний уровень

ИДЕНТИФИКАТОР MITRE: T1078

Это оповещение активируется, когда бизнес-приложение с подозрительными метаданными имеет право на управление разрешениями через Exchange.

TP или FP?

• TP. Если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника и имеет подозрительные характеристики метаданных, то будет указан истинный положительный результат.

Рекомендуемое действие. Отзыв согласия, предоставленных приложению, и отключение приложения.

FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия, выполненные приложением.
2. Проверьте области разрешений, предоставленные приложением.
3. Просмотрите действия пользователя, связанные с приложением.

Оповещения об уклонении от защиты

Приложение, олицетворяющее логотип Майкрософт

Серьезность: средний уровень

В облачном приложении, отличном от Майкрософт, используется логотип, который был найден алгоритмом машинного обучения похожим на логотип Майкрософт. Это может быть попытка олицетворять программные продукты Майкрософт и казаться законным.

Примечание.

Администраторы клиента должны предоставить согласие через всплывающее окно, чтобы требуемые данные отправлялись за пределы текущей границы соответствия требованиям, и выбрать команды партнеров в корпорации Майкрософт, чтобы включить обнаружение угроз для бизнес-приложений.

TP или FP?

• TP: если вы можете подтвердить, что логотип приложения является имитацией логотипа Майкрософт, а поведение приложения является подозрительным. 

  Рекомендуемое действие. Отзыв согласия, предоставленных приложению, и отключение приложения.

• FP: если вы можете убедиться, что логотип приложения не является имитацией логотипа Майкрософт или что приложение не выполнило необычных действий. 

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите все действия, выполняемые приложением.
2. Просмотрите области, предоставленные приложению.
3. Просмотрите действия пользователя, связанные с приложением.

Приложение связано с доменом с опечаткой

Серьезность: средний уровень

Это обнаружение создает оповещения для приложений OAuth сторонних разработчиков с доменами издателей или URL-адресами перенаправления, содержащими опечатки. Опечатка обычно используется для отслеживания трафика на сайты, когда пользователи непреднамеренно вводят неправильные URL-адреса, но их также можно использовать для олицетворения популярных программных продуктов и служб.

TP или FP?

• TP: если вы можете убедиться, что домен издателя или URL-адрес перенаправления приложения является опечатанным и не связан с истинным удостоверением приложения.

  Рекомендуемое действие:

  • Изучите сведения о регистрации приложения по управлению приложениями и посетите Microsoft Entra ID для получения дополнительных сведений.
  • Проверьте приложение на наличие других признаков спуфингов или олицетворения и любых подозрительных действий.
  • Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия по сдерживанию. Отключите приложение с помощью управления приложениями, чтобы запретить ему доступ к ресурсам. Возможно, существующие политики управления приложениями уже деактивировали приложение.

• FP: если вы можете подтвердить, что домен издателя и URL-адрес перенаправления приложения являются допустимыми. 

  Рекомендуемое действие. Классифицируйте оповещение как ложноположительное и рассмотрите возможность обмена отзывами на основе исследования оповещения.

Знакомство с областью бреши в системе безопасности

1. Просмотрите все действия, выполняемые приложением.
2. Просмотрите области, предоставленные приложению.
3. Просмотрите действия пользователя, связанные с приложением.

Доступ к учетным данным

В этом разделе описываются оповещения, указывающие на то, что злоумышленник может пытаться считывать конфиденциальные учетные данные, а также методы кражи учетных данных, таких как имена учетных записей, секреты, маркеры, сертификаты и пароли в вашей организации.

Приложение, инициирующее несколько неудачных операций чтения KeyVault без успеха

Серьезность: средний уровень

ИДЕНТИФИКАТОР MITRE: T1078.004

Это обнаружение идентифицирует приложение в клиенте, которое за короткий промежуток времени выполняет несколько вызовов действий чтения к KeyVault с помощью API Resource Manager Azure, при этом выполняются только сбои и не выполняются успешные действия чтения.

TP или FP?

• TP: если приложение неизвестно или не используется, данное действие может быть подозрительным. После проверки используемого ресурса Azure и проверки использования приложения в клиенте данное действие может потребовать отключения приложения. Обычно это свидетельствует о предполагаемой активности перечисления в ресурсе KeyVault для получения доступа к учетным данным для бокового перемещения или повышения привилегий.

  Рекомендуемые действия. Просмотрите ресурсы Azure, к которым обращается приложение или которое было создано, и все последние изменения, внесенные в приложение. В зависимости от исследования выберите, хотите ли вы запретить доступ к этому приложению. Проверьте уровень разрешений, запрошенный этим приложением, и сведения о том, какие пользователи предоставили доступ.

• FP: если после исследования вы можете подтвердить, что приложение имеет законное использование в организации.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте доступ и действия приложения.
2. Просмотрите все действия, выполняемые приложением с момента его создания.
3. Просмотрите области, предоставленные приложением в API Graph, и роль, предоставленную ему в вашей подписке.
4. Просмотрите любого пользователя, который мог получить доступ к приложению до этого действия.

Оповещения об обнаружении

Перечисление диска, выполненного приложением

Серьезность: средний уровень

ИД MITRE: T1087

Это обнаружение определяет приложение OAuth, обнаруженное моделью Машинного обучения, которое выполняет перечисление файлов OneDrive с помощью API Graph.

TP или FP?

• TP: если вы можете подтвердить необычное использование или выполнение необычных действий в OneDrive бизнес-приложением посредством API Graph.

  Рекомендуемое действие. Отключите и удалите приложение, а затем сбросьте пароль.

• FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия, выполненные этим приложением.
2. Проверьте области, предоставленные приложением.
3. Проверьте действия пользователей, связанные с этим приложением.

Подозрительные действия перечисления, выполняемые с помощью Microsoft Graph PowerShell

Серьезность: средний уровень

ИД MITRE: T1087

Это обнаружение определяет большой объем подозрительных действий перечисления, выполняемых в течение короткого промежутка времени с помощью приложения Microsoft Graph PowerShell .

TP или FP?

• TP: если вы можете подтвердить, что подозрительные или необычные действия перечисления были выполнены приложением Microsoft Graph PowerShell.

  Рекомендуемое действие: отключить и удалить приложение, а также сбросить пароль.

• FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия, выполненные этим приложением.
2. Проверьте действия пользователей, связанные с этим приложением.

Недавно созданное мультитенантное приложение часто перечисляет сведения о пользователях

Серьезность: средний уровень

ИД MITRE: T1087

Это оповещение находит приложения OAuth, недавно зарегистрированные в относительно новом клиенте издателя с разрешениями на изменение параметров почтового ящика и доступ к электронной почте. Он проверяет, неоднократно ли приложение звонило в Microsoft API Graph запрашивая сведения о каталоге пользователя. Приложения, которые активируют это оповещение, могут заманить пользователей на предоставление согласия, чтобы они могли получить доступ к данным организации.

TP или FP?

• TP. Если вы можете подтвердить, что запрос согласия к приложению был доставлен из неизвестного или внешнего источника и приложение не имеет законного использования в организации, то будет указан истинный положительный результат.

  Рекомендуемое действие:

  • Обратитесь к пользователям и администраторам, которые предоставили согласие этому приложению, чтобы убедиться, что это было преднамеренным и чрезмерные привилегии являются нормальными.
  • Изучите действия приложений и проверка затронутых учетных записей для подозрительных действий.
  • На основе исследования отключите приложение, приостановите и сбросьте пароли для всех затронутых учетных записей.
  • Классифицируйте оповещение как истинно положительное.

• FP. Если после исследования вы можете подтвердить, что приложение имеет законное использование в организации, то будет указан ложноположительный результат.

  Рекомендуемое действие. Классифицируйте оповещение как ложноположительное и рассмотрите возможность обмена отзывами на основе исследования оповещения.

Знакомство с областью бреши в системе безопасности

Проверьте предоставление согласия приложению, предоставляемое пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно перечисление сведений о каталоге пользователя. Если вы подозреваете, что приложение является подозрительным, попробуйте отключить приложение и сменить учетные данные всех затронутых учетных записей.

Оповещения о краже

В этом разделе описываются оповещения, указывающие на то, что злоумышленник может попытаться украсть данные, интересующие их цели, из вашей организации.

Приложение OAuth с помощью необычного агента пользователя

Серьезность: низкий уровень

ИДЕНТИФИКАТОР MITRE: T1567

Это обнаружение определяет приложение OAuth, которое использует необычный агент пользователя для доступа к API Graph.

TP или FP?

• TP. Если вы можете убедиться, что приложение OAuth недавно начало использовать новый агент пользователя, который ранее не использовался, и это изменение является непредвиденным, то отображается истинный положительный результат.

  Рекомендуемые действия. Просмотрите используемые агенты пользователей и все последние изменения, внесенные в приложение. В зависимости от исследования вы можете запретить доступ к этому приложению. Проверьте уровень разрешения, запрашиваемого этим приложением, и пользователей, которые предоставили доступ.

• FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите недавно созданные приложения и используемые агенты пользователей.
2. Проверьте все действия, выполненные приложением. 
3. Проверьте области разрешений, предоставленные приложением. 

Приложение с необычным агентом пользователя обращается к данным электронной почты через веб-службы Exchange

Серьезность: высокая

ИДЕНТИФИКАТОР MITRE: T1114, T1567

Это обнаружение определяет приложение OAuth, которое использовало необычный агент пользователя для доступа к данным электронной почты с помощью API веб-служб Exchange.

TP или FP?

• TP. Если вы можете подтвердить, что приложение OAuth не должно изменять агент пользователя, который он использует для выполнения запросов к API веб-служб Exchange, то будет указан истинный положительный результат.

  Рекомендуемые действия. Классифицируйте оповещение как TP. В соответствии с исследованием, если приложение является вредоносным, вы можете отозвать согласие и отключить приложение в клиенте. Если это скомпрометированное приложение, вы можете отозвать согласие, временно отключить приложение, просмотреть разрешения, сбросить секрет и сертификат, а затем снова включить приложение.

• FP. Если после исследования вы можете убедиться, что агент пользователя, используемый приложением, имеет законное использование в организации.

  Рекомендуемое действие. Классифицируйте оповещение как FP. Кроме того, рассмотрите возможность предоставления отзывов на основе изучения оповещения.

Знакомство с областью бреши в системе безопасности

1. Проверьте, было ли приложение создано или в него были внесены последние изменения.
2. Просмотрите разрешения, предоставленные приложению и пользователям, которые дали согласие на это приложение.
3. Проверьте все действия, выполненные приложением.

Оповещения о боковом перемещении

В этом разделе описаны оповещения, указывающие на то, что злоумышленник может пытаться боково перемещаться в пределах разных ресурсов, а также перемещаться по нескольким системам и учетным записям, чтобы получить больший контроль в организации.

Неактивные Приложение OAuth, в основном использующие MS Graph или веб-службы Exchange, недавно заметив доступ к рабочим нагрузкам ARM

Серьезность: средний уровень

ИДЕНТИФИКАТОР MITRE: T1078.004

Это обнаружение идентифицирует приложение в клиенте, которое после длительного периода неактивных действий впервые начало доступ к API Resource Manager Azure. Ранее это приложение в основном использовало MS Graph или веб-службу Exchange.

TP или FP?

• TP. Если приложение неизвестно или не используется, данное действие может быть подозрительным и может потребовать отключения приложения после проверки используемого ресурса Azure и проверки использования приложения в клиенте.

  Рекомендуемые действия:

  1. Просмотрите ресурсы Azure, к которым обращается приложение или которое было создано, и все последние изменения, внесенные в приложение.
  2. Проверьте уровень разрешения, запрашиваемого этим приложением, и пользователей, которые предоставили доступ.
  3. В зависимости от исследования выберите, хотите ли вы запретить доступ к этому приложению.

• FP: если после исследования вы можете подтвердить, что приложение имеет законное использование в организации.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте доступ и действия приложения.
2. Просмотрите все действия, выполняемые приложением с момента его создания.
3. Просмотрите области, предоставленные приложением в API Graph, и роль, предоставленную ему в вашей подписке.
4. Просмотрите любого пользователя, который мог получить доступ к приложению до этого действия.

Оповещения о сборе

В этом разделе описываются оповещения, указывающие на то, что злоумышленник может пытаться собирать интересующие его данные в вашей организации.

Приложение сделало необычные действия по поиску по электронной почте

Серьезность: средний уровень

MITRE ID: T1114

Это обнаружение определяет, когда приложение предоставило согласие на подозрительные область OAuth и совершило большое количество необычных действий по поиску по электронной почте, таких как поиск определенного содержимого через API Graph. Это может указывать на попытку взлома вашей организации, например злоумышленники пытаются найти и прочитать определенные сообщения электронной почты из вашей организации через API Graph. 

TP или FP?

• TP: если вы можете подтвердить большое количество необычных действий по поиску и чтению сообщений электронной почты через API Graph приложением OAuth с подозрительным область OAuth и что приложение доставлено из неизвестного источника.

  Рекомендуемые действия. Отключение и удаление приложения, сброс пароля и удаление правила папки "Входящие". 

• FP: если вы можете подтвердить, что приложение выполнило большой объем необычного поиска по электронной почте и чтение API Graph по законным причинам.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте области разрешений, предоставленные приложением.
2. Проверьте все действия, выполненные приложением. 

Приложение выполняло аномальные вызовы Graph для чтения электронной почты

Серьезность: средний уровень

MITRE ID: T1114

Это обнаружение определяет случаи, когда бизнес-приложение OAuth получает доступ к необычному и большому объему почтовых папок и сообщений пользователя с помощью API Graph, что может указывать на попытку нарушения безопасности вашей организации.

TP или FP?

• TP: если вы можете подтвердить, что необычные действия Graph были выполнены бизнес-приложением OAuth, будет указан истинноположительный результат.

  Рекомендуемые действия. Временно отключите приложение и сбросьте пароль, а затем снова включите приложение. Следуйте инструкциям в руководстве по сбросу пароля с помощью Microsoft Entra ID.

• FP: если вы можете подтвердить, что приложение предназначено для выполнения необычно большого объема вызовов Graph.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте журнал действий на наличие событий, выполненных этим приложением, чтобы лучше понять другие действия Graph для чтения писем и попытки сбора конфиденциальной информации из писем пользователей.
2. Отслеживайте неожиданное добавление учетных данных в приложение.

Приложение создало правило для папки "Входящие" и выполнило необычные действия поиска сообщений

Серьезность: средний уровень

Идентификаторы MITRE: T1137, T1114

Это обнаружение определяет, что приложение предоставило согласие на область с высоким уровнем привилегий, создало подозрительное правило для папки "Входящие" и выполнило необычные действия поиска сообщений в почтовых папках пользователей посредством API Graph. Это может указывать на попытку несанкционированного доступа к данным организации, например на попытку злоумышленников найти и собрать определенные сообщения в организации с помощью API Graph.

TP или FP?

• TP: если вы можете подтвердить, что приложение OAuth с областью с высоким уровнем привилегий выполнило поиск и сбор определенных сообщений посредством API Graph и что приложение доставлено из неизвестного источника.

  Рекомендуемое действие. Отключите и удалите приложение, сбросьте пароль и удалите правило для папки "Входящие".

• FP: если вы можете подтвердить, что приложение выполнило поиск и сбор определенных сообщений посредствлм API Graph API и создало правило для папки "Входящие" для новой или личной внешней учетной записи электронной почты на законных основаниях.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия, выполненные приложением.
2. Проверьте области разрешений, предоставленные приложением.
3. Проверьте действия правила для папки "Входящие", созданные приложением.
4. Проверьте действия поиска сообщений, выполненные приложением.

Действия поиска в OneDrive и SharePoint, созданные приложением, и создали правило папки "Входящие"

Серьезность: средний уровень

Идентификаторы MITRE: T1137, T1213

Это обнаружение определяет, что приложение предоставило согласие на область с высоким уровнем привилегий, создало подозрительное правило для папки "Входящие" и выполнило необычные действия поиска в SharePoint или OneDrive посредством API Graph. Это может указывать на попытку нарушения безопасности организации, например на попытку злоумышленников найти и собрать определенные данные из SharePoint или OneDrive вашей организации с помощью API Graph. 

TP или FP?

• TP. Если вы можете подтвердить поиск и сбор определенных данных из SharePoint или OneDrive, выполненных с помощью API Graph приложением OAuth с высоким уровнем привилегий область, и приложение доставляется из неизвестного источника. 

  Рекомендуемое действие. Отключите и удалите приложение, сбросьте пароль и удалите правило папки "Входящие". 

• FP: если вы можете подтвердить, что приложение выполнило поиск и сбор определенных данных из SharePoint или OneDrive через API Graph приложением OAuth и создало правило папки "Входящие" для новой или личной внешней учетной записи электронной почты по законным причинам. 

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия, выполненные приложением. 
2. Проверьте области разрешений, предоставленные приложением. 
3. Проверьте действия правила для папки "Входящие", созданные приложением. 
4. Проверьте действия поиска в SharePoint или OneDrive, выполненные приложением.

Приложение выполняет многочисленные поисковые запросы и изменения в OneDrive

Серьезность: средний уровень

Идентификаторы MITRE: T1137, T1213

Это обнаружение определяет приложения OAuth с разрешениями с высоким уровнем привилегий, которые выполняют большое количество поисковых запросов и изменений в OneDrive с помощью API Graph.

TP или FP?

• TP. Если вы можете убедиться, что большое использование рабочей нагрузки OneDrive через API Graph не ожидается от этого приложения OAuth с высоким уровнем привилегий на чтение и запись в OneDrive, то будет указан истинный положительный результат.

  Рекомендуемое действие. На основе исследования, если приложение является вредоносным, вы можете отозвать согласие и отключить приложение в клиенте. Если это скомпрометированное приложение, вы можете отозвать согласие, временно отключить приложение, просмотреть необходимые разрешения, сбросить пароль, а затем снова включить приложение.

• FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

  Рекомендуемое действие. Устраните оповещение и сообщите о результатах.

Знакомство с областью бреши в системе безопасности

1. Убедитесь, что приложение из надежного источника.
2. Проверьте, было ли приложение создано или в него были внесены последние изменения.
3. Просмотрите разрешения, предоставленные приложению и пользователям, которые дали согласие на это приложение.
4. Изучите все другие действия приложений.

Приложение прочитало большой объем важных писем и создало правило для папки "Входящие"

Серьезность: средний уровень

Идентификаторы MITRE: T1137, T1114

Это обнаружение определяет, что приложение предоставило согласие на область с высоким уровнем привилегий, создало подозрительное правило для папки "Входящие" и прочитало большой объем важных писем посредством API Graph. Это может указывать на попытку создания бреши в системе безопасности организации, например на попытку злоумышленников прочитать письма высокой важности от вашей организации посредством API Graph. 

TP или FP?

• TP: если вы можете подтвердить, что большое количество важных сообщений электронной почты, прочитанных через API Graph приложением OAuth с высокими привилегиями область, и приложение доставляется из неизвестного источника. 

  Рекомендуемое действие. Отключите и удалите приложение, сбросьте пароль и удалите правило папки "Входящие". 

• FP: если вы можете подтвердить, что приложение выполнило большое количество важных сообщений электронной почты, API Graph и создало правило папки "Входящие" для новой или личной внешней учетной записи электронной почты по законным причинам. 

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте все действия, выполненные приложением. 
2. Проверьте области разрешений, предоставленные приложением. 
3. Проверьте действия правила для папки "Входящие", созданные приложением. 
4. Ознакомьтесь со всеми действиями чтения писем высокой важности, выполненными приложением.

Привилегированное приложение выполняло необычные действия в Teams

Серьезность: средний уровень

Это обнаружение идентифицирует приложения, которые согласились с областями OAuth с высоким уровнем привилегий, которые обращались к Microsoft Teams и сделали необычный объем операций чтения или публикации сообщений чата через API Graph. Это может указывать на попытку взлома вашей организации, например злоумышленники пытаются собрать информацию из вашей организации через API Graph.

TP или FP?

• TP: если вы можете подтвердить, что необычные действия сообщений чата в Microsoft Teams API Graph приложением OAuth с высокими привилегиями область, и приложение доставляется из неизвестного источника.

  Рекомендуемое действие: отключение и удаление приложения и сброс пароля

• FP: если вы можете подтвердить, что необычные действия, выполненные в Microsoft Teams через API Graph, были по уважительным причинам.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Проверьте области разрешений, предоставленные приложением.
2. Проверьте все действия, выполненные приложением.
3. Просмотрите действия пользователя, связанные с приложением.

Аномальные действия OneDrive в приложении, которое только что обновило или добавило новые учетные данные

Серьезность: средний уровень

Идентификаторы MITRE: T1098.001, T1213

Облачное приложение, отличное от Майкрософт, сделало аномальные API Graph вызовы в OneDrive, включая использование больших объемов данных. Обнаруженные машинным обучением, эти необычные вызовы API были сделаны в течение нескольких дней после того, как приложение добавило новые или обновленные существующие сертификаты или секреты. Это приложение может быть вовлечено в кражу данных или другие попытки получить доступ к конфиденциальной информации и получить их.

TP или FP?

• TP: если вы можете подтвердить, что необычные действия, такие как большое количество рабочих нагрузок OneDrive, были выполнены приложением через API Graph.

  Рекомендуемое действие. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.

• FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий или что приложение предназначено для выполнения необычно большого объема вызовов Graph.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите все действия, выполняемые приложением.
2. Проверьте области разрешений, предоставленные приложением.
3. Просмотрите действия пользователя, связанные с приложением.

Аномальные действия SharePoint в приложении, которое только что обновило или добавило новые учетные данные

Серьезность: средний уровень

Идентификаторы MITRE: T1098.001, T1213.002

Облачное приложение, отличное от Майкрософт, сделало аномальные API Graph вызовы к SharePoint, включая использование больших объемов данных. Обнаруженные машинным обучением, эти необычные вызовы API были сделаны в течение нескольких дней после того, как приложение добавило новые или обновленные существующие сертификаты или секреты. Это приложение может быть вовлечено в кражу данных или другие попытки получить доступ к конфиденциальной информации и получить их.

TP или FP?

• TP: если вы можете подтвердить, что необычные действия, такие как использование рабочей нагрузки SharePoint в большом объеме, были выполнены приложением через API Graph.

  Рекомендуемое действие. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.

• FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий или что приложение предназначено для выполнения необычно большого объема вызовов Graph.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите все действия, выполняемые приложением.
2. Проверьте области разрешений, предоставленные приложением.
3. Просмотрите действия пользователя, связанные с приложением.

Метаданные приложения, связанные с подозрительными действиями, связанными с почтой

Серьезность: средний уровень

Идентификаторы MITRE: T1114

Это обнаружение создает оповещения для приложений OAuth, отличных от Майкрософт, с метаданными, такими как имя, URL-адрес или издатель, которые ранее наблюдались в приложениях с подозрительными действиями, связанными с почтой. Это приложение может быть частью кампании атак и может быть вовлечено в кражу конфиденциальной информации.

TP или FP?

• TP: если вы можете подтвердить, что приложение создало правила почтового ящика или совершило большое количество необычных API Graph вызовов рабочей нагрузки Exchange.

  Рекомендуемое действие:

  • Изучите сведения о регистрации приложения по управлению приложениями и посетите Microsoft Entra ID для получения дополнительных сведений.
  • Обратитесь к пользователям или администраторам, которые предоставили согласие или разрешения для приложения. Проверьте, были ли изменения преднамеренными.
  • Выполните поиск в таблице Расширенной охоты CloudAppEvents , чтобы понять действия приложения и определить данные, к которым обращается приложение. Проверьте затронутые почтовые ящики и проверьте сообщения, которые могли быть прочитаны или переадресованы самим приложением или созданными им правилами.
  • Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия по сдерживанию. Отключите приложение с помощью управления приложениями или Microsoft Entra ID, чтобы запретить ему доступ к ресурсам. Возможно, существующие политики управления приложениями уже деактивировали приложение.

• FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий и что приложение имеет законное использование в организации.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите все действия, выполняемые приложением.
2. Просмотрите области, предоставленные приложению.
3. Просмотрите действия пользователя, связанные с приложением.

Приложение с разрешениями приложения EWS для доступа к многочисленным сообщениям электронной почты

Серьезность: средний уровень

Идентификаторы MITRE: T1114

Это обнаружение создает оповещения для мультитенантных облачных приложений с разрешениями приложений EWS, показывающие значительное увеличение числа вызовов API веб-служб Exchange, характерных для перечисления и сбора сообщений электронной почты. Это приложение может быть вовлечено в доступ к конфиденциальным данным электронной почты и их получение.

TP или FP?

• TP: если вы можете убедиться, что приложение имеет доступ к конфиденциальным данным электронной почты или совершило большое количество необычных вызовов рабочей нагрузки Exchange.

  Рекомендуемое действие:

  • Изучите сведения о регистрации приложения по управлению приложениями и посетите Microsoft Entra ID для получения дополнительных сведений.
  • Обратитесь к пользователям или администраторам, которые предоставили согласие или разрешения для приложения. Проверьте, были ли изменения преднамеренными.
  • Выполните поиск в таблице Расширенной охоты CloudAppEvents , чтобы понять действия приложения и определить данные, к которым обращается приложение. Проверьте затронутые почтовые ящики и проверьте сообщения, которые могли быть прочитаны или переадресованы самим приложением или созданными им правилами.
  • Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия по сдерживанию. Отключите приложение с помощью управления приложениями или Microsoft Entra ID, чтобы запретить ему доступ к ресурсам. Возможно, существующие политики управления приложениями уже деактивировали приложение.

• FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий и что приложение имеет законное использование в организации.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите все действия, выполняемые приложением.
2. Просмотрите области, предоставленные приложению.
3. Просмотрите действия пользователя, связанные с приложением.

Неиспользуемое приложение с новым доступом к API

Серьезность: средний уровень

Идентификаторы MITRE: T1530

Это обнаружение создает оповещения для мультитенантного облачного приложения, которое некоторое время было неактивным и недавно начало выполнять вызовы API. Это приложение может быть скомпрометировано злоумышленником и использоваться для доступа к конфиденциальным данным и получения его.

TP или FP?

• TP: если вы можете убедиться, что приложение обращается к конфиденциальным данным или выполняет большое количество необычных вызовов к рабочим нагрузкам Microsoft Graph, Exchange или Azure Resource Manager.

  Рекомендуемое действие:

  • Изучите сведения о регистрации приложения по управлению приложениями и посетите Microsoft Entra ID для получения дополнительных сведений.
  • Обратитесь к пользователям или администраторам, которые предоставили согласие или разрешения для приложения. Проверьте, были ли изменения преднамеренными.
  • Выполните поиск в таблице Расширенной охоты CloudAppEvents , чтобы понять действия приложения и определить данные, к которым обращается приложение. Проверьте затронутые почтовые ящики и проверьте сообщения, которые могли быть прочитаны или переадресованы самим приложением или созданными им правилами.
  • Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия по сдерживанию. Отключите приложение с помощью управления приложениями или Microsoft Entra ID, чтобы запретить ему доступ к ресурсам. Возможно, существующие политики управления приложениями уже деактивировали приложение.

• FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий и что приложение имеет законное использование в организации.

  Рекомендуемое действие. Закройте оповещение.

Знакомство с областью бреши в системе безопасности

1. Просмотрите все действия, выполняемые приложением.
2. Просмотрите области, предоставленные приложению.
3. Просмотрите действия пользователя, связанные с приложением.

Оповещения о влиянии

В этом разделе описаны оповещения, указывающие на то, что злоумышленник может пытаться управлять системами и данными из вашей организации, прерывать их или уничтожать их.

Приложение Entra Line-of-Business, инициирующее аномальный пик при создании виртуальной машины

Серьезность: средний уровень

ИДЕНТИФИКАТОР MITRE: T1496

Это обнаружение определяет новое приложение OAuth с одним клиентом, которое создает большую часть Виртуальные машины Azure в клиенте с помощью API Resource Manager Azure.

TP или FP?

• TP. Если вы можете подтвердить, что приложение OAuth было создано недавно и создает большое количество Виртуальные машины в клиенте, то отображается истинный положительный результат.

  Рекомендуемые действия. Просмотрите созданные виртуальные машины и все последние изменения, внесенные в приложение. В зависимости от исследования вы можете запретить доступ к этому приложению. Проверьте уровень разрешения, запрашиваемого этим приложением, и пользователей, которые предоставили доступ.

• FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

  Рекомендуемое действие. Закройте оповещение.

Изучите область нарушения.

1. Просмотрите недавно созданные приложения и виртуальные машины.
2. Просмотрите все действия, выполняемые приложением с момента его создания.
3. Просмотрите области, предоставленные приложением в API Graph и роли, предоставленные ему в вашей подписке.

Приложение OAuth с высокими привилегиями область в Microsoft Graph было замечено при инициации создания виртуальной машины

Серьезность: средний уровень

ИДЕНТИФИКАТОР MITRE: T1496

Это обнаружение определяет приложение OAuth, которое создает большую часть Виртуальные машины Azure в вашем клиенте с помощью API Resource Manager Azure и имеет высокие привилегии в клиенте через MS API Graph перед действием.

TP или FP?

• TP. Если вы можете убедиться, что приложение OAuth с высоким уровнем привилегий создано и создает большое количество Виртуальные машины в клиенте, то отображается истинный положительный результат.

  Рекомендуемые действия. Просмотрите созданные виртуальные машины и все последние изменения, внесенные в приложение. В зависимости от исследования вы можете запретить доступ к этому приложению. Проверьте уровень разрешения, запрашиваемого этим приложением, и пользователей, которые предоставили доступ.

• FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

  Рекомендуемое действие. Закройте оповещение.

Изучите область нарушения.

1. Просмотрите недавно созданные приложения и виртуальные машины.
2. Просмотрите все действия, выполняемые приложением с момента его создания.
3. Просмотрите области, предоставленные приложением в API Graph и роли, предоставленные ему в вашей подписке.

Дальнейшие действия

Управление оповещениями системы управления приложениями