Поделиться через

Изучение предопределенных оповещений политики приложений

  • Статья

Управление приложениями предоставляет предопределенные оповещения политики приложений для аномальных действий. Цель этого руководства — предоставить общие и практические сведения о каждом оповещении, чтобы помочь вам в задачах по исследованию и исправлению.

В этом руководстве содержатся общие сведения об условиях запуска оповещений. Так как предопределенные политики не детерминированы по своей природе, они активируются только при наличии поведения, которое отклоняется от нормы.

Совет

Некоторые оповещения могут быть в предварительной версии, поэтому регулярно просматривайте обновленные состояния оповещений.

Классификации оповещений системы безопасности

После правильного исследования все оповещения системы управления приложениями можно классифицировать по одному из следующих типов действий:

  • True positive (TP) — оповещение о подтвержденном вредоносном действии.
  • Доброкачественный истинно положительный результат (B-TP): оповещение о подозрительных, но не вредоносных действиях, таких как тест на проникновение или другое санкционированное подозрительное действие.
  • Ложноположительные срабатывания (FP): оповещение о невредоносном действии.

Общие шаги исследования

Используйте следующие общие рекомендации при исследовании любого типа оповещений, чтобы получить более четкое представление о потенциальной угрозе перед применением рекомендуемого действия.

  1. Проверьте уровень серьезности оповещений для приложения и сравните его с показателем для остальных приложений в клиенте. Эта проверка поможет определить, какие приложения в клиенте представляют больший риск.

  2. Если вы определите TP, просмотрите все действия приложения, чтобы получить представление о влиянии. Например, просмотрите следующие сведения о приложении:

    • Области, к которым предоставлен доступ
    • Необычное поведение
    • IP-адрес и расположение

Предопределенные оповещения политики приложений

В этом разделе содержатся сведения о каждом предопределенном оповещении политики, а также шаги по изучению и исправлению.

Увеличение использования данных приложением с высоким уровнем привилегий

Серьезность: средний уровень

Найдите приложения с мощными или неиспользуемых разрешениями, в которых внезапно увеличивается использование данных через API Graph. Необычные изменения в использовании данных могут указывать на компрометацию.

TP или FP?

Чтобы определить, является ли оповещение истинно положительным (TP) или ложноположительным (FP), просмотрите все действия, выполняемые приложением, области, предоставленные приложению, и действия пользователей, связанные с приложением.

  • TP. Примените это рекомендуемое действие, если вы подтвердили, что увеличение использования данных приложением с высоким уровнем привилегий является нерегулярным или потенциально вредоносным.

    Рекомендуемое действие. Обратитесь к пользователям о действиях приложений, которые привели к увеличению использования данных. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.

  • FP: примените это рекомендуемое действие, если вы подтвердили, что обнаруженная активность приложения предназначена и имеет законное использование в организации.

    Рекомендуемое действие. Закройте оповещение.

Серьезность: средний уровень

Найдите необычное увеличение использования данных или API Graph ошибок доступа, отображаемых приложениями, которые получили согласие с помощью учетной записи приоритета.

TP или FP?

Просмотрите все действия, выполняемые приложением, области, предоставленные приложению, и действия пользователей, связанные с приложением.

  • TP. Примените это рекомендуемое действие, если вы подтвердили, что увеличение использования данных или ошибок доступа к API приложением с согласием от учетной записи приоритета является весьма нерегулярным или потенциально вредоносным.

    Рекомендуемое действие. Обратитесь к пользователям приоритетных учетных записей о действиях приложений, которые привели к увеличению использования данных или ошибкам доступа к API. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.

  • FP: примените это рекомендуемое действие, если вы подтвердили, что обнаруженная активность приложения предназначена и имеет законное использование в организации.

    Рекомендуемое действие. Закройте оповещение.

Серьезность: средний уровень

Запросы на согласие из созданного приложения часто отклонялись пользователями. Пользователи обычно отклоняют запросы на согласие от приложений, которые проявили непредвиденное поведение или поступили из ненадежного источника. Приложения с низким уровнем согласия, скорее всего, будут рискованными или вредоносными.

TP или FP?

Просмотрите все действия, выполняемые приложением, области, предоставленные приложению, и действия пользователей, связанные с приложением.

  • TP. Примените это рекомендуемое действие, если вы подтвердили, что приложение из неизвестного источника и его действия были весьма нерегулярными или потенциально вредоносными.

    Рекомендуемое действие. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.

  • FP: примените это рекомендуемое действие, если вы подтвердили, что обнаруженная активность приложения является допустимой.

    Рекомендуемое действие. Закройте оповещение.

Пик API Graph вызовов, выполненных в OneDrive

Серьезность: средний уровень

В облачном приложении значительно увеличился объем API Graph вызовов в OneDrive. Это приложение может быть вовлечено в кражу данных или другие попытки получить доступ к конфиденциальным данным и получить их.

TP или FP?

Просмотрите все действия, выполняемые приложением, области, предоставленные приложению, и действия пользователей, связанные с приложением.

  • TP. Примените это рекомендуемое действие, если вы подтвердили, что нерегулярные и потенциально вредоносные действия привели к обнаружению увеличения использования OneDrive.

    Рекомендуемое действие. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.

  • FP: примените это рекомендуемое действие, если вы подтвердили, что обнаруженная активность приложения является допустимой.

    Рекомендуемое действие. Закройте оповещение.

Пик API Graph вызовов, выполненных в SharePoint

Серьезность: средний уровень

В облачном приложении значительно увеличился объем API Graph вызовов к SharePoint. Это приложение может быть вовлечено в кражу данных или другие попытки получить доступ к конфиденциальным данным и получить их.

TP или FP?

Просмотрите все действия, выполняемые приложением, области, предоставленные приложению, и действия пользователей, связанные с приложением.

  • TP. Примените это рекомендуемое действие, если вы подтвердили, что нерегулярные, потенциально вредоносные действия привели к обнаружению увеличения использования SharePoint.

    Рекомендуемое действие. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.

  • FP: примените это рекомендуемое действие, если вы подтвердили, что обнаруженная активность приложения является допустимой.

    Рекомендуемое действие. Закройте оповещение.

Пик API Graph вызовов Exchange

Серьезность: средний уровень

В облачном приложении значительно увеличился объем API Graph вызовов к Exchange. Это приложение может быть вовлечено в кражу данных или другие попытки получить доступ к конфиденциальным данным и получить их.

TP или FP?

Просмотрите все действия, выполняемые приложением, области, предоставленные приложению, и действия пользователей, связанные с приложением.

  • TP. Примените это рекомендуемое действие, если вы подтвердили, что нерегулярные, потенциально вредоносные действия привели к обнаружению увеличения использования Exchange.

    Рекомендуемое действие. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.

  • FP: примените это рекомендуемое действие, если вы подтвердили, что обнаруженная активность приложения является допустимой.

    Рекомендуемое действие. Закройте оповещение.

Подозрительное приложение с доступом к нескольким службам Microsoft 365

Серьезность: средний уровень

Найдите приложения с доступом OAuth к нескольким службам Microsoft 365, которые демонстрируют статистически аномальные действия API Graph после обновления сертификата или секрета. Определив эти приложения и проверив их на предмет компрометации, можно предотвратить боковое перемещение, кражу данных и другие вредоносные действия, которые проходят через облачные папки, электронные письма и другие службы.

TP или FP?

Просмотрите все действия, выполняемые приложением, области, предоставленные приложению, и действия пользователей, связанные с приложением.

  • TP. Примените это рекомендуемое действие, если вы подтвердили, что обновления сертификатов или секретов приложений и другие действия приложения были весьма нерегулярными или потенциально вредоносными.

    Рекомендуемое действие. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.

  • FP: примените это рекомендуемое действие, если вы подтвердили, что обнаруженная активность приложения является допустимой.

    Рекомендуемое действие. Закройте оповещение.

Большой объем действий по созданию правила папки "Входящие" приложением

Серьезность: средний уровень

Приложение сделало большое количество API Graph вызовов для создания правил папки "Входящие" Exchange. Это приложение может быть вовлечено в сбор и кражу данных или другие попытки получить доступ к конфиденциальной информации и получить их.

TP или FP?

Просмотрите все действия, выполняемые приложением, области, предоставленные приложению, и действия пользователей, связанные с приложением.

  • TP. Примените это рекомендуемое действие, если вы подтвердили, что создание правил папки "Входящие" и другие действия были весьма нерегулярными или потенциально вредоносными.

    Рекомендуемое действие. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.

  • FP: примените это рекомендуемое действие, если вы подтвердили, что обнаруженная активность приложения является допустимой.

    Рекомендуемое действие. Закройте оповещение.

Большой объем действий по поиску электронной почты в приложении

Серьезность: средний уровень

Приложение сделало большое количество API Graph вызовов для поиска содержимого электронной почты Exchange. Это приложение может участвовать в сборе данных или других попытках получить доступ к конфиденциальной информации и получить их.

TP или FP?

Просмотрите все действия, выполняемые приложением, области, предоставленные приложению, и действия пользователей, связанные с приложением.

  • TP. Примените это рекомендуемое действие, если вы подтвердили, что поиск контента в Exchange и другие действия были весьма нерегулярными или потенциально вредоносными.

    Рекомендуемое действие. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.

  • FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий по поиску почты или что приложение предназначено для выполнения необычных действий по поиску почты через API Graph.

    Рекомендуемое действие. Закройте оповещение.

Большой объем действий по отправке электронной почты приложением

Серьезность: средний уровень

Приложение сделало большое количество API Graph вызовов для отправки сообщений электронной почты с помощью Exchange Online. Это приложение может быть вовлечено в сбор и кражу данных или другие попытки получить доступ к конфиденциальной информации и получить их.

TP или FP?

Просмотрите все действия, выполняемые приложением, области, предоставленные приложению, и действия пользователей, связанные с приложением.

  • TP. Примените это рекомендуемое действие, если вы подтвердили, что отправка сообщений электронной почты и другие действия были весьма нерегулярными или потенциально вредоносными.

    Рекомендуемое действие. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.

  • FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий отправки почты или что приложение предназначено для выполнения необычных действий отправки почты через API Graph.

    Рекомендуемое действие. Закройте оповещение.

Доступ к конфиденциальным данным

Серьезность: средний уровень

Найдите приложения, которые обращаются к конфиденциальным данным, определенным определенными конфиденциальными метками.

TP или FP?

Чтобы определить, является ли оповещение истинным положительным (TP) или ложноположительным (FP), просмотрите ресурсы, к которым обращается приложение.

  • TP. Примените это рекомендуемое действие, если вы подтвердили, что приложение или обнаруженное действие является нерегулярным или потенциально вредоносным.

    Рекомендуемое действие: запретить приложению доступ к каким-либо ресурсам, деактивируя его с Microsoft Entra ID.

  • FP: примените это рекомендуемое действие, если вы подтвердили, что приложение используется в организации на законных основаниях и что обнаруженное действие было ожидаемым.

    Рекомендуемое действие. Закройте оповещение.

Дальнейшие действия

Сведения об обнаружении и исправлении угроз приложений