Undersöka hotidentifieringsaviseringar för appstyrning

Appstyrning tillhandahåller säkerhetsidentifieringar och aviseringar för skadliga aktiviteter. Den här artikeln innehåller information om varje avisering som kan hjälpa dig att undersöka och åtgärda, inklusive villkoren för att utlösa aviseringar. Eftersom hotidentifieringar är icke-terministiska av naturen utlöses de bara när det finns beteenden som avviker från normen.

Mer information finns i Appstyrning i Microsoft Defender for Cloud Apps

Obs!

Hotidentifieringar för appstyrning baseras på att man räknar aktiviteter på data som är tillfälliga och inte kan lagras. Därför kan aviseringar ge antalet aktiviteter eller indikationer på toppar, men inte nödvändigtvis alla relevanta data. Specifikt för OAuth-appar Graph API aktiviteter kan själva aktiviteterna granskas av klientorganisationen med hjälp av Log Analytics och Sentinel.

Mer information finns i:

• Komma åt Microsoft Graph-aktivitetsloggar
• Analysera aktivitetsloggar med Log Analytics

Allmänna undersökningssteg

Hitta appstyrningsrelaterade aviseringar

Om du vill hitta aviseringar som är specifikt relaterade till appstyrning går du till sidan XDR-portalens aviseringar. I aviseringslistan använder du fältet "Tjänst/identifieringskällor" för att filtrera aviseringar. Ange värdet för det här fältet till "Appstyrning" för att visa alla aviseringar som genereras av appstyrning.

Allmänna riktlinjer

Använd följande allmänna riktlinjer när du undersöker alla typer av aviseringar för att få en tydligare förståelse för det potentiella hotet innan du tillämpar den rekommenderade åtgärden.

• Granska appens allvarlighetsgrad och jämför med resten av appen i din klientorganisation. Den här granskningen hjälper dig att identifiera vilka appar i din klientorganisation som utgör den större risken.

• Om du identifierar en TP granskar du alla appaktiviteter för att få en förståelse för effekten. Granska till exempel följande appinformation:

  • Omfång som beviljats åtkomst
  • Ovanligt beteende
  • IP-adress och plats

Klassificeringar av säkerhetsaviseringar

Efter en korrekt undersökning kan alla aviseringar om appstyrning klassificeras som någon av följande aktivitetstyper:

• Sann positiv (TP): En avisering om en bekräftad skadlig aktivitet.
• Godartad sann positiv (B-TP): En avisering om misstänkt men inte skadlig aktivitet, till exempel ett intrångstest eller andra auktoriserade misstänkta åtgärder.
• Falskt positivt (FP): En avisering om en icke-skadlig aktivitet.

MITRE ATT&CK

För att göra det enklare att mappa relationen mellan appstyrningsaviseringar och den välbekanta MITRE ATT&CK-matrisen har vi kategoriserat aviseringarna efter motsvarande MITRE ATT&CK-taktik. Den här extra referensen gör det enklare att förstå vilken teknik för misstänkta attacker som kan användas när appstyrningsaviseringar utlöses.

Den här guiden innehåller information om hur du undersöker och åtgärdar aviseringar för appstyrning i följande kategorier.

• Inledande åtkomst
• Utförande
• Ihärdighet
• Privilegieeskalering
• Skyddande undanmanöver
• Åtkomst till autentiseringsuppgifter
• Identifiering
• Lateral rörelse
• Samling
• Exfiltrering
• Påverkan

Initiala åtkomstaviseringar

I det här avsnittet beskrivs aviseringar som anger att en skadlig app försöker behålla sitt fotfäste i din organisation.

Appen omdirigeras till nätfiske-URL genom att utnyttja sårbarheten för OAuth-omdirigering

Allvarlighetsgrad: Medel

Den här identifieringen identifierar omdirigering av OAuth-appar till nätfiske-URL:er genom att utnyttja parametern för svarstyp i OAuth-implementeringen via Microsoft Graph API.

TP eller FP?

• TP: Om du kan bekräfta att OAuth-appen levererades från en okänd källa innehåller svarstypen för svars-URL:en efter medgivande till OAuth-appen en ogiltig begäran och omdirigeras till en okänd eller obetrodd svars-URL.

  Rekommenderad åtgärd: Inaktivera och ta bort appen, återställ lösenordet och ta bort inkorgsregeln. 

• FP: Om du efter undersökningen kan bekräfta att appen har en legitim företagsanvändning i organisationen.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av appen. 
2. Granska de omfång som beviljats av appen. 

OAuth-app med misstänkt svars-URL

Allvarlighetsgrad: Medel

Den här identifieringen identifierar en OAuth-app som har åtkomst till en misstänkt svars-URL via Microsoft Graph API.

TP eller FP?

• TP: Om du kan bekräfta att OAuth-appen levereras från en okänd källa och omdirigeras till en misstänkt URL visas en sann positiv identifiering. En misstänkt URL är en där URL:ens rykte är okänt, inte betrott eller vars domän nyligen har registrerats och appbegäran gäller för ett omfång med hög behörighet.

  Rekommenderad åtgärd: Granska svars-URL, domäner och omfång som begärs av appen. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen. Granska behörighetsnivån som begärs av den här appen och vilka användare som beviljas åtkomst.

  Om du vill förbjuda åtkomst till appen går du till relevant flik för din app på sidan Appstyrning . På den rad där appen som du vill förbjuda visas väljer du förbudsikonen. Du kan välja om du vill meddela användarna att appen som de har installerat och auktoriserat har stängts av. Meddelandet meddelar användarna att appen kommer att inaktiveras och att de inte har åtkomst till den anslutna appen. Om du inte vill att de ska veta avmarkerar du Meddela användare som beviljat åtkomst till den här förbjudna appen i dialogrutan. Vi rekommenderar att du låter appanvändare veta att deras app är på väg att blockeras från att användas.

• FP: Om du efter undersökningen kan bekräfta att appen har en legitim företagsanvändning i organisationen.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska de appar som har skapats nyligen och deras svars-URL:er.

2. Granska alla aktiviteter som utförs av appen. 

3. Granska de omfång som beviljats av appen. 

Appen som skapats nyligen har låg medgivandefrekvens

Allvarlighetsgrad: Låg

Den här identifieringen identifierar en OAuth-app som skapades nyligen och som har låg medgivandefrekvens. Detta kan tyda på en skadlig eller riskfylld app som lockar användare med otillåtet medgivande.

TP eller FP?

• TP: Om du kan bekräfta att OAuth-appen levereras från en okänd källa visas en sann positiv identifiering.

  Rekommenderad åtgärd: Granska appens visningsnamn, svars-URL:er och domäner. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen. Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst.

• FP: Om du efter undersökningen kan bekräfta att appen har en legitim företagsanvändning i organisationen.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av appen.
2. Om du misstänker att en app är misstänkt rekommenderar vi att du undersöker appens namn och svarsdomän i olika appbutiker. Fokuserar du på följande typer av appar när appbutiker kontrolleras:
   • Appar som har skapats nyligen.
   • Appar med ovanliga visningsnamn
   • Appar med en misstänkt svarsdomäner
3. Om du fortfarande misstänker att en app är misstänkt kan du söka efter appens visningsnamn och svarsdomän.

App med dåligt URL-rykte

Allvarlighetsgrad: Medel

Den här identifieringen identifierar en OAuth-app som har daligt URL-rykte.

TP eller FP?

• TP: Om du kan bekräfta att OAuth-appen levereras från en okänd källa och omdirigeras till en misstänkt URL visas en sann positiv identifiering.

  Rekommenderad åtgärd: Granska svars-URL:er, domäner och omfång som begärs av appen. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen. Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst.

• FP: Om du efter undersökningen kan bekräfta att appen har en legitim företagsanvändning i organisationen.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av appen.
2. Om du misstänker att en app är misstänkt rekommenderar vi att du undersöker appens namn och svarsdomän i olika appbutiker. Fokuserar du på följande typer av appar när appbutiker kontrolleras:
   • Appar som har skapats nyligen.
   • Appar med ovanliga visningsnamn
   • Appar med en misstänkt svarsdomäner
3. Om du fortfarande misstänker att en app är misstänkt kan du söka efter appens visningsnamn och svarsdomän.

Kodat appnamn med misstänkta medgivandeomfång

Allvarlighetsgrad: Medel

Beskrivning: Den här identifieringen identifierar OAuth-appar med tecken, till exempel Unicode eller kodade tecken, som begärts för misstänkta medgivandeomfång och som har åtkomst till användarnas e-postmappar via Graph API. Den här varningen kan indikera ett försök att lura en skadlig app som en känd och betrodd app så att angripare kan vilseleda användarna att samtycka till den skadliga appen.

TP eller FP?

• TP: Om du kan bekräfta att OAuth-appen har kodat visningsnamnet med misstänkta omfång som levereras från en okänd källa, visas en sann positiv identifiering.

  Rekommenderad åtgärd: Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen.

  Om du vill förbjuda åtkomst till appen går du till relevant flik för din app på sidan Appstyrning . På den rad där appen som du vill förbjuda visas väljer du förbudsikonen. Du kan välja om du vill meddela användarna att appen som de har installerat och auktoriserat har stängts av. Meddelandet meddelar användarna att appen kommer att inaktiveras och att de inte har åtkomst till den anslutna appen. Om du inte vill att de ska veta avmarkerar du Meddela användare som beviljat åtkomst till den här förbjudna appen i dialogrutan. Vi rekommenderar att du låter appanvändare veta att deras app är på väg att blockeras från att användas.

• FP: Om du ska bekräfta att appen har ett kodat namn men har en legitim företagsanvändning i organisationen.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

Följ självstudien om hur du undersöker riskfyllda OAuth-appar.

OAuth-appen med läsomfång har misstänkt svars-URL

Allvarlighetsgrad: Medel

Beskrivning: Den här identifieringen identifierar en OAuth-app med endast läsomfattningar som User.ReadPersoner. Read, Contacts.Read, Mail.Read, Contacts.Read. Delade omdirigeringar till misstänkt svars-URL via Graph API. Den här aktiviteten försöker indikera att skadlig app med mindre behörighet (till exempel läsomfång) kan utnyttjas för att utföra rekognosering av användarkonton.

TP eller FP?

• TP: Om du kan bekräfta att OAuth-appen med läsomfång levereras från en okänd källa och omdirigeras till en misstänkt URL, visas en sann positiv identifiering.

  Rekommenderad åtgärd: Granska svars-URL och omfång som begärs av appen. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen. Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst.

  Om du vill förbjuda åtkomst till appen går du till relevant flik för din app på sidan Appstyrning . På den rad där appen som du vill förbjuda visas väljer du förbudsikonen. Du kan välja om du vill meddela användarna att appen som de har installerat och auktoriserat har stängts av. Meddelandet meddelar användarna att appen kommer att inaktiveras och att de inte har åtkomst till den anslutna appen. Om du inte vill att de ska veta avmarkerar du Meddela användare som beviljat åtkomst till den här förbjudna appen i dialogrutan. Vi rekommenderar att du låter appanvändare veta att deras app är på väg att blockeras från att användas.

• B-TP: Om du efter undersökningen kan bekräfta att appen har en legitim företagsanvändning i organisationen.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av appen.
2. Om du misstänker att en app är misstänkt rekommenderar vi att du undersöker appens namn och svars-URL i olika appbutiker. När du kontrollerar appbutiker fokuserar du på följande typer av appar:
   • Appar som har skapats nyligen.
   • Appar med en misstänkt svars-URL
   • Appar som inte har uppdaterats nyligen. Brist på uppdateringar kan tyda på att appen inte längre stöds.
3. Om du fortfarande misstänker att en app är misstänkt kan du söka efter appens namn, utgivarnamn och svars-URL online

App med ovanligt visningsnamn och ovanlig TLD i svarsdomänen

Allvarlighetsgrad: Medel

Den här identifieringen identifierar appen med ovanligt visningsnamn och omdirigerar till misstänkt svarsdomän med en ovanlig toppnivådomän (TLD) via Graph API. Detta kan tyda på ett försök att kamouflera en skadlig eller riskfylld app som en känd och betrodd app så att angripare kan vilseleda användarna att samtycka till deras skadliga eller riskfyllda app. 

TP eller FP?

• TP: Om du kan bekräfta att appen med ovanligt visningsnamn är från en okänd källa och omdirigeras till en misstänkt domän som har ovanlig toppnivådomän

  Rekommenderad åtgärd: Granska appens visningsnamn och svarsdomän. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen. Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst.

• FP: Om du efter undersökningen kan bekräfta att appen har en legitim företagsanvändning i organisationen.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

Granska alla aktiviteter som utförs av appen. Om du misstänker att en app är misstänkt rekommenderar vi att du undersöker appens namn och svarsdomän i olika appbutiker. Fokuserar du på följande typer av appar när appbutiker kontrolleras:

• Appar som har skapats nyligen.
• Appar med ovanliga visningsnamn
• Appar med en misstänkt svarsdomäner

Om du fortfarande misstänker att en app är misstänkt kan du söka efter appens visningsnamn och svarsdomän.

Ny app med e-postbehörigheter med lågt medgivandemönster

Allvarlighetsgrad: Medel

Den här identifieringen identifierar OAuth-appar som nyligen skapats i relativt nya utgivarklientorganisationer med följande egenskaper:

• Behörigheter för att komma åt eller ändra postlådeinställningar
• Relativt låg medgivandefrekvens, som kan identifiera oönskade eller till och med skadliga appar som försöker få medgivande från intet ont anande användare

TP eller FP?

• TP: Om du kan bekräfta att begäran om medgivande till appen har levererats från en okänd eller extern källa och appen inte har någon legitim affärsanvändning i organisationen anges en sann positiv identifiering.

  Rekommenderad åtgärd:

  • Kontakta användare och administratörer som har gett sitt medgivande till den här appen för att bekräfta att detta var avsiktligt och att de överdrivna privilegierna är normala.
  • Undersök appaktiviteten och kontrollera berörda konton för misstänkt aktivitet.
  • Baserat på din undersökning inaktiverar du appen och pausar och återställer lösenord för alla berörda konton.
  • Klassificera aviseringen som en sann positiv identifiering.

• FP: Om du efter undersökningen kan bekräfta att appen har en legitim företagsanvändning i organisationen.

  Rekommenderad åtgärd: Klassificera aviseringen som en falsk positiv identifiering och överväg att dela feedback baserat på din undersökning av aviseringen.

Förstå omfattningen av intrånget

Granska medgivande till programmet som görs av användare och administratörer. Undersök alla aktiviteter som utförs av appen, särskilt åtkomst till postlådan för associerade användare och administratörskonton. Om du misstänker att appen är misstänkt kan du inaktivera programmet och rotera autentiseringsuppgifterna för alla berörda konton.

Ny app med låg medgivandefrekvens för åtkomst till många e-postmeddelanden

Allvarlighetsgrad: Medel

Den här aviseringen identifierar OAuth-appar som nyligen registrerats i en relativt ny utgivare med behörighet att ändra postlådeinställningar och få åtkomst till e-post. Den verifierar också om appen har en relativt låg global medgivandefrekvens och gör många anrop till Microsoft Graph API för att få åtkomst till e-postmeddelanden från medgivande användare. Appar som utlöser den här aviseringen kan vara oönskade eller skadliga appar som försöker få medgivande från intet ont anande användare.

TP eller FP?

• TP: Om du kan bekräfta att begäran om medgivande till appen har levererats från en okänd eller extern källa och appen inte har någon legitim affärsanvändning i organisationen anges en sann positiv identifiering.

  Rekommenderad åtgärd:

  • Kontakta användare och administratörer som har gett sitt medgivande till den här appen för att bekräfta att detta var avsiktligt och att de överdrivna privilegierna är normala.
  • Undersök appaktiviteten och kontrollera berörda konton för misstänkt aktivitet.
  • Baserat på din undersökning inaktiverar du appen och pausar och återställer lösenord för alla berörda konton.
  • Klassificera aviseringen som en sann positiv identifiering.

• FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen anges en falsk positiv identifiering.

  Rekommenderad åtgärd: Klassificera aviseringen som en falsk positiv identifiering och överväg att dela feedback baserat på din undersökning av aviseringen.

Förstå omfattningen av intrånget

Granska medgivande till programmet som görs av användare och administratörer. Undersök alla aktiviteter som utförs av appen, särskilt åtkomst till postlådor för associerade användare och administratörskonton. Om du misstänker att appen är misstänkt kan du inaktivera programmet och rotera autentiseringsuppgifterna för alla berörda konton.

Misstänkt app med e-postbehörigheter som skickar många e-postmeddelanden

Allvarlighetsgrad: Medel

Den här aviseringen hittar OAuth-appar med flera klientorganisationer som har gjort många anrop till Microsoft Graph API för att skicka e-postmeddelanden inom en kort tidsperiod. Den verifierar också om API-anropen har resulterat i fel och misslyckade försök att skicka e-postmeddelanden. Appar som utlöser den här aviseringen kan aktivt skicka skräppost eller skadliga e-postmeddelanden till andra mål.

TP eller FP?

• TP: Om du kan bekräfta att begäran om medgivande till appen har levererats från en okänd eller extern källa och appen inte har någon legitim affärsanvändning i organisationen anges en sann positiv identifiering.

  Rekommenderad åtgärd:

  • Kontakta användare och administratörer som har gett sitt medgivande till den här appen för att bekräfta att detta var avsiktligt och att de överdrivna privilegierna är normala.
  • Undersök appaktiviteten och kontrollera berörda konton för misstänkt aktivitet.
  • Baserat på din undersökning inaktiverar du appen och pausar och återställer lösenord för alla berörda konton.
  • Klassificera aviseringen som en sann positiv identifiering.

• FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen anges en falsk positiv identifiering.

  Rekommenderad åtgärd: Klassificera aviseringen som en falsk positiv identifiering och överväg att dela feedback baserat på din undersökning av aviseringen.

Förstå omfattningen av intrånget

Granska medgivande till programmet som görs av användare och administratörer. Undersök alla aktiviteter som utförs av appen, särskilt åtkomst till postlådan för associerade användare och administratörskonton. Om du misstänker att appen är misstänkt kan du inaktivera programmet och rotera autentiseringsuppgifterna för alla berörda konton.

Misstänkt OAuth-app som används för att skicka många e-postmeddelanden

Allvarlighetsgrad: Medel

Den här aviseringen anger en OAuth-app som har gjort flera anrop till Microsoft Graph API för att skicka e-postmeddelanden inom en kort tidsperiod. Appens utgivarklientorganisation är känd för att skapa en stor mängd OAuth-appar som gör liknande Microsoft-Graph API-anrop. En angripare kan aktivt använda den här appen för att skicka skräppost eller skadliga e-postmeddelanden till sina mål.

TP eller FP?

• TP: Om du kan bekräfta att begäran om medgivande till appen har levererats från en okänd eller extern källa och appen inte har någon legitim affärsanvändning i organisationen anges en sann positiv identifiering.

  Rekommenderad åtgärd:

  • Kontakta användare och administratörer som har gett sitt medgivande till den här appen för att bekräfta att detta var avsiktligt och att de överdrivna privilegierna är normala.
  • Undersök appaktiviteten och kontrollera berörda konton för misstänkt aktivitet.
  • Baserat på din undersökning inaktiverar du appen och pausar och återställer lösenord för alla berörda konton.
  • Klassificera aviseringen som en sann positiv identifiering.

• FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen anges en falsk positiv identifiering.

  Rekommenderad åtgärd: Klassificera aviseringen som en falsk positiv identifiering och överväg att dela feedback baserat på din undersökning av aviseringen.

Förstå omfattningen av intrånget

Granska medgivande till programmet som görs av användare och administratörer. Undersök alla aktiviteter som utförs av appen, särskilt åtkomst till postlådan för associerade användare och administratörskonton. Om du misstänker att appen är misstänkt kan du inaktivera programmet och rotera autentiseringsuppgifterna för alla berörda konton.

Ihärdighet aviseringar

I det här avsnittet beskrivs aviseringar som anger att en illasinnad aktör försöker behålla sitt fotfäste i organisationen.

Appen gjorde avvikande Graph-anrop till Exchange-arbetsbelastning efter certifikatuppdatering eller tillägg av nya autentiseringsuppgifter

Allvarlighetsgrad: Medel

MITRE-ID: T1098.001, T1114

Den här identifieringen utlöser en avisering när en verksamhetsspecifik app (LOB) uppdaterade certifikat/hemligheter eller lade till nya autentiseringsuppgifter och inom några dagar efter certifikatuppdatering eller tillägg av nya autentiseringsuppgifter, observerade ovanliga aktiviteter eller hög volymanvändning i Exchange-arbetsbelastningen via Graph API med maskininlärningsalgoritmen.

TP eller FP?

• TP: Om du kan bekräfta att ovanlig aktivitet/hög volymanvändning för Exchange-arbetsbelastningen utfördes av LOB-appen via Graph API

  Rekommendera åtgärder: Inaktivera appen tillfälligt och återställ lösenordet och aktivera sedan appen igen.

• FP: Om du kan bekräfta att inga ovanliga aktiviteter har utförts av LOB-appen eller appen är avsett att göra ovanligt stora mängder grafanrop.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av den här appen.
2. Granska de omfång som beviljats av appen.
3. Granska användaraktivitet förknippat med appen.

App med misstänkt OAuth-omfattning flaggades som högrisk av maskininlärningsmodellen, anropade grafanrop för att läsa e-post och skapade inkorgsregel

Allvarlighetsgrad: Medel

MITRE-ID: T1137.005, T1114

Den här identifieringen identifierar en OAuth-app som har flaggats för hög risk av Machine Learning-modellen som samtyckt till misstänkta omfattningar, skapar en misstänkt inkorgsregel och sedan använder användarnas e-postmappar och meddelanden via Graph API. Inkorgsregler, till exempel vidarebefordran av alla eller specifika e-postmeddelanden till ett annat e-postkonto, och Graph-anrop för att komma åt e-postmeddelanden och skicka till ett annat e-postkonto, kan vara ett försök att exfiltrera information från din organisation.

TP eller FP?

• TP: Om du kan bekräfta att inkorgsregeln har skapats av en OAuth-app från tredje part med misstänkta omfång som levereras från en okänd källa, visas en sann positiv identifiering.

  Rekommenderad åtgärd: Inaktivera och ta bort appen, återställ lösenordet och ta bort inkorgsregeln.

Följ självstudien om hur du återställer ett lösenord med Microsoft Entra ID och följer självstudien om hur du tar bort inkorgsregeln.

• FP: Om du kan bekräfta att appen har skapat en inkorgsregel till ett nytt eller personligt externt e-postkonto av legitima skäl.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av appen.
2. Granska de omfång som beviljats av appen.
3. Granska inkorgens regelåtgärd och villkor som skapats av appen.

App med misstänkt OAuth-omfång gjorde grafanrop för att läsa e-post och skapad inkorgsregel

Allvarlighetsgrad: Medel

MITRE-ID:n: T1137.005, T1114

Den här identifieringen identifierar en OAuth-app som har samtyckt till misstänkta omfång, skapar en misstänkt inkorgsregel och sedan använder användarnas e-postmappar och meddelanden via Graph API. Inkorgsregler, till exempel vidarebefordran av alla eller specifika e-postmeddelanden till ett annat e-postkonto, och Graph-anrop för att komma åt e-postmeddelanden och skicka till ett annat e-postkonto, kan vara ett försök att exfiltrera information från din organisation.

TP eller FP?

• TP: Om du kan bekräfta att inkorgsregeln har skapats av en OAuth-app från tredje part med misstänkta omfång som levereras från en okänd källa, visas en sann positiv identifiering.

  Rekommenderad åtgärd: Inaktivera och ta bort appen, återställ lösenordet och ta bort inkorgsregeln.

  Följ självstudien om hur du återställer ett lösenord med Microsoft Entra ID och följer självstudien om hur du tar bort inkorgsregeln.

• FP: Om du kan bekräfta att appen har skapat en inkorgsregel till ett nytt eller personligt externt e-postkonto av legitima skäl.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av appen.
2. Granska de omfång som beviljats av appen.
3. Granska inkorgens regelåtgärd och villkor som skapats av appen.

App nås från ovanlig plats efter certifikatuppdatering

Allvarlighetsgrad: Låg

MITRE-ID: T1098

Den här identifieringen utlöser en avisering när en verksamhetsspecifik app (LOB) uppdaterade certifikatet/hemligheten och inom några dagar efter certifikatuppdateringen nås appen från en ovanlig plats som inte har setts nyligen eller aldrig använts tidigare.

TP eller FP?

• TP: Om du bekräftat att en verksamhetsspecifik app använts från ovanlig plats och utförde ovanliga aktiviteter via Graph API.

  Rekommendera åtgärder: Inaktivera appen tillfälligt och återställ lösenordet och aktivera sedan appen igen.

• TP: Om du kan bekräfta att LOB-appen använts från en ovanlig plats för legitima ändamål och inga ovanliga aktiviteter utfördes.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska alla aktiviteter utförda av appen.
2. Granska de omfång som beviljats av appen.
3. Granska användaraktivitet förknippat med appen.

App använts från ovanlig plats och gjort ovanliga Graph-samtal efter certifikatuppdatering

Allvarlighetsgrad: Medel

MITRE-ID: T1098

Den här identifieringen utlöser en avisering när en verksamhetsspecifik app (LOB) uppdaterade certifikatet/hemligheten och inom några dagar efter certifikatuppdateringen nås appen från en ovanlig plats som inte har setts nyligen eller aldrig använts tidigare och observerade ovanliga aktiviteter eller användning via Graph API med hjälp av Maskininlärningsalgoritm.

TP eller FP?

• TP: Om du bekräfta att ovanlig aktivitet och använding utförs av den verksamhetsspecifika appen via Graph API från en ovanlig plats..

  Rekommendera åtgärder: Inaktivera appen tillfälligt och återställ lösenordet och aktivera sedan appen igen.

• TP: Om du kan bekräfta att LOB-appen använts från en ovanlig plats för legitima ändamål och inga ovanliga aktiviteter utfördes.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska alla aktiviteter utförda av appen.
2. Granska de omfång som beviljats av appen.
3. Granska användaraktivitet förknippat med appen.

Den app som skapats nyligen har en stor mängd återkallade medgivanden

Allvarlighetsgrad: Medel

MITRE-ID: T1566, T1098

Flera användare har återkallat sitt medgivande till den nyligen skapade verksamhetsspecifika appen (LOB) eller en tredjepartsapp. Den här appen kan ha lockat användare att ge det medgivande oavsiktligt.

TP eller FP?

• TP: Om du kan bekräfta att OAuth-appen levereras från en okänd källa och appbeteendet är misstänkt. 

  Rekommenderad åtgärd: Återkalla medgivanden som beviljats till appen och inaktivera appen. 

• FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen och att inga ovanliga aktiviteter utfördes av appen.

  Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av appen.
2. Om du misstänker att en app är misstänkt rekommenderar vi att du undersöker appens namn och svarsdomän i olika appbutiker. Fokuserar du på följande typer av appar när appbutiker kontrolleras:
   • Appar som har skapats nyligen.
   • Appar med ett ovanligt visningsnamn
   • Appar med en misstänkt svarsdomäner
3. Om du fortfarande misstänker att en app är misstänkt kan du söka efter appens visningsnamn och svarsdomän.

Appmetadata som är associerade med känd nätfiskekampanj

Allvarlighetsgrad: Medel

Den här identifieringen genererar aviseringar för OAuth-appar som inte kommer från Microsoft med metadata, till exempel namn, URL eller utgivare, som tidigare har observerats i appar som är associerade med en nätfiskekampanj. Dessa appar kan ingå i samma kampanj och kan vara inblandade i exfiltrering av känslig information.

TP eller FP?

• TP: Om du kan bekräfta att OAuth-appen levereras från en okänd källa och utför ovanliga aktiviteter.

  Rekommenderad åtgärd:

  • Undersök appens registreringsinformation om appstyrning och besök Microsoft Entra ID för mer information.
  • Kontakta de användare eller administratörer som beviljat medgivande eller behörighet till appen. Kontrollera om ändringarna var avsiktliga.
  • Sök i tabellen Avancerad jakt i CloudAppEvents för att förstå appaktiviteten och avgöra om det observerade beteendet förväntas.
  • Kontrollera om appen är viktig för din organisation innan du överväger några inneslutningsåtgärder. Inaktivera appen med hjälp av appstyrning eller Microsoft Entra ID för att förhindra att den kommer åt resurser. Befintliga appstyrningsprinciper kan redan ha inaktiverat appen.

• FP: Om du kan bekräfta att inga ovanliga aktiviteter utfördes av appen och att appen har en legitim affärsanvändning i organisationen.

  Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av appen.
2. Granska omfången som beviljats till appen.
3. Granska användaraktiviteten som är associerad med appen.

Appmetadata som är associerade med tidigare flaggade misstänkta appar

Allvarlighetsgrad: Medel

Den här identifieringen genererar aviseringar för OAuth-appar som inte kommer från Microsoft med metadata, till exempel namn, URL eller utgivare, som tidigare har observerats i appar som flaggats av appstyrning på grund av misstänkt aktivitet. Den här appen kan vara en del av en attackkampanj och kan vara inblandad i exfiltrering av känslig information.

TP eller FP?

• TP: Om du kan bekräfta att OAuth-appen levereras från en okänd källa och utför ovanliga aktiviteter.

  Rekommenderad åtgärd:

  • Undersök appens registreringsinformation om appstyrning och besök Microsoft Entra ID för mer information.
  • Kontakta de användare eller administratörer som beviljat medgivande eller behörighet till appen. Kontrollera om ändringarna var avsiktliga.
  • Sök i tabellen Avancerad jakt i CloudAppEvents för att förstå appaktiviteten och avgöra om det observerade beteendet förväntas.
  • Kontrollera om appen är viktig för din organisation innan du överväger några inneslutningsåtgärder. Inaktivera appen med hjälp av appstyrning eller Microsoft Entra ID för att förhindra att den kommer åt resurser. Befintliga appstyrningsprinciper kan redan ha inaktiverat appen.

• FP: Om du kan bekräfta att inga ovanliga aktiviteter utfördes av appen och att appen har en legitim affärsanvändning i organisationen.

  Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av appen.
2. Granska omfången som beviljats till appen.
3. Granska användaraktiviteten som är associerad med appen.

Misstänkt e-postaktivitet för OAuth-appen via Graph API

Allvarlighetsgrad: Hög

Den här identifieringen genererar aviseringar för OAuth-appar med flera klientorganisationer, registrerade av användare med en högriskinloggning, som gjorde anrop till Microsoft Graph API för att utföra misstänkta e-postaktiviteter inom en kort tidsperiod.

Den här identifieringen verifierar om API-anrop gjordes för att skapa postlåderegler, skapa svarsmeddelande, vidarebefordra e-post, svara eller nya e-postmeddelanden som skickas. Appar som utlöser den här aviseringen kan aktivt skicka skräppost eller skadliga e-postmeddelanden till andra mål eller exfiltratera konfidentiella data och rensa spår för att undvika identifiering.

TP eller FP?

• TP: Om du kan bekräfta att appens skapande- och medgivandebegäran till appen har levererats från en okänd eller extern källa och appen inte har någon legitim affärsanvändning i organisationen, anges en sann positiv identifiering.

  Rekommenderad åtgärd:

  • Kontakta användare och administratörer som har gett sitt medgivande till den här appen för att bekräfta att detta var avsiktligt och att de överdrivna privilegierna är normala.

  • Undersök appaktiviteten och kontrollera berörda konton för misstänkt aktivitet.

  • Baserat på din undersökning inaktiverar du appen och pausar och återställer lösenord för alla berörda konton och tar bort inkorgsregeln.

  • Klassificera aviseringen som en sann positiv identifiering.

• FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen anges en falsk positiv identifiering.

  Rekommenderad åtgärd:

  • Klassificera aviseringen som en falsk positiv identifiering och överväg att dela feedback baserat på din undersökning av aviseringen.

  • Förstå omfattningen av överträdelsen:

    Granska medgivande till programmet som görs av användare och administratörer. Undersök alla aktiviteter som utförs av appen, särskilt åtkomst till postlådan för associerade användare och administratörskonton. Om du misstänker att appen är misstänkt kan du inaktivera programmet och rotera autentiseringsuppgifterna för alla berörda konton.

Misstänkt E-postaktivitet för OAuth-appen via EWS API

Allvarlighetsgrad: Hög

Den här identifieringen genererar aviseringar för OAuth-appar med flera klientorganisationer, registrerade av användare med en högriskinloggning, som anropade API:et för Microsoft Exchange Web Services (EWS) för att utföra misstänkta e-postaktiviteter inom en kort tidsperiod.

Den här identifieringen verifierar om API-anropen gjordes för att uppdatera inkorgsregler, flytta objekt, ta bort e-post, ta bort mapp eller ta bort bifogad fil. Appar som utlöser den här aviseringen kan aktivt exfiltratera eller ta bort konfidentiella data och rensa spår för att undvika identifiering.

TP eller FP?

• TP: Om du kan bekräfta att appens skapande- och medgivandebegäran till appen har levererats från en okänd eller extern källa och appen inte har någon legitim affärsanvändning i organisationen, anges en sann positiv identifiering.

  Rekommenderad åtgärd:

  • Kontakta användare och administratörer som har gett sitt medgivande till den här appen för att bekräfta att detta var avsiktligt och att de överdrivna privilegierna är normala.

  • Undersök appaktiviteten och kontrollera berörda konton för misstänkt aktivitet.

  • Baserat på din undersökning inaktiverar du appen och pausar och återställer lösenord för alla berörda konton och tar bort inkorgsregeln.

  • Klassificera aviseringen som en sann positiv identifiering.

• FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen anges en falsk positiv identifiering.

  Rekommenderad åtgärd:

  • Klassificera aviseringen som en falsk positiv identifiering och överväg att dela feedback baserat på din undersökning av aviseringen.

  • Förstå omfattningen av överträdelsen:

    Granska medgivande till programmet som görs av användare och administratörer. Undersök alla aktiviteter som utförs av appen, särskilt åtkomst till postlådan för associerade användare och administratörskonton. Om du misstänker att appen är misstänkt kan du inaktivera programmet och rotera autentiseringsuppgifterna för alla berörda konton.

Eskaleringsaviseringar för privilegier

OAuth-appen med misstänkta metadata har Exchange-behörighet

Allvarlighetsgrad: Medel

MITRE-ID: T1078

Den här aviseringen utlöses när en branschspecifik app med misstänkta metadata har behörighet att hantera behörighet via Exchange.

TP eller FP?

• TP: Om du kan bekräfta att OAuth-appen levereras från en okänd källa och har misstänkta metadataegenskaper visas en sann positiv identifiering.

Rekommenderad åtgärd: Återkalla medgivanden som beviljats till appen och inaktivera appen.

FP: Om du efter undersökningen kan bekräfta att appen har en legitim företagsanvändning i organisationen.

Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av appen.
2. Granska de omfång som beviljats av appen.
3. Granska användaraktiviteten som är associerad med appen.

Aviseringar om försvarsundandragande

App som personifierar en Microsoft-logotyp

Allvarlighetsgrad: Medel

En molnapp som inte kommer från Microsoft använder en logotyp som hittades av en maskininlärningsalgoritm som liknar en Microsoft-logotyp. Detta kan vara ett försök att personifiera Microsofts programvaruprodukter och verka legitimt.

Obs!

Innehavaradministratörer måste ge sitt medgivande via popup-fönster för att nödvändiga data ska skickas utanför den aktuella efterlevnadsgränsen och välja partnerteam inom Microsoft för att aktivera den här hotidentifieringen för verksamhetsspecifika appar.

TP eller FP?

• TP: Om du kan bekräfta att applogotypen är en imitation av en Microsoft-logotyp och appbeteendet är misstänkt. 

  Rekommenderad åtgärd: Återkalla medgivanden som beviljats till appen och inaktivera appen.

• FP: Om du kan bekräfta att applogotypen inte är en imitation av en Microsoft-logotyp eller om inga ovanliga aktiviteter utfördes av appen. 

  Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av appen.
2. Granska omfången som beviljats till appen.
3. Granska användaraktiviteten som är associerad med appen.

Appen är associerad med en typosquatted-domän

Allvarlighetsgrad: Medel

Den här identifieringen genererar aviseringar för OAuth-appar som inte kommer från Microsoft med utgivardomäner eller omdirigerings-URL:er som innehåller skrivskyddade versioner av Microsofts varumärken. Typokvatting används vanligtvis för att samla in trafik till webbplatser när användare oavsiktligt skriver fel URL:er, men de kan också användas för att personifiera populära programvaruprodukter och tjänster.

TP eller FP?

• TP: Om du kan bekräfta att appens utgivardomän eller omdirigerings-URL är skrivskyddad och inte relaterar till appens sanna identitet.

  Rekommenderad åtgärd:

  • Undersök appens registreringsinformation om appstyrning och besök Microsoft Entra ID för mer information.
  • Kontrollera om det finns andra tecken på förfalskning eller personifiering i appen och eventuell misstänkt aktivitet.
  • Kontrollera om appen är viktig för din organisation innan du överväger några inneslutningsåtgärder. Inaktivera appen med hjälp av appstyrning för att förhindra att den kommer åt resurser. Befintliga appstyrningsprinciper kan redan ha inaktiverat appen.

• FP: Om du kan bekräfta att appens utgivardomän och omdirigerings-URL är legitima. 

  Rekommenderad åtgärd: Klassificera aviseringen som en falsk positiv identifiering och överväg att dela feedback baserat på din undersökning av aviseringen.

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av appen.
2. Granska omfången som beviljats till appen.
3. Granska användaraktiviteten som är associerad med appen.

Åtkomst till autentiseringsuppgifter

I det här avsnittet beskrivs aviseringar som anger att en obehörig aktör kan försöka läsa känsliga autentiseringsuppgifter och består av tekniker för att stjäla autentiseringsuppgifter som kontonamn, hemligheter, token, certifikat och lösenord i din organisation.

Programmet initierar flera misslyckade KeyVault-läsaktiviteter utan att lyckas

Allvarlighetsgrad: Medel

MITRE-ID: T1078.004

Den här identifieringen identifierar ett program i din klientorganisation som observerades göra flera läsåtgärdsanrop till KeyVault med hjälp av Azure Resource Manager-API:et inom ett kort intervall, med endast fel och ingen lyckad läsaktivitet slutfördes.

TP eller FP?

• TP: Om appen är okänd eller inte används är den angivna aktiviteten potentiellt misstänkt. När du har verifierat att Azure-resursen används och verifierat appanvändningen i klientorganisationen kan den angivna aktiviteten kräva att appen inaktiveras. Detta är vanligtvis bevis på misstänkt uppräkningsaktivitet mot KeyVault-resursen för att få åtkomst till autentiseringsuppgifter för lateral förflyttning eller behörighetseskalering.

  Rekommenderade åtgärder: Granska de Azure-resurser som används eller skapas av programmet och eventuella nyligen gjorda ändringar i programmet. Baserat på din undersökning väljer du om du vill förbjuda åtkomst till den här appen. Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst.

• FP: Om du efter undersökningen kan bekräfta att appen har legitim affärsanvändning i organisationen.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska appens åtkomst och aktivitet.
2. Granska alla aktiviteter som gjorts av appen sedan den skapades.
3. Granska omfången som beviljats av appen i Graph API och den roll som den har beviljats i din prenumeration.
4. Granska alla användare som kan ha använt appen före aktiviteten.

Identifieringsaviseringar

Uppräkning av app utförd enhet

Allvarlighetsgrad: Medel

MITRE-ID: T1087

Den här identifieringen identifierar en OAuth-app som identifierades av maskininlärningsmodellen som utför uppräkning på OneDrive-filer med hjälp av Graph API.

TP eller FP?

• TP: Om du kan bekräfta att ovanliga aktiviteter/användning till OneDrive utfördes av LOB-appen via Graph API.

  Rekommenderad åtgärd: Inaktivera och ta bort appen och återställ lösenordet.

• FP: Om du kan bekräfta att inga ovanliga aktiviteter har utförts av appen.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av den här appen.
2. Granska de omfång som beviljats av appen.
3. Granska användaraktivitet förknippat med appen.

Misstänkta uppräkningsaktiviteter som utförs med Microsoft Graph PowerShell

Allvarlighetsgrad: Medel

MITRE-ID: T1087

Den här identifieringen identifierar en stor mängd misstänkta uppräkningsaktiviteter som utförs inom ett kort tidsintervall via ett Microsoft Graph PowerShell-program .

TP eller FP?

• TP: Om du kan bekräfta att misstänkta/ovanliga uppräkningsaktiviteter utfördes av Microsoft Graph PowerShell-programmet.

  Rekommenderad åtgärd: Inaktivera och ta bort programmet och återställ lösenordet.

• FP: Om du kan bekräfta att inga ovanliga aktiviteter utfördes av programmet.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av det här programmet.
2. Granska användaraktiviteten som är kopplad till det här programmet.

Nyligen skapade program för flera klientorganisationer räknar upp användarinformation ofta

Allvarlighetsgrad: Medel

MITRE-ID: T1087

Den här aviseringen hittar OAuth-appar som nyligen registrerats i en relativt ny utgivare med behörighet att ändra postlådeinställningar och få åtkomst till e-post. Den verifierar om appen har gjort flera anrop till Microsoft Graph API begär användarkataloginformation. Appar som utlöser den här aviseringen kan locka användare att bevilja medgivande så att de kan komma åt organisationsdata.

TP eller FP?

• TP: Om du kan bekräfta att begäran om medgivande till appen har levererats från en okänd eller extern källa och appen inte har någon legitim affärsanvändning i organisationen anges en sann positiv identifiering.

  Rekommenderad åtgärd:

  • Kontakta användare och administratörer som har gett sitt medgivande till den här appen för att bekräfta att detta var avsiktligt och att de överdrivna privilegierna är normala.
  • Undersök appaktiviteten och kontrollera berörda konton för misstänkt aktivitet.
  • Baserat på din undersökning inaktiverar du appen och pausar och återställer lösenord för alla berörda konton.
  • Klassificera aviseringen som en sann positiv identifiering.

• FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen anges en falsk positiv identifiering.

  Rekommenderad åtgärd: Klassificera aviseringen som en falsk positiv identifiering och överväg att dela feedback baserat på din undersökning av aviseringen.

Förstå omfattningen av intrånget

Granska medgivande till programmet som görs av användare och administratörer. Undersök alla aktiviteter som utförs av appen, särskilt uppräkning av användarkataloginformation. Om du misstänker att appen är misstänkt kan du inaktivera programmet och rotera autentiseringsuppgifterna för alla berörda konton.

Exfiltreringsaviseringar

I det här avsnittet beskrivs aviseringar som anger att en illvillig aktör kan försöka stjäla data av intresse för sitt mål från din organisation.

OAuth-app med ovanlig användaragent

Allvarlighetsgrad: Låg

MITRE-ID: T1567

Den här identifieringen identifierar ett OAuth-program som använder en ovanlig användaragent för att komma åt Graph API.

TP eller FP?

• TP: Om du kan bekräfta att OAuth-appen nyligen har börjat använda en ny användaragent som inte användes tidigare och den här ändringen är oväntad visas en sann positiv identifiering.

  Rekommenderade åtgärder: Granska de användaragenter som används och eventuella nyligen gjorda ändringar i programmet. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen. Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst.

• FP: Om du efter undersökningen kan bekräfta att appen har en legitim företagsanvändning i organisationen.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska de appar som har skapats nyligen och de användaragenter som används.
2. Granska alla aktiviteter som utförs av appen. 
3. Granska de omfång som beviljats av appen. 

App med en ovanlig användaragent som har åtkomst till e-postdata via Exchange Web Services

Allvarlighetsgrad: Hög

MITRE-ID: T1114, T1567

Den här identifieringen identifierar en OAuth-app som använde en ovanlig användaragent för att komma åt e-postdata med hjälp av Exchange Web Services API.

TP eller FP?

• TP: Om du kan bekräfta att OAuth-programmet inte förväntas ändra användaragenten som används för att göra begäranden till Exchange Web Services-API:et anges en sann positiv identifiering.

  Rekommenderade åtgärder: Klassificera aviseringen som en TP. Om appen är skadlig kan du, baserat på undersökningen, återkalla medgivanden och inaktivera appen i klientorganisationen. Om det är en komprometterad app kan du återkalla medgivandena, tillfälligt inaktivera appen, granska behörigheterna, återställa hemligheten och certifikatet och sedan återaktivera appen.

• FP: Om du efter undersökningen kan bekräfta att användaragenten som används av programmet har en legitim affärsanvändning i organisationen.

  Rekommenderad åtgärd: Klassificera aviseringen som en FP. Överväg också att dela feedback baserat på din undersökning av aviseringen.

Förstå omfattningen av intrånget

1. Granska om programmet har skapats nyligen eller om det har gjorts ändringar nyligen.
2. Granska de behörigheter som beviljats till programmet och användare som har samtyckt till programmet.
3. Granska alla aktiviteter som utförs av appen.

Laterala förflyttningsaviseringar

Det här avsnittet beskriver aviseringar som anger att en illvillig aktör kan försöka flytta i taget inom olika resurser, samtidigt som du pivoterar genom flera system och konton för att få mer kontroll i din organisation.

Vilande OAuth-app som främst använder MS Graph eller Exchange Web Services har nyligen visat sig komma åt ARM-arbetsbelastningar

Allvarlighetsgrad: Medel

MITRE-ID: T1078.004

Den här identifieringen identifierar ett program i din klientorganisation som efter en lång period av vilande aktivitet har börjat komma åt Azure Resource Manager API för första gången. Tidigare hade det här programmet främst använda MS Graph eller Exchange Web Service.

TP eller FP?

• TP: Om appen är okänd eller inte används är den angivna aktiviteten potentiellt misstänkt och kan kräva att appen inaktiveras efter att ha verifierat den Azure-resurs som används och verifierat appanvändningen i klientorganisationen.

  Rekommenderade åtgärder:

  1. Granska de Azure-resurser som används eller skapas av programmet och eventuella ändringar som gjorts i programmet.
  2. Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst.
  3. Baserat på din undersökning väljer du om du vill förbjuda åtkomst till den här appen.

• FP: Om du efter undersökningen kan bekräfta att appen har legitim affärsanvändning i organisationen.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska appens åtkomst och aktivitet.
2. Granska alla aktiviteter som gjorts av appen sedan den skapades.
3. Granska omfången som beviljats av appen i Graph API och den roll som den har beviljats i din prenumeration.
4. Granska alla användare som kan ha använt appen före aktiviteten.

Samlingsaviseringar

I det här avsnittet beskrivs aviseringar som anger att en illasinnad aktör försöker samla in data av intresse för sitt mål från din organisation.

Appen gjorde ovanliga e-postsökningsaktiviteter

Allvarlighetsgrad: Medel

MITRE-ID: T1114

Den här identifieringen identifierar när en app samtyckte till misstänkt OAuth-omfång och gjorde en stor mängd ovanliga e-postsökningsaktiviteter, till exempel e-postsökning efter specifikt innehåll via Graph API. Detta kan tyda på ett intrångsförsök i organisationen, till exempel att angripare försöker söka efter och läsa specifik e-post från din organisation via Graph API. 

TP eller FP?

• TP: Om du kan bekräfta en stor mängd ovanliga e-postsökningar och läsaktiviteter via Graph API av en OAuth-app med ett misstänkt OAuth-omfång och att appen levereras från okänd källa.

  Rekommenderade åtgärder: Inaktivera och ta bort appen, återställ lösenordet och ta bort inkorgsregeln. 

• FP: Om du kan bekräfta att appen har utfört en stor mängd ovanliga e-postsökningar och läst igenom Graph API av legitima skäl.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska de omfång som beviljats av appen.
2. Granska alla aktiviteter som utförs av appen. 

Appen gjorde avvikande Graph-anrop för att läsa e-post

Allvarlighetsgrad: Medel

MITRE-ID: T1114

Den här identifieringen identifierar när LOB(Line of Business) OAuth-appen får åtkomst till en ovanlig och stor mängd av användarens e-postmappar och meddelanden via Graph API, vilket kan tyda på ett intrångsförsök i organisationen.

TP eller FP?

• TP: Om du kan bekräfta att den ovanliga grafaktiviteten utfördes av LOB (Line of Business) OAuth-appen anges en sann positiv identifiering.

  Rekommenderade åtgärder: Inaktivera appen tillfälligt och återställ lösenordet och aktivera sedan appen igen. Följ självstudien om hur du återställer ett lösenord med hjälp av Microsoft Entra ID.

• FP: Om du kan bekräfta att appen är avsedd att utföra ovanligt stora mängder grafanrop.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska aktivitetsloggen för händelser som utförs av den här appen för att få en bättre förståelse för andra Graph-aktiviteter för att läsa e-postmeddelanden och försöka samla in känslig e-postinformation för användare.
2. Övervaka om oväntade autentiseringsuppgifter läggs till i appen.

App skapar inkorgsregel och gör ovanliga sökaktiviteter i epost

Allvarlighetsgrad: Medel

MITRE-ID: T1137, T1114

Denna upptäckt identifierar app som godkänts för hög privilegier, skapar misstänkt inkorgsregel och gör ovanliga e -postsökningsaktiviteter i användarnas e -postmappar via Graph API. Detta kan indikera ett försök till intrång i din organisation, till exempel rivaler som försöker söka och samla in specifika e -postmeddelanden från din organisation via Graph API.

TP eller FP?

• TP: Om du kan bekräfta någon specifik e-postsökning och insamling som görs via Graph API av en OAuth-app med högt privilegium och appen levereras från okänd källa.

  Rekommenderad åtgärd: Inaktivera och ta bort appen, återställ lösenordet och ta bort inkorgsregeln.

• FP: Om du kan bekräfta att appen har utfört specifik e -postsökning och insamling via Graph API och skapat en inkorgsregel till ett nytt eller personligt externt e -postkonto av legitima skäl.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av appen.
2. Granska de omfång som beviljats av appen.
3. Granska inkorgens regelåtgärd och villkor som skapats av appen.
4. Granska sökaktiviteter i epost som utförts av appen.

Appen har gjort OneDrive-/SharePoint-sökaktiviteter och skapat inkorgsregel

Allvarlighetsgrad: Medel

MITRE-ID: T1137, T1213

Den här identifieringen identifierar att en app har samtyckt till omfång med hög behörighet, skapat en misstänkt inkorgsregel och gjort ovanliga SharePoint- eller OneDrive-sökaktiviteter via Graph API. Detta kan tyda på ett intrångsförsök i organisationen, till exempel att angripare försöker söka efter och samla in specifika data från SharePoint eller OneDrive från din organisation via Graph API. 

TP eller FP?

• TP: Om du kan bekräfta specifika data från SharePoint- eller OneDrive-sökning och insamling som görs via Graph API av en OAuth-app med hög behörighet och appen levereras från okänd källa. 

  Rekommenderad åtgärd: Inaktivera och ta bort appen, återställ lösenordet och ta bort inkorgsregeln. 

• FP: Om du kan bekräfta att appen har utfört specifika data från SharePoint eller OneDrive-sökning och insamling via Graph API av en OAuth-app och skapat en inkorgsregel till ett nytt eller personligt externt e-postkonto av legitima skäl. 

  Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av appen. 
2. Granska de omfång som beviljats av appen. 
3. Granska inkorgens regelåtgärd och villkor som skapats av appen. 
4. Granska alla SharePoint- eller OneDrive-sökaktiviteter som utförs av appen.

Appen har gjort många sökningar och redigeringar i OneDrive

Allvarlighetsgrad: Medel

MITRE-ID: T1137, T1213

Den här identifieringen identifierar OAuth-appar med behörigheter med hög behörighet som utför ett stort antal sökningar och redigeringar i OneDrive med hjälp av Graph API.

TP eller FP?

• TP: Om du kan bekräfta att en hög användning av OneDrive-arbetsbelastningen via Graph API inte förväntas från det här OAuth-programmet med hög behörighet att läsa och skriva till OneDrive anges en sann positiv identifiering.

  Rekommenderad åtgärd: Baserat på undersökningen kan du återkalla medgivanden och inaktivera programmet i klientorganisationen om programmet är skadligt. Om det är ett komprometterat program kan du återkalla medgivandena, tillfälligt inaktivera appen, granska de behörigheter som krävs, återställa lösenordet och sedan återaktivera appen.

• FP: Om du efter undersökningen kan bekräfta att appen har en legitim företagsanvändning i organisationen.

  Rekommenderad åtgärd: Lös aviseringen och rapportera dina resultat.

Förstå omfattningen av intrånget

1. Kontrollera om appen kommer från en tillförlitlig källa.
2. Kontrollera om programmet har skapats nyligen eller om de senaste ändringarna har gjorts i programmet.
3. Granska de behörigheter som beviljats till programmet och användare som har samtyckt till programmet.
4. Undersök alla andra appaktiviteter.

Appen har gjort en stor volym av viktig e-postläsning och har skapat en inkorgsregel

Allvarlighetsgrad: Medel

MITRE-ID: T1137, T1114

Den här identifieringen identifierar att en app har godkänt ett sökomfång med hög behörighet, skapat en misstänkt inkorgsregel och har gjort en stor volym av viktig e-postläsningsaktiviteter via Graph API. Detta kan tyda på ett intrångsförsök i organisationen, till exempel att angripare försöker läsa e-post med hög prioritet från din organisation via Graph API. 

TP eller FP?

• TP: Om du kan bekräfta att stora mängder viktig e-post läse igenom Graph API av en OAuth-app med hög behörighet och appen levereras från okänd källa. 

  Rekommenderad åtgärd: Inaktivera och ta bort appen, återställ lösenordet och ta bort inkorgsregeln. 

• FP: Om du kan bekräfta att appen har utfört en stor mängd viktig e-postläsning via Graph API och skapat en inkorgsregel till ett nytt eller personligt externt e-postkonto av legitima skäl. 

  Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av appen. 
2. Granska de omfång som beviljats av appen. 
3. Granska inkorgens regelåtgärd och villkor som skapats av appen. 
4. Granska e-postläsningsaktivitet med hög prioritet som utförts av appen.

Privilegierad app utförde ovanliga aktiviteter i Teams

Allvarlighetsgrad: Medel

Den här identifieringen identifierar appar som godkänts för OAuth-omfång med hög behörighet, som har åtkomst till Microsoft Teams och som har gjort en ovanlig mängd läs- eller efterchattmeddelandeaktiviteter via Graph API. Detta kan tyda på ett intrångsförsök i organisationen, till exempel att angripare försöker samla in information från din organisation via Graph API.

TP eller FP?

• TP: Om du kan bekräfta att ovanliga chattmeddelandeaktiviteter i Microsoft Teams via Graph API av en OAuth-app med hög behörighet och appen levereras från en okänd källa.

  Rekommenderad åtgärd: Inaktivera och ta bort appen och återställ lösenordet

• FP: Om du kan bekräfta att de ovanliga aktiviteter som utfördes i Microsoft Teams via Graph API var av legitima skäl.

  Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av intrånget

1. Granska de omfång som beviljats av appen.
2. Granska alla aktiviteter som utförs av appen.
3. Granska användaraktiviteten som är associerad med appen.

Avvikande OneDrive-aktivitet per app som precis har uppdaterat eller lagt till nya autentiseringsuppgifter

Allvarlighetsgrad: Medel

MITRE-ID: T1098.001, T1213

En molnapp från andra leverantörer än Microsoft gjorde avvikande Graph API anrop till OneDrive, inklusive dataanvändning med stora volymer. Dessa ovanliga API-anrop upptäcktes av maskininlärning inom några dagar efter att appen lagt till nya eller uppdaterade befintliga certifikat/hemligheter. Den här appen kan vara involverad i dataexfiltrering eller andra försök att komma åt och hämta känslig information.

TP eller FP?

• TP: Om du kan bekräfta att ovanliga aktiviteter, till exempel hög volymanvändning av OneDrive-arbetsbelastningar, utfördes av appen via Graph API.

  Rekommenderad åtgärd: Inaktivera appen tillfälligt, återställ lösenordet och aktivera sedan appen igen.

• FP: Om du kan bekräfta att inga ovanliga aktiviteter utfördes av appen eller att appen är avsedd att göra ovanligt stora mängder Graph-anrop.

  Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av appen.
2. Granska de omfång som beviljats av appen.
3. Granska användaraktiviteten som är associerad med appen.

Avvikande SharePoint-aktivitet per app som precis har uppdaterat eller lagt till nya autentiseringsuppgifter

Allvarlighetsgrad: Medel

MITRE-ID: T1098.001, T1213.002

En molnapp från andra leverantörer än Microsoft gjorde avvikande Graph API-anrop till SharePoint, inklusive dataanvändning med stora volymer. Dessa ovanliga API-anrop upptäcktes av maskininlärning inom några dagar efter att appen lagt till nya eller uppdaterade befintliga certifikat/hemligheter. Den här appen kan vara involverad i dataexfiltrering eller andra försök att komma åt och hämta känslig information.

TP eller FP?

• TP: Om du kan bekräfta att ovanliga aktiviteter, till exempel hög volymanvändning av SharePoint-arbetsbelastningar, utfördes av appen via Graph API.

  Rekommenderad åtgärd: Inaktivera appen tillfälligt, återställ lösenordet och aktivera sedan appen igen.

• FP: Om du kan bekräfta att inga ovanliga aktiviteter utfördes av appen eller att appen är avsedd att göra ovanligt stora mängder Graph-anrop.

  Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av appen.
2. Granska de omfång som beviljats av appen.
3. Granska användaraktiviteten som är associerad med appen.

Appmetadata som är associerade med misstänkt e-postrelaterad aktivitet

Allvarlighetsgrad: Medel

MITRE-ID: T1114

Den här identifieringen genererar aviseringar för OAuth-appar som inte kommer från Microsoft med metadata, till exempel namn, URL eller utgivare, som tidigare har observerats i appar med misstänkt e-postrelaterad aktivitet. Den här appen kan vara en del av en attackkampanj och kan vara inblandad i exfiltrering av känslig information.

TP eller FP?

• TP: Om du kan bekräfta att appen har skapat postlåderegler eller gjort ett stort antal ovanliga Graph API anrop till Exchange-arbetsbelastningen.

  Rekommenderad åtgärd:

  • Undersök appens registreringsinformation om appstyrning och besök Microsoft Entra ID för mer information.
  • Kontakta de användare eller administratörer som beviljat medgivande eller behörighet till appen. Kontrollera om ändringarna var avsiktliga.
  • Sök i tabellen CloudAppEvents Avancerad jakt för att förstå appaktivitet och identifiera data som används av appen. Kontrollera berörda postlådor och granska meddelanden som kan ha lästs eller vidarebefordrats av själva appen eller av de regler som den har skapat.
  • Kontrollera om appen är viktig för din organisation innan du överväger några inneslutningsåtgärder. Inaktivera appen med hjälp av appstyrning eller Microsoft Entra ID för att förhindra att den kommer åt resurser. Befintliga appstyrningsprinciper kan redan ha inaktiverat appen.

• FP: Om du kan bekräfta att inga ovanliga aktiviteter utfördes av appen och att appen har en legitim affärsanvändning i organisationen.

  Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av appen.
2. Granska omfången som beviljats till appen.
3. Granska användaraktiviteten som är associerad med appen.

App med EWS-programbehörigheter som har åtkomst till flera e-postmeddelanden

Allvarlighetsgrad: Medel

MITRE-ID: T1114

Den här identifieringen genererar aviseringar för molnappar med flera klientorganisationer med EWS-programbehörigheter som visar en betydande ökning av anrop till Exchange Web Services-API:et som är specifika för e-postuppräkning och insamling. Den här appen kan vara involverad i åtkomst till och hämtning av känsliga e-postdata.

TP eller FP?

• TP: Om du kan bekräfta att appen har använt känsliga e-postdata eller gjort ett stort antal ovanliga anrop till Exchange-arbetsbelastningen.

  Rekommenderad åtgärd:

  • Undersök appens registreringsinformation om appstyrning och besök Microsoft Entra ID för mer information.
  • Kontakta de användare eller administratörer som beviljat medgivande eller behörighet till appen. Kontrollera om ändringarna var avsiktliga.
  • Sök i tabellen CloudAppEvents Avancerad jakt för att förstå appaktivitet och identifiera data som används av appen. Kontrollera berörda postlådor och granska meddelanden som kan ha lästs eller vidarebefordrats av själva appen eller av de regler som den har skapat.
  • Kontrollera om appen är viktig för din organisation innan du överväger några inneslutningsåtgärder. Inaktivera appen med hjälp av appstyrning eller Microsoft Entra ID för att förhindra att den kommer åt resurser. Befintliga appstyrningsprinciper kan redan ha inaktiverat appen.

• FP: Om du kan bekräfta att inga ovanliga aktiviteter utfördes av appen och att appen har en legitim affärsanvändning i organisationen.

  Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av appen.
2. Granska omfången som beviljats till appen.
3. Granska användaraktiviteten som är associerad med appen.

Oanvänd app som nyligen har åtkomst till API:er

Allvarlighetsgrad: Medel

MITRE-ID: T1530

Den här identifieringen genererar aviseringar för en molnapp med flera klientorganisationer som har varit inaktiva ett tag och som nyligen har börjat göra API-anrop. Den här appen kan komprometteras av en angripare och användas för att komma åt och hämta känsliga data.

TP eller FP?

• TP: Om du kan bekräfta att appen har använt känsliga data eller gjort ett stort antal ovanliga anrop till Microsoft Graph, Exchange eller Azure Resource Manager arbetsbelastningar.

  Rekommenderad åtgärd:

  • Undersök appens registreringsinformation om appstyrning och besök Microsoft Entra ID för mer information.
  • Kontakta de användare eller administratörer som beviljat medgivande eller behörighet till appen. Kontrollera om ändringarna var avsiktliga.
  • Sök i tabellen CloudAppEvents Avancerad jakt för att förstå appaktivitet och identifiera data som används av appen. Kontrollera berörda postlådor och granska meddelanden som kan ha lästs eller vidarebefordrats av själva appen eller av de regler som den har skapat.
  • Kontrollera om appen är viktig för din organisation innan du överväger några inneslutningsåtgärder. Inaktivera appen med hjälp av appstyrning eller Microsoft Entra ID för att förhindra att den kommer åt resurser. Befintliga appstyrningsprinciper kan redan ha inaktiverat appen.

• FP: Om du kan bekräfta att inga ovanliga aktiviteter utfördes av appen och att appen har en legitim affärsanvändning i organisationen.

  Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av intrånget

1. Granska alla aktiviteter som utförs av appen.
2. Granska omfången som beviljats till appen.
3. Granska användaraktiviteten som är associerad med appen.

Effektaviseringar

I det här avsnittet beskrivs aviseringar som anger att en illvillig aktör kan försöka manipulera, avbryta eller förstöra dina system och data från din organisation.

Entra Line-of-Business-app initierar en avvikande topp i skapandet av virtuella datorer

Allvarlighetsgrad: Medel

MITRE-ID: T1496

Den här identifieringen identifierar ett nytt OAuth-program för en enskild klientorganisation som skapar huvuddelen av Azure Virtual Machines i din klientorganisation med hjälp av Azure Resource Manager-API:et.

TP eller FP?

• TP: Om du kan bekräfta att OAuth-appen nyligen har skapats och skapar ett stort antal Virtual Machines i klientorganisationen anges en sann positiv identifiering.

  Rekommenderade åtgärder: Granska de virtuella datorer som skapats och eventuella ändringar som gjorts i programmet. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen. Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst.

• FP: Om du efter undersökningen kan bekräfta att appen har en legitim företagsanvändning i organisationen.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen:

1. Granska de appar som har skapats nyligen och virtuella datorer som skapats.
2. Granska alla aktiviteter som gjorts av appen sedan den skapades.
3. Granska omfången som beviljats av appen i Graph API och roll som den har beviljats i din prenumeration.

OAuth-appen med hög omfångsprivilegier i Microsoft Graph observerades när den virtuella datorn skapades

Allvarlighetsgrad: Medel

MITRE-ID: T1496

Den här identifieringen identifierar OAuth-programmet som skapar huvuddelen av Azure Virtual Machines i din klientorganisation med hjälp av Azure Resource Manager API samtidigt som det har hög behörighet i klientorganisationen via MS Graph API före aktiviteten.

TP eller FP?

• TP: Om du kan bekräfta att OAuth-appen med hög behörighet har skapats och skapar ett stort antal Virtual Machines i klientorganisationen anges en sann positiv identifiering.

  Rekommenderade åtgärder: Granska de virtuella datorer som skapats och eventuella ändringar som gjorts i programmet. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen. Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst.

• FP: Om du efter undersökningen kan bekräfta att appen har en legitim företagsanvändning i organisationen.

  Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen:

1. Granska de appar som har skapats nyligen och virtuella datorer som skapats.
2. Granska alla aktiviteter som gjorts av appen sedan den skapades.
3. Granska omfången som beviljats av appen i Graph API och roll som den har beviljats i din prenumeration.

Nästa steg

Hantera appstyrningsaviseringar