Undersöka fördefinierade appprincipaviseringar

Appstyrning tillhandahåller fördefinierade appprincipaviseringar för avvikande aktiviteter. Syftet med den här guiden är att ge dig allmän och praktisk information om varje avisering för att hjälpa dig med dina undersöknings- och åtgärdsuppgifter.

Den här guiden innehåller allmän information om villkoren för att utlösa aviseringar. Eftersom fördefinierade principer är icke-deterministiska av naturen utlöses de bara när det finns beteenden som avviker från normen.

Tips

Vissa aviseringar kan vara i förhandsversion, så granska regelbundet de uppdaterade aviseringsstatusarna.

Klassificeringar av säkerhetsaviseringar

Efter en korrekt undersökning kan alla appstyrningsaviseringar klassificeras i någon av följande aktivitetstyper:

• Sann positiv (TP): En avisering om en bekräftad skadlig aktivitet.
• Godartad sann positiv (B-TP): En avisering om misstänkt men inte skadlig aktivitet, till exempel ett intrångstest eller andra auktoriserade misstänkta åtgärder.
• Falskt positivt (FP): En avisering om en icke-skadlig aktivitet.

Allmänna undersökningssteg

Använd följande allmänna riktlinjer när du undersöker alla typer av aviseringar för att få en tydligare förståelse för det potentiella hotet innan du tillämpar den rekommenderade åtgärden.

1. Granska appens allvarlighetsgrad och jämför med resten av appen i din klientorganisation. Den här granskningen hjälper dig att identifiera vilka appar i din klientorganisation som utgör en större risk.

2. Om du identifierar en TP granskar du alla appaktiviteter för att få en förståelse för effekten. Granska till exempel följande appinformation:

   • Omfång som beviljats åtkomst
   • Ovanligt beteende
   • IP-adress och plats

Fördefinierade appprincipaviseringar

Det här avsnittet innehåller information om varje fördefinierad principavisering, tillsammans med steg för undersökning och reparation.

Öka dataanvändningen med en överprivilegierad eller mycket privilegierad app

Allvarlighetsgrad: Medel

Hitta appar med kraftfulla eller oanvända behörigheter som visar plötsliga ökningar av dataanvändningen via Graph API. Ovanliga ändringar i dataanvändningen kan tyda på intrång.

TP eller FP?

För att avgöra om aviseringen är en sann positiv (TP) eller en falsk positiv (FP), granska alla aktiviteter som utförs av appen, omfång som beviljats till appen och användaraktiviteten som är associerad med appen.

• TP: Använd den här rekommenderade åtgärden om du har bekräftat att den ökade dataanvändningen av en överprivilegierad eller mycket privilegierad app är oregelbunden eller potentiellt skadlig.

  Rekommenderad åtgärd: Kontakta användarna om appaktiviteterna som har orsakat den ökade dataanvändningen. Inaktivera appen tillfälligt, återställ lösenordet och aktivera sedan appen igen.

• FP: Använd den här rekommenderade åtgärden om du har bekräftat att den identifierade appaktiviteten är avsedd och har en legitim affärsanvändning i organisationen.

  Rekommenderad åtgärd: Stäng aviseringen.

Ovanlig aktivitet från en app med prioritetskontomedgivande

Allvarlighetsgrad: Medel

Hitta ovanliga ökningar av dataanvändningen eller Graph API åtkomstfel som visas av appar som har getts medgivande av ett prioritetskonto.

TP eller FP?

Granska alla aktiviteter som utförs av appen, omfång som beviljats till appen och användaraktiviteten som är associerad med appen.

• TP: Använd den här rekommenderade åtgärden om du har bekräftat att den ökade dataanvändningen eller API-åtkomstfelen från en app med medgivande från ett prioritetskonto är mycket oregelbundet eller potentiellt skadligt.

  Rekommenderad åtgärd: Kontakta prioritetskontoanvändare om appaktiviteterna som har orsakat den ökade dataanvändningen eller API-åtkomstfel. Inaktivera appen tillfälligt, återställ lösenordet och aktivera sedan appen igen.

• FP: Använd den här rekommenderade åtgärden om du har bekräftat att den identifierade appaktiviteten är avsedd och har en legitim affärsanvändning i organisationen.

  Rekommenderad åtgärd: Stäng aviseringen.

Ny app med låg medgivandefrekvens

Allvarlighetsgrad: Medel

Begäranden om medgivande från en nyligen skapad app har avvisats ofta av användare. Användare avvisar vanligtvis begäranden om medgivande från appar som har uppvisat oväntat beteende eller kommit från en ej betrodd källa. Appar som har låga medgivandefrekvenser är mer benägna att vara riskabla eller skadliga.

TP eller FP?

Granska alla aktiviteter som utförs av appen, omfång som beviljats till appen och användaraktiviteten som är associerad med appen.

• TP: Använd den här rekommenderade åtgärden om du har bekräftat att appen kommer från en okänd källa och dess aktiviteter har varit mycket oregelbundna eller potentiellt skadliga.

  Rekommenderad åtgärd: Inaktivera appen tillfälligt, återställ lösenordet och aktivera sedan appen igen.

• FP: Använd den här rekommenderade åtgärden om du har bekräftat att den identifierade appaktiviteten är legitim.

  Rekommenderad åtgärd: Stäng aviseringen.

Topp i Graph API anrop till OneDrive

Allvarlighetsgrad: Medel

En molnapp visade en betydande ökning av Graph API-anrop till OneDrive. Den här appen kan vara involverad i dataexfiltrering eller andra försök att komma åt och hämta känsliga data.

TP eller FP?

Granska alla aktiviteter som utförs av appen, omfång som beviljats till appen och användaraktiviteten som är associerad med appen.

• TP: Använd den här rekommenderade åtgärden om du har bekräftat att mycket oregelbundna, potentiellt skadliga aktiviteter har resulterat i den identifierade ökningen av OneDrive-användningen.

  Rekommenderad åtgärd: Inaktivera appen tillfälligt, återställ lösenordet och aktivera sedan appen igen.

• FP: Använd den här rekommenderade åtgärden om du har bekräftat att den identifierade appaktiviteten är legitim.

  Rekommenderad åtgärd: Stäng aviseringen.

Topp i Graph API anrop till SharePoint

Allvarlighetsgrad: Medel

En molnapp visade en betydande ökning av Graph API-anrop till SharePoint. Den här appen kan vara involverad i dataexfiltrering eller andra försök att komma åt och hämta känsliga data.

TP eller FP?

Granska alla aktiviteter som utförs av appen, omfång som beviljats till appen och användaraktiviteten som är associerad med appen.

• TP: Använd den här rekommenderade åtgärden om du har bekräftat att mycket oregelbundna, potentiellt skadliga aktiviteter har resulterat i den identifierade ökningen av SharePoint-användningen.

  Rekommenderad åtgärd: Inaktivera appen tillfälligt, återställ lösenordet och aktivera sedan appen igen.

• FP: Använd den här rekommenderade åtgärden om du har bekräftat att den identifierade appaktiviteten är legitim.

  Rekommenderad åtgärd: Stäng aviseringen.

Topp i Graph API anrop till Exchange

Allvarlighetsgrad: Medel

En molnapp visade en betydande ökning av Graph API-anrop till Exchange. Den här appen kan vara involverad i dataexfiltrering eller andra försök att komma åt och hämta känsliga data.

TP eller FP?

Granska alla aktiviteter som utförs av appen, omfång som beviljats till appen och användaraktiviteten som är associerad med appen.

• TP: Använd den här rekommenderade åtgärden om du har bekräftat att mycket oregelbundna, potentiellt skadliga aktiviteter har resulterat i den identifierade ökningen av Exchange-användningen.

  Rekommenderad åtgärd: Inaktivera appen tillfälligt, återställ lösenordet och aktivera sedan appen igen.

• FP: Använd den här rekommenderade åtgärden om du har bekräftat att den identifierade appaktiviteten är legitim.

  Rekommenderad åtgärd: Stäng aviseringen.

Misstänkt app med åtkomst till flera Microsoft 365-tjänster

Allvarlighetsgrad: Medel

Hitta appar med OAuth-åtkomst till flera Microsoft 365-tjänster som har uppvisat statistiskt avvikande Graph API aktivitet efter ett certifikat eller en hemlig uppdatering. Genom att identifiera dessa appar och kontrollera om de är komprometterade kan du förhindra lateral förflyttning, dataexfiltrering och andra skadliga aktiviteter som passerar molnmappar, e-postmeddelanden och andra tjänster.

TP eller FP?

Granska alla aktiviteter som utförs av appen, omfång som beviljats till appen och användaraktiviteten som är associerad med appen.

• TP: Använd den här rekommenderade åtgärden om du har bekräftat att uppdateringarna av appcertifikat eller hemligheter och andra appaktiviteter har varit mycket oregelbundna eller potentiellt skadliga.

  Rekommenderad åtgärd: Inaktivera appen tillfälligt, återställ lösenordet och aktivera sedan appen igen.

• FP: Använd den här rekommenderade åtgärden om du har bekräftat att den identifierade appaktiviteten är legitim.

  Rekommenderad åtgärd: Stäng aviseringen.

Hög volym av aktivitet för att skapa inkorgsregler av en app

Allvarlighetsgrad: Medel

En app gjorde ett stort antal Graph API anrop för att skapa Exchange-inkorgsregler. Den här appen kan vara involverad i datainsamling och exfiltrering eller andra försök att komma åt och hämta känslig information.

TP eller FP?

Granska alla aktiviteter som utförs av appen, omfång som beviljats till appen och användaraktiviteten som är associerad med appen.

• TP: Använd den här rekommenderade åtgärden om du har bekräftat att skapandet av inkorgsregler och andra aktiviteter har varit mycket oregelbundet eller potentiellt skadligt.

  Rekommenderad åtgärd: Inaktivera appen tillfälligt, återställ lösenordet och aktivera sedan appen igen.

• FP: Använd den här rekommenderade åtgärden om du har bekräftat att den identifierade appaktiviteten är legitim.

  Rekommenderad åtgärd: Stäng aviseringen.

Hög mängd e-postsökningsaktivitet av en app

Allvarlighetsgrad: Medel

En app gjorde ett stort antal Graph API anrop för att söka i e-postinnehåll i Exchange. Den här appen kan vara involverad i datainsamling eller andra försök att komma åt och hämta känslig information.

TP eller FP?

Granska alla aktiviteter som utförs av appen, omfång som beviljats till appen och användaraktiviteten som är associerad med appen.

• TP: Använd den här rekommenderade åtgärden om du har bekräftat att innehållssökningarna i Exchange och andra aktiviteter har varit mycket oregelbundna eller potentiellt skadliga.

  Rekommenderad åtgärd: Inaktivera appen tillfälligt, återställ lösenordet och aktivera sedan appen igen.

• FP: Om du kan bekräfta att inga ovanliga e-postsökningsaktiviteter utfördes av appen eller att appen är avsedd att göra ovanliga e-postsökningsaktiviteter via Graph API.

  Rekommenderad åtgärd: Stäng aviseringen.

Hög mängd e-postutskicksaktivitet av en app

Allvarlighetsgrad: Medel

En app gjorde ett stort antal Graph API samtal för att skicka e-postmeddelanden med hjälp av Exchange Online. Den här appen kan vara involverad i datainsamling och exfiltrering eller andra försök att komma åt och hämta känslig information.

TP eller FP?

Granska alla aktiviteter som utförs av appen, omfång som beviljats till appen och användaraktiviteten som är associerad med appen.

• TP: Använd den här rekommenderade åtgärden om du har bekräftat att sändningen av e-postmeddelanden och andra aktiviteter har varit mycket oregelbunden eller potentiellt skadlig.

  Rekommenderad åtgärd: Inaktivera appen tillfälligt, återställ lösenordet och aktivera sedan appen igen.

• FP: Om du kan bekräfta att inga ovanliga e-postsändningsaktiviteter utfördes av appen eller att appen är avsedd att göra ovanliga e-postsändningsaktiviteter via Graph API.

  Rekommenderad åtgärd: Stäng aviseringen.

Åtkomst till känsliga data

Allvarlighetsgrad: Medel

Hitta appar som har åtkomst till känsliga data som identifieras med specifika känsligt etiketter.

TP eller FP?

Om du vill ta reda på om aviseringen är en sann positiv (TP) eller en falsk positiv (FP) granskar du resurser som används av appen.

• TP: Använd den här rekommenderade åtgärden om du har bekräftat att appen eller den identifierade aktiviteten är oregelbunden eller potentiellt skadlig.

  Rekommenderad åtgärd: Förhindra att appen kommer åt några resurser genom att inaktivera den från Microsoft Entra ID.

• FP: Använd den här rekommenderade åtgärden om du har bekräftat att appen har legitim affärsanvändning i organisationen och den identifierade aktiviteten förväntades.

  Rekommenderad åtgärd: Stäng aviseringen.

Nästa steg

Läs mer om identifiering och reparation av apphot