调查应用治理威胁检测警报
应用治理为恶意活动提供安全检测和警报。 本文列出了有助于调查和修正的每个警报的详细信息,包括触发警报的条件。 由于威胁检测本质上是不确定的,因此仅当存在偏离规范的行为时,才会触发它们。
有关详细信息,请参阅 Microsoft Defender for Cloud Apps 中的应用治理
注意
应用治理威胁检测基于对暂时性数据(可能未存储)的计数活动,因此警报可能提供活动数或峰值指示,但不一定提供所有相关数据。 特别是对于 OAuth 应用图形 API活动,活动本身可由租户使用 Log Analytics 和Sentinel进行审核。
有关更多信息,请参阅:
一般调查步骤
查找与应用治理相关的警报
若要查找与应用治理专门相关的警报,请导航到 XDR 门户“警报”页。 在警报列表中,使用“服务/检测源”字段筛选警报。 将此字段的值设置为“应用治理”,以查看应用治理生成的所有警报。
通用准则
在调查任何类型的警报时,请使用以下一般准则,从而在应用推荐操作之前更清楚地了解潜在威胁。
查看应用严重性级别,并与租户中的其余应用进行比较。 此评审可帮助你确定租户中的哪些应用构成更大的风险。
如果识别出 TP,请查看所有应用活动以了解影响。 例如,查看以下应用信息:
- 授予访问权限的范围
- 异常行为
- IP 地址和位置
安全警报分类
经过适当调查后,所有 Microsoft 应用治理警报都可以归类为以下活动类型之一:
- 真正 (TP) :针对已确认的恶意活动的警报。
- 良性真阳性 (B-TP) :针对可疑但不是恶意活动的警报,例如渗透测试或其他授权的可疑操作。
- 误报 (FP) :非恶意活动的警报。
MITRE ATT&CK
为了更轻松地映射 Microsoft 应用治理警报和熟悉的 MITRE ATT&CK 矩阵之间的关系,我们已按其相应的 MITRE ATT&CK 策略对警报进行了分类。 通过此额外参考,可以更轻松地了解触发应用治理警报时可能使用的可疑攻击技术。
本指南提供有关调查和修正以下类别中应用治理警报的信息。
初始访问警报
本部分介绍了表明恶意应用可能试图保持其在组织中的立足点的警报。
应用通过利用 OAuth 重定向漏洞重定向到钓鱼 URL
严重性: 中等
此检测通过Microsoft图形 API利用 OAuth 实现中的响应类型参数来识别重定向到钓鱼 URL 的 OAuth 应用。
TP 还是 FP?
TP:如果可以确认 OAuth 应用是从未知源传递的,则同意 OAuth 应用后回复 URL 的响应类型包含无效请求,并重定向到未知或不受信任的回复 URL。
推荐操作: 禁用和删除应用,重置密码,并删除收件箱规则。
FP: 如果在调查后,可以确认应用在组织中具有合法的业务用途。
推荐操作: 关闭警报。
了解违规的范围
- 查看应用完成的所有活动。
- 查看应用授予的范围。
具有可疑回复 URL 的 OAuth 应用
严重性: 中等
此检测可识别通过Microsoft图形 API访问可疑回复 URL 的 OAuth 应用。
TP 还是 FP?
TP:如果可以确认 OAuth 应用是从未知源传递的,并重定向到可疑 URL,则表示为真阳性。 可疑 URL 是 URL 信誉未知、不受信任,或者最近注册了其域且应用请求针对高特权范围的 URL。
建议的操作:查看应用请求的回复 URL、域和范围。 根据调查,可以选择禁止访问此应用。 查看此应用请求的权限级别以及授予了哪些用户的访问权限。
若要禁止访问应用,请在“应用 治理 ”页上转到应用的相关选项卡。 在显示要禁止的应用所在的行上,选择禁止图标。 你可以选择是否希望告知用户其安装和授权的应用已被禁用。 通知会让用户知道应用将被禁用,并且他们无权访问连接的应用。 如果不希望他们知道,请在对话框中取消选择 “通知已授予此被禁止应用访问权限的用户 ”。 我们建议你告知应用用户其应用即将被禁止使用。
FP: 如果在调查后,可以确认应用在组织中具有合法的业务用途。
推荐操作: 关闭警报。
了解违规的范围
查看最近创建的应用及其回复 URL。
查看应用完成的所有活动。
查看应用授予的范围。
最近创建的应用的同意率较低
严重性: 低
此检测可识别最近创建的、同意率较低的 OAuth 应用。 这表示恶意或有风险的应用引诱用户进行非法同意授权。
TP 还是 FP?
TP:如果能够确认 OAuth 应用是从未知源传送的,则会指示正确报告。
推荐操作:查看应用的显示名称、回复 URL、域。 根据调查,你可以选择禁止访问此应用。 查看此应用请求的权限级别以及授予访问权限的用户。
FP: 如果在调查后,可以确认应用在组织中具有合法的业务用途。
推荐操作: 关闭警报。
了解违规的范围
- 查看应用完成的所有活动。
- 如果你怀疑某个应用可疑,我们建议你调查该应用在不同应用商店中的名称和“回复”URL。 在检查应用商店时,请重点关注以下类型的应用:
- 最近创建的应用
- 具有异常显示名称的应用
- 具有可疑回复域的应用
- 如果仍然怀疑某个应用可疑,则可以研究应用显示名称和回复域。
URL 信誉不佳的应用
严重性: 中等
此检测可识别 URL 信誉不佳的 OAuth 应用。
TP 还是 FP?
TP:如果能够确认 OAuth 应用从未知源传递并重定向到可疑 URL,则会指示正确报告。
推荐操作:查看应用请求的回复 URL 和范围。 根据调查,你可以选择禁止访问此应用。 查看此应用请求的权限级别以及授予访问权限的用户。
FP: 如果在调查后,可以确认应用在组织中具有合法的业务用途。
推荐操作: 关闭警报。
了解违规的范围
- 查看应用完成的所有活动。
- 如果你怀疑某个应用可疑,我们建议你调查该应用在不同应用商店中的名称和“回复”URL。 在检查应用商店时,请重点关注以下类型的应用:
- 最近创建的应用
- 具有异常显示名称的应用
- 具有可疑回复域的应用
- 如果仍然怀疑某个应用可疑,则可以研究应用显示名称和回复域。
具有可疑同意范围的已编码应用名称
严重性: 中等
说明: 此检测会识别具有字符(例如 Unicode 或已编码字符)的 OAuth 应用,其针对可疑同意范围进行请求并通过图形 API 访问用户邮件文件夹。 此警报可能表明试图将恶意应用伪装成已知且受信任的应用的行为,以便攻击者可以误导用户同意恶意应用。
TP 还是 FP?
TP: 如果你可以确认 OAuth 应用已使用从未知源传递的可疑范围对显示名称进行编码,则表明为真阳性。
推荐操作: 查看此应用请求的权限级别以及授予访问权限的用户。 根据调查,你可以选择禁止访问此应用。
若要禁止访问应用,请在“应用 治理 ”页上转到应用的相关选项卡。 在显示要禁止的应用所在的行上,选择禁止图标。 你可以选择是否希望告知用户其安装和授权的应用已被禁用。 通知会让用户知道应用将被禁用,并且他们无权访问连接的应用。 如果不希望他们知道,请在对话框中取消选择“通知已授予此被禁止应用访问权限的用户”。 我们建议你告知应用用户其应用即将被禁止使用。
FP:如果要确认应用具有编码名称,但在组织中具有合法的业务用途。
推荐操作: 关闭警报。
了解违规的范围
请遵循如何 调查危险的 OAuth 应用 的教程。
具有读取范围的 OAuth 应用具有可疑的回复 URL
严重性: 中等
说明:此检测标识仅具有“读取”范围(如 User.Read、人员)的 OAuth 应用。Read、Contacts.Read、Mail.Read、Contacts.Read。共享通过图形 API重定向到可疑的回复 URL。 此活动试图表明具有较低权限(例如“读取”范围)的恶意应用可能被用于进行用户帐户侦查。
TP 还是 FP?
TP: 如果你能够确认具有读取范围的 OAuth 应用从未知源传递并重定向到可疑 URL,则表明为真阳性。
推荐操作: 查看应用请求的“回复”URL 和范围。 根据调查,你可以选择禁止访问此应用。 查看此应用请求的权限级别以及授予访问权限的用户。
若要禁止访问应用,请在“应用 治理 ”页上转到应用的相关选项卡。 在显示要禁止的应用所在的行上,选择禁止图标。 你可以选择是否希望告知用户其安装和授权的应用已被禁用。 通知会让用户知道应用将被禁用,并且他们无权访问连接的应用。 如果不希望他们知道,请在对话框中取消选择“通知已授予此被禁止应用访问权限的用户”。 我们建议你告知应用用户其应用即将被禁止使用。
B-TP: 如果经过调查,你可以确认此应用在组织中具有合法的商业用途。
推荐操作: 关闭警报。
了解违规的范围
- 查看应用完成的所有活动。
- 如果你怀疑某个应用可疑,我们建议你调查该应用在不同应用商店中的名称和“回复”URL。 在检查应用商店时,请重点关注以下类型的应用:
- 最近创建的应用。
- 具有可疑“回复”URL 的应用
- 最近未更新的应用。 缺少更新可能表明该应用不再获得支持。
- 如果你仍然怀疑某个应用可疑,可以联机研究应用名称、发布者名称以及“回复”URL
在回复域中具有异常显示名称和异常 TLD 的应用
严重性: 中等
此检测通过 图形 API 识别具有异常显示名称的应用,并使用异常顶级域 (TLD) 重定向到可疑回复域。 这表示有人试图将恶意或有风险的应用伪装成已知且受信任的应用,以便攻击者可能会误导用户同意其恶意或有风险的应用。
TP 还是 FP?
TP:如果能够确认具有异常显示名称的应用从未知源传送,并重定向到具有异常顶级域的可疑域
请求操作:查看应用的显示名称和回复域。 根据调查,你可以选择禁止访问此应用。 查看此应用请求的权限级别以及授予访问权限的用户。
FP: 如果在调查后,可以确认应用在组织中具有合法的业务用途。
推荐操作: 关闭警报。
了解违规的范围
查看应用完成的所有活动。 如果你怀疑某个应用可疑,我们建议你调查该应用在不同应用商店中的名称和“回复”URL。 在检查应用商店时,请重点关注以下类型的应用:
- 最近创建的应用
- 具有异常显示名称的应用
- 具有可疑回复域的应用
如果仍然怀疑某个应用可疑,则可以研究应用显示名称和回复域。
具有低同意模式的邮件权限的新应用
严重性: 中等
此检测可识别最近在相对较新的发布者租户中创建的 OAuth 应用,这些应用具有以下特征:
- 访问或更改邮箱设置的权限
- 相对较低的同意率,这可以识别不需要甚至恶意的应用,这些应用试图从不知情的用户那里获得同意
TP 还是 FP?
TP:如果你能够确认向应用发送的同意请求是从未知源或外部源传递的,并且该应用在组织中没有合法的业务用途,则表示为真阳性。
建议的操作:
- 请联系已同意此应用的用户和管理员,以确认这是故意的,权限过多是正常的。
- 调查应用活动和检查受影响的帐户中的可疑活动。
- 根据调查,禁用应用并暂停和重置所有受影响的帐户的密码。
- 将警报分类为真正。
FP: 如果在调查后,可以确认应用在组织中具有合法的业务用途。
建议的操作:将警报分类为误报,并考虑根据对警报的调查共享反馈。
了解违规的范围
查看用户和管理员对应用程序的同意授予。 调查应用完成的所有活动,特别是对关联用户和管理员帐户邮箱的访问。 如果怀疑应用可疑,请考虑禁用应用程序并轮换所有受影响的帐户的凭据。
具有低同意率的新应用访问大量电子邮件
严重性: 中等
此警报标识最近在相对较新的发布者租户中注册的 OAuth 应用,这些应用有权更改邮箱设置和访问电子邮件。 它还验证应用的全球同意率是否相对较低,并多次调用Microsoft图形 API来访问同意用户的电子邮件。 触发此警报的应用可能是不需要的或恶意应用,试图从不知情的用户获得同意。
TP 还是 FP?
TP:如果你能够确认向应用发送的同意请求是从未知源或外部源传递的,并且该应用在组织中没有合法的业务用途,则表示为真阳性。
建议的操作:
- 请联系已同意此应用的用户和管理员,以确认这是故意的,权限过多是正常的。
- 调查应用活动和检查受影响的帐户中的可疑活动。
- 根据调查,禁用应用并暂停和重置所有受影响的帐户的密码。
- 将警报分类为真正。
FP:如果在调查后,你可以确认该应用在组织中具有合法的业务用途,则指示误报。
建议的操作:将警报分类为误报,并考虑根据对警报的调查共享反馈。
了解违规的范围
查看用户和管理员对应用程序的同意授予。 调查应用完成的所有活动,尤其是对关联用户和管理员帐户邮箱的访问。 如果怀疑应用可疑,请考虑禁用应用程序并轮换所有受影响的帐户的凭据。
具有邮件权限的可疑应用发送大量电子邮件
严重性: 中等
此警报发现在短时间内多次调用Microsoft图形 API发送电子邮件的多租户 OAuth 应用。 它还验证 API 调用是否导致错误和发送电子邮件尝试失败。 触发此警报的应用可能会主动向其他目标发送垃圾邮件或恶意电子邮件。
TP 还是 FP?
TP:如果你能够确认向应用发送的同意请求是从未知源或外部源传递的,并且该应用在组织中没有合法的业务用途,则表示为真阳性。
建议的操作:
- 请联系已同意此应用的用户和管理员,以确认这是故意的,权限过多是正常的。
- 调查应用活动和检查受影响的帐户中的可疑活动。
- 根据调查,禁用应用并暂停和重置所有受影响的帐户的密码。
- 将警报分类为真正。
FP:如果在调查后,你可以确认该应用在组织中具有合法的业务用途,则指示误报。
建议的操作:将警报分类为误报,并考虑根据对警报的调查共享反馈。
了解违规的范围
查看用户和管理员对应用程序的同意授予。 调查应用完成的所有活动,特别是对关联用户和管理员帐户邮箱的访问。 如果怀疑应用可疑,请考虑禁用应用程序并轮换所有受影响的帐户的凭据。
用于发送大量电子邮件的可疑 OAuth 应用
严重性: 中等
此警报指示 OAuth 应用在短时间内多次调用Microsoft图形 API发送电子邮件。 众所周知,应用的发布者租户会生成大量 OAuth 应用,这些应用Microsoft图形 API调用。 攻击者可能主动使用此应用向其目标发送垃圾邮件或恶意电子邮件。
TP 还是 FP?
TP:如果你能够确认向应用发送的同意请求是从未知源或外部源传递的,并且该应用在组织中没有合法的业务用途,则表示为真阳性。
建议的操作:
- 请联系已同意此应用的用户和管理员,以确认这是故意的,权限过多是正常的。
- 调查应用活动和检查受影响的帐户中的可疑活动。
- 根据调查,禁用应用并暂停和重置所有受影响的帐户的密码。
- 将警报分类为真正。
FP:如果在调查后,你可以确认该应用在组织中具有合法的业务用途,则指示误报。
建议的操作:将警报分类为误报,并考虑根据对警报的调查共享反馈。
了解违规的范围
查看用户和管理员对应用程序的同意授予。 调查应用完成的所有活动,特别是对关联用户和管理员帐户邮箱的访问。 如果怀疑应用可疑,请考虑禁用应用程序并轮换所有受影响的帐户的凭据。
持久性警报
本部分介绍了表明恶意行动者可能试图保持其在组织中的立足点的警报。
应用在证书更新或添加新凭据后对 Exchange 工作负荷进行了异常图形调用
严重性: 中等
MITRE ID:T1098.001, T1114
当业务线 (LOB) 应用更新证书/机密或添加新凭据,并在证书更新或添加新凭据后的几天内,通过机器学习算法观察到异常活动或通过图形 API 大量使用 Exchange 工作负荷时,此检测会触发警报。
TP 还是 FP?
TP:如果能够确认 LOB 应用通过图形 API 执行了异常活动/大量使用 Exchange 工作负载
推荐操作: 暂时禁用应用并重置密码,然后重启应用。
FP:如果可以确认 LOB 应用没有执行异常活动,或应用想要执行异常大量的图形调用。
推荐操作: 关闭警报。
了解违规的范围
- 查看此应用执行的所有活动。
- 查看应用授予的范围。
- 查看与此应用关联的用户活动。
具有可疑 OAuth 范围的应用被机器学习模型标记为高风险,进行了图形调用以读取电子邮件并创建了收件箱规则
严重性: 中等
MITRE ID:T1137.005, T1114
此检测可识别被机器学习模型标记为高风险的 OAuth 应用,该模型同意使用可疑范围、创建可疑收件箱规则,然后通过图形 API访问用户的邮件文件夹和邮件。 收件箱规则(例如将所有或特定电子邮件转发到另一电子邮件帐户)以及访问电子邮件并发送到另一电子邮件帐户的图形调用可能会试图泄露组织中的信息。
TP 还是 FP?
TP:如果可以确认收件箱规则由具有从未知源传递的可疑范围的 OAuth 第三方应用创建,则会指示为正确报告。
推荐操作: 禁用和删除应用,重置密码,并删除收件箱规则。
按照有关如何使用 Microsoft Entra ID重置密码的教程进行操作,并按照有关如何删除收件箱规则的教程进行操作。
FP: 如果你可以确认应用出于合法原因为新的或个人外部电子邮件帐户创建收件箱规则。
推荐操作: 关闭警报。
了解违规的范围
- 查看应用完成的所有活动。
- 查看应用授予的范围。
- 查看应用创建的收件箱规则操作和条件。
具有可疑 OAuth 范围的应用进行了图形调用以读取电子邮件并创建了收件箱规则
严重性: 中等
MITRE ID 的: T1137.005、T1114
此检测会识别同意可疑范围、创建可疑的收件箱规则,然后通过图形 API 访问用户邮件文件夹和邮件的 OAuth 应用。 收件箱规则(例如将所有或特定电子邮件转发到另一电子邮件帐户)以及访问电子邮件并发送到另一电子邮件帐户的图形调用可能会试图泄露组织中的信息。
TP 还是 FP?
TP: 如果你可以确认收件箱规则由具有从未知源传递的可疑范围的 OAuth 第三方应用创建,则表明为真阳性。
推荐操作: 禁用和删除应用,重置密码,并删除收件箱规则。
按照有关如何使用 Microsoft Entra ID重置密码的教程进行操作,并按照有关如何删除收件箱规则的教程进行操作。
FP: 如果你可以确认应用出于合法原因为新的或个人外部电子邮件帐户创建收件箱规则。
推荐操作: 关闭警报。
了解违规的范围
- 查看应用完成的所有活动。
- 查看应用授予的范围。
- 查看应用创建的收件箱规则操作和条件。
证书更新后从异常位置访问的应用
严重性: 低
MITRE ID: T1098
当业务线 (LOB) 应用更新证书/机密时,此检测会触发警报,在证书更新后的几天内,从最近未看到或从未访问过的异常位置访问应用。
TP 还是 FP?
TP:如果能够确认 LOB 应用是否从异常位置访问并通过图形 API执行了异常活动。
推荐操作: 暂时禁用应用并重置密码,然后重启应用。
FP:如果你能够确认 LOB 应用是出于合法目的从异常位置访问的,并且没有执行任何异常活动。
推荐操作: 关闭警报。
了解违规的范围
- 查看此应用执行的所有活动。
- 查看应用授予的范围。
- 查看与此应用关联的用户活动。
从异常位置访问的应用在证书更新后进行了异常图形调用
严重性: 中等
MITRE ID: T1098
当业务线 (LOB) 应用更新证书/机密时,此检测会触发警报,在证书更新后的几天内,从最近未见过或从未访问的异常位置访问应用,并通过使用机器学习算法图形 API观察到异常活动或使用情况。
TP 还是 FP?
TP:如果能够确认 LOB 应用通过异常位置的图形 API执行了异常活动/使用情况。
推荐操作: 暂时禁用应用并重置密码,然后重启应用。
FP:如果你能够确认 LOB 应用是出于合法目的从异常位置访问的,并且没有执行任何异常活动。
推荐操作: 关闭警报。
了解违规的范围
- 查看此应用执行的所有活动。
- 查看应用授予的范围。
- 查看与此应用关联的用户活动。
最近创建的应用具有大量撤销的同意
严重性: 中等
MITRE ID:T1566、T1098
一些用户撤销了对最近创建的此业务线 (LOB) 或第三方应用的同意。 此应用可能无意中引诱用户同意。
TP 还是 FP?
TP:如果可以确认 OAuth 应用是从未知源传递的,并且应用行为可疑。
建议的操作:撤销授予应用的同意并禁用该应用。
FP:如果在调查后,你可以确认该应用在组织中具有合法的业务用途,并且应用没有执行异常活动。
建议操作:关闭警报
了解违规的范围
- 查看应用执行的所有活动。
- 如果怀疑某个应用可疑,建议在不同应用商店中调查应用的名称和回复域。 在检查应用商店时,请重点关注以下类型的应用:
- 最近创建的应用
- 显示名称异常的应用
- 具有可疑回复域的应用
- 如果仍然怀疑某个应用可疑,则可以研究应用显示名称和回复域。
与已知的网络钓鱼活动关联的应用元数据
严重性: 中等
此检测会针对非Microsoft OAuth 应用生成警报,这些应用具有以前在与网络钓鱼活动关联的应用中观察到的元数据(如 名称、 URL 或 发布者)。 这些应用可能是同一活动的一部分,并可能涉及敏感信息的外泄。
TP 还是 FP?
TP:如果能够确认 OAuth 应用是从未知源传递的,并且正在执行异常活动。
建议的操作:
- 调查有关应用治理的应用注册详细信息,并访问 Microsoft Entra ID 了解更多详细信息。
- 请与授予应用许可或权限的用户或管理员联系。 验证更改是否是有意的。
- 搜索 CloudAppEvents 高级搜寻表以了解应用活动并确定观察到的行为是否预期。
- 在考虑任何包含操作之前,请验证应用是否对组织至关重要。 使用应用治理或Microsoft Entra ID停用应用,以防止其访问资源。 现有应用治理策略可能已停用应用。
FP:如果可以确认应用未执行异常活动,并且该应用在组织中具有合法的业务用途。
建议操作:关闭警报
了解违规的范围
- 查看应用执行的所有活动。
- 查看授予应用的范围。
- 查看与应用关联的用户活动。
与以前标记的可疑应用关联的应用元数据
严重性: 中等
此检测为非Microsoft OAuth 应用生成警报,这些应用具有元数据(如 名称、 URL 或 发布者),这些元数据以前在应用治理标记的应用中由于可疑活动而观察到这些警报。 此应用可能是攻击活动的一部分,并可能涉及敏感信息的外泄。
TP 还是 FP?
TP:如果能够确认 OAuth 应用是从未知源传递的,并且正在执行异常活动。
建议的操作:
- 调查有关应用治理的应用注册详细信息,并访问 Microsoft Entra ID 了解更多详细信息。
- 请与授予应用许可或权限的用户或管理员联系。 验证更改是否是有意的。
- 搜索 CloudAppEvents 高级搜寻表以了解应用活动并确定观察到的行为是否预期。
- 在考虑任何包含操作之前,请验证应用是否对组织至关重要。 使用应用治理或Microsoft Entra ID停用应用,以防止其访问资源。 现有应用治理策略可能已停用应用。
FP:如果可以确认应用未执行异常活动,并且该应用在组织中具有合法的业务用途。
建议操作:关闭警报
了解违规的范围
- 查看应用执行的所有活动。
- 查看授予应用的范围。
- 查看与应用关联的用户活动。
通过图形 API可疑的 OAuth 应用电子邮件活动
严重性:高
此检测为多租户 OAuth 应用生成警报,这些应用由具有高风险登录的用户注册,这些应用调用Microsoft图形 API在短时间内执行可疑电子邮件活动。
此检测验证是否对邮箱规则创建、创建答复电子邮件、转发电子邮件、答复或发送新电子邮件进行了 API 调用。 触发此警报的应用可能会主动向其他目标发送垃圾邮件或恶意电子邮件,或者泄露机密数据并清除跟踪以逃避检测。
TP 还是 FP?
TP:如果你能够确认应用创建和同意请求是从未知源或外部源传递的,并且应用在组织中没有合法的业务用途,则表示为真阳性。
建议的操作:
请联系已同意此应用的用户和管理员,以确认这是故意的,权限过多是正常的。
调查应用活动和检查受影响的帐户中的可疑活动。
根据调查,禁用应用并暂停和重置所有受影响的帐户的密码,并删除收件箱规则。
将警报分类为真正。
FP:如果调查后,你可以确认该应用在组织中具有合法的业务用途,则指示误报。
建议的操作:
将警报分类为误报,并考虑根据对警报的调查共享反馈。
了解违规范围:
查看用户和管理员对应用程序的同意授予。 调查应用完成的所有活动,特别是对关联用户和管理员帐户邮箱的访问。 如果怀疑应用可疑,请考虑禁用应用程序并轮换所有受影响的帐户的凭据。
通过 EWS API 进行可疑的 OAuth 应用电子邮件活动
严重性:高
此检测为多租户 OAuth 应用生成警报,这些应用由具有高风险登录的用户注册,这些应用调用 Microsoft Exchange Web Services (EWS) API,以便在短时间内执行可疑电子邮件活动。
此检测验证是否进行了 API 调用来更新收件箱规则、移动项目、删除电子邮件、删除文件夹或删除附件。 触发此警报的应用可能会主动泄露或删除机密数据,并清除跟踪以逃避检测。
TP 还是 FP?
TP:如果你能够确认应用创建和同意请求是从未知源或外部源传递的,并且应用在组织中没有合法的业务用途,则表示为真阳性。
建议的操作:
请联系已同意此应用的用户和管理员,以确认这是故意的,权限过多是正常的。
调查应用活动和检查受影响的帐户中的可疑活动。
根据调查,禁用应用并暂停和重置所有受影响的帐户的密码,并删除收件箱规则。
将警报分类为真正。
FP:如果在调查后,你可以确认该应用在组织中具有合法的业务用途,则指示误报。
建议的操作:
将警报分类为误报,并考虑根据对警报的调查共享反馈。
了解违规范围:
查看用户和管理员对应用程序的同意授予。 调查应用完成的所有活动,特别是对关联用户和管理员帐户邮箱的访问。 如果怀疑应用可疑,请考虑禁用应用程序并轮换所有受影响的帐户的凭据。
权限提升警报
具有可疑元数据的 OAuth 应用具有 Exchange 权限
严重性: 中等
MITRE ID: T1078
当具有可疑元数据的业务线应用具有通过 Exchange 管理权限的权限时,将触发此警报。
TP 还是 FP?
- TP:如果能够确认 OAuth 应用是从未知源交付的,并且具有可疑的元数据特征,则表示为真阳性。
建议的操作:撤销授予应用的同意并禁用该应用。
FP: 如果在调查后,可以确认应用在组织中具有合法的业务用途。
建议操作:关闭警报
了解违规的范围
- 查看应用完成的所有活动。
- 查看应用授予的范围。
- 查看与应用关联的用户活动。
防御规避警报
模拟Microsoft徽标的应用
严重性: 中等
非Microsoft云应用使用机器学习算法发现的徽标与Microsoft徽标类似。 这可以是模拟Microsoft软件产品并看起来合法的尝试。
注意
租户管理员需要通过弹出窗口提供同意,才能将所需数据发送到当前合规性边界之外,并选择Microsoft内的合作伙伴团队,以便为业务线应用启用此威胁检测。
TP 还是 FP?
TP:如果可以确认应用徽标是Microsoft徽标的模仿,并且应用行为可疑。
建议的操作:撤销授予应用的同意并禁用该应用。
FP:如果可以确认应用徽标不是Microsoft徽标的模仿,或者应用未执行异常活动。
建议操作:关闭警报
了解违规的范围
- 查看应用执行的所有活动。
- 查看授予应用的范围。
- 查看与应用关联的用户活动。
应用与拼写错误的域相关联
严重性: 中等
此检测针对具有发布者域或重定向 URL 的非Microsoft OAuth 应用生成警报,这些应用包含Microsoft品牌名称的拼写错误版本。 当用户无意中错误键入 URL 时,拼写错误通常用于捕获到网站的流量,但它们也可用于模拟流行的软件产品和服务。
TP 还是 FP?
TP:如果可以确认应用的发布者域或重定向 URL 已拼写错误,并且与应用的真实标识无关。
建议的操作:
- 调查有关应用治理的应用注册详细信息,并访问 Microsoft Entra ID 了解更多详细信息。
- 检查应用是否有其他欺骗或模拟的迹象以及任何可疑活动。
- 在考虑任何包含操作之前,请验证应用是否对组织至关重要。 使用应用治理停用应用,以防止其访问资源。 现有应用治理策略可能已停用应用。
FP:如果可以确认应用的发布者域和重定向 URL 是合法的。
建议的操作:将警报分类为误报,并考虑根据对警报的调查共享反馈。
了解违规的范围
- 查看应用执行的所有活动。
- 查看授予应用的范围。
- 查看与应用关联的用户活动。
凭据访问
本部分介绍指示恶意参与者可能正在尝试读取敏感凭据数据的警报,并包含窃取组织中帐户名、机密、令牌、证书和密码等凭据的技术。
应用程序启动多个失败的 KeyVault 读取活动,但未成功
严重性: 中等
MITRE ID: T1078.004
此检测可识别租户中的应用程序,该应用程序在短间隔内使用 Azure 资源管理器 API 对 KeyVault 进行多次读取操作调用,并且仅失败,并且不会完成任何成功的读取活动。
TP 还是 FP?
TP:如果应用未知或未使用,则给定活动可能可疑。 验证正在使用的 Azure 资源并验证租户中的应用使用情况后,给定活动可能要求禁用该应用。 这通常表明存在针对 KeyVault 资源的可疑枚举活动,以获取用于横向移动或特权提升的凭据的访问权限。
建议的操作:查看应用程序访问或创建的 Azure 资源,以及最近对应用程序所做的任何更改。 根据调查,选择是否要禁止访问此应用。 查看此应用请求的权限级别以及已授予访问权限的用户。
FP:如果在调查后,你可以确认该应用在组织中具有合法的业务用途。
推荐操作: 关闭警报。
了解违规的范围
- 查看应用的访问权限和活动。
- 查看应用自创建以来完成的所有活动。
- 查看应用在 图形 API 中授予的范围,以及订阅中向其授予的角色。
- 查看在活动之前可能访问过应用的任何用户。
发现警报
应用执行的驱动器枚举
严重性: 中等
MITRE ID:T1087
此检测识别在机器学习模型检测下,使用图形 API 在 OneDrive 文件上执行枚举的 OAuth 应用。
TP 还是 FP?
TP:如果能够确认 LOB 应用通过图形 API 对 OneDrive 执行了异常的活动/有异常使用情况。
推荐操作:禁用、删除应用并重置密码。
FP:如果可以确认应用未执行任何异常活动。
推荐操作: 关闭警报。
了解违规的范围
- 查看此应用执行的所有活动。
- 查看应用授予的范围。
- 查看与此应用关联的用户活动。
使用 Microsoft Graph PowerShell 执行的可疑枚举活动
严重性: 中等
MITRE ID:T1087
此检测可识别在短时间内通过 Microsoft Graph PowerShell 应用程序执行的大量可疑枚举活动。
TP 还是 FP?
TP:如果能够确认Microsoft Graph PowerShell 应用程序执行了可疑/异常枚举活动。
推荐操作:禁用并删除应用并重置密码。
FP:如果可以确认应用未执行任何异常活动。
推荐操作: 关闭警报。
了解违规的范围
- 查看此应用执行的所有活动。
- 查看与此应用关联的用户活动。
最近创建的多租户应用程序经常枚举用户信息
严重性: 中等
MITRE ID:T1087
此警报发现最近在相对较新的发布者租户中注册的 OAuth 应用具有更改邮箱设置和访问电子邮件的权限。 它验证应用是否多次调用Microsoft图形 API请求用户目录信息。 触发此警报的应用可能会引诱用户授予同意,以便他们可以访问组织数据。
TP 还是 FP?
TP:如果你能够确认向应用发送的同意请求是从未知源或外部源传递的,并且该应用在组织中没有合法的业务用途,则表示为真阳性。
建议的操作:
- 请联系已同意此应用的用户和管理员,以确认这是故意的,权限过多是正常的。
- 调查应用活动和检查受影响的帐户中的可疑活动。
- 根据调查,禁用应用并暂停和重置所有受影响的帐户的密码。
- 将警报分类为真正。
FP:如果在调查后,你可以确认该应用在组织中具有合法的业务用途,则指示误报。
建议的操作:将警报分类为误报,并考虑根据对警报的调查共享反馈。
了解违规的范围
查看用户和管理员对应用程序的同意授予。 调查应用完成的所有活动,尤其是用户目录信息的枚举。 如果怀疑应用可疑,请考虑禁用应用程序并轮换所有受影响的帐户的凭据。
外泄警报
本部分介绍指示恶意参与者可能试图从组织窃取其目标感兴趣的数据的警报。
使用异常用户代理的 OAuth 应用
严重性: 低
MITRE ID: T1567
此检测可识别使用异常用户代理访问图形 API的 OAuth 应用程序。
TP 还是 FP?
TP:如果能够确认 OAuth 应用最近已开始使用以前未使用的新用户代理,并且此更改是意外的,则表示为真阳性。
建议的操作:查看使用的用户代理以及最近对应用程序所做的任何更改。 根据调查,可以选择禁止访问此应用。 查看此应用请求的权限级别以及授予访问权限的用户。
FP: 如果在调查后,可以确认应用在组织中具有合法的业务用途。
推荐操作: 关闭警报。
了解违规的范围
- 查看最近创建的应用以及使用的用户代理。
- 查看应用完成的所有活动。
- 查看应用授予的范围。
具有异常用户代理的应用通过 Exchange Web Services 访问电子邮件数据
严重性:高
MITRE ID:T1114、T1567
此检测可识别使用异常用户代理通过 Exchange Web 服务 API 访问电子邮件数据的 OAuth 应用。
TP 还是 FP?
TP:如果能够确认 OAuth 应用程序不会更改它用于向 Exchange Web Services API 发出请求的用户代理,则表示为真正。
建议的操作:将警报分类为 TP。 根据调查,如果应用是恶意应用,可以在租户中撤销同意并禁用该应用。 如果是已泄露的应用,可以撤销同意、暂时禁用应用、查看权限、重置机密和证书,然后重新启用应用。
FP:如果在调查后,可以确认应用程序使用的用户代理在组织中具有合法的业务用途。
建议的操作:将警报分类为 FP。 此外,请考虑根据对警报的调查共享反馈。
了解违规的范围
- 查看应用程序是新创建的还是最近对其进行了任何更改。
- 查看授予应用程序的权限以及已同意应用程序的用户。
- 查看应用完成的所有活动。
横向移动警报
本部分介绍指示恶意参与者可能尝试在不同资源中横向移动的警报,同时通过多个系统和帐户来获取组织中的更多控制。
最近发现主要使用 MS Graph 或 Exchange Web Services 的休眠 OAuth 应用正在访问 ARM 工作负载
严重性: 中等
MITRE ID: T1078.004
此检测可识别租户中的应用程序,该应用程序在长时间的休眠活动后首次开始访问 Azure 资源管理器 API。 以前,此应用程序主要使用 MS Graph 或 Exchange Web 服务。
TP 还是 FP?
TP:如果应用未知或未使用,则给定活动可能可疑,并且可能需要在验证正在使用的 Azure 资源并验证租户中的应用使用情况后禁用应用。
建议的操作:
- 查看应用程序访问或创建的 Azure 资源,以及最近对应用程序所做的任何更改。
- 查看此应用请求的权限级别以及授予访问权限的用户。
- 根据调查,选择是否要禁止访问此应用。
FP:如果在调查后,你可以确认该应用在组织中具有合法的业务用途。
推荐操作: 关闭警报。
了解违规的范围
- 查看应用的访问权限和活动。
- 查看应用自创建以来完成的所有活动。
- 查看应用在 图形 API 中授予的范围,以及订阅中向其授予的角色。
- 查看在活动之前可能访问过应用的任何用户。
集合警报
本部分介绍了表明恶意行动者可能试图从组织收集与其目标相关的数据的警报。
应用进行了异常的电子邮件搜索活动
严重性: 中等
MITRE ID: T1114
此检测可识别应用何时同意可疑 OAuth 范围,并执行大量异常电子邮件搜索活动,例如通过图形 API搜索特定内容的电子邮件。 这可以指示试图破坏你的组织,例如攻击者试图通过图形 API搜索和读取组织的特定电子邮件。
TP 还是 FP?
TP:如果可以通过具有可疑 OAuth 范围的 OAuth 应用的图形 API确认大量异常电子邮件搜索和读取活动,并且该应用是从未知来源传递的。
建议的操作:禁用并删除应用、重置密码以及删除收件箱规则。
FP:如果可以确认应用已执行大量异常电子邮件搜索,并出于合法原因通读图形 API。
推荐操作: 关闭警报。
了解违规的范围
- 查看应用授予的范围。
- 查看应用完成的所有活动。
应用执行异常图形调用以读取电子邮件
严重性: 中等
MITRE ID: T1114
此检测会识别业务线(LOB) OAuth 应用通过图形 API 访问异常大量用户的邮件文件夹和邮件的时间,这可能表明试图泄露组织信息的行为。
TP 还是 FP?
TP: 如果你可以确认异常图形活动由业务线(LOB) OAuth 应用执行,则表明为正阳性。
建议的操作:暂时禁用应用并重置密码,然后重新启用应用。 按照有关如何使用 Microsoft Entra ID 重置密码的教程进行操作。
FP: 如果你可以确认应用旨在执行异常大量的图形调用。
推荐操作: 关闭警报。
了解违规的范围
- 查看此应用执行的事件的活动日志,从而更好地了解其他读取电子邮件并尝试收集用户敏感电子邮件信息的图形活动。
- 监视向应用添加的意外凭据。
应用创建收件箱规则并进行异常的电子邮件搜索活动
严重性: 中等
MITRE ID:T1137、T1114
此检测标识同意高特权范围的应用,创建可疑收件箱规则,并通过图形 API在用户邮件文件夹中进行异常的电子邮件搜索活动。 这可能表示试图入侵你的组织,例如攻击者尝试通过图形 API搜索和收集组织中的特定电子邮件。
TP 还是 FP?
TP:如果能够确认通过具有高权限范围的 OAuth 应用图形 API完成的任何特定电子邮件搜索和收集,并且应用是从未知源传递的。
推荐操作: 禁用和删除应用,重置密码,并删除收件箱规则。
FP:如果你确认应用已通过图形 API执行了特定的电子邮件搜索和收集,并且出于合法原因创建了新的或个人外部电子邮件帐户的收件箱规则。
推荐操作: 关闭警报。
了解违规的范围
- 查看应用完成的所有活动。
- 查看应用授予的范围。
- 查看应用创建的任何收件箱规则操作。
- 查看应用完成的任何电子邮件搜索活动。
应用创建了 OneDrive/SharePoint 搜索活动并创建了收件箱规则
严重性: 中等
MITRE ID 的:T1137、T1213
此检测可识别应用是否同意了高特权范围,创建了可疑收件箱规则,并通过 Graph API进行了异常的 SharePoint 或 OneDrive 搜索活动。 这可能指示对你的组织的尝试入侵,例如攻击者尝试通过 Graph API 从组织中搜索和收集 SharePoint 或 OneDrive 中的特定数据。
TP 还是 FP?
TP:如果能够确认 SharePoint 或 OneDrive 的任何特定数据,并通过具有高特权范围的 OAuth 应用图形 API完成搜索和收集,并且该应用是从未知来源传递的。
建议的操作:禁用并删除应用,重置密码,然后删除收件箱规则。
FP:如果你能够确认应用已通过 OAuth 应用图形 API执行了 SharePoint 或 OneDrive 中的特定数据,并且出于合法原因创建了新的或个人外部电子邮件帐户的收件箱规则。
建议操作:关闭警报
了解违规的范围
- 查看应用完成的所有活动。
- 查看应用授予的范围。
- 查看应用创建的任何收件箱规则操作。
- 查看应用执行的任何 SharePoint 或 OneDrive 搜索活动。
应用在 OneDrive 中进行了大量搜索和编辑
严重性: 中等
MITRE ID:T1137、T1213
此检测可识别具有高特权权限的 OAuth 应用,这些应用使用 图形 API 在 OneDrive 中执行大量搜索和编辑。
TP 还是 FP?
TP:如果你能够通过图形 API确认无法从具有高权限读取和写入 OneDrive 的 OAuth 应用程序确认高使用率 OneDrive 工作负载,则表示为真正。
建议的操作:根据调查,如果应用程序是恶意应用程序,则可以撤销同意并在租户中禁用该应用程序。 如果是已泄露的应用程序,可以撤销同意、暂时禁用应用、查看所需权限、重置密码,然后重新启用应用。
FP: 如果在调查后,可以确认应用在组织中具有合法的业务用途。
建议的操作:解决警报并报告发现结果。
了解违规的范围
- 验证应用是否来自可靠源。
- 验证应用程序是新创建的还是最近对其进行了任何更改。
- 查看授予应用程序的权限以及已同意应用程序的用户。
- 调查所有其他应用活动。
应用读取了大量重要邮件,并创建了收件箱规则
严重性: 中等
MITRE ID:T1137、T1114
此检测可识别应用是否同意高特权范围、创建可疑收件箱规则并通过 Graph API 进行大量重要邮件读取活动。 这可能表示试图入侵你的组织,例如攻击者尝试通过 Graph API 读取组织中的高重要性电子邮件。
TP 还是 FP?
TP:如果能够确认高特权范围的 OAuth 应用通读图形 API大量重要电子邮件,并且应用是从未知来源传递的。
建议的操作:禁用并删除应用,重置密码,然后删除收件箱规则。
FP:如果你能够确认应用已执行大量重要电子邮件通读图形 API并出于合法原因创建了新的或个人外部电子邮件帐户的收件箱规则。
建议操作:关闭警报
了解违规的范围
- 查看应用完成的所有活动。
- 查看应用授予的范围。
- 查看应用创建的任何收件箱规则操作。
- 查看应用执行的任何高重要性电子邮件读取活动。
特权应用在 Teams 中执行了异常活动
严重性: 中等
此检测可识别同意高特权 OAuth 范围的应用,这些应用访问Microsoft Teams,并通过图形 API进行异常的读取或发布聊天消息活动。 这可以指示试图破坏你的组织,例如攻击者试图通过图形 API从你的组织收集信息。
TP 还是 FP?
TP:如果能够通过具有高权限范围的 OAuth 应用图形 API来确认 Microsoft Teams 中的异常聊天消息活动,并且该应用是从未知源传递的。
建议的操作:禁用并删除应用并重置密码
FP:如果你能够确认通过图形 API在 Microsoft Teams 中执行的异常活动是出于合法原因。
建议操作:关闭警报
了解违规的范围
- 查看应用授予的范围。
- 查看应用完成的所有活动。
- 查看与应用关联的用户活动。
刚刚更新或添加新凭据的应用的异常 OneDrive 活动
严重性: 中等
MITRE ID:T1098.001、T1213
非Microsoft云应用对 OneDrive 发出异常图形 API调用,包括大量数据使用量。 机器学习检测到这些异常 API 调用是在应用添加新证书或更新现有证书/机密后的几天内进行的。 此应用可能涉及数据外泄或其他访问和检索敏感信息的尝试。
TP 还是 FP?
TP:如果可以通过图形 API确认应用执行了异常活动,例如大量使用 OneDrive 工作负载。
建议的操作:暂时禁用应用,重置密码,然后重新启用应用。
FP:如果可以确认应用未执行异常活动,或者应用旨在进行异常大量的 Graph 调用。
建议操作:关闭警报
了解违规的范围
- 查看应用执行的所有活动。
- 查看应用授予的范围。
- 查看与应用关联的用户活动。
刚刚更新或添加新凭据的应用的异常 SharePoint 活动
严重性: 中等
MITRE ID:T1098.001、T1213.002
非Microsoft云应用图形 API对 SharePoint 进行异常调用,包括大量数据使用。 机器学习检测到这些异常 API 调用是在应用添加新证书或更新现有证书/机密后的几天内进行的。 此应用可能涉及数据外泄或其他访问和检索敏感信息的尝试。
TP 还是 FP?
TP:如果可以通过图形 API确认应用程序执行了异常活动,例如大量使用 SharePoint 工作负载。
建议的操作:暂时禁用应用,重置密码,然后重新启用应用。
FP:如果可以确认应用未执行异常活动,或者应用旨在进行异常大量的 Graph 调用。
建议操作:关闭警报
了解违规的范围
- 查看应用执行的所有活动。
- 查看应用授予的范围。
- 查看与应用关联的用户活动。
与可疑邮件相关活动关联的应用元数据
严重性: 中等
MITRE ID:T1114
此检测为非Microsoft OAuth 应用生成警报,这些应用具有元数据(如 名称、 URL 或 发布者),这些元数据以前在具有可疑邮件相关活动的应用中观察到这些应用。 此应用可能是攻击活动的一部分,并可能涉及敏感信息的外泄。
TP 还是 FP?
TP:如果可以确认应用已创建邮箱规则或对 Exchange 工作负载发出大量异常图形 API调用。
建议的操作:
- 调查有关应用治理的应用注册详细信息,并访问 Microsoft Entra ID 了解更多详细信息。
- 请与授予应用许可或权限的用户或管理员联系。 验证更改是否是有意的。
- 搜索 CloudAppEvents 高级搜寻表以了解应用活动并确定应用访问的数据。 检查受影响的邮箱,并查看应用本身或已创建的规则可能已读取或转发的邮件。
- 在考虑任何包含操作之前,请验证应用是否对组织至关重要。 使用应用治理或Microsoft Entra ID停用应用,以防止其访问资源。 现有应用治理策略可能已停用应用。
FP:如果可以确认应用未执行异常活动,并且该应用在组织中具有合法的业务用途。
建议操作:关闭警报
了解违规的范围
- 查看应用执行的所有活动。
- 查看授予应用的范围。
- 查看与应用关联的用户活动。
具有访问大量电子邮件的 EWS 应用程序权限的应用
严重性: 中等
MITRE ID:T1114
此检测为具有 EWS 应用程序权限的多租户云应用生成警报,显示对特定于电子邮件枚举和收集的 Exchange Web Services API 的调用显著增加。 访问和检索敏感电子邮件数据时,可能会涉及此应用。
TP 还是 FP?
TP:如果可以确认应用已访问敏感的电子邮件数据或对 Exchange 工作负载进行了大量异常调用。
建议的操作:
- 调查有关应用治理的应用注册详细信息,并访问 Microsoft Entra ID 了解更多详细信息。
- 请与授予应用许可或权限的用户或管理员联系。 验证更改是否是有意的。
- 搜索 CloudAppEvents 高级搜寻表以了解应用活动并确定应用访问的数据。 检查受影响的邮箱,并查看应用本身或已创建的规则可能已读取或转发的邮件。
- 在考虑任何包含操作之前,请验证应用是否对组织至关重要。 使用应用治理或Microsoft Entra ID停用应用,以防止其访问资源。 现有应用治理策略可能已停用应用。
FP:如果可以确认应用未执行异常活动,并且该应用在组织中具有合法的业务用途。
建议操作:关闭警报
了解违规的范围
- 查看应用执行的所有活动。
- 查看授予应用的范围。
- 查看与应用关联的用户活动。
新访问 API 的未使用应用
严重性: 中等
MITRE ID:T1530
此检测为多租户云应用生成警报,该多租户云应用已处于非活动状态一段时间,最近已开始进行 API 调用。 此应用可能被攻击者入侵,并用于访问和检索敏感数据。
TP 还是 FP?
TP:如果可以确认应用已访问敏感数据或对 Microsoft Graph、Exchange 或 Azure 资源管理器工作负载进行了大量异常调用。
建议的操作:
- 调查有关应用治理的应用注册详细信息,并访问 Microsoft Entra ID 了解更多详细信息。
- 请与授予应用许可或权限的用户或管理员联系。 验证更改是否是有意的。
- 搜索 CloudAppEvents 高级搜寻表以了解应用活动并确定应用访问的数据。 检查受影响的邮箱,并查看应用本身或已创建的规则可能已读取或转发的邮件。
- 在考虑任何包含操作之前,请验证应用是否对组织至关重要。 使用应用治理或Microsoft Entra ID停用应用,以防止其访问资源。 现有应用治理策略可能已停用应用。
FP:如果可以确认应用未执行异常活动,并且该应用在组织中具有合法的业务用途。
建议操作:关闭警报
了解违规的范围
- 查看应用执行的所有活动。
- 查看授予应用的范围。
- 查看与应用关联的用户活动。
影响警报
本部分介绍指示恶意参与者可能试图操作、中断或销毁组织中的系统和数据的警报。
在虚拟机创建中启动异常峰值的 Entra 业务线应用
严重性: 中等
MITRE ID: T1496
此检测标识使用 Azure 资源管理器 API 在租户中创建大量 Azure 虚拟机的单租户新 OAuth 应用程序。
TP 还是 FP?
TP:如果能够确认最近已创建 OAuth 应用,并且正在租户中创建大量虚拟机,则会指示真正。
建议的操作:查看创建的虚拟机以及最近对应用程序所做的任何更改。 根据调查,可以选择禁止访问此应用。 查看此应用请求的权限级别以及授予访问权限的用户。
FP: 如果在调查后,可以确认应用在组织中具有合法的业务用途。
推荐操作: 关闭警报。
了解违规范围:
- 查看最近创建的应用和创建的 VM。
- 查看应用自创建以来完成的所有活动。
- 查看应用在 图形 API 中授予的范围,并在订阅中向其授予角色。
观察到在 Microsoft Graph 中具有高范围特权的 OAuth 应用正在启动虚拟机创建
严重性: 中等
MITRE ID: T1496
此检测可识别使用 Azure 资源管理器 API 在租户中创建大量 Azure 虚拟机的 OAuth 应用程序,同时在活动之前通过 MS 图形 API 在租户中拥有高特权。
TP 还是 FP?
TP:如果能够确认已创建具有高特权范围的 OAuth 应用,并且正在租户中创建大量虚拟机,则表示为真正。
建议的操作:查看创建的虚拟机以及最近对应用程序所做的任何更改。 根据调查,可以选择禁止访问此应用。 查看此应用请求的权限级别以及授予访问权限的用户。
FP: 如果在调查后,可以确认应用在组织中具有合法的业务用途。
推荐操作: 关闭警报。
了解违规范围:
- 查看最近创建的应用和创建的 VM。
- 查看应用自创建以来完成的所有活动。
- 查看应用在 图形 API 中授予的范围,并在订阅中向其授予角色。