通过

调查预定义的应用策略警报

  • 项目

应用治理为异常活动提供预定义的应用策略警报。 本指南旨在为你提供有关每个警报的一般和实用信息,以帮助你完成调查和修正任务。

本指南包含有关触发警报的条件的一般信息。 由于预定义策略本质上是不确定的,因此仅当存在偏离规范的行为时才会触发这些策略。

提示

某些警报可能处于预览状态,因此请定期查看更新的警报状态。

安全警报分类

经过适当的调查,所有应用治理警报都可以分类为下列活动类型之一:

  • 真正 (TP) :针对已确认的恶意活动的警报。
  • 良性真阳性 (B-TP) :针对可疑但不是恶意活动的警报,例如渗透测试或其他授权的可疑操作。
  • 误报 (FP) :非恶意活动的警报。

一般调查步骤

在调查任何类型的警报时,请使用以下一般准则,从而在应用推荐操作之前更清楚地了解潜在威胁。

  1. 查看应用严重性级别,并与租户中的其余应用进行比较。 此评审可帮助你确定租户中的哪些应用构成更大的风险。

  2. 如果标识了 TP,请查看所有应用活动以了解其影响。 例如,查看以下应用信息:

    • 授予访问权限的范围
    • 异常行为
    • IP 地址和位置

预定义的应用策略警报

本部分提供有关每个预定义策略警报的信息,以及调查和修正的步骤。

过度特权或高特权应用增加数据使用量

严重性: 中等

查找具有强大权限或未使用权限的应用,这些应用通过图形 API显示数据使用量突然增加。 数据使用情况的异常变化可能表示存在泄露。

TP 还是 FP?

若要确定警报是真正 (TP) 还是误报 (FP) ,请查看应用执行的所有活动、授予的应用范围以及与应用关联的用户活动。

  • TP:如果你已确认过度特权或高特权应用的数据使用量增加是不规则的或潜在的恶意应用,则应用此建议的操作。

    建议的操作:就导致数据使用量增加的应用活动与用户联系。 暂时禁用应用,重置密码,然后重新启用应用。

  • FP:如果你已确认检测到的应用活动是有意的,并且组织中具有合法的业务用途,则应用此建议的操作。

    推荐操作: 关闭警报。

严重性: 中等

发现已获得优先级帐户同意的应用表现出的数据使用量或图形 API访问错误异常增加。

TP 还是 FP?

查看应用执行的所有活动、授予应用的范围以及与应用关联的用户活动。

  • TP:如果已确认应用在获得优先级帐户同意的情况下出现的数据使用量或 API 访问错误增加,则应用此建议的操作非常不规范或潜在恶意。

    建议的操作:与优先级帐户用户联系,了解导致数据使用量增加或 API 访问错误的应用活动。 暂时禁用应用,重置密码,然后重新启用应用。

  • FP:如果你已确认检测到的应用活动是有意的,并且组织中具有合法的业务用途,则应用此建议的操作。

    推荐操作: 关闭警报。

严重性: 中等

用户经常拒绝来自新创建应用的同意请求。 用户通常拒绝来自表现出意外行为或来自不受信任的源的应用的同意请求。 同意率较低的应用更有可能具有风险或恶意。

TP 还是 FP?

查看应用执行的所有活动、授予应用的范围以及与应用关联的用户活动。

  • TP:如果你已确认应用来自未知来源,并且其活动非常不规则或可能恶意,则应用此建议的操作。

    建议的操作:暂时禁用应用,重置密码,然后重新启用应用。

  • FP:如果已确认检测到的应用活动是合法的,则应用此建议的操作。

    推荐操作: 关闭警报。

对 OneDrive 进行的图形 API调用激增

严重性: 中等

云应用显示对 OneDrive 的调用图形 API显著增加。 此应用可能涉及数据外泄或其他访问和检索敏感数据的尝试。

TP 还是 FP?

查看应用执行的所有活动、授予应用的范围以及与应用关联的用户活动。

  • TP:如果你已确认高度不规则的潜在恶意活动导致检测到 OneDrive 使用量增加,则应用此建议的操作。

    建议的操作:暂时禁用应用,重置密码,然后重新启用应用。

  • FP:如果已确认检测到的应用活动是合法的,则应用此建议的操作。

    推荐操作: 关闭警报。

对 SharePoint 进行的图形 API调用激增

严重性: 中等

云应用程序显示,对 SharePoint 的调用图形 API显著增加。 此应用可能涉及数据外泄或其他访问和检索敏感数据的尝试。

TP 还是 FP?

查看应用执行的所有活动、授予应用的范围以及与应用关联的用户活动。

  • TP:如果已确认高度不规则的潜在恶意活动已导致检测到 SharePoint 使用量增加,则应用此建议的操作。

    建议的操作:暂时禁用应用,重置密码,然后重新启用应用。

  • FP:如果已确认检测到的应用活动是合法的,则应用此建议的操作。

    推荐操作: 关闭警报。

对 Exchange 进行的图形 API调用激增

严重性: 中等

云应用显示对 Exchange 的调用图形 API显著增加。 此应用可能涉及数据外泄或其他访问和检索敏感数据的尝试。

TP 还是 FP?

查看应用执行的所有活动、授予应用的范围以及与应用关联的用户活动。

  • TP:如果已确认高度不规则的潜在恶意活动导致检测到 Exchange 使用量增加,则应用此建议的操作。

    建议的操作:暂时禁用应用,重置密码,然后重新启用应用。

  • FP:如果已确认检测到的应用活动是合法的,则应用此建议的操作。

    推荐操作: 关闭警报。

访问多个Microsoft 365 服务的可疑应用

严重性: 中等

查找在证书或机密更新后表现出统计异常图形 API活动的多个 Microsoft 365 服务具有 OAuth 访问权限的应用。 通过识别这些应用并检查其是否遭到入侵,可以防止横向移动、数据外泄和其他遍历云文件夹、电子邮件和其他服务的恶意活动。

TP 还是 FP?

查看应用执行的所有活动、授予应用的范围以及与应用关联的用户活动。

  • TP:如果你已确认对应用证书或机密和其他应用活动的更新非常不规范或可能恶意,则应用此建议的操作。

    建议的操作:暂时禁用应用,重置密码,然后重新启用应用。

  • FP:如果已确认检测到的应用活动是合法的,则应用此建议的操作。

    推荐操作: 关闭警报。

应用的大量收件箱规则创建活动

严重性: 中等

应用发出大量图形 API调用来创建 Exchange 收件箱规则。 此应用可能涉及数据收集和外泄或其他访问和检索敏感信息的尝试。

TP 还是 FP?

查看应用执行的所有活动、授予应用的范围以及与应用关联的用户活动。

  • TP:如果你已确认收件箱规则和其他活动的创建非常不规范或可能恶意,则应用此建议的操作。

    建议的操作:暂时禁用应用,重置密码,然后重新启用应用。

  • FP:如果已确认检测到的应用活动是合法的,则应用此建议的操作。

    推荐操作: 关闭警报。

应用的电子邮件搜索活动量很大

严重性: 中等

应用发出大量图形 API调用来搜索 Exchange 电子邮件内容。 此应用可能涉及数据收集或其他访问和检索敏感信息的尝试。

TP 还是 FP?

查看应用执行的所有活动、授予应用的范围以及与应用关联的用户活动。

  • TP:如果已确认 Exchange 和其他活动上的内容搜索非常不规则或可能恶意,则应用此建议的操作。

    建议的操作:暂时禁用应用,重置密码,然后重新启用应用。

  • FP:如果可以确认应用未执行异常邮件搜索活动,或者应用旨在通过图形 API进行异常邮件搜索活动。

    推荐操作: 关闭警报。

应用的电子邮件发送活动量很大

严重性: 中等

应用发出大量图形 API调用以使用 Exchange Online 发送电子邮件。 此应用可能涉及数据收集和外泄或其他访问和检索敏感信息的尝试。

TP 还是 FP?

查看应用执行的所有活动、授予应用的范围以及与应用关联的用户活动。

  • TP:如果已确认发送电子邮件和其他活动非常不规则或可能恶意,请应用此建议的操作。

    建议的操作:暂时禁用应用,重置密码,然后重新启用应用。

  • FP:如果可以确认应用未执行异常邮件发送活动,或者应用旨在通过图形 API进行异常邮件发送活动。

    推荐操作: 关闭警报。

访问敏感数据

严重性: 中等

查找访问由特定敏感标签标识的敏感数据的应用。

TP 还是 FP?

若要确定警报是 TP) (真正还是误报 (FP) ,请查看应用访问的资源。

  • TP:如果已确认应用或检测到的活动不规则或潜在恶意,则应用此建议的操作。

    建议的操作:通过从Microsoft Entra ID停用来阻止应用访问任何资源。

  • FP:如果你已确认该应用在组织中具有合法的业务用途,并且检测到的活动是预期的,则应用此建议的操作。

    推荐操作: 关闭警报。

后续步骤

了解应用威胁检测和修正