共用方式為

調查應用程式控管威脅偵測警示

  • 發行項

應用程式控管提供惡意活動的安全性偵測和警示。 本文列出每個可協助您調查和補救之警示的詳細數據,包括觸發警示的條件。 由於威脅偵測本質上不具決定性,因此只有在行為偏離規範時才會觸發。

如需詳細資訊,請參閱 Microsoft Defender for Cloud Apps 中的應用程式控管

注意事項

應用程式控管威脅偵測是以計算暫時性且可能不會儲存的數據活動為基礎,因此警示可能會提供活動數目或尖峰的指示,但不一定是所有相關數據。 特別是針對 OAuth 應用程式 圖形 API 活動,租使用者可以使用 Log Analytics 和 Sentinel 來稽核活動本身。

如需詳細資訊,請參閱:

MITRE ATT&CK

為了更容易對應應用程式控管警示與熟悉的 MITRE ATT&CK 矩陣之間的關係,我們已根據對應的 MITRE ATT&CK 策略將警示分類。 此額外參考可讓您更輕鬆地瞭解在觸發應用程式控管警示時可能使用的可疑攻擊技術。

本指南提供下列類別中的調查和補救應用程式控管之警示資訊。

安全性警示分類

在適當的調查之後,所有應用程式控管警示都可以分類為下列其中一種活動類型:

  • 確 (TP) :已確認惡意活動的警示。
  • 良性確 (B-TP) :可疑但非惡意活動的警示,例如滲透測試或其他授權的可疑動作。
  • 誤 (FP) :非惡意活動的警示。

一般調查步驟

在調查任何類型的警示時,請使用下列一般指導方針,以在應用建議動作之前更清楚地了解潛在威脅。

  • 檢閱應用程式嚴重性層級,並與租用戶中其餘的應用程式比較。 此檢閱可協助您識別租使用者中的哪些應用程式會造成更大的風險。

  • 如果您發現 TP,請檢閱所有應用程式活動,了解影響。 例如,請檢閱下列應用程式資訊:

    • 授予存取權的範圍
    • 異常行為
    • IP 位址和位置

初次存取警示

本節描述的警示可指出可能試圖在您的組織中保持立足點的惡意應用程式。

利用 OAuth 重新導向弱點,將應用程式重新導向至網路釣魚 URL

嚴重性:

此偵測會透過 Microsoft 圖形 API,利用 OAuth 實作中的回應類型參數,識別 OAuth 應用程式重新導向至網路釣魚 URL。

TP 或 FP?

  • TP:如果您可以確認 OAuth 應用程式是從未知來源傳遞,同意 OAuth 應用程式之後回復 URL 的回應類型會包含無效的要求,並重新導向至未知或不受信任的回復 URL。

    建議動作:停用並移除應用程式、重設密碼,以及移除收件匣規則。 

  • FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式完成的所有活動。 
  2. 檢閱應用程式授與的範圍。 

具有可疑回復 URL 的 OAuth 應用程式

嚴重性:

此偵測可識別透過Microsoft 圖形 API 存取可疑回復 URL 的 OAuth 應用程式。

TP 或 FP?

  • TP:如果您可以確認 OAuth 應用程式是從未知的來源傳遞,並重新導向至可疑的 URL,則表示確判為真。 可疑的 URL 是 URL 信譽不明、不受信任,或其網域最近註冊,且應用程式要求適用於高許可權範圍的 URL。

    建議的動作:檢閱應用程式要求的回復URL、網域和範圍。 根據您的調查,您可以選擇禁止存取此應用程式。 檢閱此應用程式要求的許可權層級,以及哪些用戶獲授與存取權。

    若要禁止存取應用程式,請在 [ 應用程式控管 ] 頁面上移至您應用程式的相關索引卷標。 在您要禁止的應用程式出現的數據列上,選取禁止圖示。 您可以選擇是否要告知使用者他們安裝和授權的應用程式已被禁止。 通知可讓使用者知道應用程式將會停用,而且他們將無法存取已連線的應用程式。 如果您不想讓他們知道,請取消選取 [通知] 在對話框中 授與此禁用應用程式存取權的使用者 。 建議您讓應用程式使用者知道他們的應用程式即將遭到禁用。

  • FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱最近建立的應用程式及其回復 URL。

  2. 檢閱應用程式完成的所有活動。 

  3. 檢閱應用程式授與的範圍。 

嚴重性:低

此偵測會識別最近建立且同意率較低的 OAuth 應用程式。 這可能表示惡意或具風險的應用程式會利用非法同意授與來誘使用戶。

TP 或 FP?

  • TP:如果您可以確認 OAuth 應用程式來自未知來源,則表示其確判為真。

    建議動作:檢閲顯示的名稱、回覆 URL 和應用程式的網域。 根據您的調查,您可以選擇禁止存取此應用程式。 檢閱此應用程式要求的權限層級,以及授與存取權的使用者。

  • FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式完成的所有活動。
  2. 如果您懷疑應用程式可疑,建議您在不同的 App Store 中調查應用程式名稱和回覆網域。 檢查 App Store 時,請專注於下列類型的應用程式:
    • 最近建立的應用程式
    • 顯示名稱異常的應用程式
    • 具有可疑回覆網域的應用程式
  3. 如果您仍然懷疑某個應用程式可疑,您可以研究該應用程式的顯示名稱和回覆網域。

URL 信譽不佳的應用程式

嚴重性:

此偵測會識別發現 URL 信譽不良的 OAuth 應用程式。

TP 或 FP?

  • TP:如果您可以確認 OAuth 應用程式來自未知來源並重新導向至可疑的 URL,則表示其確判為真。

    建議動作:檢閱並回覆應用程式要求的 URL、網域和範圍。 根據您的調查,您可以選擇禁止存取此應用程式。 檢閱此應用程式要求的權限層級,以及哪些使用者已授予存取權。

  • FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式完成的所有活動。
  2. 如果您懷疑應用程式可疑,建議您在不同的 App Store 中調查應用程式名稱和回覆網域。 檢查 App Store 時,請專注於下列類型的應用程式:
    • 最近建立的應用程式
    • 顯示名稱異常的應用程式
    • 具有可疑回覆網域的應用程式
  3. 如果您仍然懷疑某個應用程式可疑,您可以研究該應用程式的顯示名稱和回覆網域。

嚴重性:

描述:此偵測可發現帶有字元 (例如 Unicode 或編碼字元) 的 OAuth 應用程式,收到可疑的同意範圍要求並透過 Graph API 存取使用者郵件資料夾。 此警示可能表示有人企圖將惡意應用程式偽裝成已知且受信任的應用程式,以便攻擊者可以誤導使用者同意使用惡意應用程式。

TP 或 FP?

  • TP:如果您可以確認 OAuth 應用程式已使用從未知來源提供的可疑範圍對顯示名稱進行編碼,則表示其確判為真。

    建議動作:檢閱此應用程式要求的權限層級,以及哪些使用者已授予存取權。 根據您的調查,您可以選擇禁止存取此應用程式。

    若要禁止存取應用程式,請在 [ 應用程式控管 ] 頁面上移至您應用程式的相關索引卷標。 在您要禁止的應用程式出現的數據列上,選取禁止圖示。 您可以選擇是否要告知使用者他們安裝和授權的應用程式已被禁止。 通知可讓使用者知道應用程式將會停用,而且他們將無法存取已連線的應用程式。 如果您不想讓他們知道,請取消選取 [通知] 在對話框中授與此禁用應用程式存取權的使用者。 建議您讓應用程式使用者知道他們的應用程式即將遭到禁用。

  • FP:如果您要確認應用程式具有已編碼的名稱,但在組織中具有合法的商業用途。

    建議動作:關閉警示。

了解入侵範圍

請遵循教學課程,了解如何調查有風險的 OAuth 應用程式

具有讀取範圍的 OAuth 應用程式有可疑的回復 URL

嚴重性:

描述:此偵測會識別只有User.Read、人員等取範圍的OAuth應用程式。ReadContacts.ReadMail.ReadContacts.Read。透過 圖形 API 共用重新導向至可疑的回復 URL。 此活動會嘗試指出,具有較低權限的惡意應用程式 (例如讀取範圍) 可能會受到利用,以執行使用者帳戶偵察。

TP 或 FP?

  • TP:如果您可以確認具有讀取範圍的 OAuth 應用程式來自未知來源並重新導向至可疑的 URL,則表示其確判為真。

    建議動作:檢閱應用程式要求的回覆 URL 和範圍。 根據您的調查,您可以選擇禁止存取此應用程式。 檢閱此應用程式要求的權限層級,以及哪些使用者已授予存取權。

    若要禁止存取應用程式,請在 [ 應用程式控管 ] 頁面上移至您應用程式的相關索引卷標。 在您要禁止的應用程式出現的數據列上,選取禁止圖示。 您可以選擇是否要告知使用者他們安裝和授權的應用程式已被禁止。 通知可讓使用者知道應用程式將會停用,而且他們將無法存取已連線的應用程式。 如果您不想讓他們知道,請取消選取 [通知] 在對話框中授與此禁用應用程式存取權的使用者。 建議您讓應用程式使用者知道他們的應用程式即將遭到禁用。

  • B-TP:調查後,您可以確認應用程式在組織中具有合法的商業用途。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式完成的所有活動。
  2. 如果您懷疑應用程式可疑,建議您在不同的 App Store 中調查應用程式名稱和回覆 URL。 檢查 App Store 時,請專注於下列類型的應用程式:
    • 最近建立的應用程式。
    • 具有可疑回覆 URL 的應用程式
    • 最近尚未更新的應用程式。 缺少更新可能表示應用程式不再受到支援。
  3. 如果您仍然懷疑應用程式可疑,您可以在網路上研究應用程式名稱、發行者名稱和回覆 URL

在回復網域中具有異常顯示名稱和異常 TLD 的應用程式

嚴重性:

此偵測會識別具有異常顯示名稱的應用程式,並透過 圖形 API 重新導向至具有異常最上層網域 (TLD) 的可疑回復網域。 這可能表示嘗試將惡意或具風險的應用程式偽裝成已知且受信任的應用程式,讓敵人可能會誤導使用者同意其惡意或具風險的應用程式。 

TP 或 FP?

  • TP:若您能够確認具有異常顯示名稱的應用程式來自未知來源,並重新導向到具有一場頂層網域的可疑網域

    建議動作:檢閲應用程式的顯示名稱和回覆網域。 根據您的調查,您可以選擇禁止存取此應用程式。 檢閱此應用程式要求的權限層級,以及授與存取權的使用者。

  • FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。

    建議動作:關閉警示。

了解入侵範圍

檢閱應用程式完成的所有活動。 如果您懷疑應用程式可疑,建議您在不同的 App Store 中調查應用程式名稱和回覆網域。 檢查 App Store 時,請專注於下列類型的應用程式:

  • 最近建立的應用程式
  • 顯示名稱異常的應用程式
  • 具有可疑回覆網域的應用程式

如果您仍然懷疑某個應用程式可疑,您可以研究該應用程式的顯示名稱和回覆網域。

嚴重性:

此偵測會識別最近在相對較新的發行者租使用者中建立的 OAuth 應用程式,具有下列特性:

  • 存取或變更信箱設定的許可權
  • 相對低的同意率,可能會識別嘗試向不知情的使用者取得同意的不必要或甚至惡意應用程式

TP 或 FP?

  • TP:如果您能夠確認應用程式的同意要求是從未知或外部來源傳遞,而且應用程式在組織中沒有合法的商業用途,則會指出確判為真。

    建議的動作

    • 請連絡已同意此應用程式的使用者和系統管理員,確認這是刻意的,且許可權過長是正常的。
    • 調查應用程式活動,並檢查受影響的帳戶是否有可疑的活動。
    • 根據您的調查,停用應用程式,並暫停和重設所有受影響帳戶的密碼。
    • 將警示分類為真肯定。

  • FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。

    建議的動作:將警示分類為誤判,並考慮根據您對警示的調查來分享意見反應。

了解入侵範圍

檢閱使用者和系統管理員對應用程式的同意授與。 調查應用程式完成的所有活動,特別是存取相關聯使用者和系統管理員帳戶的信箱。 如果您懷疑應用程式可疑,請考慮停用應用程式,並輪替所有受影響帳戶的認證。

嚴重性:

此警示會識別最近在相對較新的發行者租用戶中註冊的 OAuth 應用程式,並具有變更信箱設定和存取電子郵件的許可權。 它也會驗證應用程式是否具有相對低的全域同意率,並多次呼叫Microsoft 圖形 API 來存取同意使用者的電子郵件。 觸發此警示的應用程式可能是不必要或惡意的應用程式,嘗試向不知情的使用者取得同意。

TP 或 FP?

  • TP:如果您能夠確認應用程式的同意要求是從未知或外部來源傳遞,而且應用程式在組織中沒有合法的商業用途,則會指出確判為真。

    建議的動作

    • 請連絡已同意此應用程式的使用者和系統管理員,確認這是刻意的,且許可權過長是正常的。
    • 調查應用程式活動,並檢查受影響的帳戶是否有可疑的活動。
    • 根據您的調查,停用應用程式,並暫停和重設所有受影響帳戶的密碼。
    • 將警示分類為真肯定。

  • FP:如果在調查之後,您可以確認應用程式在組織中有合法的商業用途,則會指出誤判。

    建議的動作:將警示分類為誤判,並考慮根據您對警示的調查來分享意見反應。

了解入侵範圍

檢閱使用者和系統管理員對應用程式的同意授與。 調查應用程式完成的所有活動,特別是存取相關聯使用者和系統管理員帳戶的信箱。 如果您懷疑應用程式可疑,請考慮停用應用程式,並輪替所有受影響帳戶的認證。

具有傳送許多電子郵件之郵件許可權的可疑應用程式

嚴重性:

此警示會尋找已多次呼叫 Microsoft 圖形 API 在短時間內傳送電子郵件的多租使用者 OAuth 應用程式。 它也會驗證 API 呼叫是否造成錯誤,以及傳送電子郵件的嘗試失敗。 觸發此警示的應用程式可能會主動將垃圾郵件或惡意電子郵件傳送至其他目標。

TP 或 FP?

  • TP:如果您能夠確認應用程式的同意要求是從未知或外部來源傳遞,而且應用程式在組織中沒有合法的商業用途,則會指出確判為真。

    建議的動作

    • 請連絡已同意此應用程式的使用者和系統管理員,確認這是刻意的,且許可權過長是正常的。
    • 調查應用程式活動,並檢查受影響的帳戶是否有可疑的活動。
    • 根據您的調查,停用應用程式,並暫停和重設所有受影響帳戶的密碼。
    • 將警示分類為真肯定。

  • FP:如果在調查之後,您可以確認應用程式在組織中有合法的商業用途,則會指出誤判。

    建議的動作:將警示分類為誤判,並考慮根據您對警示的調查來分享意見反應。

了解入侵範圍

檢閱使用者和系統管理員對應用程式的同意授與。 調查應用程式完成的所有活動,特別是存取相關聯使用者和系統管理員帳戶的信箱。 如果您懷疑應用程式可疑,請考慮停用應用程式,並輪替所有受影響帳戶的認證。

用來傳送許多電子郵件的可疑 OAuth 應用程式

嚴重性:

此警示指出 OAuth 應用程式已多次呼叫 Microsoft 圖形 API 在短時間內傳送電子郵件。 已知應用程式的發行者租使用者會繁衍大量 OAuth 應用程式,以進行類似的Microsoft 圖形 API 呼叫。 攻擊者可能會主動使用此應用程式將垃圾郵件或惡意電子郵件傳送至其目標。

TP 或 FP?

  • TP:如果您能夠確認應用程式的同意要求是從未知或外部來源傳遞,而且應用程式在組織中沒有合法的商業用途,則會指出確判為真。

    建議的動作

    • 請連絡已同意此應用程式的使用者和系統管理員,確認這是刻意的,且許可權過長是正常的。
    • 調查應用程式活動,並檢查受影響的帳戶是否有可疑的活動。
    • 根據您的調查,停用應用程式,並暫停和重設所有受影響帳戶的密碼。
    • 將警示分類為真肯定。

  • FP:如果在調查之後,您可以確認應用程式在組織中有合法的商業用途,則會指出誤判。

    建議的動作:將警示分類為誤判,並考慮根據您對警示的調查來分享意見反應。

了解入侵範圍

檢閱使用者和系統管理員對應用程式的同意授與。 調查應用程式完成的所有活動,特別是存取相關聯使用者和系統管理員帳戶的信箱。 如果您懷疑應用程式可疑,請考慮停用應用程式,並輪替所有受影響帳戶的認證。

持續性警示

本節描述的警示可指出可能試圖在您的組織中保持立足點的惡意執行者。

應用程式在憑證更新或新增新認證後對 Exchange 工作負載進行異常圖形呼叫

嚴重性:

MITRE 識別碼:T1098.001, T1114

此偵測會觸發商務用 (LOB) 應用程式更新憑證/秘密或新增認證,以及透過圖形 API 使用機器學習演算法,在憑證更新或新增新認證、觀察到異常活動或大量使用 Exchange 工作負載後的幾天內發出警示。

TP 或 FP?

  • TP:如果您能夠確認 Exchange 工作負載的異常活動/大量使用量是由 LOB 應用程式透過圖形 API 執行

    建議動作:暫時停用應用程式並重設密碼,然後重新啟用應用程式。

  • FP:如果您可以確認 LOB 應用程式或應用程式未執行特殊的活動,是要執行超長的高圖形通話量。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱此應用程式執行的所有活動。
  2. 檢閱應用程式授與的範圍。
  3. 檢閱與此應用程式關聯的使用者活動。

機器學習模型已標出具有可疑 OAuth 範圍的應用程式為高風險,進行圖形呼叫以讀取電子郵件,並建立了收件匣規則

嚴重性:

MITRE 識別碼:T1137.005, T1114

此偵測會識別由 Machine Learning 模型標示為高風險的 OAuth 應用程式,該模型同意可疑的範圍、建立可疑的收件匣規則,然後透過 圖形 API 存取使用者的郵件資料夾和郵件。 收件匣規則,例如將所有或特定電子郵件轉寄到另一個電子郵件帳戶,以及 Graph 呼叫以存取電子郵件並傳送到另一個電子郵件帳戶,可能會試圖從您的組織中竊取資訊。

TP 或 FP?

  • TP:如果您可以確認由 OAuth 協力廠商應用程式所建立,其可疑範圍從未知來源傳遞,則偵測到真正的正數。

    建議動作:停用並移除應用程式、重設密碼,以及移除收件匣規則。

請遵循如何使用 Microsoft Entra ID 重設密碼的教學課程,並遵循如何移除收件匣規則的教學課程。

  • FP:如果您可以確認該應用程式出於合法理由,為新的或個人的外部電子郵件帳戶建立收件匣規則。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式完成的所有活動。
  2. 檢閱應用程式授與的範圍。
  3. 檢閱應用程式建立的收件匣規則動作和條件。

具有可疑 OAuth 範圍的應用程式進行圖形呼叫以讀取電子郵件並建立收件匣規則

嚴重性:

MITRE 識別碼:T1137.005、T1114

此偵測可發現同意可疑範圍的 OAuth 應用程式、建立可疑的收件匣規則,然後透過 Graph API 存取使用者的郵件資料夾和郵件。 收件匣規則,例如將所有或特定電子郵件轉寄到另一個電子郵件帳戶,以及 Graph 呼叫以存取電子郵件並傳送到另一個電子郵件帳戶,可能會試圖從您的組織中竊取資訊。

TP 或 FP?

  • TP:如果您可以確認收件匣規則是由 OAuth 第三方應用程式建立,並且具有從未知來源提供的可疑範圍,則表示其確判為真。

    建議動作:停用並移除應用程式、重設密碼,以及移除收件匣規則。

    請遵循如何使用 Microsoft Entra ID 重設密碼的教學課程,並遵循如何移除收件匣規則的教學課程。

  • FP:如果您可以確認該應用程式出於合法理由,為新的或個人的外部電子郵件帳戶建立收件匣規則。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式完成的所有活動。
  2. 檢閱應用程式授與的範圍。
  3. 檢閱應用程式建立的收件匣規則動作和條件。

從異常位置存取的應用程式張貼憑證更新

嚴重性:低

MITRE 識別碼:T1098

此偵測會在企業營運 (LOB) 應用程式更新憑證/秘密時,以及在憑證更新後的幾天內,從最近或從未存取過的異常位置存取應用程式時觸發警示。

TP 或 FP?

  • TP:如果您能够確認 LOB 應用程式從異常位置存取,並透過 Graph API 執行異常活動。

    建議動作:暫時停用應用程式並重設密碼,然後重新啟用應用程式。

  • FP:若您能够確認 LOB 應用程式出於合法目的從異常位置存取,並且沒有執行異常活動。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱此應用程式執行的所有活動。
  2. 檢閱應用程式授與的範圍。
  3. 檢閱與此應用程式關聯的使用者活動。

從異常位置存取的應用程式發出異常 Graph 呼叫後憑證更新

嚴重性:

MITRE 識別碼:T1098

此偵測會在企業營運 (LOB) 應用程式更新憑證/秘密時觸發警示,並在憑證更新後的幾天內,從最近未看到或從未存取過的異常位置存取應用程式,並使用機器學習演算法透過 圖形 API 觀察到不尋常的活動或使用狀況。

TP 或 FP?

  • TP:若您能够確認 LOB 應用程式透過 Graph API 從異常位置執行了異常活動/使用情況。

    建議動作:暫時停用應用程式並重設密碼,然後重新啟用應用程式。

  • FP:若您能够確認 LOB 應用程式出於合法目的從異常位置存取,並且沒有執行異常活動。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱此應用程式執行的所有活動。
  2. 檢閱應用程式授與的範圍。
  3. 檢閱與此應用程式關聯的使用者活動。

最近建立的應用程式有大量的撤銷同意

嚴重性:

MITRE 識別碼:T1566、T1098

數個使用者已撤銷其最近建立的企業營運 (LOB) 或第三方應用程式的同意。 此應用程式可能會不小心誘使用戶同意它。

TP 或 FP?

  • TP:如果您可以確認 OAuth 應用程式是從未知的來源傳遞,而且應用程式行為可疑。 

    建議的動作:撤銷授與應用程式的同意並停用應用程式。 

  • FP:如果在調查之後,您可以確認應用程式在組織中有合法的商業用途,而且應用程式未執行任何不尋常的活動。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式執行的所有活動。
  2. 如果您懷疑應用程式可疑,建議您調查不同應用程式市集內應用程式的名稱和回復網域。 檢查 App Store 時,請專注於下列類型的應用程式:
    • 最近建立的應用程式
    • 具有不尋常顯示名稱的應用程式
    • 具有可疑回覆網域的應用程式
  3. 如果您仍然懷疑某個應用程式可疑,您可以研究該應用程式的顯示名稱和回覆網域。

與已知網路釣魚活動相關聯的應用程式元數據

嚴重性:

此偵測會針對非Microsoft OAuth 應用程式產生警示,這些應用程式具有先前在與網路釣魚行銷活動相關聯的應用程式中觀察到的元數據,例如 名稱URL發行者。 這些應用程式可能是相同營銷活動的一部分,而且可能涉及敏感性資訊的外洩。

TP 或 FP?

  • TP:如果您能夠確認 OAuth 應用程式是從未知的來源傳遞,而且正在執行不尋常的活動。

    建議的動作

    • 調查應用程式的應用程式註冊詳細數據,並流覽 Microsoft Entra ID 以取得詳細數據。
    • 請連絡授與應用程式同意或許可權的用戶或系統管理員。 確認變更是否為刻意變更。
    • 搜尋 CloudAppEvents 進階搜捕數據表以瞭解應用程式活動,並判斷觀察到的行為是否為預期。
    • 在考慮任何內含項目動作之前,請先確認應用程式是否對您的組織很重要。 使用應用程式控管或 Microsoft Entra ID 停用應用程式,以防止其存取資源。 現有的應用程式控管原則可能已停用應用程式。

  • FP:如果您可以確認應用程式未執行任何不尋常的活動,而且應用程式在組織中有合法的商業用途。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式執行的所有活動。
  2. 檢閱授與應用程式的範圍。
  3. 檢閱與應用程式相關聯的用戶活動。

與先前標幟可疑應用程式相關聯的應用程式元數據

嚴重性:

此偵測會針對具有元數據的非Microsoft OAuth 應用程式產生警示,例如 名稱URL發行者,這些是先前在應用程式控管因可疑活動而標幟的應用程式中觀察到的。 此應用程式可能是攻擊活動的一部分,而且可能涉及敏感性資訊的外洩。

TP 或 FP?

  • TP:如果您能夠確認 OAuth 應用程式是從未知的來源傳遞,而且正在執行不尋常的活動。

    建議的動作

    • 調查應用程式的應用程式註冊詳細數據,並流覽 Microsoft Entra ID 以取得詳細數據。
    • 請連絡授與應用程式同意或許可權的用戶或系統管理員。 確認變更是否為刻意變更。
    • 搜尋 CloudAppEvents 進階搜捕數據表以瞭解應用程式活動,並判斷觀察到的行為是否為預期。
    • 在考慮任何內含項目動作之前,請先確認應用程式是否對您的組織很重要。 使用應用程式控管或 Microsoft Entra ID 停用應用程式,以防止其存取資源。 現有的應用程式控管原則可能已停用應用程式。

  • FP:如果您可以確認應用程式未執行任何不尋常的活動,而且應用程式在組織中有合法的商業用途。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式執行的所有活動。
  2. 檢閱授與應用程式的範圍。
  3. 檢閱與應用程式相關聯的用戶活動。

透過 圖形 API可疑的 OAuth 應用程式電子郵件活動

嚴重性:高

此偵測會針對具有高風險登入的使用者所註冊的多租使用者 OAuth 應用程式產生警示,這些應用程式會呼叫Microsoft 圖形 API 在短時間內執行可疑的電子郵件活動。

此偵測會驗證 API 呼叫是否已建立信箱規則、建立回復電子郵件、轉寄電子郵件、回復或傳送的新電子郵件。 觸發此警示的應用程式可能會主動將垃圾郵件或惡意電子郵件傳送至其他目標,或是外泄機密數據並清除追蹤以規避偵測。

TP 或 FP?

  • TP:如果您能夠確認應用程式的建立和同意要求是從未知或外部來源傳遞,而且應用程式在組織中沒有合法的商業用途,則表示確判為真。

    建議的動作

    • 請連絡已同意此應用程式的使用者和系統管理員,確認這是刻意的,且許可權過長是正常的。

    • 調查應用程式活動,並檢查受影響的帳戶是否有可疑的活動。

    • 根據您的調查,停用應用程式,並暫停和重設所有受影響帳戶的密碼,並移除收件匣規則。

    • 將警示分類為真肯定。

  • FP:如果在調查之後,您可以確認應用程式在組織中有合法的商業用途,則會指出誤判。

    建議的動作

    • 將警示分類為誤判,並考慮根據您對警示的調查來分享意見反應。

    • 瞭解缺口的範圍:

      檢閱使用者和系統管理員對應用程式的同意授與。 調查應用程式完成的所有活動,特別是存取相關聯使用者和系統管理員帳戶的信箱。 如果您懷疑應用程式可疑,請考慮停用應用程式,並輪替所有受影響帳戶的認證。

透過EWS API的可疑 OAuth 應用程式電子郵件活動

嚴重性:高

此偵測會針對具有高風險登入的使用者所註冊的多租使用者 OAuth 應用程式產生警示,這些應用程式會呼叫 Microsoft Exchange Web 服務 (EWS) API 在短時間內執行可疑的電子郵件活動。

此偵測會驗證 API 呼叫是否已進行更新收件匣規則、移動專案、刪除電子郵件、刪除資料夾或刪除附件。 觸發此警示的應用程式可能會主動外泄或刪除機密數據,並清除追蹤以規避偵測。

TP 或 FP?

  • TP:如果您能夠確認應用程式的建立和同意要求是從未知或外部來源傳遞,而且應用程式在組織中沒有合法的商業用途,則表示確判為真。

    建議的動作

    • 請連絡已同意此應用程式的使用者和系統管理員,確認這是刻意的,且許可權過長是正常的。

    • 調查應用程式活動,並檢查受影響的帳戶是否有可疑的活動。

    • 根據您的調查,停用應用程式,並暫停和重設所有受影響帳戶的密碼,並移除收件匣規則。

    • 將警示分類為真肯定。

  • FP:如果在調查之後,您可以確認應用程式在組織中有合法的商業用途,則會指出誤判。

    建議的動作

    • 將警示分類為誤判,並考慮根據您對警示的調查來分享意見反應。

    • 瞭解缺口的範圍:

      檢閱使用者和系統管理員對應用程式的同意授與。 調查應用程式完成的所有活動,特別是存取相關聯使用者和系統管理員帳戶的信箱。 如果您懷疑應用程式可疑,請考慮停用應用程式,並輪替所有受影響帳戶的認證。

許可權提升警示

具有可疑元數據的 OAuth 應用程式具有 Exchange 許可權

嚴重性:

MITRE 識別碼:T1078

當具有可疑元數據的企業營運應用程式具有管理 Exchange 許可權的許可權時,就會觸發此警示。

TP 或 FP?

  • TP:如果您能夠確認 OAuth 應用程式是從未知的來源傳遞,而且具有可疑的元數據特性,則表示確判為真。

建議的動作:撤銷授與應用程式的同意並停用應用程式。

FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。

建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式完成的所有活動。
  2. 檢閱應用程式授與的範圍。
  3. 檢閱與應用程式相關聯的用戶活動。

防禦規避警示

嚴重性:

非Microsoft雲端應用程式使用機器學習演算法找到的標誌,類似於Microsoft標誌。 這可能是嘗試模擬Microsoft軟體產品,並顯示為合法。

注意事項

租用戶系統管理員必須透過彈出視窗提供同意,以在目前的合規性界限外傳送必要的數據,並在Microsoft內選取合作夥伴小組,以便為企業營運應用程式啟用此威脅偵測。

TP 或 FP?

  • TP:如果您可以確認應用程式標誌是Microsoft標誌的預設值,而且應用程式行為可疑。 

    建議的動作:撤銷授與應用程式的同意並停用應用程式。

  • FP:如果您可以確認應用程式標誌不是Microsoft標誌,或應用程式未執行任何不尋常的活動。 

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式執行的所有活動。
  2. 檢閱授與應用程式的範圍。
  3. 檢閱與應用程式相關聯的用戶活動。

應用程式與錯字網域相關聯

嚴重性:

此偵測會針對具有發行者網域的非Microsoft OAuth 應用程式產生警示,或針對包含Microsoft品牌名稱之錯字版本的重新導向 URL 產生警示。 每當使用者不小心輸入錯誤的 URL 時,通常會使用打字來擷取網站的流量,但也可以用來模擬熱門的軟體產品和服務。

TP 或 FP?

  • TP:如果您可以確認應用程式的發行者網域或重新導向 URL 為錯字,且與應用程式的實際身分識別無關。

    建議的動作

    • 調查應用程式的應用程式註冊詳細數據,並流覽 Microsoft Entra ID 以取得詳細數據。
    • 檢查應用程式是否有詐騙或仿真的其他徵兆,以及任何可疑的活動。
    • 在考慮任何內含項目動作之前,請先確認應用程式是否對您的組織很重要。 使用應用程式控管停用應用程式,以防止其存取資源。 現有的應用程式控管原則可能已停用應用程式。

  • FP:如果您可以確認應用程式的發行者網域和重新導向 URL 合法。 

    建議的動作:將警示分類為誤判,並考慮根據您對警示的調查來分享意見反應。

了解入侵範圍

  1. 檢閱應用程式執行的所有活動。
  2. 檢閱授與應用程式的範圍。
  3. 檢閱與應用程式相關聯的用戶活動。

認證存取

本節描述指出惡意執行者可能嘗試讀取敏感性認證數據的警示,並包含竊取貴組織中帳戶名稱、秘密、令牌、憑證和密碼等認證的技術。

應用程式起始多個失敗的 KeyVault 讀取活動,但未成功

嚴重性:

MITRE 識別碼:T1078.004

此偵測會識別租用戶中觀察到在短時間內使用 Azure Resource Manager API 對 KeyVault 進行多次讀取動作呼叫的應用程式,其中只有失敗且未成功完成讀取活動。

TP 或 FP?

  • TP:如果應用程式未知或未使用,則指定的活動可能可疑。 驗證所使用的 Azure 資源並驗證租使用者中的應用程式使用量之後,指定的活動可能需要停用應用程式。 這通常是針對 KeyVault 資源的可疑列舉活動證明,以取得橫向移動或許可權提升認證的存取權。

    建議的動作:檢閱應用程式所存取或建立的 Azure 資源,以及最近對應用程式所做的任何變更。 根據您的調查,選擇是否要禁止存取此應用程式。 檢閱此應用程式要求的許可權等級,以及哪些使用者已授與存取權。

  • FP:如果在調查之後,您可以確認應用程式在組織中有合法的商業用途。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式的存取和活動。
  2. 檢閱應用程式建立後完成的所有活動。
  3. 檢閱應用程式在 圖形 API 中授與的範圍,以及在您的訂用帳戶中授與的角色。
  4. 檢閱在活動之前可能已存取應用程式的任何使用者。

探索警示

應用程式執行的磁碟驅動器列舉

嚴重性:

MITRE 識別碼:T1087

此偵測會識別機器學習模型使用圖形 API 在 OneDrive 檔案上執行列舉時所偵測到的 OAuth 應用程式。

TP 或 FP?

  • TP:如果您能夠確認 OneDrive 的異常活動/使用方式是由 LOB 應用程式透過圖形 API 執行。

    建議動作: 停用並移除應用程式,並重設密碼。

  • FP:如果您可以確認應用程式未執行任何異常活動。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱此應用程式執行的所有活動。
  2. 檢閱應用程式授與的範圍。
  3. 檢閱與此應用程式關聯的使用者活動。

使用 Microsoft Graph PowerShell 執行的可疑列舉活動

嚴重性:

MITRE 識別碼:T1087

此偵測可識別在短時間內透過 Microsoft Graph PowerShell 應用程式執行的大量可疑列舉活動。

TP 或 FP?

  • TP:如果您能夠確認可疑/不尋常的列舉活動是由 Microsoft Graph PowerShell 應用程式執行。

    建議動作: 停用並移除應用程式,並重設密碼。

  • FP:如果您可以確認應用程式未執行任何異常活動。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱此應用程式執行的所有活動。
  2. 檢閱與此應用程式關聯的使用者活動。

最近建立的多租使用者應用程式經常列舉用戶資訊

嚴重性:

MITRE 識別碼:T1087

此警示會尋找最近在相對較新的發行者租用戶中註冊的 OAuth 應用程式,且具有變更信箱設定和存取電子郵件的許可權。 它會驗證應用程式是否已多次呼叫Microsoft 圖形 API 要求使用者目錄資訊。 觸發此警示的應用程式可能會讓用戶獲得同意,讓他們可以存取組織數據。

TP 或 FP?

  • TP:如果您能夠確認應用程式的同意要求是從未知或外部來源傳遞,而且應用程式在組織中沒有合法的商業用途,則會指出確判為真。

    建議的動作

    • 請連絡已同意此應用程式的使用者和系統管理員,確認這是刻意的,且許可權過長是正常的。
    • 調查應用程式活動,並檢查受影響的帳戶是否有可疑的活動。
    • 根據您的調查,停用應用程式,並暫停和重設所有受影響帳戶的密碼。
    • 將警示分類為真肯定。

  • FP:如果在調查之後,您可以確認應用程式在組織中有合法的商業用途,則會指出誤判。

    建議的動作:將警示分類為誤判,並考慮根據您對警示的調查來分享意見反應。

了解入侵範圍

檢閱使用者和系統管理員對應用程式的同意授與。 調查應用程式完成的所有活動,特別是使用者目錄資訊的列舉。 如果您懷疑應用程式可疑,請考慮停用應用程式,並輪替所有受影響帳戶的認證。

外流警示

本節描述的警示指出惡意執行者可能會嘗試竊取貴組織對其目標感興趣的數據。

使用不尋常的使用者代理程式的 OAuth 應用程式

嚴重性:低

MITRE 識別碼:T1567

此偵測會識別使用不尋常的使用者代理程式來存取 圖形 API 的 OAuth 應用程式。

TP 或 FP?

  • TP:如果您能夠確認 OAuth 應用程式最近已開始使用先前未使用的新使用者代理程式,且這項變更是非預期的,則表示確判為真。

    建議的動作:檢閱使用的使用者代理程式,以及最近對應用程式所做的任何變更。 根據您的調查,您可以選擇禁止存取此應用程式。 檢閱此應用程式要求的權限層級,以及哪些使用者已授予存取權。

  • FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱最近建立的應用程式和使用的使用者代理程式。
  2. 檢閱應用程式完成的所有活動。 
  3. 檢閱應用程式授與的範圍。 

具有異常使用者代理程式的應用程式透過 Exchange Web 服務存取電子郵件數據

嚴重性:高

MITRE 識別碼:T1114、T1567

此偵測會識別使用不尋常的使用者代理程式使用 Exchange Web 服務 API 存取電子郵件數據的 OAuth 應用程式。

TP 或 FP?

  • TP:如果您能夠確認 OAuth 應用程式預期不會變更用來對 Exchange Web 服務 API 提出要求的使用者代理程式,則會指出確判為真。

    建議的動作:將警示分類為 TP。 根據調查,如果應用程式是惡意的,您可以撤銷同意並停用租使用者中的應用程式。 如果是遭入侵的應用程式,您可以撤銷同意、暫時停用應用程式、檢閱許可權、重設秘密和憑證,然後重新啟用應用程式。

  • FP:如果在調查之後,您可以確認應用程式使用的使用者代理程式在組織中具有合法的商業用途。

    建議的動作:將警示分類為 FP。 此外,請考慮根據您對警示的調查來分享意見反應。

了解入侵範圍

  1. 檢閱應用程式是新建立的,還是已經對它進行任何最近的變更。
  2. 檢閱授與應用程式的許可權,以及已同意應用程式的使用者。
  3. 檢閱應用程式完成的所有活動。

橫向移動警示

本節描述的警示指出惡意執行者可能會嘗試在不同的資源內橫向移動,同時透過多個系統和帳戶進行樞紐分析,以在您的組織中取得更多控制權。

休眠 OAuth 應用程式主要使用 MS Graph 或 Exchange Web 服務,最近發現正在存取 ARM 工作負載

嚴重性:

MITRE 識別碼:T1078.004

此偵測會識別租使用者中的應用程式,該應用程式在長時間休眠活動之後,第一次開始存取 Azure Resource Manager API。 先前,此應用程式大多使用 MS Graph 或 Exchange Web 服務。

TP 或 FP?

  • TP:如果應用程式未知或未使用,則指定的活動可能會可疑,而且在確認所使用的 Azure 資源,以及驗證租使用者中的應用程式使用量之後,可能需要停用應用程式。

    建議的動作

    1. 檢閱應用程式所存取或建立的 Azure 資源,以及最近對應用程式所做的任何變更。
    2. 檢閱此應用程式要求的權限層級,以及哪些使用者已授予存取權。
    3. 根據您的調查,選擇是否要禁止存取此應用程式。

  • FP:如果在調查之後,您可以確認應用程式在組織中有合法的商業用途。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式的存取和活動。
  2. 檢閱應用程式建立後完成的所有活動。
  3. 檢閱應用程式在 圖形 API 中授與的範圍,以及在您的訂用帳戶中授與的角色。
  4. 檢閱在活動之前可能已存取應用程式的任何使用者。

集合警示

本節描述的警報可指出,惡意行為者可能正嘗試從您的組織收集對其目標有益的資料。

應用程式進行不尋常的電子郵件搜尋活動

嚴重性:

MITRE 識別碼:T1114

此偵測會識別應用程式何時同意可疑的 OAuth 範圍,並進行大量不尋常的電子郵件搜尋活動,例如透過 圖形 API 來搜尋特定內容的電子郵件。 這可能表示已嘗試入侵您的組織,例如嘗試透過 圖形 API 搜尋和讀取貴組織的特定電子郵件的敵人。 

TP 或 FP?

  • TP:如果您可以透過具有可疑 OAuth 範圍的 OAuth 應用程式,透過 圖形 API 確認大量的異常電子郵件搜尋和讀取活動,而且應用程式是從未知的來源傳遞。

    建議的動作:停用和移除應用程式、重設密碼,以及移除收件匣規則。 

  • FP:如果您可以確認應用程式已執行大量不尋常的電子郵件搜尋,並基於合法原因讀取 圖形 API。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式授與的範圍。
  2. 檢閱應用程式完成的所有活動。 

應用程式進行異常 Graph 呼叫以讀取電子郵件

嚴重性:

MITRE 識別碼:T1114

此偵測可發現企業營運 (LOB) OAuth 應用程式透過 Graph API 存取異常且大量的使用者郵件資料夾和郵件,這表示惡意攻擊者已嘗試入侵您的組織。

TP 或 FP?

  • TP:如果您可以確認異常 Graph 活動是由企業營運 (LOB) OAuth 應用程式執行的,則表示其確判為真。

    建議的動作:暫時停用應用程式並重設密碼,然後重新啟用應用程式。 請遵循如何使用 Microsoft Entra ID 重設密碼的教學課程。

  • FP:如果您可以確認應用程式試圖執行異常大量的 Graph 呼叫。

    建議動作:關閉警示。

了解入侵範圍

  1. 請查閱此應用程式所執行之事件的活動記錄,以深入了解其他 Graph 活動,以讀取電子郵件並嘗試收集使用者的敏感性電子郵件資訊。
  2. 監視新增到應用程式的未預期認證。

應用程式建立收件匣規則並執行異常電子郵件搜尋活動

嚴重性:

MITRE 識別碼:T1137、T1114

此偵測識別同意高權限範圍、建立可疑收件匣規則以及透過 Graph API 在使用者郵件資料夾中進行異常電子郵件搜尋活動的應用程式。 這可能表示有人試圖入侵貴組織,例如攻擊者試圖透過 Graph API 搜尋和收集貴組織的特定電子郵件。

TP 或 FP?

  • TP:如果您能够確認具有高權限範圍的 OAuth 應用程式透過 Graph API 完成的任何特定電子郵件搜尋和收集,並且該應用程式來自未知來源。

    建議動作:停用並移除應用程式、重設密碼,以及移除收件匣規則。

  • FP:若您能够確認應用程式已透過 Graph API 執行了特定電子郵件搜尋和收集,並出於合法原因為新的或個人外部電子郵件帳戶建立了收件匣規則。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式完成的所有活動。
  2. 檢閱應用程式授與的範圍。
  3. 檢閲應用程式建立的任何收件匣規則動作。
  4. 檢閲應用程式已執行的所有電子郵件搜尋活動。

應用程式已建立 OneDrive/ SharePoint 搜尋活動並建立收件匣規則

嚴重性:

MITRE 識別碼:T1137、T1213

此偵測會識別應用程式同意高權限範圍、建立可疑的信箱規則,並透過 Graph API 進行異常的 SharePoint 或 OneDrive 搜尋活動。 這可能表示有人試圖入侵貴組織,例如攻擊者試圖透過 Graph API 搜尋和收集貴組織來自 SharePoint 或 OneDrive 的特定電子郵件。 

TP 或 FP?

  • TP:如果您能夠透過具有高許可權範圍的 OAuth 應用程式 圖形 API,確認來自 SharePoint 或 OneDrive 搜尋和收集的任何特定數據,而且應用程式是從未知的來源傳遞。 

    建議的動作:停用和移除應用程式、重設密碼,以及移除收件匣規則。 

  • FP:如果您能夠確認應用程式已透過 OAuth 應用程式的 圖形 API,從 SharePoint 或 OneDrive 搜尋和收集執行特定數據,並基於合法原因建立新或個人外部電子郵件帳戶的收件匣規則。 

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式完成的所有活動。 
  2. 檢閱應用程式授與的範圍。 
  3. 檢閲應用程式建立的任何收件匣規則動作。 
  4. 檢閱應用程式完成的任何 SharePoint 或 OneDrive 搜尋活動。

應用程式在 OneDrive 中進行許多搜尋和編輯

嚴重性:

MITRE 識別碼:T1137、T1213

此偵測會識別具有高許可權許可權的 OAuth 應用程式,這些應用程式會使用 圖形 API 在 OneDrive 中執行大量搜尋和編輯。

TP 或 FP?

  • TP:如果您能夠透過 圖形 API 確認 OneDrive 工作負載的高使用量,此 OAuth 應用程式預期不會有讀取和寫入 OneDrive 的高許可權,則表示確判為真。

    建議的動作:根據調查,如果應用程式是惡意的,您可以撤銷同意並停用租使用者中的應用程式。 如果是遭入侵的應用程式,您可以撤銷同意、暫時停用應用程式、檢閱必要的許可權、重設密碼,然後重新啟用應用程式。

  • FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。

    建議的動作:解決警示並報告您的結果。

了解入侵範圍

  1. 確認應用程式是否來自可靠的來源。
  2. 確認應用程式是新建立的,還是已經對它進行任何最近的變更。
  3. 檢閱授與應用程式的許可權,以及已同意應用程式的使用者。
  4. 調查所有其他應用程式活動。

應用程式已讀取大量重要性的郵件並建立收件匣規則

嚴重性:

MITRE 識別碼:T1137、T1114

此偵測會識別應用程式同意高權限範圍、建立可疑的收件匣規則, 並透過 Graph API 進行大量重要的郵件讀取活動。 這可能表示有人試圖入侵貴組織, 例如攻擊者試圖透過 Graph API 讀取貴組織的重要電子郵件。 

TP 或 FP?

  • TP:如果您能夠確認具有高許可權範圍的 OAuth 應用程式 圖形 API 讀取大量重要電子郵件,而且應用程式是從未知的來源傳遞。 

    建議的動作:停用和移除應用程式、重設密碼,以及移除收件匣規則。 

  • FP:如果您能夠確認應用程式已執行大量的重要電子郵件讀取 圖形 API,並基於合法原因建立新或個人外部電子郵件帳戶的收件匣規則。 

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式完成的所有活動。 
  2. 檢閱應用程式授與的範圍。 
  3. 檢閲應用程式建立的任何收件匣規則動作。 
  4. 查看應用程式完成的任何高重要性電子郵件讀取活動。

特殊許可權應用程式在Teams中執行了不尋常的活動

嚴重性:

此偵測會識別同意高許可權 OAuth 範圍的應用程式,這些範圍Microsoft Teams 存取,並透過 圖形 API 進行不尋常的讀取或張貼聊天訊息活動。 這可能表示已嘗試入侵您的組織,例如嘗試透過 圖形 API 從組織收集信息的敵人。

TP 或 FP?

  • TP:如果您能夠透過具有高許可權範圍的 OAuth 應用程式 圖形 API,確認Microsoft Teams 中的異常聊天訊息活動,而且應用程式是從未知的來源傳遞。

    建議的動作:停用和移除應用程式並重設密碼

  • FP:如果您能夠確認透過 圖形 API 在 Microsoft Teams 中執行的異常活動是合法原因。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式授與的範圍。
  2. 檢閱應用程式完成的所有活動。
  3. 檢閱與應用程式相關聯的用戶活動。

僅更新或新增認證的應用程式異常 OneDrive 活動

嚴重性:

MITRE 識別碼:T1098.001、T1213

非Microsoft雲端應用程式對 OneDrive 進行異常 圖形 API 呼叫,包括大量數據使用量。 機器學習服務偵測到,這些不尋常的 API 呼叫是在應用程式新增或更新現有憑證/秘密后的幾天內進行。 此應用程式可能涉及數據外流或其他存取和擷取敏感性信息的嘗試。

TP 或 FP?

  • TP:如果您可以確認應用程式透過 圖形 API 執行異常活動,例如大量使用 OneDrive 工作負載。

    建議的動作:暫時停用應用程式、重設密碼,然後重新啟用應用程式。

  • FP:如果您可以確認應用程式未執行任何不尋常的活動,或應用程式想要進行異常大量的 Graph 呼叫。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式執行的所有活動。
  2. 檢閱應用程式授與的範圍。
  3. 檢閱與應用程式相關聯的用戶活動。

僅更新或新增認證之應用程式的異常 SharePoint 活動

嚴重性:

MITRE 識別碼:T1098.001、T1213.002

非Microsoft雲端應用程式對 SharePoint 進行異常 圖形 API 呼叫,包括大量數據使用量。 機器學習服務偵測到,這些不尋常的 API 呼叫是在應用程式新增或更新現有憑證/秘密后的幾天內進行。 此應用程式可能涉及數據外流或其他存取和擷取敏感性信息的嘗試。

TP 或 FP?

  • TP:如果您可以確認應用程式透過 圖形 API 執行不尋常的活動,例如大量使用 SharePoint 工作負載。

    建議的動作:暫時停用應用程式、重設密碼,然後重新啟用應用程式。

  • FP:如果您可以確認應用程式未執行任何不尋常的活動,或應用程式想要進行異常大量的 Graph 呼叫。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式執行的所有活動。
  2. 檢閱應用程式授與的範圍。
  3. 檢閱與應用程式相關聯的用戶活動。

嚴重性:

MITRE 識別碼:T1114

此偵測會針對具有元數據的非Microsoft OAuth 應用程式產生警示,例如先前在具有可疑郵件相關活動的應用程式中觀察到的 名稱URL發行者。 此應用程式可能是攻擊活動的一部分,而且可能涉及敏感性資訊的外洩。

TP 或 FP?

  • TP:如果您可以確認應用程式已建立信箱規則,或對 Exchange 工作負載進行大量不尋常的 圖形 API 呼叫。

    建議的動作

    • 調查應用程式的應用程式註冊詳細數據,並流覽 Microsoft Entra ID 以取得詳細數據。
    • 請連絡授與應用程式同意或許可權的用戶或系統管理員。 確認變更是否為刻意變更。
    • 搜尋 CloudAppEvents 進階搜捕數據表,以瞭解應用程式活動並識別應用程式所存取的數據。 檢查受影響的信箱,並檢閱可能已由應用程式本身或已建立的規則讀取或轉寄的郵件。
    • 在考慮任何內含項目動作之前,請先確認應用程式是否對您的組織很重要。 使用應用程式控管或 Microsoft Entra ID 來停用應用程式,以防止其存取資源。 現有的應用程式控管原則可能已停用應用程式。

  • FP:如果您可以確認應用程式未執行任何不尋常的活動,而且應用程式在組織中有合法的商業用途。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式執行的所有活動。
  2. 檢閱授與應用程式的範圍。
  3. 檢閱與應用程式相關聯的用戶活動。

具有存取許多電子郵件之 EWS 應用程式許可權的應用程式

嚴重性:

MITRE 識別碼:T1114

此偵測會針對具有 EWS 應用程式許可權的多租使用者雲端應用程式產生警示,顯示對 Exchange Web 服務 API 的呼叫明顯增加,而此呼叫是電子郵件列舉和收集的特定。 此應用程式可能涉及存取和擷取敏感性電子郵件數據。

TP 或 FP?

  • TP:如果您可以確認應用程式已存取敏感性電子郵件數據,或對 Exchange 工作負載進行大量不尋常的呼叫。

    建議的動作

    • 調查應用程式的應用程式註冊詳細數據,並流覽 Microsoft Entra ID 以取得詳細數據。
    • 請連絡授與應用程式同意或許可權的用戶或系統管理員。 確認變更是否為刻意變更。
    • 搜尋 CloudAppEvents 進階搜捕數據表,以瞭解應用程式活動並識別應用程式所存取的數據。 檢查受影響的信箱,並檢閱可能已由應用程式本身或已建立的規則讀取或轉寄的郵件。
    • 在考慮任何內含項目動作之前,請先確認應用程式是否對您的組織很重要。 使用應用程式控管或 Microsoft Entra ID 來停用應用程式,以防止其存取資源。 現有的應用程式控管原則可能已停用應用程式。

  • FP:如果您可以確認應用程式未執行任何不尋常的活動,而且應用程式在組織中有合法的商業用途。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式執行的所有活動。
  2. 檢閱授與應用程式的範圍。
  3. 檢閱與應用程式相關聯的用戶活動。

未使用的應用程式新存取 API

嚴重性:

MITRE 識別碼:T1530

此偵測會針對已閑置一段時間且最近開始進行 API 呼叫的多租使用者雲端應用程式產生警示。 此應用程式可能會遭到攻擊者入侵,並用來存取和擷取敏感數據。

TP 或 FP?

  • TP:如果您可以確認應用程式已存取敏感數據,或對 Microsoft Graph、Exchange 或 Azure Resource Manager 工作負載進行大量異常呼叫。

    建議的動作

    • 調查應用程式的應用程式註冊詳細數據,並流覽 Microsoft Entra ID 以取得詳細數據。
    • 請連絡授與應用程式同意或許可權的用戶或系統管理員。 確認變更是否為刻意變更。
    • 搜尋 CloudAppEvents 進階搜捕數據表,以瞭解應用程式活動並識別應用程式所存取的數據。 檢查受影響的信箱,並檢閱可能已由應用程式本身或已建立的規則讀取或轉寄的郵件。
    • 在考慮任何內含項目動作之前,請先確認應用程式是否對您的組織很重要。 使用應用程式控管或 Microsoft Entra ID 來停用應用程式,以防止其存取資源。 現有的應用程式控管原則可能已停用應用程式。

  • FP:如果您可以確認應用程式未執行任何不尋常的活動,而且應用程式在組織中有合法的商業用途。

    建議動作:關閉警示。

了解入侵範圍

  1. 檢閱應用程式執行的所有活動。
  2. 檢閱授與應用程式的範圍。
  3. 檢閱與應用程式相關聯的用戶活動。

影響警示

本節描述的警示指出惡意執行者可能嘗試操作、中斷或損毀您組織的系統和數據。

啟動虛擬機建立異常尖峰的企業營運應用程式

嚴重性:

MITRE 識別碼:T1496

此偵測會識別使用 Azure Resource Manager API 在租使用者中建立大量 Azure 虛擬機器 的單一租使用者新 OAuth 應用程式。

TP 或 FP?

  • TP:如果您能夠確認 OAuth 應用程式最近已建立,而且正在您的租使用者中建立大量的 虛擬機器,則表示確判為真。

    建議的動作:檢閱建立的虛擬機,以及對應用程式所做的任何最近變更。 根據您的調查,您可以選擇禁止存取此應用程式。 檢閱此應用程式要求的權限層級,以及哪些使用者已授予存取權。

  • FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。

    建議動作:關閉警示。

瞭解缺口的範圍

  1. 檢閱最近建立的應用程式和建立的 VM。
  2. 檢閱應用程式建立後完成的所有活動。
  3. 檢閱應用程式在 圖形 API 中授與的範圍,以及在您的訂用帳戶中授與的角色。

觀察到在 Microsoft Graph 中具有高範圍許可權的 OAuth 應用程式起始虛擬機建立

嚴重性:

MITRE 識別碼:T1496

此偵測會識別 OAuth 應用程式,該應用程式會使用 Azure Resource Manager API 在租使用者中建立大量 Azure 虛擬機器,同時在活動之前透過 MS 圖形 API 在租使用者中具有高許可權。

TP 或 FP?

  • TP:如果您能夠確認已建立具有高許可權範圍的 OAuth 應用程式,並在您的租使用者中建立大量 虛擬機器,則表示確判為真。

    建議的動作:檢閱建立的虛擬機,以及對應用程式所做的任何最近變更。 根據您的調查,您可以選擇禁止存取此應用程式。 檢閱此應用程式要求的權限層級,以及哪些使用者已授予存取權。

  • FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。

    建議動作:關閉警示。

瞭解缺口的範圍

  1. 檢閱最近建立的應用程式和建立的 VM。
  2. 檢閱應用程式建立後完成的所有活動。
  3. 檢閱應用程式在 圖形 API 中授與的範圍,以及在您的訂用帳戶中授與的角色。

後續步驟

管理應用程式控管警示