共用方式為

調查預先定義的應用程式原則警示

  • 發行項

應用程式控管會針對異常活動提供預先定義的應用程式原則警示。 本指南的目的是提供您每個警示的一般和實用資訊,協助您進行調查和補救工作。

本指南包含觸發警示的一般條件資訊。 由於預先定義的原則本質上是不具決定性的,因此只有在有偏離規範的行為時才會觸發這些原則。

提示

某些警示可能處於預覽狀態,因此請定期檢閱更新的警示狀態。

安全性警示分類

經過適當的調查之後,所有應用程式控管警示都可以分類為下列其中一種活動類型:

  • 確 (TP) :已確認惡意活動的警示。
  • 良性確 (B-TP) :可疑但非惡意活動的警示,例如滲透測試或其他授權的可疑動作。
  • 誤 (FP) :非惡意活動的警示。

一般調查步驟

在調查任何類型的警示時,請使用下列一般指導方針,以在應用建議動作之前更清楚地了解潛在威脅。

  1. 檢閱應用程式嚴重性層級,並與租用戶中其餘的應用程式比較。 此檢閱可協助您識別租使用者中的哪些應用程式會造成更大的風險。

  2. 如果您識別 TP,請檢閱所有應用程式活動,以了解影響。 例如,檢閱下列應用程式資訊:

    • 授予存取權的範圍
    • 異常行為
    • IP 位址和位置

預先定義的應用程式原則警示

本節提供每個預先定義原則警示的相關信息,以及調查和補救的步驟。

提高特殊許可權或高度特殊許可權應用程式的數據使用量

嚴重性:

尋找具有強大或未使用許可權的應用程式,這些許可權會透過 圖形 API 來呈現數據使用量突然增加的情況。 數據使用量的異常變更可能表示入侵。

TP 或 FP?

若要判斷警示是否為確判 (TP) 或 FP) 誤判 (,請檢閱應用程式執行的所有活動、授與應用程式的範圍,以及與應用程式相關聯的用戶活動。

  • TP:如果您已確認過度許可權或高許可權應用程式的數據使用量增加不正常或可能為惡意,請套用此建議動作。

    建議的動作:請連絡使用者,瞭解導致數據使用量增加的應用程式活動。 暫時停用應用程式、重設密碼,然後重新啟用應用程式。

  • FP:如果您已確認偵測到的應用程式活動是預期的,且組織中有合法的商業用途,請套用此建議動作。

    建議動作:關閉警示。

嚴重性:

找出已獲得優先順序帳戶同意之應用程式所呈現的數據使用量或 圖形 API 存取錯誤異常增加。

TP 或 FP?

檢閱應用程式執行的所有活動、授與應用程式的範圍,以及與應用程式相關聯的用戶活動。

  • TP:如果您確認應用程式同意優先帳戶的數據使用量或 API 存取錯誤增加是高度不規則或潛在的惡意,請套用此建議動作。

    建議的動作:請連絡優先帳戶使用者,瞭解造成數據使用量增加或 API 存取錯誤的應用程式活動。 暫時停用應用程式、重設密碼,然後重新啟用應用程式。

  • FP:如果您已確認偵測到的應用程式活動是預期的,且組織中有合法的商業用途,請套用此建議動作。

    建議動作:關閉警示。

嚴重性:

用戶經常拒絕來自新建立應用程式的同意要求。 使用者通常會拒絕來自已呈現非預期行為或從不受信任來源抵達之應用程式的同意要求。 同意率低的應用程式比較可能具有風險或惡意。

TP 或 FP?

檢閱應用程式執行的所有活動、授與應用程式的範圍,以及與應用程式相關聯的用戶活動。

  • TP:如果您已確認應用程式來自未知來源,且其活動高度不規則或可能為惡意,請套用此建議動作。

    建議的動作:暫時停用應用程式、重設密碼,然後重新啟用應用程式。

  • FP:如果您已確認偵測到的應用程式活動合法,請套用此建議動作。

    建議動作:關閉警示。

對 OneDrive 進行的 圖形 API 呼叫尖峰

嚴重性:

雲端應用程式顯示對 OneDrive 的 圖形 API 呼叫大幅增加。 此應用程式可能涉及數據外流或其他存取和擷取敏感數據的嘗試。

TP 或 FP?

檢閱應用程式執行的所有活動、授與應用程式的範圍,以及與應用程式相關聯的用戶活動。

  • TP:如果您確認高度不規則、潛在惡意活動導致偵測到的 OneDrive 使用量增加,請套用此建議動作。

    建議的動作:暫時停用應用程式、重設密碼,然後重新啟用應用程式。

  • FP:如果您已確認偵測到的應用程式活動合法,請套用此建議動作。

    建議動作:關閉警示。

對 SharePoint 進行的 圖形 API 呼叫尖峰

嚴重性:

雲端應用程式顯示對 SharePoint 的 圖形 API 呼叫大幅增加。 此應用程式可能涉及數據外流或其他存取和擷取敏感數據的嘗試。

TP 或 FP?

檢閱應用程式執行的所有活動、授與應用程式的範圍,以及與應用程式相關聯的用戶活動。

  • TP:如果您確認高度不規則、可能的惡意活動導致偵測到的 SharePoint 使用量增加,請套用此建議動作。

    建議的動作:暫時停用應用程式、重設密碼,然後重新啟用應用程式。

  • FP:如果您已確認偵測到的應用程式活動合法,請套用此建議動作。

    建議動作:關閉警示。

對 Exchange 進行的 圖形 API 呼叫尖峰

嚴重性:

雲端應用程式顯示對 Exchange 的 圖形 API 呼叫大幅增加。 此應用程式可能涉及數據外流或其他存取和擷取敏感數據的嘗試。

TP 或 FP?

檢閱應用程式執行的所有活動、授與應用程式的範圍,以及與應用程式相關聯的用戶活動。

  • TP:如果您確認高度不規則的潛在惡意活動導致偵測到的 Exchange 使用量增加,請套用此建議動作。

    建議的動作:暫時停用應用程式、重設密碼,然後重新啟用應用程式。

  • FP:如果您已確認偵測到的應用程式活動合法,請套用此建議動作。

    建議動作:關閉警示。

可存取多個Microsoft 365 服務的可疑應用程式

嚴重性:

尋找可存取多個Microsoft 365 服務的應用程式,這些服務在憑證或秘密更新之後,已呈現統計異常 圖形 API 活動。 藉由識別這些應用程式並檢查它們是否遭到入侵,您可以防止橫向移動、數據外洩,以及周遊雲端資料夾、電子郵件和其他服務的其他惡意活動。

TP 或 FP?

檢閱應用程式執行的所有活動、授與應用程式的範圍,以及與應用程式相關聯的用戶活動。

  • TP:如果您已確認應用程式憑證或秘密及其他應用程式活動的更新具有高度異常或潛在惡意,請套用此建議動作。

    建議的動作:暫時停用應用程式、重設密碼,然後重新啟用應用程式。

  • FP:如果您已確認偵測到的應用程式活動合法,請套用此建議動作。

    建議動作:關閉警示。

應用程式的大量收件匣規則建立活動

嚴重性:

應用程式已進行大量 圖形 API呼叫,以建立 Exchange 收件匣規則。 此應用程式可能涉及數據收集和外洩,或其他存取和擷取敏感性信息的嘗試。

TP 或 FP?

檢閱應用程式執行的所有活動、授與應用程式的範圍,以及與應用程式相關聯的用戶活動。

  • TP:如果您已確認建立收件匣規則和其他活動已高度不規則或潛在惡意,請套用此建議動作。

    建議的動作:暫時停用應用程式、重設密碼,然後重新啟用應用程式。

  • FP:如果您已確認偵測到的應用程式活動合法,請套用此建議動作。

    建議動作:關閉警示。

應用程式的大量電子郵件搜尋活動

嚴重性:

應用程式已進行大量 圖形 API呼叫,以搜尋 Exchange 電子郵件內容。 此應用程式可能涉及數據收集或其他存取和擷取敏感性信息的嘗試。

TP 或 FP?

檢閱應用程式執行的所有活動、授與應用程式的範圍,以及與應用程式相關聯的用戶活動。

  • TP:如果您已確認 Exchange 上的內容搜尋和其他活動具有高度不規則或潛在惡意,請套用此建議的動作。

    建議的動作:暫時停用應用程式、重設密碼,然後重新啟用應用程式。

  • FP:如果您可以確認應用程式未執行任何不尋常的郵件搜尋活動,或應用程式是要透過 圖形 API 進行不尋常的郵件搜尋活動。

    建議動作:關閉警示。

應用程式傳送大量電子郵件活動

嚴重性:

應用程式已進行大量 圖形 API 呼叫,以使用 Exchange Online 傳送電子郵件訊息。 此應用程式可能涉及數據收集和外洩,或其他存取和擷取敏感性信息的嘗試。

TP 或 FP?

檢閱應用程式執行的所有活動、授與應用程式的範圍,以及與應用程式相關聯的用戶活動。

  • TP:如果您已確認傳送電子郵件訊息和其他活動具有高度不規則或潛在惡意,請套用此建議動作。

    建議的動作:暫時停用應用程式、重設密碼,然後重新啟用應用程式。

  • FP:如果您可以確認應用程式未執行任何不尋常的郵件傳送活動,或應用程式是要透過 圖形 API 進行不尋常的郵件傳送活動。

    建議動作:關閉警示。

存取敏感數據

嚴重性:

尋找可存取特定敏感性標籤辨識之敏感數據的應用程式。

TP 或 FP?

若要判斷警示是否為確判 (TP) 或 FP) (誤判,請檢閱應用程式存取的資源。

  • TP:如果您已確認應用程式或偵測到的活動不正常或可能為惡意,請套用此建議動作。

    建議的動作:防止應用程式從 Microsoft Entra ID 中停用任何資源來存取任何資源。

  • FP:如果您已確認應用程式在組織中有合法的商業用途,且預期偵測到的活動,請套用此建議動作。

    建議動作:關閉警示。

後續步驟

瞭解應用程式威脅偵測和補救