Sdílet prostřednictvím

Prozkoumání upozornění detekce hrozeb

  • Článek

Zásady správného řízení aplikací poskytují detekce zabezpečení a výstrahy pro škodlivé aktivity. Tento článek obsahuje podrobnosti pro každou výstrahu, která vám může pomoct s vyšetřováním a nápravou, včetně podmínek pro aktivaci výstrah. Vzhledem k tomu, že detekce hrozeb nejsou podle povahy nedeterministické, aktivují se pouze v případě, že se chování odchyluje od normy.

Další informace najdete v tématu Zásady správného řízení aplikací v programu Microsoft Defender for Cloud Apps.

Poznámka:

Detekcehrozebchm informacím jsou založeny na zjišťování hrozeb zásad správného řízení aplikací na základě počítání aktivit na datech, která jsou přechodná a nemusí být uložena. Konkrétně pro aktivity rozhraní Graph API pro aplikace OAuth může tenant auditovat samotné aktivity pomocí Log Analytics a Sentinelu.

Další informace najdete tady:

MITRE ATT&CK

Abychom usnadnili mapování vztahu mezi upozorněními zásad správného řízení aplikací a známou maticí MITRE ATT&CK, kategorizovali jsme výstrahy podle jejich odpovídající taktiky MITRE ATT&CK. Tento dodatečný odkaz usnadňuje pochopení podezřelé techniky útoků, která se může použít při aktivaci upozornění zásad správného řízení aplikací.

Tato příručka obsahuje informace o vyšetřování a nápravě výstrah zásad správného řízení aplikací v následujících kategoriích.

Klasifikace výstrah zabezpečení

Po řádném šetření se všechna upozornění zásad správného řízení aplikací dají klasifikovat jako jeden z následujících typů aktivit:

  • Pravdivě pozitivní (TP):: Upozornění na potvrzenou škodlivou aktivitu.
  • Neškodné pravdivě pozitivní (B-TP):: Upozornění na podezřelou, ale ne škodlivou aktivitu, jako je penetrační test nebo jiná autorizovaná podezřelá akce.
  • Falešně pozitivní (FP):: Upozornění na nemalickou aktivitu.

Obecné kroky šetření

Při zkoumání jakéhokoli typu upozornění použijte následující obecné pokyny, abyste před použitím doporučené akce lépe porozuměli potenciální hrozbě.

  • Zkontrolujte úroveň závažnosti aplikace a porovnejte se zbývajícími aplikacemi ve vašem tenantovi. Tato kontrola vám pomůže identifikovat, které aplikace ve vašem tenantovi představují větší riziko.

  • Pokud identifikujete TP, projděte si všechny aktivity aplikace a získejte přehled o dopadu. Podívejte se například na následující informace o aplikaci:

    • Udělený přístup k oborům
    • Neobvyklé chování
    • IP adresa a umístění

Upozornění na počáteční přístup

Tato část popisuje výstrahy, které značí, že se škodlivá aplikace může pokoušet zachovat jejich zápatí ve vaší organizaci.

Ohrožení zabezpečení přesměrování aplikace na adresu URL útoku phishing zneužitím přesměrování OAuth

Závažnost: Střední

Tato detekce identifikuje aplikace OAuth, které přesměrují na adresy URL útoku phishing, tím, že využívá parametr typu odpovědi v implementaci OAuth prostřednictvím rozhraní Microsoft Graph API.

TP nebo FP?

  • TP: Pokud můžete potvrdit, že aplikace OAuth byla doručena z neznámého zdroje, typ odpovědi adresy URL odpovědi po vyjádření souhlasu s aplikací OAuth obsahuje neplatný požadavek a přesměruje na neznámou nebo nedůvěryhodnou adresu URL odpovědi.

    Doporučená akce: Zakažte a odeberte aplikaci, resetujte heslo a odeberte pravidlo doručené pošty. 

  • FP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity provedené aplikací. 
  2. Zkontrolujte rozsahy udělené aplikací. 

Aplikace OAuth s podezřelou adresou URL odpovědi

Závažnost: Střední

Tato detekce identifikuje aplikaci OAuth, která získala přístup k podezřelé adrese URL odpovědi prostřednictvím rozhraní Microsoft Graph API.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že se aplikace OAuth doručuje z neznámého zdroje, a přesměruje se na podezřelou adresu URL, zobrazí se pravdivě pozitivní výsledek. Podezřelá adresa URL je ta, kde je reputace adresy URL neznámá, není důvěryhodná nebo jejíž doména byla nedávno zaregistrována a žádost o aplikaci je určená pro obor s vysokou úrovní oprávnění.

    Doporučená akce: Zkontrolujte adresu URL odpovědi, domény a obory požadované aplikací. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci. Zkontrolujte úroveň oprávnění, kterou tato aplikace požaduje a kteří uživatelé mají udělený přístup.

    Pokud chcete zakázat přístup k aplikaci, přejděte na příslušnou kartu aplikace na stránce zásad správného řízení aplikace. Na řádku, ve kterém se zobrazí aplikace, kterou chcete zakázat, vyberte ikonu zákazu. Můžete zvolit, jestli chcete uživatelům sdělit, že aplikace, kterou nainstalovali, a autorizovaná byla zakázána. Oznámení uživatelům oznámí, že aplikace bude zakázaná a nebudou mít přístup k připojené aplikaci. Pokud nechcete, aby věděli, zrušte výběr možnosti Upozornit uživatele, kteří udělili přístup k této zakázané aplikaci v dialogovém okně. Doporučujeme, abyste uživatelům aplikace dali vědět, že se jejich aplikace chystá zakázat.

  • FP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte aplikace, které se nedávno vytvořily, a jejich adresy URL odpovědí.

  2. Zkontrolujte všechny aktivity provedené aplikací. 

  3. Zkontrolujte rozsahy udělené aplikací. 

Závažnost: Nízká

Tato detekce identifikuje aplikaci OAuth, která byla vytvořena nedávno, a zjistí, že má nízkou míru souhlasu. To může značit škodlivou nebo rizikovou aplikaci, která uživatele naláká do neoprávněných udělení souhlasu.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že se aplikace OAuth doručuje z neznámého zdroje, znamená to, že je označená pravdivě pozitivní.

    Doporučená akce: Zkontrolujte zobrazovaný název, adresy URL odpovědí a domény aplikace. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci. Zkontrolujte úroveň oprávnění, kterou tato aplikace požaduje a kteří uživatelé udělili přístup.

  • FP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity provedené aplikací.
  2. Pokud máte podezření, že je aplikace podezřelá, doporučujeme prozkoumat název aplikace a doménu odpovědi v různých obchodech s aplikacemi. Při kontrole obchodů s aplikacemi se zaměřte na následující typy aplikací:
    • Aplikace vytvořené v poslední době
    • Aplikace s neobvyklým zobrazovaným názvem
    • Aplikace s podezřelou doménou odpovědi
  3. Pokud máte stále podezření, že je aplikace podezřelá, můžete zjistit zobrazovaný název aplikace a doménu odpovědi.

Aplikace s špatnou reputací adresy URL

Závažnost: Střední

Tato detekce identifikuje aplikaci OAuth, která byla nalezena, aby měla špatnou reputaci adresy URL.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že se aplikace OAuth doručuje z neznámého zdroje a přesměruje na podezřelou adresu URL, znamená to, že je označená pravdivě pozitivní.

    Doporučená akce: Zkontrolujte adresy URL odpovědí, domény a obory požadované aplikací. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci. Zkontrolujte úroveň oprávnění, kterou tato aplikace požaduje a kteří uživatelé udělili přístup.

  • FP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity provedené aplikací.
  2. Pokud máte podezření, že je aplikace podezřelá, doporučujeme prozkoumat název aplikace a doménu odpovědi v různých obchodech s aplikacemi. Při kontrole obchodů s aplikacemi se zaměřte na následující typy aplikací:
    • Aplikace vytvořené v poslední době
    • Aplikace s neobvyklým zobrazovaným názvem
    • Aplikace s podezřelou doménou odpovědi
  3. Pokud máte stále podezření, že je aplikace podezřelá, můžete zjistit zobrazovaný název aplikace a doménu odpovědi.

Závažnost: Střední

Popis: Tato detekce identifikuje aplikace OAuth se znaky, jako jsou unicode nebo kódované znaky, požadované pro podezřelé obory souhlasu a které přistupovaly k poštovním složkám uživatelů prostřednictvím rozhraní Graph API. Tato výstraha může naznačovat pokus o maskování škodlivé aplikace jako známé a důvěryhodné aplikace tak, aby nežádoucí uživatelé mohli uživatele chybně označit za souhlas se škodlivou aplikací.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že aplikace OAuth zakódovala zobrazovaný název s podezřelými obory doručovanými z neznámého zdroje, znamená to, že se zobrazí pravdivě pozitivní výsledek.

    Doporučená akce: Zkontrolujte úroveň oprávnění, kterou tato aplikace požaduje a kteří uživatelé udělili přístup. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci.

    Pokud chcete zakázat přístup k aplikaci, přejděte na příslušnou kartu aplikace na stránce zásad správného řízení aplikace. Na řádku, ve kterém se zobrazí aplikace, kterou chcete zakázat, vyberte ikonu zákazu. Můžete zvolit, jestli chcete uživatelům sdělit, že aplikace, kterou nainstalovali, a autorizovaná byla zakázána. Oznámení uživatelům oznámí, že aplikace bude zakázaná a nebudou mít přístup k připojené aplikaci. Pokud nechcete, aby věděli, zrušte výběr možnosti Upozornit uživatele, kteří udělili přístup k této zakázané aplikaci v dialogovém okně. Doporučujeme, abyste uživatelům aplikace dali vědět, že se jejich aplikace chystá zakázat.

  • FP: Pokud chcete potvrdit, že aplikace má kódovaný název, ale má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

V tomto kurzu se dozvíte , jak prozkoumat rizikové aplikace OAuth.

Aplikace OAuth s obory čtení má podezřelou adresu URL odpovědi.

Závažnost: Střední

Popis: Tato detekce identifikuje aplikaci OAuth s obory jen pro čtení, jako je User.Read, Lidé. Read, Contacts.Read, Mail.Read, Contacts.Read. Sdílené přesměrování na podezřelou adresu URL odpovědi prostřednictvím rozhraní Graph API. Tato aktivita se pokouší označit, že škodlivá aplikace s oprávněním s nižšími oprávněními (například obory čtení) by mohla být zneužita k provádění rekognoskace účtů uživatelů.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že se aplikace OAuth s oborem čtení doručuje z neznámého zdroje a přesměruje se na podezřelou adresu URL, je označena pravdivě pozitivní.

    Doporučená akce: Zkontrolujte adresu URL odpovědi a obory požadované aplikací. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci. Zkontrolujte úroveň oprávnění, kterou tato aplikace požaduje a kteří uživatelé udělili přístup.

    Pokud chcete zakázat přístup k aplikaci, přejděte na příslušnou kartu aplikace na stránce zásad správného řízení aplikace. Na řádku, ve kterém se zobrazí aplikace, kterou chcete zakázat, vyberte ikonu zákazu. Můžete zvolit, jestli chcete uživatelům sdělit, že aplikace, kterou nainstalovali, a autorizovaná byla zakázána. Oznámení uživatelům oznámí, že aplikace bude zakázaná a nebudou mít přístup k připojené aplikaci. Pokud nechcete, aby věděli, zrušte výběr možnosti Upozornit uživatele, kteří udělili přístup k této zakázané aplikaci v dialogovém okně. Doporučujeme, abyste uživatelům aplikace dali vědět, že se jejich aplikace chystá zakázat.

  • B-TP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity provedené aplikací.
  2. Pokud máte podezření, že je aplikace podezřelá, doporučujeme prozkoumat její název a adresu URL odpovědi v různých obchodech s aplikacemi. Při kontrole obchodů s aplikacemi se zaměřte na následující typy aplikací:
    • Aplikace vytvořené v poslední době
    • Aplikace s podezřelou adresou URL odpovědi
    • Aplikace, které nebyly nedávno aktualizovány. Nedostatek aktualizací může znamenat, že aplikace už není podporovaná.
  3. Pokud máte stále podezření, že je aplikace podezřelá, můžete zjistit název aplikace, název vydavatele a adresu URL odpovědi online.

Aplikace s neobvyklým zobrazovaným názvem a neobvyklým TLD v doméně odpovědi

Závažnost: Střední

Tato detekce identifikuje aplikaci s neobvyklým zobrazovaným názvem a přesměruje ji na podezřelou doménu odpovědi s neobvyklou doménou nejvyšší úrovně (TLD) prostřednictvím rozhraní Graph API. To může znamenat pokus o maskování škodlivé nebo rizikové aplikace jako známé a důvěryhodné aplikace, aby nežádoucí uživatelé mohli uživatele chybně označit jako svoji škodlivou nebo rizikovou aplikaci. 

TP nebo FP?

  • TP: Pokud si můžete ověřit, že aplikace s neobvyklým zobrazovaným názvem doručeným z neznámého zdroje a přesměruje se na podezřelou doménu s neobvyklou doménou nejvyšší úrovně.

    Doporučená akce: Zkontrolujte zobrazovaný název a doménu odpovědi aplikace. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci. Zkontrolujte úroveň oprávnění, kterou tato aplikace požaduje a kteří uživatelé udělili přístup.

  • FP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavření výstrahy

Vysvětlení rozsahu porušení zabezpečení

Zkontrolujte všechny aktivity provedené aplikací. Pokud máte podezření, že je aplikace podezřelá, doporučujeme prozkoumat název aplikace a doménu odpovědi v různých obchodech s aplikacemi. Při kontrole obchodů s aplikacemi se zaměřte na následující typy aplikací:

  • Aplikace vytvořené v poslední době
  • Aplikace s neobvyklým zobrazovaným názvem
  • Aplikace s podezřelou doménou odpovědi

Pokud máte stále podezření, že je aplikace podezřelá, můžete zjistit zobrazovaný název aplikace a doménu odpovědi.

Závažnost: Střední

Tato detekce identifikuje aplikace OAuth vytvořené nedávno v relativně nových tenantech vydavatelů s následujícími vlastnostmi:

  • Oprávnění pro přístup nebo změnu nastavení poštovní schránky
  • Relativně nízká míra souhlasu, která dokáže identifikovat nežádoucí nebo dokonce škodlivé aplikace, které se pokoušejí získat souhlas od nespektěných uživatelů

TP nebo FP?

  • TP: Pokud jste schopni potvrdit, že žádost o souhlas s aplikací byla doručena z neznámého nebo externího zdroje a aplikace nemá v organizaci legitimní obchodní použití, znamená to, že je uveden pravdivě pozitivní výsledek.

    Doporučená akce:

    • Obraťte se na uživatele a správce, kteří udělili souhlas s touto aplikací, a ověřte, že je tato aplikace úmyslná a jsou normální.
    • Prozkoumejte aktivitu aplikace a zkontrolujte podezřelé aktivity v ovlivněných účtech.
    • Na základě vyšetřování zakažte aplikaci a pozastavte a resetujte hesla pro všechny ovlivněné účty.
    • Klasifikujte výstrahu jako pravdivě pozitivní.

  • FP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Klasifikujte výstrahu jako falešně pozitivní a zvažte sdílení zpětné vazby na základě vašeho šetření výstrahy.

Vysvětlení rozsahu porušení zabezpečení

Zkontrolujte udělení souhlasu s aplikací, kterou vytvořili uživatelé a správci. Prozkoumejte všechny aktivity provedené aplikací, zejména přístup k poštovní schránce přidružených uživatelů a účtů správců. Pokud máte podezření, že je aplikace podezřelá, zvažte zakázání aplikace a obměně přihlašovacích údajů všech ovlivněných účtů.

Závažnost: Střední

Tato výstraha identifikuje aplikace OAuth zaregistrované nedávno v relativně novém tenantovi vydavatele s oprávněními ke změně nastavení poštovní schránky a přístupu k e-mailům. Ověřuje také, jestli má aplikace relativně nízkou globální míru souhlasu, a provádí řadu volání rozhraní Microsoft Graph API pro přístup k e-mailům uživatelů se souhlasem. Aplikace, které aktivují tuto výstrahu, můžou být nežádoucí nebo škodlivé aplikace, které se pokoušejí získat souhlas od nespektěných uživatelů.

TP nebo FP?

  • TP: Pokud jste schopni potvrdit, že žádost o souhlas s aplikací byla doručena z neznámého nebo externího zdroje a aplikace nemá v organizaci legitimní obchodní použití, znamená to, že je uveden pravdivě pozitivní výsledek.

    Doporučená akce:

    • Obraťte se na uživatele a správce, kteří udělili souhlas s touto aplikací, a ověřte, že je tato aplikace úmyslná a jsou normální.
    • Prozkoumejte aktivitu aplikace a zkontrolujte podezřelé aktivity v ovlivněných účtech.
    • Na základě vyšetřování zakažte aplikaci a pozastavte a resetujte hesla pro všechny ovlivněné účty.
    • Klasifikujte výstrahu jako pravdivě pozitivní.

  • FP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití, znamená to, že falešně pozitivní.

    Doporučená akce: Klasifikujte výstrahu jako falešně pozitivní a zvažte sdílení zpětné vazby na základě vašeho šetření výstrahy.

Vysvětlení rozsahu porušení zabezpečení

Zkontrolujte udělení souhlasu s aplikací, kterou vytvořili uživatelé a správci. Prozkoumejte všechny aktivity provedené aplikací, zejména přístup k poštovním schránkám přidružených uživatelů a účtů správců. Pokud máte podezření, že je aplikace podezřelá, zvažte zakázání aplikace a obměně přihlašovacích údajů všech ovlivněných účtů.

Podezřelá aplikace s oprávněními k e-mailu odesílající mnoho e-mailů

Závažnost: Střední

Tato výstraha najde víceklientské aplikace OAuth, které během krátkého časového období provedly řadu volání do rozhraní Microsoft Graph API. Ověřuje také, jestli volání rozhraní API způsobila chyby a neúspěšné pokusy o odesílání e-mailů. Aplikace, které tuto výstrahu aktivují, můžou aktivně posílat spam nebo škodlivé e-maily jiným cílům.

TP nebo FP?

  • TP: Pokud jste schopni potvrdit, že žádost o souhlas s aplikací byla doručena z neznámého nebo externího zdroje a aplikace nemá v organizaci legitimní obchodní použití, znamená to, že je uveden pravdivě pozitivní výsledek.

    Doporučená akce:

    • Obraťte se na uživatele a správce, kteří udělili souhlas s touto aplikací, a ověřte, že je tato aplikace úmyslná a jsou normální.
    • Prozkoumejte aktivitu aplikace a zkontrolujte podezřelé aktivity v ovlivněných účtech.
    • Na základě vyšetřování zakažte aplikaci a pozastavte a resetujte hesla pro všechny ovlivněné účty.
    • Klasifikujte výstrahu jako pravdivě pozitivní.

  • FP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití, znamená to, že falešně pozitivní.

    Doporučená akce: Klasifikujte výstrahu jako falešně pozitivní a zvažte sdílení zpětné vazby na základě vašeho šetření výstrahy.

Vysvětlení rozsahu porušení zabezpečení

Zkontrolujte udělení souhlasu s aplikací, kterou vytvořili uživatelé a správci. Prozkoumejte všechny aktivity provedené aplikací, zejména přístup k poštovní schránce přidružených uživatelů a účtů správců. Pokud máte podezření, že je aplikace podezřelá, zvažte zakázání aplikace a obměně přihlašovacích údajů všech ovlivněných účtů.

Podezřelá aplikace OAuth použitá k odesílání mnoha e-mailů

Závažnost: Střední

Tato výstraha označuje aplikaci OAuth, která během krátkého časového období provedla řadu volání rozhraní Microsoft Graph API k odesílání e-mailů. Tenant vydavatele aplikace je známý jako vytvoření velkého objemu aplikací OAuth, které dělají podobná volání rozhraní Microsoft Graph API. Útočník může tuto aplikaci aktivně používat k odesílání spamu nebo škodlivých e-mailů do svých cílů.

TP nebo FP?

  • TP: Pokud jste schopni potvrdit, že žádost o souhlas s aplikací byla doručena z neznámého nebo externího zdroje a aplikace nemá v organizaci legitimní obchodní použití, znamená to, že je uveden pravdivě pozitivní výsledek.

    Doporučená akce:

    • Obraťte se na uživatele a správce, kteří udělili souhlas s touto aplikací, a ověřte, že je tato aplikace úmyslná a jsou normální.
    • Prozkoumejte aktivitu aplikace a zkontrolujte podezřelé aktivity v ovlivněných účtech.
    • Na základě vyšetřování zakažte aplikaci a pozastavte a resetujte hesla pro všechny ovlivněné účty.
    • Klasifikujte výstrahu jako pravdivě pozitivní.

  • FP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití, znamená to, že falešně pozitivní.

    Doporučená akce: Klasifikujte výstrahu jako falešně pozitivní a zvažte sdílení zpětné vazby na základě vašeho šetření výstrahy.

Vysvětlení rozsahu porušení zabezpečení

Zkontrolujte udělení souhlasu s aplikací, kterou vytvořili uživatelé a správci. Prozkoumejte všechny aktivity provedené aplikací, zejména přístup k poštovní schránce přidružených uživatelů a účtů správců. Pokud máte podezření, že je aplikace podezřelá, zvažte zakázání aplikace a obměně přihlašovacích údajů všech ovlivněných účtů.

Upozornění trvalosti

Tato část popisuje výstrahy, které indikují, že se objekt actor se zlými úmysly může ve vaší organizaci zachovat jeho zápatí.

Aplikace provedla neobvyklé volání Graphu pro úlohy Exchange po aktualizaci certifikátu nebo přidání nových přihlašovacích údajů.

Závažnost: Střední

ID MITRE: T1098.001, T1114

Tato detekce aktivuje výstrahu, když aplikace OBCHODNÍ (Line of Business) aktualizovala certifikát nebo tajné kódy nebo přidala nové přihlašovací údaje a během několika dnů po aktualizaci nebo přidání nových přihlašovacích údajů zaznamenala neobvyklé aktivity nebo vysoké využití v úloze Exchange prostřednictvím rozhraní Graph API pomocí algoritmu strojového učení.

TP nebo FP?

  • TP: Pokud jste schopni ověřit, že obchodní aplikace prostřednictvím rozhraní Graph API provedla neobvyklé aktivity nebo vysoké objemy využití úloh Exchange.

    Doporučená akce: Dočasně zakažte aplikaci a resetujte heslo a pak aplikaci znovu povolte.

  • FP: Pokud si můžete ověřit, že obchodní aplikace nebo aplikace neprovedla neobvyklé aktivity, mají provádět neobvykle velký objem volání grafů.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné touto aplikací.
  2. Zkontrolujte rozsahy udělené aplikací.
  3. Zkontrolujte aktivitu uživatele přidruženou k této aplikaci.

Aplikace s podezřelým oborem OAuth byla označena vysoce rizikovým modelem strojového Učení, volání grafu ke čtení e-mailu a vytvoření pravidla doručené pošty

Závažnost: Střední

ID MITRE: T1137.005, T1114

Tato detekce identifikuje aplikaci OAuth, která byla označena vysoce rizikovou službou Machine Učení model, který souhlasil s podezřelými obory, vytvoří podezřelé pravidlo doručené pošty a pak prostřednictvím rozhraní Graph API přistupuje k poštovním složkám a zprávám uživatelů. Pravidla doručené pošty, jako je přeposílání všech nebo konkrétních e-mailů na jiný e-mailový účet, a volání Graphu pro přístup k e-mailům a odesílání do jiného e-mailového účtu můžou být pokusem o exfiltraci informací z vaší organizace.

TP nebo FP?

  • TP: Pokud můžete potvrdit, že pravidlo doručené pošty vytvořila aplikace třetí strany OAuth s podezřelými obory doručovanými z neznámého zdroje, zjistí se pravdivě pozitivní.

    Doporučená akce: Zakažte a odeberte aplikaci, resetujte heslo a odeberte pravidlo doručené pošty.

Postupujte podle kurzu o tom, jak resetovat heslo pomocí MICROSOFT Entra ID a postupovat podle kurzu odebrání pravidla doručené pošty.

  • FP: Pokud si můžete ověřit, že aplikace vytvořila pravidlo doručené pošty na nový nebo osobní externí e-mailový účet z legitimních důvodů.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity provedené aplikací.
  2. Zkontrolujte rozsahy udělené aplikací.
  3. Zkontrolujte akci pravidla doručené pošty a podmínku vytvořenou aplikací.

Aplikace s podezřelým oborem OAuth provedla volání grafu ke čtení e-mailu a vytvoření pravidla doručené pošty

Závažnost: Střední

ID MITRE: T1137.005, T1114

Tato detekce identifikuje aplikaci OAuth, která souhlasila s podezřelými obory, vytvoří podezřelé pravidlo doručené pošty a pak přistupuje k poštovním složkám a zprávám uživatelů prostřednictvím rozhraní Graph API. Pravidla doručené pošty, jako je přeposílání všech nebo konkrétních e-mailů na jiný e-mailový účet, a volání Graphu pro přístup k e-mailům a odesílání do jiného e-mailového účtu můžou být pokusem o exfiltraci informací z vaší organizace.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že pravidlo doručené pošty vytvořila aplikace třetí strany OAuth s podezřelými obory doručenými z neznámého zdroje, znamená to, že je uvedeno skutečné pozitivní.

    Doporučená akce: Zakažte a odeberte aplikaci, resetujte heslo a odeberte pravidlo doručené pošty.

    Postupujte podle kurzu o tom, jak resetovat heslo pomocí MICROSOFT Entra ID a postupovat podle kurzu odebrání pravidla doručené pošty.

  • FP: Pokud si můžete ověřit, že aplikace vytvořila pravidlo doručené pošty na nový nebo osobní externí e-mailový účet z legitimních důvodů.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity provedené aplikací.
  2. Zkontrolujte rozsahy udělené aplikací.
  3. Zkontrolujte akci pravidla doručené pošty a podmínku vytvořenou aplikací.

Aplikace přístupná z neobvyklého umístění po aktualizaci certifikátu

Závažnost: Nízká

ID MITRE: T1098

Tato detekce aktivuje výstrahu, když byla aplikace OBCHODNÍ (Line of Business) aktualizována certifikátem nebo tajným kódem a během několika dnů po aktualizaci certifikátu se k aplikaci přistupuje z neobvyklého umístění, které se v poslední době nezobnovilo nebo k němu nikdy nepřistupovalo.

TP nebo FP?

  • TP: Pokud jste schopni ověřit, že obchodní aplikace přistupovala z neobvyklého umístění a prováděla neobvyklé aktivity prostřednictvím rozhraní Graph API.

    Doporučená akce: Dočasně zakažte aplikaci a resetujte heslo a pak aplikaci znovu povolte.

  • FP: Pokud jste schopni potvrdit, že obchodní aplikace přistupovala z neobvyklého místa pro legitimní účely a neprováděly žádné neobvyklé aktivity.

    Doporučená akce: Zavření výstrahy

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné touto aplikací.
  2. Zkontrolujte rozsahy udělené aplikací.
  3. Zkontrolujte aktivitu uživatele přidruženou k této aplikaci.

Aplikace přístupná z neobvyklého umístění udělala neobvyklé volání Graphu po aktualizaci certifikátu

Závažnost: Střední

ID MITRE: T1098

Tato detekce aktivuje výstrahu, když obchodní aplikace aktualizovala certifikát nebo tajný kód a během několika dnů po aktualizaci certifikátu se k aplikaci přistupuje z neobvyklého umístění, ke kterému se v nedávné době nebo nikdy nepřistupovalo v minulosti, a zaznamenala neobvyklé aktivity nebo využití prostřednictvím rozhraní Graph API pomocí algoritmu strojového učení.

TP nebo FP?

  • TP: Pokud jste schopni ověřit, že obchodní aplikace prostřednictvím rozhraní Graph API provedla neobvyklé aktivity a využití z neobvyklého umístění.

    Doporučená akce: Dočasně zakažte aplikaci a resetujte heslo a pak aplikaci znovu povolte.

  • FP: Pokud jste schopni potvrdit, že obchodní aplikace přistupovala z neobvyklého místa pro legitimní účely a neprováděly žádné neobvyklé aktivity.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné touto aplikací.
  2. Zkontrolujte rozsahy udělené aplikací.
  3. Zkontrolujte aktivitu uživatele přidruženou k této aplikaci.

Aplikace vytvořená v poslední době má velký objem odvolaných souhlasů.

Závažnost: Střední

ID MITRE: T1566, T1098

Několik uživatelů zrušilo svůj souhlas s touto nedávno vytvořenou obchodní aplikací nebo aplikací třetích stran. Tato aplikace mohla uživatele lákat k tomu, aby mu neúmyslně udělila souhlas.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že se aplikace OAuth doručuje z neznámého zdroje, a chování aplikace je podezřelé. 

    Doporučená akce: Odvolání souhlasu uděleného aplikaci a zakázání aplikace 

  • FP: Pokud po šetření můžete ověřit, že aplikace používá legitimní obchodní použití v organizaci a že aplikace neprováděla žádné neobvyklé aktivity.

    Doporučená akce: Zavření výstrahy

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné aplikací.
  2. Pokud máte podezření, že je aplikace podezřelá, doporučujeme prozkoumat název a doménu odpovědi aplikace v různých obchodech s aplikacemi. Při kontrole obchodů s aplikacemi se zaměřte na následující typy aplikací:
    • Aplikace vytvořené v poslední době
    • Aplikace s neobvyklým zobrazovaným názvem
    • Aplikace s podezřelou doménou odpovědi
  3. Pokud máte stále podezření, že je aplikace podezřelá, můžete zjistit zobrazovaný název aplikace a doménu odpovědi.

Metadata aplikací přidružená ke známé phishingové kampani

Závažnost: Střední

Tato detekce generuje výstrahy pro aplikace jiné společnosti než Microsoft OAuth s metadaty, jako je název, adresa URL nebo vydavatel, které byly dříve pozorovány v aplikacích přidružených k útoku phishing. Tyto aplikace můžou být součástí stejné kampaně a můžou být zapojeny do exfiltrace citlivých informací.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že je aplikace OAuth doručena z neznámého zdroje a provádí neobvyklé aktivity.

    Doporučená akce:

    • Prozkoumejte podrobnosti o registraci aplikace v zásadách správného řízení aplikací a další podrobnosti najdete na webu Microsoft Entra ID.
    • Obraťte se na uživatele nebo správce, kteří udělili souhlas nebo oprávnění k aplikaci. Ověřte, jestli byly změny úmyslné.
    • Vyhledejte v tabulce Rozšířené proaktivní vyhledávání CloudAppEvents, abyste porozuměli aktivitě aplikace a zjistili, jestli se očekává pozorované chování.
    • Před zvážením jakýchkoli akcí zahrnutí ověřte, jestli je aplikace pro vaši organizaci důležitá. Deaktivujte aplikaci pomocí zásad správného řízení aplikací nebo ID Microsoft Entra, abyste zabránili přístupu k prostředkům. Stávající zásady správného řízení aplikací už mohly aplikaci deaktivovat.

  • FP: Pokud můžete potvrdit, že aplikace neprováděla žádné neobvyklé aktivity a že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavření výstrahy

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné aplikací.
  2. Zkontrolujte rozsahy udělené aplikaci.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Metadata aplikací přidružená k dříve označeným podezřelým aplikacím

Závažnost: Střední

Tato detekce generuje výstrahy pro aplikace jiné než Microsoft OAuth s metadaty, jako je název, adresa URL nebo vydavatel, které byly dříve pozorovány v aplikacích označených zásadami správného řízení aplikací kvůli podezřelé aktivitě. Tato aplikace může být součástí kampaně útoku a může být zapojena do exfiltrace citlivých informací.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že je aplikace OAuth doručena z neznámého zdroje a provádí neobvyklé aktivity.

    Doporučená akce:

    • Prozkoumejte podrobnosti o registraci aplikace v zásadách správného řízení aplikací a další podrobnosti najdete na webu Microsoft Entra ID.
    • Obraťte se na uživatele nebo správce, kteří udělili souhlas nebo oprávnění k aplikaci. Ověřte, jestli byly změny úmyslné.
    • Vyhledejte v tabulce Rozšířené proaktivní vyhledávání CloudAppEvents, abyste porozuměli aktivitě aplikace a zjistili, jestli se očekává pozorované chování.
    • Před zvážením jakýchkoli akcí zahrnutí ověřte, jestli je aplikace pro vaši organizaci důležitá. Deaktivujte aplikaci pomocí zásad správného řízení aplikací nebo ID Microsoft Entra, abyste zabránili přístupu k prostředkům. Stávající zásady správného řízení aplikací už mohly aplikaci deaktivovat.

  • FP: Pokud můžete potvrdit, že aplikace neprováděla žádné neobvyklé aktivity a že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavření výstrahy

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné aplikací.
  2. Zkontrolujte rozsahy udělené aplikaci.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Podezřelá e-mailová aktivita aplikace OAuth prostřednictvím rozhraní Graph API

Závažnost: Vysoká

Tato detekce generuje výstrahy pro víceklientské aplikace OAuth zaregistrované uživateli s vysokým rizikem přihlášení, která volali rozhraní Microsoft Graph API za účelem provádění podezřelých e-mailových aktivit během krátké doby.

Tato detekce ověřuje, jestli se volání rozhraní API provedla pro vytvoření pravidla poštovní schránky, vytvoření e-mailu pro odpovědi, přeposlání e-mailu, odpovědi nebo odesílání nových e-mailů. Aplikace, které tuto výstrahu aktivují, můžou aktivně posílat spamy nebo škodlivé e-maily jiným cílům nebo vyfiltrovat důvěrná data a vymazat stopy, které se mají vyhnout detekci.

TP nebo FP?

  • TP: Pokud jste schopni potvrdit, že vytvoření aplikace a žádost o souhlas s aplikací byla doručena z neznámého nebo externího zdroje a aplikace nemá v organizaci legitimní obchodní použití, znamená to, že je to skutečně pozitivní.

    Doporučená akce:

    • Obraťte se na uživatele a správce, kteří udělili souhlas s touto aplikací, a ověřte, že je tato aplikace úmyslná a jsou normální.

    • Prozkoumejte aktivitu aplikace a zkontrolujte podezřelé aktivity v ovlivněných účtech.

    • Na základě vyšetřování zakažte aplikaci a pozastavte a resetujte hesla pro všechny ovlivněné účty a odeberte pravidlo doručené pošty.

    • Klasifikujte výstrahu jako pravdivě pozitivní.

  • FP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití, znamená to, že falešně pozitivní.

    Doporučená akce:

    • Klasifikujte upozornění jako falešně pozitivní a zvažte sdílení zpětné vazby na základě vašeho šetření výstrahy.

    • Vysvětlení rozsahu porušení zabezpečení:

      Zkontrolujte udělení souhlasu s aplikací, kterou vytvořili uživatelé a správci. Prozkoumejte všechny aktivity provedené aplikací, zejména přístup k poštovní schránce přidružených uživatelů a účtů správců. Pokud máte podezření, že je aplikace podezřelá, zvažte zakázání aplikace a obměně přihlašovacích údajů všech ovlivněných účtů.

Podezřelá e-mailová aktivita aplikace OAuth prostřednictvím rozhraní EWS API

Závažnost: Vysoká

Tato detekce generuje výstrahy pro víceklientské aplikace OAuth zaregistrované uživateli s vysoce rizikovým přihlášením, které během krátké doby volali rozhraní API microsoft Exchange Web Services (EWS) k provádění podezřelých e-mailových aktivit.

Tato detekce ověřuje, jestli byla volání rozhraní API provedena za účelem aktualizace pravidel doručené pošty, přesunutí položek, odstranění e-mailu, odstranění složky nebo odstranění přílohy. Aplikace, které tuto výstrahu aktivují, můžou aktivně exfiltrovat nebo odstraňovat důvěrná data a vymazat stopy, které se mají vyhnout detekci.

TP nebo FP?

  • TP: Pokud jste schopni potvrdit, že vytvoření aplikace a žádost o souhlas s aplikací byla doručena z neznámého nebo externího zdroje a aplikace nemá v organizaci legitimní obchodní použití, znamená to, že je to skutečně pozitivní.

    Doporučená akce:

    • Obraťte se na uživatele a správce, kteří udělili souhlas s touto aplikací, a ověřte, že je tato aplikace úmyslná a jsou normální.

    • Prozkoumejte aktivitu aplikace a zkontrolujte podezřelé aktivity v ovlivněných účtech.

    • Na základě vyšetřování zakažte aplikaci a pozastavte a resetujte hesla pro všechny ovlivněné účty a odeberte pravidlo doručené pošty.

    • Klasifikujte výstrahu jako pravdivě pozitivní.

  • FP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití, znamená to, že falešně pozitivní.

    Doporučená akce:

    • Klasifikujte upozornění jako falešně pozitivní a zvažte sdílení zpětné vazby na základě vašeho šetření výstrahy.

    • Vysvětlení rozsahu porušení zabezpečení:

      Zkontrolujte udělení souhlasu s aplikací, kterou vytvořili uživatelé a správci. Prozkoumejte všechny aktivity provedené aplikací, zejména přístup k poštovní schránce přidružených uživatelů a účtů správců. Pokud máte podezření, že je aplikace podezřelá, zvažte zakázání aplikace a obměně přihlašovacích údajů všech ovlivněných účtů.

Upozornění eskalace oprávnění

Aplikace OAuth s podezřelými metadaty má oprávnění Exchange

Závažnost: Střední

ID MITRE: T1078

Tato výstraha se aktivuje, když má obchodní aplikace s podezřelými metadaty oprávnění ke správě oprávnění přes Exchange.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že se aplikace OAuth doručuje z neznámého zdroje a má podezřelé charakteristiky metadat, znamená to, že se zobrazí pravdivě pozitivní výsledek.

Doporučená akce: Odvolání souhlasu uděleného aplikaci a zakázání aplikace

FP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití.

Doporučená akce: Zavření výstrahy

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity provedené aplikací.
  2. Zkontrolujte rozsahy udělené aplikací.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Výstrahy před únikem obrany

Závažnost: Střední

Cloudová aplikace mimo Microsoft používá logo, které byl nalezen algoritmem strojového učení, aby se podobalo logu Microsoftu. Může se jednat o pokus o zosobnění softwarových produktů Společnosti Microsoft a zobrazení legitimních.

Poznámka:

Správci tenantů budou muset poskytnout souhlas prostřednictvím automaticky otevíraných oken, aby měli požadovaná data odeslaná mimo aktuální hranici dodržování předpisů a mohli vybrat partnerské týmy v Microsoftu, aby mohli tuto detekci hrozeb pro obchodní aplikace povolit.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že logo aplikace je imitace loga Microsoftu a chování aplikace je podezřelé. 

    Doporučená akce: Odvolání souhlasu uděleného aplikaci a zakázání aplikace

  • FP: Pokud si můžete ověřit, že logo aplikace není imitace loga Microsoftu nebo že aplikace neprováděla žádné neobvyklé aktivity. 

    Doporučená akce: Zavření výstrahy

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné aplikací.
  2. Zkontrolujte rozsahy udělené aplikaci.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Aplikace je přidružená k překlepované doméně

Závažnost: Střední

Toto zjišťování generuje výstrahy pro aplikace OAuth jiné společnosti než Microsoft s doménami vydavatele nebo adresami URL pro přesměrování, které obsahují překlepované verze názvů značek Microsoftu. Překlepování se obvykle používá k zachycení provozu na weby vždy, když uživatelé neúmyslně nesprávně zapisují adresy URL, ale dají se také použít k zosobnění oblíbených softwarových produktů a služeb.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že doména vydavatele nebo adresa URL pro přesměrování aplikace jsou překlepy a nesouvisí se skutečnou identitou aplikace.

    Doporučená akce:

    • Prozkoumejte podrobnosti o registraci aplikace v zásadách správného řízení aplikací a další podrobnosti najdete na webu Microsoft Entra ID.
    • Zkontrolujte, jestli aplikace nemá jiné známky falšování identity nebo zosobnění a jakékoli podezřelé aktivity.
    • Před zvážením jakýchkoli akcí zahrnutí ověřte, jestli je aplikace pro vaši organizaci důležitá. Deaktivujte aplikaci pomocí zásad správného řízení aplikací, abyste zabránili přístupu k prostředkům. Stávající zásady správného řízení aplikací už mohly aplikaci deaktivovat.

  • FP: Pokud si můžete ověřit, že doména vydavatele a adresa URL pro přesměrování aplikace jsou legitimní. 

    Doporučená akce: Klasifikujte výstrahu jako falešně pozitivní a zvažte sdílení zpětné vazby na základě vašeho šetření výstrahy.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné aplikací.
  2. Zkontrolujte rozsahy udělené aplikaci.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Přístup k přihlašovacím údajům

Tato část popisuje výstrahy, které značí, že se objekt actor se zlými úmysly se může pokoušet číst citlivá data přihlašovacích údajů a skládá se z technik pro krádež přihlašovacích údajů, jako jsou názvy účtů, tajné kódy, tokeny, certifikáty a hesla ve vaší organizaci.

Aplikace iniciující více neúspěšných aktivit čtení služby KeyVault bez úspěchu

Závažnost: Střední

ID MITRE: T1078.004

Tato detekce identifikuje aplikaci ve vašem tenantovi, u které bylo zjištěno provádění několika volání akcí čtení do služby KeyVault pomocí rozhraní API Azure Resource Manageru v krátkém intervalu, přičemž se dokončí pouze selhání a žádná úspěšná aktivita čtení.

TP nebo FP?

  • TP: Pokud je aplikace neznámá nebo se nepoužívá, je daná aktivita potenciálně podezřelá. Po ověření používaného prostředku Azure a ověření použití aplikace v tenantovi může daná aktivita vyžadovat, aby byla aplikace zakázaná. Obvykle se jedná o důkaz podezřelé aktivity výčtu pro prostředek KeyVault, který získá přístup k přihlašovacím údajům pro eskalaci laterálního přesunu nebo oprávnění.

    Doporučené akce: Zkontrolujte prostředky Azure, ke které aplikace přistupuje nebo vytvořila, a všechny nedávné změny provedené v aplikaci. Na základě vašeho šetření zvolte, jestli chcete zakázat přístup k této aplikaci. Zkontrolujte úroveň oprávnění, kterou tato aplikace požaduje a kteří uživatelé udělili přístup.

  • FP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte přístup a aktivitu aplikace.
  2. Zkontrolujte všechny aktivity provedené aplikací od jejího vytvoření.
  3. Zkontrolujte rozsahy udělené aplikací v rozhraní Graph API a roli, kterou jí udělila ve vašem předplatném.
  4. Před aktivitou zkontrolujte všechny uživatele, kteří k aplikaci mohli přistupovat.

Upozornění zjišťování

Výčet jednotek provedený aplikací

Závažnost: Střední

ID MITRE: T1087

Tato detekce identifikuje aplikaci OAuth, kterou zjistila machine Učení model provádějící výčet u souborů OneDrivu pomocí rozhraní Graph API.

TP nebo FP?

  • TP: Pokud jste schopni ověřit, že obchodní aplikace prostřednictvím rozhraní Graph API provedla neobvyklé aktivity nebo využití na OneDrive.

    Doporučená akce: Zakažte a odeberte aplikaci a resetujte heslo.

  • FP: Pokud můžete potvrdit, že aplikace neprováděla žádné neobvyklé aktivity.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné touto aplikací.
  2. Zkontrolujte rozsahy udělené aplikací.
  3. Zkontrolujte aktivitu uživatele přidruženou k této aplikaci.

Podezřelé aktivity výčtu prováděné pomocí Prostředí Microsoft Graph PowerShell

Závažnost: Střední

ID MITRE: T1087

Tato detekce identifikuje velký objem podezřelých aktivit výčtu provedených během krátkého časového intervalu prostřednictvím aplikace Microsoft Graph PowerShellu .

TP nebo FP?

  • TP: Pokud jste schopni potvrdit, že aplikace Microsoft Graph PowerShellu prováděla podezřelé nebo neobvyklé aktivity výčtu.

    Doporučená akce: Zakažte a odeberte aplikaci a resetujte heslo.

  • FP: Pokud můžete potvrdit, že aplikace neprováděla žádné neobvyklé aktivity.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné touto aplikací.
  2. Zkontrolujte aktivitu uživatele přidruženou k této aplikaci.

Nedávné vytvoření víceklientských aplikací obsahuje výčet informací o uživatelích často

Závažnost: Střední

ID MITRE: T1087

Tato výstraha najde nedávno zaregistrované aplikace OAuth v relativně novém tenantovi vydavatele s oprávněními ke změně nastavení poštovní schránky a přístupu k e-mailům. Ověřuje, jestli aplikace provedla řadu volání rozhraní Microsoft Graph API požadující informace o uživatelském adresáři. Aplikace, které aktivují toto upozornění, můžou uživatele lákat k udělení souhlasu, aby měli přístup k datům organizace.

TP nebo FP?

  • TP: Pokud jste schopni potvrdit, že žádost o souhlas s aplikací byla doručena z neznámého nebo externího zdroje a aplikace nemá v organizaci legitimní obchodní použití, znamená to, že je uveden pravdivě pozitivní výsledek.

    Doporučená akce:

    • Obraťte se na uživatele a správce, kteří udělili souhlas s touto aplikací, a ověřte, že je tato aplikace úmyslná a jsou normální.
    • Prozkoumejte aktivitu aplikace a zkontrolujte podezřelé aktivity v ovlivněných účtech.
    • Na základě vyšetřování zakažte aplikaci a pozastavte a resetujte hesla pro všechny ovlivněné účty.
    • Klasifikujte výstrahu jako pravdivě pozitivní.

  • FP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití, znamená to, že falešně pozitivní.

    Doporučená akce: Klasifikujte výstrahu jako falešně pozitivní a zvažte sdílení zpětné vazby na základě vašeho šetření výstrahy.

Vysvětlení rozsahu porušení zabezpečení

Zkontrolujte udělení souhlasu s aplikací, kterou vytvořili uživatelé a správci. Prozkoumejte všechny aktivity provedené aplikací, zejména výčet informací o adresáři uživatelů. Pokud máte podezření, že je aplikace podezřelá, zvažte zakázání aplikace a obměně přihlašovacích údajů všech ovlivněných účtů.

Upozornění exfiltrace

Tato část popisuje výstrahy, které značí, že se škodlivý aktér může pokoušet ukrást data, která jsou pro jejich cíl ve vaší organizaci zajímavá.

Aplikace OAuth využívající neobvyklého uživatelského agenta

Závažnost: Nízká

ID MITRE: T1567

Tato detekce identifikuje aplikaci OAuth, která pro přístup k rozhraní Graph API používá neobvyklý uživatelský agent.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že aplikace OAuth nedávno začala používat nového uživatelského agenta, který se dříve nepoužíval, a tato změna je neočekávaná, znamená to, že je pravdivě pozitivní.

    Doporučené akce: Zkontrolujte použité uživatelské agenty a všechny nedávné změny provedené v aplikaci. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci. Zkontrolujte úroveň oprávnění, kterou tato aplikace požaduje a kteří uživatelé udělili přístup.

  • FP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte aplikace, které se nedávno vytvořily, a použité uživatelské agenty.
  2. Zkontrolujte všechny aktivity provedené aplikací. 
  3. Zkontrolujte rozsahy udělené aplikací. 

Aplikace s neobvyklým uživatelským agentem přistupovala k e-mailovým datům prostřednictvím webových služeb Exchange

Závažnost: Vysoká

ID MITRE: T1114, T1567

Tato detekce identifikuje aplikaci OAuth, která používá neobvyklý uživatelský agent pro přístup k e-mailovým datům pomocí rozhraní API webových služeb Exchange.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že se u aplikace OAuth neočekává změna uživatelského agenta, který používá k provádění požadavků na rozhraní API webových služeb Exchange, je uveden pravdivě pozitivní výsledek.

    Doporučené akce: Klasifikujte upozornění jako TP. Pokud je aplikace škodlivá, můžete na základě šetření odvolat souhlasy a zakázat aplikaci v tenantovi. Pokud se jedná o ohroženou aplikaci, můžete odvolat souhlasy, dočasně aplikaci zakázat, zkontrolovat oprávnění, resetovat tajný klíč a certifikát a pak aplikaci znovu povolit.

  • FP: Pokud po šetření můžete ověřit, že uživatelský agent používaný aplikací má v organizaci legitimní obchodní použití.

    Doporučená akce: Klasifikujte výstrahu jako FP. Zvažte také sdílení zpětné vazby na základě vašeho šetření výstrahy.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte, jestli byla aplikace nově vytvořená nebo jestli v ní došlo k nějakým nedávným změnám.
  2. Zkontrolujte oprávnění udělená aplikaci a uživatelům, kteří s aplikací souhlasili.
  3. Zkontrolujte všechny aktivity provedené aplikací.

Upozornění laterálního pohybu

Tato část popisuje výstrahy, které značí, že se aktér se zlými úmysly se může pokoušet později přesouvat v různých prostředcích, zatímco procházení více systémů a účtů za účelem získání větší kontroly ve vaší organizaci.

Dormant OAuth App převážně využívající MS Graph nebo Exchange Web Services nedávno viděli, že přistupují k úlohám ARM

Závažnost: Střední

ID MITRE: T1078.004

Tato detekce identifikuje aplikaci ve vašem tenantovi, která po dlouhé době nečinnosti začala poprvé přistupovat k rozhraní API Azure Resource Manageru. Tato aplikace dříve používala většinou webovou službu MS Graph nebo Exchange.

TP nebo FP?

  • TP: Pokud je aplikace neznámá nebo se nepoužívá, je daná aktivita potenciálně podezřelá a může vyžadovat zakázání aplikace, po ověření používaného prostředku Azure a ověření využití aplikace v tenantovi.

    Doporučené akce:

    1. Zkontrolujte prostředky Azure, ke které aplikace přistupuje nebo vytvořila, a všechny nedávné změny provedené v aplikaci.
    2. Zkontrolujte úroveň oprávnění, kterou tato aplikace požaduje a kteří uživatelé udělili přístup.
    3. Na základě vašeho šetření zvolte, jestli chcete zakázat přístup k této aplikaci.

  • FP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte přístup a aktivitu aplikace.
  2. Zkontrolujte všechny aktivity provedené aplikací od jejího vytvoření.
  3. Zkontrolujte rozsahy udělené aplikací v rozhraní Graph API a roli, kterou jí udělila ve vašem předplatném.
  4. Před aktivitou zkontrolujte všechny uživatele, kteří k aplikaci mohli přistupovat.

Upozornění kolekce

Tato část popisuje výstrahy, které značí, že se škodlivý aktér může pokoušet shromáždit data, která mají zájem o cíl vaší organizace.

Aplikace provedla neobvyklé aktivity hledání e-mailů

Závažnost: Střední

ID MITRE: T1114

Tato detekce identifikuje, kdy aplikace souhlasila s podezřelým oborem OAuth a provedla velký objem neobvyklých aktivit vyhledávání e-mailů, jako je hledání konkrétního obsahu prostřednictvím rozhraní Graph API. To může znamenat pokus o porušení zabezpečení vaší organizace, například nežádoucí osoba, která se pokouší vyhledávat a číst konkrétní e-maily z vaší organizace prostřednictvím rozhraní Graph API. 

TP nebo FP?

  • TP: Pokud můžete potvrdit velký objem neobvyklého vyhledávání e-mailů a číst aktivity prostřednictvím rozhraní Graph API aplikací OAuth s podezřelým oborem OAuth a že se aplikace doručuje z neznámého zdroje.

    Doporučené akce: Zakažte a odeberte aplikaci, resetujte heslo a odeberte pravidlo doručené pošty. 

  • FP: Pokud si můžete ověřit, že aplikace z legitimních důvodů prováděla velké množství neobvyklého vyhledávání e-mailů a přečetla si rozhraní Graph API.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte rozsahy udělené aplikací.
  2. Zkontrolujte všechny aktivity provedené aplikací. 

Aplikace provedla neobvyklé volání graphu ke čtení e-mailů

Závažnost: Střední

ID MITRE: T1114

Tato detekce identifikuje, kdy obchodní aplikace OAuth přistupuje k neobvyklému a velkému objemu poštovních složek a zpráv uživatelů prostřednictvím rozhraní Graph API, což může znamenat pokus o porušení vaší organizace.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že neobvyklá aktivita grafu byla provedena aplikací OAuth Line of Business (LOB), je označena pravdivě pozitivní.

    Doporučené akce: Dočasně zakažte aplikaci a resetujte heslo a pak aplikaci znovu povolte. Postupujte podle kurzu o resetování hesla pomocí Microsoft Entra ID.

  • FP: Pokud si můžete ověřit, že aplikace má provádět neobvykle velký objem volání grafu.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte protokol aktivit událostí prováděných touto aplikací, abyste získali lepší přehled o dalších aktivitách Graphu ke čtení e-mailů a pokusu o shromažďování citlivých e-mailových informací uživatelů.
  2. Monitorování neočekávaných přihlašovacích údajů přidaných do aplikace

Aplikace vytvoří pravidlo doručené pošty a provede neobvyklé aktivity hledání e-mailů.

Závažnost: Střední

ID MITRE: T1137, T1114

Tato detekce identifikuje aplikaci se souhlasem s vysokým oborem oprávnění, vytvoří podezřelé pravidlo doručené pošty a provede neobvyklé aktivity hledání e-mailů v poštovních složkách uživatelů prostřednictvím rozhraní Graph API. To může znamenat pokus o porušení zabezpečení vaší organizace, jako jsou nežádoucí osoba, která se pokouší vyhledávat a shromažďovat konkrétní e-maily z vaší organizace prostřednictvím rozhraní Graph API.

TP nebo FP?

  • TP: Pokud můžete potvrdit jakékoli konkrétní vyhledávání a shromažďování e-mailů provedené prostřednictvím rozhraní Graph API aplikací OAuth s vysokým oborem oprávnění a aplikace se doručuje z neznámého zdroje.

    Doporučená akce: Zakažte a odeberte aplikaci, resetujte heslo a odeberte pravidlo doručené pošty.

  • FP: Pokud jste schopni ověřit, že aplikace provedla konkrétní vyhledávání a shromažďování e-mailů prostřednictvím rozhraní Graph API a vytvořila pravidlo doručené pošty pro nový nebo osobní externí e-mailový účet z legitimních důvodů.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity provedené aplikací.
  2. Zkontrolujte rozsahy udělené aplikací.
  3. Zkontrolujte jakoukoli akci pravidla doručené pošty vytvořenou aplikací.
  4. Zkontrolujte všechny aktivity vyhledávání e-mailů provedené aplikací.

Aplikace vytvořila aktivity hledání na OneDrivu nebo SharePointu a vytvořila pravidlo doručené pošty

Závažnost: Střední

MITRE ID: T1137, T1213

Tato detekce identifikuje, že aplikace souhlasila s vysokým oborem oprávnění, vytvořila podezřelé pravidlo doručené pošty a provedla neobvyklé aktivity hledání na SharePointu nebo OneDrivu prostřednictvím rozhraní Graph API. To může znamenat pokus o porušení zabezpečení vaší organizace, například nežádoucí osoba, která se pokouší vyhledávat a shromažďovat konkrétní data ze SharePointu nebo OneDrivu z vaší organizace prostřednictvím rozhraní Graph API. 

TP nebo FP?

  • TP: Pokud můžete potvrdit všechna konkrétní data ze sharepointového nebo onedrivu vyhledávání a shromažďování provedené prostřednictvím rozhraní Graph API aplikací OAuth s vysokým oborem oprávnění a aplikace se doručuje z neznámého zdroje. 

    Doporučená akce: Zakažte a odeberte aplikaci, resetujte heslo a odeberte pravidlo doručené pošty. 

  • FP: Pokud můžete ověřit, že aplikace z SharePointu nebo OneDrivu provedla konkrétní data z vyhledávání a shromažďování prostřednictvím rozhraní Graph API pomocí aplikace OAuth a vytvořila pravidlo doručené pošty na nový nebo osobní externí e-mailový účet z legitimních důvodů. 

    Doporučená akce: Zavření výstrahy

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity provedené aplikací. 
  2. Zkontrolujte rozsahy udělené aplikací. 
  3. Zkontrolujte jakoukoli akci pravidla doručené pošty vytvořenou aplikací. 
  4. Zkontrolujte aktivity hledání SharePointu nebo OneDrivu provedené aplikací.

Aplikace na OneDrivu provedla řadu hledání a úprav.

Závažnost: Střední

ID MITRE: T1137, T1213

Tato detekce identifikuje aplikace OAuth s oprávněními s vysokou úrovní oprávnění, která provádějí velké množství hledání a úprav na OneDrivu pomocí rozhraní Graph API.

TP nebo FP?

  • TP: Pokud můžete ověřit vysoké využití úlohy OneDrivu prostřednictvím rozhraní Graph API, od této aplikace OAuth s vysokými oprávněními ke čtení a zápisu na OneDrive se neočekává vysoké využití úloh OneDrivu, znamená to, že je to skutečně pozitivní.

    Doporučená akce: V závislosti na šetření, pokud je aplikace škodlivá, můžete odvolat souhlasy a zakázat aplikaci v tenantovi. Pokud se jedná o ohroženou aplikaci, můžete odvolat souhlasy, dočasně zakázat aplikaci, zkontrolovat požadovaná oprávnění, resetovat heslo a pak aplikaci znovu povolit.

  • FP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Vyřešte výstrahu a nahlašte svá zjištění.

Vysvětlení rozsahu porušení zabezpečení

  1. Ověřte, jestli je aplikace ze spolehlivého zdroje.
  2. Ověřte, jestli byla aplikace nově vytvořená nebo jestli v ní došlo k nějakým nedávným změnám.
  3. Zkontrolujte oprávnění udělená aplikaci a uživatelům, kteří s aplikací souhlasili.
  4. Prozkoumejte všechny ostatní aktivity aplikací.

Aplikace vytvořila velké množství důležitých zpráv pro čtení a vytvoření pravidla doručené pošty.

Závažnost: Střední

ID MITRE: T1137, T1114

Tato detekce identifikuje, že aplikace souhlasila s oborem vysoké úrovně oprávnění, vytvoří podezřelé pravidlo doručené pošty a provede velký objem důležitých aktivit čtení pošty prostřednictvím rozhraní Graph API. To může znamenat pokus o porušení zabezpečení vaší organizace, například nežádoucí osoba, která se pokouší přečíst e-maily s vysokou důležitostí z vaší organizace prostřednictvím rozhraní Graph API. 

TP nebo FP?

  • TP: Pokud můžete ověřit, že velký objem důležitých e-mailů čtených prostřednictvím rozhraní Graph API pomocí aplikace OAuth s vysokým oborem oprávnění a aplikace se doručuje z neznámého zdroje. 

    Doporučená akce: Zakažte a odeberte aplikaci, resetujte heslo a odeberte pravidlo doručené pošty. 

  • FP: Pokud jste schopni ověřit, že aplikace z legitimních důvodů provedla velký objem důležitých e-mailů pro čtení prostřednictvím rozhraní Graph API a vytvořila pravidlo doručené pošty pro nový nebo osobní externí e-mailový účet. 

    Doporučená akce: Zavření výstrahy

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity provedené aplikací. 
  2. Zkontrolujte rozsahy udělené aplikací. 
  3. Zkontrolujte jakoukoli akci pravidla doručené pošty vytvořenou aplikací. 
  4. Zkontrolujte aktivitu čtení e-mailů s vysokou důležitostí prováděnou aplikací.

Privilegovaná aplikace prováděla neobvyklé aktivity v Teams

Závažnost: Střední

Tato detekce identifikuje aplikace, které souhlasily s rozsahy OAuth s vysokou úrovní oprávnění, které přistupovaly k Microsoft Teams a vytvořily neobvyklý objem aktivit čtení nebo publikování chatových zpráv prostřednictvím rozhraní Graph API. To může znamenat pokus o porušení zabezpečení vaší organizace, například nežádoucí osoba, která se pokouší shromáždit informace z vaší organizace prostřednictvím rozhraní Graph API.

TP nebo FP?

  • TP: Pokud můžete ověřit, že neobvyklé aktivity chatovacích zpráv v Microsoft Teams prostřednictvím rozhraní Graph API aplikace OAuth s vysokým oborem oprávnění a aplikace se doručí z neznámého zdroje.

    Doporučená akce: Zakázání a odebrání aplikace a resetování hesla

  • FP: Pokud jste schopni potvrdit, že neobvyklé aktivity prováděné v Microsoft Teams prostřednictvím rozhraní Graph API byly z legitimních důvodů.

    Doporučená akce: Zavření výstrahy

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte rozsahy udělené aplikací.
  2. Zkontrolujte všechny aktivity provedené aplikací.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Neobvyklá aktivita OneDrivu podle aplikace, která právě aktualizovala nebo přidala nové přihlašovací údaje

Závažnost: Střední

ID MITRE: T1098.001, T1213

Cloudová aplikace, která není microsoftem, provedla neobvyklá volání rozhraní Graph API na OneDrive, včetně vysokého využití dat. Tato neobvyklá volání rozhraní API byla zjištěna pomocí strojového učení během několika dnů po přidání nových nebo aktualizovaných existujících certifikátů nebo tajných kódů aplikace. Tato aplikace může být zapojená do exfiltrace dat nebo jiných pokusů o přístup k citlivým informacím a jejich načtení.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že neobvyklé aktivity, jako je vysoké využití úloh OneDrivu, prováděla aplikace prostřednictvím rozhraní Graph API.

    Doporučená akce: Dočasně zakažte aplikaci, resetujte heslo a pak aplikaci znovu povolte.

  • FP: Pokud můžete potvrdit, že aplikace neprováděla žádné neobvyklé aktivity nebo že je aplikace určená k neobvykle velkému objemu volání Graphu.

    Doporučená akce: Zavření výstrahy

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné aplikací.
  2. Zkontrolujte rozsahy udělené aplikací.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Neobvyklá aktivita SharePointu podle aplikace, která právě aktualizovala nebo přidala nové přihlašovací údaje

Závažnost: Střední

ID MITRE: T1098.001, T1213.002

Cloudová aplikace, která není microsoftem, provedla neobvyklá volání rozhraní Graph API do SharePointu, včetně vysokého využití dat. Tato neobvyklá volání rozhraní API byla zjištěna pomocí strojového učení během několika dnů po přidání nových nebo aktualizovaných existujících certifikátů nebo tajných kódů aplikace. Tato aplikace může být zapojená do exfiltrace dat nebo jiných pokusů o přístup k citlivým informacím a jejich načtení.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že neobvyklé aktivity, jako je vysoké využití úloh SharePointu, prováděla aplikace prostřednictvím rozhraní Graph API.

    Doporučená akce: Dočasně zakažte aplikaci, resetujte heslo a pak aplikaci znovu povolte.

  • FP: Pokud můžete potvrdit, že aplikace neprováděla žádné neobvyklé aktivity nebo že je aplikace určená k neobvykle velkému objemu volání Graphu.

    Doporučená akce: Zavření výstrahy

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné aplikací.
  2. Zkontrolujte rozsahy udělené aplikací.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Závažnost: Střední

ID MITRE: T1114

Tato detekce generuje výstrahy pro aplikace OAuth jiné společnosti než Microsoft s metadaty, jako je název, adresa URL nebo vydavatel, které byly dříve pozorovány v aplikacích s podezřelou aktivitou související s poštou. Tato aplikace může být součástí kampaně útoku a může být zapojena do exfiltrace citlivých informací.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že aplikace vytvořila pravidla poštovní schránky nebo provedla velký počet neobvyklých volání rozhraní Graph API pro úlohu Exchange.

    Doporučená akce:

    • Prozkoumejte podrobnosti o registraci aplikace v zásadách správného řízení aplikací a další podrobnosti najdete na webu Microsoft Entra ID.
    • Obraťte se na uživatele nebo správce, kteří udělili souhlas nebo oprávnění k aplikaci. Ověřte, jestli byly změny úmyslné.
    • Vyhledejte v tabulce Rozšířené proaktivní vyhledávání CloudAppEvents, abyste porozuměli aktivitám aplikace a identifikovali data, ke kterým aplikace přistupuje. Zkontrolujte ovlivněné poštovní schránky a zkontrolujte zprávy, které mohly být přečtené nebo přeposílané samotnou aplikací nebo pravidly, které vytvořila.
    • Před zvážením jakýchkoli akcí zahrnutí ověřte, jestli je aplikace pro vaši organizaci důležitá. Deaktivujte aplikaci pomocí zásad správného řízení aplikací nebo ID Microsoft Entra, abyste zabránili přístupu k prostředkům. Stávající zásady správného řízení aplikací už mohly aplikaci deaktivovat.

  • FP: Pokud můžete potvrdit, že aplikace neprováděla žádné neobvyklé aktivity a že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavření výstrahy

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné aplikací.
  2. Zkontrolujte rozsahy udělené aplikaci.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Aplikace s oprávněními aplikace EWS přistupující k mnoha e-mailům

Závažnost: Střední

ID MITRE: T1114

Tato detekce generuje výstrahy pro cloudové aplikace s více tenanty s oprávněními aplikace EWS zobrazující významné zvýšení počtu volání rozhraní API webových služeb Exchange, které jsou specifické pro výčet a shromažďování e-mailů. Tato aplikace může být zapojená do přístupu k citlivým e-mailovým datům a načítání citlivých e-mailových dat.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že aplikace získala přístup k citlivým e-mailovým datům nebo provedla velký počet neobvyklých volání úlohy Exchange.

    Doporučená akce:

    • Prozkoumejte podrobnosti o registraci aplikace v zásadách správného řízení aplikací a další podrobnosti najdete na webu Microsoft Entra ID.
    • Obraťte se na uživatele nebo správce, kteří udělili souhlas nebo oprávnění k aplikaci. Ověřte, jestli byly změny úmyslné.
    • Vyhledejte v tabulce Rozšířené proaktivní vyhledávání CloudAppEvents, abyste porozuměli aktivitám aplikace a identifikovali data, ke kterým aplikace přistupuje. Zkontrolujte ovlivněné poštovní schránky a zkontrolujte zprávy, které mohly být přečtené nebo přeposílané samotnou aplikací nebo pravidly, které vytvořila.
    • Před zvážením jakýchkoli akcí zahrnutí ověřte, jestli je aplikace pro vaši organizaci důležitá. Deaktivujte aplikaci pomocí zásad správného řízení aplikací nebo ID Microsoft Entra, abyste zabránili přístupu k prostředkům. Stávající zásady správného řízení aplikací už mohly aplikaci deaktivovat.

  • FP: Pokud můžete potvrdit, že aplikace neprováděla žádné neobvyklé aktivity a že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavření výstrahy

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné aplikací.
  2. Zkontrolujte rozsahy udělené aplikaci.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Nepoužívané aplikace nově přistupující k rozhraním API

Závažnost: Střední

ID MITRE: T1530

Tato detekce generuje výstrahy pro cloudovou aplikaci s více tenanty, která byla nějakou dobu neaktivní a nedávno začala volat rozhraní API. Tato aplikace může být ohrožena útočníkem a používá se k přístupu k citlivým datům a jejich načítání.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že aplikace získala přístup k citlivým datům nebo provedla velký počet neobvyklých volání úloh Microsoft Graphu, Exchange nebo Azure Resource Manageru.

    Doporučená akce:

    • Prozkoumejte podrobnosti o registraci aplikace v zásadách správného řízení aplikací a další podrobnosti najdete na webu Microsoft Entra ID.
    • Obraťte se na uživatele nebo správce, kteří udělili souhlas nebo oprávnění k aplikaci. Ověřte, jestli byly změny úmyslné.
    • Vyhledejte v tabulce Rozšířené proaktivní vyhledávání CloudAppEvents, abyste porozuměli aktivitám aplikace a identifikovali data, ke kterým aplikace přistupuje. Zkontrolujte ovlivněné poštovní schránky a zkontrolujte zprávy, které mohly být přečtené nebo přeposílané samotnou aplikací nebo pravidly, které vytvořila.
    • Před zvážením jakýchkoli akcí zahrnutí ověřte, jestli je aplikace pro vaši organizaci důležitá. Deaktivujte aplikaci pomocí zásad správného řízení aplikací nebo ID Microsoft Entra, abyste zabránili přístupu k prostředkům. Stávající zásady správného řízení aplikací už mohly aplikaci deaktivovat.

  • FP: Pokud můžete potvrdit, že aplikace neprováděla žádné neobvyklé aktivity a že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavření výstrahy

Vysvětlení rozsahu porušení zabezpečení

  1. Zkontrolujte všechny aktivity prováděné aplikací.
  2. Zkontrolujte rozsahy udělené aplikaci.
  3. Zkontrolujte aktivitu uživatele přidruženou k aplikaci.

Ovlivnění výstrah

Tato část popisuje výstrahy, které značí, že se škodlivý aktér může pokoušet manipulovat s vašimi systémy a daty z vaší organizace, přerušit je nebo zničit.

Entra Line-of-Business app iniciuje neobvyklou špičku při vytváření virtuálních počítačů

Závažnost: Střední

ID MITRE: T1496

Tato detekce identifikuje jednu novou aplikaci OAuth tenanta, která ve vašem tenantovi vytváří hromadnou část virtuálních počítačů Azure pomocí rozhraní API Azure Resource Manageru.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že se aplikace OAuth nedávno vytvořila a vytváří ve vašem tenantovi velký počet virtuálních počítačů, znamená to, že je to skutečně pozitivní.

    Doporučené akce: Zkontrolujte vytvořené virtuální počítače a všechny nedávné změny provedené v aplikaci. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci. Zkontrolujte úroveň oprávnění, kterou tato aplikace požaduje a kteří uživatelé udělili přístup.

  • FP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení:

  1. Zkontrolujte aplikace vytvořené nedávno a vytvořené virtuální počítače.
  2. Zkontrolujte všechny aktivity provedené aplikací od jejího vytvoření.
  3. Zkontrolujte rozsahy udělené aplikací v rozhraní Graph API a přiřazenou roli ve vašem předplatném.

Aplikace OAuth s oprávněními s vysokým oborem v Microsoft Graphu byla zjištěna při vytváření virtuálních počítačů.

Závažnost: Střední

ID MITRE: T1496

Tato detekce identifikuje aplikaci OAuth, která ve vašem tenantovi vytváří hromadnou část virtuálních počítačů Azure pomocí rozhraní API Azure Resource Manageru a současně má vysoké oprávnění v tenantovi prostřednictvím rozhraní MS Graph API před aktivitou.

TP nebo FP?

  • TP: Pokud si můžete ověřit, že aplikace OAuth s vysokými obory oprávnění byla vytvořena a vytváří ve vašem tenantovi velký počet virtuálních počítačů, znamená to, že je to skutečně pozitivní.

    Doporučené akce: Zkontrolujte vytvořené virtuální počítače a všechny nedávné změny provedené v aplikaci. Na základě vašeho šetření se můžete rozhodnout zakázat přístup k této aplikaci. Zkontrolujte úroveň oprávnění, kterou tato aplikace požaduje a kteří uživatelé udělili přístup.

  • FP: Pokud po šetření můžete ověřit, že aplikace má v organizaci legitimní obchodní použití.

    Doporučená akce: Zavřete výstrahu.

Vysvětlení rozsahu porušení zabezpečení:

  1. Zkontrolujte aplikace vytvořené nedávno a vytvořené virtuální počítače.
  2. Zkontrolujte všechny aktivity provedené aplikací od jejího vytvoření.
  3. Zkontrolujte rozsahy udělené aplikací v rozhraní Graph API a přiřazenou roli ve vašem předplatném.

Další kroky

Správa upozornění zásad správného řízení aplikací