Untersuchen von Warnungen zur Bedrohungserkennung

App-Governance bietet Sicherheitserkennungen und Warnungen für böswillige Aktivitäten. In diesem Artikel werden Details zu jeder Warnung aufgeführt, die Ihre Untersuchung und Behebung unterstützen kann, einschließlich der Bedingungen für das Auslösen von Warnungen. Da Bedrohungserkennungen von Natur aus nicht deterministisch sind, werden sie nur ausgelöst, wenn es ein Verhalten gibt, das von der Norm abweicht.

Weitere Informationen finden Sie in der App-Governance in Microsoft Defender for Cloud-Apps.

Hinweis

App-Governance-Bedrohungserkennungen basieren auf der Zählung von Aktivitäten auf Daten, die vorübergehend sind und möglicherweise nicht gespeichert werden, daher können Warnungen die Anzahl der Aktivitäten oder Hinweise auf Spitzen bereitstellen, aber nicht notwendigerweise alle relevanten Daten. Speziell für OAuth-Apps Graph-API-Aktivitäten können die Aktivitäten selbst mithilfe von Log Analytics und Sentinel vom Mandanten überwacht werden.

Weitere Informationen finden Sie unter:

• Zugreifen auf Microsoft Graph-Aktivitätsprotokolle
• Analysieren von Aktivitätsprotokollen mithilfe von Log Analytics

MITRE ATT&CK

Um die Beziehung zwischen App-Governance-Warnungen und der vertrauten MITRE ATT&CK-Matrix zuzuordnen, haben wir die Warnungen nach der entsprechenden MITRE ATT&CK-Taktik kategorisiert. Diese zusätzliche Referenz erleichtert das Verständnis der verdächtigen Angriffstechnik, die möglicherweise verwendet wird, wenn eine App-Governance-Sicherheitswarnung ausgelöst wird.

Dieses Handbuch enthält Informationen zum Untersuchen und Beheben von App-Governance-Warnungen in den folgenden Kategorien.

• Erstzugriff
• Ausführung
• Persistenz
• Rechteausweitung
• Umgehen von Verteidigungsmaßnahmen
• Zugriff auf Anmeldeinformationen
• Ermittlung
• Laterale Bewegung
• Sammlung
• Exfiltration
• Auswirkung

Sicherheitswarnungs-Klassifizierungen

Nach der ordnungsgemäßen Untersuchung können alle App-Governance-Warnungen als einer der folgenden Aktivitätstypen klassifiziert werden:

• True positive (TP): Eine Warnung zu einer bestätigten böswilligen Aktivität.
• Gutartiges True Positives (B-TP): Eine Warnung zu verdächtigen, aber nicht bösartigen Aktivitäten, z. B. einem Penetrationstest oder einer anderen autorisierten verdächtigen Aktion.
• Falsch positives Ergebnis (FP): Eine Warnung zu einer nicht schädlichen Aktivität.

Allgemeine Untersuchungsschritte

Verwenden Sie die folgenden allgemeinen Richtlinien, wenn Sie jegliche Art von Warnung untersuchen, um ein besseres Verständnis der potenziellen Bedrohung zu erhalten, bevor Sie die empfohlene Aktion anwenden.

• Überprüfen Sie den Schweregrad der App und vergleichen Sie sie mit den restlichen Apps in Ihrem Mandanten. Anhand dieser Überprüfung können Sie ermitteln, welche Apps in Ihrem Mandanten das größere Risiko darstellen.

• Wenn Sie ein TP identifizieren, überprüfen Sie alle App-Aktivitäten, um ein Verständnis der Auswirkungen zu erhalten. Weitere App-Informationen finden Sie in den folgenden Beispielen:

  • Bereiche, die Zugriff gewährt haben
  • Ungewöhnliches Verhalten
  • IP-Adresse und Standort

Warnungen Erstzugriffe

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass eine schädliche App möglicherweise versucht, in Ihrer Organisation Fuß zu fassen.

Die App leitet zu Phishing-URL um, indem sie die Sicherheitsanfälligkeit bei der OAuth-Umleitung ausnutzen

Schweregrad: Mittel

Diese Erkennung identifiziert OAuth-Apps, die an Phishing-URLs umgeleitet werden, indem der Antworttypparameter in der OAuth-Implementierung über die Microsoft Graph-API ausgenutzt wird.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App von einer unbekannten Quelle übermittelt wurde, enthält der Antworttyp der Antwort-URL nach der Zustimmung zur OAuth-App eine ungültige Anforderung und leitet an eine unbekannte oder nicht vertrauenswürdige Antwort-URL weiter.

  Empfohlene Aktion: Deaktivieren und Entfernen der App, Zurücksetzen des Kennworts und Entfernen der Posteingangsregel. 

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App über eine legitime geschäftliche Nutzung in der Organisation verfügt.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle Aktivitäten, die von der App durchgeführt werden. 
2. Überprüfen Sie die von der App gewährten Bereiche. 

OAuth-App mit verdächtiger Antwort-URL

Schweregrad: Mittel

Diese Erkennung identifiziert eine OAuth-App, auf die über die Microsoft Graph-API auf eine verdächtige Antwort-URL zugegriffen wurde.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App von einer unbekannten Quelle übermittelt wird und zu einer verdächtigen URL umleitet, wird ein True Positive Ergebnis angezeigt. Eine verdächtige URL ist eine, bei der der Ruf der URL unbekannt, nicht vertrauenswürdig ist oder deren Domäne kürzlich registriert wurde und die App-Anforderung für einen Bereich mit hohen Rechten gilt.

  Empfohlene Aktion: Überprüfen Sie die Antwort-URL, Domänen und Bereiche, die von der App angefordert werden. Basierend auf Ihrer Untersuchung können Sie den Zugriff auf diese App sperren. Überprüfen Sie die Berechtigungsstufe, die von dieser App angefordert wird und welchen Benutzern der Zugriff gewährt wird.

  Um den Zugriff auf die App zu sperren, wechseln Sie zur entsprechenden Registerkarte für Ihre App auf der App-Governance-Seite . Wählen Sie in der Zeile, in der die App, die Sie verbieten möchten, auftaucht das Symbol Verbot aus. Sie können auswählen, ob Sie den Benutzern mitteilen möchten, dass die App, die sie installiert und autorisiert haben, gesperrt wurde. Die Benachrichtigung teilt den Benutzern mit, dass die App deaktiviert wird und sie keinen Zugriff mehr auf die verbundene App haben. Wenn Sie die Benutzer nicht informieren möchten, deaktivieren Sie Benutzer benachrichtigen, die dieser gesperrten App Zugriff erteilt haben im Dialogfeld. Wir empfehlen, dass Sie die App-Benutzer benachrichtigen, wenn Sie ihre App sperren möchten.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App über eine legitime geschäftliche Nutzung in der Organisation verfügt.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie die Apps, die kürzlich erstellt wurden, und deren Antwort-URLs.

2. Überprüfen Sie alle Aktivitäten, die von der App durchgeführt werden. 

3. Überprüfen Sie die von der App gewährten Bereiche. 

Kürzlich erstellte App weist eine niedrige Zustimmungsrate auf

Schweregrad: Niedrig

Diese Erkennung identifiziert eine OAuth-App, die kürzlich erstellt wurde und festgestellt hat, dass die Zustimmungsrate niedrig ist. Dies kann auf eine böswillige oder riskante App hinweisen, die Benutzer in unzulässige Zustimmungserteilungen lockt.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App von einer unbekannten Quelle übermittelt wird, wird ein True Positive Ergebnis angezeigt.

  Empfohlene Aktion: Überprüfen Sie den Anzeigenamen, Antwort-URLs und Domänen der App. Basierend auf Ihrer Untersuchung können Sie den Zugriff auf diese App sperren. Überprüfen Sie die Berechtigungsstufe, die von dieser App angefordert wurde und welche Benutzer Zugriff gewährt haben.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App über eine legitime geschäftliche Nutzung in der Organisation verfügt.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle Aktivitäten, die von der App durchgeführt werden.
2. Wenn eine App verdächtig erscheint, wird empfohlen, den Namen und die Antwortdomäne der App in verschiedenen App-Stores zu untersuchen. Konzentrieren Sie sich beim Überprüfen von App-Stores auf die folgenden Arten von Apps:
   • Apps, die kürzlich erstellt wurden
   • App mit ungewöhnlichem Anzeigenamen
   • Apps mit verdächtiger Antwortdomäne
3. Wenn Sie immer noch vermuten, dass eine App verdächtig ist, können Sie den Anzeigenamen der App und die Antwortdomäne untersuchen.

App mit schlechter URL-Zuverlässigkeit

Schweregrad: Mittel

Diese Erkennung identifiziert eine OAuth-App mit einen schlechten URL-Ruf hat.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App von einer unbekannten Quelle übermittelt wird und zu einer verdächtigen URL umleitet, wird ein True Positive Ergebnis angezeigt.

  Empfohlene Aktion: Überprüfen Sie die Antwort-URLs, Domänen und Bereiche, die von der App angefordert werden. Basierend auf Ihrer Untersuchung können Sie den Zugriff auf diese App sperren. Überprüfen Sie die Berechtigungsstufe, die von dieser App angefordert wurde und welche Benutzer Zugriff gewährt haben.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App über eine legitime geschäftliche Nutzung in der Organisation verfügt.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle Aktivitäten, die von der App durchgeführt werden.
2. Wenn eine App verdächtig erscheint, wird empfohlen, den Namen und die Antwortdomäne der App in verschiedenen App-Stores zu untersuchen. Konzentrieren Sie sich beim Überprüfen von App-Stores auf die folgenden Arten von Apps:
   • Apps, die kürzlich erstellt wurden
   • App mit ungewöhnlichem Anzeigenamen
   • Apps mit verdächtiger Antwortdomäne
3. Wenn Sie immer noch vermuten, dass eine App verdächtig ist, können Sie den Anzeigenamen der App und die Antwortdomäne untersuchen.

Codierter App-Name mit verdächtigen Zustimmungsbereichen

Schweregrad: Mittel

Beschreibung: Diese Erkennung identifiziert OAuth-Apps mit Zeichen, z. B. Unicode oder codierte Zeichen, die für verdächtige Zustimmungsbereiche angefordert wurden und die über die Graph-API auf Benutzer-E-Mail-Ordner zugegriffen haben. Diese Warnung kann auf einen Versuch hinweisen, eine schädliche App als bekannte und vertrauenswürdige App zu tarnen, sodass Angreifer die Benutzer dazu verleiten können, der bösartigen App zuzustimmen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App den Anzeigenamen mit verdächtigen Bereichen codiert hat, die von einer unbekannten Quelle geliefert wurden, wird ein True Positive Ergebnis angezeigt.

  Empfohlene Aktion: Überprüfen Sie die Berechtigungsstufe, die von dieser App angefordert wurde und welchen Benutzern der Zugriff gewährt wurde. Basierend auf Ihrer Untersuchung können Sie den Zugriff auf diese App sperren.

  Um den Zugriff auf die App zu sperren, wechseln Sie zur entsprechenden Registerkarte für Ihre App auf der App-Governance-Seite . Wählen Sie in der Zeile, in der die App, die Sie verbieten möchten, auftaucht das Symbol Verbot aus. Sie können auswählen, ob Sie den Benutzern mitteilen möchten, dass die App, die sie installiert und autorisiert haben, gesperrt wurde. Die Benachrichtigung teilt den Benutzer*innen mit, dass die App deaktiviert wird und sie keinen Zugriff mehr auf die verbundene App haben. Wenn Sie die Benutzer nicht informieren möchten, deaktivieren Sie Benutzer benachrichtigen, die dieser gesperrten App Zugriff erteilt haben im Dialogfeld. Wir empfehlen, dass Sie die App-Benutzer benachrichtigen, wenn Sie ihre App sperren möchten.

• FP: Wenn Sie bestätigen möchten, dass die App einen codierten Namen hat, aber über eine legitime geschäftliche Verwendung in der Organisation verfügt.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

Folgen Sie dem Tutorial, wie Sie riskante OAuth-Apps untersuchen.

OAuth-App mit Lesebereichen hat verdächtige Antwort-URL

Schweregrad: Mittel

Beschreibung: Diese Erkennung identifiziert eine OAuth-App mit nur Lesebereichen wie User.Read, People.Read, Contacts.Read, Mail.Read, Contacts.Read. Freigegebene Umleitungen zu verdächtiger Antwort-URL über die Graph-API. Diese Aktivität versucht, darauf hinzuweisen, dass bösartige Apps mit weniger Berechtigungen (z. B. Lesebereiche) ausgenutzt werden können, um die Benutzerkontoaufklärung durchzuführen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App mit Lesebereich von einer unbekannten Quelle übermittelt wird und zu einer verdächtigen URL umleitet, wird ein True Positive Ergebnis angezeigt.

  Empfohlene Aktion: Überprüfen Sie die Antwort-URL und die von der Anwendung angeforderten Bereiche. Basierend auf Ihrer Untersuchung können Sie den Zugriff auf diese App sperren. Überprüfen Sie die Berechtigungsstufe, die von dieser App angefordert wurde und welche Benutzer Zugriff gewährt haben.

  Um den Zugriff auf die App zu sperren, wechseln Sie zur entsprechenden Registerkarte für Ihre App auf der App-Governance-Seite . Wählen Sie in der Zeile, in der die App, die Sie verbieten möchten, auftaucht das Symbol Verbot aus. Sie können auswählen, ob Sie den Benutzern mitteilen möchten, dass die App, die sie installiert und autorisiert haben, gesperrt wurde. Die Benachrichtigung teilt den Benutzer*innen mit, dass die App deaktiviert wird und sie keinen Zugriff mehr auf die verbundene App haben. Wenn Sie die Benutzer nicht informieren möchten, deaktivieren Sie Benutzer benachrichtigen, die dieser gesperrten App Zugriff erteilt haben im Dialogfeld. Wir empfehlen, dass Sie die App-Benutzer benachrichtigen, wenn Sie ihre App sperren möchten.

• B-TP: Wenn Sie nach der Untersuchung bestätigen können, dass die App über eine legitime geschäftliche Nutzung in der Organisation verfügt.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle Aktivitäten, die von der App durchgeführt werden.
2. Wenn eine App verdächtig erscheint, wird empfohlen, den Namen und die Antwort-URL der App in verschiedenen App-Stores zu untersuchen. Konzentrieren Sie sich beim Überprüfen von App-Stores auf die folgenden Arten von Apps:
   • Apps, die kürzlich erstellt wurden.
   • Apps mit einer verdächtigen Antwort-URL
   • Apps, die nicht vor Kurzem aktualisiert wurden. Fehlende Updates deuten möglicherweise darauf hin, dass die App nicht mehr unterstützt wird.
3. Wenn die App immer noch verdächtig ist, können Sie online nach dem App-Namen, dem Herausgeber und der Antwort-URL suchen.

App mit ungewöhnlichem Anzeigenamen und ungewöhnlicher TLD in Antwortdomäne

Schweregrad: Mittel

Diese Erkennung identifiziert die App mit ungewöhnlichem Anzeigenamen und leitet sie zu einer verdächtigen Antwort-Domäne mit einer ungewöhnlichen Top-Level-Domain (TLD) auf oberster Ebene über die Graph-API weiter. Dies kann auf einen Versuch hinweisen, eine schädliche oder riskante App als bekannte und vertrauenswürdige App zu tarnen, damit Angreifer die Benutzer dazu verleiten können, ihrer schädlichen oder riskanten App zuzustimmen. 

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die App mit einem ungewöhnlichen Anzeigenamen, der von einer unbekannten Quelle übermittelt wurde, zu einer verdächtigen Domäne mit ungewöhnlicher Top-Level-Domain umleitet

  Empfohlene Aktion: Überprüfen Sie den Anzeigenamen und die Antwort-Domäne der App. Basierend auf Ihrer Untersuchung können Sie den Zugriff auf diese App sperren. Überprüfen Sie die Berechtigungsstufe, die von dieser App angefordert wurde und welche Benutzer Zugriff gewährt haben.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App über eine legitime geschäftliche Nutzung in der Organisation verfügt.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

Überprüfen Sie alle Aktivitäten, die von der App durchgeführt werden. Wenn eine App verdächtig erscheint, wird empfohlen, den Namen und die Antwortdomäne der App in verschiedenen App-Stores zu untersuchen. Konzentrieren Sie sich beim Überprüfen von App-Stores auf die folgenden Arten von Apps:

• Apps, die kürzlich erstellt wurden
• App mit ungewöhnlichem Anzeigenamen
• Apps mit verdächtiger Antwortdomäne

Wenn Sie immer noch vermuten, dass eine App verdächtig ist, können Sie den Anzeigenamen der App und die Antwortdomäne untersuchen.

Neue App mit E-Mail-Berechtigungen mit geringem Zustimmungsmuster

Schweregrad: Mittel

Diese Erkennung identifiziert OAuth-Apps, die kürzlich in relativ neuen Herausgebermandanten mit den folgenden Merkmalen erstellt wurden:

• Berechtigungen für den Zugriff auf oder Ändern von Postfacheinstellungen
• Relativ niedrige Zustimmungsrate, die unerwünschte oder sogar schädliche Apps identifizieren kann, die versuchen, die Zustimmung von ahnungslosen Benutzern zu erhalten

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die Zustimmungsanforderung an die App von einer unbekannten oder externen Quelle übermittelt wurde und die App keine legitime Geschäftsverwendung in der Organisation hat, wird ein True Positive angezeigt.

  Empfohlene Maßnahme:

  • Wenden Sie sich an Benutzer und Administratoren, die dieser App zugestimmt haben, um zu bestätigen, dass dies beabsichtigt war, und die übermäßigen Berechtigungen normal sind.
  • Untersuchen Sie die App-Aktivität und überprüfen Sie betroffene Konten auf verdächtige Aktivitäten.
  • Deaktivieren Sie basierend auf Ihrer Untersuchung die App und setzen Sie Passwörter für alle betroffenen Konten aus und setzen Sie sie zurück.
  • Klassifizieren Sie die Warnung als True Positive Ergebnis.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App über eine legitime geschäftliche Nutzung in der Organisation verfügt.

  Empfohlene Aktion: Klassifizieren Sie die Warnung als falsch positives Ergebnis, und erwägen Sie, Feedback basierend auf Ihrer Untersuchung der Warnung zu teilen.

Verstehen des Umfangs der Verletzung

Überprüfen Sie die Zustimmungserteilungen für die Anwendung, die von Benutzern und Administratoren vorgenommen wurde. Untersuchen Sie alle Aktivitäten der App, insbesondere den Zugriff auf das Postfach der zugehörigen Benutzer und Administratorkonten. Wenn Sie vermuten, dass die App verdächtig ist, sollten Sie die Anwendung deaktivieren und Anmeldedaten aller betroffenen Konten wechseln.

Neue App mit geringer Zustimmungsrate beim Zugriff auf zahlreiche E-Mails

Schweregrad: Mittel

Diese Warnung identifiziert OAuth-Apps, die kürzlich in einem relativ neuen Herausgebermandanten registriert wurden, mit Berechtigungen zum Ändern der Postfacheinstellungen und des Zugriffs auf E-Mails. Außerdem wird überprüft, ob die App über eine relativ niedrige globale Zustimmungsrate verfügt und zahlreiche Aufrufe an die Microsoft Graph-API sendet, um auf die E-Mails von zustimmenden Benutzern zuzugreifen. Apps, die diese Warnung auslösen, sind möglicherweise unerwünschte oder schädliche Apps, die versuchen, die Zustimmung von ahnungslosen Benutzern zu erhalten.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die Zustimmungsanforderung an die App von einer unbekannten oder externen Quelle übermittelt wurde und die App keine legitime Geschäftsverwendung in der Organisation hat, wird ein True Positive angezeigt.

  Empfohlene Maßnahme:

  • Wenden Sie sich an Benutzer und Administratoren, die dieser App zugestimmt haben, um zu bestätigen, dass dies beabsichtigt war, und die übermäßigen Berechtigungen normal sind.
  • Untersuchen Sie die App-Aktivität und überprüfen Sie betroffene Konten auf verdächtige Aktivitäten.
  • Deaktivieren Sie basierend auf Ihrer Untersuchung die App und setzen Sie Passwörter für alle betroffenen Konten aus und setzen Sie sie zurück.
  • Klassifizieren Sie die Warnung als True Positive Ergebnis.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App über eine legitime geschäftliche Nutzung in der Organisation verfügt, handelt es sich um ein falsch positives Ergebnis.

  Empfohlene Aktion: Klassifizieren Sie die Warnung als falsch positives Ergebnis, und erwägen Sie, Feedback basierend auf Ihrer Untersuchung der Warnung zu teilen.

Verstehen des Umfangs der Verletzung

Überprüfen Sie die Zustimmungserteilungen für die Anwendung, die von Benutzern und Administratoren vorgenommen wurde. Untersuchen Sie alle Aktivitäten der App, insbesondere den Zugriff auf die Postfächer der zugehörigen Benutzer und Administratorkonten. Wenn Sie vermuten, dass die App verdächtig ist, sollten Sie die Anwendung deaktivieren und Anmeldedaten aller betroffenen Konten wechseln.

Verdächtige App mit E-Mail-Berechtigungen, die zahlreiche E-Mails sendet

Schweregrad: Mittel

Diese Warnung findet mehrinstanzenfähige OAuth-Apps, die zahlreiche Aufrufe an die Microsoft Graph-API ausgeführt haben, um E-Mails innerhalb kurzer Zeit zu senden. Außerdem wird überprüft, ob die API-Aufrufe zu Fehlern und fehlgeschlagenen Versuchen zum Senden von E-Mails geführt haben. Apps, die diese Warnung auslösen, senden möglicherweise aktiv Spam oder schädliche E-Mails an andere Ziele.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die Zustimmungsanforderung an die App von einer unbekannten oder externen Quelle übermittelt wurde und die App keine legitime Geschäftsverwendung in der Organisation hat, wird ein True Positive angezeigt.

  Empfohlene Maßnahme:

  • Wenden Sie sich an Benutzer und Administratoren, die dieser App zugestimmt haben, um zu bestätigen, dass dies beabsichtigt war, und die übermäßigen Berechtigungen normal sind.
  • Untersuchen Sie die App-Aktivität und überprüfen Sie betroffene Konten auf verdächtige Aktivitäten.
  • Deaktivieren Sie basierend auf Ihrer Untersuchung die App und setzen Sie Passwörter für alle betroffenen Konten aus und setzen Sie sie zurück.
  • Klassifizieren Sie die Warnung als True Positive Ergebnis.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App über eine legitime geschäftliche Nutzung in der Organisation verfügt, handelt es sich um ein falsch positives Ergebnis.

  Empfohlene Aktion: Klassifizieren Sie die Warnung als falsch positives Ergebnis, und erwägen Sie, Feedback basierend auf Ihrer Untersuchung der Warnung zu teilen.

Verstehen des Umfangs der Verletzung

Überprüfen Sie die Zustimmungserteilungen für die Anwendung, die von Benutzern und Administratoren vorgenommen wurde. Untersuchen Sie alle Aktivitäten der App, insbesondere den Zugriff auf das Postfach der zugehörigen Benutzer und Administratorkonten. Wenn Sie vermuten, dass die App verdächtig ist, sollten Sie die Anwendung deaktivieren und Anmeldedaten aller betroffenen Konten wechseln.

Verdächtige OAuth-App, die zum Senden zahlreicher E-Mails verwendet wurde

Schweregrad: Mittel

Diese Warnung gibt eine OAuth-App an, die zahlreiche Aufrufe an die Microsoft Graph-API ausgeführt hat, um E-Mails innerhalb eines kurzen Zeitraums zu senden. Der Herausgebermandant der App ist bekannt dafür, ein hohes Volumen von OAuth-Apps, die ähnliche Microsoft Graph-API-Aufrufe tätigen, zu erzeugen. Ein Angreifer verwendet diese App möglicherweise aktiv, um Spam- oder böswillige E-Mails an ihre Ziele zu senden.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die Zustimmungsanforderung an die App von einer unbekannten oder externen Quelle übermittelt wurde und die App keine legitime Geschäftsverwendung in der Organisation hat, wird ein True Positive angezeigt.

  Empfohlene Maßnahme:

  • Wenden Sie sich an Benutzer und Administratoren, die dieser App zugestimmt haben, um zu bestätigen, dass dies beabsichtigt war, und die übermäßigen Berechtigungen normal sind.
  • Untersuchen Sie die App-Aktivität und überprüfen Sie betroffene Konten auf verdächtige Aktivitäten.
  • Deaktivieren Sie basierend auf Ihrer Untersuchung die App und setzen Sie Passwörter für alle betroffenen Konten aus und setzen Sie sie zurück.
  • Klassifizieren Sie die Warnung als True Positive Ergebnis.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App über eine legitime geschäftliche Nutzung in der Organisation verfügt, handelt es sich um ein falsch positives Ergebnis.

  Empfohlene Aktion: Klassifizieren Sie die Warnung als falsch positives Ergebnis, und erwägen Sie, Feedback basierend auf Ihrer Untersuchung der Warnung zu teilen.

Verstehen des Umfangs der Verletzung

Überprüfen Sie die Zustimmungserteilungen für die Anwendung, die von Benutzern und Administratoren vorgenommen wurde. Untersuchen Sie alle Aktivitäten der App, insbesondere den Zugriff auf das Postfach der zugehörigen Benutzer und Administratorkonten. Wenn Sie vermuten, dass die App verdächtig ist, sollten Sie die Anwendung deaktivieren und Anmeldedaten aller betroffenen Konten wechseln.

Persistenzwarnungen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur möglicherweise versucht, sich in Ihrer Organisation dauerhaft festzusetzen.

Die App hat anomale Graph-Aufrufe an Exchange-Workload nach der Zertifikataktualisierung oder dem Hinzufügen neuer Anmeldedaten vorgenommen.

Schweregrad: Mittel

MITRE ID: T1098.001, T1114

Diese Erkennung löst eine Warnung aus, wenn eine branchenspezifische App Zertifikate/geheime Zertifikate aktualisiert oder neue Anmeldedaten hinzugefügt hat und innerhalb weniger Tage nach der Zertifikatsaktualisierung oder dem Hinzufügen neuer Anmeldeinformationen, beobachtete ungewöhnliche Aktivitäten oder eine hohe Auslastung von Exchange-Arbeitsauslastungen über die Graph-API mithilfe des Algorithmus von maschinellem Lernen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass ungewöhnliche Aktivitäten/hohe Volumennutzung für Exchange-Workload von der branchenspezifischen App über die Graph-API ausgeführt wurde

  Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Passwort zurück und aktivieren Sie dann die App erneut.

• FP: Wenn Sie bestätigen können, dass keine ungewöhnlichen Aktivitäten von einer branchenspezifischen App durchgeführt wurden, oder die App eine ungewöhnlich hohe Anzahl von Diagrammaufrufen vorgesehen hat.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle Aktivitäten, die von dieser App ausgeführt werden.
2. Überprüfen Sie die von der App gewährten Bereiche.
3. Überprüfen Sie die Benutzeraktivität, die dieser App zugeordnet ist.

App mit verdächtigem OAuth-Bereich wurde vom Machine Learning-Modell mit hohem Risiko gekennzeichnet, Graphaufrufe zum Lesen von E-Mails und zum Erstellen der Posteingangsregel durchgeführt

Schweregrad: Mittel

MITRE-ID: T1137.005, T1114

Diese Erkennung identifiziert eine OAuth-App, die vom Machine Learning-Modell gekennzeichnet wurde, das verdächtigen Bereichen zugestimmt hat, eine verdächtige Posteingangsregel erstellt und dann über die Graph-API auf Benutzer-E-Mail-Ordner und -Nachrichten zugegriffen hat. Posteingangsregel, z. B. das Weiterleiten aller oder bestimmter E-Mails an ein anderes E-Mail-Konto und Graph-Aufrufe für den Zugriff auf E-Mails und das Senden an ein anderes E-Mail-Konto, können ein Versuch sein, Informationen aus Ihrer Organisation heraus zu bekommen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die Posteingangsregel von einer OAuth-Drittanbieter-App mit verdächtigen Bereichen erstellt wurde, die von einer unbekannten Quelle bereitgestellt wurden, wird ein True Positive Ergebnis erkannt.

  Empfohlene Aktion: Deaktivieren und Entfernen der App, Zurücksetzen des Kennworts und Entfernen der Posteingangsregel.

Folgen Sie dem Lernprogramm zum Zurücksetzen eines Passworts mithilfe der Microsoft Entra-ID und dem Lernprogramm zum Entfernen der Posteingangsregel.

• FP: Wenn Sie bestätigen können, dass die App eine Posteingangsregel zu einem neuen oder persönlichen externen E-Mail-Konto aus legitimen Gründen erstellt hat.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle Aktivitäten, die von der App durchgeführt werden.
2. Überprüfen Sie die von der App gewährten Bereiche.
3. Überprüfen Sie die von der App erstellte Aktion der Posteingangsregel und -Bedingung.

App mit verdächtigem OAuth-Bereich hat Graph-Aufrufe zum Lesen von E-Mails und zum Erstellen der Posteingangsregel ausgeführt

Schweregrad: Mittel

MITRE-ID: T1137.005, T1114

Diese Erkennung identifiziert eine OAuth-App, die verdächtigen Bereichen zugestimmt hat, eine verdächtige Posteingangsregel erstellt und dann über die Graph-API auf Benutzer-Mail-Ordner und -Nachrichten zugegriffen hat. Posteingangsregel, z. B. das Weiterleiten aller oder bestimmter E-Mails an ein anderes E-Mail-Konto und Graph-Aufrufe für den Zugriff auf E-Mails und das Senden an ein anderes E-Mail-Konto, können ein Versuch sein, Informationen aus Ihrer Organisation heraus zu bekommen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die Posteingangsregel von einer OAuth-Drittanbieter-App mit verdächtigen Bereichen erstellt wurde, die von einer unbekannten Quelle bereitgestellt wurden, wird ein True Positive Ergebnis angegeben.

  Empfohlene Aktion: Deaktivieren und Entfernen der App, Zurücksetzen des Kennworts und Entfernen der Posteingangsregel.

  Folgen Sie dem Lernprogramm zum Zurücksetzen eines Passworts mithilfe der Microsoft Entra-ID und dem Lernprogramm zum Entfernen der Posteingangsregel.

• FP: Wenn Sie bestätigen können, dass die App eine Posteingangsregel zu einem neuen oder persönlichen externen E-Mail-Konto aus legitimen Gründen erstellt hat.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle Aktivitäten, die von der App durchgeführt werden.
2. Überprüfen Sie die von der App gewährten Bereiche.
3. Überprüfen Sie die von der App erstellte Aktion der Posteingangsregel und -Bedingung.

App, auf die nach dem Zertifikatupdate von ungewöhnlichen Speicherorten zugegriffen wurde

Schweregrad: Niedrig

MITRE-ID: T1098

Diese Erkennung löst eine Warnung aus, wenn eine branchenspezifische App das Zertifikat/Geheimnis aktualisiert hat und innerhalb weniger Tage nach der Zertifikataktualisierung auf die App von einem ungewöhnlichen Ort aus zugegriffen wird, von dem aus nicht kürzlich oder noch nie zugegriffen wurde.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die branchenspezifische App von einem ungewöhnlichen Standort aus zugegriffen und ungewöhnliche Aktivitäten über die Graph-API ausgeführt hat.

  Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Passwort zurück und aktivieren Sie dann die App erneut.

• FP: Wenn Sie bestätigen können, dass die branchenspezifische App von einem ungewöhnlichen Standort aus zugegriffen und keine ungewöhnlichen Aktivitäten ausgeführt hat.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle Aktivitäten, die von dieser App ausgeführt werden.
2. Überprüfen Sie die von der App gewährten Bereiche.
3. Überprüfen Sie die Benutzeraktivität, die dieser App zugeordnet ist.

App, auf die von einem ungewöhnlichen Standort aus anomale Graph-Aufrufe nach der Zertifikataktualisierung zugegriffen wurde

Schweregrad: Mittel

MITRE-ID: T1098

Diese Erkennung löst eine Warnung aus, wenn eine branchenspezifische App das Zertifikat/Geheimnis aktualisiert hat und innerhalb weniger Tage nach der Zertifikataktualisierung auf die App von einem ungewöhnlichen Standort aus zugegriffen wird, von dem aus nicht kürzlich oder noch nie zugegriffen wurde und ungewöhnliche Aktivitäten oder Nutzung durch Graph-API mittels Algorithmen von maschinellem Lernen beobachtet wurden.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die branchenspezifische App ungewöhnliche Aktivitäten/einen ungewöhnlichen Nutzen durch eine Graph-API von ungewöhnlichem Standort aus aufweist.

  Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Passwort zurück und aktivieren Sie dann die App erneut.

• FP: Wenn Sie bestätigen können, dass die branchenspezifische App von einem ungewöhnlichen Standort aus zugegriffen und keine ungewöhnlichen Aktivitäten ausgeführt hat.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle Aktivitäten, die von dieser App ausgeführt werden.
2. Überprüfen Sie die von der App gewährten Bereiche.
3. Überprüfen Sie die Benutzeraktivität, die dieser App zugeordnet ist.

Die kürzlich erstellte App verfügt über ein hohes Volumen an zurückgenommenen Zustimmungen

Schweregrad: Mittel

MITRE ID: T1566, T1098

Mehrere Benutzer haben ihre Zustimmung zu dieser kürzlich erstellten branchenspezifischen- oder Drittanbieter-App widerrufen. Diese App hat Benutzer möglicherweise dazu verleitet, diese Zustimmung versehentlich zu erteilen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App von einer unbekannten Quelle übermittelt wird und das App-Verhalten verdächtig ist. 

  Empfohlene Aktion: Widerrufen der erteilten Zustimmungen für die App und Deaktivieren der App. 

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App einen legitimen geschäftlichen Nutzen in der Organisation und keine unüblichen Aktivitäten ausgeführt hat.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle von der App ausgeführten Aktivitäten.
2. Wenn eine App verdächtig erscheint, wird empfohlen, den Namen und die Antwort-Domäne der App in verschiedenen App-Stores zu untersuchen. Konzentrieren Sie sich beim Überprüfen von App-Stores auf die folgenden Arten von Apps:
   • Apps, die kürzlich erstellt wurden
   • Apps mit einem ungewöhnlichen Anzeigenamen
   • Apps mit verdächtiger Antwortdomäne
3. Wenn Sie immer noch vermuten, dass eine App verdächtig ist, können Sie den Anzeigenamen der App und die Antwortdomäne untersuchen.

App-Metadaten, die einer bekannten Phishingkampagne zugeordnet sind

Schweregrad: Mittel

Diese Erkennung generiert Warnungen für Nicht-Microsoft OAuth-Apps mit Metadaten, z. B. Name, URL oder Herausgeber, die zuvor in Apps beobachtet wurden, die einer Phishingkampagne zugeordnet waren. Diese Apps sind möglicherweise Teil derselben Kampagne und können an der Exfiltration vertraulicher Informationen beteiligt sein.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App von einer unbekannten Quelle übermittelt wird und ungewöhnliche Aktivitäten ausführt.

  Empfohlene Maßnahme:

  • Untersuchen Sie die Registrierungsdetails der App zur App-Governance und besuchen Sie die Microsoft Entra-ID, um weitere Details zu erhalten.
  • Wenden Sie sich an die Benutzer oder Administratoren, die die Zustimmung oder Berechtigungen für die App erteilt haben. Bestätigen Sie, ob die Änderungen beabsichtigt wurden.
  • Durchsuchen Sie die Tabelle CloudAppEvents der erweiterten Bedrohungssuche, um die App-Aktivität zu verstehen und festzustellen, ob das beobachtete Verhalten erwartet ist.
  • Bestätigen Sie, ob die App für Ihre Organisation wichtig ist, bevor Sie Maßnahmen zur Eingrenzung in Betracht ziehen. Deaktivieren Sie die App mithilfe der App-Governance oder der Microsoft Entra-ID, um den Zugriff auf Ressourcen zu verhindern. Vorhandene App-Governance-Richtlinien haben die App möglicherweise bereits deaktiviert.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App keine unüblichen Aktivitäten ausgeführt und sie einen legitimen geschäftlichen Nutzen in der Organisation hat.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle von der App ausgeführten Aktivitäten.
2. Überprüfen Sie die der App gewährten Bereiche.
3. Überprüfen Sie die Benutzeraktivität, die der App zugeordnet ist.

App-Metadaten, die zuvor gekennzeichneten verdächtigen Apps zugeordnet sind

Schweregrad: Mittel

Diese Erkennung generiert Warnungen für Nicht-Microsoft OAuth-Apps mit Metadaten, z. B. Name, URL oder Herausgeber, die zuvor in Apps beobachtet wurden, die von App-Governance wegen verdächtigen Aktivitäten gekennzeichnet wurden. Diese App ist möglicherweise Teil einer Angriffskampagne und kann an der Exfiltration vertraulicher Informationen beteiligt sein.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App von einer unbekannten Quelle übermittelt wird und ungewöhnliche Aktivitäten ausführt.

  Empfohlene Maßnahme:

  • Untersuchen Sie die Registrierungsdetails der App zur App-Governance und besuchen Sie die Microsoft Entra-ID, um weitere Details zu erhalten.
  • Wenden Sie sich an die Benutzer oder Administratoren, die die Zustimmung oder Berechtigungen für die App erteilt haben. Bestätigen Sie, ob die Änderungen beabsichtigt wurden.
  • Durchsuchen Sie die Tabelle CloudAppEvents der erweiterten Bedrohungssuche, um die App-Aktivität zu verstehen und festzustellen, ob das beobachtete Verhalten erwartet ist.
  • Bestätigen Sie, ob die App für Ihre Organisation wichtig ist, bevor Sie Maßnahmen zur Eingrenzung in Betracht ziehen. Deaktivieren Sie die App mithilfe der App-Governance oder der Microsoft Entra-ID, um den Zugriff auf Ressourcen zu verhindern. Vorhandene App-Governance-Richtlinien haben die App möglicherweise bereits deaktiviert.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App keine unüblichen Aktivitäten ausgeführt und sie einen legitimen geschäftlichen Nutzen in der Organisation hat.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle von der App ausgeführten Aktivitäten.
2. Überprüfen Sie die der App gewährten Bereiche.
3. Überprüfen Sie die Benutzeraktivität, die der App zugeordnet ist.

Verdächtige E-Mail-Aktivitäten der OAuth-App über die Graph-API

Schweregrad: hoch

Diese Erkennung generiert Warnungen für mehrinstanzenfähige OAuth-Apps, die von Benutzern mit einer Anmeldung mit hohem Risiko registriert wurden, die Aufrufe an die Microsoft Graph-API getätigt haben, um verdächtige E-Mail-Aktivitäten innerhalb kurzer Zeit auszuführen.

Diese Erkennung überprüft, ob die API-Aufrufe für eine der folgenden Aktivitäten gemacht wurden: die Erstellung von Postfachregeln, das Erstellen von Antwort-E-Mails, das Weiterleiten von E-Mails, antworten oder neue E-Mails senden. Apps, die diese Warnung auslösen, senden möglicherweise aktiv Spam oder schädliche E-Mails an andere Ziele oder exfiltrieren vertrauliche Daten und löschen Spuren, um die Erkennung zu umgehen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die App-Erstellung und Zustimmungsanforderung von einer unbekannten oder externen Quelle übermittelt wurde und die App keine legitime Geschäftsverwendung in der Organisation hat, wird ein True Positive angezeigt.

  Empfohlene Maßnahme:

  • Wenden Sie sich an Benutzer und Administratoren, die dieser App zugestimmt haben, um zu bestätigen, dass dies beabsichtigt war, und die übermäßigen Berechtigungen normal sind.

  • Untersuchen Sie die App-Aktivität und überprüfen Sie betroffene Konten auf verdächtige Aktivitäten.

  • Deaktivieren Sie basierend auf Ihrer Untersuchung die App und setzen Sie Passwörter für alle betroffenen Konten aus und setzen Sie sie zurück, entfernen Sie dann die Posteingangsregel.

  • Klassifizieren Sie die Warnung als True Positive Ergebnis.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App über eine legitime geschäftliche Nutzung in der Organisation verfügt, handelt es sich um ein falsch positives Ergebnis.

  Empfohlene Maßnahme:

  • Klassifizieren Sie die Warnung als falsch positives Ergebnis, und erwägen Sie, Feedback basierend auf Ihrer Untersuchung der Warnung zu teilen.

  • Verstehen des Umfangs der Verletzung:

    Überprüfen Sie die Zustimmungserteilungen für die Anwendung, die von Benutzern und Administratoren vorgenommen wurde. Untersuchen Sie alle Aktivitäten der App, insbesondere den Zugriff auf das Postfach der zugehörigen Benutzer und Administratorkonten. Wenn Sie vermuten, dass die App verdächtig ist, sollten Sie die Anwendung deaktivieren und Anmeldedaten aller betroffenen Konten wechseln.

Verdächtige E-Mail-Aktivitäten der OAuth-App über die EWS-API

Schweregrad: hoch

Diese Erkennung generiert Warnungen für mehrinstanzenfähige OAuth-Apps, die von Benutzern mit einer riskanten Anmeldungen registriert wurden, die Aufrufe an die Microsoft Exchange-Webdienste (EWS)-API getätigt haben, um verdächtige E-Mail-Aktivitäten innerhalb kurzer Zeit auszuführen.

Diese Erkennung überprüft, ob die API-Aufrufe vorgenommen wurden, um Posteingangsregeln zu aktualisieren, Elemente zu verschieben, E-Mails, Ordner oder Anlagen zu löschen. Apps, die diese Warnung auslösen, können vertrauliche Daten aktiv exfiltrieren oder löschen und Spuren löschen, um die Erkennung zu umgehen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die App-Erstellung und Zustimmungsanforderung von einer unbekannten oder externen Quelle übermittelt wurde und die App keine legitime Geschäftsverwendung in der Organisation hat, wird ein True Positive angezeigt.

  Empfohlene Maßnahme:

  • Wenden Sie sich an Benutzer und Administratoren, die dieser App zugestimmt haben, um zu bestätigen, dass dies beabsichtigt war, und die übermäßigen Berechtigungen normal sind.

  • Untersuchen Sie die App-Aktivität und überprüfen Sie betroffene Konten auf verdächtige Aktivitäten.

  • Deaktivieren Sie basierend auf Ihrer Untersuchung die App und setzen Sie Passwörter für alle betroffenen Konten aus und setzen Sie sie zurück, entfernen Sie dann die Posteingangsregel.

  • Klassifizieren Sie die Warnung als True Positive Ergebnis.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App über eine legitime geschäftliche Nutzung in der Organisation verfügt, handelt es sich um ein falsch positives Ergebnis.

  Empfohlene Maßnahme:

  • Klassifizieren Sie die Warnung als falsch positives Ergebnis, und erwägen Sie, Feedback basierend auf Ihrer Untersuchung der Warnung zu teilen.

  • Verstehen des Umfangs der Verletzung:

    Überprüfen Sie die Zustimmungserteilungen für die Anwendung, die von Benutzern und Administratoren vorgenommen wurde. Untersuchen Sie alle Aktivitäten der App, insbesondere den Zugriff auf das Postfach der zugehörigen Benutzer und Administratorkonten. Wenn Sie vermuten, dass die App verdächtig ist, sollten Sie die Anwendung deaktivieren und Anmeldedaten aller betroffenen Konten wechseln.

Warnungen Rechteausweitung

OAuth-App mit verdächtigen Metadaten verfügt über Die Exchange-Berechtigung

Schweregrad: Mittel

MITRE-ID: T1078

Diese Warnung wird ausgelöst, wenn eine branchenspezifische App mit verdächtigen Metadaten über Rechte zum Verwalten von Berechtigungen für Exchange verfügt.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App von einer unbekannten Quelle übermittelt wird und verdächtige Metadatenmerkmale aufweist, wird ein True Positive angezeigt.

Empfohlene Aktion: Widerrufen der erteilten Zustimmungen für die App und Deaktivieren der App.

FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App über eine legitime geschäftliche Nutzung in der Organisation verfügt.

Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle Aktivitäten, die von der App durchgeführt werden.
2. Überprüfen Sie die von der App gewährten Bereiche.
3. Überprüfen Sie die Benutzeraktivität, die der App zugeordnet ist.

Warnungen zur Umgehung der Abwehr

App, die ein Microsoft-Logo imitiert

Schweregrad: Mittel

Eine Nicht-Microsoft-Cloud-App verwendet ein Logo, das von einem Algorithmus für maschinelles Lernen gefunden wurde, der einem Microsoft-Logo ähnelt. Dies kann ein Versuch sein, Microsoft-Softwareprodukte zu imitieren und echt zu wirken.

Hinweis

Mandantenadministratoren müssen über das Popup zustimmen, um erforderliche Daten außerhalb der aktuellen Compliancegrenze zu senden und Partnerteams innerhalb von Microsoft auszuwählen, um diese Bedrohungserkennung für branchenspezifische Apps zu aktivieren.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass das App-Logo eine Imitation eines Microsoft-Logos ist und das App-Verhalten verdächtig ist. 

  Empfohlene Aktion: Widerrufen der erteilten Zustimmungen für die App und Deaktivieren der App.

• FP: Wenn Sie bestätigen können, dass das App-Logo keine Imitation eines Microsoft-Logos ist oder keine ungewöhnlichen Aktivitäten von der App ausgeführt wurden. 

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle von der App ausgeführten Aktivitäten.
2. Überprüfen Sie die der App gewährten Bereiche.
3. Überprüfen Sie die Benutzeraktivität, die der App zugeordnet ist.

Die App ist einer Typosquatting-Domäne zugeordnet

Schweregrad: Mittel

Diese Erkennung generiert Warnungen für Nicht-Microsoft OAuth-Apps mit Herstellerdomänen oder Umleitungs-URLs, die Typosquatting-Versionen von Microsoft-Markennamen enthalten. Typosquatting wird in der Regel verwendet, um Datenverkehr zu Websites zu erfassen, wenn Benutzer versehentlich URLs falsch eingeben, aber sie können auch verwendet werden, um beliebte Softwareprodukte und -dienste zu imitieren.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die Herausgeberdomäne dies tut oder die Umleitungs-URL der App Typosquatting entspricht und nicht mit der wahren Identität der App verknüpft ist.

  Empfohlene Maßnahme:

  • Untersuchen Sie die Registrierungsdetails der App zur App-Governance und besuchen Sie die Microsoft Entra-ID, um weitere Details zu erhalten.
  • Überprüfen Sie die App auf andere Anzeichen von Spoofing oder Identitätsdiebstahl sowie verdächtige Aktivitäten.
  • Bestätigen Sie, ob die App für Ihre Organisation wichtig ist, bevor Sie Maßnahmen zur Eingrenzung in Betracht ziehen. Deaktivieren Sie die App mithilfe der App-Governance, um den Zugriff auf Ressourcen zu verhindern. Vorhandene App-Governance-Richtlinien haben die App möglicherweise bereits deaktiviert.

• FP: Wenn Sie bestätigen können, dass die Herausgeberdomäne und die Umleitungs-URL der App legitim sind. 

  Empfohlene Aktion: Klassifizieren Sie die Warnung als falsch positives Ergebnis, und erwägen Sie, Feedback basierend auf Ihrer Untersuchung der Warnung zu teilen.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle von der App ausgeführten Aktivitäten.
2. Überprüfen Sie die der App gewährten Bereiche.
3. Überprüfen Sie die Benutzeraktivität, die der App zugeordnet ist.

Zugriff auf Anmeldeinformationen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur möglicherweise versucht, vertrauliche Anmeldeinformationsdaten zu lesen, und besteht aus Techniken zum Stehlen von Anmeldeinformationen wie Kontonamen, Geheimnissen, Token, Zertifikaten und Kennwörtern in Ihrer Organisation.

Anwendung, die mehrere fehlgeschlagene KeyVault-Leseaktivität ohne Erfolg initiiert

Schweregrad: Mittel

MITRE-ID: T1078.004

Diese Erkennung identifiziert eine Anwendung in Ihrem Mandanten, die beobachtet wurde, mehrere Leseaktionsaufrufe an den KeyVault mithilfe der Azure Resource Manager-API in einem kurzen Intervall durchzuführen, wobei nur Fehler auftreten und keine erfolgreiche Leseaktivität abgeschlossen wird.

TP oder FP?

• TP: Wenn die App unbekannt ist oder nicht verwendet wird, ist die angegebene Aktivität potenziell verdächtig. Nachdem die Azure-Ressource überprüft und die App-Verwendung im Mandanten überprüft wurde, muss die angegebene Aktivität möglicherweise deaktiviert werden. Dies ist in der Regel Beweis für verdächtige Enumerationsaktivitäten gegen die KeyVault-Ressource, um Zugriff auf Anmeldeinformationen für laterale Bewegungen oder Berechtigungseskalation zu erhalten.

  Empfohlene Aktionen: Überprüfen Sie die Azure-Ressourcen, auf die von der Anwendung zugegriffen oder erstellt wurde, sowie alle kürzlich an der Anwendung vorgenommenen Änderungen. Wählen Sie basierend auf Ihrer Untersuchung aus, ob Sie den Zugriff auf diese App verbieten möchten. Überprüfen Sie die von dieser App angeforderte Berechtigungsstufe und welche Benutzer Zugriff gewährt haben.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App legitime Geschäftliche Nutzung in der Organisation hat.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie den Zugriff und die Aktivität der App.
2. Überprüfen Sie alle Aktivitäten, die von der App seit Erstellung durchgeführt werden.
3. Überprüfen Sie die Von der App in der Graph-API gewährten Bereiche und die ihm in Ihrem Abonnement gewährte Rolle.
4. Überprüfen Sie alle Benutzer, die vor der Aktivität auf die App zugegriffen haben.

Entdeckungswarnungen

Von der App ausgeführte Laufwerkaufzählung

Schweregrad: Mittel

MITRE-ID: T1087

Diese Erkennung identifiziert eine OAuth-App, die vom Machine Learning-Modell erkannt wurde, das eine Enumeration auf OneDrive-Dateien mithilfe der Graph-API ausführt.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die branchenspezifische App ungewöhnliche Aktivitäten/einen ungewöhnlichen Nutzen von OneDrive durch eine Graph-API aufweist.

  Empfohlene Aktion: Deaktivieren und Entfernen der App, Zurücksetzen des Passworts.

• FP: Wenn Sie bestätigen können, dass keine ungewöhnlichen Aktivitäten von der App ausgeführt wurden.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle Aktivitäten, die von dieser App ausgeführt werden.
2. Überprüfen Sie die von der App gewährten Bereiche.
3. Überprüfen Sie die Benutzeraktivität, die dieser App zugeordnet ist.

Verdächtige Enumerationsaktivitäten, die mit Microsoft Graph PowerShell ausgeführt werden

Schweregrad: Mittel

MITRE-ID: T1087

Diese Erkennung identifiziert eine große Anzahl verdächtiger Enumerationsaktivitäten, die innerhalb eines kurzen Zeitraums über eine Microsoft Graph PowerShell-Anwendung ausgeführt werden.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass verdächtige/ungewöhnliche Enumerationsaktivitäten von der Microsoft Graph PowerShell-Anwendung ausgeführt wurden.

  Empfohlene Aktion: Deaktivieren und Entfernen der Anwendung und Zurücksetzen des Passworts.

• FP: Wenn Sie bestätigen können, dass keine ungewöhnlichen Aktivitäten von der Anwendung durchgeführt wurden.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle von dieser Anwendung ausgeführten Aktivitäten.
2. Überprüfen Sie die Benutzeraktivität, die dieser Anwendung zugeordnet ist.

Kürzlich erstellte Mehrinstanzenanwendung listet Benutzerinformationen häufig auf

Schweregrad: Mittel

MITRE-ID: T1087

Diese Warnung findet OAuth-Apps, die kürzlich in einem relativ neuen Herausgebermandanten registriert wurden, mit Berechtigungen zum Ändern der Postfacheinstellungen und zum Zugreifen auf E-Mails. Es überprüft, ob die App zahlreiche Aufrufe an die Microsoft Graph-API ausgeführt hat, um Benutzerverzeichnisinformationen anzufordern. Apps, die diese Warnung auslösen, führen möglicherweise Benutzer zur Erteilung der Zustimmung, damit sie auf Organisationsdaten zugreifen können.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die Zustimmungsanforderung an die App von einer unbekannten oder externen Quelle übermittelt wurde und die App keine legitime Geschäftsverwendung in der Organisation hat, wird ein True Positive angezeigt.

  Empfohlene Maßnahme:

  • Wenden Sie sich an Benutzer und Administratoren, die dieser App zugestimmt haben, um zu bestätigen, dass dies beabsichtigt war, und die übermäßigen Berechtigungen normal sind.
  • Untersuchen Sie die App-Aktivität und überprüfen Sie betroffene Konten auf verdächtige Aktivitäten.
  • Deaktivieren Sie basierend auf Ihrer Untersuchung die App und setzen Sie Passwörter für alle betroffenen Konten aus und setzen Sie sie zurück.
  • Klassifizieren Sie die Warnung als True Positive Ergebnis.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App über eine legitime geschäftliche Nutzung in der Organisation verfügt, handelt es sich um ein falsch positives Ergebnis.

  Empfohlene Aktion: Klassifizieren Sie die Warnung als falsch positives Ergebnis, und erwägen Sie, Feedback basierend auf Ihrer Untersuchung der Warnung zu teilen.

Verstehen des Umfangs der Verletzung

Überprüfen Sie die Zustimmungserteilungen für die Anwendung, die von Benutzern und Administratoren vorgenommen wurde. Untersuchen Sie alle Aktivitäten, die von der App durchgeführt werden, insbesondere die Enumerationen von Benutzerverzeichnisinformationen. Wenn Sie vermuten, dass die App verdächtig ist, sollten Sie die Anwendung deaktivieren und Anmeldedaten aller betroffenen Konten wechseln.

Exfiltrationswarnungen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur möglicherweise versucht, für sein Ziel relevante Daten Ihrer Organisation zu stehlen.

OAuth-App mit ungewöhnlichem Benutzer-Agent

Schweregrad: Niedrig

MITRE-ID: T1567

Diese Erkennung identifiziert eine OAuth-Anwendung, die einen ungewöhnlichen Benutzer-Agent für den Zugriff auf die Graph-API verwendet.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App kürzlich mit einem neuen Benutzer-Agent begonnen hat, der zuvor nicht verwendet wurde und diese Änderung unerwartet ist, wird ein True Positive Ergebnis angezeigt.

  Empfohlene Aktionen: Überprüfen Sie die verwendeten Benutzer-Agents und alle kürzlich an der Anwendung vorgenommenen Änderungen. Basierend auf Ihrer Untersuchung können Sie den Zugriff auf diese App sperren. Überprüfen Sie die Berechtigungsstufe, die von dieser App angefordert wurde und welche Benutzer Zugriff gewährt haben.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App über eine legitime geschäftliche Nutzung in der Organisation verfügt.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie die Apps, die kürzlich erstellt wurden, und die verwendeten Benutzer-Agents.
2. Überprüfen Sie alle Aktivitäten, die von der App durchgeführt werden. 
3. Überprüfen Sie die von der App gewährten Bereiche. 

App mit einem ungewöhnlichen Benutzer-Agent hat über Exchange-Webdienste auf E-Mail-Daten zugegriffen

Schweregrad: hoch

MITRE-ID: T1114, T1567

Diese Erkennung identifiziert eine OAuth-App, die einen ungewöhnlichen Benutzer-Agent für den Zugriff auf E-Mail-Daten mithilfe der Exchange-Webdienst-API verwendet hat.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-Anwendung nicht erwartet wird, den Benutzer-Agent zu ändern, der für Anforderungen an die Exchange-Webdienst-API verwendet wird, wird ein True Positive Ergebnis angezeigt.

  Empfohlene Aktionen: Klassifizieren der Warnung als TP. Basierend auf der Untersuchung können Sie, wenn die App bösartig ist, Die Zustimmungen widerrufen und die App im Mandanten deaktivieren. Wenn es sich um eine kompromittierte App handelt, können Sie die Zustimmungen widerrufen, die App vorübergehend deaktivieren, die Berechtigungen überprüfen, das Geheimnis und das Zertifikat zurücksetzen und dann die App erneut aktivieren.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass der Benutzer-Agent der Anwendung über eine legitime geschäftliche Nutzung in der Organisation verfügt.

  Empfohlene Aktion: Klassifizieren der Warnung als FP. Ziehen Sie außerdem das Teilen von Feedback basierend auf Ihrer Untersuchung der Warnung in Betracht.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie, ob die Anwendung neu erstellt wurde oder über kürzlich vorgenommene Änderungen verfügte.
2. Überprüfen Sie die Berechtigungen, die der Anwendung und den Benutzern erteilt wurden, die der Anwendung zugestimmt haben.
3. Überprüfen Sie alle Aktivitäten, die von der App durchgeführt werden.

Meldungen über laterale Verschiebungen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur versuchen kann, sich lateral innerhalb verschiedener Ressourcen zu bewegen, während er durch mehrere Systeme und Konten pivotiert wird, um mehr Kontrolle in Ihrer Organisation zu erlangen.

Ruhende OAuth-App hauptsächlich mit MS Graph oder Exchange-Webdiensten, die kürzlich auf ARM-Workloads zugreifen

Schweregrad: Mittel

MITRE-ID: T1078.004

Diese Erkennung identifiziert eine Anwendung in Ihrem Mandanten, die nach einer langen Zeitspanne ruhender Aktivitäten zum ersten Mal mit dem Zugriff auf die Azure Resource Manager-API begonnen hat. Bisher hatte diese Anwendung hauptsächlich MS Graph oder Exchange-Webdienst verwendet.

TP oder FP?

• TP: Wenn die App unbekannt ist oder nicht verwendet wird, ist die angegebene Aktivität potenziell verdächtig und erfordert möglicherweise das Deaktivieren der App, nachdem sie die verwendete Azure-Ressource überprüft und die App-Nutzung im Mandanten überprüft hat.

  Empfohlene Aktionen:

  1. Überprüfen Sie die Azure-Ressourcen, auf die von der Anwendung zugegriffen oder erstellt wurde, sowie alle kürzlich an der Anwendung vorgenommenen Änderungen.
  2. Überprüfen Sie die Berechtigungsstufe, die von dieser App angefordert wurde und welche Benutzer Zugriff gewährt haben.
  3. Wählen Sie basierend auf Ihrer Untersuchung aus, ob Sie den Zugriff auf diese App verbieten möchten.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App legitime Geschäftliche Nutzung in der Organisation hat.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie den Zugriff und die Aktivität der App.
2. Überprüfen Sie alle Aktivitäten, die von der App seit Erstellung durchgeführt werden.
3. Überprüfen Sie die Von der App in der Graph-API gewährten Bereiche und die ihm in Ihrem Abonnement gewährte Rolle.
4. Überprüfen Sie alle Benutzer, die vor der Aktivität auf die App zugegriffen haben.

Sammlungswarnungen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur möglicherweise versucht, für sein Ziel relevante Daten Ihrer Organisation zu sammeln.

App hat ungewöhnliche E-Mail-Suchaktivitäten vorgenommen

Schweregrad: Mittel

MITRE-ID: T1114

Diese Erkennung identifiziert, wann eine App einem verdächtigen OAuth-Bereich zugestimmt hat und eine große Anzahl ungewöhnlicher E-Mail-Suchaktivitäten vorgenommen hat, z. B. die E-Mail-Suche nach bestimmten Inhalten über die Graph-API. Dies kann auf eine versuchte Verletzung Ihrer Organisation hinweisen, z. B. Angreifer, die versuchen, bestimmte E-Mails aus Ihrer Organisation über die Graph-API zu durchsuchen und zu lesen. 

TP oder FP?

• TP: Wenn Sie ein hohes Volumen ungewöhnlicher E-Mail-Suchen bestätigen und Aktivitäten über die Graph-API durch eine OAuth-App mit einem verdächtigen OAuth-Bereich lesen und die App von unbekannter Quelle zugestellt wird.

  Empfohlene Aktion: Deaktivieren und Entfernen der App, Zurücksetzen des Kennworts und Entfernen der Posteingangsregel. 

• FP: Wenn Sie bestätigen können, dass die App aus legitimen Gründen eine hohe Anzahl ungewöhnlicher E-Mail-Suchen durchgeführt und die Graph-API durchgelesen hat.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie die von der App gewährten Bereiche.
2. Überprüfen Sie alle Aktivitäten, die von der App durchgeführt werden. 

App hat anomale Graph-Aufrufe zum Lesen von E-Mails getätigt

Schweregrad: Mittel

MITRE-ID: T1114

Diese Erkennung identifiziert, wann branchenspezifische OAuth-App über die Graph-API auf ein ungewöhnliches und hohes Volumen von E-Mail-Ordnern und Nachrichten des Benutzers zugreift, was auf eine versuchte Verletzung Ihrer Organisation hinweisen kann.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die ungewöhnliche Graph-Aktivität von der branchenspezifischen OAuth-App durchgeführt wurde, wird ein True Positive Ergebnis angezeigt.

  Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Passwort zurück und aktivieren Sie dann die App erneut. Folgen Sie dem Tutorial, wie Sie ein Passwort mithilfe von Microsoft Entra-ID zurücksetzen.

• FP: Wenn Sie bestätigen können, dass die App dazu gedacht ist, eine ungewöhnlich hohe Anzahl von Graph-Aufrufen auszuführen.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie das Aktivitätsprotokoll auf Ereignisse, die von dieser App ausgeführt werden, um ein besseres Verständnis anderer Graph-Aktivitäten zum Lesen von E-Mails zu erhalten und zu versuchen, vertrauliche E-Mail-Informationen von Benutzern zu sammeln.
2. Überwachen Sie auf unerwartete Anmeldedaten, die der App hinzugefügt werden.

App erstellt Posteingangsregel und führte ungewöhnliche E-Mail-Suchaktivitäten durch

Schweregrad: Mittel

MITRE-ID: T1137, T1114

Diese Erkennung identifiziert die App, die dem Bereich mit hohen Berechtigungen zugestimmt hat, erstellt verdächtige Posteingangsregel und führte ungewöhnliche E-Mail-Suchaktivitäten in Benutzer-E-Mail-Ordnern über die Graph-API durch. Dies kann auf eine versuchte Verletzung Ihrer Organisation hinweisen, z. B. Angreifer, die versuchen, bestimmte E-Mails aus Ihrer Organisation über die Graph-API zu durchsuchen und zu sammeln.

TP oder FP?

• TP: Wenn Sie bestimmte E-Mails durchsuchen und sammeln können, die über die Graph-API durch eine OAuth-App mit hohem Berechtigungsbereich durchgeführt werden, und die App von unbekannter Quelle übermittelt wird.

  Empfohlene Aktion: Deaktivieren und Entfernen der App, Zurücksetzen des Kennworts und Entfernen der Posteingangsregel.

• FP: Wenn Sie bestätigen können, dass die App bestimmte E-Mail-Suche und -Sammlung über die Graph-API ausgeführt und aus legitimen Gründen eine Posteingangsregel für ein neues oder persönliches externes E-Mail-Konto erstellt hat.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle Aktivitäten, die von der App durchgeführt werden.
2. Überprüfen Sie die von der App gewährten Bereiche.
3. Überprüfen Sie jegliche von der App erstellte Aktionen bezüglich der Posteingangsregel.
4. Überprüfen Sie alle von der App durchgeführten E-Mail-Suchaktivitäten.

App hat OneDrive/SharePoint-Suchaktivitäten durchgeführt und Posteingangsregel erstellt

Schweregrad: Mittel

MITRE-ID: T1137, T1213

Diese Erkennung identifiziert, dass eine App, die dem Bereich mit hohen Berechtigungen zugestimmt hat, eine verdächtige Posteingangsregel erstellt und ungewöhnliche Suchaktivitäten in SharePoint oder OneDrive über die Graph-API durchgeführt hat. Dies kann auf eine versuchte Verletzung Ihrer Organisation hinweisen, z. B. Angreifer, die versuchen, bestimmte Daten von SharePoint oder OneDrive aus Ihrer Organisation über die Graph-API zu durchsuchen und zu sammeln. 

TP oder FP?

• TP: Wenn Sie bestimmte Daten von SharePoint oder OneDrive durchsuchen und sammeln können, die über die Graph-API durch eine OAuth-App mit hohem Berechtigungsbereich durchgeführt werden, und die App von unbekannter Quelle übermittelt wird. 

  Empfohlene Aktion: Deaktivieren und Entfernen der App, Zurücksetzen des Kennworts und Entfernen der Posteingangsregel. 

• FP: Wenn Sie bestätigen können, dass die App bestimmte Daten aus SharePoint oder OneDrive über die Graph-API durch eine OAuth-App durchgeführt hat und aus legitimen Gründen eine Posteingangsregel für ein neues oder persönliches externes E-Mail-Konto erstellt hat. 

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle Aktivitäten, die von der App durchgeführt werden. 
2. Überprüfen Sie die von der App gewährten Bereiche. 
3. Überprüfen Sie jegliche von der App erstellte Aktionen bezüglich der Posteingangsregel. 
4. Überprüfen Sie alle Suchaktivitäten in SharePoint oder OneDrive, die von der App durchgeführt werden.

Die App hat zahlreiche Suchen und Bearbeitungen in OneDrive vorgenommen

Schweregrad: Mittel

MITRE-ID: T1137, T1213

Diese Erkennung identifiziert OAuth-Apps mit hohen Berechtigungsrechten, die eine große Anzahl von Suchen und Bearbeitungen in OneDrive mithilfe der Graph-API ausführen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass keine hohe Nutzung von OneDrive-Workload über die Graph-API von dieser OAuth-Anwendung erwartet wird, die über hohe Berechtigungen zum Lesen und Schreiben in OneDrive verfügt, wird ein True Positive Ergebnis angezeigt.

  Empfohlene Aktion: Basierend auf der Untersuchung können Sie, wenn die Anwendung bösartig ist, die Zustimmungen widerrufen und die Anwendung im Mandanten deaktivieren. Wenn es sich um eine kompromittierte Anwendung handelt, können Sie die benötigten Zustimmungen widerrufen, die App vorübergehend deaktivieren, die Berechtigungen überprüfen, das Passwort zurücksetzen und dann die App erneut aktivieren.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App über eine legitime geschäftliche Nutzung in der Organisation verfügt.

  Empfohlene Aktion: Lösen Sie die Warnung und melden Sie Ihre Ergebnisse.

Verstehen des Umfangs der Verletzung

1. Bestätigen Sie, ob die App aus einer zuverlässigen Quelle stammt.
2. Bestätigen Sie, ob die Anwendung neu erstellt wurde oder kürzlich Änderungen vorgenommen wurden.
3. Überprüfen Sie die Berechtigungen, die der Anwendung und den Benutzern erteilt wurden, die der Anwendung zugestimmt haben.
4. Untersuchen Sie alle anderen App-Aktivitäten.

Die App hat ein hohes Maß an Wichtigkeit für E-Mail-Lese- und Posteingangsregel erstellt.

Schweregrad: Mittel

MITRE-ID: T1137, T1114

Diese Erkennung identifiziert, dass eine App, die dem Bereich mit hohen Berechtigungen zugestimmt hat, eine verdächtige Posteingangsregel erstellt und eine hohe Anzahl wichtiger Leseaktivitäten von E-Mails über die Graph-API durchgeführt hat. Dies kann auf eine versuchte Verletzung Ihrer Organisation hinweisen, z. B. Angreifer, die versuchen, bestimmte E-Mails mit hoher Priorität aus Ihrer Organisation über die Graph-API zu lesen. 

TP oder FP?

• TP: Wenn Sie bestätigen können, eine große Anzahl von E-Mails mit hoher Priorität über die Graph-API durch eine OAuth-App mit hohem Berechtigungsbereich gelesen wurde und die App von unbekannter Quelle übermittelt wird. 

  Empfohlene Aktion: Deaktivieren und Entfernen der App, Zurücksetzen des Kennworts und Entfernen der Posteingangsregel. 

• FP: Wenn Sie bestätigen können, dass die App aus legitimen Gründen ein hohes Volumen wichtiger E-Mails über die Graph-API gelesen und eine Posteingangsregel für ein neues oder persönliches externes E-Mail-Konto erstellt hat. 

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle Aktivitäten, die von der App durchgeführt werden. 
2. Überprüfen Sie die von der App gewährten Bereiche. 
3. Überprüfen Sie jegliche von der App erstellte Aktionen bezüglich der Posteingangsregel. 
4. Überprüfen Sie alle Leseaktivitäten von E-Mails mit hoher Priorität, die von der App durchgeführt werden.

Privilegierte App hat ungewöhnliche Aktivitäten in Teams ausgeführt

Schweregrad: Mittel

Diese Erkennung identifiziert Apps, die OAuth-Bereichen mit hohen Berechtigungen zugestimmt haben, auf Microsoft Teams zugegriffen und eine ungewöhnliche Menge an Aktivitäten vom Lesen und posten von Chatnachrichten über die Graph-API vorgenommen hat. Dies kann auf eine versuchte Verletzung Ihrer Organisation hinweisen, z. B. Angreifer, die versuchen, Informationen aus Ihrer Organisation über die Graph-API zu sammeln.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass ungewöhnliche Aktivitäten mit Chatnachrichten in Microsoft Teams über die Graph-API durch eine OAuth-App mit hohem Berechtigungsbereich ausgeführt wurden und die App von unbekannter Quelle übermittelt wird.

  Empfohlene Aktion: Deaktivieren und Entfernen der App, Zurücksetzen des Passworts

• FP: Wenn Sie bestätigen können, dass die ungewöhnlichen Aktivitäten in Microsoft Teams über die Graph-API aus legitimen Gründen ausgeführt wurden.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie die von der App gewährten Bereiche.
2. Überprüfen Sie alle Aktivitäten, die von der App durchgeführt werden.
3. Überprüfen Sie die Benutzeraktivität, die der App zugeordnet ist.

Anomale OneDrive-Aktivität durch App, die gerade Anmeldedaten aktualisiert oder neue hinzugefügt hat

Schweregrad: Mittel

MITRE-ID: T1098.001, T1213

Eine nicht von Microsoft stammende Cloud-App hat anomale Graph-API-Aufrufe an OneDrive vorgenommen, einschließlich der hohen Datennutzung. Diese ungewöhnlichen API-Aufrufe wurden innerhalb weniger Tage, nachdem die App neue Zertifikate/Geheimnisse hinzugefügt oder vorhandene aktualisiert hat, von maschinellem Lernen erkannt. Diese App kann an Datenexfiltration oder anderen Versuchen beteiligt sein, auf vertrauliche Informationen zuzugreifen und diese abzurufen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass ungewöhnliche Aktivitäten wie hohe Volumennutzung für OneDrive-Workload von der App über die Graph-API ausgeführt wurde

  Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Passwort zurück und aktivieren Sie dann die App erneut.

• FP: Wenn Sie bestätigen können, dass keine ungewöhnlichen Aktivitäten oder eine ungewöhnlich hohe Anzahl von Graph-Aufrufen von der App durchgeführt wurden.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle von der App ausgeführten Aktivitäten.
2. Überprüfen Sie die von der App gewährten Bereiche.
3. Überprüfen Sie die Benutzeraktivität, die der App zugeordnet ist.

Anomale SharePoint-Aktivität durch App, die gerade Anmeldedaten aktualisiert oder neue hinzugefügt hat

Schweregrad: Mittel

MITRE-ID: T1098.001, T1213.002

Eine nicht von Microsoft stammende Cloud-App hat anomale Graph-API-Aufrufe an SharePoint vorgenommen, einschließlich der hohen Datennutzung. Diese ungewöhnlichen API-Aufrufe wurden innerhalb weniger Tage, nachdem die App neue Zertifikate/Geheimnisse hinzugefügt oder vorhandene aktualisiert hat, von maschinellem Lernen erkannt. Diese App kann an Datenexfiltration oder anderen Versuchen beteiligt sein, auf vertrauliche Informationen zuzugreifen und diese abzurufen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass ungewöhnliche Aktivitäten wie hohe Volumennutzung für SharePoint-Workload von der App über die Graph-API ausgeführt wurde

  Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Passwort zurück und aktivieren Sie dann die App erneut.

• FP: Wenn Sie bestätigen können, dass keine ungewöhnlichen Aktivitäten oder eine ungewöhnlich hohe Anzahl von Graph-Aufrufen von der App durchgeführt wurden.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle von der App ausgeführten Aktivitäten.
2. Überprüfen Sie die von der App gewährten Bereiche.
3. Überprüfen Sie die Benutzeraktivität, die der App zugeordnet ist.

App-Metadaten, die verdächtigen Mail-bezogenen Aktivitäten zugeordnet sind

Schweregrad: Mittel

MITRE-ID: T1114

Diese Erkennung generiert Warnungen für Nicht-Microsoft OAuth-Apps mit Metadaten, z. B. Name, URL oder Herausgeber, die zuvor in Apps mit verdächtigen Mail-bezogenen Aktivitäten beobachtet wurden. Diese App ist möglicherweise Teil einer Angriffskampagne und kann an der Exfiltration vertraulicher Informationen beteiligt sein.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die App Postfachregeln erstellt oder eine große Anzahl ungewöhnlicher Graph-API-Aufrufe in der Exchange-Workload durchgeführt hat.

  Empfohlene Maßnahme:

  • Untersuchen Sie die Registrierungsdetails der App zur App-Governance und besuchen Sie die Microsoft Entra-ID, um weitere Details zu erhalten.
  • Wenden Sie sich an die Benutzer oder Administratoren, die die Zustimmung oder Berechtigungen für die App erteilt haben. Bestätigen Sie, ob die Änderungen beabsichtigt wurden.
  • Durchsuchen Sie die CloudAppEvents-Tabelle der erweiterten Bedrohungssuche, um die App-Aktivität zu verstehen und Daten zu identifizieren, auf die von der App zugegriffen wird. Überprüfen Sie betroffene Postfächer, und überprüfen Sie Nachrichten, die möglicherweise von der App selbst gelesen oder weitergeleitet wurden, oder Regeln, die sie erstellt hat.
  • Bestätigen Sie, ob die App für Ihre Organisation wichtig ist, bevor Sie Maßnahmen zur Eingrenzung in Betracht ziehen. Deaktivieren Sie die App mithilfe der App-Governance oder der Microsoft Entra-ID, um den Zugriff auf Ressourcen zu verhindern. Vorhandene App-Governance-Richtlinien haben die App möglicherweise bereits deaktiviert.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App keine unüblichen Aktivitäten ausgeführt und sie einen legitimen geschäftlichen Nutzen in der Organisation hat.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle von der App ausgeführten Aktivitäten.
2. Überprüfen Sie die der App gewährten Bereiche.
3. Überprüfen Sie die Benutzeraktivität, die der App zugeordnet ist.

App mit EWS-Anwendungsberechtigungen, die auf zahlreiche E-Mails zugreifen

Schweregrad: Mittel

MITRE-ID: T1114

Diese Erkennung generiert Warnungen für mehrinstanzenfähige Cloud-Apps mit EWS-Anwendungsberechtigungen, die eine signifikante Zunahme der Aufrufe an die Exchange-Webdienst-API zeigen, die spezifisch für die E-Mail-Enumeration und -Sammlung sind. Diese App kann daran beteiligt sein, auf vertrauliche E-Mail-Daten zuzugreifen und sie abzurufen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die App auf vertrauliche E-Mail-Daten zugegriffen hat oder eine große Anzahl ungewöhnlicher Aufrufe an die Exchange-Workload getätigt hat.

  Empfohlene Maßnahme:

  • Untersuchen Sie die Registrierungsdetails der App zur App-Governance und besuchen Sie die Microsoft Entra-ID, um weitere Details zu erhalten.
  • Wenden Sie sich an die Benutzer oder Administratoren, die die Zustimmung oder Berechtigungen für die App erteilt haben. Bestätigen Sie, ob die Änderungen beabsichtigt wurden.
  • Durchsuchen Sie die CloudAppEvents-Tabelle der erweiterten Bedrohungssuche, um die App-Aktivität zu verstehen und Daten zu identifizieren, auf die von der App zugegriffen wird. Überprüfen Sie betroffene Postfächer, und überprüfen Sie Nachrichten, die möglicherweise von der App selbst gelesen oder weitergeleitet wurden, oder Regeln, die sie erstellt hat.
  • Bestätigen Sie, ob die App für Ihre Organisation wichtig ist, bevor Sie Maßnahmen zur Eingrenzung in Betracht ziehen. Deaktivieren Sie die App mithilfe der App-Governance oder der Microsoft Entra-ID, um den Zugriff auf Ressourcen zu verhindern. Vorhandene App-Governance-Richtlinien haben die App möglicherweise bereits deaktiviert.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App keine unüblichen Aktivitäten ausgeführt und sie einen legitimen geschäftlichen Nutzen in der Organisation hat.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle von der App ausgeführten Aktivitäten.
2. Überprüfen Sie die der App gewährten Bereiche.
3. Überprüfen Sie die Benutzeraktivität, die der App zugeordnet ist.

Nicht verwendete App, die neu auf APIs zugreift

Schweregrad: Mittel

MITRE-IDs: T1530

Diese Erkennung generiert Warnungen für eine mehrinstanzenfähige Cloud-App, die seit einiger Zeit inaktiv war und kürzlich MIT API-Aufrufen begonnen hat. Diese App kann von einem Angreifer kompromittiert und verwendet werden, um auf vertrauliche Daten zuzugreifen und sie abzurufen.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die App auf vertrauliche Daten zugegriffen hat oder eine große Anzahl ungewöhnlicher Aufrufe an Microsoft Graph-, Exchange- oder Azure Resource Manager-Workloads getätigt hat.

  Empfohlene Maßnahme:

  • Untersuchen Sie die Registrierungsdetails der App zur App-Governance und besuchen Sie die Microsoft Entra-ID, um weitere Details zu erhalten.
  • Wenden Sie sich an die Benutzer oder Administratoren, die die Zustimmung oder Berechtigungen für die App erteilt haben. Bestätigen Sie, ob die Änderungen beabsichtigt wurden.
  • Durchsuchen Sie die CloudAppEvents-Tabelle der erweiterten Bedrohungssuche, um die App-Aktivität zu verstehen und Daten zu identifizieren, auf die von der App zugegriffen wird. Überprüfen Sie betroffene Postfächer, und überprüfen Sie Nachrichten, die möglicherweise von der App selbst gelesen oder weitergeleitet wurden, oder Regeln, die sie erstellt hat.
  • Bestätigen Sie, ob die App für Ihre Organisation wichtig ist, bevor Sie Maßnahmen zur Eingrenzung in Betracht ziehen. Deaktivieren Sie die App mithilfe der App-Governance oder der Microsoft Entra-ID, um den Zugriff auf Ressourcen zu verhindern. Vorhandene App-Governance-Richtlinien haben die App möglicherweise bereits deaktiviert.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App keine unüblichen Aktivitäten ausgeführt und sie einen legitimen geschäftlichen Nutzen in der Organisation hat.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung

1. Überprüfen Sie alle von der App ausgeführten Aktivitäten.
2. Überprüfen Sie die der App gewährten Bereiche.
3. Überprüfen Sie die Benutzeraktivität, die der App zugeordnet ist.

Auswirkungswarnungen

In diesem Abschnitt werden Warnungen beschrieben, die darauf hinweisen, dass ein böswilliger Akteur möglicherweise versucht, Ihre Systeme und Daten von Ihrer Organisation zu manipulieren, zu unterbrechen oder zu zerstören.

Entra branchenspezifische App, die eine anomale Spitze bei der Erstellung einer virtuellen Maschine initiiert

Schweregrad: Mittel

MITRE-ID: T1496

Diese Erkennung identifiziert eine einzelne Mandant neue OAuth-Anwendung, die einen Großteil von virtuellen Maschinen von Azure in Ihrem Mandanten mithilfe der Azure Resource Manager-API erstellt.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App kürzlich erstellt wurde und eine große Anzahl virtueller Maschinen in Ihrem Mandanten erstellt wird, wird ein True Positive angezeigt.

  Empfohlene Aktionen: Überprüfen Sie die erstellten virtuellen Maschinen und alle kürzlich an der Anwendung vorgenommenen Änderungen. Basierend auf Ihrer Untersuchung können Sie den Zugriff auf diese App sperren. Überprüfen Sie die Berechtigungsstufe, die von dieser App angefordert wurde und welche Benutzer Zugriff gewährt haben.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App über eine legitime geschäftliche Nutzung in der Organisation verfügt.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung:

1. Überprüfen Sie die Apps, die kürzlich erstellt wurden und VM, die erschaffen wurden.
2. Überprüfen Sie alle Aktivitäten, die von der App seit Erstellung durchgeführt werden.
3. Überprüfen Sie die Bereiche, die von der App in der Graph-API und der ihm in Ihrem Abonnement gewährten Rolle gewährt wurden.

Die OAuth-App mit hohen Berechtigungen in Microsoft Graph wurde beobachtet, um die Erstellung virtueller Maschinen zu initiieren.

Schweregrad: Mittel

MITRE-ID: T1496

Diese Erkennung identifiziert OAuth-Anwendung, die einen Großteil von Azure virtuellen Maschinen in Ihrem Mandanten mithilfe der Azure Resource Manager-API erstellt, während sie vor der Aktivität über MS Graph-API hohe Berechtigungen im Mandanten hat.

TP oder FP?

• TP: Wenn Sie bestätigen können, dass die OAuth-App mit hohen Berechtigungsbereichen erstellt wurde und eine große Anzahl von virtuellen Computern in Ihrem Mandanten erstellt wird, wird ein wahr positives Ergebnis angezeigt.

  Empfohlene Aktionen: Überprüfen Sie die erstellten virtuellen Maschinen und alle kürzlich an der Anwendung vorgenommenen Änderungen. Basierend auf Ihrer Untersuchung können Sie den Zugriff auf diese App sperren. Überprüfen Sie die Berechtigungsstufe, die von dieser App angefordert wurde und welche Benutzer Zugriff gewährt haben.

• FP: Wenn Sie nach der Untersuchung bestätigen können, dass die App über eine legitime geschäftliche Nutzung in der Organisation verfügt.

  Empfohlene Aktion: Schließen Sie die Warnung.

Verstehen des Umfangs der Verletzung:

1. Überprüfen Sie die Apps, die kürzlich erstellt wurden und VM, die erschaffen wurden.
2. Überprüfen Sie alle Aktivitäten, die von der App seit Erstellung durchgeführt werden.
3. Überprüfen Sie die Bereiche, die von der App in der Graph-API und der ihm in Ihrem Abonnement gewährten Rolle gewährt wurden.

Nächste Schritte

Verwalten von App-Governance-Warnungen