Untersuchen vordefinierter App-Richtlinienwarnungen
App-Governance bietet vordefinierte App-Richtlinienwarnungen für anomale Aktivitäten. Der Zweck dieser Anleitung besteht darin, Ihnen allgemeine und praktische Informationen zu den einzelnen Warnungen bereitzustellen, die Ihnen bei der Untersuchung und Behebung von Problemen helfen.
Diese Anleitung enthält allgemeine Informationen zu den Bedingungen für das Auslösen von Warnungen. Da vordefinierte Richtlinien nicht deterministisch sind, werden sie nur ausgelöst, wenn das Verhalten von der Norm abweicht.
Tipp
Einige Warnungen befinden sich möglicherweise noch in der Vorschau, daher sollten Sie sich regelmäßig über den aktuellen Status der Warnungen informieren.
Sicherheitswarnungs-Klassifizierungen
Nach einer gründlichen Untersuchung können alle App-Governance-Warnungen einem der folgenden Aktivitätstypen zugeordnet werden:
- True positive (TP): Eine Warnung zu einer bestätigten böswilligen Aktivität.
- Gutartiges True Positives (B-TP): Eine Warnung zu verdächtigen, aber nicht bösartigen Aktivitäten, z. B. einem Penetrationstest oder einer anderen autorisierten verdächtigen Aktion.
- Falsch positives Ergebnis (FP): Eine Warnung zu einer nicht schädlichen Aktivität.
Allgemeine Untersuchungsschritte
Verwenden Sie die folgenden allgemeinen Richtlinien, wenn Sie jegliche Art von Warnung untersuchen, um ein besseres Verständnis der potenziellen Bedrohung zu erhalten, bevor Sie die empfohlene Aktion anwenden.
Überprüfen Sie den Schweregrad der App und vergleichen Sie sie mit den restlichen Apps in Ihrem Mandanten. Anhand dieser Überprüfung können Sie ermitteln, welche Apps in Ihrem Mandanten ein größeres Risiko darstellen.
Wenn Sie ein TP identifizieren, überprüfen Sie alle App-Aktivitäten, um ein Verständnis der Auswirkungen zu erhalten. Weitere App-Informationen finden Sie in den folgenden Beispielen:
- Bereiche, die Zugriff gewährt haben
- Ungewöhnliches Verhalten
- IP-Adresse und Standort
Vordefinierte App-Richtlinienwarnungen
Dieser Abschnitt enthält Informationen zu jeder vordefinierten Richtlinienwarnung sowie Schritte zur Untersuchung und Behebung.
Erhöhung der Datennutzung durch eine überprivilegierte oder hoch privilegierte App
Schweregrad: Mittel
Suchen Sie Apps mit leistungsstarken oder nicht verwendeten Berechtigungen, die eine plötzliche Zunahme der Datennutzung über die Graph-API aufweisen. Ungewöhnliche Änderungen der Datennutzung können auf Kompromittierung hinweisen.
TP oder FP?
Um zu ermitteln, ob es sich bei der Warnung um ein wahr positives Ergebnis (True Positive, TP) oder um ein falsch positives Ergebnis (False Positive, FP) handelt, überprüfen Sie alle Aktivitäten, die von der App ausgeführt werden, Bereiche, die der App zugewiesen sind, und Benutzeraktivitäten, die der App zugeordnet sind.
TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die Zunahme der Datennutzung durch eine überprivilegierte oder hoch privilegierte App unregelmäßig oder potenziell bösartig ist.
Empfohlene Aktion: Kontaktieren Sie Benutzer bezüglich der App-Aktivitäten, die den Anstieg der Datennutzung verursacht haben. Deaktivieren Sie die App vorübergehend, setzen Sie das Passwort zurück und aktivieren Sie dann die App erneut.
FP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die erkannte App-Aktivität beabsichtigt ist und über eine legitime geschäftliche Nutzung in der Organisation verfügt.
Empfohlene Aktion: Schließen Sie die Warnung.
Ungewöhnliche Aktivitäten aus einer App mit Zustimmung des Prioritätskontos
Schweregrad: Mittel
Finden Sie ungewöhnliche Erhöhungen der Datennutzung oder von Graph-API-Zugriffsfehlern, die von Apps ausgestellt wurden, die von einem Prioritätskonto zugestimmt wurden.
TP oder FP?
Überprüfen Sie alle Aktivitäten, die von der App ausgeführt werden, Bereiche, die der App gewährt wurde und Benutzeraktivität, die der App zugeordnet ist.
TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die Erhöhung der Datennutzung oder API-Zugriffsfehler durch eine App mit Zustimmung von einem Prioritätskonto hochgradig unregelmäßig oder potenziell bösartig ist.
Empfohlene Aktion: Kontaktieren Sie Benutzer von Prioritätskonten bezüglich der App-Aktivitäten, die den Anstieg der Datennutzung oder API-Zugriffsfehler verursacht haben. Deaktivieren Sie die App vorübergehend, setzen Sie das Passwort zurück und aktivieren Sie dann die App erneut.
FP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die erkannte App-Aktivität beabsichtigt ist und über eine legitime geschäftliche Nutzung in der Organisation verfügt.
Empfohlene Aktion: Schließen Sie die Warnung.
Neue App mit niedriger Zustimmungsrate
Schweregrad: Mittel
Zustimmungsanforderungen einer neu erstellten App wurden häufig von Benutzern abgelehnt. Benutzer lehnen in der Regel Zustimmungsanforderungen von Apps ab, die unerwartetes Verhalten aufweisen oder von einer nicht vertrauenswürdigen Quelle empfangen wurden. Apps mit niedrigen Zustimmungsraten sind wahrscheinlicher riskant oder böswillig.
TP oder FP?
Überprüfen Sie alle Aktivitäten, die von der App ausgeführt werden, Bereiche, die der App gewährt wurde und Benutzeraktivität, die der App zugeordnet ist.
TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die App aus einer unbekannten Quelle stammt und ihre Aktivitäten hochgradig unregelmäßig oder potenziell bösartig waren.
Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Passwort zurück und aktivieren Sie dann die App erneut.
FP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die erkannte App-Aktivität legitim ist.
Empfohlene Aktion: Schließen Sie die Warnung.
Spitzen in Graph-API-Aufrufen an OneDrive
Schweregrad: Mittel
Eine Cloud-App hat einen signifikanten Anstieg der Graph-API-Aufrufe an OneDrive gezeigt. Diese App kann an Datenexfiltration oder anderen Versuchen beteiligt sein, auf vertrauliche Daten zuzugreifen und diese abzurufen.
TP oder FP?
Überprüfen Sie alle Aktivitäten, die von der App ausgeführt werden, Bereiche, die der App gewährt wurde und Benutzeraktivität, die der App zugeordnet ist.
TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass potenziell irreguläre, potenziell schädliche Aktivitäten zu einer Zunahme der OneDrive-Nutzung geführt haben.
Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Passwort zurück und aktivieren Sie dann die App erneut.
FP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die erkannte App-Aktivität legitim ist.
Empfohlene Aktion: Schließen Sie die Warnung.
Spitzen in Graph-API-Aufrufen an SharePoint
Schweregrad: Mittel
Eine Cloud-App hat einen signifikanten Anstieg der Graph-API-Aufrufe an SharePoint gezeigt. Diese App kann an Datenexfiltration oder anderen Versuchen beteiligt sein, auf vertrauliche Daten zuzugreifen und diese abzurufen.
TP oder FP?
Überprüfen Sie alle Aktivitäten, die von der App ausgeführt werden, Bereiche, die der App gewährt wurde und Benutzeraktivität, die der App zugeordnet ist.
TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass hochgradig unregelmäßige, potenziell böswillige Aktivitäten zu einer Zunahme der SharePoint-Nutzung geführt haben.
Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Passwort zurück und aktivieren Sie dann die App erneut.
FP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die erkannte App-Aktivität legitim ist.
Empfohlene Aktion: Schließen Sie die Warnung.
Spitzen in Graph-API-Aufrufen an Exchange
Schweregrad: Mittel
Eine Cloud-App zeigte eine deutliche Zunahme der Graph-API-Aufrufe an Exchange. Diese App kann an Datenexfiltration oder anderen Versuchen beteiligt sein, auf vertrauliche Daten zuzugreifen und diese abzurufen.
TP oder FP?
Überprüfen Sie alle Aktivitäten, die von der App ausgeführt werden, Bereiche, die der App gewährt wurde und Benutzeraktivität, die der App zugeordnet ist.
TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass hochgradig unregelmäßige, potenziell böswillige Aktivitäten zu einer Zunahme der Exchange-Nutzung geführt haben.
Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Passwort zurück und aktivieren Sie dann die App erneut.
FP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die erkannte App-Aktivität legitim ist.
Empfohlene Aktion: Schließen Sie die Warnung.
Verdächtige App mit Zugriff auf mehrere Microsoft 365-Dienste
Schweregrad: Mittel
Suchen Sie Apps mit OAuth-Zugriff auf mehrere Microsoft 365-Dienste, die nach einem Zertifikat- oder Geheimnis-Update statistisch anomale Graph-API-Aktivitäten ausgestellt haben. Indem Sie diese Apps identifizieren und auf Kompromittierung überprüfen, können Sie laterale Bewegungen, Datenexfiltration und andere schädliche Aktivitäten verhindern, die Cloudordner, E-Mails und andere Dienste durchlaufen.
TP oder FP?
Überprüfen Sie alle Aktivitäten, die von der App ausgeführt werden, Bereiche, die der App gewährt wurde und Benutzeraktivität, die der App zugeordnet ist.
TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die Aktualisierungen von App-Zertifikaten oder Geheimnissen und anderen App-Aktivitäten hochgradig unregelmäßig oder potenziell böswillig waren.
Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Passwort zurück und aktivieren Sie dann die App erneut.
FP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die erkannte App-Aktivität legitim ist.
Empfohlene Aktion: Schließen Sie die Warnung.
Hohe Anzahl von Posteingangsregel-Erstellungsaktivitäten durch eine App
Schweregrad: Mittel
Eine App hat eine große Anzahl von Graph-API-Aufrufen zum Erstellen von Exchange-Posteingangsregeln ausgeführt. Diese App kann an Datensammlung und -exfiltration oder anderen Versuchen beteiligt sein, auf vertrauliche Informationen zuzugreifen und diese abzurufen.
TP oder FP?
Überprüfen Sie alle Aktivitäten, die von der App ausgeführt werden, Bereiche, die der App gewährt wurde und Benutzeraktivität, die der App zugeordnet ist.
TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die Erstellung von Posteingangsregeln und anderen Aktivitäten hochgradig unregelmäßig oder potenziell böswillig waren.
Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Passwort zurück und aktivieren Sie dann die App erneut.
FP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die erkannte App-Aktivität legitim ist.
Empfohlene Aktion: Schließen Sie die Warnung.
Hohe Anzahl von E-Mail-Suchaktivitäten durch eine App
Schweregrad: Mittel
Eine App hat eine große Anzahl von Graph-API-Aufrufen zum Durchsuchen von Exchange-E-Mail-Inhalten durchgeführt. Diese App kann an Datensammlung oder anderen Versuchen beteiligt sein, auf vertrauliche Informationen zuzugreifen und diese abzurufen.
TP oder FP?
Überprüfen Sie alle Aktivitäten, die von der App ausgeführt werden, Bereiche, die der App gewährt wurde und Benutzeraktivität, die der App zugeordnet ist.
TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die Inhaltssuche in Exchange und anderen Aktivitäten hochgradig unregelmäßig oder potenziell böswillig waren.
Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Passwort zurück und aktivieren Sie dann die App erneut.
FP: Wenn Sie bestätigen können, dass keine ungewöhnlichen Mail-Durchsuchungs-Aktivitäten oder die App dazu vorgesehen ist, ungewöhnliche Mail-Durchsuchungs-Aktivitäten mit Graph-API durchzuführen.
Empfohlene Aktion: Schließen Sie die Warnung.
Hohe Anzahl von E-Mail-Sendeaktivitäten durch eine App
Schweregrad: Mittel
Eine App hat eine große Anzahl von Graph-API-Aufrufen zum Senden von E-Mail-Nachrichten mithilfe von Exchange Online durchgeführt. Diese App kann an Datensammlung und -exfiltration oder anderen Versuchen beteiligt sein, auf vertrauliche Informationen zuzugreifen und diese abzurufen.
TP oder FP?
Überprüfen Sie alle Aktivitäten, die von der App ausgeführt werden, Bereiche, die der App gewährt wurde und Benutzeraktivität, die der App zugeordnet ist.
TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass das Senden von E-Mail-Nachrichten und anderen Aktivitäten hochgradig unregelmäßig oder potenziell böswillig waren.
Empfohlene Aktion: Deaktivieren Sie die App vorübergehend, setzen Sie das Passwort zurück und aktivieren Sie dann die App erneut.
FP: Wenn Sie bestätigen können, dass keine ungewöhnlichen Mail-Durchsuchungs-Aktivitäten oder die App dazu vorgesehen ist, ungewöhnliche Mail-Sendeaktivitäten mit Graph-API zu senden.
Empfohlene Aktion: Schließen Sie die Warnung.
Zugriff auf vertrauliche Daten
Schweregrad: Mittel
Suchen Sie Apps, die auf vertrauliche Daten zugreifen, die von bestimmten Vertraulichkeitsbezeichnungen identifiziert werden.
TP oder FP?
Um festzustellen, ob es sich bei der Warnung um ein wahr positives Ergebnis (True Positive, TP) oder um ein falsch positives Ergebnis (False Positive, FP) handelt, überprüfen Sie die Ressourcen, auf die von der App zugegriffen wird.
TP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die App oder die erkannte Aktivität unregelmäßig oder potenziell bösartig ist.
Empfohlene Aktion: Verhindern Sie, dass die App auf Ressourcen zugreift, indem Sie sie von der Microsoft Entra-ID deaktivieren.
FP: Wenden Sie diese empfohlene Aktion an, wenn Sie bestätigt haben, dass die App über eine legitime geschäftliche Nutzung in der Organisation verfügt und die erkannte Aktivität beabsichtigt war.
Empfohlene Aktion: Schließen Sie die Warnung.
Nächste Schritte
Erfahren Sie mehr über die Erkennung und Behebung von App-Bedrohungen