Investigación de alertas de detección de amenazas

La gobernanza de aplicaciones proporciona detecciones de seguridad y alertas para actividades malintencionadas. En este artículo se enumeran los detalles de cada alerta que puede ayudar a su investigación y corrección, incluidas las condiciones para desencadenar alertas. Dado que las detecciones de amenazas no son deterministas por naturaleza, solo se desencadenan cuando hay un comportamiento que se desvía de la norma.

Para más información, consulta la Gobernanza de aplicaciones en Microsoft Defender for Cloud Apps

Nota:

Las detecciones de amenazas de gobernanza de aplicaciones se basan en contar actividades en datos transitorios y que no se pueden almacenar, por lo que las alertas pueden proporcionar el número de actividades o indicaciones de picos, pero no necesariamente todos los datos pertinentes. Específicamente para las actividades de Graph API de aplicaciones de OAuth, el inquilino puede auditar las propias actividades mediante Log Analytics y Sentinel.

Para obtener más información, vea:

• Acceso a los registros de actividad de Microsoft Graph
• Análisis de registros de actividad mediante Log Analytics

MITRE ATT&CK

Para facilitar la asignación de la relación entre las alertas de gobernanza de aplicaciones y la conocida matriz DE MITRE ATT&CK, hemos categorizado las alertas por su táctica DE MITRE ATT&CK correspondiente. Esta referencia adicional facilita la comprensión de la técnica de ataques sospechosos potencialmente en uso cuando se desencadena la alerta de gobernanza de aplicaciones.

En esta guía se proporciona información sobre cómo investigar y corregir las alertas de gobernanza de aplicaciones en las siguientes categorías.

• Acceso inicial
• Ejecución
• Persistencia
• Elevación de privilegios
• Evasión defensiva
• Acceso de credenciales
• Detección
• Movimiento lateral
• Colección
• Exfiltración
• Impacto

Clasificaciones de alertas de seguridad

Después de una investigación adecuada, todas las alertas de gobernanza de aplicaciones se pueden clasificar como uno de los siguientes tipos de actividad:

• Verdadero positivo (TP): una alerta sobre una actividad malintencionada confirmada.
• Verdadero positivo benigno (B-TP): una alerta sobre actividades sospechosas pero no malintencionadas, como una prueba de penetración u otra acción sospechosa autorizada.
• Falso positivo: una alerta sobre una actividad no malintencionada.

Investigaciones generales

Usa las siguientes instrucciones generales al investigar cualquier tipo de alerta para obtener una comprensión más clara de la posible amenaza antes de aplicar la acción recomendada.

• Revisa el nivel de gravedad de la aplicación y compáralo con el resto de las aplicaciones del inquilino. Esta revisión te ayuda a identificar qué aplicaciones del inquilino suponen un mayor riesgo.

• Si identificas un TP, revisa todas las actividades de la aplicación para comprender el impacto. Por ejemplo, revisa la siguiente información de la aplicación:

  • Ámbitos con acceso concedido
  • Comportamiento inusual
  • Dirección IP y ubicación

Alertas de acceso iniciales

En esta sección se describen las alertas que indican que una aplicación malintencionada puede intentar mantener su posición en la organización.

La aplicación redirige a la dirección URL de suplantación de identidad mediante la vulnerabilidad de redirección de OAuth

Gravedad: media

Esta detección identifica las aplicaciones de OAuth que redirigen a direcciones URL de suplantación de identidad mediante la explotación del parámetro de tipo de respuesta en la implementación de OAuth a través de Microsoft Graph API.

¿TP o FP?

• TP: si puedex confirmar que la aplicación OAuth se entregó desde un origen desconocido, el tipo de respuesta de la dirección URL de respuesta después de dar tu consentimiento a la aplicación OAuth contiene una solicitud no válida y redirige a una dirección URL de respuesta desconocida o que no es de confianza.

  Acción recomendada: deshabilita y quita la aplicación, restablece la contraseña y quita la regla de bandeja de entrada. 

• FP: Si después de la investigación, puedes confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por la aplicación. 
2. Revisa los ámbitos concedidos por la aplicación. 

Aplicación de OAuth con una dirección URL de respuesta sospechosa

Gravedad: media

Esta detección identifica una aplicación de OAuth a la que se ha accedido a una dirección URL de respuesta sospechosa a través de Microsoft Graph API.

¿TP o FP?

• TP: si puedes confirmar que la aplicación OAuth se entrega desde un origen desconocido y redirige a una dirección URL sospechosa, se indica un verdadero positivo. Una dirección URL sospechosa es una en la que la reputación de la dirección URL es desconocida, no de confianza o cuyo dominio se registró recientemente y la solicitud de la aplicación es para un ámbito de privilegios elevados.

  Acción recomendada: revisa la dirección URL de respuesta, los dominios y los ámbitos solicitados por la aplicación. En función de la investigación, puedes optar por prohibir el acceso a esta aplicación. Revisa el nivel de permiso solicitado por esta aplicación y qué usuarios tienen acceso concedido.

  Para prohibir el acceso a la aplicación, vaya a la pestaña correspondiente de la aplicación en la página Gobernanza de aplicaciones. En la fila en la que aparece la aplicación que deseas prohibir, selecciona el icono de prohibición. Puedes elegir si quieres indicar a los usuarios que se ha prohibido la aplicación que han instalado y autorizado. La notificación informa a los usuarios de que la aplicación estará deshabilitada y no tendrán acceso a la aplicación conectada. Si no quiere que lo sepan, anule la selección de Enviar una notificación a los usuarios que hayan concedido permiso a esta aplicación prohibida en el cuadro de diálogo. Se recomienda permitir que los usuarios de la aplicación sepan que se ha prohibido el uso de la aplicación.

• FP: Si después de la investigación, puedes confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

1. Revisa las aplicaciones creadas recientemente y sus URL de respuesta.

2. Revisa todas las actividades realizadas por la aplicación. 

3. Revisa los ámbitos concedidos por la aplicación. 

La aplicación creada recientemente tiene una tasa de consentimiento baja

Gravedad: Baja

Esta detección identifica una aplicación de OAuth que se creó recientemente y encontró que tiene una tasa de consentimiento baja. Esto puede indicar una aplicación malintencionada o arriesgada que atrae a los usuarios en concesiones de consentimiento ilegal.

¿TP o FP?

• TP: si puedes confirmar que la aplicación OAuth se entrega desde un origen desconocido, se indica un verdadero positivo.

  Acción recomendada: revisa el nombre para mostrar, las direcciones URL de respuesta y los dominios de la aplicación. En función de la investigación, puedes optar por prohibir el acceso a esta aplicación. Revisa el nivel de permiso solicitado por esta aplicación y qué usuarios concedieron acceso.

• FP: Si después de la investigación, puedes confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por la aplicación.
2. Si una aplicación te resulta sospechosa, te recomendamos investigar el nombre y el dominio de respuesta en distintas tiendas de aplicaciones. Al comprobar las tiendas de aplicaciones, céntrate en los siguientes tipos de aplicaciones:
   • Aplicaciones que se han creado recientemente
   • Aplicación con un nombre inusual
   • Aplicaciones con un dominio de respuesta sospechoso
3. Si sospechas que una aplicación es sospechosa, puedes investigar el nombre de la aplicación y el dominio de respuesta.

Aplicación con mala reputación de dirección URL

Gravedad: media

Esta detección identifica una aplicación de OAuth que se encontró que tenía una mala reputación de dirección URL.

¿TP o FP?

• TP: si puedes confirmar que la aplicación OAuth se entrega desde un origen desconocido y redirige a una dirección URL sospechosa, se indica un verdadero positivo.

  Acción recomendada: revisa las direcciones URL de respuesta, los dominios y los ámbitos solicitados por la aplicación. En función de la investigación, puedes optar por prohibir el acceso a esta aplicación. Revisa el nivel de permiso solicitado por esta aplicación y qué usuarios han concedido acceso.

• FP: Si después de la investigación, puedes confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por la aplicación.
2. Si una aplicación te resulta sospechosa, te recomendamos investigar el nombre y el dominio de respuesta en distintas tiendas de aplicaciones. Al comprobar las tiendas de aplicaciones, céntrate en los siguientes tipos de aplicaciones:
   • Aplicaciones que se han creado recientemente
   • Aplicación con un nombre inusual
   • Aplicaciones con un dominio de respuesta sospechoso
3. Si sospechas que una aplicación es sospechosa, puedes investigar el nombre de la aplicación y el dominio de respuesta.

Nombre de aplicación codificado con ámbitos de consentimiento sospechosos

Gravedad: media

Descripción: esta detección identifica las aplicaciones de OAuth con caracteres, como Unicode o caracteres codificados, solicitados para ámbitos de consentimiento sospechosos y que acceden a las carpetas de correo de los usuarios a través de Graph API. Esta alerta puede indicar un intento de camuflar una aplicación malintencionada como una aplicación conocida y de confianza para que los adversarios puedan engañar a los usuarios al dar su consentimiento a la aplicación malintencionada.

¿TP o FP?

• TP: si puedes confirmar que la app OAuth ha codificado el nombre para mostrar con ámbitos sospechosos enviados desde una fuente desconocida, entonces se indica un verdadero positivo.

  Acción recomendada: revisa el nivel de permiso que solicita esta aplicación y qué usuarios han concedido el acceso. En función de la investigación, puedes optar por prohibir el acceso a esta aplicación.

  Para prohibir el acceso a la aplicación, vaya a la pestaña correspondiente de la aplicación en la página Gobernanza de aplicaciones. En la fila en la que aparece la aplicación que deseas prohibir, selecciona el icono de prohibición. Puedes elegir si quieres indicar a los usuarios que se ha prohibido la aplicación que han instalado y autorizado. La notificación informa a los usuarios de que la aplicación estará deshabilitada y no tendrán acceso a la aplicación conectada. Si no quiere que lo sepan, anule la selección de Enviar una notificación a los usuarios que hayan concedido permiso a esta aplicación prohibida en el cuadro de diálogo. Se recomienda permitir que los usuarios de la aplicación sepan que se ha prohibido el uso de la aplicación.

• FP: Si deseas confirmar que la aplicación tiene un nombre codificado, pero tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

Sigue el tutorial sobre cómo investigar aplicaciones de OAuth de riesgo.

La aplicación de OAuth con ámbitos de lectura tiene una dirección URL de respuesta sospechosa

Gravedad: media

Descripción: esta detección identifica una aplicación de OAuth con solo ámbitos de lectura, como User.Read, People.Read, Contacts.Read, Mail.Read, Contacts.Read. Redirecciones compartidas a una dirección URL de respuesta sospechosa a través de Graph API. Esta actividad intenta indicar que una aplicación malintencionada con menos permisos de privilegios (como ámbitos de lectura) podría aprovecharse para llevar a cabo el reconocimiento de cuentas de los usuarios.

¿TP o FP?

• TP: Si puedes confirmar que la app OAuth con ámbito de lectura se entrega desde un origen desconocido y redirige a una URL sospechosa, se indica un verdadero positivo.

  Acción recomendada: revisa la dirección URL de respuesta y los ámbitos solicitados por la aplicación. En función de la investigación, puedes optar por prohibir el acceso a esta aplicación. Revisa el nivel de permiso solicitado por esta aplicación y qué usuarios han concedido acceso.

  Para prohibir el acceso a la aplicación, vaya a la pestaña correspondiente de la aplicación en la página Gobernanza de aplicaciones. En la fila en la que aparece la aplicación que deseas prohibir, selecciona el icono de prohibición. Puedes elegir si quieres indicar a los usuarios que se ha prohibido la aplicación que han instalado y autorizado. La notificación informa a los usuarios de que la aplicación estará deshabilitada y no tendrán acceso a la aplicación conectada. Si no quiere que lo sepan, anule la selección de Enviar una notificación a los usuarios que hayan concedido permiso a esta aplicación prohibida en el cuadro de diálogo. Se recomienda permitir que los usuarios de la aplicación sepan que se ha prohibido el uso de la aplicación.

• B-TP: Si después de la investigación, puedes confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por la aplicación.
2. Si una aplicación te resulta sospechosa, te recomendamos investigar el nombre y la URL de respuesta en distintas tiendas de aplicaciones. Al comprobar las tiendas de aplicaciones, céntrate en los siguientes tipos de aplicaciones:
   • Aplicaciones que se han creado recientemente.
   • Aplicaciones con una dirección URL de respuesta sospechosa
   • Aplicaciones que no se han actualizado recientemente. La falta de actualizaciones puede indicar que la aplicación ya no se admite.
3. Si la aplicación sigue siendo sospechosa, puedes investigar el nombre de la aplicación, el nombre del editor y la URL de respuesta online

Aplicación con un nombre para mostrar inusual y TLD inusual en el dominio de respuesta

Gravedad: media

Esta detección identifica la aplicación con un nombre para mostrar inusual y redirige a un dominio de respuesta sospechoso con un dominio de nivel superior (TLD) inusual a través de Graph API. Esto puede indicar un intento de camuflar una aplicación malintencionada o arriesgada como una aplicación conocida y de confianza para que los adversarios puedan engañar a los usuarios a dar su consentimiento a su aplicación malintencionada o arriesgada. 

¿TP o FP?

• TP: si puedes confirmar que la aplicación con un nombre para mostrar inusual se entrega desde un origen desconocido y redirige a un dominio sospechoso que tiene un dominio de nivel superior inusual

  Acción recomendada: revisa el nombre para mostrar y el dominio de respuesta de la aplicación. En función de la investigación, puedes optar por prohibir el acceso a esta aplicación. Revisa el nivel de permiso solicitado por esta aplicación y qué usuarios concedieron acceso.

• FP: Si después de la investigación, puedes confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

Revisa todas las actividades realizadas por la aplicación. Si una aplicación te resulta sospechosa, te recomendamos investigar el nombre y el dominio de respuesta en distintas tiendas de aplicaciones. Al comprobar las tiendas de aplicaciones, céntrate en los siguientes tipos de aplicaciones:

• Aplicaciones que se han creado recientemente
• Aplicación con un nombre inusual
• Aplicaciones con un dominio de respuesta sospechoso

Si sospechas que una aplicación es sospechosa, puedes investigar el nombre de la aplicación y el dominio de respuesta.

Nueva aplicación con permisos de correo con un patrón de consentimiento bajo

Gravedad: media

Esta detección identifica las aplicaciones de OAuth creadas recientemente en inquilinos de publicadores relativamente nuevos con las siguientes características:

• Permisos para acceder o cambiar la configuración del buzón
• Tasa de consentimiento relativamente baja, que puede identificar aplicaciones no deseadas o incluso malintencionadas que intentan obtener consentimiento de usuarios desprevenidos

¿TP o FP?

• TP: si puedes confirmar que la solicitud de consentimiento a la aplicación se entregó desde un origen desconocido o externo y la aplicación no tiene un uso empresarial legítimo en la organización, se indica un verdadero positivo.

  Acción recomendada:

  • Ponte en contacto con los usuarios y administradores que han concedido consentimiento a esta aplicación para confirmar que esto era intencional y los privilegios excesivos son normales.
  • Investiga la actividad de la aplicación y comprueba las cuentas afectadas para detectar actividades sospechosas.
  • En función de la investigación, deshabilita la aplicación y suspende y restablece las contraseñas de todas las cuentas afectadas.
  • Clasifica la alerta como un verdadero positivo.

• FP: Si después de la investigación, puedes confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: clasifica la alerta como un falso positivo y considera la posibilidad de compartir comentarios en función de la investigación de la alerta.

Descripción del ámbito de la vulneración

Revisa las concesiones de consentimiento a la aplicación realizada por usuarios y administradores. Investiga todas las actividades realizadas por la aplicación, especialmente el acceso al buzón de usuarios asociados y cuentas de administrador. Si sospechas que la aplicación es sospechosa, considera la posibilidad de deshabilitar la aplicación y rotar las credenciales de todas las cuentas afectadas.

Nueva aplicación con baja tasa de consentimiento que accede a numerosos correos electrónicos

Gravedad: media

Esta alerta identifica las aplicaciones de OAuth registradas recientemente en un inquilino de publicador relativamente nuevo con permisos para cambiar la configuración del buzón y acceder a los correos electrónicos. También comprueba si la aplicación tiene una tasa de consentimiento global relativamente baja y realiza numerosas llamadas a Microsoft Graph API para acceder a los correos electrónicos de los usuarios que dan su consentimiento. Las aplicaciones que desencadenan esta alerta pueden ser aplicaciones no deseadas o malintencionadas que intentan obtener el consentimiento de usuarios no deseados.

¿TP o FP?

• TP: si puedes confirmar que la solicitud de consentimiento a la aplicación se entregó desde un origen desconocido o externo y la aplicación no tiene un uso empresarial legítimo en la organización, se indica un verdadero positivo.

  Acción recomendada:

  • Ponte en contacto con los usuarios y administradores que han concedido consentimiento a esta aplicación para confirmar que esto era intencional y los privilegios excesivos son normales.
  • Investiga la actividad de la aplicación y comprueba las cuentas afectadas para detectar actividades sospechosas.
  • En función de la investigación, deshabilita la aplicación y suspende y restablece las contraseñas de todas las cuentas afectadas.
  • Clasifica la alerta como un verdadero positivo.

• FP: Si después de la investigación, puedes confirmar que la aplicación tiene un uso empresarial legítimo en la organización, se indica un falso positivo.

  Acción recomendada: clasifica la alerta como un falso positivo y considera la posibilidad de compartir comentarios en función de la investigación de la alerta.

Descripción del ámbito de la vulneración

Revisa las concesiones de consentimiento a la aplicación realizada por usuarios y administradores. Investiga todas las actividades realizadas por la aplicación, especialmente el acceso a los buzones de usuarios asociados y cuentas de administrador. Si sospechas que la aplicación es sospechosa, considera la posibilidad de deshabilitar la aplicación y rotar las credenciales de todas las cuentas afectadas.

Aplicación sospechosa con permisos de correo que envían numerosos correos electrónicos

Gravedad: media

Esta alerta busca aplicaciones de OAuth multiinquilino que han realizado numerosas llamadas a Microsoft Graph API para enviar correos electrónicos en un breve período de tiempo. También comprueba si las llamadas API han provocado errores e intentos fallidos de enviar correos electrónicos. Es posible que las aplicaciones que desencadenen esta alerta envíen correo no deseado o correos electrónicos malintencionados a otros destinos.

¿TP o FP?

• TP: si puedes confirmar que la solicitud de consentimiento a la aplicación se entregó desde un origen desconocido o externo y la aplicación no tiene un uso empresarial legítimo en la organización, se indica un verdadero positivo.

  Acción recomendada:

  • Ponte en contacto con los usuarios y administradores que han concedido consentimiento a esta aplicación para confirmar que esto era intencional y los privilegios excesivos son normales.
  • Investiga la actividad de la aplicación y comprueba las cuentas afectadas para detectar actividades sospechosas.
  • En función de la investigación, deshabilita la aplicación y suspende y restablece las contraseñas de todas las cuentas afectadas.
  • Clasifica la alerta como un verdadero positivo.

• FP: Si después de la investigación, puedes confirmar que la aplicación tiene un uso empresarial legítimo en la organización, se indica un falso positivo.

  Acción recomendada: clasifica la alerta como un falso positivo y considera la posibilidad de compartir comentarios en función de la investigación de la alerta.

Descripción del ámbito de la vulneración

Revisa las concesiones de consentimiento a la aplicación realizada por usuarios y administradores. Investiga todas las actividades realizadas por la aplicación, especialmente el acceso al buzón de usuarios asociados y cuentas de administrador. Si sospechas que la aplicación es sospechosa, considera la posibilidad de deshabilitar la aplicación y rotar las credenciales de todas las cuentas afectadas.

Aplicación de OAuth sospechosa que se usa para enviar numerosos correos electrónicos

Gravedad: media

Esta alerta indica una aplicación de OAuth que ha realizado numerosas llamadas a Microsoft Graph API para enviar correos electrónicos en un breve período de tiempo. Se sabe que el inquilino del publicador de la aplicación genera un gran volumen de aplicaciones de OAuth que realizan llamadas similares a la API de Microsoft Graph. Un atacante podría usar activamente esta aplicación para enviar correos no deseados o malintencionados a sus destinos.

¿TP o FP?

• TP: si puedes confirmar que la solicitud de consentimiento a la aplicación se entregó desde un origen desconocido o externo y la aplicación no tiene un uso empresarial legítimo en la organización, se indica un verdadero positivo.

  Acción recomendada:

  • Ponte en contacto con los usuarios y administradores que han concedido consentimiento a esta aplicación para confirmar que esto era intencional y los privilegios excesivos son normales.
  • Investiga la actividad de la aplicación y comprueba las cuentas afectadas para detectar actividades sospechosas.
  • En función de la investigación, deshabilita la aplicación y suspende y restablece las contraseñas de todas las cuentas afectadas.
  • Clasifica la alerta como un verdadero positivo.

• FP: Si después de la investigación, puedes confirmar que la aplicación tiene un uso empresarial legítimo en la organización, se indica un falso positivo.

  Acción recomendada: clasifica la alerta como un falso positivo y considera la posibilidad de compartir comentarios en función de la investigación de la alerta.

Descripción del ámbito de la vulneración

Revisa las concesiones de consentimiento a la aplicación realizada por usuarios y administradores. Investiga todas las actividades realizadas por la aplicación, especialmente el acceso al buzón de usuarios asociados y cuentas de administrador. Si sospechas que la aplicación es sospechosa, considera la posibilidad de deshabilitar la aplicación y rotar las credenciales de todas las cuentas afectadas.

Persistencia de alertas

En esta sección se describen las alertas que indican que un actor malintencionado puede intentar mantener su posición en su organización.

La aplicación realizó llamadas anómalas de Graph a la carga de trabajo de Exchange después de la actualización del certificado o la adición de nuevas credenciales

Gravedad: media

ID DE MITRE: T1098.001, T1114

Esta detección desencadena una alerta cuando una aplicación de línea de negocio (LOB) actualizó el certificado o los secretos o agregó nuevas credenciales y, en pocos días, después de la actualización o adición de nuevas credenciales, se observan actividades inusuales o un uso de gran volumen a la carga de trabajo de Exchange a través de Graph API mediante el algoritmo de aprendizaje automático.

¿TP o FP?

• TP: si puedes confirmar que la aplicación LOB realizó actividades inusuales o un uso de gran volumen en la carga de trabajo de Exchange a través de Graph API

  Acción recomendada: deshabilita temporalmente la aplicación y restablece la contraseña y vuelve a habilitarla.

• FP: si puedes confirmar que la aplicación LOB no realizó actividades inusuales o que la aplicación está pensada para realizar un volumen inusualmente alto de llamadas de Graph.

  Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por esta aplicación.
2. Revisa los ámbitos concedidos por la aplicación.
3. Revisa la actividad del usuario asociada a esta aplicación.

La aplicación con un alcance de OAuth sospechoso fue marcada como de alto riesgo por el modelo de Machine learning, realizó llamadas a Graph para leer el correo electrónico y creó una regla de bandeja de entrada

Gravedad: media

ID DE MITRE: T1137.005, T1114

Esta detección identifica una aplicación de OAuth marcada como de alto riesgo por el modelo de Machine Learning que dio su consentimiento a ámbitos sospechosos, crea una regla de bandeja de entrada sospechosa y, a continuación, se accede a las carpetas y mensajes de correo de los usuarios a través de Graph API. Las reglas de bandeja de entrada, como reenviar todos o correos electrónicos específicos a otra cuenta de correo electrónico, y las llamadas de Graph para acceder a los correos electrónicos y enviar a otra cuenta de correo electrónico, pueden ser un intento de filtrar información de tu organización.

¿TP o FP?

• TP: si puedes confirmar que una aplicación de terceros de OAuth creó una regla de bandeja de entrada con ámbitos sospechosos entregados desde un origen desconocido, se detecta un verdadero positivo.

  Acción recomendada: deshabilita y quita la aplicación, restablece la contraseña y quita la regla de bandeja de entrada.

Sigue el tutorial sobre cómo restablecer una contraseña mediante Microsoft Entra ID y sigue el tutorial sobre cómo quitar la regla de bandeja de entrada.

• FP: Si puedes confirmar que la aplicación creó una regla de bandeja de entrada en una cuenta de correo electrónico externa nueva o personal por motivos legítimos.

  Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por la aplicación.
2. Revisa los ámbitos concedidos por la aplicación.
3. Revisa la acción de regla de bandeja de entrada y la condición creadas por la aplicación.

Aplicación con ámbito de OAuth sospechoso realizado llamadas de grafo para leer el correo electrónico y crear la regla de bandeja de entrada

Gravedad: media

ID DE MITRE: T1137.005, T1114

Esta detección identifica una aplicación de OAuth que consiente ámbitos sospechosos, crea una regla de bandeja de entrada sospechosa y, a continuación, accede a las carpetas de correo y los mensajes de los usuarios a través de Graph API. Las reglas de bandeja de entrada, como reenviar todos o correos electrónicos específicos a otra cuenta de correo electrónico, y las llamadas de Graph para acceder a los correos electrónicos y enviar a otra cuenta de correo electrónico, pueden ser un intento de filtrar información de tu organización.

¿TP o FP?

• TP: si puedes confirmar que una aplicación de terceros de OAuth creó una regla de bandeja de entrada con ámbitos sospechosos entregados desde un origen desconocido, se indica un verdadero positivo.

  Acción recomendada: deshabilita y quita la aplicación, restablece la contraseña y quita la regla de bandeja de entrada.

  Sigue el tutorial sobre cómo restablecer una contraseña mediante Microsoft Entra ID y sigue el tutorial sobre cómo quitar la regla de bandeja de entrada.

• FP: Si puedes confirmar que la aplicación creó una regla de bandeja de entrada en una cuenta de correo electrónico externa nueva o personal por motivos legítimos.

  Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por la aplicación.
2. Revisa los ámbitos concedidos por la aplicación.
3. Revisa la acción de regla de bandeja de entrada y la condición creadas por la aplicación.

Aplicación a la que se accede desde una ubicación inusual después de la actualización del certificado

Gravedad: Baja

ID DE MITRE: T1098

Esta detección desencadena una alerta cuando una aplicación de línea de negocio (LOB) se actualizó el certificado o secreto y, en pocos días después de la actualización del certificado, se accede a la aplicación desde una ubicación inusual que no se ha visto recientemente o que nunca se ha accedido en el pasado.

¿TP o FP?

• FP: Si puedes confirmar que se ha accedido a la aplicación de LOB desde una ubicación inusual y realizó actividades inusuales a través de Graph API.

  Acción recomendada: deshabilita temporalmente la aplicación y restablece la contraseña y vuelve a habilitarla.

• FP: Si puedes confirmar que se ha accedido a la app LOB desde una ubicación inusual con un propósito legítimo y no se han realizado actividades inusuales.

  Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

1. Revisa toda la actividad realizada por esta aplicación.
2. Revisa los ámbitos concedidos por la aplicación.
3. Revisa la actividad del usuario asociada a esta aplicación.

La aplicación a la que se accede desde una ubicación inusual hizo llamadas anómalas de Graph después de la actualización del certificado

Gravedad: media

ID DE MITRE: T1098

Esta detección desencadena una alerta cuando una aplicación de línea de negocio (LOB) actualizó el certificado o secreto y, en pocos días después de la actualización del certificado, se accede a la aplicación desde una ubicación inusual que no se ha visto recientemente o a la que nunca se ha tenido acceso en actividades o uso inusuales pasadas y observadas a través de Graph API mediante el algoritmo de aprendizaje automático.

¿TP o FP?

• FP: Si puedes confirmar que la aplicación de LOB realizó actividades o usos inusuales a través de Graph API desde una ubicación inusual.

  Acción recomendada: deshabilita temporalmente la aplicación y restablece la contraseña y vuelve a habilitarla.

• FP: Si puedes confirmar que se ha accedido a la app LOB desde una ubicación inusual con un propósito legítimo y no se han realizado actividades inusuales.

  Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

1. Revisa toda la actividad realizada por esta aplicación.
2. Revisa los ámbitos concedidos por la aplicación.
3. Revisa la actividad del usuario asociada a esta aplicación.

La aplicación creada recientemente tiene un gran volumen de consentimientos revocados

Gravedad: media

ID DE MITRE: T1566, T1098

Varios usuarios han revocado su consentimiento para esta aplicación de línea de negocio (LOB) o de terceros creada recientemente. Es posible que esta aplicación haya atraído a los usuarios a dar su consentimiento involuntariamente.

¿TP o FP?

• TP: si puedes confirmar que la aplicación OAuth se entrega desde un origen desconocido y que el comportamiento de la aplicación es sospechoso. 

  Acción recomendada: revoca los consentimientos concedidos a la aplicación y deshabilita la aplicación. 

• FP: si tras la investigación puedes confirmar que la aplicación no realizó actividades inusuales y que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por la aplicación.
2. Si una aplicación te resulta sospechosa, te recomendamos investigar el nombre y el dominio de respuesta en distintas tiendas de aplicaciones. Al comprobar las tiendas de aplicaciones, céntrate en los siguientes tipos de aplicaciones:
   • Aplicaciones que se han creado recientemente
   • Aplicaciones con un nombre inusual
   • Aplicaciones con un dominio de respuesta sospechoso
3. Si sospechas que una aplicación es sospechosa, puedes investigar el nombre de la aplicación y el dominio de respuesta.

Metadatos de la aplicación asociados a una campaña de suplantación de identidad conocida

Gravedad: media

Esta detección genera alertas para aplicaciones que no son de Microsoft OAuth con metadatos, como el nombre, la dirección URL o el publicador, que se habían observado anteriormente en aplicaciones asociadas a una campaña de suplantación de identidad (phishing). Estas aplicaciones pueden formar parte de la misma campaña y podrían estar implicadas en la filtración de información confidencial.

¿TP o FP?

• TP: Si puedes confirmar que la aplicación OAuth se entrega desde un origen desconocido y realiza actividades inusuales.

  Acción recomendada:

  • Investiga los detalles de registro de la aplicación sobre la gobernanza de aplicaciones y visita Microsoft Entra ID para obtener más detalles.
  • Ponte en contacto con los usuarios o administradores que concedieron consentimiento o permisos a la aplicación. Comprueba si los cambios fueron intencionados.
  • Busca en la tabla de búsqueda avanzada de amenazas CloudAppEvents para comprender la actividad de la aplicación y determinar si se espera el comportamiento observado.
  • Comprueba si la aplicación es fundamental para tu organización antes de considerar las acciones de contención. Desactiva la aplicación mediante la gobernanza de aplicaciones o Microsoft Entra ID para evitar que acceda a los recursos. Es posible que las directivas de gobernanza de aplicaciones existentes ya hayan desactivado la aplicación.

• FP: si puedes confirmar que la aplicación no realizó actividades inusuales y que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por la aplicación.
2. Revisa los ámbitos concedidos a la aplicación.
3. Revisa la actividad del usuario asociada a esta aplicación.

Metadatos de la aplicación asociados a aplicaciones sospechosas marcadas anteriormente

Gravedad: media

Esta detección genera alertas para aplicaciones que no son de Microsoft OAuth con metadatos, como el nombre, la dirección URL o el publicador, que se habían observado anteriormente en aplicaciones señaladas por la gobernanza de aplicaciones debido a actividades sospechosas. Esta aplicación podría formar parte de una campaña de ataque y podría estar implicada en la filtración de información confidencial.

¿TP o FP?

• TP: Si puedes confirmar que la aplicación OAuth se entrega desde un origen desconocido y realiza actividades inusuales.

  Acción recomendada:

  • Investiga los detalles de registro de la aplicación sobre la gobernanza de aplicaciones y visita Microsoft Entra ID para obtener más detalles.
  • Ponte en contacto con los usuarios o administradores que concedieron consentimiento o permisos a la aplicación. Comprueba si los cambios fueron intencionados.
  • Busca en la tabla de búsqueda avanzada de amenazas CloudAppEvents para comprender la actividad de la aplicación y determinar si se espera el comportamiento observado.
  • Comprueba si la aplicación es fundamental para tu organización antes de considerar las acciones de contención. Desactiva la aplicación mediante la gobernanza de aplicaciones o Microsoft Entra ID para evitar que acceda a los recursos. Es posible que las directivas de gobernanza de aplicaciones existentes ya hayan desactivado la aplicación.

• FP: si puedes confirmar que la aplicación no realizó actividades inusuales y que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por la aplicación.
2. Revisa los ámbitos concedidos a la aplicación.
3. Revisa la actividad del usuario asociada a esta aplicación.

Actividad sospechosa de correo electrónico de la aplicación OAuth a través de Graph API

Gravedad: alta

Esta detección genera alertas para aplicaciones de OAuth multiinquilino, registradas por los usuarios con un inicio de sesión de alto riesgo, que realizó llamadas a Microsoft Graph API para realizar actividades sospechosas de correo electrónico en un breve período de tiempo.

Esta detección comprueba si se realizaron llamadas API para la creación de reglas de buzón, crear correo electrónico de respuesta, reenviar correo electrónico, responder o enviar correos electrónicos nuevos. Las aplicaciones que desencadenan esta alerta podrían estar enviando correo no deseado o correos electrónicos malintencionados a otros destinos o filtrando datos confidenciales y borrar pistas para eludir la detección.

¿TP o FP?

• TP: si puedes confirmar que la solicitud de creación y consentimiento de la aplicación se entregó desde un origen desconocido o externo y la aplicación no tiene un uso empresarial legítimo en la organización, se indica un verdadero positivo.

  Acción recomendada:

  • Ponte en contacto con los usuarios y administradores que han concedido consentimiento a esta aplicación para confirmar que esto era intencional y los privilegios excesivos son normales.

  • Investiga la actividad de la aplicación y comprueba las cuentas afectadas para detectar actividades sospechosas.

  • En función de la investigación, deshabilita la aplicación y suspende y restablecer las contraseñas de todas las cuentas afectadas y quita la regla de bandeja de entrada.

  • Clasifica la alerta como un verdadero positivo.

• FP: Si después de la investigación, puedes confirmar que la aplicación tiene un uso empresarial legítimo en la organización, se indica un falso positivo.

  Acción recomendada:

  • Clasifica la alerta como falso positivo y considera la posibilidad de compartir comentarios en función de la investigación de la alerta.

  • Comprender el ámbito de la vulneración:

    Revisa las concesiones de consentimiento a la aplicación realizada por usuarios y administradores. Investiga todas las actividades realizadas por la aplicación, especialmente el acceso al buzón de usuarios asociados y cuentas de administrador. Si sospechas que la aplicación es sospechosa, considera la posibilidad de deshabilitar la aplicación y rotar las credenciales de todas las cuentas afectadas.

Actividad sospechosa de correo electrónico de la aplicación OAuth a través de la API de EWS

Gravedad: alta

Esta detección genera alertas para aplicaciones de OAuth multiinquilino, registradas por los usuarios con un inicio de sesión de alto riesgo, que realizó llamadas a la API de Servicios Web Exchange de Microsoft (EWS) para realizar actividades sospechosas de correo electrónico en un breve período de tiempo.

Esta detección comprueba si se realizaron llamadas API para actualizar reglas de bandeja de entrada, mover elementos, eliminar correo electrónico, eliminar carpeta o eliminar datos adjuntos. Es posible que las aplicaciones que desencadenan esta alerta exfiltren o eliminen datos confidenciales y borren pistas para eludir la detección.

¿TP o FP?

• TP: si puedes confirmar que la solicitud de creación y consentimiento de la aplicación se entregó desde un origen desconocido o externo y la aplicación no tiene un uso empresarial legítimo en la organización, se indica un verdadero positivo.

  Acción recomendada:

  • Ponte en contacto con los usuarios y administradores que han concedido consentimiento a esta aplicación para confirmar que esto era intencional y los privilegios excesivos son normales.

  • Investiga la actividad de la aplicación y comprueba las cuentas afectadas para detectar actividades sospechosas.

  • En función de la investigación, deshabilita la aplicación y suspende y restablecer las contraseñas de todas las cuentas afectadas y quita la regla de bandeja de entrada.

  • Clasifica la alerta como un verdadero positivo.

• FP: Si después de la investigación, puedes confirmar que la aplicación tiene un uso empresarial legítimo en la organización, se indica un falso positivo.

  Acción recomendada:

  • Clasifica la alerta como falso positivo y considera la posibilidad de compartir comentarios en función de la investigación de la alerta.

  • Comprender el ámbito de la vulneración:

    Revisa las concesiones de consentimiento a la aplicación realizada por usuarios y administradores. Investiga todas las actividades realizadas por la aplicación, especialmente el acceso al buzón de usuarios asociados y cuentas de administrador. Si sospechas que la aplicación es sospechosa, considera la posibilidad de deshabilitar la aplicación y rotar las credenciales de todas las cuentas afectadas.

Alertas de escalada de privilegios

La aplicación OAuth con metadatos sospechosos tiene permiso de Exchange

Gravedad: media

ID DE MITRE: T1078

Esta alerta se desencadena cuando una aplicación de línea de negocio con metadatos sospechosos tiene privilegios para administrar el permiso sobre Exchange.

¿TP o FP?

• TP: si puedes confirmar que la aplicación OAuth se entrega desde un origen desconocido y tiene características de metadatos sospechosas, se indica un verdadero positivo.

Acción recomendada: revoca los consentimientos concedidos a la aplicación y deshabilita la aplicación.

FP: Si después de la investigación, puedes confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

Acción recomendada: descartar la alerta

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por la aplicación.
2. Revisa los ámbitos concedidos por la aplicación.
3. Revisa la actividad del usuario asociada a esta aplicación.

Alertas de evasión de defensa

Aplicación que suplanta un logotipo de Microsoft

Gravedad: media

Una aplicación en la nube que no es de Microsoft usa un logotipo que encontró un algoritmo de aprendizaje automático para ser similar a un logotipo de Microsoft. Esto puede ser un intento de suplantar productos de software de Microsoft y parecer legítimos.

Nota:

Los administradores de inquilinos deberán proporcionar consentimiento a través de elementos emergentes para que los datos necesarios se envíen fuera del límite de cumplimiento actual y para seleccionar equipos asociados dentro de Microsoft para habilitar esta detección de amenazas para las aplicaciones de línea de negocio.

¿TP o FP?

• TP: si puedes confirmar que el logotipo de la aplicación es una imitación de un logotipo de Microsoft y el comportamiento de la aplicación es sospechoso. 

  Acción recomendada: revoca los consentimientos concedidos a la aplicación y deshabilita la aplicación.

• FP: Si puedes confirmar que el logotipo de la aplicación no es una imitación de un logotipo de Microsoft o que la aplicación no realizó actividades inusuales. 

  Acción recomendada: descartar la alerta

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por la aplicación.
2. Revisa los ámbitos concedidos a la aplicación.
3. Revisa la actividad del usuario asociada a esta aplicación.

La aplicación está asociada a un dominio tipográfico

Gravedad: media

Esta detección genera alertas para aplicaciones que no son de Microsoft OAuth con dominios de publicador o direcciones URL de redirección que contienen versiones tipográficos de nombres de marca de Microsoft. Por lo general, se usa typosquatting para capturar el tráfico a los sitios cada vez que los usuarios escriben incorrectamente las direcciones URL, pero también se pueden usar para suplantar los productos y servicios de software populares.

¿TP o FP?

• TP: si puedes confirmar que el dominio del publicador o la dirección URL de redireccionamiento de la aplicación está tipográfico y no está relacionado con la verdadera identidad de la aplicación.

  Acción recomendada:

  • Investiga los detalles de registro de la aplicación sobre la gobernanza de aplicaciones y visita Microsoft Entra ID para obtener más detalles.
  • Comprueba la aplicación para ver otros signos de suplantación o suplantación y cualquier actividad sospechosa.
  • Comprueba si la aplicación es fundamental para tu organización antes de considerar las acciones de contención. Desactiva la aplicación mediante la gobernanza de aplicaciones para evitar que acceda a los recursos. Es posible que las directivas de gobernanza de aplicaciones existentes ya hayan desactivado la aplicación.

• FP: si puedes confirmar que el dominio del publicador y la dirección URL de redireccionamiento de la aplicación son legítimos. 

  Acción recomendada: clasifica la alerta como un falso positivo y considera la posibilidad de compartir comentarios en función de la investigación de la alerta.

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por la aplicación.
2. Revisa los ámbitos concedidos a la aplicación.
3. Revisa la actividad del usuario asociada a esta aplicación.

Acceso de credencial

En esta sección se describen las alertas que indican que un actor malintencionado puede intentar leer datos confidenciales de credenciales y consta de técnicas para robar credenciales, como nombres de cuenta, secretos, tokens, certificados y contraseñas en su organización.

La aplicación que inicia varias actividades de lectura de KeyVault con error sin éxito

Gravedad: media

IDENTIFICADOR DE MITRE: T1078.004

Esta detección identifica una aplicación en el inquilino que se observó realizando varias llamadas de acción de lectura a KeyVault mediante la API de Azure Resource Manager en un breve intervalo, con solo errores y sin actividad de lectura correcta completada.

¿TP o FP?

• TP: si la aplicación es desconocida o no se usa, la actividad dada es potencialmente sospechosa. Después de comprobar el recurso de Azure que se usa y validar el uso de la aplicación en el inquilino, la actividad dada puede requerir que la aplicación esté deshabilitada. Esto suele ser evidencia de la actividad de enumeración sospechosa en el recurso keyVault para obtener acceso a las credenciales para el movimiento lateral o la elevación de privilegios.

  Acciones recomendadas: revise los recursos de Azure a los que ha accedido o creado la aplicación y los cambios recientes realizados en la aplicación. En función de la investigación, elija si desea prohibir el acceso a esta aplicación. Revise el nivel de permiso solicitado por esta aplicación y qué usuarios han concedido acceso.

• FP: Si, después de la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

1. Revise el acceso y la actividad de la aplicación.
2. Revisa todas las actividades realizadas por la aplicación desde su creación.
3. Revise los ámbitos concedidos por la aplicación en Graph API y el rol concedido a ella en la suscripción.
4. Revise cualquier usuario que haya accedido a la aplicación antes de la actividad.

Alertas de detección

Enumeración de unidades realizadas por la aplicación

Gravedad: media

ID DE MITRE: T1087

Esta detección identifica una aplicación de OAuth detectada por el modelo de Machine Learning que realiza la enumeración en archivos de OneDrive mediante Graph API.

¿TP o FP?

• TP: Si puedes confirmar que la aplicación de LOB ha realizado actividades o usos inusuales en OneDrive a través de Graph API.

  Acción recomendada: deshabilita y quita la aplicación y restablece la contraseña.

• FP: si puedes confirmar que la aplicación no realizó actividades inusuales.

  Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por esta aplicación.
2. Revisa los ámbitos concedidos por la aplicación.
3. Revisa la actividad del usuario asociada a esta aplicación.

Actividades de enumeración sospechosas realizadas con PowerShell de Microsoft Graph

Gravedad: media

ID DE MITRE: T1087

Esta detección identifica un gran volumen de actividades de enumeración sospechosas realizadas en un breve intervalo de tiempo a través de una aplicación de PowerShell de Microsoft Graph.

¿TP o FP?

• TP: si puedes confirmar que la aplicación de PowerShell de Microsoft Graph realizó actividades de enumeración sospechosas o inusuales.

  Acción recomendada: deshabilita y quita la aplicación y restablece la contraseña.

• FP: si puedes confirmar que la aplicación no realizó actividades inusuales.

  Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por esta aplicación.
2. Revisa la actividad del usuario asociada a esta aplicación.

La aplicación multiinquilino creada recientemente enumera la información de los usuarios con frecuencia

Gravedad: media

ID DE MITRE: T1087

Esta alerta busca las aplicaciones de OAuth registradas recientemente en un inquilino de publicador relativamente nuevo con permisos para cambiar la configuración del buzón y acceder a los correos electrónicos. Comprueba si la aplicación ha realizado numerosas llamadas a Microsoft Graph API que solicitan información de directorio de usuario. Las aplicaciones que desencadenan esta alerta podrían atraer a los usuarios a conceder consentimiento para que puedan acceder a los datos de la organización.

¿TP o FP?

• TP: si puedes confirmar que la solicitud de consentimiento a la aplicación se entregó desde un origen desconocido o externo y la aplicación no tiene un uso empresarial legítimo en la organización, se indica un verdadero positivo.

  Acción recomendada:

  • Ponte en contacto con los usuarios y administradores que han concedido consentimiento a esta aplicación para confirmar que esto era intencional y los privilegios excesivos son normales.
  • Investiga la actividad de la aplicación y comprueba las cuentas afectadas para detectar actividades sospechosas.
  • En función de la investigación, deshabilita la aplicación y suspende y restablece las contraseñas de todas las cuentas afectadas.
  • Clasifica la alerta como un verdadero positivo.

• FP: Si después de la investigación, puedes confirmar que la aplicación tiene un uso empresarial legítimo en la organización, se indica un falso positivo.

  Acción recomendada: clasifica la alerta como un falso positivo y considera la posibilidad de compartir comentarios en función de la investigación de la alerta.

Descripción del ámbito de la vulneración

Revisa las concesiones de consentimiento a la aplicación realizada por usuarios y administradores. Investiga todas las actividades realizadas por la aplicación, especialmente la enumeración de la información del directorio de usuario. Si sospechas que la aplicación es sospechosa, considera la posibilidad de deshabilitar la aplicación y rotar las credenciales de todas las cuentas afectadas.

Alertas de exfiltración

En esta sección se describen las alertas que indican que un actor malintencionado puede intentar robar datos de interés a su objetivo de tu organización.

Aplicación de OAuth con un agente de usuario inusual

Gravedad: Baja

ID DE MITRE: T1567

Esta detección identifica una aplicación de OAuth que usa un agente de usuario inusual para acceder a Graph API.

¿TP o FP?

• TP: Si puedes confirmar que la aplicación OAuth ha empezado recientemente a usar un nuevo agente de usuario que no se usó anteriormente y este cambio es inesperado, se indica un verdadero positivo.

  Acciones recomendadas: revisa los agentes de usuario utilizados y cualquier cambio reciente realizado en la aplicación. En función de la investigación, puedes optar por prohibir el acceso a esta aplicación. Revisa el nivel de permiso solicitado por esta aplicación y qué usuarios han concedido acceso.

• FP: Si después de la investigación, puedes confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

1. Revisa las aplicaciones que se crearon recientemente y los agentes de usuario usados.
2. Revisa todas las actividades realizadas por la aplicación. 
3. Revisa los ámbitos concedidos por la aplicación. 

Aplicación con un agente de usuario inusual al que se accede a los datos de correo electrónico a través de servicios Web Exchange

Gravedad: alta

ID DE MITRE: T1114, T1567

Esta detección identifica una aplicación de OAuth que usó un agente de usuario inusual para acceder a los datos de correo electrónico mediante la API de servicios Web Exchange.

¿TP o FP?

• TP: si puedes confirmar que no se espera que la aplicación OAuth cambie el agente de usuario que usa para realizar solicitudes a la API de servicios Web Exchange, se indica un verdadero positivo.

  Acciones recomendadas: clasifica la alerta como tp. En función de la investigación, si la aplicación es malintencionada, puedes revocar los consentimientos y deshabilitar la aplicación en el inquilino. Si se trata de una aplicación en peligro, puedes revocar los consentimientos, deshabilitar temporalmente la aplicación, revisar los permisos, restablecer el secreto y el certificado y volver a habilitar la aplicación.

• FP: Si después de la investigación, puedes confirmar que el agente de usuario utilizado por la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: clasifica la alerta como FP. Además, considera la posibilidad de compartir comentarios en función de la investigación de la alerta.

Descripción del ámbito de la vulneración

1. Revisa si la aplicación se creó recientemente o ha realizado algún cambio reciente en ella.
2. Revisa los permisos que los usuarios y administradores hayan concedido a la aplicación.
3. Revisa todas las actividades realizadas por la aplicación.

Alertas de movimientos laterales

En esta sección se describen las alertas que indican que un actor malintencionado puede intentar moverse lateralmente dentro de distintos recursos, al tiempo que se dinamiza a través de varios sistemas y cuentas para obtener más control en la organización.

Aplicación de OAuth inactiva que principalmente usa MS Graph o Exchange Web Services recientemente se ha visto que accede a las cargas de trabajo de ARM

Gravedad: media

IDENTIFICADOR DE MITRE: T1078.004

Esta detección identifica una aplicación en el inquilino que tiene, después de un largo intervalo de actividad inactiva, comenzó a acceder a la API de Azure Resource Manager por primera vez. Anteriormente, esta aplicación usaba principalmente MS Graph o Exchange Web Service.

¿TP o FP?

• TP: si la aplicación es desconocida o no se usa, la actividad dada es potencialmente sospechosa y puede requerir deshabilitar la aplicación, después de comprobar el recurso de Azure que se está usando y validar el uso de la aplicación en el inquilino.

  Acciones recomendadas:

  1. Revise los recursos de Azure a los que ha accedido o creado la aplicación y los cambios recientes realizados en la aplicación.
  2. Revisa el nivel de permiso solicitado por esta aplicación y qué usuarios han concedido acceso.
  3. En función de la investigación, elija si desea prohibir el acceso a esta aplicación.

• FP: Si, después de la investigación, puede confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

1. Revise el acceso y la actividad de la aplicación.
2. Revisa todas las actividades realizadas por la aplicación desde su creación.
3. Revise los ámbitos concedidos por la aplicación en Graph API y el rol concedido a ella en la suscripción.
4. Revise cualquier usuario que haya accedido a la aplicación antes de la actividad.

Alertas de recopilación

En esta sección se describen las alertas que indican que un actor malintencionado puede intentar recopilar datos de interés a su objetivo de tu organización.

La aplicación hizo actividades inusuales de búsqueda de correo electrónico

Gravedad: media

ID DE MITRE: T1114

Esta detección identifica cuándo una aplicación dio su consentimiento a un ámbito de OAuth sospechoso y realizó un gran volumen de actividades inusuales de búsqueda de correo electrónico, como la búsqueda de correo electrónico de contenido específico a través de Graph API. Esto puede indicar un intento de vulneración de la organización, como adversarios que intentan buscar y leer correo electrónico específico de tu organización a través de Graph API. 

¿TP o FP?

• TP: si puedes confirmar un gran volumen de actividades inusuales de búsqueda y lectura de correo electrónico a través de Graph API mediante una aplicación de OAuth con un ámbito de OAuth sospechoso y que la aplicación se entrega desde un origen desconocido.

  Acciones recomendadas: Deshabilita y elimina la aplicación, restablece la contraseña y elimina la regla de bandeja de entrada. 

• FP: Si puedes confirmar que la aplicación ha realizado un alto volumen de búsquedas y lecturas inusuales de correo electrónico a través de Graph API por motivos legítimos.

  Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

1. Revisa los ámbitos concedidos por la aplicación.
2. Revisa todas las actividades realizadas por la aplicación. 

La aplicación realizó llamadas anómalas de Graph para leer el correo electrónico

Gravedad: media

ID DE MITRE: T1114

Esta detección identifica cuándo la aplicación de OAuth de línea de negocio (LOB) accede a un volumen inusual y elevado de carpetas de correo y mensajes del usuario a través de Graph API, lo que puede indicar una vulneración de seguridad de la organización.

¿TP o FP?

• TP: Si puedes confirmar que la actividad inusual de Graph se realizó mediante la aplicación OAuth de línea de negocio (LOB), se indica un verdadero positivo.

  Acción recomendada: deshabilita temporalmente la aplicación, restablece la contraseña y vuelve a habilitarla. Sigue el tutorial sobre cómo restablecer una contraseña mediante microsoft Entra ID.

• FP: Si puedes confirmar que la aplicación está pensada para realizar un volumen inusualmente elevado de llamadas a Graph.

  Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

1. Revisa el registro de actividad de los eventos realizados por esta aplicación para comprender mejor otras actividades de Graph para leer correos electrónicos e intentar recopilar información confidencial del correo electrónico de los usuarios.
2. Supervisa si se agregan credenciales inesperadas a la aplicación.

La aplicación crea una regla de bandeja de entrada y realiza actividades inusuales de búsqueda de correo electrónico

Gravedad: media

ID DE MITRE: T1137, T1114

Esta detección identifica la aplicación con consentimiento para el ámbito de privilegios elevados, crea una regla de bandeja de entrada sospechosa y realiza actividades inusuales de búsqueda de correo electrónico en las carpetas de correo de los usuarios a través de Graph API. Esto puede indicar un intento de vulneración de la organización, como adversarios que intentan buscar y recopilar correo electrónico específico de tu organización a través de Graph API.

¿TP o FP?

• TP: si puedes confirmar cualquier búsqueda y recopilación de correos electrónicos específicos realizados a través de Graph API mediante una aplicación de OAuth con ámbito de privilegios elevados y la aplicación se entrega desde un origen desconocido.

  Acción recomendada: deshabilita y quita la aplicación, restablece la contraseña y quita la regla de bandeja de entrada.

• FP: si puedes confirmar que la aplicación ha realizado búsquedas y recopilaciones de correo electrónico específicas a través de Graph API y ha creado una regla de bandeja de entrada en una cuenta de correo electrónico externa nueva o personal por motivos legítimos.

  Acción recomendada: descartar la alerta.

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por la aplicación.
2. Revisa los ámbitos concedidos por la aplicación.
3. Revisa cualquier acción de regla de bandeja de entrada creada por la aplicación.
4. Revisa las actividades de búsqueda de correo electrónico realizadas por la aplicación.

La aplicación realizó actividades de búsqueda en OneDrive o SharePoint y creó una regla de bandeja de entrada

Gravedad: media

ID DE MITRE: T1137, T1213

Esta detección identifica que una aplicación dio su consentimiento al ámbito de privilegios elevados, creó una regla sospechosa de bandeja de entrada y realizó actividades inusuales de búsqueda de SharePoint o OneDrive a través de Graph API. Esto puede indicar un intento de vulneración de la organización, como adversarios que intentan buscar y recopilar correo electrónico específico de SharePoint o OneDrive tu organización a través de Graph API. 

¿TP o FP?

• TP: Si puedes confirmar cualquier dato específico de la búsqueda y recopilación en SharePoint o OneDrive realizados a través de Graph API mediante una aplicación de OAuth con ámbito de privilegios elevados y la aplicación se entrega desde un origen desconocido. 

  Acción recomendada: deshabilita y quita la aplicación, restablece la contraseña y quita la regla de bandeja de entrada. 

• FP: Si puedes confirmar que la aplicación ha realizado búsquedas y recopilaciones de datos específicos de SharePoint o OneDrive a través de Graph API por una aplicación OAuth y ha creado una regla de bandeja de entrada en una cuenta de correo electrónico externa nueva o personal por motivos legítimos. 

  Acción recomendada: descartar la alerta

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por la aplicación. 
2. Revisa los ámbitos concedidos por la aplicación. 
3. Revisa cualquier acción de regla de bandeja de entrada creada por la aplicación. 
4. Revisa las actividades de búsqueda de SharePoint o OneDrive realizadas por la aplicación.

La aplicación realizó numerosas búsquedas y modificaciones en OneDrive

Gravedad: media

ID DE MITRE: T1137, T1213

Esta detección identifica las aplicaciones de OAuth con permisos de privilegios elevados que realizan un gran número de búsquedas y ediciones en OneDrive mediante Graph API.

¿TP o FP?

• TP: si puedes confirmar que no se espera un uso elevado de la carga de trabajo de OneDrive a través de Graph API a partir de esta aplicación de OAuth con permisos de privilegios elevados para leer y escribir en OneDrive, se indica un verdadero positivo.

  Acción recomendada: en función de la investigación, si la aplicación es malintencionada, puedes revocar los consentimientos y deshabilitar la aplicación en el inquilino. Si se trata de una aplicación en peligro, puedes revocar los consentimientos, deshabilitar temporalmente la aplicación, revisar los permisos requeridos, restablecer la contraseña y volver a habilitar la aplicación.

• FP: Si después de la investigación, puedes confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: resuelve la alerta e informa de tus hallazgos.

Descripción del ámbito de la vulneración

1. Comprueba si la aplicación procede de un origen de confianza.
2. Comprueba si la aplicación se creó recientemente o ha realizado algún cambio reciente en ella.
3. Revisa los permisos que los usuarios y administradores hayan concedido a la aplicación.
4. Investiga todas las demás actividades de la aplicación.

La aplicación ha leído un gran volumen de correos importantes y ha creado una regla de bandeja de entrada

Gravedad: media

ID DE MITRE: T1137, T1114

Esta detección identifica que una aplicación consiente el ámbito de privilegios elevados, crea una regla de bandeja de entrada sospechosa y realiza un gran volumen de actividades importantes de lectura de correo a través de Graph API. Esto puede indicar un intento de vulneración de la organización, como adversarios que intentan leer correo electrónico de importancia alta de tu organización a través de Graph API. 

¿TP o FP?

• TP: si puedes confirmar que se ha leído un gran volumen de correo importante a través de Graph API mediante una aplicación de OAuth con ámbito de privilegios elevados y la aplicación se entrega desde un origen desconocido. 

  Acción recomendada: deshabilita y quita la aplicación, restablece la contraseña y quita la regla de bandeja de entrada. 

• FP: si puedes confirmar que la aplicación ha realizado un alto volumen de lectura de correo importante a través de Graph API y ha creado una regla de bandeja de entrada en una cuenta de correo electrónico externa nueva o personal por motivos legítimos. 

  Acción recomendada: descartar la alerta

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por la aplicación. 
2. Revisa los ámbitos concedidos por la aplicación. 
3. Revisa cualquier acción de regla de bandeja de entrada creada por la aplicación. 
4. Revisa cualquier actividad de lectura de correo electrónico de importancia alta realizada por la aplicación.

La aplicación con privilegios realizó actividades inusuales en Teams

Gravedad: media

Esta detección identifica las aplicaciones con consentimiento para ámbitos de OAuth con privilegios elevados, a los que ha accedido Microsoft Teams y ha realizado un volumen inusual de actividades de mensajes de chat de lectura o publicación a través de Graph API. Esto puede indicar un intento de vulneración de la organización, como adversarios que intentan recopilar información de tu organización a través de Graph API.

¿TP o FP?

• TP: Si puedes confirmar que se han producido actividades inusuales de mensajes de chat en Microsoft Teams a través de Graph API mediante una aplicación de OAuth con ámbito de privilegios elevados y la aplicación se entrega desde un origen desconocido.

  Acción recomendada: deshabilita y quita la aplicación y restablece la contraseña

• FP: Si puedes confirmar que las actividades inusuales realizadas en Microsoft Teams a través de Graph API eran por motivos legítimos.

  Acción recomendada: descartar la alerta

Descripción del ámbito de la vulneración

1. Revisa los ámbitos concedidos por la aplicación.
2. Revisa todas las actividades realizadas por la aplicación.
3. Revisa la actividad del usuario asociada a esta aplicación.

Actividad anómala de OneDrive por aplicación que acaba de actualizar o agregar nuevas credenciales

Gravedad: media

ID DE MITRE: T1098.001, T1213

Una aplicación en la nube que no es de Microsoft realizó llamadas anómalas de Graph API a OneDrive, incluido el uso de datos de gran volumen. Detectado por el aprendizaje automático, estas llamadas API inusuales se realizaron en unos días después de que la aplicación agregara certificados o secretos existentes nuevos o actualizados. Esta aplicación podría estar implicada en la filtración de datos u otros intentos de acceder a la información confidencial y recuperarla.

¿TP o FP?

• TP: Si puedes confirmar que la aplicación ha realizado actividades inusuales, como un uso de gran volumen de la carga de trabajo de OneDrive, a través de Graph API.

  Acción recomendada: deshabilita temporalmente la aplicación, restablece la contraseña y vuelve a habilitar la aplicación.

• FP: si puedes confirmar que la aplicación no realizó actividades inusuales o que la aplicación está pensada para realizar un volumen inusualmente alto de llamadas de Graph.

  Acción recomendada: descartar la alerta

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por la aplicación.
2. Revisa los ámbitos concedidos por la aplicación.
3. Revisa la actividad del usuario asociada a esta aplicación.

Actividad anómala de SharePoint por aplicación que acaba de actualizar o agregar nuevas credenciales

Gravedad: media

ID DE MITRE: T1098.001, T1213.002

Una aplicación en la nube que no es de Microsoft realizó llamadas anómalas de Graph API a SharePoint, incluido el uso de datos de gran volumen. Detectado por el aprendizaje automático, estas llamadas API inusuales se realizaron en unos días después de que la aplicación agregara certificados o secretos existentes nuevos o actualizados. Esta aplicación podría estar implicada en la filtración de datos u otros intentos de acceder a la información confidencial y recuperarla.

¿TP o FP?

• TP: si puedes confirmar que las actividades inusuales, como el uso de gran volumen de la carga de trabajo de SharePoint, se realizaron mediante la aplicación a través de Graph API.

  Acción recomendada: deshabilita temporalmente la aplicación, restablece la contraseña y vuelve a habilitar la aplicación.

• FP: si puedes confirmar que la aplicación no realizó actividades inusuales o que la aplicación está pensada para realizar un volumen inusualmente alto de llamadas de Graph.

  Acción recomendada: descartar la alerta

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por la aplicación.
2. Revisa los ámbitos concedidos por la aplicación.
3. Revisa la actividad del usuario asociada a esta aplicación.

Metadatos de la aplicación asociados a actividades sospechosas relacionadas con el correo

Gravedad: media

ID DE MITRE: T1114

Esta detección genera alertas para aplicaciones que no son de Microsoft OAuth con metadatos, como el nombre, la dirección URL o el publicador, que se habían observado anteriormente en aplicaciones con actividad sospechosa relacionada con el correo. Esta aplicación podría formar parte de una campaña de ataque y podría estar implicada en la filtración de información confidencial.

¿TP o FP?

• TP: si puedes confirmar que la aplicación ha creado reglas de buzón o ha realizado un gran número de llamadas inusuales de Graph API a la carga de trabajo de Exchange.

  Acción recomendada:

  • Investiga los detalles de registro de la aplicación sobre la gobernanza de aplicaciones y visita Microsoft Entra ID para obtener más detalles.
  • Ponte en contacto con los usuarios o administradores que concedieron consentimiento o permisos a la aplicación. Comprueba si los cambios fueron intencionados.
  • Busca en la tabla de búsqueda avanzada de amenazas CloudAppEvents para comprender la actividad de la aplicación e identificar los datos a los que accede la aplicación. Comprueba los buzones afectados y revisa los mensajes que podrían haber leído o reenviado la propia aplicación o las reglas que ha creado.
  • Comprueba si la aplicación es fundamental para tu organización antes de considerar las acciones de contención. Desactiva la aplicación mediante la gobernanza de aplicaciones o Microsoft Entra ID para evitar que acceda a los recursos. Es posible que las directivas de gobernanza de aplicaciones existentes ya hayan desactivado la aplicación.

• FP: si puedes confirmar que la aplicación no realizó actividades inusuales y que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por la aplicación.
2. Revisa los ámbitos concedidos a la aplicación.
3. Revisa la actividad del usuario asociada a esta aplicación.

Aplicación con permisos de aplicación de EWS que acceden a numerosos correos electrónicos

Gravedad: media

ID DE MITRE: T1114

Esta detección genera alertas para aplicaciones en la nube multiinquilino con permisos de aplicación EWS que muestran un aumento significativo en las llamadas a la API de servicios web de Exchange específicas de la enumeración y recopilación de correo electrónico. Esta aplicación podría estar implicada en el acceso y la recuperación de datos confidenciales de correo electrónico.

¿TP o FP?

• TP: si puede confirmar que la aplicación ha accedido a datos confidenciales de correo electrónico o ha realizado un gran número de llamadas inusuales a la carga de trabajo de Exchange.

  Acción recomendada:

  • Investiga los detalles de registro de la aplicación sobre la gobernanza de aplicaciones y visita Microsoft Entra ID para obtener más detalles.
  • Ponte en contacto con los usuarios o administradores que concedieron consentimiento o permisos a la aplicación. Comprueba si los cambios fueron intencionados.
  • Busca en la tabla de búsqueda avanzada de amenazas CloudAppEvents para comprender la actividad de la aplicación e identificar los datos a los que accede la aplicación. Comprueba los buzones afectados y revisa los mensajes que podrían haber leído o reenviado la propia aplicación o las reglas que ha creado.
  • Comprueba si la aplicación es fundamental para tu organización antes de considerar las acciones de contención. Desactiva la aplicación mediante la gobernanza de aplicaciones o Microsoft Entra ID para evitar que acceda a los recursos. Es posible que las directivas de gobernanza de aplicaciones existentes ya hayan desactivado la aplicación.

• FP: si puedes confirmar que la aplicación no realizó actividades inusuales y que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por la aplicación.
2. Revisa los ámbitos concedidos a la aplicación.
3. Revisa la actividad del usuario asociada a esta aplicación.

API que no se usan recientemente

Gravedad: media

Identificadores DE MITRE: T1530

Esta detección genera alertas para una aplicación en la nube multiinquilino que ha estado inactiva durante un tiempo y ha empezado a realizar llamadas API recientemente. Un atacante puede poner en peligro esta aplicación y usarse para acceder a los datos confidenciales y recuperarlos.

¿TP o FP?

• TP: si puede confirmar que la aplicación ha accedido a datos confidenciales o ha realizado un gran número de llamadas inusuales a las cargas de trabajo de Microsoft Graph, Exchange o Azure Resource Manager.

  Acción recomendada:

  • Investiga los detalles de registro de la aplicación sobre la gobernanza de aplicaciones y visita Microsoft Entra ID para obtener más detalles.
  • Ponte en contacto con los usuarios o administradores que concedieron consentimiento o permisos a la aplicación. Comprueba si los cambios fueron intencionados.
  • Busca en la tabla de búsqueda avanzada de amenazas CloudAppEvents para comprender la actividad de la aplicación e identificar los datos a los que accede la aplicación. Comprueba los buzones afectados y revisa los mensajes que podrían haber leído o reenviado la propia aplicación o las reglas que ha creado.
  • Comprueba si la aplicación es fundamental para tu organización antes de considerar las acciones de contención. Desactiva la aplicación mediante la gobernanza de aplicaciones o Microsoft Entra ID para evitar que acceda a los recursos. Es posible que las directivas de gobernanza de aplicaciones existentes ya hayan desactivado la aplicación.

• FP: si puedes confirmar que la aplicación no realizó actividades inusuales y que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta

Descripción del ámbito de la vulneración

1. Revisa todas las actividades realizadas por la aplicación.
2. Revisa los ámbitos concedidos a la aplicación.
3. Revisa la actividad del usuario asociada a esta aplicación.

Alertas de impacto

En esta sección se describen las alertas que indican que un actor malintencionado puede intentar manipular, interrumpir o destruir los sistemas y los datos de la organización.

Aplicación de línea de negocio de Entra que inicia un pico anómalo en la creación de máquinas virtuales

Gravedad: media

ID DE MITRE: T1496

Esta detección identifica una nueva aplicación de OAuth de inquilino único que crea la mayor parte de Azure Virtual Machines en el inquilino mediante la API de Azure Resource Manager.

¿TP o FP?

• TP: si puedes confirmar que la aplicación OAuth se ha creado recientemente y está creando un gran número de máquinas virtuales en el inquilino, se indica un verdadero positivo.

  Acciones recomendadas: revisa las máquinas virtuales creadas y los cambios recientes realizados en la aplicación. En función de la investigación, puedes optar por prohibir el acceso a esta aplicación. Revisa el nivel de permiso solicitado por esta aplicación y qué usuarios han concedido acceso.

• FP: Si después de la investigación, puedes confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Comprender el ámbito de la vulneración:

1. Revisa las aplicaciones creadas recientemente y las máquinas virtuales creadas.
2. Revisa todas las actividades realizadas por la aplicación desde su creación.
3. Revisa los ámbitos concedidos por la aplicación en Graph API y el rol concedidos a ella en la suscripción.

Se observó que la aplicación OAuth con privilegios de alto ámbito en Microsoft Graph iniciaba la creación de máquinas virtuales

Gravedad: media

ID DE MITRE: T1496

Esta detección identifica la aplicación OAuth que crea la mayor parte de Azure Virtual Machines en el inquilino mediante la API de Azure Resource Manager mientras tiene privilegios elevados en el inquilino a través de MS Graph API antes de la actividad.

¿TP o FP?

• TP: si puede confirmar que se ha creado la aplicación OAuth con ámbitos de privilegios elevados y está creando un gran número de máquinas virtuales en el inquilino, se indica un verdadero positivo.

  Acciones recomendadas: revisa las máquinas virtuales creadas y los cambios recientes realizados en la aplicación. En función de la investigación, puedes optar por prohibir el acceso a esta aplicación. Revisa el nivel de permiso solicitado por esta aplicación y qué usuarios han concedido acceso.

• FP: Si después de la investigación, puedes confirmar que la aplicación tiene un uso empresarial legítimo en la organización.

  Acción recomendada: descartar la alerta.

Comprender el ámbito de la vulneración:

1. Revisa las aplicaciones creadas recientemente y las máquinas virtuales creadas.
2. Revisa todas las actividades realizadas por la aplicación desde su creación.
3. Revisa los ámbitos concedidos por la aplicación en Graph API y el rol concedidos a ella en la suscripción.

Pasos siguientes

Administración de las alertas de gobernanza de aplicaciones