Examiner les alertes de détection des menaces

La gouvernance des applications fournit des détections de sécurité et des alertes pour les activités malveillantes. Cet article répertorie les détails de chaque alerte qui peut faciliter votre investigation et votre correction, y compris les conditions de déclenchement des alertes. Étant donné que les détections de menaces ne sont pas déterministes par nature, elles sont déclenchées uniquement lorsqu’il existe un comportement qui s’écarte de la norme.

Pour plus d’informations, consultez La gouvernance des applications dans Microsoft Defender for Cloud Apps

Remarque

Les détections de menaces de gouvernance des applications sont basées sur le comptage des activités sur les données temporaires et ne peuvent pas être stockées. Par conséquent, les alertes peuvent fournir le nombre d’activités ou d’indications de pics, mais pas nécessairement toutes les données pertinentes. Plus précisément pour les activités de l’API Graph des applications OAuth, les activités elles-mêmes peuvent être auditées par le locataire à l’aide de Log Analytics et de Sentinel.

Pour plus d’informations, voir :

• Accéder aux journaux d’activité Microsoft Graph
• Analyser les journaux d’activité à l’aide de Log Analytics

MITRE ATT&CK

Pour faciliter la cartographie de la relation entre les alertes de gouvernance des applications et la matrice MITRE ATT&CK familière, nous avons classé les alertes par leur tactique MITRE ATT&CK correspondante. Cette référence supplémentaire facilite la compréhension de la technique d’attaques suspectes potentiellement en cours d’utilisation lorsque l’alerte de gouvernance des applications est déclenchée.

Ce guide fournit des informations sur l’examen et la correction des alertes de gouvernance des applications dans les catégories suivantes.

• Accès initial
• Exécution
• Persistance
• Élévation des privilèges
• Évasion de défense
• Accès aux informations d’identification
• Découverte
• Mouvement latéral
• Collection
• Exfiltration
• Impact

Classifications des alertes de sécurité

Après une investigation appropriée, toutes les alertes de gouvernance des applications peuvent être classées comme l’un des types d’activités suivants :

• Vrai positif (TP) : Une alerte sur une activité malveillante confirmée.
• Vrai positif bénin (B-TP) : Une alerte sur les activités suspectes, mais pas malveillantes, comme un test d’intrusion ou une autre action suspecte autorisée.
• Faux positif (FP) : Une alerte sur une activité non malveillante.

Passages d’investigation généraux

Utilisez les instructions générales suivantes lors de l’examen d’un type d’alerte pour mieux comprendre la menace potentielle avant d’appliquer l’action recommandée.

• Passez en revue le niveau de gravité de l’application et comparez-les au reste des applications de votre client. Cette révision vous aide à identifier les applications de votre client qui présentent un risque plus élevé.

• Si vous identifiez un TP, passez en revue toutes les activités de l’application pour comprendre l’impact. Par exemple, révisez l’information d’application suivante :

  • Étendues accordées à l’accès
  • Comportement inhabituel
  • Adresse IP et emplacement

Alertes d’accès initiales

Cette section décrit les alertes indiquant qu’une application malveillante peut tenter de maintenir son pied dans votre organisation.

L’application redirige vers l’URL de hameçonnage en exploitant la vulnérabilité de redirection OAuth

Gravité : Moyenne

Cette détection identifie les applications OAuth qui redirigent vers des URL d’hameçonnage en exploitant le paramètre de type de réponse dans l’implémentation OAuth via l’API Microsoft Graph.

TP ou FP ?

• TP : Si vous pouvez confirmer que l’application OAuth a été remise à partir d’une source inconnue, le type de réponse de l’URL de réponse après avoir consenti à l’application OAuth contient une demande non valide et redirige vers une URL de réponse inconnue ou non approuvée.

  Action recommandée : Désactivez et supprimez l’application, réinitialisez le mot de passe et supprimez la règle de boîte de réception. 

• FP : Si une fois l’examen terminé, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Examinez toutes les activités effectuées par l’application. 
2. Examinez les étendues accordées par l’application. 

Application OAuth avec l’URL de réponse suspecte

Gravité : Moyenne

Cette détection identifie une application OAuth a accédé à une URL de réponse suspecte via l’API Microsoft Graph.

TP ou FP ?

• TP : Si vous pouvez confirmer que l’application OAuth est remise à partir d’une source inconnue et redirige vers une URL suspecte, un vrai positif est indiqué. Une URL suspecte est une URL où la réputation de l’URL est inconnue, non approuvée, ou dont le domaine a été récemment inscrit et la demande d’application concerne une étendue de privilège élevée.

  Action recommandée : Révisez l’URL de réponse, les domaines et les étendues demandés par l’application. En fonction de votre examen, vous pouvez choisir d’interdire l’accès à cette application. Révisez le niveau d’autorisation demandé par cette application et les utilisateurs auxquels l’accès est accordé.

  Pour interdire l’accès à l’application, accédez à l’onglet approprié pour votre application sur la page gouvernance de l’application. Sur la ligne dans laquelle l’application que vous souhaitez interdire s’affiche, sélectionnez l’icône d’interdiction. Vous pouvez choisir si vous souhaitez signaler aux utilisateurs que l’application qu’ils ont installée et autorisée a été interdite. La notification signale aux utilisateurs que l’application sera désactivée, et qu’ils n’auront pas accès à l’application connectée. Si vous ne souhaitez pas les en informer, désélectionnez Avertir les utilisateurs qui ont accordé l’accès à cette application interdite dans la boîte de dialogue. Nous recommandons d’informer les utilisateurs que leur application est sur le point d’être exclue.

• FP : Si une fois l’examen terminé, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Révisez les applications créées récemment et leurs URL de réponse.

2. Examinez toutes les activités effectuées par l’application. 

3. Examinez les étendues accordées par l’application. 

L’application créée récemment a un faible taux de consentement

Gravité : Faible

Cette détection identifie une application OAuth créée récemment et qui a été trouvée pour avoir un faible taux de consentement. Cela peut indiquer une application malveillante ou risquée qui permet aux utilisateurs d’accorder des consentements illicites.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que l’application OAuth est remise à partir d’une source inconnue, un vrai positif est indiqué.

  Action recommandée : Révisez le nom complet, les URL de réponse et les domaines de l’application. En fonction de votre examen vous pouvez choisir d’interdire l’accès à cette application. Révisez le niveau d’autorisation demandé par cette application et les utilisateurs qui ont accordé l’accès.

• FP : Si une fois l’examen terminé, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Examinez toutes les activités effectuées par l’application.
2. Si vous pensez qu’une application est suspecte, nous vous recommandons d’enquêter sur le nom et le domaine de réponse de l’application dans différents magasins d’applications. Quand case activée magasins d’applications, concentrez-vous sur les types d’applications suivants :
   • Applications qui ont été créées récemment
   • Application avec un nom d’affichage inhabituel
   • Applications avec un domaine de réponse suspect
3. Si vous pensez toujours qu’une application est suspecte, vous pouvez rechercher le nom complet et le domaine de réponse de l’application.

Application avec une mauvaise réputation d’URL

Gravité : Moyenne

Cette détection identifie une application OAuth qui a été détectée pour avoir une mauvaise réputation d’URL.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que l’application OAuth est remise à partir d’une source inconnue et redirige vers une URL suspecte, un vrai positif est indiqué.

  Action recommandée : Révisez les URLs de réponse, les domaines et les étendues demandés par l’application. En fonction de votre examen vous pouvez choisir d’interdire l’accès à cette application. Révisez le niveau d’autorisation demandé par cette application et les utilisateurs auxquels l’accès est accordé.

• FP : Si une fois l’examen terminé, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Examinez toutes les activités effectuées par l’application.
2. Si vous pensez qu’une application est suspecte, nous vous recommandons d’enquêter sur le nom et le domaine de réponse de l’application dans différents magasins d’applications. Quand case activée magasins d’applications, concentrez-vous sur les types d’applications suivants :
   • Applications qui ont été créées récemment
   • Application avec un nom d’affichage inhabituel
   • Applications avec un domaine de réponse suspect
3. Si vous pensez toujours qu’une application est suspecte, vous pouvez rechercher le nom complet et le domaine de réponse de l’application.

Nom d’application encodé avec des étendues de consentement suspectes

Gravité : Moyenne

Description : Cette détection identifie les applications OAuth avec des caractères, tels que Unicode ou encodés, demandés pour des étendues de consentement suspectes et qui ont accédé aux dossiers de messagerie des utilisateurs via l’API Graph. Cette alerte peut indiquer une tentative de camoufler une application malveillante en tant qu’application connue et approuvée afin que les adversaires puissent tromper les utilisateurs en consentant à l’application malveillante.

TP ou FP ?

• TP : Si vous pouvez confirmer que l’application OAuth a encodé le nom d’affichage avec des étendues suspectes livrées à partir d’une source inconnue, alors un vrai positif est indiqué.

  Action recommandée : Révisez le niveau d’autorisation demandé par cette application et les utilisateurs qui ont accordé l’accès. En fonction de votre examen vous pouvez choisir d’interdire l’accès à cette application.

  Pour interdire l’accès à l’application, accédez à l’onglet approprié pour votre application sur la page gouvernance de l’application. Sur la ligne dans laquelle l’application que vous souhaitez interdire s’affiche, sélectionnez l’icône d’interdiction. Vous pouvez choisir si vous souhaitez signaler aux utilisateurs que l’application qu’ils ont installée et autorisée a été interdite. La notification signale aux utilisateurs que l’application sera désactivée et qu’ils n’auront pas accès à l’application connectée. Si vous ne souhaitez pas les en informer, désélectionnez Avertir les utilisateurs qui ont accordé l’accès à cette application interdite dans la boîte de dialogue. Nous recommandons d’informer les utilisateurs que leur application est sur le point d’être exclue.

• FP : Si vous souhaitez confirmer que l’application a un nom encodé, mais qu’elle a une utilisation professionnelle légitime dans l’organisation.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

Suivez le tutoriel sur comment Examiner les applications OAuth risquées.

Application OAuth avec des étendues de lecture a une URL de réponse suspecte

Gravité : Moyenne

Description : cette détection identifie une application OAuth avec uniquement des étendues de lecture telles que User.Read, People.Read, Contacts.Read, Mail.Read, Contacts.Read. Redirections partagées vers une URL de réponse suspecte via l’API Graph. Cette activité tente d’indiquer que l’application malveillante disposant d’une autorisation de privilège moindre (par exemple, les étendues de lecture) peut être exploitée pour effectuer la reconnaissance des comptes des utilisateurs.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que l’application OAuth avec l’étendue de lecture est remise à partir d’une source inconnue, et redirige vers une URL suspecte, un vrai positif est indiqué.

  Action recommandée : Révisez l’URL de réponse et les étendues demandés par l’application. En fonction de votre examen vous pouvez choisir d’interdire l’accès à cette application. Révisez le niveau d’autorisation demandé par cette application et les utilisateurs auxquels l’accès est accordé.

  Pour interdire l’accès à l’application, accédez à l’onglet approprié pour votre application sur la page gouvernance de l’application. Sur la ligne dans laquelle l’application que vous souhaitez interdire s’affiche, sélectionnez l’icône d’interdiction. Vous pouvez choisir si vous souhaitez signaler aux utilisateurs que l’application qu’ils ont installée et autorisée a été interdite. La notification signale aux utilisateurs que l’application sera désactivée et qu’ils n’auront pas accès à l’application connectée. Si vous ne souhaitez pas les en informer, désélectionnez Avertir les utilisateurs qui ont accordé l’accès à cette application interdite dans la boîte de dialogue. Nous recommandons d’informer les utilisateurs que leur application est sur le point d’être exclue.

• B-TP : Si une fois l’investigation terminée, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Examinez toutes les activités effectuées par l’application.
2. Si vous pensez qu’une application est suspecte, nous vous recommandons d’enquêter sur le nom de l’application et sur l’URL de réponse dans différents magasins d’applications. Quand case activée magasins d’applications, concentrez-vous sur les types d’applications suivants :
   • Applications qui ont été créées récemment.
   • Applications avec un URL de réponse suspect
   • Applications qui n’ont pas été mises à jour récemment. L’absence de mises à jour peut indiquer que l’application n’est plus prise en charge.
3. Si vous pensez qu’une application est toujours suspecte, vous pouvez rechercher son nom, le nom de son éditeur et son URL de réponse en ligne

Application avec un nom complet d’affichage inhabituel et un TLD inhabituel dans le domaine de réponse

Gravité : Moyenne

Cette détection identifie l’application avec un nom complet d’affichage inhabituel et redirige vers un domaine de réponse suspect avec un domaine de premier niveau (TLD) inhabituel via l’API Graph. Cela peut indiquer une tentative de camoufler une application malveillante ou risquée en tant qu’application connue et approuvée afin que les adversaires puissent tromper les utilisateurs en consentant à leur application malveillante ou risquée. 

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que l’application avec un nom complet d’affichage inhabituel remis à partir d’une source inconnue et redirige vers un domaine suspect ayant un domaine de premier niveau inhabituel

  Action recommandée : Révisez le nom complet et les domaine de réponse de l’application. En fonction de votre examen vous pouvez choisir d’interdire l’accès à cette application. Révisez le niveau d’autorisation demandé par cette application et les utilisateurs qui ont accordé l’accès.

• FP : Si une fois l’examen terminé, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation.

  Action recommandée : Ignorer l’alerte.

Comprendre l’étendue de la violation

Examinez toutes les activités effectuées par l’application. Si vous pensez qu’une application est suspecte, nous vous recommandons d’enquêter sur le nom et le domaine de réponse de l’application dans différents magasins d’applications. Quand case activée magasins d’applications, concentrez-vous sur les types d’applications suivants :

• Applications qui ont été créées récemment
• Application avec un nom d’affichage inhabituel
• Applications avec un domaine de réponse suspect

Si vous pensez toujours qu’une application est suspecte, vous pouvez rechercher le nom complet et le domaine de réponse de l’application.

Nouvelle application avec des autorisations de messagerie ayant un modèle de consentement faible

Gravité : Moyenne

Cette détection identifie les applications OAuth créées récemment dans des locataires de serveur de publication relativement nouveaux avec les caractéristiques suivantes :

• Autorisations d’accès ou de modification des paramètres de boîte aux lettres
• Taux de consentement relativement faible, qui peut identifier les applications indésirables ou même malveillantes qui tentent d’obtenir le consentement des utilisateurs insoupçonnés

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que la demande de consentement à l’application a été remise à partir d’une source inconnue ou externe et que l’application n’a pas d’utilisation professionnelle légitime dans l’organisation, un vrai positif est indiqué.

  Action recommandée :

  • Contactez les utilisateurs et les administrateurs qui ont accordé le consentement à cette application pour confirmer que cela était intentionnel et que les privilèges excessifs sont normaux.
  • Examinez l’activité de l’application et case activée comptes affectés pour une activité suspecte.
  • En fonction de votre examen, désactivez l’application et suspendez et réinitialisez les mots de passe pour tous les comptes affectés.
  • Classifiez l’alerte comme un vrai positif.

• FP : Si une fois l’examen terminé, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation.

  Action recommandée : Classifiez l’alerte comme un faux positif et envisagez de partager un retour d’expérience en fonction de votre examen de l’alerte.

Comprendre l’étendue de la violation

Passez en revue les octrois de consentement à l’application effectuée par les utilisateurs et les administrateurs. Examinez toutes les activités effectuées par l’application, en particulier l’accès à la boîte aux lettres des utilisateurs et comptes d’administrateur associés. Si vous pensez que l’application est suspecte, envisagez de désactiver l’application et de faire pivoter les informations d’identification de tous les comptes affectés.

Nouvelle application avec un faible taux de consentement accédant à de nombreux e-mails

Gravité : Moyenne

Cette alerte identifie les applications OAuth inscrites récemment dans un locataire relativement nouveau de serveur de publication avec les autorisations nécessaires pour modifier les paramètres de boîte aux lettres et accéder aux e-mails. Il vérifie également si l’application a un taux de consentement global relativement faible et effectue de nombreux appels à l’API Microsoft Graph pour accéder aux e-mails des utilisateurs consentants. Les applications qui déclenchent cette alerte peuvent être indésirables ou malveillantes qui tentent d’obtenir le consentement des utilisateurs sans doute.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que la demande de consentement à l’application a été remise à partir d’une source inconnue ou externe et que l’application n’a pas d’utilisation professionnelle légitime dans l’organisation, un vrai positif est indiqué.

  Action recommandée :

  • Contactez les utilisateurs et les administrateurs qui ont accordé le consentement à cette application pour confirmer que cela était intentionnel et que les privilèges excessifs sont normaux.
  • Examinez l’activité de l’application et case activée comptes affectés pour une activité suspecte.
  • En fonction de votre examen, désactivez l’application et suspendez et réinitialisez les mots de passe pour tous les comptes affectés.
  • Classifiez l’alerte comme un vrai positif.

• FP : Si une fois l’examen terminé, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation, un faux positif est indiqué.

  Action recommandée : Classifiez l’alerte comme un faux positif et envisagez de partager un retour d’expérience en fonction de votre examen de l’alerte.

Comprendre l’étendue de la violation

Passez en revue les octrois de consentement à l’application effectuée par les utilisateurs et les administrateurs. Examinez toutes les activités effectuées par l’application, en particulier l’accès aux boîtes aux lettres des utilisateurs et comptes d’administrateur associés. Si vous pensez que l’application est suspecte, envisagez de désactiver l’application et de faire pivoter les informations d’identification de tous les comptes affectés.

Application suspecte avec autorisations de messagerie envoyant de nombreux e-mails

Gravité : Moyenne

Cette alerte recherche des applications OAuth mutualisées qui ont effectué de nombreux appels à l’API Microsoft Graph pour envoyer des e-mails dans un court délai. Il vérifie également si les appels d’API ont entraîné des erreurs et des tentatives d’envoi d’e-mails ayant échoué. Les applications qui déclenchent cette alerte peuvent envoyer activement du courrier indésirable ou des e-mails malveillants à d’autres cibles.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que la demande de consentement à l’application a été remise à partir d’une source inconnue ou externe et que l’application n’a pas d’utilisation professionnelle légitime dans l’organisation, un vrai positif est indiqué.

  Action recommandée :

  • Contactez les utilisateurs et les administrateurs qui ont accordé le consentement à cette application pour confirmer que cela était intentionnel et que les privilèges excessifs sont normaux.
  • Examinez l’activité de l’application et case activée comptes affectés pour une activité suspecte.
  • En fonction de votre examen, désactivez l’application et suspendez et réinitialisez les mots de passe pour tous les comptes affectés.
  • Classifiez l’alerte comme un vrai positif.

• FP : Si une fois l’examen terminé, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation, un faux positif est indiqué.

  Action recommandée : Classifiez l’alerte comme un faux positif et envisagez de partager un retour d’expérience en fonction de votre examen de l’alerte.

Comprendre l’étendue de la violation

Passez en revue les octrois de consentement à l’application effectuée par les utilisateurs et les administrateurs. Examinez toutes les activités effectuées par l’application, en particulier l’accès à la boîte aux lettres des utilisateurs et comptes d’administrateur associés. Si vous pensez que l’application est suspecte, envisagez de désactiver l’application et de faire pivoter les informations d’identification de tous les comptes affectés.

Application OAuth suspecte utilisée pour envoyer de nombreux e-mails

Gravité : Moyenne

Cette alerte indique une application OAuth qui a effectué de nombreux appels à l’API Microsoft Graph pour envoyer des e-mails dans un court délai. Le locataire de l’éditeur de l’application est connu pour générer un volume élevé d’applications OAuth qui effectuent des appels d’API Microsoft Graph similaires. Un attaquant peut utiliser activement cette application pour envoyer du courrier indésirable ou des e-mails malveillants à leurs cibles.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que la demande de consentement à l’application a été remise à partir d’une source inconnue ou externe et que l’application n’a pas d’utilisation professionnelle légitime dans l’organisation, un vrai positif est indiqué.

  Action recommandée :

  • Contactez les utilisateurs et les administrateurs qui ont accordé le consentement à cette application pour confirmer que cela était intentionnel et que les privilèges excessifs sont normaux.
  • Examinez l’activité de l’application et case activée comptes affectés pour une activité suspecte.
  • En fonction de votre examen, désactivez l’application et suspendez et réinitialisez les mots de passe pour tous les comptes affectés.
  • Classifiez l’alerte comme un vrai positif.

• FP : Si une fois l’examen terminé, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation, un faux positif est indiqué.

  Action recommandée : Classifiez l’alerte comme un faux positif et envisagez de partager un retour d’expérience en fonction de votre examen de l’alerte.

Comprendre l’étendue de la violation

Passez en revue les octrois de consentement à l’application effectuée par les utilisateurs et les administrateurs. Examinez toutes les activités effectuées par l’application, en particulier l’accès à la boîte aux lettres des utilisateurs et comptes d’administrateur associés. Si vous pensez que l’application est suspecte, envisagez de désactiver l’application et de faire pivoter les informations d’identification de tous les comptes affectés.

Alertes de persistance

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de maintenir son pied dans votre organisation.

L’application a effectué des appels Graph anormales à la charge de travail Exchange après la mise à jour du certificat ou l’ajout de nouveaux identifiants

Gravité : Moyenne

ID MITRE : T1098.001, T1114

Cette détection déclenche une alerte lorsqu’une application métier (LOB) a mis à jour le certificat/secrets ou ajouté de nouveaux identifiants et, dans quelques jours, après la mise à jour du certificat ou l’ajout de nouveaux identifiants, observé des activités inhabituelles ou une utilisation en volume élevé à la charge de travail Exchange via l’API Graph à l’aide de l’algorithme d’apprentissage automatique.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que des activités inhabituelles/une utilisation élevée du volume sur la charge de travail Exchange ont été effectuées par l’application LOB via l’API Graph

  Action recommandée : Désactivez temporairement l’application et réinitialisez le mot de passe, puis réactivez l’application.

• FP : Si vous pouvez confirmer qu’aucune activité inhabituelle n’a été effectuée par l’application métier ou l’application est destinée à effectuer un volume anormalement élevé d’appels de graphique.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Révisez toutes les activités effectuées par cette application.
2. Examinez les étendues accordées par l’application.
3. Révisez l’activité utilisateur associée avec cette application.

L’application avec une étendue OAuth suspecte a été indiquée comme étant à haut risque par le modèle d’apprentissage automatique, effectué des appels de graphique pour lire l’email et créer une règle de boîte de réception

Gravité : Moyenne

ID MITRE : T1137.005, T1114

Cette détection identifie un Application OAuth indiqué d’un risque élevé par un modèle d’apprentissage automatique qui a consenti à des étendues suspectes, crée une règle de boîte de réception suspecte, puis accède aux dossiers et messages de messagerie des utilisateurs via l’API Graph. Les règles de boîte de réception, telles que le transfert de tous les emails ou d’emails spécifiques vers un autre compte de messagerie, et les appels Graph pour accéder aux emails et les envoyer à un autre compte de messagerie, peuvent être une tentative d’exfiltrage des informations de votre organisation.

TP ou FP ?

• TP : Si vous pouvez confirmer que la règle de boîte de réception a été créée par une application tierce OAuth avec des étendues suspectes fournies à partir d’une source inconnue, un vrai positif est détecté.

  Action recommandée : Désactivez et supprimez l’application, réinitialisez le mot de passe et supprimez la règle de boîte de réception.

Suivez le tutoriel sur la réinitialisation d’un mot de passe à l’aide de Microsoft Entra ID et suivez le tutoriel sur la suppression de la règle de boîte de réception.

• FP : Si vous pouvez confirmer que l’application a créé une règle de boîte de réception dans un compte email externe nouveau ou personnel pour des raisons légitimes.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Examinez toutes les activités effectuées par l’application.
2. Examinez les étendues accordées par l’application.
3. Révisez l’action et la condition de règle de boîte de réception créées par l’application.

L’application avec une étendue OAuth suspecte a effectué des appels de graphique pour lire l’email et créer une règle de boîte de réception

Gravité : Moyenne

ID MITRE : T1137.005, T1114

Cette détection identifie un Application OAuth qui a consenti à des étendues suspectes, crée une règle de boîte de réception suspecte, puis accède aux dossiers et messages de messagerie des utilisateurs via l’API Graph. Les règles de boîte de réception, telles que le transfert de tous les emails ou d’emails spécifiques vers un autre compte de messagerie, et les appels Graph pour accéder aux emails et les envoyer à un autre compte de messagerie, peuvent être une tentative d’exfiltrage des informations de votre organisation.

TP ou FP ?

• TP : Si vous pouvez confirmer que la règle de boîte de réception a été créée par une application tierce OAuth avec des étendues suspectes fournies à partir d’une source inconnue, un vrai positif est indiqué.

  Action recommandée : Désactivez et supprimez l’application, réinitialisez le mot de passe et supprimez la règle de boîte de réception.

  Suivez le tutoriel sur la réinitialisation d’un mot de passe à l’aide de Microsoft Entra ID et suivez le tutoriel sur la suppression de la règle de boîte de réception.

• FP : Si vous pouvez confirmer que l’application a créé une règle de boîte de réception dans un compte email externe nouveau ou personnel pour des raisons légitimes.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Examinez toutes les activités effectuées par l’application.
2. Examinez les étendues accordées par l’application.
3. Révisez l’action et la condition de règle de boîte de réception créées par l’application.

Application accessible à partir d’un emplacement inhabituel après la mise à jour du certificat

Gravité : Faible

ID MITRE : T1098

Cette détection déclenche une alerte lorsqu’une application LOB a été mise à jour le certificat/secret et, dans quelques jours après la mise à jour du certificat, l’application est accessible à partir d’un emplacement inhabituel qui n’a pas été vu récemment ou jamais accédé par le passé.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que l’application métier a accédé à partir d’un emplacement inhabituel et effectué des activités inhabituelles via l’API Graph.

  Action recommandée : Désactivez temporairement l’application et réinitialisez le mot de passe, puis réactivez l’application.

• FP : Si vous êtes en mesure de confirmer que l’application métier a accédé à partir d’un emplacement inhabituel et aucune activité inhabituelle effectuée.

  Action recommandée : Ignorer l’alerte.

Comprendre l’étendue de la violation

1. Révisez toute activité effectuée par cette application.
2. Examinez les étendues accordées par l’application.
3. Révisez l’activité utilisateur associée avec cette application.

L’application accessible à partir d’un emplacement inhabituel a effectué des appels graphique anormaux après la mise à jour du certificat

Gravité : Moyenne

ID MITRE : T1098

Cette détection déclenche une alerte lorsqu’une application LOB a mis à jour le certificat/secret et, dans quelques jours après la mise à jour du certificat, l’application est accessible à partir d’un emplacement inhabituel qui n’a pas été vu récemment ou jamais accédé par le passé et a observé des activités ou une utilisation inhabituelles via Graph API à l’aide de l’algorithme d’apprentissage automatique.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que des activités / utilisations inhabituelles ont été effectuées par l’application LOB via Graph API à partir d’un emplacement inhabituel.

  Action recommandée : Désactivez temporairement l’application et réinitialisez le mot de passe, puis réactivez l’application.

• FP : Si vous êtes en mesure de confirmer que l’application métier a accédé à partir d’un emplacement inhabituel et aucune activité inhabituelle effectuée.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Révisez toute activité effectuée par cette application.
2. Examinez les étendues accordées par l’application.
3. Révisez l’activité utilisateur associée avec cette application.

L’application créée récemment a un volume élevé de consentements révoqués

Gravité : Moyenne

ID MITRE : T1566, T1098

Plusieurs utilisateurs ont révoqué leur consentement pour cette application métier ou tierce récemment créée. Cette application a peut-être invité les utilisateurs à donner son consentement par inadvertance.

TP ou FP ?

• TP : Si vous pouvez confirmer que l’application OAuth est remise à partir d’une source inconnue et que le comportement de l’application est suspect. 

  Action recommandée : Révoquer les consentements accordés à l’application et désactiver l’application. 

• FP : Si une fois l’examen terminé, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation et aucune activité inhabituelle n’a été effectuée par l’application.

  Action recommandée : Ignorer l’alerte

Comprendre l’étendue de la violation

1. Révisez toutes les activités effectuées par l’application.
2. Si vous pensez qu’une application est suspecte, nous vous recommandons d’enquêter sur le nom et le domaine de réponse de l’application dans différents magasins d’applications. Quand case activée magasins d’applications, concentrez-vous sur les types d’applications suivants :
   • Applications qui ont été créées récemment
   • Applications avec un nom d’affichage inhabituel
   • Applications avec un domaine de réponse suspect
3. Si vous pensez toujours qu’une application est suspecte, vous pouvez rechercher le nom complet et le domaine de réponse de l’application.

Métadonnées d’application associées à une campagne de hameçonnage connue

Gravité : Moyenne

Cette détection génère des alertes pour les applications OAuth non-Microsoft avec des métadonnées, telles que le nom, l’URL ou l’éditeur, qui ont été observées précédemment dans les applications associées à une campagne d’hameçonnage. Ces applications peuvent faire partie de la même campagne et peuvent être impliquées dans l’exfiltration d’informations sensibles.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que l’application OAuth est remise à partir d’une source inconnue et effectue des activités inhabituelles.

  Action recommandée :

  • Examinez les détails de l’inscription de l’application sur la gouvernance des applications et visitez Microsoft Entra ID pour plus de détails.
  • Contactez les utilisateurs ou administrateurs qui ont accordé le consentement ou les autorisations à l’application. Vérifiez si les modifications étaient intentionnelles.
  • Recherchez la table de repérage avancé CloudAppEvents pour comprendre l’activité de l’application et déterminer si le comportement observé est attendu.
  • Vérifiez si l’application est critique pour votre organisation avant d’envisager des actions de confinement. Désactivez l’application à l’aide de la gouvernance d’application ou de Microsoft Entra ID pour l’empêcher d’accéder aux ressources. Les stratégies de gouvernance des applications existantes peuvent avoir déjà désactivé l’application.

• FP : Si vous pouvez confirmer qu’aucune activité inhabituelle n’a été effectuée par l’application et que l’application a une utilisation commerciale légitime dans l’organisation.

  Action recommandée : Ignorer l’alerte

Comprendre l’étendue de la violation

1. Révisez toutes les activités effectuées par l’application.
2. Révisez les étendues accordées à l’application.
3. Révisez l’activité utilisateur associée avec l’application.

Métadonnées d’application associées à des applications suspectes signalées précédemment

Gravité : Moyenne

Cette détection génère des alertes pour les applications OAuth non-Microsoft avec des métadonnées, telles que le nom, l’URL ou l’éditeur, qui ont été observées précédemment dans les applications signalées par la gouvernance des applications en raison d’activités suspectes. Cette application peut faire partie d’une campagne d’attaque et être impliquée dans l’exfiltration d’informations sensibles.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que l’application OAuth est remise à partir d’une source inconnue et effectue des activités inhabituelles.

  Action recommandée :

  • Examinez les détails de l’inscription de l’application sur la gouvernance des applications et visitez Microsoft Entra ID pour plus de détails.
  • Contactez les utilisateurs ou administrateurs qui ont accordé le consentement ou les autorisations à l’application. Vérifiez si les modifications étaient intentionnelles.
  • Recherchez la table de repérage avancé CloudAppEvents pour comprendre l’activité de l’application et déterminer si le comportement observé est attendu.
  • Vérifiez si l’application est critique pour votre organisation avant d’envisager des actions de confinement. Désactivez l’application à l’aide de la gouvernance d’application ou de Microsoft Entra ID pour l’empêcher d’accéder aux ressources. Les stratégies de gouvernance des applications existantes peuvent avoir déjà désactivé l’application.

• FP : Si vous pouvez confirmer qu’aucune activité inhabituelle n’a été effectuée par l’application et que l’application a une utilisation commerciale légitime dans l’organisation.

  Action recommandée : Ignorer l’alerte

Comprendre l’étendue de la violation

1. Révisez toutes les activités effectuées par l’application.
2. Révisez les étendues accordées à l’application.
3. Révisez l’activité utilisateur associée avec l’application.

Activité de messagerie d’application OAuth suspecte via l’API Graph

Gravité: Elevée

Cette détection génère des alertes pour les applications OAuth mutualisées, inscrites par les utilisateurs disposant d’une connexion à haut risque, qui ont effectué des appels à l’API Microsoft Graph pour effectuer des activités suspectes de messagerie dans un court délai.

Cette détection vérifie si les appels d’API ont été effectués pour la création de règles de boîte aux lettres, créer un email de réponse, transférer un email, répondre ou envoyer de nouveaux emails. Les applications qui déclenchent cette alerte peuvent envoyer activement du courrier indésirable ou des e-mails malveillants à d’autres cibles ou exfiltrant des données confidentielles et effacer les pistes pour échapper à la détection.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que la création de l’application et la demande de consentement à l’application a été remise à partir d’une source inconnue ou externe et que l’application n’a pas d’utilisation professionnelle légitime dans l’organisation, un vrai positif est indiqué.

  Action recommandée :

  • Contactez les utilisateurs et les administrateurs qui ont accordé le consentement à cette application pour confirmer que cela était intentionnel et que les privilèges excessifs sont normaux.

  • Examinez l’activité de l’application et case activée comptes affectés pour une activité suspecte.

  • En fonction de votre examen, désactivez l’application et suspendez et réinitialisez les mots de passe pour tous les comptes affectés et supprimez la règle de la boîte de réception.

  • Classifiez l’alerte comme un vrai positif.

• FP : Si, une fois l’examen terminé, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation, un faux positif est indiqué.

  Action recommandée :

  • Classifiez l’alerte comme un faux positif et envisagez de partager un retour d’expérience en fonction de votre examen de l’alerte.

  • Comprendre l’étendue de la violation :

    Passez en revue les octrois de consentement à l’application effectuée par les utilisateurs et les administrateurs. Examinez toutes les activités effectuées par l’application, en particulier l’accès à la boîte aux lettres des utilisateurs et comptes d’administrateur associés. Si vous pensez que l’application est suspecte, envisagez de désactiver l’application et de faire pivoter les informations d’identification de tous les comptes affectés.

Activité suspecte de messagerie d’application OAuth via l’API EWS

Gravité: Elevée

Cette détection génère des alertes pour les applications OAuth mutualisées, inscrites par les utilisateurs disposant d’une connexion à haut risque, qui a effectué des appels à l’API EWS (Microsoft Exchange Web Services) pour effectuer des activités de messagerie suspectes dans un court délai.

Cette détection vérifie si les appels d’API ont été effectués pour mettre à jour les règles de boîte de réception, déplacer des éléments, supprimer un e-mail, supprimer un dossier ou supprimer une pièce jointe. Les applications qui déclenchent cette alerte peuvent être activement exfiltrantes ou supprimant des données confidentielles et désactivant les pistes pour échapper à la détection.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que la création de l’application et la demande de consentement à l’application a été remise à partir d’une source inconnue ou externe et que l’application n’a pas d’utilisation professionnelle légitime dans l’organisation, un vrai positif est indiqué.

  Action recommandée :

  • Contactez les utilisateurs et les administrateurs qui ont accordé le consentement à cette application pour confirmer que cela était intentionnel et que les privilèges excessifs sont normaux.

  • Examinez l’activité de l’application et case activée comptes affectés pour une activité suspecte.

  • En fonction de votre examen, désactivez l’application et suspendez et réinitialisez les mots de passe pour tous les comptes affectés et supprimez la règle de la boîte de réception.

  • Classifiez l’alerte comme un vrai positif.

• FP : Si une fois l’examen terminé, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation, un faux positif est indiqué.

  Action recommandée :

  • Classifiez l’alerte comme un faux positif et envisagez de partager un retour d’expérience en fonction de votre examen de l’alerte.

  • Comprendre l’étendue de la violation :

    Passez en revue les octrois de consentement à l’application effectuée par les utilisateurs et les administrateurs. Examinez toutes les activités effectuées par l’application, en particulier l’accès à la boîte aux lettres des utilisateurs et comptes d’administrateur associés. Si vous pensez que l’application est suspecte, envisagez de désactiver l’application et de faire pivoter les informations d’identification de tous les comptes affectés.

Alertes d’élévation des privilèges

L’application OAuth avec des métadonnées suspectes dispose de l’autorisation Exchange

Gravité : Moyenne

ID MITRE : T1078

Cette alerte est déclenchée lorsqu’une application métier avec des métadonnées suspectes a le privilège de gérer l’autorisation sur Exchange.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que l’application OAuth est remise à partir d’une source inconnue, et redirige vers une URL suspecte, et a des caractéristiques de métadonnées suspectes, puis un vrai positif est indiqué.

Action recommandée : Révoquer les consentements accordés à l’application et désactiver l’application.

FP : Si une fois l’examen terminé, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation.

Action recommandée : Ignorer l’alerte

Comprendre l’étendue de la violation

1. Examinez toutes les activités effectuées par l’application.
2. Examinez les étendues accordées par l’application.
3. Révisez l’activité utilisateur associée avec l’application.

Alertes d’évasion de défense

Application d’usurpation d’identité d’un logo Microsoft

Gravité : Moyenne

Une application cloud non-Microsoft utilise un logo trouvé par un algorithme d’apprentissage automatique similaire à un logo Microsoft. Il peut s’agir d’une tentative d’usurpation d’identité des produits logiciels Microsoft et d’apparaître légitime.

Remarque

Les administrateurs de locataires devront fournir le consentement via une fenêtre contextuelle pour que les données requises soient envoyées en dehors de la limite de conformité actuelle et sélectionner des équipes partenaires au sein de Microsoft afin d’activer cette détection des menaces pour les applications métier.

TP ou FP ?

• TP : Si vous pouvez confirmer que le logo de l’application est une imitation d’un logo Microsoft et que le comportement de l’application est suspect. 

  Action recommandée : Révoquer les consentements accordés à l’application et désactiver l’application.

• FP : Si vous pouvez confirmer que le logo de l’application n’est pas une imitation d’un logo Microsoft ou qu’aucune activité inhabituelle n’a été effectuée par l’application. 

  Action recommandée : Ignorer l’alerte

Comprendre l’étendue de la violation

1. Révisez toutes les activités effectuées par l’application.
2. Révisez les étendues accordées à l’application.
3. Révisez l’activité utilisateur associée avec l’application.

L’application est associée à un domaine typosquatté

Gravité : Moyenne

Cette détection génère des alertes pour les applications OAuth non-Microsoft avec des domaines d’éditeur ou des URL de redirection qui contiennent des versions typosquatées des noms de marques Microsoft. La typosquatting est généralement utilisée pour capturer le trafic vers des sites chaque fois que les utilisateurs inadvertancent des URL de type incorrect, mais ils peuvent également être utilisés pour usurper l’identité des produits et services logiciels populaires.

TP ou FP ?

• TP : Si vous pouvez confirmer que le domaine de l’éditeur ou l’URL de redirection de l’application est typosquatté et n’est pas lié à la véritable identité de l’application.

  Action recommandée :

  • Examinez les détails de l’inscription de l’application sur la gouvernance des applications et visitez Microsoft Entra ID pour plus de détails.
  • Vérifiez l’application pour obtenir d’autres signes d’emprunt ou d’usurpation d’identité ou d’emprunt d’identité et toute activité suspecte.
  • Vérifiez si l’application est critique pour votre organisation avant d’envisager des actions de confinement. Désactivez l’application à l’aide de la gouvernance des applications pour l’empêcher d’accéder aux ressources. Les stratégies de gouvernance des applications existantes peuvent avoir déjà désactivé l’application.

• FP : Si vous pouvez confirmer que le domaine de l’éditeur et l’URL de redirection de l’application sont légitimes. 

  Action recommandée : Classifiez l’alerte comme un faux positif et envisagez de partager un retour d’expérience en fonction de votre examen de l’alerte.

Comprendre l’étendue de la violation

1. Révisez toutes les activités effectuées par l’application.
2. Révisez les étendues accordées à l’application.
3. Révisez l’activité utilisateur associée avec l’application.

Accès aux informations d’identification

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de lire des données d’informations d’identification sensibles et se compose de techniques pour voler des informations d’identification telles que les noms de compte, les secrets, les jetons, les certificats et les mots de passe de votre organisation.

Application qui lance plusieurs échecs d’activité de lecture KeyVault sans succès

Gravité : moyenne

ID MITRE : T1078.004

Cette détection identifie une application dans votre locataire qui a été observée lors de plusieurs appels d’action de lecture à keyVault à l’aide de l’API Azure Resource Manager dans un intervalle court, avec uniquement des échecs et aucune activité de lecture réussie en cours d’exécution.

TP ou FP ?

• TP : Si l’application est inconnue ou n’est pas utilisée, l’activité donnée est potentiellement suspecte. Après avoir vérifié la ressource Azure utilisée et validé l’utilisation de l’application dans le locataire, l’activité donnée peut nécessiter la désactivation de l’application. Il s’agit généralement d’une preuve de suspicion d’activité d’énumération par rapport à la ressource KeyVault pour accéder aux informations d’identification pour le déplacement latéral ou l’escalade des privilèges.

  Actions recommandées : passez en revue les ressources Azure accessibles ou créées par l’application et toutes les modifications récentes apportées à l’application. En fonction de votre enquête, choisissez si vous souhaitez interdire l’accès à cette application. Passez en revue le niveau d’autorisation demandé par cette application et les utilisateurs qui ont accordé l’accès.

• FP : Si, après enquête, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue l’accès et l’activité de l’application.
2. Examinez toutes les activités effectuées par l’application depuis sa création.
3. Passez en revue les étendues accordées par l’application dans l’API Graph et le rôle qui lui est accordé dans votre abonnement.
4. Passez en revue tous les utilisateurs qui ont pu accéder à l’application avant l’activité.

Alertes de découverte

Énumération de lecteur effectuée par l’application

Gravité : Moyenne

ID MITRE : T1087

Cette détection identifie une application OAuth détectée par le modèle d’apprentissage automatique effectuant une énumération sur des fichiers OneDrive à l’aide de l’API Graph.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que des activités inhabituelles / utilisation de OneDrive ont été effectuées par l’application métier (LOB) via API Graph.

  Action recommandée : Désactivez et supprimez l’application et réinitialisez le mot de passe.

• FP : Si vous pouvez confirmer qu’aucune activité inhabituelle n’a été effectuée par l’application.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Révisez toutes les activités effectuées par cette application.
2. Examinez les étendues accordées par l’application.
3. Révisez l’activité utilisateur associée avec cette application.

Activités d’énumération suspectes effectuées à l’aide de Microsoft Graph PowerShell

Gravité : Moyenne

ID MITRE : T1087

Cette détection identifie un grand volume d’activités d’énumération suspectes effectuées dans un court intervalle de temps via une application Microsoft Graph PowerShell.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que les activités d’énumération suspectes/inhabituelles ont été effectuées par l’application Microsoft Graph PowerShell.

  Action recommandée : Désactivez et supprimez l’application et réinitialisez le mot de passe.

• FP : Si vous pouvez confirmer qu’aucune activité inhabituelle n’a été effectuée par l’application.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Révisez toutes les activités effectuées par cette application.
2. Révisez l’activité utilisateur associée avec cette application.

L’application multiclient récemment créée énumère fréquemment les informations des utilisateurs

Gravité : Moyenne

ID MITRE : T1087

Cette alerte recherche les applications OAuth inscrites récemment dans un locataire relativement nouveau de serveur de publication avec les autorisations nécessaires pour modifier les paramètres de boîte aux lettres et accéder aux e-mails. Il vérifie si l’application a effectué de nombreux appels à l’API Microsoft Graph demandant des informations d’annuaire utilisateur. Les applications qui déclenchent cette alerte peuvent entraîner l’octroi du consentement aux utilisateurs afin qu’ils puissent accéder aux données organisationnelles.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que la demande de consentement à l’application a été remise à partir d’une source inconnue ou externe et que l’application n’a pas d’utilisation professionnelle légitime dans l’organisation, un vrai positif est indiqué.

  Action recommandée :

  • Contactez les utilisateurs et les administrateurs qui ont accordé le consentement à cette application pour confirmer que cela était intentionnel et que les privilèges excessifs sont normaux.
  • Examinez l’activité de l’application et case activée comptes affectés pour une activité suspecte.
  • En fonction de votre examen, désactivez l’application et suspendez et réinitialisez les mots de passe pour tous les comptes affectés.
  • Classifiez l’alerte comme un vrai positif.

• FP : Si une fois l’examen terminé, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation, un faux positif est indiqué.

  Action recommandée : Classifiez l’alerte comme un faux positif et envisagez de partager un retour d’expérience en fonction de votre examen de l’alerte.

Comprendre l’étendue de la violation

Passez en revue les octrois de consentement à l’application effectuée par les utilisateurs et les administrateurs. Examinez toutes les activités effectuées par l’application, en particulier l’énumération des informations d’annuaire utilisateur. Si vous pensez que l’application est suspecte, envisagez de désactiver l’application et de faire pivoter les informations d’identification de tous les comptes affectés.

Alertes d’exfiltration

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de voler des données intéressantes à leur objectif de votre organisation.

Application OAuth à l’aide d’un agent utilisateur inhabituel

Gravité : Faible

ID MITRE : T1567

Cette détection identifie une application OAuth qui utilise un agent utilisateur inhabituel pour accéder à l’API Graph.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que l’application OAuth a récemment commencé à utiliser un nouvel agent utilisateur qui n’a pas été utilisé précédemment et que cette modification est inattendue, un vrai positif est indiqué.

  Actions recommandées : Révisez les agents utilisateur utilisés et les modifications récentes apportées à l’application. En fonction de votre examen, vous pouvez choisir d’interdire l’accès à cette application. Révisez le niveau d’autorisation demandé par cette application et les utilisateurs auxquels l’accès est accordé.

• FP : Si une fois l’examen terminé, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Révisez les applications créées récemment et les agents utilisateur utilisés.
2. Examinez toutes les activités effectuées par l’application. 
3. Examinez les étendues accordées par l’application. 

Application avec un agent utilisateur inhabituel a accédé aux données email via les services web Exchange

Gravité: Elevée

ID MITRE : T1114, T1567

Cette détection identifie une application OAuth qui a utilisé un agent utilisateur inhabituel pour accéder aux données email à l’aide de l’API des services web Exchange.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que l’application OAuth n’est pas censée modifier l’agent utilisateur qu’elle utilise pour effectuer des demandes à l’API des services web Exchange, un vrai positif est indiqué.

  Actions recommandées : Classifiez l’alerte en tant que TP. En fonction de l’examen, si l’application est malveillante, vous pouvez révoquer les consentements et désactiver l’application dans le client. S’il s’agit d’une application compromise, vous pouvez révoquer les consentements, désactiver temporairement l’application, passer en revue les autorisations, réinitialiser le secret et le certificat, puis réactiver l’application.

• FP : Si une fois l’examen terminé, vous pouvez confirmer que l’agent utilisateur utilisé par l’application dispose d’une utilisation professionnelle légitime dans l’organisation.

  Action recommandée : Classifiez l’alerte en tant que FP. En outre, envisagez de partager un retour d’expérience en fonction de votre examen de l’alerte.

Comprendre l’étendue de la violation

1. Examinez si l’application a été nouvellement créée ou a eu des modifications récentes apportées à celle-ci.
2. Examinez les autorisations accordées à l’application et aux utilisateurs qui y ont consenti.
3. Examinez toutes les activités effectuées par l’application.

Alertes de mouvement latéral

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter ultérieurement de se déplacer dans différentes ressources, tout en pivotant dans plusieurs systèmes et comptes afin d’obtenir plus de contrôle dans votre organisation.

Des Application OAuth dormantes principalement à l’aide de MS Graph ou des services web Exchange récemment considérés comme accédant aux charges de travail ARM

Gravité : moyenne

ID MITRE : T1078.004

Cette détection identifie une application dans votre locataire qui a, après une longue période d’activité dormante, a commencé à accéder à l’API Azure Resource Manager pour la première fois. Auparavant, cette application utilisait principalement MS Graph ou Exchange Web Service.

TP ou FP ?

• TP : Si l’application est inconnue ou n’est pas utilisée, l’activité donnée est potentiellement suspecte et peut nécessiter la désactivation de l’application, après avoir vérifié l’utilisation de la ressource Azure et validé l’utilisation de l’application dans le locataire.

  Actions recommandées :

  1. Passez en revue les ressources Azure accessibles ou créées par l’application et toutes les modifications récentes apportées à l’application.
  2. Révisez le niveau d’autorisation demandé par cette application et les utilisateurs auxquels l’accès est accordé.
  3. En fonction de votre enquête, choisissez si vous souhaitez interdire l’accès à cette application.

• FP : Si, après enquête, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Passez en revue l’accès et l’activité de l’application.
2. Examinez toutes les activités effectuées par l’application depuis sa création.
3. Passez en revue les étendues accordées par l’application dans l’API Graph et le rôle qui lui est accordé dans votre abonnement.
4. Passez en revue tous les utilisateurs qui ont pu accéder à l’application avant l’activité.

Alertes de collection

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de collecter des données intéressantes à leur objectif de votre organisation.

L’application a effectué des activités de recherche par email inhabituelles

Gravité : Moyenne

ID MITRE : T1114

Cette détection identifie lorsqu’une application a consenti à une étendue OAuth suspecte et a effectué un volume élevé d’activités de recherche de courrier inhabituelles, telles que la recherche par e-mail de contenu spécifique via l’API Graph. Cela peut indiquer une tentative de violation de votre organisation, comme les adversaires qui tentent de rechercher et lire des e-mails spécifiques de votre organisation via l’API Graph. 

TP ou FP ?

• TP : Si vous pouvez confirmer un volume élevé d’activités inhabituelles de recherche par e-mail et lire des activités via l’API Graph par une application OAuth avec une étendue OAuth suspecte et que l’application est remise à partir d’une source inconnue.

  Actions recommandées : Désactivez et supprimez l’application, réinitialisez le mot de passe et supprimez la règle de boîte de réception. 

• FP : Si vous pouvez confirmer que l’application a effectué un volume élevé de recherches de courrier inhabituelles et que vous lisez l’API Graph pour des raisons légitimes.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Examinez les étendues accordées par l’application.
2. Examinez toutes les activités effectuées par l’application. 

L’application a effectué des appels Graph anormaux pour lire l’email

Gravité : Moyenne

ID MITRE : T1114

Cette détection identifie quand l’application métier (LOB) Application OAuth accède à un volume inhabituel et élevé de dossiers et de messages de messagerie de l’utilisateur via l’API Graph, ce qui peut indiquer une tentative de violation de votre organisation.

TP ou FP ?

• TP : Si vous pouvez confirmer que l’activité de graphique inhabituelle a été effectuée par l’Application OAuth métier, un vrai positif est indiqué.

  Actions recommandées : Désactivez temporairement l’application et réinitialisez le mot de passe, puis réactivez l’application. Suivez le tutoriel sur la réinitialisation d’un mot de passe à l’aide de Microsoft Entra ID.

• FP : Si vous pouvez confirmer que l’application est destinée à effectuer un volume anormalement élevé d’appels de graphique.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Révisez le journal d’activité des événements effectués par cette application pour mieux comprendre les autres activités Graph pour lire les e-mails et tenter de collecter des informations sensibles sur les e-mails des utilisateurs.
2. Surveillez l’ajout d’informations d’identification inattendues à l’application.

L’application crée une règle de boîte de réception et effectue des activités de recherche de courrier inhabituelles

Gravité : Moyenne

ID MITRE : T1137, T1114

Cette détection identifie l’application consentée à une étendue de privilège élevée, crée une règle de boîte de réception suspecte et effectue des activités de recherche de courrier inhabituelles dans les dossiers de messagerie des utilisateurs via l’API Graph. Cela peut indiquer une tentative de violation de votre organisation, comme les adversaires qui tentent de rechercher et de collecter des e-mails spécifiques de votre organisation via l’API Graph.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer la recherche et la collecte d’e-mails spécifiques effectuées via l’API Graph par une application OAuth avec une étendue de privilège élevée, et que l’application est remise à partir d’une source inconnue.

  Action recommandée : Désactivez et supprimez l’application, réinitialisez le mot de passe et supprimez la règle de boîte de réception.

• FP : Si vous êtes en mesure de confirmer que l’application a effectué une recherche et un regroupement de courriers électroniques spécifiques via l’API Graph et créé une règle de boîte de réception sur un compte de messagerie externe nouveau ou personnel pour des raisons légitimes.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation

1. Examinez toutes les activités effectuées par l’application.
2. Examinez les étendues accordées par l’application.
3. Examinez l’action de règle de boîte de réception créées par l’application.
4. Examinez les activités de recherche par email effectuées par l’application.

L’application a créé des activités de recherche OneDrive / SharePoint et créé une règle de boîte de réception

Gravité : Moyenne

ID MITRE : T1137, T1213

Cette détection identifie qu’une application a consenti à une étendue de privilèges élevés, créé une règle de boîte de réception suspecte et fait des activités de recherche SharePoint ou OneDrive inhabituelles via l’API Graph. Cela peut indiquer une tentative de violation de votre organisation, comme les adversaires qui tentent de rechercher et de collecter des données spécifiques à partir de SharePoint ou OneDrive à partir de votre organisation via l’API Graph. 

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer tout donnée spécifique d’une recherche et collecte SharePoint ou OneDrive effectuées via l’API Graph par une application OAuth avec une étendue de privilège élevée, et que l’application est remise à partir d’une source inconnue. 

  Action recommandée : Désactivez et supprimez l’application, réinitialisez le mot de passe et supprimez la règle de boîte de réception. 

• FP : Si vous êtes en mesure de confirmer que l’application a effectué des données spécifiques à partir de la recherche et de la collecte SharePoint ou OneDrive via Graph API par une application OAuth et créé une règle de boîte de réception pour un compte de messagerie externe nouveau ou personnel pour des raisons légitimes. 

  Action recommandée : Ignorer l’alerte

Comprendre l’étendue de la violation

1. Examinez toutes les activités effectuées par l’application. 
2. Examinez les étendues accordées par l’application. 
3. Examinez l’action de règle de boîte de réception créées par l’application. 
4. Examinez les activités de recherche SharePoint ou OneDrive effectuées par l’application.

L’application a effectué de nombreuses recherches et modifications dans OneDrive

Gravité : Moyenne

ID MITRE : T1137, T1213

Cette détection identifie les applications OAuth avec des autorisations de privilèges élevés qui effectuent un grand nombre de recherches et de modifications dans OneDrive à l’aide de l’API Graph.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer qu’une utilisation élevée de la charge de travail OneDrive via l’API Graph n’est pas attendue de cette application OAuth disposant d’autorisations de privilèges élevés pour lire et écrire dans OneDrive, un vrai positif est indiqué.

  Action recommandée: En fonction de l’examen, si l’application est malveillante, vous pouvez révoquer les consentements et désactiver l’application dans le client. S’il s’agit d’une application compromise, vous pouvez révoquer les consentements, désactiver temporairement l’application, passer en revue les autorisations requises, réinitialiser le mot de passe, puis réactiver l’application.

• FP : Si une fois l’examen terminé, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation.

  Action recommandée : Résolvez l’alerte et signalez vos résultats.

Comprendre l’étendue de la violation

1. Vérifiez si l’application provient d’une source fiable.
2. Vérifiez si l’application a été nouvellement créée ou a eu des modifications récentes apportées à celle-ci.
3. Examinez les autorisations accordées à l’application et aux utilisateurs qui y ont consenti.
4. Examinez toutes les autres activités d’application.

L’application a rendu un volume élevé de lectures de courrier d’importance et créé une règle de boîte de réception

Gravité : Moyenne

ID MITRE : T1137, T1114

Cette détection identifie qu’une application a consenti à une étendue de privilèges élevés, crée une règle de boîte de réception suspecte et fait un volume élevé d’activités de lecture de courrier importantes via l’API Graph. Cela peut indiquer une tentative de violation de votre organisation, par exemple des adversaires qui tentent de lire des e-mails de haute importance de votre organisation via l’API Graph. 

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer qu’un volume élevé d’e-mails importants est lu à travers Graph API par une application OAuth avec une portée de privilège élevée, et que l’application est livrée à partir d’une source inconnue. 

  Action recommandée : Désactivez et supprimez l’application, réinitialisez le mot de passe et supprimez la règle de boîte de réception. 

• FP : Si vous êtes en mesure de confirmer que l’application a effectué un volume élevé d’e-mails importants lus via Graph API et créé une règle de boîte de réception vers un nouveau compte de messagerie externe ou personnel pour des raisons légitimes. 

  Action recommandée : Ignorer l’alerte

Comprendre l’étendue de la violation

1. Examinez toutes les activités effectuées par l’application. 
2. Examinez les étendues accordées par l’application. 
3. Examinez l’action de règle de boîte de réception créées par l’application. 
4. Révisez toute activité de lecture de courrier de grande importance effectuée par l’application.

Une application privilégiée a effectué des activités inhabituelles dans Teams

Gravité : Moyenne

Cette détection identifie les applications consentées à des étendues OAuth à privilège élevé, qui ont accédé à Microsoft Teams et ont effectué un volume inhabituel d’activités de lecture ou de publication de messages de conversation via l’API Graph. Cela peut indiquer une tentative de violation de votre organisation, par exemple des adversaires tentant de recueillir des informations auprès de votre organisation via l’API Graph.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que des activités de message de chat inhabituelles dans Microsoft Teams via l’API Graph par une application OAuth avec une portée de privilège élevé, et l’application est livrée à partir d’une source inconnue.

  Action recommandée : Désactivez et supprimez l’application et réinitialisez le mot de passe

• FP : Si vous êtes en mesure de confirmer que les activités inhabituelles effectuées dans Microsoft Teams via l’API Graph étaient pour des raisons légitimes.

  Action recommandée : Ignorer l’alerte

Comprendre l’étendue de la violation

1. Examinez les étendues accordées par l’application.
2. Examinez toutes les activités effectuées par l’application.
3. Révisez l’activité utilisateur associée avec l’application.

Activité OneDrive anormale par application qui vient de mettre à jour ou d’ajouter de nouveaux identifiants

Gravité : Moyenne

ID MITRE : T1098.001, T1213

Une application cloud non-Microsoft a effectué des appels anormaux de l’API Graph à OneDrive, y compris la consommation de données volumineuses. Détectées par l’apprentissage automatique, ces appels d’API inhabituels ont été effectués dans les quelques jours suivant l’ajout ou la mise à jour des certificats/secrets existants de l’application. Cette application peut être impliquée dans l’exfiltration de données ou d’autres tentatives d’accès et de récupération d’informations sensibles.

TP ou FP ?

• TP : Si vous pouvez confirmer que des activités inhabituelles, telles que l’utilisation à volume élevé de la charge de travail OneDrive, ont été effectuées par l’application via l’API Graph.

  Action recommandée : Désactivez temporairement l’application, réinitialisez le mot de passe, puis réactivez l’application.

• FP : Si vous pouvez confirmer qu’aucune activité inhabituelle n’a été effectuée par l’application ou que l’application est destinée à réaliser un volume anormalement élevé d’appels Graph.

  Action recommandée : Ignorer l’alerte

Comprendre l’étendue de la violation

1. Révisez toutes les activités effectuées par l’application.
2. Examinez les étendues accordées par l’application.
3. Révisez l’activité utilisateur associée avec l’application.

Activité SharePoint anormale par application qui vient de mettre à jour ou d’ajouter de nouveaux identifiants

Gravité : Moyenne

ID MITRE : T1098.001, T1213.002

Une application cloud non-Microsoft a effectué des appels anormaux de l’API Graph à SharePoint, y compris la consommation de données volumineuses. Détectées par l’apprentissage automatique, ces appels d’API inhabituels ont été effectués dans les quelques jours suivant l’ajout ou la mise à jour des certificats/secrets existants de l’application. Cette application peut être impliquée dans l’exfiltration de données ou d’autres tentatives d’accès et de récupération d’informations sensibles.

TP ou FP ?

• TP : Si vous pouvez confirmer que des activités inhabituelles, telles que l’utilisation à volume élevé de la charge de travail SharePoint, ont été effectuées par l’application via l’API Graph.

  Action recommandée : Désactivez temporairement l’application, réinitialisez le mot de passe, puis réactivez l’application.

• FP : Si vous pouvez confirmer qu’aucune activité inhabituelle n’a été effectuée par l’application ou que l’application est destinée à réaliser un volume anormalement élevé d’appels Graph.

  Action recommandée : Ignorer l’alerte

Comprendre l’étendue de la violation

1. Révisez toutes les activités effectuées par l’application.
2. Examinez les étendues accordées par l’application.
3. Révisez l’activité utilisateur associée avec l’application.

Métadonnées d’application associées à une activité suspecte liée à la messagerie

Gravité : Moyenne

ID MITRE : T1114

Cette détection génère des alertes pour les applications OAuth non-Microsoft avec des métadonnées, telles que le nom, l’URL ou l’éditeur, qui avaient déjà été observées dans des applications avec une activité suspecte liée au courrier. Cette application peut faire partie d’une campagne d’attaque et être impliquée dans l’exfiltration d’informations sensibles.

TP ou FP ?

• TP : Si vous pouvez confirmer que l’application a créé des règles de boîte aux lettres ou effectué un grand nombre d’appels d’API Graph inhabituels à la charge de travail Exchange.

  Action recommandée :

  • Examinez les détails de l’inscription de l’application sur la gouvernance des applications et visitez Microsoft Entra ID pour plus de détails.
  • Contactez les utilisateurs ou administrateurs qui ont accordé le consentement ou les autorisations à l’application. Vérifiez si les modifications étaient intentionnelles.
  • Recherchez la table de repérage avancé CloudAppEvents pour comprendre l’activité de l’application et identifier les données accessibles par l’application. Vérifiez les boîtes aux lettres affectées et passez en revue les messages susceptibles d’avoir été lus ou transférés par l’application elle-même ou les règles qu’elle a créées.
  • Vérifiez si l’application est critique pour votre organisation avant d’envisager des actions de confinement. Désactivez l’application à l’aide de la gouvernance d’application ou de Microsoft Entra ID pour l’empêcher d’accéder aux ressources. Les stratégies de gouvernance des applications existantes peuvent avoir déjà désactivé l’application.

• FP : Si vous pouvez confirmer qu’aucune activité inhabituelle n’a été effectuée par l’application et que l’application a une utilisation commerciale légitime dans l’organisation.

  Action recommandée : Ignorer l’alerte

Comprendre l’étendue de la violation

1. Révisez toutes les activités effectuées par l’application.
2. Révisez les étendues accordées à l’application.
3. Révisez l’activité utilisateur associée avec l’application.

Application avec autorisations d’application EWS accédant à de nombreux e-mails

Gravité : Moyenne

ID MITRE : T1114

Cette détection génère des alertes pour les applications cloud mutualisée avec des autorisations d’application EWS montrant une augmentation significative des appels à l’API services web Exchange qui sont spécifiques à l’énumération et à la collecte de messages électroniques. Cette application peut être impliquée dans l’accès et la récupération de données de courrier sensibles.

TP ou FP ?

• TP : Si vous pouvez confirmer que l’application a accédé aux données de messagerie sensibles ou effectué un grand nombre d’appels inhabituels à la charge de travail Exchange.

  Action recommandée :

  • Examinez les détails de l’inscription de l’application sur la gouvernance des applications et visitez Microsoft Entra ID pour plus de détails.
  • Contactez les utilisateurs ou administrateurs qui ont accordé le consentement ou les autorisations à l’application. Vérifiez si les modifications étaient intentionnelles.
  • Recherchez la table de repérage avancé CloudAppEvents pour comprendre l’activité de l’application et identifier les données accessibles par l’application. Vérifiez les boîtes aux lettres affectées et passez en revue les messages susceptibles d’avoir été lus ou transférés par l’application elle-même ou les règles qu’elle a créées.
  • Vérifiez si l’application est critique pour votre organisation avant d’envisager des actions de confinement. Désactivez l’application à l’aide de la gouvernance d’application ou de Microsoft Entra ID pour l’empêcher d’accéder aux ressources. Les stratégies de gouvernance des applications existantes peuvent avoir déjà désactivé l’application.

• FP : Si vous pouvez confirmer qu’aucune activité inhabituelle n’a été effectuée par l’application et que l’application a une utilisation commerciale légitime dans l’organisation.

  Action recommandée : Ignorer l’alerte

Comprendre l’étendue de la violation

1. Révisez toutes les activités effectuées par l’application.
2. Révisez les étendues accordées à l’application.
3. Révisez l’activité utilisateur associée avec l’application.

Application inutilisée qui vient d’accéder aux API

Gravité : moyenne

ID MITRE : T1530

Cette détection génère des alertes pour une application cloud mutualisée qui a été inactive depuis un certain temps et a récemment commencé à effectuer des appels d’API. Cette application peut être compromise par un attaquant et être utilisée pour accéder aux données sensibles et les récupérer.

TP ou FP ?

• TP : Si vous pouvez confirmer que l’application a accédé aux données sensibles ou effectué un grand nombre d’appels inhabituels aux charges de travail Microsoft Graph, Exchange ou Azure Resource Manager.

  Action recommandée :

  • Examinez les détails de l’inscription de l’application sur la gouvernance des applications et visitez Microsoft Entra ID pour plus de détails.
  • Contactez les utilisateurs ou administrateurs qui ont accordé le consentement ou les autorisations à l’application. Vérifiez si les modifications étaient intentionnelles.
  • Recherchez la table de repérage avancé CloudAppEvents pour comprendre l’activité de l’application et identifier les données accessibles par l’application. Vérifiez les boîtes aux lettres affectées et passez en revue les messages susceptibles d’avoir été lus ou transférés par l’application elle-même ou les règles qu’elle a créées.
  • Vérifiez si l’application est critique pour votre organisation avant d’envisager des actions de confinement. Désactivez l’application à l’aide de la gouvernance d’application ou de Microsoft Entra ID pour l’empêcher d’accéder aux ressources. Les stratégies de gouvernance des applications existantes peuvent avoir déjà désactivé l’application.

• FP : Si vous pouvez confirmer qu’aucune activité inhabituelle n’a été effectuée par l’application et que l’application a une utilisation commerciale légitime dans l’organisation.

  Action recommandée : Ignorer l’alerte

Comprendre l’étendue de la violation

1. Révisez toutes les activités effectuées par l’application.
2. Révisez les étendues accordées à l’application.
3. Révisez l’activité utilisateur associée avec l’application.

Alertes d’impact

Cette section décrit les alertes indiquant qu’un acteur malveillant peut tenter de manipuler, interrompre ou détruire vos systèmes et données de votre organisation.

L’application Line-of-Business Entra lance un pic anormal de création de machine virtuelle

Gravité : Moyenne

ID MITRE : T1496

Cette détection identifie une nouvelle application OAuth à locataire unique qui crée la majeure partie d’Azure Machines Virtuelles dans votre locataire à l’aide de l’API Azure Resource Manager.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que l’application OAuth a récemment été créée et crée un grand nombre d’Machines Virtuelles dans votre client, un vrai positif est indiqué.

  Actions recommandées : Révisez les machines virtuelles créées et toute modification récente apportée à l’application. En fonction de votre examen, vous pouvez choisir d’interdire l’accès à cette application. Révisez le niveau d’autorisation demandé par cette application et les utilisateurs auxquels l’accès est accordé.

• FP : Si une fois l’examen terminé, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation :

1. Examinez les applications créées récemment et les machines virtuelles créées.
2. Examinez toutes les activités effectuées par l’application depuis sa création.
3. Examinez les étendues accordées par l’application dans l’API Graph et le rôle qui lui sont accordés dans votre abonnement.

L’application OAuth avec des privilèges d’étendue élevée dans Microsoft Graph a été observée lors de la création de machines virtuelles

Gravité : Moyenne

ID MITRE : T1496

Cette détection identifie l’application OAuth qui crée une grande partie d’Azure Machines Virtuelles dans votre locataire à l’aide de l’API Azure Resource Manager tout en disposant de privilèges élevés dans le locataire via l’API MS Graph avant l’activité.

TP ou FP ?

• TP : Si vous êtes en mesure de confirmer que l’application OAuth ayant des étendues de privilèges élevés a été créée et crée un grand nombre de Machines Virtuelles dans votre locataire, un vrai positif est indiqué.

  Actions recommandées : Révisez les machines virtuelles créées et toute modification récente apportée à l’application. En fonction de votre examen, vous pouvez choisir d’interdire l’accès à cette application. Révisez le niveau d’autorisation demandé par cette application et les utilisateurs auxquels l’accès est accordé.

• FP : Si une fois l’examen terminé, vous pouvez confirmer que l’application dispose d’une utilisation professionnelle légitime dans l’organisation.

  Action recommandée : ignorer l’alerte.

Comprendre l’étendue de la violation :

1. Examinez les applications créées récemment et les machines virtuelles créées.
2. Examinez toutes les activités effectuées par l’application depuis sa création.
3. Examinez les étendues accordées par l’application dans l’API Graph et le rôle qui lui sont accordés dans votre abonnement.

Étapes suivantes

Gérer les alertes de la gouvernance des applications