Alkalmazásirányítási fenyegetésészlelési riasztások vizsgálata

Az alkalmazásszabályozás biztonsági észleléseket és riasztásokat biztosít a rosszindulatú tevékenységekhez. Ez a cikk felsorolja az egyes riasztások részleteit, amelyek segíthetik a vizsgálatot és a szervizelést, beleértve a riasztások aktiválásának feltételeit is. Mivel a fenyegetésészlelések természetüknél fogva nem determinisztikusak, csak akkor aktiválódnak, ha a viselkedés eltér a normától.

További információ: Alkalmazásszabályozás a Felhőhöz készült Microsoft Defender-alkalmazásokban

Feljegyzés

Az alkalmazásirányítási fenyegetésészlelések az átmeneti és nem tárolható adatokon végzett tevékenységek számlálásán alapulnak, ezért a riasztások a tevékenységek számát vagy a kiugró értékek jelzését adhatják meg, de nem feltétlenül az összes releváns adatot. Az OAuth-alkalmazások Graph API-tevékenységeihez a bérlő saját maga is naplózhatja a tevékenységeket a Log Analytics és a Sentinel használatával.

További információk:

• Microsoft Graph-tevékenységnaplók elérése
• Tevékenységnaplók elemzése a Log Analytics használatával

MITRE ATT&CK

Az alkalmazásirányítási riasztások és a jól ismert MITRE ATT&CK-mátrix közötti kapcsolat egyszerűbb feltérképezése érdekében kategorizáltuk a riasztásokat a megfelelő MITRE ATT&CK-taktikával. Ez a további hivatkozás megkönnyíti az alkalmazásirányítási riasztások aktiválásakor esetleg használt gyanús támadási technikák megértését.

Ez az útmutató az alkalmazásszabályozási riasztások vizsgálatával és szervizelésével kapcsolatos információkat nyújt az alábbi kategóriákban.

• Kezdeti hozzáférés
• Futtatási
• Kitartás
• Jogosultság eszkalációja
• Védelmi kijátszás
• Hitelesítő adatok elérése
• Felfedezés
• Oldalirányú mozgás
• Gyűjtemény
• Exfiltration
• Hatás

Biztonsági riasztások besorolása

A megfelelő vizsgálatot követően az alkalmazásirányítási riasztások az alábbi tevékenységtípusok egyikének minősíthetők:

• Valódi pozitív (TP): Riasztás egy megerősített rosszindulatú tevékenységről.
• Jóindulatú valódi pozitív (B-TP): Riasztás gyanús, de nem rosszindulatú tevékenységről, például behatolási tesztről vagy más engedélyezett gyanús műveletről.
• Hamis pozitív (FP): Riasztás egy nem rosszindulatú tevékenységről.

Általános vizsgálati lépések

Az ajánlott művelet alkalmazása előtt használja az alábbi általános irányelveket, amikor bármilyen típusú riasztást vizsgál, hogy jobban megértse a lehetséges fenyegetést.

• Tekintse át az alkalmazás súlyossági szintjét, és hasonlítsa össze a bérlő többi alkalmazásával. Ez a felülvizsgálat segít azonosítani, hogy a bérlő mely alkalmazásai jelentik a nagyobb kockázatot.

• Ha azonosít egy TP-t, tekintse át az összes alkalmazástevékenységet a hatás megértéséhez. Tekintse át például a következő alkalmazásinformációkat:

  • Hozzáféréssel rendelkező hatókörök
  • Szokatlan viselkedés
  • IP-cím és hely

Kezdeti hozzáférési riasztások

Ez a szakasz olyan riasztásokat ír le, amelyek azt jelzik, hogy egy rosszindulatú alkalmazás megpróbálhatja fenntartani a lábtartását a szervezetben.

Az alkalmazás átirányítása adathalász URL-címre az OAuth átirányítási biztonsági résének kihasználásával

Súlyosság: Közepes

Ez az észlelés azonosítja az adathalász URL-címekre átirányított OAuth-alkalmazásokat az OAuth-implementáció választípus-paraméterének a Microsoft Graph API-n keresztüli kihasználásával.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az OAuth-alkalmazás ismeretlen forrásból lett kézbesítve, az OAuth-alkalmazáshoz való hozzájárulást követően a válasz URL-cím választípusa érvénytelen kérést tartalmaz, és ismeretlen vagy nem megbízható válasz URL-címre irányít át.

  Ajánlott művelet: Az alkalmazás letiltása és eltávolítása, a jelszó alaphelyzetbe állítása és a beérkezett üzenetekre vonatkozó szabály eltávolítása. 

• FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet. 
2. Tekintse át az alkalmazás által megadott hatóköröket. 

OAuth-alkalmazás gyanús válasz URL-címmel

Súlyosság: Közepes

Ez az észlelés azonosítja, hogy egy OAuth-alkalmazás a Microsoft Graph API-n keresztül hozzáfért egy gyanús válasz URL-címhez.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az OAuth-alkalmazás ismeretlen forrásból származik, és gyanús URL-címre irányítja át, akkor a rendszer valódi pozitív értéket jelez. A gyanús URL-cím olyan, ahol az URL hírneve ismeretlen, nem megbízható, vagy akinek a tartományát nemrég regisztrálták, és az alkalmazáskérés magas jogosultsági hatókört igényel.

  Ajánlott művelet: Tekintse át az alkalmazás által kért válasz URL-címet, tartományokat és hatóköröket. A vizsgálat alapján dönthet úgy, hogy letiltja az alkalmazáshoz való hozzáférést. Tekintse át az alkalmazás által kért engedélyek szintjét, és hogy mely felhasználók kapnak hozzáférést.

  Az alkalmazáshoz való hozzáférés letiltásához nyissa meg az alkalmazás megfelelő lapját az Alkalmazásszabályozás lapon. Azon a sorban, amelyben a kitiltani kívánt alkalmazás megjelenik, válassza a tiltás ikont. Eldöntheti, hogy el szeretné-e mondani a felhasználóknak, hogy a telepített és engedélyezett alkalmazás ki lett tiltva. Az értesítés tájékoztatja a felhasználókat, hogy az alkalmazás le lesz tiltva, és nem lesz hozzáférésük a csatlakoztatott alkalmazáshoz. Ha nem szeretné, hogy tudják, a párbeszédpanelen törölje a jelölést azoknak a felhasználóknak, akik hozzáférést adtak ehhez a tiltott alkalmazáshoz . Javasoljuk, hogy tájékoztassa az alkalmazás felhasználóit, hogy az alkalmazás hamarosan ki lesz tiltva a használatból.

• FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át a közelmúltban létrehozott alkalmazásokat és a válasz URL-címeiket.

2. Tekintse át az alkalmazás által végzett összes tevékenységet. 

3. Tekintse át az alkalmazás által megadott hatóköröket. 

A közelmúltban létrehozott alkalmazáshoz alacsony a hozzájárulási arány

Súlyosság: Alacsony

Ez az észlelés azonosít egy olyan OAuth-alkalmazást, amelyet nemrég hoztak létre, és alacsony hozzájárulási arányt észleltek. Ez olyan rosszindulatú vagy kockázatos alkalmazásra utalhat, amely tiltott hozzájárulási engedélyekkel csábítja a felhasználókat.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az OAuth-alkalmazás ismeretlen forrásból származik, akkor a rendszer valódi pozitív értéket jelez.

  Javasolt művelet: Tekintse át az alkalmazás megjelenítendő nevét, válasz URL-címeit és tartományait. A vizsgálat alapján dönthet úgy, hogy letiltja az alkalmazáshoz való hozzáférést. Tekintse át az alkalmazás által kért engedélyek szintjét, és hogy mely felhasználók kaptak hozzáférést.

• FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Ha azt gyanítja, hogy egy alkalmazás gyanús, javasoljuk, hogy vizsgálja meg az alkalmazás nevét és választartományát különböző alkalmazástárolókban. Az alkalmazástárolók ellenőrzésekor a következő típusú alkalmazásokra összpontosítson:
   • A közelmúltban létrehozott alkalmazások
   • Szokatlan megjelenítendő névvel rendelkező alkalmazás
   • Gyanús Válasz tartománnyal rendelkező alkalmazások
3. Ha továbbra is gyanítja, hogy egy alkalmazás gyanús, az alkalmazás megjelenítendő nevét és választartományát is megvizsgálhatja.

Rossz URL-címmel rendelkező alkalmazás

Súlyosság: Közepes

Ez az észlelés azonosít egy OAuth-alkalmazást, amelyről megállapították, hogy rossz az URL-címe.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az OAuth-alkalmazás ismeretlen forrásból származik, és gyanús URL-címre irányítja át, akkor a rendszer valódi pozitív értéket jelez.

  Javasolt művelet: Tekintse át az alkalmazás által kért válasz URL-címeket, tartományokat és hatóköröket. A vizsgálat alapján dönthet úgy, hogy letiltja az alkalmazáshoz való hozzáférést. Tekintse át az alkalmazás által kért engedélyek szintjét, és hogy mely felhasználók kaptak hozzáférést.

• FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Ha azt gyanítja, hogy egy alkalmazás gyanús, javasoljuk, hogy vizsgálja meg az alkalmazás nevét és választartományát különböző alkalmazástárolókban. Az alkalmazástárolók ellenőrzésekor a következő típusú alkalmazásokra összpontosítson:
   • A közelmúltban létrehozott alkalmazások
   • Szokatlan megjelenítendő névvel rendelkező alkalmazás
   • Gyanús Válasz tartománnyal rendelkező alkalmazások
3. Ha továbbra is gyanítja, hogy egy alkalmazás gyanús, az alkalmazás megjelenítendő nevét és választartományát is megvizsgálhatja.

Kódolt alkalmazásnév gyanús hozzájárulási hatókörökkel

Súlyosság: Közepes

Leírás: Ez az észlelés azonosítja az OAuth-alkalmazásokat olyan karakterekkel, mint a Unicode vagy a kódolt karakterek, amelyek gyanús hozzájárulási hatókörökhöz kértek, és amelyek a Graph API-n keresztül fértek hozzá a felhasználók levelezési mappáihoz. Ez a riasztás egy rosszindulatú alkalmazás ismert és megbízható alkalmazásként való álcázására tett kísérletet jelezhet, hogy a támadók félrevezethetik a felhasználókat a rosszindulatú alkalmazáshoz való hozzájárulásra.

TP vagy FP?

• TP: Ha meg tudja győződni arról, hogy az OAuth-alkalmazás ismeretlen forrásból származó gyanús hatókörökkel kódolja a megjelenítendő nevet, akkor a rendszer valódi pozitív értéket jelez.

  Javasolt művelet: Tekintse át az alkalmazás által kért engedély szintjét, és hogy mely felhasználók kaptak hozzáférést. A vizsgálat alapján dönthet úgy, hogy letiltja az alkalmazáshoz való hozzáférést.

  Az alkalmazáshoz való hozzáférés letiltásához nyissa meg az alkalmazás megfelelő lapját az Alkalmazásszabályozás lapon. Azon a sorban, amelyben a kitiltani kívánt alkalmazás megjelenik, válassza a tiltás ikont. Eldöntheti, hogy el szeretné-e mondani a felhasználóknak, hogy a telepített és engedélyezett alkalmazás ki lett tiltva. Az értesítés tájékoztatja a felhasználókat arról, hogy az alkalmazás le lesz tiltva, és nem lesz hozzáférésük a csatlakoztatott alkalmazáshoz. Ha nem szeretné, hogy tudják, a párbeszédpanelen törölje a jelölést azoknak a felhasználóknak, akik hozzáférést adtak ehhez a tiltott alkalmazáshoz. Javasoljuk, hogy tájékoztassa az alkalmazás felhasználóit, hogy az alkalmazás hamarosan ki lesz tiltva a használatból.

• FP: Ha meg kell győződnie arról, hogy az alkalmazás kódolt névvel rendelkezik, de jogszerű üzleti használattal rendelkezik a szervezetben.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

Kövesse a kockázatos OAuth-alkalmazások vizsgálatáról szóló oktatóanyagot.

Az olvasási hatókörökkel rendelkező OAuth-alkalmazás gyanús válasz URL-címmel rendelkezik

Súlyosság: Közepes

Leírás: Ez az észlelés azonosít egy OAuth-alkalmazást, amely csak olvasási hatókörökkel rendelkezik, például User.Read, People.Read, Contacts.Read, Mail.Read, Contacts.Read. Megosztott átirányítások gyanús válasz URL-címre a Graph API-n keresztül. Ez a tevékenység azt jelzi, hogy a kevésbé jogosultsági engedélyekkel (például olvasási hatókörökkel) rendelkező rosszindulatú alkalmazás kihasználható a felhasználói fiókok felderítése érdekében.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az olvasási hatókörrel rendelkező OAuth-alkalmazás ismeretlen forrásból származik, és gyanús URL-címre irányítja át, akkor a rendszer valódi pozitív értéket jelez.

  Javasolt művelet: Tekintse át a válasz URL-címét és az alkalmazás által kért hatóköröket. A vizsgálat alapján dönthet úgy, hogy letiltja az alkalmazáshoz való hozzáférést. Tekintse át az alkalmazás által kért engedélyek szintjét, és hogy mely felhasználók kaptak hozzáférést.

  Az alkalmazáshoz való hozzáférés letiltásához nyissa meg az alkalmazás megfelelő lapját az Alkalmazásszabályozás lapon. Azon a sorban, amelyben a kitiltani kívánt alkalmazás megjelenik, válassza a tiltás ikont. Eldöntheti, hogy el szeretné-e mondani a felhasználóknak, hogy a telepített és engedélyezett alkalmazás ki lett tiltva. Az értesítés tájékoztatja a felhasználókat arról, hogy az alkalmazás le lesz tiltva, és nem lesz hozzáférésük a csatlakoztatott alkalmazáshoz. Ha nem szeretné, hogy tudják, a párbeszédpanelen törölje a jelölést azoknak a felhasználóknak, akik hozzáférést adtak ehhez a tiltott alkalmazáshoz. Javasoljuk, hogy tájékoztassa az alkalmazás felhasználóit, hogy az alkalmazás hamarosan ki lesz tiltva a használatból.

• B-TP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Ha azt gyanítja, hogy egy alkalmazás gyanús, javasoljuk, hogy vizsgálja meg az alkalmazás nevét és válasz URL-címét különböző alkalmazástárolókban. Az alkalmazástárolók ellenőrzésekor a következő típusú alkalmazásokra összpontosítson:
   • A közelmúltban létrehozott alkalmazások.
   • Gyanús válasz URL-címmel rendelkező alkalmazások
   • A közelmúltban nem frissített alkalmazások. A frissítések hiánya azt jelezheti, hogy az alkalmazás már nem támogatott.
3. Ha továbbra is gyanítja, hogy egy alkalmazás gyanús, online ellenőrizheti az alkalmazás nevét, a közzétevő nevét és a válasz URL-címét

Szokatlan megjelenítendő névvel és szokatlan TLD-vel rendelkező alkalmazás a Válasz tartományban

Súlyosság: Közepes

Ez az észlelés szokatlan megjelenítendő névvel azonosítja az alkalmazást, és átirányítja a gyanús választartományba egy szokatlan legfelső szintű tartománnyal (TLD) a Graph API-n keresztül. Ez azt jelezheti, hogy egy rosszindulatú vagy kockázatos alkalmazást egy ismert és megbízható alkalmazásként próbál álcázni, hogy a támadók félrevezethessék a felhasználókat a rosszindulatú vagy kockázatos alkalmazásukhoz való hozzájárulásba. 

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy a szokatlan megjelenítendő névvel rendelkező alkalmazás ismeretlen forrásból származik, és átirányít egy gyanús tartományra, amely szokatlan legfelső szintű tartományt használ

  Javasolt művelet: Tekintse át az alkalmazás megjelenítendő nevét és választartományát. A vizsgálat alapján dönthet úgy, hogy letiltja az alkalmazáshoz való hozzáférést. Tekintse át az alkalmazás által kért engedélyek szintjét, és hogy mely felhasználók kaptak hozzáférést.

• FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

Tekintse át az alkalmazás által végzett összes tevékenységet. Ha azt gyanítja, hogy egy alkalmazás gyanús, javasoljuk, hogy vizsgálja meg az alkalmazás nevét és választartományát különböző alkalmazástárolókban. Az alkalmazástárolók ellenőrzésekor a következő típusú alkalmazásokra összpontosítson:

• A közelmúltban létrehozott alkalmazások
• Szokatlan megjelenítendő névvel rendelkező alkalmazás
• Gyanús Válasz tartománnyal rendelkező alkalmazások

Ha továbbra is gyanítja, hogy egy alkalmazás gyanús, az alkalmazás megjelenítendő nevét és választartományát is megvizsgálhatja.

Új alkalmazás alacsony hozzájárulási mintával rendelkező levelezési engedélyekkel

Súlyosság: Közepes

Ez az észlelés a viszonylag új közzétevő-bérlőkben nemrég létrehozott OAuth-alkalmazásokat azonosítja a következő jellemzőkkel:

• A postaláda beállításainak elérésére vagy módosítására vonatkozó engedélyek
• Viszonylag alacsony hozzájárulási arány, amely azonosíthatja a nem kívánt vagy akár rosszindulatú alkalmazásokat, amelyek gyanútlan felhasználóktól próbálnak hozzájárulást szerezni

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az alkalmazásra vonatkozó hozzájárulási kérés ismeretlen vagy külső forrásból származik, és az alkalmazás nem rendelkezik jogszerű üzleti felhasználással a szervezetben, akkor a rendszer valódi pozitív értéket jelez.

  Javasolt művelet:

  • Vegye fel a kapcsolatot azokkal a felhasználók és rendszergazdák, akik hozzájárultak az alkalmazáshoz annak megerősítéséhez, hogy ez szándékos volt, és a túlzott jogosultságok normálisak.
  • Vizsgálja meg az alkalmazástevékenységet, és ellenőrizze az érintett fiókokat gyanús tevékenység esetén.
  • A vizsgálat alapján tiltsa le az alkalmazást, és függessze fel és állítsa alaphelyzetbe az összes érintett fiók jelszavát.
  • Osztályozza a riasztást valódi pozitívként.

• FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben.

  Ajánlott művelet: A riasztást hamis pozitívként osztályozza, és fontolja meg a visszajelzés megosztását a riasztás vizsgálata alapján.

A szabálysértés hatókörének ismertetése

Tekintse át a felhasználók és rendszergazdák által az alkalmazásnak adott hozzájárulásokat. Vizsgálja meg az alkalmazás által végzett összes tevékenységet, különösen a társított felhasználók és rendszergazdai fiókok postaládájához való hozzáférést. Ha azt gyanítja, hogy az alkalmazás gyanús, fontolja meg az alkalmazás letiltását és az összes érintett fiók hitelesítő adatainak elforgatását.

Új alkalmazás alacsony hozzájárulási arányú hozzáféréssel számos e-mailhez

Súlyosság: Közepes

Ez a riasztás azonosítja azokat az OAuth-alkalmazásokat, amelyek nemrég regisztráltak egy viszonylag új közzétevő-bérlőben a postaláda beállításainak módosítására és az e-mailek elérésére vonatkozó engedélyekkel. Azt is ellenőrzi, hogy az alkalmazás viszonylag alacsony globális hozzájárulási rátával rendelkezik-e, és számos hívást intéz a Microsoft Graph API-hoz, hogy hozzáférjenek a hozzájárulást kötő felhasználók e-mailjeihez. A riasztást kiváltó alkalmazások lehetnek nemkívánatos vagy rosszindulatú alkalmazások, amelyek gyanútlan felhasználóktól próbálnak hozzájárulást szerezni.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az alkalmazásra vonatkozó hozzájárulási kérés ismeretlen vagy külső forrásból származik, és az alkalmazás nem rendelkezik jogszerű üzleti felhasználással a szervezetben, akkor a rendszer valódi pozitív értéket jelez.

  Javasolt művelet:

  • Vegye fel a kapcsolatot azokkal a felhasználók és rendszergazdák, akik hozzájárultak az alkalmazáshoz annak megerősítéséhez, hogy ez szándékos volt, és a túlzott jogosultságok normálisak.
  • Vizsgálja meg az alkalmazástevékenységet, és ellenőrizze az érintett fiókokat gyanús tevékenység esetén.
  • A vizsgálat alapján tiltsa le az alkalmazást, és függessze fel és állítsa alaphelyzetbe az összes érintett fiók jelszavát.
  • Osztályozza a riasztást valódi pozitívként.

• FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben, akkor a rendszer hamis pozitív értéket jelez.

  Ajánlott művelet: A riasztást hamis pozitívként osztályozza, és fontolja meg a visszajelzés megosztását a riasztás vizsgálata alapján.

A szabálysértés hatókörének ismertetése

Tekintse át a felhasználók és rendszergazdák által az alkalmazásnak adott hozzájárulásokat. Vizsgálja meg az alkalmazás által végzett összes tevékenységet, különösen a társított felhasználók és rendszergazdai fiókok postaládáihoz való hozzáférést. Ha azt gyanítja, hogy az alkalmazás gyanús, fontolja meg az alkalmazás letiltását és az összes érintett fiók hitelesítő adatainak elforgatását.

Gyanús alkalmazás levelezési engedélyekkel, amely számos e-mailt küld

Súlyosság: Közepes

Ez a riasztás több-bérlős OAuth-alkalmazásokat talál, amelyek számos hívást indítottak a Microsoft Graph API-hoz, hogy rövid időn belül e-maileket küldjenek. Azt is ellenőrzi, hogy az API-hívások hibákat eredményeztek-e, és sikertelen volt-e az e-mailek küldése. A riasztást kiváltó alkalmazások aktívan küldhetnek levélszemétet vagy rosszindulatú e-maileket más célokra.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az alkalmazásra vonatkozó hozzájárulási kérés ismeretlen vagy külső forrásból származik, és az alkalmazás nem rendelkezik jogszerű üzleti felhasználással a szervezetben, akkor a rendszer valódi pozitív értéket jelez.

  Javasolt művelet:

  • Vegye fel a kapcsolatot azokkal a felhasználók és rendszergazdák, akik hozzájárultak az alkalmazáshoz annak megerősítéséhez, hogy ez szándékos volt, és a túlzott jogosultságok normálisak.
  • Vizsgálja meg az alkalmazástevékenységet, és ellenőrizze az érintett fiókokat gyanús tevékenység esetén.
  • A vizsgálat alapján tiltsa le az alkalmazást, és függessze fel és állítsa alaphelyzetbe az összes érintett fiók jelszavát.
  • Osztályozza a riasztást valódi pozitívként.

• FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben, akkor a rendszer hamis pozitív értéket jelez.

  Ajánlott művelet: A riasztást hamis pozitívként osztályozza, és fontolja meg a visszajelzés megosztását a riasztás vizsgálata alapján.

A szabálysértés hatókörének ismertetése

Tekintse át a felhasználók és rendszergazdák által az alkalmazásnak adott hozzájárulásokat. Vizsgálja meg az alkalmazás által végzett összes tevékenységet, különösen a társított felhasználók és rendszergazdai fiókok postaládájához való hozzáférést. Ha azt gyanítja, hogy az alkalmazás gyanús, fontolja meg az alkalmazás letiltását és az összes érintett fiók hitelesítő adatainak elforgatását.

Gyanús OAuth-alkalmazás, amely számos e-mailt küldött

Súlyosság: Közepes

Ez a riasztás egy OAuth-alkalmazást jelez, amely számos hívást intézett a Microsoft Graph API-hoz, hogy rövid időn belül e-maileket küldjön. Az alkalmazás közzétevői bérlője ismert, hogy nagy mennyiségű OAuth-alkalmazást hoz létre, amelyek hasonló Microsoft Graph API-hívásokat bonyolítanak le. Előfordulhat, hogy a támadó aktívan használja ezt az alkalmazást levélszemét vagy rosszindulatú e-mailek küldésére a célpontjaikra.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az alkalmazásra vonatkozó hozzájárulási kérés ismeretlen vagy külső forrásból származik, és az alkalmazás nem rendelkezik jogszerű üzleti felhasználással a szervezetben, akkor a rendszer valódi pozitív értéket jelez.

  Javasolt művelet:

  • Vegye fel a kapcsolatot azokkal a felhasználók és rendszergazdák, akik hozzájárultak az alkalmazáshoz annak megerősítéséhez, hogy ez szándékos volt, és a túlzott jogosultságok normálisak.
  • Vizsgálja meg az alkalmazástevékenységet, és ellenőrizze az érintett fiókokat gyanús tevékenység esetén.
  • A vizsgálat alapján tiltsa le az alkalmazást, és függessze fel és állítsa alaphelyzetbe az összes érintett fiók jelszavát.
  • Osztályozza a riasztást valódi pozitívként.

• FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben, akkor a rendszer hamis pozitív értéket jelez.

  Ajánlott művelet: A riasztást hamis pozitívként osztályozza, és fontolja meg a visszajelzés megosztását a riasztás vizsgálata alapján.

A szabálysértés hatókörének ismertetése

Tekintse át a felhasználók és rendszergazdák által az alkalmazásnak adott hozzájárulásokat. Vizsgálja meg az alkalmazás által végzett összes tevékenységet, különösen a társított felhasználók és rendszergazdai fiókok postaládájához való hozzáférést. Ha azt gyanítja, hogy az alkalmazás gyanús, fontolja meg az alkalmazás letiltását és az összes érintett fiók hitelesítő adatainak elforgatását.

Adatmegőrzési riasztások

Ez a szakasz olyan riasztásokat ír le, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbálhatja fenntartani a lábtartását a szervezetben.

Az alkalmazás rendellenes Graph-hívásokat indított az Exchange számítási feladatainak tanúsítványfrissítése vagy új hitelesítő adatok hozzáadása után

Súlyosság: Közepes

MITRE-azonosító: T1098.001, T1114

Ez az észlelés riasztást vált ki, ha egy üzletági alkalmazás frissítette a tanúsítványokat/titkos kulcsokat, vagy új hitelesítő adatokat adott hozzá, és néhány napon belül a tanúsítványfrissítést vagy új hitelesítő adatok hozzáadását követően szokatlan tevékenységeket vagy nagy mennyiségű exchange-számítási feladatot észlelt a Graph API-n keresztül, gépi tanulási algoritmus használatával.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy a LOB alkalmazás a Graph API-n keresztül végezte el a szokatlan tevékenységeket/az Exchange-számítási feladatok nagy mennyiségű használatát

  Javasolt művelet: Ideiglenesen tiltsa le az alkalmazást, állítsa alaphelyzetbe a jelszót, majd engedélyezze újra az alkalmazást.

• FP: Ha meg tudja győződni arról, hogy a LOB alkalmazás vagy alkalmazás nem végzett szokatlan tevékenységeket, az szokatlanul nagy mennyiségű gráfhívást kíván végrehajtani.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Tekintse át az alkalmazás által megadott hatóköröket.
3. Tekintse át az alkalmazáshoz társított felhasználói tevékenységet.

A gyanús OAuth-hatókörrel rendelkező alkalmazást a Machine Learning-modell magas kockázattal jelölte meg, gráfhívásokat indított az e-mailek olvasására, és létrehozta a Beérkezett üzenetek szabályt

Súlyosság: Közepes

MITRE-azonosító: T1137.005, T1114

Ez az észlelés azonosítja azt az OAuth-alkalmazást, amelyet a Machine Learning-modell nagy kockázattal jelölt meg, amely hozzájárult a gyanús hatókörökhöz, létrehoz egy gyanús beérkezett üzenetekre vonatkozó szabályt, majd a Graph API-n keresztül hozzáfért a felhasználók levelezési mappáihoz és üzeneteihez. A beérkezett üzenetekre vonatkozó szabályok, például az összes vagy adott e-mail továbbítása egy másik e-mail-fiókba, valamint az e-mailek elérésére és egy másik e-mail-fiókba való küldésre irányuló Graph-hívások megkísérlik kiszűrni a szervezet adatait.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy a beérkezett üzenetekre vonatkozó szabályt egy OAuth harmadik féltől származó, ismeretlen forrásból származó gyanús hatókörökkel rendelkező alkalmazás hozta létre, akkor a rendszer valódi pozitív értéket észlel.

  Ajánlott művelet: Az alkalmazás letiltása és eltávolítása, a jelszó alaphelyzetbe állítása és a beérkezett üzenetekre vonatkozó szabály eltávolítása.

Kövesse az oktatóanyagot arról, hogyan állíthatja alaphelyzetbe a jelszót a Microsoft Entra-azonosítóval, és hogyan távolíthatja el a beérkezett üzenetekre vonatkozó szabályt.

• FP: Ha meg tudja erősíteni, hogy az alkalmazás létrehozott egy beérkezett üzenetekre vonatkozó szabályt egy új vagy személyes külső e-mail-fiókhoz jogos okokból.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Tekintse át az alkalmazás által megadott hatóköröket.
3. Tekintse át az alkalmazás által létrehozott beérkezett üzenetekre vonatkozó szabályműveletet és feltételt.

Gyanús OAuth-hatókörrel rendelkező alkalmazás gráfhívásokat indított az e-mailek olvasására és a beérkezett üzenetekre vonatkozó szabály létrehozásához

Súlyosság: Közepes

MITRE-azonosítók: T1137.005, T1114

Ez az észlelés azonosít egy OAuth-alkalmazást, amely hozzájárult a gyanús hatókörökhöz, létrehoz egy gyanús beérkezett üzenetekre vonatkozó szabályt, majd a Graph API-n keresztül hozzáfért a felhasználók levelezési mappáihoz és üzeneteihez. A beérkezett üzenetekre vonatkozó szabályok, például az összes vagy adott e-mail továbbítása egy másik e-mail-fiókba, valamint az e-mailek elérésére és egy másik e-mail-fiókba való küldésre irányuló Graph-hívások megkísérlik kiszűrni a szervezet adatait.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy a beérkezett üzenetekre vonatkozó szabályt egy OAuth harmadik féltől származó, ismeretlen forrásból származó gyanús hatókörökkel rendelkező alkalmazás hozta létre, akkor a rendszer valódi pozitív értéket jelez.

  Ajánlott művelet: Az alkalmazás letiltása és eltávolítása, a jelszó alaphelyzetbe állítása és a beérkezett üzenetekre vonatkozó szabály eltávolítása.

  Kövesse az oktatóanyagot arról, hogyan állíthatja alaphelyzetbe a jelszót a Microsoft Entra-azonosítóval, és hogyan távolíthatja el a beérkezett üzenetekre vonatkozó szabályt.

• FP: Ha meg tudja erősíteni, hogy az alkalmazás létrehozott egy beérkezett üzenetekre vonatkozó szabályt egy új vagy személyes külső e-mail-fiókhoz jogos okokból.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Tekintse át az alkalmazás által megadott hatóköröket.
3. Tekintse át az alkalmazás által létrehozott beérkezett üzenetekre vonatkozó szabályműveletet és feltételt.

A tanúsítványfrissítés utáni szokatlan helyről elérhető alkalmazás

Súlyosság: Alacsony

MITRE-azonosító: T1098

Ez az észlelés riasztást vált ki, amikor egy üzletági (LOB) alkalmazás frissítette a tanúsítványt / titkos kulcsot, és a tanúsítványfrissítést követő néhány napon belül az alkalmazás szokatlan helyről érhető el, amely a közelmúltban nem volt látható, vagy soha nem érhető el a múltban.

TP vagy FP?

• TP: ha meg tudja erősíteni, hogy a LOB-alkalmazás szokatlan helyről fért hozzá, és szokatlan tevékenységeket hajtott végre a Graph API-n keresztül.

  Javasolt művelet: Ideiglenesen tiltsa le az alkalmazást, állítsa alaphelyzetbe a jelszót, majd engedélyezze újra az alkalmazást.

• FP: Ha meg tudja győződni arról, hogy a LOB-alkalmazás szokatlan helyről érhető el jogszerű célból, és nem végez szokatlan tevékenységeket.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Tekintse át az alkalmazás által megadott hatóköröket.
3. Tekintse át az alkalmazáshoz társított felhasználói tevékenységet.

Szokatlan helyről elérhető alkalmazás, amely rendellenes Graph-hívásokat hajtott végre a tanúsítványfrissítés után

Súlyosság: Közepes

MITRE-azonosító: T1098

Ez az észlelés riasztást aktivál, amikor egy üzletági alkalmazás frissítette a tanúsítványt / titkos kulcsot, és néhány nappal a tanúsítványfrissítés után az alkalmazás olyan szokatlan helyről érhető el, amely nemrég nem volt látható, vagy soha nem érhető el a múltban, és a Graph API-n keresztül megfigyelt szokatlan tevékenységeket vagy használatot machine learning algoritmus használatával.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy a LOB alkalmazás szokatlan tevékenységeket/használatot hajtott végre a Graph API-n keresztül szokatlan helyről.

  Javasolt művelet: Ideiglenesen tiltsa le az alkalmazást, állítsa alaphelyzetbe a jelszót, majd engedélyezze újra az alkalmazást.

• FP: Ha meg tudja győződni arról, hogy a LOB-alkalmazás szokatlan helyről érhető el jogszerű célból, és nem végez szokatlan tevékenységeket.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Tekintse át az alkalmazás által megadott hatóköröket.
3. Tekintse át az alkalmazáshoz társított felhasználói tevékenységet.

A közelmúltban létrehozott alkalmazás nagy mennyiségű visszavont hozzájárulással rendelkezik

Súlyosság: Közepes

MITRE-azonosító: T1566, T1098

Több felhasználó visszavonta a közelmúltban létrehozott üzletági (LOB) vagy külső alkalmazáshoz való hozzájárulását. Előfordulhat, hogy az alkalmazás arra csábította a felhasználókat, hogy véletlenül adják meg a hozzájárulást.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az OAuth-alkalmazás ismeretlen forrásból származik, és az alkalmazás viselkedése gyanús. 

  Javasolt művelet: Az alkalmazásnak adott hozzájárulások visszavonása és az alkalmazás letiltása. 

• FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben, és az alkalmazás nem végzett szokatlan tevékenységeket.

  Javasolt művelet: A riasztás elvetése

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Ha azt gyanítja, hogy egy alkalmazás gyanús, javasoljuk, hogy vizsgálja meg az alkalmazás nevét és választartományát különböző alkalmazástárolókban. Az alkalmazástárolók ellenőrzésekor a következő típusú alkalmazásokra összpontosítson:
   • A közelmúltban létrehozott alkalmazások
   • Szokatlan megjelenítendő névvel rendelkező alkalmazások
   • Gyanús Válasz tartománnyal rendelkező alkalmazások
3. Ha továbbra is gyanítja, hogy egy alkalmazás gyanús, az alkalmazás megjelenítendő nevét és választartományát is megvizsgálhatja.

Ismert adathalászati kampányhoz társított alkalmazás-metaadatok

Súlyosság: Közepes

Ez az észlelés olyan, nem Microsoft OAuth-alkalmazásokra vonatkozó riasztásokat hoz létre, amelyek metaadatait , például nevét, URL-címét vagy közzétevőit korábban megfigyelték az adathalászati kampányhoz társított alkalmazásokban. Ezek az alkalmazások ugyanannak a kampánynak a részei lehetnek, és részt vehetnek a bizalmas információk kiszűrésében.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az OAuth-alkalmazás ismeretlen forrásból származik, és szokatlan tevékenységeket végez.

  Javasolt művelet:

  • Vizsgálja meg az alkalmazás regisztrációjának adatait az alkalmazásirányítással kapcsolatban, és további részletekért látogasson el a Microsoft Entra ID azonosítójára.
  • Lépjen kapcsolatba az alkalmazáshoz hozzájárulást vagy engedélyeket kérő felhasználókat vagy rendszergazdákat. Ellenőrizze, hogy a módosítások szándékosak-e.
  • Keresse meg a CloudAppEvents Speciális vadásztáblát az alkalmazástevékenység megértéséhez és annak megállapításához, hogy a megfigyelt viselkedés várható-e.
  • Mielőtt megfontolja az elszigetelési műveleteket, ellenőrizze, hogy az alkalmazás kritikus fontosságú-e a szervezet számára. Inaktiválja az alkalmazást az alkalmazásirányítás vagy a Microsoft Entra-azonosító használatával, hogy megakadályozza az erőforrások elérését. Lehetséges, hogy a meglévő alkalmazásszabályozási szabályzatok már inaktiválták az alkalmazást.

• FP: Ha meg tudja győződni arról, hogy az alkalmazás nem végzett szokatlan tevékenységeket, és hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben.

  Javasolt művelet: A riasztás elvetése

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Tekintse át az alkalmazásnak megadott hatóköröket.
3. Tekintse át az alkalmazáshoz társított felhasználói tevékenységet.

Korábban megjelölt gyanús alkalmazásokkal társított alkalmazás-metaadatok

Súlyosság: Közepes

Ez az észlelés olyan, nem Microsoft OAuth-alkalmazásokra vonatkozó riasztásokat hoz létre, amelyek metaadatait ( például nevet, URL-címet vagy közzétevőt) a gyanús tevékenység miatt korábban megfigyelték az alkalmazásirányítás által megjelölt alkalmazásokban. Ez az alkalmazás egy támadási kampány része lehet, és részt vehet a bizalmas információk kiszűrésében.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az OAuth-alkalmazás ismeretlen forrásból származik, és szokatlan tevékenységeket végez.

  Javasolt művelet:

  • Vizsgálja meg az alkalmazás regisztrációjának adatait az alkalmazásirányítással kapcsolatban, és további részletekért látogasson el a Microsoft Entra ID azonosítójára.
  • Lépjen kapcsolatba az alkalmazáshoz hozzájárulást vagy engedélyeket kérő felhasználókat vagy rendszergazdákat. Ellenőrizze, hogy a módosítások szándékosak-e.
  • Keresse meg a CloudAppEvents Speciális vadásztáblát az alkalmazástevékenység megértéséhez és annak megállapításához, hogy a megfigyelt viselkedés várható-e.
  • Mielőtt megfontolja az elszigetelési műveleteket, ellenőrizze, hogy az alkalmazás kritikus fontosságú-e a szervezet számára. Inaktiválja az alkalmazást az alkalmazásirányítás vagy a Microsoft Entra-azonosító használatával, hogy megakadályozza az erőforrások elérését. Lehetséges, hogy a meglévő alkalmazásszabályozási szabályzatok már inaktiválták az alkalmazást.

• FP: Ha meg tudja győződni arról, hogy az alkalmazás nem végzett szokatlan tevékenységeket, és hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben.

  Javasolt művelet: A riasztás elvetése

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Tekintse át az alkalmazásnak megadott hatóköröket.
3. Tekintse át az alkalmazáshoz társított felhasználói tevékenységet.

Gyanús OAuth-alkalmazás e-mail-tevékenysége a Graph API-n keresztül

Súlyosság: Magas

Ez az észlelés riasztásokat hoz létre a magas kockázatú bejelentkezéssel rendelkező felhasználók által regisztrált több-bérlős OAuth-alkalmazásokhoz, amelyek a Microsoft Graph API-hoz indítottak hívásokat, hogy rövid időn belül gyanús e-mail-tevékenységeket végezzenek.

Ez az észlelés ellenőrzi, hogy az API-hívások a postaládaszabály létrehozásához, válasz e-mail létrehozásához, e-mail továbbításához, válaszhoz vagy új e-mailekhez lettek-e küldve. Előfordulhat, hogy a riasztást kiváltó alkalmazások aktívan küldenek levélszemétet vagy rosszindulatú e-maileket más célokra, vagy bizalmas adatokat tárnak fel, és törlik a nyomokat az észlelés megkerülése érdekében.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az alkalmazás létrehozásának és jóváhagyásának kérése ismeretlen vagy külső forrásból származik, és az alkalmazás nem rendelkezik jogszerű üzleti felhasználással a szervezetben, akkor a rendszer valódi pozitív értéket jelez.

  Javasolt művelet:

  • Vegye fel a kapcsolatot azokkal a felhasználók és rendszergazdák, akik hozzájárultak az alkalmazáshoz annak megerősítéséhez, hogy ez szándékos volt, és a túlzott jogosultságok normálisak.

  • Vizsgálja meg az alkalmazástevékenységet, és ellenőrizze az érintett fiókokat gyanús tevékenység esetén.

  • A vizsgálat alapján tiltsa le az alkalmazást, és függessze fel és állítsa alaphelyzetbe az összes érintett fiók jelszavát, és távolítsa el a beérkezett üzenetekre vonatkozó szabályt.

  • Osztályozza a riasztást valódi pozitívként.

• FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben, akkor a rendszer hamis pozitív értéket jelez.

  Javasolt művelet:

  • Minősítse a riasztást hamis pozitívnak, és fontolja meg a visszajelzés megosztását a riasztás vizsgálata alapján.

  • A szabálysértés hatókörének megismerése:

    Tekintse át a felhasználók és rendszergazdák által az alkalmazásnak adott hozzájárulásokat. Vizsgálja meg az alkalmazás által végzett összes tevékenységet, különösen a társított felhasználók és rendszergazdai fiókok postaládájához való hozzáférést. Ha azt gyanítja, hogy az alkalmazás gyanús, fontolja meg az alkalmazás letiltását és az összes érintett fiók hitelesítő adatainak elforgatását.

Gyanús OAuth-alkalmazás e-mail-tevékenysége az EWS API-val

Súlyosság: Magas

Ez az észlelés riasztásokat hoz létre a magas kockázatú bejelentkezéssel rendelkező felhasználók által regisztrált több-bérlős OAuth-alkalmazásokhoz, amelyek a Microsoft Exchange Web Services (EWS) API-nak indítottak hívásokat, hogy rövid időn belül gyanús e-mail-tevékenységeket hajtsanak végre.

Ez az észlelés ellenőrzi, hogy az API-hívások a beérkezett üzenetek szabályainak frissítésére, az elemek áthelyezésére, az e-mailek törlésére, a mappa törlésére vagy a mellékletek törlésére lettek-e meghívva. Előfordulhat, hogy a riasztást kiváltó alkalmazások aktívan kiszűkülnek vagy törölnek bizalmas adatokat, és törlik a nyomokat az észlelés megkerülése érdekében.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az alkalmazás létrehozásának és jóváhagyásának kérése ismeretlen vagy külső forrásból származik, és az alkalmazás nem rendelkezik jogszerű üzleti felhasználással a szervezetben, akkor a rendszer valódi pozitív értéket jelez.

  Javasolt művelet:

  • Vegye fel a kapcsolatot azokkal a felhasználók és rendszergazdák, akik hozzájárultak az alkalmazáshoz annak megerősítéséhez, hogy ez szándékos volt, és a túlzott jogosultságok normálisak.

  • Vizsgálja meg az alkalmazástevékenységet, és ellenőrizze az érintett fiókokat gyanús tevékenység esetén.

  • A vizsgálat alapján tiltsa le az alkalmazást, és függessze fel és állítsa alaphelyzetbe az összes érintett fiók jelszavát, és távolítsa el a beérkezett üzenetekre vonatkozó szabályt.

  • Osztályozza a riasztást valódi pozitívként.

• FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben, akkor a rendszer hamis pozitív értéket jelez.

  Javasolt művelet:

  • Minősítse a riasztást hamis pozitívnak, és fontolja meg a visszajelzés megosztását a riasztás vizsgálata alapján.

  • A szabálysértés hatókörének megismerése:

    Tekintse át a felhasználók és rendszergazdák által az alkalmazásnak adott hozzájárulásokat. Vizsgálja meg az alkalmazás által végzett összes tevékenységet, különösen a társított felhasználók és rendszergazdai fiókok postaládájához való hozzáférést. Ha azt gyanítja, hogy az alkalmazás gyanús, fontolja meg az alkalmazás letiltását és az összes érintett fiók hitelesítő adatainak elforgatását.

Jogosultság-eszkalációs riasztások

A gyanús metaadatokat tartalmazó OAuth-alkalmazás Exchange-engedéllyel rendelkezik

Súlyosság: Közepes

MITRE-azonosító: T1078

Ez a riasztás akkor aktiválódik, ha egy gyanús metaadatokat tartalmazó üzletági alkalmazás jogosult az Exchange-en keresztüli engedélyek kezelésére.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az OAuth-alkalmazás ismeretlen forrásból származik, és gyanús metaadat-jellemzőkkel rendelkezik, akkor a rendszer valódi pozitív értéket jelez.

Javasolt művelet: Az alkalmazásnak adott hozzájárulások visszavonása és az alkalmazás letiltása.

FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben.

Javasolt művelet: A riasztás elvetése

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Tekintse át az alkalmazás által megadott hatóköröket.
3. Tekintse át az alkalmazáshoz társított felhasználói tevékenységet.

Védelmi kijátszási riasztások

Microsoft-emblémát megszemélyesítő alkalmazás

Súlyosság: Közepes

A nem Microsoft-felhőalkalmazások olyan emblémát használnak, amelyet egy gépi tanulási algoritmus talált, hogy hasonló legyen a Microsoft emblémához. Ez lehet a Microsoft szoftvertermékek megszemélyesítésére tett kísérlet, és jogosnak tűnhet.

Feljegyzés

A bérlői rendszergazdáknak felugró ablakban kell hozzájárulást adniuk ahhoz, hogy a szükséges adatokat az aktuális megfelelőségi határon kívül küldjék el, és hogy partnercsoportokat válasszanak a Microsofton belül, hogy lehetővé tegyék a fenyegetésészlelést az üzletági alkalmazások esetében.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az alkalmazás emblémája egy Microsoft-embléma utánzata, és az alkalmazás viselkedése gyanús. 

  Javasolt művelet: Az alkalmazásnak adott hozzájárulások visszavonása és az alkalmazás letiltása.

• FP: Ha meg tudja erősíteni, hogy az alkalmazás emblémája nem a Microsoft emblémájának utánzata, vagy az alkalmazás nem végzett szokatlan tevékenységeket. 

  Javasolt művelet: A riasztás elvetése

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Tekintse át az alkalmazásnak megadott hatóköröket.
3. Tekintse át az alkalmazáshoz társított felhasználói tevékenységet.

Az alkalmazás egy typosquatted tartományhoz van társítva

Súlyosság: Közepes

Ez az észlelés riasztásokat hoz létre a nem Microsoft OAuth-alkalmazásokhoz közzétevői tartományokkal vagy átirányítási URL-címekkel, amelyek a Microsoft-márkanevek typosquatted verzióit tartalmazzák. A typosquatting általában a webhelyek felé tartó forgalom rögzítésére szolgál, amikor a felhasználók véletlenül helytelenül gépelik be az URL-címeket, de népszerű szoftvertermékek és szolgáltatások megszemélyesítésére is használhatók.

TP vagy FP?

• TP: Ha meg tudja győződni arról, hogy az alkalmazás közzétevői tartománya vagy átirányítási URL-címe el van typosted, és nem kapcsolódik az alkalmazás valódi identitásához.

  Javasolt művelet:

  • Vizsgálja meg az alkalmazás regisztrációjának adatait az alkalmazásirányítással kapcsolatban, és további részletekért látogasson el a Microsoft Entra ID azonosítójára.
  • Ellenőrizze az alkalmazáson a hamisítás vagy megszemélyesítés egyéb jeleit, valamint a gyanús tevékenységeket.
  • Mielőtt megfontolja az elszigetelési műveleteket, ellenőrizze, hogy az alkalmazás kritikus fontosságú-e a szervezet számára. Inaktiválja az alkalmazást alkalmazásszabályozással, hogy megakadályozza az erőforrások elérését. Lehetséges, hogy a meglévő alkalmazásszabályozási szabályzatok már inaktiválták az alkalmazást.

• FP: Ha meg tudja győződni arról, hogy az alkalmazás közzétevői tartománya és átirányítási URL-címe jogszerű. 

  Ajánlott művelet: A riasztást hamis pozitívként osztályozza, és fontolja meg a visszajelzés megosztását a riasztás vizsgálata alapján.

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Tekintse át az alkalmazásnak megadott hatóköröket.
3. Tekintse át az alkalmazáshoz társított felhasználói tevékenységet.

Hitelesítő adatokhoz való hozzáférés

Ez a szakasz olyan riasztásokat ír le, amelyek azt jelzik, hogy egy rosszindulatú szereplő bizalmas hitelesítő adatokat próbál olvasni, és olyan módszereket tartalmaz, amelyekkel ellophatja a hitelesítő adatokat, például a fiókneveket, titkos kulcsokat, jogkivonatokat, tanúsítványokat és jelszavakat a szervezetben.

Több sikertelen KeyVault-olvasási tevékenységet kezdeményező alkalmazás sikertelenül

Súlyosság: Közepes

MITRE-azonosító: T1078.004

Ez az észlelés azonosítja a bérlőben azt az alkalmazást, amely az Azure Resource Manager API használatával rövid idő alatt többszöri olvasási művelethívást hajtott végre a KeyVaultban, és csak a hibák és a sikeres olvasási tevékenység nem fejeződött be.

TP vagy FP?

• TP: Ha az alkalmazást ismeretlen vagy nem használják, az adott tevékenység gyanús lehet. A használt Azure-erőforrás ellenőrzése és az alkalmazás bérlőben való használatának ellenőrzése után előfordulhat, hogy az adott tevékenységhez le kell tiltani az alkalmazást. Ez általában annak a bizonyítéka, hogy a KeyVault-erőforrással kapcsolatban gyanús enumerálási tevékenység áll rendelkezésre az oldalirányú mozgáshoz vagy a jogosultságok eszkalálásához szükséges hitelesítő adatokhoz való hozzáféréshez.

  Ajánlott műveletek: Tekintse át az alkalmazás által elért vagy létrehozott Azure-erőforrásokat, valamint az alkalmazás legutóbbi módosításait. A vizsgálat alapján döntse el, hogy be szeretné-e tiltani az alkalmazáshoz való hozzáférést. Tekintse át az alkalmazás által kért engedélyszintet, és hogy mely felhasználók kaptak hozzáférést.

• FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás hozzáférését és tevékenységét.
2. Tekintse át az alkalmazás által végzett összes tevékenységet a létrehozása óta.
3. Tekintse át az alkalmazás által a Graph API-ban biztosított hatóköröket és az előfizetésben neki biztosított szerepkört.
4. Tekintse át azokat a felhasználókat, akik a tevékenység előtt esetleg hozzáfértek az alkalmazáshoz.

Felderítési riasztások

Alkalmazás által végrehajtott meghajtó számbavétele

Súlyosság: Közepes

MITRE-azonosító: T1087

Ez az észlelés azonosít egy OAuth-alkalmazást, amelyet a Machine Learning-modell észlelt, amely enumerálást végez a OneDrive-fájlokon a Graph API használatával.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy a LOB alkalmazás a Graph API-n keresztül végzett szokatlan tevékenységeket/használatot a OneDrive-on.

  Javasolt művelet: Tiltsa le és távolítsa el az alkalmazást, és állítsa alaphelyzetbe a jelszót.

• FP: Ha meg tudja erősíteni, hogy az alkalmazás nem végzett szokatlan tevékenységeket.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Tekintse át az alkalmazás által megadott hatóköröket.
3. Tekintse át az alkalmazáshoz társított felhasználói tevékenységet.

Gyanús enumerálási tevékenységek a Microsoft Graph PowerShell használatával

Súlyosság: Közepes

MITRE-azonosító: T1087

Ez az észlelés nagy mennyiségű gyanús enumerálási tevékenységet azonosít, amelyek rövid időn belül egy Microsoft Graph PowerShell-alkalmazáson keresztül hajtanak végre.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy a Microsoft Graph PowerShell-alkalmazás gyanús/szokatlan enumerálási tevékenységeket hajtott végre.

  Javasolt művelet: Tiltsa le és távolítsa el az alkalmazást, és állítsa alaphelyzetbe a jelszót.

• FP: Ha meg tudja erősíteni, hogy az alkalmazás nem végzett szokatlan tevékenységeket.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Tekintse át az alkalmazáshoz társított felhasználói tevékenységet.

A közelmúltban létrehozott több-bérlős alkalmazás gyakran sorolja fel a felhasználók adatait

Súlyosság: Közepes

MITRE-azonosító: T1087

Ez a riasztás egy viszonylag új közzétevő-bérlőben nemrég regisztrált OAuth-alkalmazásokat talál, amelyek engedélyekkel módosíthatják a postaláda beállításait és hozzáférhetnek az e-mailekhez. Ellenőrzi, hogy az alkalmazás számos hívást kezdeményezett-e a Microsoft Graph API-hoz, és felhasználói címtáradatokat kért. Előfordulhat, hogy a riasztást kiváltó alkalmazások hozzájárulás megadására csábítják a felhasználókat, hogy hozzáférhessenek a szervezeti adatokhoz.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az alkalmazásra vonatkozó hozzájárulási kérés ismeretlen vagy külső forrásból származik, és az alkalmazás nem rendelkezik jogszerű üzleti felhasználással a szervezetben, akkor a rendszer valódi pozitív értéket jelez.

  Javasolt művelet:

  • Vegye fel a kapcsolatot azokkal a felhasználók és rendszergazdák, akik hozzájárultak az alkalmazáshoz annak megerősítéséhez, hogy ez szándékos volt, és a túlzott jogosultságok normálisak.
  • Vizsgálja meg az alkalmazástevékenységet, és ellenőrizze az érintett fiókokat gyanús tevékenység esetén.
  • A vizsgálat alapján tiltsa le az alkalmazást, és függessze fel és állítsa alaphelyzetbe az összes érintett fiók jelszavát.
  • Osztályozza a riasztást valódi pozitívként.

• FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben, akkor a rendszer hamis pozitív értéket jelez.

  Ajánlott művelet: A riasztást hamis pozitívként osztályozza, és fontolja meg a visszajelzés megosztását a riasztás vizsgálata alapján.

A szabálysértés hatókörének ismertetése

Tekintse át a felhasználók és rendszergazdák által az alkalmazásnak adott hozzájárulásokat. Vizsgálja meg az alkalmazás által végzett összes tevékenységet, különösen a felhasználói címtár adatainak számbavételét. Ha azt gyanítja, hogy az alkalmazás gyanús, fontolja meg az alkalmazás letiltását és az összes érintett fiók hitelesítő adatainak elforgatását.

Kiszűrési riasztások

Ez a szakasz olyan riasztásokat ír le, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbálhatja ellopni a céljuknak megfelelő adatokat a szervezettől.

OAuth-alkalmazás szokatlan felhasználói ügynök használatával

Súlyosság: Alacsony

MITRE-azonosító: T1567

Ez az észlelés azonosít egy OAuth-alkalmazást, amely szokatlan felhasználói ügynököt használ a Graph API eléréséhez.

TP vagy FP?

• TP: Ha meg tudja győződni arról, hogy az OAuth-alkalmazás a közelmúltban egy olyan új felhasználói ügynököt kezdett használni, amelyet korábban nem használtak, és ez a változás váratlan, akkor a rendszer valódi pozitív értéket jelez.

  Ajánlott műveletek: Tekintse át a használt felhasználói ügynököket és az alkalmazás legutóbbi módosításait. A vizsgálat alapján dönthet úgy, hogy letiltja az alkalmazáshoz való hozzáférést. Tekintse át az alkalmazás által kért engedélyek szintjét, és hogy mely felhasználók kaptak hozzáférést.

• FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át a közelmúltban létrehozott alkalmazásokat és a használt felhasználói ügynököket.
2. Tekintse át az alkalmazás által végzett összes tevékenységet. 
3. Tekintse át az alkalmazás által megadott hatóköröket. 

Szokatlan felhasználói ügynökkel rendelkező alkalmazás az Exchange Web Servicesen keresztül fért hozzá az e-mail-adatokhoz

Súlyosság: Magas

MITRE-azonosító: T1114, T1567

Ez az észlelés azonosít egy OAuth-alkalmazást, amely szokatlan felhasználói ügynökkel fér hozzá az e-mail-adatokhoz az Exchange Web Services API használatával.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az OAuth-alkalmazás várhatóan nem módosítja azt a felhasználói ügynököt, amelyet az Exchange Web Services API-nak való kérésekhez használ, akkor a rendszer valódi pozitív értéket jelez.

  Ajánlott műveletek: A riasztást TP-ként osztályozza. A vizsgálat alapján, ha az alkalmazás rosszindulatú, visszavonhatja a hozzájárulásokat, és letilthatja az alkalmazást a bérlőben. Ha ez egy sérült alkalmazás, visszavonhatja a hozzájárulásokat, ideiglenesen letilthatja az alkalmazást, áttekintheti az engedélyeket, visszaállíthatja a titkos kulcsot és a tanúsítványt, majd újra engedélyezheti az alkalmazást.

• FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás által használt felhasználói ügynök jogszerű üzleti használattal rendelkezik a szervezetben.

  Ajánlott művelet: A riasztás besorolása FP-ként. Emellett fontolja meg a visszajelzés megosztását a riasztás vizsgálata alapján.

A szabálysértés hatókörének ismertetése

1. Ellenőrizze, hogy az alkalmazás újonnan lett-e létrehozva, vagy módosították-e az alkalmazást.
2. Tekintse át az alkalmazásnak adott engedélyeket és az alkalmazáshoz hozzájáruló felhasználókat.
3. Tekintse át az alkalmazás által végzett összes tevékenységet.

Oldalirányú mozgásra vonatkozó riasztások

Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő oldalirányú mozgást kísérel meg a különböző erőforrásokon belül, miközben több rendszeren és fiókon keresztül próbál nagyobb irányítást szerezni a szervezetben.

Alvó OAuth-alkalmazás, amely elsősorban az MS Graph vagy az Exchange Web Services szolgáltatást használja a közelmúltban arm-számítási feladatokhoz való hozzáférésről

Súlyosság: Közepes

MITRE-azonosító: T1078.004

Ez az észlelés azonosít egy alkalmazást a bérlőben, amely hosszú ideig alvó tevékenység után először kezdett hozzáférni az Azure Resource Manager API-hoz. Korábban ez az alkalmazás többnyire AZ MS Graph vagy az Exchange Web Service szolgáltatást használta.

TP vagy FP?

• TP: Ha az alkalmazás ismeretlen vagy nem használt, az adott tevékenység gyanús lehet, és az alkalmazás letiltását igényelheti, miután ellenőrizte a használt Azure-erőforrást, és ellenőrizte az alkalmazás használatát a bérlőben.

  Javasolt műveletek:

  1. Tekintse át az alkalmazás által elért vagy létrehozott Azure-erőforrásokat, valamint az alkalmazás legutóbbi módosításait.
  2. Tekintse át az alkalmazás által kért engedélyek szintjét, és hogy mely felhasználók kaptak hozzáférést.
  3. A vizsgálat alapján döntse el, hogy be szeretné-e tiltani az alkalmazáshoz való hozzáférést.

• FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás hozzáférését és tevékenységét.
2. Tekintse át az alkalmazás által végzett összes tevékenységet a létrehozása óta.
3. Tekintse át az alkalmazás által a Graph API-ban biztosított hatóköröket és az előfizetésben neki biztosított szerepkört.
4. Tekintse át azokat a felhasználókat, akik a tevékenység előtt esetleg hozzáfértek az alkalmazáshoz.

Gyűjtési riasztások

Ez a szakasz azokat a riasztásokat ismerteti, amelyek azt jelzik, hogy egy rosszindulatú szereplő megkísérli összegyűjteni a céljukhoz kapcsolódó adatokat a szervezettől.

Az alkalmazás szokatlan e-mail-keresési tevékenységeket végzett

Súlyosság: Közepes

MITRE-azonosító: T1114

Ez az észlelés azonosítja, ha egy alkalmazás hozzájárult a gyanús OAuth-hatókörhöz, és nagy mennyiségű szokatlan e-mail-keresési tevékenységet hajtott végre, például egy adott tartalomra irányuló e-mail-keresést a Graph API-n keresztül. Ez a szervezet megsértésének kísérletére utalhat, például olyan támadókra, amelyek adott e-maileket próbálnak keresni és olvasni a szervezettől a Graph API-n keresztül. 

TP vagy FP?

• TP: Ha egy gyanús OAuth-hatókörrel rendelkező OAuth-alkalmazás nagy mennyiségű szokatlan e-mail-keresést és olvasási tevékenységet tud ellenőrizni a Graph API-n keresztül, és hogy az alkalmazás ismeretlen forrásból származik.

  Ajánlott műveletek: Tiltsa le és távolítsa el az alkalmazást, állítsa alaphelyzetbe a jelszót, és távolítsa el a beérkezett üzenetekre vonatkozó szabályt. 

• FP: Ha meg tudja erősíteni, hogy az alkalmazás nagy mennyiségű szokatlan e-mail-keresést végzett, és jogszerű okokból olvassa be a Graph API-t.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által megadott hatóköröket.
2. Tekintse át az alkalmazás által végzett összes tevékenységet. 

Az alkalmazás rendellenes Graph-hívásokat indított e-mailek olvasására

Súlyosság: Közepes

MITRE-azonosító: T1114

Ez az észlelés azonosítja, hogy az OAuth-alkalmazás mikor fér hozzá szokatlan és nagy mennyiségű felhasználó levelezési mappáihoz és üzeneteihez a Graph API-n keresztül, ami a szervezet megsértésének kísérletére utalhat.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy a szokatlan gráftevékenységet az Üzletági (LOB) OAuth alkalmazás végezte, akkor a program valódi pozitív értéket jelez.

  Ajánlott műveletek: Ideiglenesen tiltsa le az alkalmazást, állítsa alaphelyzetbe a jelszót, majd engedélyezze újra az alkalmazást. Kövesse az oktatóanyagot arról, hogyan állíthat be jelszót a Microsoft Entra ID használatával.

• FP: Ha meg tudja erősíteni, hogy az alkalmazás szokatlanul nagy mennyiségű gráfhívást kíván végrehajtani.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át a tevékenységnaplót az alkalmazás által végrehajtott eseményekről, hogy jobban megismerje az egyéb Graph-tevékenységeket az e-mailek olvasásához és a felhasználók bizalmas e-mail-adatainak gyűjtéséhez.
2. Figyelje meg, hogy váratlan hitelesítő adatok kerülnek-e az alkalmazásba.

Az alkalmazás levelezési szabályt hoz létre, és szokatlan e-mail-keresési tevékenységeket végez

Súlyosság: Közepes

MITRE azonosítók: T1137, T1114

Ez az észlelés azonosítja a magas jogosultsági szintű hatókörhöz hozzájárult alkalmazást, gyanús beérkezett üzenetek szabályt hoz létre, és szokatlan e-mail-keresési tevékenységeket végez a felhasználók levelezési mappáiban a Graph API-n keresztül. Ez a szervezet megsértésének kísérletére utalhat, például olyan támadókra, amelyek bizonyos e-maileket próbálnak keresni és gyűjteni a szervezettől a Graph API-n keresztül.

TP vagy FP?

• TP: Ha egy magas jogosultsági hatókörű OAuth-alkalmazással meg tudja erősíteni a Graph API-n keresztül végzett egyes e-mailek keresését és gyűjtését, és az alkalmazás ismeretlen forrásból származik.

  Ajánlott művelet: Az alkalmazás letiltása és eltávolítása, a jelszó alaphelyzetbe állítása és a beérkezett üzenetekre vonatkozó szabály eltávolítása.

• FP: Ha meg tudja győződni arról, hogy az alkalmazás adott e-mail-keresést és -gyűjtést végzett a Graph API-n keresztül, és létrehozott egy beérkezett üzenetekre vonatkozó szabályt egy új vagy személyes külső e-mail fiókba jogos okokból.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Tekintse át az alkalmazás által megadott hatóköröket.
3. Tekintse át az alkalmazás által létrehozott beérkezett üzenetekre vonatkozó szabályműveleteket.
4. Tekintse át az alkalmazás által végzett e-mail-keresési tevékenységeket.

Alkalmazás által létrehozott OneDrive/SharePoint keresési tevékenységek és létrehozott beérkezett üzenetek szabálya

Súlyosság: Közepes

MITRE-azonosítók: T1137, T1213

Ez az észlelés azt azonosítja, hogy egy alkalmazás hozzájárult a magas jogosultsági szintű hatókörhöz, létrehozott egy gyanús beérkezett üzenetekre vonatkozó szabályt, és szokatlan SharePoint- vagy OneDrive-keresési tevékenységeket végzett a Graph API-n keresztül. Ez a szervezet megsértésének kísérletére utalhat, például olyan támadókra, amelyek konkrét adatokat próbálnak keresni és gyűjteni a SharePointból vagy a OneDrive-ból a szervezetből a Graph API-n keresztül. 

TP vagy FP?

• TP: Ha egy magas jogosultsági hatókörű OAuth-alkalmazás a Graph API-n keresztül végzett SharePoint- vagy OneDrive-keresésből és -gyűjteményből tud bizonyos adatokat megerősíteni, és az alkalmazás ismeretlen forrásból származik. 

  Javasolt művelet: Az alkalmazás letiltása és eltávolítása, a jelszó alaphelyzetbe állítása és a beérkezett üzenetekre vonatkozó szabály eltávolítása. 

• FP: Ha meg tudja győződni arról, hogy az alkalmazás adott adatokat végzett a SharePointból vagy a OneDrive-ból a Graph API-n keresztül egy OAuth-alkalmazás által, és létrehozott egy beérkezett üzenetekre vonatkozó szabályt egy új vagy személyes külső e-mail fiókba jogos okokból. 

  Javasolt művelet: A riasztás elvetése

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet. 
2. Tekintse át az alkalmazás által megadott hatóköröket. 
3. Tekintse át az alkalmazás által létrehozott beérkezett üzenetekre vonatkozó szabályműveleteket. 
4. Tekintse át az alkalmazás által végzett SharePoint- vagy OneDrive-keresési tevékenységeket.

Az alkalmazás számos keresést és módosítást végzett a OneDrive-on

Súlyosság: Közepes

MITRE azonosítók: T1137, T1213

Ez az észlelés magas jogosultsági engedélyekkel rendelkező OAuth-alkalmazásokat azonosít, amelyek nagy számú keresést és módosítást hajtanak végre a OneDrive-on a Graph API használatával.

TP vagy FP?

• TP: Ha meg tudja győződni arról, hogy a OneDrive számítási feladatainak magas kihasználtsága a Graph API-n keresztül nem várható el attól az OAuth-alkalmazástól, amely magas jogosultsági jogosultsággal rendelkezik az olvasáshoz és a OneDrive-ba való íráshoz, akkor a rendszer valódi pozitív értéket jelez.

  Javasolt művelet: A vizsgálat alapján, ha az alkalmazás rosszindulatú, visszavonhatja a hozzájárulásokat, és letilthatja az alkalmazást a bérlőben. Ha ez egy sérült alkalmazás, visszavonhatja a hozzájárulásokat, ideiglenesen letilthatja az alkalmazást, áttekintheti a szükséges engedélyeket, alaphelyzetbe állíthatja a jelszót, majd újra engedélyezheti az alkalmazást.

• FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben.

  Javasolt művelet: A riasztás feloldása és az eredmények jelentése.

A szabálysértés hatókörének ismertetése

1. Ellenőrizze, hogy az alkalmazás megbízható forrásból származik-e.
2. Ellenőrizze, hogy az alkalmazás újonnan lett-e létrehozva, vagy történt-e rajta legutóbbi módosítás.
3. Tekintse át az alkalmazásnak adott engedélyeket és az alkalmazáshoz hozzájáruló felhasználókat.
4. Vizsgálja meg az összes többi alkalmazástevékenységet.

Az alkalmazás nagy fontossággal bírt a levelek olvasására és a beérkezett üzenetekre irányuló szabályok létrehozásában

Súlyosság: Közepes

MITRE azonosítók: T1137, T1114

Ez az észlelés azt azonosítja, hogy egy alkalmazás hozzájárult a magas jogosultsági szintű hatókörhöz, gyanús beérkezett üzenetekre vonatkozó szabályt hoz létre, és a Graph API-n keresztül nagy mennyiségű fontos levélolvasási tevékenységet végzett. Ez jelentheti a szervezet megsértésének kísérletét, például olyan támadókat, aki a Graph API-n keresztül próbál nagy jelentőséggel bíró e-maileket olvasni a szervezettől. 

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy nagy mennyiségű fontos e-mailt olvas be a Graph API-n keresztül egy magas jogosultsági hatókörű OAuth-alkalmazás, és az alkalmazás ismeretlen forrásból származik. 

  Javasolt művelet: Az alkalmazás letiltása és eltávolítása, a jelszó alaphelyzetbe állítása és a beérkezett üzenetekre vonatkozó szabály eltávolítása. 

• FP: Ha meg tudja erősíteni, hogy az alkalmazás nagy mennyiségű fontos e-mailt olvasott a Graph API-n keresztül, és létrehozott egy beérkezett üzenetekre vonatkozó szabályt egy új vagy személyes külső e-mail fiókba jogos okokból. 

  Javasolt művelet: A riasztás elvetése

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet. 
2. Tekintse át az alkalmazás által megadott hatóköröket. 
3. Tekintse át az alkalmazás által létrehozott beérkezett üzenetekre vonatkozó szabályműveleteket. 
4. Tekintse át az alkalmazás által végzett fontos e-mail-olvasási tevékenységeket.

A privileged alkalmazás szokatlan tevékenységeket hajtott végre a Teamsben

Súlyosság: Közepes

Ez az észlelés azonosítja azokat az alkalmazásokat, amelyek nagy jogosultságú OAuth-hatókörökhöz járultak hozzá, és hozzáfértek a Microsoft Teamshez, és szokatlan mennyiségű olvasási vagy közzétételi csevegési tevékenységet hajtottak végre a Graph API-n keresztül. Ez jelentheti a szervezet megsértésének kísérletét, például olyan támadókat, aki a Graph API-n keresztül próbál információkat gyűjteni a szervezettől.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy a Microsoft Teamsben a Graph API-n keresztüli szokatlan csevegőüzenet-tevékenységeket egy magas jogosultsági hatókörű OAuth-alkalmazás végzi, és az alkalmazás ismeretlen forrásból származik.

  Ajánlott művelet: Az alkalmazás letiltása és eltávolítása, valamint a jelszó alaphelyzetbe állítása

• FP: Ha meg tudja erősíteni, hogy a Microsoft Teamsben a Graph API-n keresztül végzett szokatlan tevékenységek jogos okokból történtek.

  Javasolt művelet: A riasztás elvetése

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által megadott hatóköröket.
2. Tekintse át az alkalmazás által végzett összes tevékenységet.
3. Tekintse át az alkalmazáshoz társított felhasználói tevékenységet.

Rendellenes OneDrive-tevékenység alkalmazás szerint, amely most frissítette vagy új hitelesítő adatokat adott hozzá

Súlyosság: Közepes

MITRE azonosítók: T1098.001, T1213

Egy nem Microsoft-felhőalkalmazás rendellenes Graph API-hívásokat indított a OneDrive-ra, beleértve a nagy mennyiségű adathasználatot is. A gépi tanulás észleli ezeket a szokatlan API-hívásokat néhány nappal azután, hogy az alkalmazás új vagy frissített meglévő tanúsítványokat/titkos kulcsokat adott hozzá. Ez az alkalmazás részt vehet az adatkiszivárgásban, vagy más, bizalmas információk elérésére és lekérésére tett kísérletekben.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az alkalmazás a Graph API-n keresztül hajtotta végre a szokatlan tevékenységeket, például a OneDrive-számítási feladatok nagy mennyiségű használatát.

  Javasolt művelet: Ideiglenesen tiltsa le az alkalmazást, állítsa alaphelyzetbe a jelszót, majd engedélyezze újra az alkalmazást.

• FP: Ha meg tudja győződni arról, hogy az alkalmazás nem végzett szokatlan tevékenységeket, vagy hogy az alkalmazás szokatlanul nagy mennyiségű Graph-hívás indítására szolgál.

  Javasolt művelet: A riasztás elvetése

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Tekintse át az alkalmazás által megadott hatóköröket.
3. Tekintse át az alkalmazáshoz társított felhasználói tevékenységet.

Rendellenes SharePoint-tevékenység alkalmazásonként, amely most frissítette vagy új hitelesítő adatokat adott hozzá

Súlyosság: Közepes

MITRE azonosítók: T1098.001, T1213.002

Egy nem Microsoft-felhőalkalmazás rendellenes Graph API-hívásokat indított a SharePointba, beleértve a nagy mennyiségű adathasználatot is. A gépi tanulás észleli ezeket a szokatlan API-hívásokat néhány nappal azután, hogy az alkalmazás új vagy frissített meglévő tanúsítványokat/titkos kulcsokat adott hozzá. Ez az alkalmazás részt vehet az adatkiszivárgásban, vagy más, bizalmas információk elérésére és lekérésére tett kísérletekben.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az alkalmazás a Graph API-n keresztül hajtotta végre a szokatlan tevékenységeket, például a SharePoint-számítási feladatok nagy mennyiségű használatát.

  Javasolt művelet: Ideiglenesen tiltsa le az alkalmazást, állítsa alaphelyzetbe a jelszót, majd engedélyezze újra az alkalmazást.

• FP: Ha meg tudja győződni arról, hogy az alkalmazás nem végzett szokatlan tevékenységeket, vagy hogy az alkalmazás szokatlanul nagy mennyiségű Graph-hívás indítására szolgál.

  Javasolt művelet: A riasztás elvetése

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Tekintse át az alkalmazás által megadott hatóköröket.
3. Tekintse át az alkalmazáshoz társított felhasználói tevékenységet.

Gyanús levelezési tevékenységhez társított alkalmazás-metaadatok

Súlyosság: Közepes

MITRE-azonosítók: T1114

Ez az észlelés olyan, nem Microsoft OAuth-alkalmazásokra vonatkozó riasztásokat hoz létre, amelyek metaadatait( például nevet, URL-címet vagy közzétevőt) korábban a gyanús levelezési tevékenységgel rendelkező alkalmazásokban figyelték meg. Ez az alkalmazás egy támadási kampány része lehet, és részt vehet a bizalmas információk kiszűrésében.

TP vagy FP?

• TP: Ha meg tudja győződni arról, hogy az alkalmazás postaládaszabályokat hozott létre, vagy nagyszámú szokatlan Graph API-hívást indított az Exchange számítási feladathoz.

  Javasolt művelet:

  • Vizsgálja meg az alkalmazás regisztrációjának adatait az alkalmazásirányítással kapcsolatban, és további részletekért látogasson el a Microsoft Entra ID azonosítójára.
  • Lépjen kapcsolatba az alkalmazáshoz hozzájárulást vagy engedélyeket kérő felhasználókat vagy rendszergazdákat. Ellenőrizze, hogy a módosítások szándékosak-e.
  • Keresse meg a CloudAppEvents Speciális vadásztáblát az alkalmazástevékenységek megismeréséhez és az alkalmazás által elért adatok azonosításához. Ellenőrizze az érintett postaládákat, és tekintse át azokat az üzeneteket, amelyeket maga az alkalmazás vagy az általa létrehozott szabályok olvastak vagy továbbítottak.
  • Mielőtt megfontolja az elszigetelési műveleteket, ellenőrizze, hogy az alkalmazás kritikus fontosságú-e a szervezet számára. Inaktiválja az alkalmazást az alkalmazásirányítás vagy a Microsoft Entra-azonosító használatával, hogy megakadályozza az erőforrások elérését. Lehetséges, hogy a meglévő alkalmazásszabályozási szabályzatok már inaktiválták az alkalmazást.

• FP: Ha meg tudja győződni arról, hogy az alkalmazás nem végzett szokatlan tevékenységeket, és hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben.

  Javasolt művelet: A riasztás elvetése

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Tekintse át az alkalmazásnak megadott hatóköröket.
3. Tekintse át az alkalmazáshoz társított felhasználói tevékenységet.

EWS-alkalmazásengedélyekkel rendelkező alkalmazás, amely számos e-mailhez fér hozzá

Súlyosság: Közepes

MITRE-azonosítók: T1114

Ez az észlelés riasztásokat hoz létre az EWS-alkalmazásengedélyekkel rendelkező több-bérlős felhőalkalmazások esetében, amelyek jelentős növekedést mutatnak az Exchange Web Services API-ra irányuló hívásokban, amelyek az e-mailek számbavételére és gyűjtésére vonatkoznak. Ez az alkalmazás részt vehet a bizalmas e-mail-adatok elérésében és beolvasásában.

TP vagy FP?

• TP: Ha meg tudja győződni arról, hogy az alkalmazás hozzáfért a bizalmas e-mail-adatokhoz, vagy nagy számú szokatlan hívást kezdeményezett az Exchange számítási feladataihoz.

  Javasolt művelet:

  • Vizsgálja meg az alkalmazás regisztrációjának adatait az alkalmazásirányítással kapcsolatban, és további részletekért látogasson el a Microsoft Entra ID azonosítójára.
  • Lépjen kapcsolatba az alkalmazáshoz hozzájárulást vagy engedélyeket kérő felhasználókat vagy rendszergazdákat. Ellenőrizze, hogy a módosítások szándékosak-e.
  • Keresse meg a CloudAppEvents Speciális vadásztáblát az alkalmazástevékenységek megismeréséhez és az alkalmazás által elért adatok azonosításához. Ellenőrizze az érintett postaládákat, és tekintse át azokat az üzeneteket, amelyeket maga az alkalmazás vagy az általa létrehozott szabályok olvastak vagy továbbítottak.
  • Mielőtt megfontolja az elszigetelési műveleteket, ellenőrizze, hogy az alkalmazás kritikus fontosságú-e a szervezet számára. Inaktiválja az alkalmazást az alkalmazásirányítás vagy a Microsoft Entra-azonosító használatával, hogy megakadályozza az erőforrások elérését. Lehetséges, hogy a meglévő alkalmazásszabályozási szabályzatok már inaktiválták az alkalmazást.

• FP: Ha meg tudja győződni arról, hogy az alkalmazás nem végzett szokatlan tevékenységeket, és hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben.

  Javasolt művelet: A riasztás elvetése

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Tekintse át az alkalmazásnak megadott hatóköröket.
3. Tekintse át az alkalmazáshoz társított felhasználói tevékenységet.

Nem használt alkalmazás, amely újonnan fér hozzá az API-khoz

Súlyosság: Közepes

MITRE azonosítók: T1530

Ez az észlelés riasztásokat hoz létre egy olyan több-bérlős felhőalkalmazáshoz, amely egy ideje inaktív, és nemrég kezdett API-hívásokat kezdeményezni. Előfordulhat, hogy egy támadó feltöri ezt az alkalmazást, és bizalmas adatok elérésére és lekérésére szolgál.

TP vagy FP?

• TP: Ha meg tudja győződni arról, hogy az alkalmazás hozzáfért a bizalmas adatokhoz, vagy nagyszámú szokatlan hívást kezdeményezett a Microsoft Graph, az Exchange vagy az Azure Resource Manager számítási feladataihoz.

  Javasolt művelet:

  • Vizsgálja meg az alkalmazás regisztrációjának adatait az alkalmazásirányítással kapcsolatban, és további részletekért látogasson el a Microsoft Entra ID azonosítójára.
  • Lépjen kapcsolatba az alkalmazáshoz hozzájárulást vagy engedélyeket kérő felhasználókat vagy rendszergazdákat. Ellenőrizze, hogy a módosítások szándékosak-e.
  • Keresse meg a CloudAppEvents Speciális vadásztáblát az alkalmazástevékenységek megismeréséhez és az alkalmazás által elért adatok azonosításához. Ellenőrizze az érintett postaládákat, és tekintse át azokat az üzeneteket, amelyeket maga az alkalmazás vagy az általa létrehozott szabályok olvastak vagy továbbítottak.
  • Mielőtt megfontolja az elszigetelési műveleteket, ellenőrizze, hogy az alkalmazás kritikus fontosságú-e a szervezet számára. Inaktiválja az alkalmazást az alkalmazásirányítás vagy a Microsoft Entra-azonosító használatával, hogy megakadályozza az erőforrások elérését. Lehetséges, hogy a meglévő alkalmazásszabályozási szabályzatok már inaktiválták az alkalmazást.

• FP: Ha meg tudja győződni arról, hogy az alkalmazás nem végzett szokatlan tevékenységeket, és hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben.

  Javasolt művelet: A riasztás elvetése

A szabálysértés hatókörének ismertetése

1. Tekintse át az alkalmazás által végzett összes tevékenységet.
2. Tekintse át az alkalmazásnak megadott hatóköröket.
3. Tekintse át az alkalmazáshoz társított felhasználói tevékenységet.

Hatásriasztások

Ez a szakasz olyan riasztásokat ír le, amelyek azt jelzik, hogy egy rosszindulatú szereplő megpróbálhatja manipulálni, megszakítani vagy megsemmisíteni a szervezet rendszereit és adatait.

Entra Üzletági alkalmazás, amely rendellenes csúcsot indít el a virtuális gépek létrehozásában

Súlyosság: Közepes

MITRE-azonosító: T1496

Ez az észlelés azonosít egy új bérlői OAuth-alkalmazást, amely az Azure-beli virtuális gépek nagy részét hozza létre a bérlőben az Azure Resource Manager API használatával.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy az OAuth-alkalmazás nemrég lett létrehozva, és nagy számú virtuális gépet hoz létre a bérlőjében, akkor a rendszer valódi pozitív értéket jelez.

  Ajánlott műveletek: Tekintse át a létrehozott virtuális gépeket és az alkalmazás legutóbbi módosításait. A vizsgálat alapján dönthet úgy, hogy letiltja az alkalmazáshoz való hozzáférést. Tekintse át az alkalmazás által kért engedélyek szintjét, és hogy mely felhasználók kaptak hozzáférést.

• FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének megismerése:

1. Tekintse át a közelmúltban létrehozott alkalmazásokat és a virtuális gépeket.
2. Tekintse át az alkalmazás által végzett összes tevékenységet a létrehozása óta.
3. Tekintse át az alkalmazás által a Graph API-ban biztosított hatóköröket és az előfizetésben neki biztosított szerepköröket.

A Microsoft Graphban nagy hatókörű jogosultságokkal rendelkező OAuth-alkalmazást figyeltek meg a virtuális gépek létrehozásának kezdeményezéséhez

Súlyosság: Közepes

MITRE-azonosító: T1496

Ez az észlelés azonosítja azokat az OAuth-alkalmazásokat, amelyek az Azure Resource Manager API használatával hoznak létre azure-beli virtuális gépeket a bérlőben, miközben a tevékenység előtt az MS Graph API-n keresztül magas jogosultsággal rendelkeznek a bérlőben.

TP vagy FP?

• TP: Ha meg tudja erősíteni, hogy a magas jogosultsági hatókörrel rendelkező OAuth-alkalmazás létrejött, és nagy számú virtuális gépet hoz létre a bérlőjében, akkor a rendszer valódi pozitív értéket jelez.

  Ajánlott műveletek: Tekintse át a létrehozott virtuális gépeket és az alkalmazás legutóbbi módosításait. A vizsgálat alapján dönthet úgy, hogy letiltja az alkalmazáshoz való hozzáférést. Tekintse át az alkalmazás által kért engedélyek szintjét, és hogy mely felhasználók kaptak hozzáférést.

• FP: Ha a vizsgálat után meggyőződhet arról, hogy az alkalmazás jogszerű üzleti használattal rendelkezik a szervezetben.

  Javasolt művelet: A riasztás elvetése.

A szabálysértés hatókörének megismerése:

1. Tekintse át a közelmúltban létrehozott alkalmazásokat és a virtuális gépeket.
2. Tekintse át az alkalmazás által végzett összes tevékenységet a létrehozása óta.
3. Tekintse át az alkalmazás által a Graph API-ban biztosított hatóköröket és az előfizetésben neki biztosított szerepköröket.

Következő lépések

Alkalmazásszabályozási riasztások kezelése