Menyelidiki pemberitahuan deteksi ancaman

Tata kelola aplikasi menyediakan deteksi dan pemberitahuan keamanan untuk aktivitas berbahaya. Artikel ini mencantumkan detail untuk setiap pemberitahuan yang dapat membantu penyelidikan dan remediasi Anda, termasuk kondisi untuk memicu pemberitahuan. Karena deteksi ancaman bersifat nondeterministik, deteksi ancaman hanya dipicu ketika ada perilaku yang menyimpang dari norma.

Untuk informasi selengkapnya, lihat Tata kelola aplikasi di Microsoft Defender untuk Cloud Apps

Catatan

Deteksi ancaman tata kelola aplikasi didasarkan pada penghitungan aktivitas pada data yang bersifat sementara dan mungkin tidak disimpan, oleh karena itu pemberitahuan dapat memberikan jumlah aktivitas atau indikasi lonjakan, tetapi belum tentu semua data yang relevan. Khusus untuk aktivitas API Graph aplikasi OAuth, aktivitas itu sendiri dapat diaudit oleh penyewa menggunakan Analitik Log dan Sentinel.

Untuk informasi selengkapnya, lihat:

• Mengakses log aktivitas Microsoft Graph
• Menganalisis log aktivitas menggunakan Analitik Log

MITRE ATT&CK

Untuk mempermudah pemetaan hubungan antara pemberitahuan tata kelola aplikasi dan MITRE ATT&CK Matrix yang akrab, kami telah mengategorikan pemberitahuan dengan taktik MITRE ATT&CK yang sesuai. Referensi tambahan ini memudahkan untuk memahami teknik serangan yang dicurigai berpotensi digunakan ketika pemberitahuan tata kelola aplikasi dipicu.

Panduan ini menyediakan informasi tentang menyelidiki dan memulihkan pemberitahuan tata kelola aplikasi dalam kategori berikut.

• Akses Awal
• Eksekusi
• Persistensi
• Eskalasi Hak Istimewa
• Penghindaran Pertahanan
• Akses Kredensial
• Penemuan
• Gerakan Lateral
• Koleksi
• Penyelundupan
• Dampak

Klasifikasi pemberitahuan keamanan

Setelah penyelidikan yang tepat, semua pemberitahuan tata kelola aplikasi dapat diklasifikasikan sebagai salah satu jenis aktivitas berikut:

• True positive (TP): Pemberitahuan tentang aktivitas berbahaya yang dikonfirmasi.
• Positif sejati jinak (B-TP): Pemberitahuan tentang aktivitas mencurigakan tetapi tidak berbahaya, seperti tes penetrasi atau tindakan mencurigakan resmi lainnya.
• Positif palsu (FP): Pemberitahuan tentang aktivitas yang tidak berbahaya.

Langkah-langkah investigasi umum

Gunakan panduan umum berikut saat menyelidiki semua jenis pemberitahuan untuk mendapatkan pemahaman yang lebih jelas tentang potensi ancaman sebelum menerapkan tindakan yang direkomendasikan.

• Tinjau tingkat keparahan aplikasi dan bandingkan dengan aplikasi lainnya di penyewa Anda. Tinjauan ini membantu Anda mengidentifikasi Aplikasi mana di penyewa Anda yang menimbulkan risiko yang lebih besar.

• Jika Anda mengidentifikasi TP, tinjau semua aktivitas Aplikasi untuk mendapatkan pemahaman tentang dampaknya. Misalnya, tinjau informasi Aplikasi berikut:

  • Cakupan yang diberikan akses
  • Perilaku tidak bisa
  • Alamat IP dan lokasi

Pemberitahuan akses awal

Bagian ini menjelaskan pemberitahuan yang menunjukkan bahwa aplikasi berbahaya mungkin mencoba mempertahankan pijakan mereka di organisasi Anda.

Aplikasi mengalihkan ke URL pengelabuan dengan mengeksploitasi kerentanan pengalihan OAuth

Tingkat keparahan: Sedang

Deteksi ini mengidentifikasi aplikasi OAuth yang mengalihkan ke URL pengelabuan dengan mengeksploitasi parameter jenis respons dalam implementasi OAuth melalui Microsoft Graph API.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aplikasi OAuth dikirimkan dari sumber yang tidak diketahui, jenis respons URL balasan setelah menyetujui aplikasi OAuth berisi permintaan yang tidak valid, dan mengalihkan ke URL balasan yang tidak diketahui atau tidak tepercaya.

  Tindakan yang direkomendasikan: Nonaktifkan dan hapus aplikasi, atur ulang kata sandi, dan hapus aturan kotak masuk. 

• FP: Jika setelah diselidiki, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi. 
2. Tinjau cakupan yang diberikan oleh aplikasi. 

Aplikasi OAuth dengan URL Balasan yang mencurigakan

Tingkat keparahan: Sedang

Deteksi ini mengidentifikasi aplikasi OAuth mengakses URL Balasan yang mencurigakan melalui Microsoft Graph API.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aplikasi OAuth dikirimkan dari sumber yang tidak diketahui, dan mengalihkan ke URL yang mencurigakan, maka positif sejati ditunjukkan. URL yang mencurigakan adalah url di mana reputasi URL tidak diketahui, tidak tepercaya, atau yang domainnya baru saja didaftarkan dan permintaan aplikasi adalah untuk cakupan hak istimewa tinggi.

  Tindakan yang direkomendasikan: Tinjau URL Balasan, domain, dan cakupan yang diminta oleh aplikasi. Berdasarkan investigasi, Anda dapat memilih untuk melarang akses ke aplikasi ini. Tinjau tingkat izin yang diminta oleh aplikasi ini dan pengguna mana yang diberikan akses.

  Untuk melarang akses ke aplikasi, buka tab relevan untuk aplikasi Anda di halaman Tata kelola aplikasi. Pada baris tempat aplikasi yang ingin Anda larang muncul, pilih ikon larangan. Anda dapat memilih apakah Anda ingin memberi tahu pengguna bahwa aplikasi yang diinstal dan diotorisasi telah dilarang. Pemberitahuan ini memberi tahu pengguna bahwa aplikasi akan dinonaktifkan, dan mereka tidak akan memiliki akses ke aplikasi yang terhubung. Jika Anda tidak ingin mereka mengetahuinya, batal pilih Beri tahu pengguna yang memberikan akses ke aplikasi terlarang ini dalam dialog. Kami menyarankan agar Anda memberi tahu pengguna aplikasi bahwa aplikasi mereka akan dilarang digunakan.

• FP: Jika setelah diselidiki, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau aplikasi yang dibuat baru-baru ini dan URL Balasannya.

2. Tinjau semua aktivitas yang dilakukan oleh aplikasi. 

3. Tinjau cakupan yang diberikan oleh aplikasi. 

Aplikasi yang dibuat baru-baru ini memiliki tingkat persetujuan rendah

Tingkat keparahan: Rendah

Deteksi ini mengidentifikasi aplikasi OAuth yang dibuat baru-baru ini dan ditemukan memiliki tingkat persetujuan yang rendah. Ini dapat menunjukkan aplikasi berbahaya atau berisiko yang memikat pengguna dalam pemberian persetujuan terlarang.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aplikasi OAuth dikirimkan dari sumber yang tidak diketahui, maka positif sejati ditunjukkan.

  Tindakan yang direkomendasikan: Tinjau nama tampilan, URL Balasan, dan domain aplikasi. Berdasarkan investigasi, Anda dapat memilih untuk melarang akses ke aplikasi ini. Tinjau tingkat izin yang diminta oleh aplikasi ini dan pengguna mana yang memberikan akses.

• FP: Jika setelah diselidiki, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi.
2. Jika Anda menduga bahwa aplikasi mencurigakan, kami sarankan Anda menyelidiki nama aplikasi dan domain balasan di penyimpanan aplikasi yang berbeda. Saat memeriksa penyimpanan aplikasi, fokus pada jenis aplikasi berikut:
   • Aplikasi yang baru-baru ini dibuat
   • Aplikasi dengan nama tampilan yang tidak biasa
   • Aplikasi dengan domain Balasan yang mencurigakan
3. Jika Anda masih menduga bahwa aplikasi mencurigakan, Anda dapat meneliti nama tampilan aplikasi dan domain balasan.

Aplikasi dengan reputasi URL buruk

Tingkat keparahan: Sedang

Deteksi ini mengidentifikasi aplikasi OAuth yang ditemukan memiliki reputasi URL yang buruk.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aplikasi OAuth dikirimkan dari sumber yang tidak diketahui dan dialihkan ke URL yang mencurigakan, maka positif sejati ditunjukkan.

  Tindakan yang direkomendasikan: Tinjau URL Balasan, domain, dan cakupan yang diminta oleh aplikasi. Berdasarkan investigasi, Anda dapat memilih untuk melarang akses ke aplikasi ini. Tinjau tingkat izin yang diminta oleh aplikasi ini dan pengguna mana yang telah memberikan akses.

• FP: Jika setelah diselidiki, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi.
2. Jika Anda menduga bahwa aplikasi mencurigakan, kami sarankan Anda menyelidiki nama aplikasi dan domain balasan di penyimpanan aplikasi yang berbeda. Saat memeriksa penyimpanan aplikasi, fokus pada jenis aplikasi berikut:
   • Aplikasi yang baru-baru ini dibuat
   • Aplikasi dengan nama tampilan yang tidak biasa
   • Aplikasi dengan domain Balasan yang mencurigakan
3. Jika Anda masih menduga bahwa aplikasi mencurigakan, Anda dapat meneliti nama tampilan aplikasi dan domain balasan.

Nama aplikasi yang dikodekan dengan cakupan persetujuan yang mencurigakan

Tingkat keparahan: Sedang

Deskripsi: Deteksi ini mengidentifikasi aplikasi OAuth dengan karakter, seperti karakter Unicode atau dikodekan, diminta untuk cakupan persetujuan yang mencurigakan dan yang mengakses folder email pengguna melalui Graph API. Pemberitahuan ini dapat menunjukkan upaya untuk menyamuflase aplikasi berbahaya sebagai aplikasi yang diketahui dan tepercaya sehingga lawan dapat menyesatkan pengguna untuk menyetujui aplikasi berbahaya.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aplikasi OAuth telah mengodekan nama tampilan dengan cakupan mencurigakan yang dikirimkan dari sumber yang tidak diketahui, maka positif sejati ditunjukkan.

  Tindakan yang direkomendasikan: Tinjau tingkat izin yang diminta oleh aplikasi ini dan pengguna mana yang memberikan akses. Berdasarkan investigasi, Anda dapat memilih untuk melarang akses ke aplikasi ini.

  Untuk melarang akses ke aplikasi, buka tab relevan untuk aplikasi Anda di halaman Tata kelola aplikasi. Pada baris tempat aplikasi yang ingin Anda larang muncul, pilih ikon larangan. Anda dapat memilih apakah Anda ingin memberi tahu pengguna bahwa aplikasi yang diinstal dan diotorisasi telah dilarang. Pemberitahuan ini memberi tahu pengguna bahwa aplikasi akan dinonaktifkan dan mereka tidak akan memiliki akses ke aplikasi yang terhubung. Jika Anda tidak ingin mereka mengetahuinya, batal pilih Beri tahu pengguna yang memberikan akses ke aplikasi terlarang ini dalam dialog. Kami menyarankan agar Anda memberi tahu pengguna aplikasi bahwa aplikasi mereka akan dilarang digunakan.

• FP: Jika Anda mengonfirmasi bahwa aplikasi memiliki nama yang dikodekan tetapi memiliki penggunaan bisnis yang sah di organisasi.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

Ikuti tutorial tentang cara menyelidiki aplikasi OAuth berisiko.

Aplikasi OAuth dengan cakupan Baca memiliki URL Balasan yang mencurigakan

Tingkat keparahan: Sedang

Deskripsi: Deteksi ini mengidentifikasi aplikasi OAuth hanya dengan cakupan Baca seperti User.Read, Orang. Baca, Contacts.Read, Mail.Read, Contacts.Read. Pengalihan bersama ke URL Balasan yang mencurigakan melalui Graph API. Aktivitas ini mencoba menunjukkan bahwa aplikasi berbahaya dengan izin hak istimewa yang lebih sedikit (seperti cakupan Baca) dapat dieksploitasi untuk melakukan pengintaian akun pengguna.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aplikasi OAuth dengan cakupan baca dikirimkan dari sumber yang tidak diketahui, dan mengalihkan ke URL yang mencurigakan, maka positif sejati ditunjukkan.

  Tindakan yang direkomendasikan: Tinjau URL Balasan dan cakupan yang diminta oleh aplikasi. Berdasarkan investigasi, Anda dapat memilih untuk melarang akses ke aplikasi ini. Tinjau tingkat izin yang diminta oleh aplikasi ini dan pengguna mana yang telah memberikan akses.

  Untuk melarang akses ke aplikasi, buka tab relevan untuk aplikasi Anda di halaman Tata kelola aplikasi. Pada baris tempat aplikasi yang ingin Anda larang muncul, pilih ikon larangan. Anda dapat memilih apakah Anda ingin memberi tahu pengguna bahwa aplikasi yang diinstal dan diotorisasi telah dilarang. Pemberitahuan ini memberi tahu pengguna bahwa aplikasi akan dinonaktifkan dan mereka tidak akan memiliki akses ke aplikasi yang terhubung. Jika Anda tidak ingin mereka mengetahuinya, batal pilih Beri tahu pengguna yang memberikan akses ke aplikasi terlarang ini dalam dialog. Kami menyarankan agar Anda memberi tahu pengguna aplikasi bahwa aplikasi mereka akan dilarang digunakan.

• B-TP: Jika setelah diselidiki, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi.
2. Jika Anda menduga bahwa aplikasi mencurigakan, kami sarankan Anda menyelidiki nama aplikasi dan URL Balasan di penyimpanan aplikasi yang berbeda. Saat memeriksa penyimpanan aplikasi, fokus pada jenis aplikasi berikut:
   • Aplikasi yang telah dibuat baru-baru ini.
   • Aplikasi dengan URL Balasan yang mencurigakan
   • Aplikasi yang belum diperbarui baru-baru ini. Kurangnya pembaruan mungkin menunjukkan aplikasi tidak lagi didukung.
3. Jika Anda masih menduga bahwa aplikasi mencurigakan, Anda dapat meneliti nama aplikasi, nama penerbit, dan URL balasan secara online

Aplikasi dengan nama tampilan yang tidak biasa dan TLD yang tidak biasa di domain Balasan

Tingkat keparahan: Sedang

Deteksi ini mengidentifikasi aplikasi dengan nama tampilan yang tidak biasa dan mengalihkan ke domain balasan yang mencurigakan dengan domain tingkat Atas (TLD) yang tidak biasa melalui Graph API. Ini dapat menunjukkan upaya untuk menyamuflase aplikasi berbahaya atau berisiko sebagai aplikasi yang dikenal dan tepercaya sehingga lawan dapat menyesatkan pengguna untuk menyetujui aplikasi berbahaya atau berisiko mereka. 

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aplikasi dengan nama tampilan yang tidak biasa dikirimkan dari sumber yang tidak diketahui dan mengalihkan ke domain mencurigakan yang memiliki domain tingkat Atas yang tidak biasa

  Tindakan yang direkomendasikan: Tinjau nama tampilan dan domain Balasan aplikasi. Berdasarkan investigasi, Anda dapat memilih untuk melarang akses ke aplikasi ini. Tinjau tingkat izin yang diminta oleh aplikasi ini dan pengguna mana yang memberikan akses.

• FP: Jika setelah diselidiki, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi.

  Tindakan yang Direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

Tinjau semua aktivitas yang dilakukan oleh aplikasi. Jika Anda menduga bahwa aplikasi mencurigakan, kami sarankan Anda menyelidiki nama aplikasi dan domain balasan di penyimpanan aplikasi yang berbeda. Saat memeriksa penyimpanan aplikasi, fokus pada jenis aplikasi berikut:

• Aplikasi yang baru-baru ini dibuat
• Aplikasi dengan nama tampilan yang tidak biasa
• Aplikasi dengan domain Balasan yang mencurigakan

Jika Anda masih menduga bahwa aplikasi mencurigakan, Anda dapat meneliti nama tampilan aplikasi dan domain balasan.

Aplikasi baru dengan izin email yang memiliki pola persetujuan rendah

Tingkat keparahan: Sedang

Deteksi ini mengidentifikasi aplikasi OAuth yang dibuat baru-baru ini di penyewa penerbit yang relatif baru dengan karakteristik berikut:

• Izin untuk mengakses atau mengubah pengaturan kotak surat
• Tingkat persetujuan yang relatif rendah, yang dapat mengidentifikasi aplikasi yang tidak diinginkan atau bahkan berbahaya yang mencoba mendapatkan persetujuan dari pengguna yang tidak curiga

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa permintaan persetujuan ke aplikasi dikirimkan dari sumber yang tidak diketahui atau eksternal dan aplikasi tidak memiliki penggunaan bisnis yang sah dalam organisasi, maka positif sejati ditunjukkan.

  Tindakan yang direkomendasikan:

  • Hubungi pengguna dan admin yang telah memberikan persetujuan ke aplikasi ini untuk mengonfirmasi bahwa ini disengaja dan hak istimewa yang berlebihan adalah normal.
  • Selidiki aktivitas aplikasi dan periksa akun yang terpengaruh untuk aktivitas yang mencurigakan.
  • Berdasarkan investigasi Anda, nonaktifkan aplikasi dan tangguhkan dan atur ulang kata sandi untuk semua akun yang terpengaruh.
  • Klasifikasikan pemberitahuan sebagai positif sejati.

• FP: Jika setelah diselidiki, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi.

  Tindakan yang Direkomendasikan: Mengklasifikasikan pemberitahuan sebagai positif palsu dan pertimbangkan untuk berbagi umpan balik berdasarkan penyelidikan Anda atas pemberitahuan.

Memahami cakupan pelanggaran

Tinjau pemberian persetujuan untuk aplikasi yang dibuat oleh pengguna dan admin. Selidiki semua aktivitas yang dilakukan oleh aplikasi, terutama akses ke kotak surat pengguna dan akun admin terkait. Jika Anda menduga bahwa aplikasi mencurigakan, pertimbangkan untuk menonaktifkan aplikasi dan memutar kredensial semua akun yang terpengaruh.

Aplikasi baru dengan tingkat persetujuan rendah yang mengakses banyak email

Tingkat keparahan: Sedang

Pemberitahuan ini mengidentifikasi aplikasi OAuth yang baru-baru ini terdaftar di penyewa penerbit yang relatif baru dengan izin untuk mengubah pengaturan kotak surat dan mengakses email. Ini juga memverifikasi apakah aplikasi memiliki tingkat persetujuan global yang relatif rendah dan melakukan banyak panggilan ke Microsoft Graph API untuk mengakses email pengguna yang menyetujui. Aplikasi yang memicu pemberitahuan ini mungkin merupakan aplikasi yang tidak diinginkan atau berbahaya yang mencoba mendapatkan persetujuan dari pengguna yang tidak curiga.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa permintaan persetujuan ke aplikasi dikirimkan dari sumber yang tidak diketahui atau eksternal dan aplikasi tidak memiliki penggunaan bisnis yang sah dalam organisasi, maka positif sejati ditunjukkan.

  Tindakan yang direkomendasikan:

  • Hubungi pengguna dan admin yang telah memberikan persetujuan ke aplikasi ini untuk mengonfirmasi bahwa ini disengaja dan hak istimewa yang berlebihan adalah normal.
  • Selidiki aktivitas aplikasi dan periksa akun yang terpengaruh untuk aktivitas yang mencurigakan.
  • Berdasarkan investigasi Anda, nonaktifkan aplikasi dan tangguhkan dan atur ulang kata sandi untuk semua akun yang terpengaruh.
  • Klasifikasikan pemberitahuan sebagai positif sejati.

• FP: Jika setelah penyelidikan, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi, maka positif palsu ditunjukkan.

  Tindakan yang Direkomendasikan: Mengklasifikasikan pemberitahuan sebagai positif palsu dan pertimbangkan untuk berbagi umpan balik berdasarkan penyelidikan Anda atas pemberitahuan.

Memahami cakupan pelanggaran

Tinjau pemberian persetujuan untuk aplikasi yang dibuat oleh pengguna dan admin. Selidiki semua aktivitas yang dilakukan oleh aplikasi, terutama akses ke kotak surat pengguna dan akun admin terkait. Jika Anda menduga bahwa aplikasi mencurigakan, pertimbangkan untuk menonaktifkan aplikasi dan memutar kredensial semua akun yang terpengaruh.

Aplikasi mencurigakan dengan izin email yang mengirim banyak email

Tingkat keparahan: Sedang

Pemberitahuan ini menemukan aplikasi OAuth multipenyewa yang telah melakukan banyak panggilan ke Microsoft Graph API untuk mengirim email dalam waktu singkat. Ini juga memverifikasi apakah panggilan API telah mengakibatkan kesalahan dan upaya gagal untuk mengirim email. Aplikasi yang memicu pemberitahuan ini mungkin secara aktif mengirim spam atau email berbahaya ke target lain.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa permintaan persetujuan ke aplikasi dikirimkan dari sumber yang tidak diketahui atau eksternal dan aplikasi tidak memiliki penggunaan bisnis yang sah dalam organisasi, maka positif sejati ditunjukkan.

  Tindakan yang direkomendasikan:

  • Hubungi pengguna dan admin yang telah memberikan persetujuan ke aplikasi ini untuk mengonfirmasi bahwa ini disengaja dan hak istimewa yang berlebihan adalah normal.
  • Selidiki aktivitas aplikasi dan periksa akun yang terpengaruh untuk aktivitas yang mencurigakan.
  • Berdasarkan investigasi Anda, nonaktifkan aplikasi dan tangguhkan dan atur ulang kata sandi untuk semua akun yang terpengaruh.
  • Klasifikasikan pemberitahuan sebagai positif sejati.

• FP: Jika setelah penyelidikan, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi, maka positif palsu ditunjukkan.

  Tindakan yang Direkomendasikan: Mengklasifikasikan pemberitahuan sebagai positif palsu dan pertimbangkan untuk berbagi umpan balik berdasarkan penyelidikan Anda atas pemberitahuan.

Memahami cakupan pelanggaran

Tinjau pemberian persetujuan untuk aplikasi yang dibuat oleh pengguna dan admin. Selidiki semua aktivitas yang dilakukan oleh aplikasi, terutama akses ke kotak surat pengguna dan akun admin terkait. Jika Anda menduga bahwa aplikasi mencurigakan, pertimbangkan untuk menonaktifkan aplikasi dan memutar kredensial semua akun yang terpengaruh.

Aplikasi OAuth mencurigakan yang digunakan untuk mengirim banyak email

Tingkat keparahan: Sedang

Pemberitahuan ini menunjukkan aplikasi OAuth yang telah melakukan banyak panggilan ke Microsoft Graph API untuk mengirim email dalam waktu singkat. Penyewa penerbit aplikasi ini diketahui menelurkan aplikasi OAuth dalam volume tinggi yang membuat panggilan Microsoft Graph API serupa. Penyerang mungkin secara aktif menggunakan aplikasi ini untuk mengirim spam atau email berbahaya ke target mereka.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa permintaan persetujuan ke aplikasi dikirimkan dari sumber yang tidak diketahui atau eksternal dan aplikasi tidak memiliki penggunaan bisnis yang sah dalam organisasi, maka positif sejati ditunjukkan.

  Tindakan yang direkomendasikan:

  • Hubungi pengguna dan admin yang telah memberikan persetujuan ke aplikasi ini untuk mengonfirmasi bahwa ini disengaja dan hak istimewa yang berlebihan adalah normal.
  • Selidiki aktivitas aplikasi dan periksa akun yang terpengaruh untuk aktivitas yang mencurigakan.
  • Berdasarkan investigasi Anda, nonaktifkan aplikasi dan tangguhkan dan atur ulang kata sandi untuk semua akun yang terpengaruh.
  • Klasifikasikan pemberitahuan sebagai positif sejati.

• FP: Jika setelah penyelidikan, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi, maka positif palsu ditunjukkan.

  Tindakan yang Direkomendasikan: Mengklasifikasikan pemberitahuan sebagai positif palsu dan pertimbangkan untuk berbagi umpan balik berdasarkan penyelidikan Anda atas pemberitahuan.

Memahami cakupan pelanggaran

Tinjau pemberian persetujuan untuk aplikasi yang dibuat oleh pengguna dan admin. Selidiki semua aktivitas yang dilakukan oleh aplikasi, terutama akses ke kotak surat pengguna dan akun admin terkait. Jika Anda menduga bahwa aplikasi mencurigakan, pertimbangkan untuk menonaktifkan aplikasi dan memutar kredensial semua akun yang terpengaruh.

Pemberitahuan persistensi

Bagian ini menjelaskan pemberitahuan yang menunjukkan bahwa aktor jahat mungkin mencoba mempertahankan pijakan mereka di organisasi Anda.

Aplikasi membuat panggilan Grafik anomali ke beban kerja Exchange pasca pembaruan sertifikat atau penambahan kredensial baru

Tingkat keparahan: Sedang

ID MITRE: T1098.001, T1114

Deteksi ini memicu pemberitahuan ketika aplikasi Line of Business (LOB) memperbarui sertifikat/rahasia atau menambahkan kredensial baru dan dalam beberapa hari setelah pembaruan sertifikat atau penambahan kredensial baru, mengamati aktivitas yang tidak biasa atau penggunaan volume tinggi ke beban kerja Exchange melalui Graph API menggunakan algoritma Pembelajaran mesin.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aktivitas yang tidak biasa/penggunaan volume tinggi ke beban kerja Exchange dilakukan oleh aplikasi LOB melalui Graph API

  Merekomendasikan tindakan: Nonaktifkan aplikasi untuk sementara waktu dan atur ulang kata sandi lalu aktifkan kembali aplikasi.

• FP: Jika Anda dapat mengonfirmasi bahwa tidak ada aktivitas yang tidak biasa yang dilakukan oleh aplikasi atau aplikasi LOB dimaksudkan untuk melakukan panggilan grafik volume yang luar biasa tinggi.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi ini.
2. Tinjau cakupan yang diberikan oleh aplikasi.
3. Tinjau aktivitas pengguna yang terkait dengan aplikasi ini.

Aplikasi dengan cakupan OAuth yang mencurigakan ditandai berisiko tinggi oleh model Pembelajaran Mesin, melakukan panggilan grafik untuk membaca email dan membuat Aturan Kotak Masuk

Tingkat keparahan: Sedang

ID MITRE: T1137.005, T1114

Deteksi ini mengidentifikasi Aplikasi OAuth yang ditandai berisiko tinggi oleh model Pembelajaran Mesin yang menyetujui cakupan yang mencurigakan, membuat aturan kotak masuk yang mencurigakan, lalu mengakses folder dan pesan email pengguna melalui Graph API. Aturan kotak masuk, seperti meneruskan semua atau email tertentu ke akun email lain, dan panggilan Graph untuk mengakses email dan mengirim ke akun email lain, mungkin merupakan upaya untuk menyelundupkan informasi dari organisasi Anda.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aturan kotak masuk dibuat oleh aplikasi pihak ketiga OAuth dengan cakupan mencurigakan yang dikirimkan dari sumber yang tidak diketahui, maka positif sejati terdeteksi.

  Tindakan yang direkomendasikan: Nonaktifkan dan hapus aplikasi, atur ulang kata sandi, dan hapus aturan kotak masuk.

Ikuti tutorial tentang cara Mereset kata sandi menggunakan ID Microsoft Entra dan ikuti tutorial tentang cara menghapus aturan kotak masuk.

• FP: Jika Anda dapat mengonfirmasi bahwa aplikasi membuat aturan kotak masuk ke akun email eksternal baru atau pribadi karena alasan yang sah.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi.
2. Tinjau cakupan yang diberikan oleh aplikasi.
3. Tinjau tindakan dan kondisi aturan kotak masuk yang dibuat oleh aplikasi.

Aplikasi dengan cakupan OAuth yang mencurigakan melakukan panggilan grafik untuk membaca email dan membuat aturan kotak masuk

Tingkat keparahan: Sedang

ID MITRE: T1137.005, T1114

Deteksi ini mengidentifikasi Aplikasi OAuth yang menyetujui cakupan yang mencurigakan, membuat aturan kotak masuk yang mencurigakan, lalu mengakses folder dan pesan email pengguna melalui Graph API. Aturan kotak masuk, seperti meneruskan semua atau email tertentu ke akun email lain, dan panggilan Graph untuk mengakses email dan mengirim ke akun email lain, mungkin merupakan upaya untuk menyelundupkan informasi dari organisasi Anda.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aturan kotak masuk dibuat oleh aplikasi pihak ketiga OAuth dengan cakupan mencurigakan yang dikirimkan dari sumber yang tidak diketahui, maka positif sejati ditunjukkan.

  Tindakan yang direkomendasikan: Nonaktifkan dan hapus aplikasi, atur ulang kata sandi, dan hapus aturan kotak masuk.

  Ikuti tutorial tentang cara Mereset kata sandi menggunakan ID Microsoft Entra dan ikuti tutorial tentang cara menghapus aturan kotak masuk.

• FP: Jika Anda dapat mengonfirmasi bahwa aplikasi membuat aturan kotak masuk ke akun email eksternal baru atau pribadi karena alasan yang sah.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi.
2. Tinjau cakupan yang diberikan oleh aplikasi.
3. Tinjau tindakan dan kondisi aturan kotak masuk yang dibuat oleh aplikasi.

Aplikasi diakses dari lokasi yang tidak biasa pasca pembaruan sertifikat

Tingkat keparahan: Rendah

ID MITRE: T1098

Deteksi ini memicu pemberitahuan ketika aplikasi Line of Business (LOB) diperbarui sertifikat / rahasia dan dalam beberapa hari setelah pembaruan sertifikat, aplikasi diakses dari lokasi yang tidak biasa yang tidak terlihat baru-baru ini atau tidak pernah diakses di masa lalu.

TP atau FP?

• TP: jika Anda dapat mengonfirmasi bahwa aplikasi LOB diakses dari lokasi yang tidak biasa dan melakukan aktivitas yang tidak biasa melalui Graph API.

  Merekomendasikan tindakan: Nonaktifkan aplikasi untuk sementara waktu dan atur ulang kata sandi lalu aktifkan kembali aplikasi.

• FP: Jika Anda dapat mengonfirmasi bahwa aplikasi LOB diakses dari lokasi yang tidak biasa untuk tujuan yang sah dan tidak ada aktivitas yang tidak biasa yang dilakukan.

  Tindakan yang Direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi ini.
2. Tinjau cakupan yang diberikan oleh aplikasi.
3. Tinjau aktivitas pengguna yang terkait dengan aplikasi ini.

Aplikasi yang diakses dari lokasi yang tidak biasa membuat panggilan Graph anomali pasca pembaruan sertifikat

Tingkat keparahan: Sedang

ID MITRE: T1098

Deteksi ini memicu pemberitahuan ketika aplikasi Line of Business (LOB) memperbarui sertifikat / rahasia dan dalam beberapa hari setelah pembaruan sertifikat, aplikasi diakses dari lokasi yang tidak biasa yang tidak terlihat baru-baru ini atau tidak pernah diakses di masa lalu dan mengamati aktivitas atau penggunaan yang tidak biasa melalui Graph API menggunakan algoritma pembelajaran mesin.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aktivitas/penggunaan yang tidak biasa dilakukan oleh aplikasi LOB melalui Graph API dari lokasi yang tidak biasa.

  Merekomendasikan tindakan: Nonaktifkan aplikasi untuk sementara waktu dan atur ulang kata sandi lalu aktifkan kembali aplikasi.

• FP: Jika Anda dapat mengonfirmasi bahwa aplikasi LOB diakses dari lokasi yang tidak biasa untuk tujuan yang sah dan tidak ada aktivitas yang tidak biasa yang dilakukan.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi ini.
2. Tinjau cakupan yang diberikan oleh aplikasi.
3. Tinjau aktivitas pengguna yang terkait dengan aplikasi ini.

Aplikasi yang dibuat baru-baru ini memiliki volume persetujuan yang dicabut yang tinggi

Tingkat keparahan: Sedang

ID MITRE: T1566, T1098

Beberapa pengguna telah mencabut persetujuan mereka untuk aplikasi lini bisnis (LOB) atau pihak ketiga yang baru dibuat ini. Aplikasi ini mungkin telah memancing pengguna untuk memberikan persetujuan secara tidak sengaja.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aplikasi OAuth dikirimkan dari sumber yang tidak diketahui, dan perilaku aplikasi mencurigakan. 

  Tindakan yang Direkomendasikan: Cabut persetujuan yang diberikan ke aplikasi dan nonaktifkan aplikasi. 

• FP: Jika setelah penyelidikan, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi dan tidak ada aktivitas yang tidak biasa yang dilakukan oleh aplikasi.

  Tindakan yang Direkomendasikan: Menutup pemberitahuan

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi.
2. Jika Anda menduga bahwa aplikasi mencurigakan, kami sarankan Anda menyelidiki nama dan domain balasan aplikasi di penyimpanan aplikasi yang berbeda. Saat memeriksa penyimpanan aplikasi, fokus pada jenis aplikasi berikut:
   • Aplikasi yang baru-baru ini dibuat
   • Aplikasi dengan nama tampilan yang tidak biasa
   • Aplikasi dengan domain Balasan yang mencurigakan
3. Jika Anda masih menduga bahwa aplikasi mencurigakan, Anda dapat meneliti nama tampilan aplikasi dan domain balasan.

Metadata aplikasi yang terkait dengan kampanye pengelabuan yang diketahui

Tingkat keparahan: Sedang

Deteksi ini menghasilkan pemberitahuan untuk aplikasi OAuth non-Microsoft dengan metadata, seperti nama, URL, atau penerbit, yang sebelumnya telah diamati di aplikasi yang terkait dengan kampanye pengelabuan. Aplikasi ini mungkin bagian dari kampanye yang sama dan mungkin terlibat dalam penyelundupan informasi sensitif.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aplikasi OAuth dikirimkan dari sumber yang tidak diketahui dan melakukan aktivitas yang tidak biasa.

  Tindakan yang direkomendasikan:

  • Selidiki detail pendaftaran aplikasi tentang tata kelola aplikasi dan kunjungi ID Microsoft Entra untuk detail selengkapnya.
  • Hubungi pengguna atau admin yang memberikan persetujuan atau izin ke aplikasi. Verifikasi apakah perubahan tersebut disengaja.
  • Cari tabel perburuan Tingkat Lanjut CloudAppEvents untuk memahami aktivitas aplikasi dan menentukan apakah perilaku yang diamati diharapkan.
  • Verifikasi apakah aplikasi sangat penting bagi organisasi Anda sebelum mempertimbangkan tindakan penahanan apa pun. Nonaktifkan aplikasi menggunakan tata kelola aplikasi atau ID Microsoft Entra untuk mencegahnya mengakses sumber daya. Kebijakan tata kelola aplikasi yang ada mungkin telah menonaktifkan aplikasi.

• FP: Jika Anda dapat mengonfirmasi bahwa tidak ada aktivitas yang tidak biasa yang dilakukan oleh aplikasi dan bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi.

  Tindakan yang Direkomendasikan: Menutup pemberitahuan

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi.
2. Tinjau cakupan yang diberikan ke aplikasi.
3. Tinjau aktivitas pengguna yang terkait dengan aplikasi.

Metadata aplikasi yang terkait dengan aplikasi mencurigakan yang ditandai sebelumnya

Tingkat keparahan: Sedang

Deteksi ini menghasilkan pemberitahuan untuk aplikasi OAuth non-Microsoft dengan metadata, seperti nama, URL, atau penerbit, yang sebelumnya telah diamati di aplikasi yang ditandai oleh tata kelola aplikasi karena aktivitas yang mencurigakan. Aplikasi ini mungkin bagian dari kampanye serangan dan mungkin terlibat dalam penyelundupan informasi sensitif.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aplikasi OAuth dikirimkan dari sumber yang tidak diketahui dan melakukan aktivitas yang tidak biasa.

  Tindakan yang direkomendasikan:

  • Selidiki detail pendaftaran aplikasi tentang tata kelola aplikasi dan kunjungi ID Microsoft Entra untuk detail selengkapnya.
  • Hubungi pengguna atau admin yang memberikan persetujuan atau izin ke aplikasi. Verifikasi apakah perubahan tersebut disengaja.
  • Cari tabel perburuan Tingkat Lanjut CloudAppEvents untuk memahami aktivitas aplikasi dan menentukan apakah perilaku yang diamati diharapkan.
  • Verifikasi apakah aplikasi sangat penting bagi organisasi Anda sebelum mempertimbangkan tindakan penahanan apa pun. Nonaktifkan aplikasi menggunakan tata kelola aplikasi atau ID Microsoft Entra untuk mencegahnya mengakses sumber daya. Kebijakan tata kelola aplikasi yang ada mungkin telah menonaktifkan aplikasi.

• FP: Jika Anda dapat mengonfirmasi bahwa tidak ada aktivitas yang tidak biasa yang dilakukan oleh aplikasi dan bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi.

  Tindakan yang Direkomendasikan: Menutup pemberitahuan

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi.
2. Tinjau cakupan yang diberikan ke aplikasi.
3. Tinjau aktivitas pengguna yang terkait dengan aplikasi.

Aktivitas email aplikasi OAuth yang mencurigakan melalui Graph API

Tingkat keparahan: Tinggi

Deteksi ini menghasilkan pemberitahuan untuk aplikasi OAuth multipenyewa, yang didaftarkan oleh pengguna dengan masuk berisiko tinggi, yang melakukan panggilan ke Microsoft Graph API untuk melakukan aktivitas email yang mencurigakan dalam waktu singkat.

Deteksi ini memverifikasi apakah panggilan API dilakukan untuk pembuatan aturan kotak surat, membuat email balasan, meneruskan email, membalas, atau email baru yang dikirim. Aplikasi yang memicu pemberitahuan ini mungkin secara aktif mengirim spam atau email berbahaya ke target lain atau menyelundupkan data rahasia dan menghapus trek untuk menghindari deteksi.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa pembuatan aplikasi dan permintaan persetujuan ke aplikasi dikirimkan dari sumber yang tidak diketahui atau eksternal dan aplikasi tidak memiliki penggunaan bisnis yang sah di organisasi, maka positif sejati ditunjukkan.

  Tindakan yang direkomendasikan:

  • Hubungi pengguna dan admin yang telah memberikan persetujuan ke aplikasi ini untuk mengonfirmasi bahwa ini disengaja dan hak istimewa yang berlebihan adalah normal.

  • Selidiki aktivitas aplikasi dan periksa akun yang terpengaruh untuk aktivitas yang mencurigakan.

  • Berdasarkan investigasi Anda, nonaktifkan aplikasi dan tangguhkan dan atur ulang kata sandi untuk semua akun yang terpengaruh dan hapus aturan kotak masuk.

  • Klasifikasikan pemberitahuan sebagai positif sejati.

• FP: Jika, setelah penyelidikan, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi, maka positif palsu ditunjukkan.

  Tindakan yang direkomendasikan:

  • Klasifikasikan pemberitahuan sebagai positif palsu dan pertimbangkan untuk berbagi umpan balik berdasarkan penyelidikan Anda tentang pemberitahuan.

  • Pahami cakupan pelanggaran:

    Tinjau pemberian persetujuan untuk aplikasi yang dibuat oleh pengguna dan admin. Selidiki semua aktivitas yang dilakukan oleh aplikasi, terutama akses ke kotak surat pengguna dan akun admin terkait. Jika Anda menduga bahwa aplikasi mencurigakan, pertimbangkan untuk menonaktifkan aplikasi dan memutar kredensial semua akun yang terpengaruh.

Aktivitas email aplikasi OAuth yang mencurigakan melalui API EWS

Tingkat keparahan: Tinggi

Deteksi ini menghasilkan pemberitahuan untuk aplikasi OAuth multipenyewa, yang didaftarkan oleh pengguna dengan masuk berisiko tinggi, yang melakukan panggilan ke MICROSOFT Exchange Web Services (EWS) API untuk melakukan aktivitas email yang mencurigakan dalam waktu singkat.

Deteksi ini memverifikasi apakah panggilan API dilakukan untuk memperbarui aturan kotak masuk, memindahkan item, menghapus email, menghapus folder, atau menghapus lampiran. Aplikasi yang memicu pemberitahuan ini mungkin secara aktif menyelundupkan atau menghapus data rahasia dan menghapus trek untuk menghindari deteksi.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa pembuatan aplikasi dan permintaan persetujuan ke aplikasi dikirimkan dari sumber yang tidak diketahui atau eksternal dan aplikasi tidak memiliki penggunaan bisnis yang sah di organisasi, maka positif sejati ditunjukkan.

  Tindakan yang direkomendasikan:

  • Hubungi pengguna dan admin yang telah memberikan persetujuan ke aplikasi ini untuk mengonfirmasi bahwa ini disengaja dan hak istimewa yang berlebihan adalah normal.

  • Selidiki aktivitas aplikasi dan periksa akun yang terpengaruh untuk aktivitas yang mencurigakan.

  • Berdasarkan investigasi Anda, nonaktifkan aplikasi dan tangguhkan dan atur ulang kata sandi untuk semua akun yang terpengaruh dan hapus aturan kotak masuk.

  • Klasifikasikan pemberitahuan sebagai positif sejati.

• FP: Jika setelah penyelidikan, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi, maka positif palsu ditunjukkan.

  Tindakan yang Disarankan:

  • Klasifikasikan pemberitahuan sebagai positif palsu dan pertimbangkan untuk berbagi umpan balik berdasarkan penyelidikan Anda tentang pemberitahuan.

  • Pahami cakupan pelanggaran:

    Tinjau pemberian persetujuan untuk aplikasi yang dibuat oleh pengguna dan admin. Selidiki semua aktivitas yang dilakukan oleh aplikasi, terutama akses ke kotak surat pengguna dan akun admin terkait. Jika Anda menduga bahwa aplikasi mencurigakan, pertimbangkan untuk menonaktifkan aplikasi dan memutar kredensial semua akun yang terpengaruh.

Pemberitahuan eskalasi hak istimewa

Aplikasi OAuth dengan metadata yang mencurigakan memiliki izin Exchange

Tingkat keparahan: Sedang

ID MITRE: T1078

Pemberitahuan ini dipicu ketika aplikasi lini bisnis dengan metadata yang mencurigakan memiliki hak istimewa untuk mengelola izin melalui Exchange.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aplikasi OAuth dikirimkan dari sumber yang tidak diketahui, dan memiliki karakteristik metadata yang mencurigakan, maka positif sejati ditunjukkan.

Tindakan yang Direkomendasikan: Cabut persetujuan yang diberikan ke aplikasi dan nonaktifkan aplikasi.

FP: Jika setelah diselidiki, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi.

Tindakan yang Direkomendasikan: Menutup pemberitahuan

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi.
2. Tinjau cakupan yang diberikan oleh aplikasi.
3. Tinjau aktivitas pengguna yang terkait dengan aplikasi.

Pemberitahuan Penghancuran Pertahanan

Aplikasi yang meniru logo Microsoft

Tingkat keparahan: Sedang

Aplikasi cloud non-Microsoft menggunakan logo yang ditemukan oleh algoritma pembelajaran mesin agar mirip dengan logo Microsoft. Ini bisa menjadi upaya untuk meniru produk perangkat lunak Microsoft dan tampak sah.

Catatan

Admin penyewa harus memberikan persetujuan melalui pop up agar data yang diperlukan dikirim di luar batas kepatuhan saat ini dan memilih tim mitra dalam Microsoft untuk mengaktifkan deteksi ancaman ini untuk aplikasi lini bisnis.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa logo aplikasi adalah imitasi logo Microsoft, dan perilaku aplikasi mencurigakan. 

  Tindakan yang Direkomendasikan: Cabut persetujuan yang diberikan ke aplikasi dan nonaktifkan aplikasi.

• FP: Jika Anda dapat mengonfirmasi bahwa logo aplikasi bukan imitasi logo Microsoft atau tidak ada aktivitas yang tidak biasa yang dilakukan oleh aplikasi. 

  Tindakan yang Direkomendasikan: Menutup pemberitahuan

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi.
2. Tinjau cakupan yang diberikan ke aplikasi.
3. Tinjau aktivitas pengguna yang terkait dengan aplikasi.

Aplikasi dikaitkan dengan domain typosquatted

Tingkat keparahan: Sedang

Deteksi ini menghasilkan pemberitahuan untuk aplikasi OAuth non-Microsoft dengan domain penerbit atau URL pengalihan yang berisi versi nama merek Microsoft yang tidak diposisikan. Typosquatting umumnya digunakan untuk menangkap lalu lintas ke situs setiap kali pengguna secara tidak sengaja salah ketik URL, tetapi mereka juga dapat digunakan untuk meniru produk dan layanan perangkat lunak populer.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa domain penerbit atau URL pengalihan aplikasi tidak diposisikan dan tidak terkait dengan identitas aplikasi yang sebenarnya.

  Tindakan yang direkomendasikan:

  • Selidiki detail pendaftaran aplikasi tentang tata kelola aplikasi dan kunjungi ID Microsoft Entra untuk detail selengkapnya.
  • Periksa aplikasi untuk tanda-tanda spoofing atau peniruan lainnya dan aktivitas yang mencurigakan.
  • Verifikasi apakah aplikasi sangat penting bagi organisasi Anda sebelum mempertimbangkan tindakan penahanan apa pun. Nonaktifkan aplikasi menggunakan tata kelola aplikasi untuk mencegahnya mengakses sumber daya. Kebijakan tata kelola aplikasi yang ada mungkin telah menonaktifkan aplikasi.

• FP: Jika Anda dapat mengonfirmasi bahwa domain penerbit dan URL pengalihan aplikasi sah. 

  Tindakan yang Direkomendasikan: Mengklasifikasikan pemberitahuan sebagai positif palsu dan pertimbangkan untuk berbagi umpan balik berdasarkan penyelidikan Anda atas pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi.
2. Tinjau cakupan yang diberikan ke aplikasi.
3. Tinjau aktivitas pengguna yang terkait dengan aplikasi.

Akses info masuk

Bagian ini menjelaskan pemberitahuan yang menunjukkan bahwa aktor jahat mungkin mencoba membaca data kredensial sensitif, dan terdiri dari teknik untuk mencuri kredensial seperti nama akun, rahasia, token, sertifikat, dan kata sandi di organisasi Anda.

Aplikasi memulai beberapa aktivitas baca KeyVault yang gagal tanpa keberhasilan

Tingkat keparahan: Sedang

ID MITRE: T1078.004

Deteksi ini mengidentifikasi aplikasi di penyewa Anda yang diamati melakukan beberapa panggilan tindakan baca ke KeyVault menggunakan Azure Resource Manager API dalam interval singkat, dengan hanya kegagalan dan tidak ada aktivitas baca yang berhasil diselesaikan.

TP atau FP?

• TP: Jika aplikasi tidak diketahui atau tidak digunakan, aktivitas yang diberikan berpotensi mencurigakan. Setelah memverifikasi sumber daya Azure yang digunakan dan memvalidasi penggunaan aplikasi di penyewa, aktivitas yang diberikan mungkin mengharuskan aplikasi dinonaktifkan. Ini biasanya merupakan bukti dugaan aktivitas enumerasi terhadap sumber daya KeyVault untuk mendapatkan akses ke kredensial untuk gerakan lateral atau eskalasi hak istimewa.

  Tindakan yang direkomendasikan: Tinjau sumber daya Azure yang diakses atau dibuat oleh aplikasi dan perubahan terbaru yang dilakukan pada aplikasi. Berdasarkan investigasi Anda, pilih apakah Anda ingin melarang akses ke aplikasi ini. Tinjau tingkat izin yang diminta oleh aplikasi ini dan pengguna mana yang telah memberikan akses.

• FP: Jika, setelah penyelidikan, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau akses dan aktivitas aplikasi.
2. Tinjau semua aktivitas yang dilakukan oleh aplikasi sejak pembuatannya.
3. Tinjau cakupan yang diberikan oleh aplikasi di Graph API dan Peran yang diberikan kepadanya dalam langganan Anda.
4. Tinjau setiap pengguna yang mungkin telah mengakses aplikasi sebelum aktivitas.

Pemberitahuan penemuan

Enumerasi drive yang dilakukan aplikasi

Tingkat keparahan: Sedang

ID MITRE: T1087

Deteksi ini mengidentifikasi aplikasi OAuth yang terdeteksi oleh model Pembelajaran Mesin melakukan enumerasi pada file OneDrive menggunakan Graph API.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aktivitas/penggunaan yang tidak biasa ke OneDrive dilakukan oleh aplikasi LOB melalui Graph API.

  Tindakan yang direkomendasikan: Nonaktifkan dan hapus aplikasi dan atur ulang kata sandi.

• FP: Jika Anda dapat mengonfirmasi bahwa tidak ada aktivitas yang tidak biasa yang dilakukan oleh aplikasi.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi ini.
2. Tinjau cakupan yang diberikan oleh aplikasi.
3. Tinjau aktivitas pengguna yang terkait dengan aplikasi ini.

Aktivitas enumerasi mencurigakan yang dilakukan menggunakan Microsoft Graph PowerShell

Tingkat keparahan: Sedang

ID MITRE: T1087

Deteksi ini mengidentifikasi volume besar aktivitas enumerasi mencurigakan yang dilakukan dalam rentang waktu singkat melalui aplikasi Microsoft Graph PowerShell .

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aktivitas enumerasi yang mencurigakan/tidak biasa dilakukan oleh aplikasi Microsoft Graph PowerShell.

  Tindakan yang direkomendasikan: Nonaktifkan dan hapus aplikasi dan atur ulang kata sandi.

• FP: Jika Anda dapat mengonfirmasi bahwa tidak ada aktivitas yang tidak biasa yang dilakukan oleh aplikasi.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi ini.
2. Tinjau aktivitas pengguna yang terkait dengan aplikasi ini.

Aplikasi multipenyewa yang baru dibuat sering menghitung informasi pengguna

Tingkat keparahan: Sedang

ID MITRE: T1087

Pemberitahuan ini menemukan aplikasi OAuth yang terdaftar baru-baru ini di penyewa penerbit yang relatif baru dengan izin untuk mengubah pengaturan kotak surat dan mengakses email. Ini memverifikasi apakah aplikasi telah melakukan banyak panggilan ke Microsoft Graph API yang meminta informasi direktori pengguna. Aplikasi yang memicu pemberitahuan ini mungkin memikat pengguna untuk memberikan persetujuan sehingga mereka dapat mengakses data organisasi.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa permintaan persetujuan ke aplikasi dikirimkan dari sumber yang tidak diketahui atau eksternal dan aplikasi tidak memiliki penggunaan bisnis yang sah dalam organisasi, maka positif sejati ditunjukkan.

  Tindakan yang direkomendasikan:

  • Hubungi pengguna dan admin yang telah memberikan persetujuan ke aplikasi ini untuk mengonfirmasi bahwa ini disengaja dan hak istimewa yang berlebihan adalah normal.
  • Selidiki aktivitas aplikasi dan periksa akun yang terpengaruh untuk aktivitas yang mencurigakan.
  • Berdasarkan investigasi Anda, nonaktifkan aplikasi dan tangguhkan dan atur ulang kata sandi untuk semua akun yang terpengaruh.
  • Klasifikasikan pemberitahuan sebagai positif sejati.

• FP: Jika setelah penyelidikan, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi, maka positif palsu ditunjukkan.

  Tindakan yang Direkomendasikan: Mengklasifikasikan pemberitahuan sebagai positif palsu dan pertimbangkan untuk berbagi umpan balik berdasarkan penyelidikan Anda atas pemberitahuan.

Memahami cakupan pelanggaran

Tinjau pemberian persetujuan untuk aplikasi yang dibuat oleh pengguna dan admin. Selidiki semua aktivitas yang dilakukan oleh aplikasi, terutama enumerasi informasi direktori pengguna. Jika Anda menduga bahwa aplikasi mencurigakan, pertimbangkan untuk menonaktifkan aplikasi dan memutar kredensial semua akun yang terpengaruh.

Pemberitahuan eksfiltrasi

Bagian ini menjelaskan pemberitahuan yang menunjukkan bahwa aktor jahat mungkin mencoba mencuri data yang menarik untuk tujuan mereka dari organisasi Anda.

Aplikasi OAuth menggunakan agen pengguna yang tidak biasa

Tingkat keparahan: Rendah

ID MITRE: T1567

Deteksi ini mengidentifikasi aplikasi OAuth yang menggunakan agen pengguna yang tidak biasa untuk mengakses Graph API.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aplikasi OAuth baru-baru ini mulai menggunakan agen pengguna baru yang tidak digunakan sebelumnya dan perubahan ini tidak terduga, maka positif sejati ditunjukkan.

  Tindakan yang direkomendasikan: Tinjau agen pengguna yang digunakan dan perubahan terbaru yang dilakukan pada aplikasi. Berdasarkan investigasi, Anda dapat memilih untuk melarang akses ke aplikasi ini. Tinjau tingkat izin yang diminta oleh aplikasi ini dan pengguna mana yang telah memberikan akses.

• FP: Jika setelah diselidiki, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau aplikasi yang dibuat baru-baru ini dan agen pengguna yang digunakan.
2. Tinjau semua aktivitas yang dilakukan oleh aplikasi. 
3. Tinjau cakupan yang diberikan oleh aplikasi. 

Aplikasi dengan agen pengguna yang tidak biasa mengakses data email melalui Exchange Web Services

Tingkat keparahan: Tinggi

ID MITRE: T1114, T1567

Deteksi ini mengidentifikasi aplikasi OAuth yang menggunakan agen pengguna yang tidak biasa untuk mengakses data email menggunakan API layanan Web Exchange.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aplikasi OAuth tidak diharapkan untuk mengubah agen pengguna yang digunakannya untuk membuat permintaan ke EXCHANGE Web Services API, maka positif sejati ditunjukkan.

  Tindakan yang direkomendasikan: Mengklasifikasikan pemberitahuan sebagai TP. Berdasarkan penyelidikan, jika aplikasi berbahaya, Anda dapat mencabut persetujuan dan menonaktifkan aplikasi di penyewa. Jika ini adalah aplikasi yang disusupi, Anda dapat mencabut persetujuan, menonaktifkan aplikasi untuk sementara waktu, meninjau izin, mengatur ulang rahasia dan sertifikat lalu mengaktifkan kembali aplikasi.

• FP: Jika setelah penyelidikan, Anda dapat mengonfirmasi bahwa agen pengguna yang digunakan oleh aplikasi memiliki penggunaan bisnis yang sah dalam organisasi.

  Tindakan yang direkomendasikan: Mengklasifikasikan pemberitahuan sebagai FP. Selain itu, pertimbangkan untuk berbagi umpan balik berdasarkan penyelidikan Pemberitahuan Anda.

Memahami cakupan pelanggaran

1. Tinjau apakah aplikasi baru dibuat atau telah memiliki perubahan terbaru yang dilakukan padanya.
2. Tinjau izin yang diberikan kepada aplikasi dan pengguna yang telah menyetujui aplikasi.
3. Tinjau semua aktivitas yang dilakukan oleh aplikasi.

Pemberitahuan gerakan lateral

Bagian ini menjelaskan pemberitahuan yang menunjukkan bahwa aktor jahat mungkin mencoba memindahkan secara lateral dalam sumber daya yang berbeda, sambil melakukan pivot melalui beberapa sistem dan akun untuk mendapatkan lebih banyak kontrol di organisasi Anda.

Aplikasi OAuth yang tidak aktif sebagian besar menggunakan MS Graph atau Exchange Web Services baru-baru ini terlihat mengakses beban kerja ARM

Tingkat keparahan: Sedang

ID MITRE: T1078.004

Deteksi ini mengidentifikasi aplikasi di penyewa Anda yang memiliki, setelah rentang panjang aktivitas tidak aktif, mulai mengakses AZURE Resource Manager API untuk pertama kalinya. Sebelumnya, aplikasi ini sebagian besar menggunakan MS Graph atau Exchange Web Service.

TP atau FP?

• TP: Jika aplikasi tidak diketahui atau tidak digunakan, aktivitas yang diberikan berpotensi mencurigakan dan mungkin memerlukan penonaktifan aplikasi, setelah memverifikasi sumber daya Azure yang digunakan, dan memvalidasi penggunaan aplikasi di penyewa.

  Tindakan yang direkomendasikan:

  1. Tinjau sumber daya Azure yang diakses atau dibuat oleh aplikasi dan perubahan terbaru yang dilakukan pada aplikasi.
  2. Tinjau tingkat izin yang diminta oleh aplikasi ini dan pengguna mana yang telah memberikan akses.
  3. Berdasarkan investigasi Anda, pilih apakah Anda ingin melarang akses ke aplikasi ini.

• FP: Jika, setelah penyelidikan, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau akses dan aktivitas aplikasi.
2. Tinjau semua aktivitas yang dilakukan oleh aplikasi sejak pembuatannya.
3. Tinjau cakupan yang diberikan oleh aplikasi di Graph API dan Peran yang diberikan kepadanya dalam langganan Anda.
4. Tinjau setiap pengguna yang mungkin telah mengakses aplikasi sebelum aktivitas.

Pemberitahuan koleksi

Bagian ini menjelaskan pemberitahuan yang menunjukkan bahwa aktor jahat mungkin mencoba mengumpulkan data yang menarik untuk tujuan mereka dari organisasi Anda.

Aplikasi membuat aktivitas pencarian email yang tidak biasa

Tingkat keparahan: Sedang

ID MITRE: T1114

Deteksi ini mengidentifikasi kapan aplikasi menyetujui cakupan OAuth yang mencurigakan dan membuat volume tinggi aktivitas pencarian email yang tidak biasa, seperti pencarian email untuk konten tertentu melalui Graph API. Ini dapat menunjukkan upaya pelanggaran organisasi Anda, seperti iklan yang mencoba mencari dan membaca email tertentu dari organisasi Anda melalui Graph API. 

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi volume tinggi pencarian email yang tidak biasa dan aktivitas baca melalui Graph API oleh aplikasi OAuth dengan cakupan OAuth yang mencurigakan dan bahwa aplikasi dikirimkan dari sumber yang tidak diketahui.

  Tindakan yang direkomendasikan: Nonaktifkan dan hapus aplikasi, atur ulang kata sandi, dan hapus aturan kotak masuk. 

• FP: Jika Anda dapat mengonfirmasi bahwa aplikasi telah melakukan pencarian email yang tidak biasa dalam volume tinggi dan membaca Graph API karena alasan yang sah.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau cakupan yang diberikan oleh aplikasi.
2. Tinjau semua aktivitas yang dilakukan oleh aplikasi. 

Aplikasi membuat panggilan Grafik anomali untuk membaca email

Tingkat keparahan: Sedang

ID MITRE: T1114

Deteksi ini mengidentifikasi kapan Aplikasi OAuth Line of Business (LOB) mengakses folder dan pesan email pengguna dalam volume yang tidak biasa dan tinggi melalui Graph API, yang dapat menunjukkan upaya pelanggaran organisasi Anda.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aktivitas grafik yang tidak biasa dilakukan oleh Aplikasi OAuth Line of Business (LOB), maka positif sejati ditunjukkan.

  Tindakan yang direkomendasikan: Nonaktifkan aplikasi untuk sementara waktu dan atur ulang kata sandi lalu aktifkan kembali aplikasi. Ikuti tutorial tentang cara Mereset kata sandi menggunakan ID Microsoft Entra.

• FP: Jika Anda dapat mengonfirmasi bahwa aplikasi dimaksudkan untuk melakukan panggilan grafik volume yang sangat tinggi.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau log aktivitas untuk peristiwa yang dilakukan oleh aplikasi ini untuk mendapatkan pemahaman yang lebih baik tentang aktivitas Grafik lainnya untuk membaca email dan mencoba mengumpulkan informasi email sensitif pengguna.
2. Pantau kredensial tak terduga yang ditambahkan ke aplikasi.

Aplikasi membuat aturan kotak masuk dan membuat aktivitas pencarian email yang tidak biasa

Tingkat keparahan: Sedang

ID MITRE: T1137, T1114

Deteksi ini mengidentifikasi Aplikasi yang disetujui untuk cakupan hak istimewa tinggi, membuat aturan kotak masuk yang mencurigakan, dan membuat aktivitas pencarian email yang tidak biasa di folder email pengguna melalui Graph API. Ini dapat menunjukkan upaya pelanggaran organisasi Anda, seperti iklan yang mencoba mencari dan mengumpulkan email tertentu dari organisasi Anda melalui Graph API.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi pencarian dan pengumpulan email tertentu yang dilakukan melalui Graph API oleh aplikasi OAuth dengan cakupan hak istimewa tinggi, dan aplikasi dikirimkan dari sumber yang tidak diketahui.

  Tindakan yang direkomendasikan: Nonaktifkan dan hapus aplikasi, atur ulang kata sandi, dan hapus aturan kotak masuk.

• FP: Jika Anda dapat mengonfirmasi bahwa aplikasi telah melakukan pencarian dan pengumpulan email tertentu melalui Graph API dan membuat aturan kotak masuk ke akun email eksternal baru atau pribadi karena alasan yang sah.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi.
2. Tinjau cakupan yang diberikan oleh aplikasi.
3. Tinjau tindakan aturan kotak masuk apa pun yang dibuat oleh aplikasi.
4. Tinjau aktivitas pencarian email apa pun yang dilakukan oleh aplikasi.

Aplikasi membuat aktivitas pencarian OneDrive /SharePoint dan membuat aturan kotak masuk

Tingkat keparahan: Sedang

ID MITRE: T1137, T1213

Deteksi ini mengidentifikasi bahwa Aplikasi menyetujui cakupan hak istimewa tinggi, membuat aturan kotak masuk yang mencurigakan, dan membuat aktivitas pencarian SharePoint atau OneDrive yang tidak biasa melalui Graph API. Ini dapat menunjukkan upaya pelanggaran organisasi Anda, seperti iklan yang mencoba mencari dan mengumpulkan data tertentu dari SharePoint atau OneDrive dari organisasi Anda melalui Graph API. 

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi data tertentu dari pencarian dan pengumpulan SharePoint atau OneDrive yang dilakukan melalui Graph API oleh aplikasi OAuth dengan cakupan hak istimewa tinggi, dan aplikasi dikirimkan dari sumber yang tidak diketahui. 

  Tindakan yang Direkomendasikan: Nonaktifkan dan hapus Aplikasi, atur ulang kata sandi, dan hapus aturan kotak masuk. 

• FP: Jika Anda dapat mengonfirmasi bahwa aplikasi telah melakukan data tertentu dari pencarian dan pengumpulan SharePoint atau OneDrive melalui Graph API oleh aplikasi OAuth dan membuat aturan kotak masuk ke akun email eksternal baru atau pribadi karena alasan yang sah. 

  Tindakan yang Direkomendasikan: Menutup pemberitahuan

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi. 
2. Tinjau cakupan yang diberikan oleh aplikasi. 
3. Tinjau tindakan aturan kotak masuk apa pun yang dibuat oleh aplikasi. 
4. Tinjau aktivitas pencarian SharePoint atau OneDrive yang dilakukan oleh aplikasi.

Aplikasi membuat banyak pencarian dan pengeditan di OneDrive

Tingkat keparahan: Sedang

ID MITRE: T1137, T1213

Deteksi ini mengidentifikasi aplikasi OAuth dengan izin hak istimewa tinggi yang melakukan sejumlah besar pencarian dan pengeditan di OneDrive menggunakan Graph API.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa penggunaan beban kerja OneDrive yang tinggi melalui Graph API tidak diharapkan dari aplikasi OAuth ini memiliki izin hak istimewa tinggi untuk membaca dan menulis ke OneDrive, maka positif sejati ditunjukkan.

  Tindakan yang Direkomendasikan: Berdasarkan penyelidikan, jika aplikasi berbahaya, Anda dapat mencabut persetujuan dan menonaktifkan aplikasi di penyewa. Jika ini adalah aplikasi yang disusupi, Anda dapat mencabut persetujuan, menonaktifkan aplikasi untuk sementara waktu, meninjau izin yang diperlukan, mengatur ulang kata sandi, lalu mengaktifkan kembali aplikasi.

• FP: Jika setelah diselidiki, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi.

  Tindakan yang Direkomendasikan: Atasi pemberitahuan dan laporkan temuan Anda.

Memahami cakupan pelanggaran

1. Verifikasi apakah aplikasi berasal dari sumber yang dapat diandalkan.
2. Verifikasi apakah aplikasi baru dibuat atau telah memiliki perubahan terbaru yang dilakukan padanya.
3. Tinjau izin yang diberikan kepada aplikasi dan pengguna yang telah menyetujui aplikasi.
4. Selidiki semua aktivitas aplikasi lainnya.

Aplikasi membuat volume tinggi penting email dibaca dan dibuat aturan kotak masuk

Tingkat keparahan: Sedang

ID MITRE: T1137, T1114

Deteksi ini mengidentifikasi bahwa Aplikasi menyetujui cakupan hak istimewa tinggi, membuat aturan kotak masuk yang mencurigakan dan membuat volume tinggi aktivitas baca email penting melalui Graph API. Ini dapat menunjukkan upaya pelanggaran organisasi Anda, seperti iklan yang mencoba membaca email penting yang tinggi dari organisasi Anda melalui Graph API. 

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa volume tinggi email penting dibaca melalui Graph API oleh aplikasi OAuth dengan cakupan hak istimewa tinggi, dan aplikasi dikirimkan dari sumber yang tidak diketahui. 

  Tindakan yang Direkomendasikan: Nonaktifkan dan hapus Aplikasi, atur ulang kata sandi, dan hapus aturan kotak masuk. 

• FP: Jika Anda dapat mengonfirmasi bahwa aplikasi telah melakukan pembacaan email penting dalam volume tinggi melalui Graph API dan membuat aturan kotak masuk ke akun email eksternal baru atau pribadi karena alasan yang sah. 

  Tindakan yang Direkomendasikan: Menutup pemberitahuan

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi. 
2. Tinjau cakupan yang diberikan oleh aplikasi. 
3. Tinjau tindakan aturan kotak masuk apa pun yang dibuat oleh aplikasi. 
4. Tinjau aktivitas baca email yang sangat penting yang dilakukan oleh aplikasi.

Aplikasi istimewa melakukan aktivitas yang tidak biasa di Teams

Tingkat keparahan: Sedang

Deteksi ini mengidentifikasi aplikasi yang disetujui untuk cakupan OAuth hak istimewa tinggi, yang mengakses Microsoft Teams, dan membuat volume aktivitas baca atau posting pesan obrolan yang tidak biasa melalui Graph API. Ini dapat menunjukkan upaya pelanggaran organisasi Anda, seperti iklan yang mencoba mengumpulkan informasi dari organisasi Anda melalui Graph API.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aktivitas pesan obrolan yang tidak biasa di Microsoft Teams melalui Graph API oleh aplikasi OAuth dengan cakupan hak istimewa tinggi, dan aplikasi dikirimkan dari sumber yang tidak diketahui.

  Tindakan yang Direkomendasikan: Menonaktifkan dan menghapus aplikasi dan mengatur ulang kata sandi

• FP: Jika Anda dapat mengonfirmasi bahwa aktivitas yang tidak biasa yang dilakukan di Microsoft Teams melalui Graph API adalah karena alasan yang sah.

  Tindakan yang Direkomendasikan: Menutup pemberitahuan

Memahami cakupan pelanggaran

1. Tinjau cakupan yang diberikan oleh aplikasi.
2. Tinjau semua aktivitas yang dilakukan oleh aplikasi.
3. Tinjau aktivitas pengguna yang terkait dengan aplikasi.

Aktivitas OneDrive anomali menurut aplikasi yang baru saja memperbarui atau menambahkan kredensial baru

Tingkat keparahan: Sedang

ID MITRE: T1098.001, T1213

Aplikasi cloud non-Microsoft melakukan panggilan Graph API anomali ke OneDrive, termasuk penggunaan data volume tinggi. Terdeteksi oleh pembelajaran mesin, panggilan API yang tidak biasa ini dilakukan dalam beberapa hari setelah aplikasi menambahkan sertifikat/rahasia baru atau yang sudah diperbarui. Aplikasi ini mungkin terlibat dalam penyelundupan data atau upaya lain untuk mengakses dan mengambil informasi sensitif.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aktivitas yang tidak biasa, seperti penggunaan volume tinggi beban kerja OneDrive, dilakukan oleh aplikasi melalui Graph API.

  Tindakan yang Direkomendasikan: Nonaktifkan aplikasi untuk sementara waktu, atur ulang kata sandi lalu aktifkan kembali aplikasi.

• FP: Jika Anda dapat mengonfirmasi bahwa tidak ada aktivitas yang tidak biasa yang dilakukan oleh aplikasi atau bahwa aplikasi dimaksudkan untuk membuat panggilan Graph volume yang luar biasa tinggi.

  Tindakan yang Direkomendasikan: Menutup pemberitahuan

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi.
2. Tinjau cakupan yang diberikan oleh aplikasi.
3. Tinjau aktivitas pengguna yang terkait dengan aplikasi.

Aktivitas SharePoint anomali menurut aplikasi yang baru saja memperbarui atau menambahkan kredensial baru

Tingkat keparahan: Sedang

ID MITRE: T1098.001, T1213.002

Aplikasi cloud non-Microsoft melakukan panggilan Graph API anomali ke SharePoint, termasuk penggunaan data volume tinggi. Terdeteksi oleh pembelajaran mesin, panggilan API yang tidak biasa ini dilakukan dalam beberapa hari setelah aplikasi menambahkan sertifikat/rahasia baru atau yang sudah diperbarui. Aplikasi ini mungkin terlibat dalam penyelundupan data atau upaya lain untuk mengakses dan mengambil informasi sensitif.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aktivitas yang tidak biasa, seperti penggunaan beban kerja SharePoint dalam volume tinggi, dilakukan oleh aplikasi melalui Graph API.

  Tindakan yang Direkomendasikan: Nonaktifkan aplikasi untuk sementara waktu, atur ulang kata sandi lalu aktifkan kembali aplikasi.

• FP: Jika Anda dapat mengonfirmasi bahwa tidak ada aktivitas yang tidak biasa yang dilakukan oleh aplikasi atau bahwa aplikasi dimaksudkan untuk membuat panggilan Graph volume yang luar biasa tinggi.

  Tindakan yang Direkomendasikan: Menutup pemberitahuan

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi.
2. Tinjau cakupan yang diberikan oleh aplikasi.
3. Tinjau aktivitas pengguna yang terkait dengan aplikasi.

Metadata aplikasi yang terkait dengan aktivitas terkait email yang mencurigakan

Tingkat keparahan: Sedang

ID MITRE: T1114

Deteksi ini menghasilkan pemberitahuan untuk aplikasi OAuth non-Microsoft dengan metadata, seperti nama, URL, atau penerbit, yang sebelumnya telah diamati di aplikasi dengan aktivitas terkait email yang mencurigakan. Aplikasi ini mungkin bagian dari kampanye serangan dan mungkin terlibat dalam penyelundupan informasi sensitif.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aplikasi telah membuat aturan kotak surat atau melakukan sejumlah besar panggilan Graph API yang tidak biasa ke beban kerja Exchange.

  Tindakan yang direkomendasikan:

  • Selidiki detail pendaftaran aplikasi tentang tata kelola aplikasi dan kunjungi ID Microsoft Entra untuk detail selengkapnya.
  • Hubungi pengguna atau admin yang memberikan persetujuan atau izin ke aplikasi. Verifikasi apakah perubahan tersebut disengaja.
  • Cari tabel perburuan Tingkat Lanjut CloudAppEvents untuk memahami aktivitas aplikasi dan mengidentifikasi data yang diakses oleh aplikasi. Periksa kotak surat yang terpengaruh dan tinjau pesan yang mungkin telah dibaca atau diteruskan oleh aplikasi itu sendiri atau aturan yang telah dibuatnya.
  • Verifikasi apakah aplikasi sangat penting bagi organisasi Anda sebelum mempertimbangkan tindakan penahanan apa pun. Nonaktifkan aplikasi menggunakan tata kelola aplikasi atau ID Microsoft Entra untuk mencegahnya mengakses sumber daya. Kebijakan tata kelola aplikasi yang ada mungkin telah menonaktifkan aplikasi.

• FP: Jika Anda dapat mengonfirmasi bahwa tidak ada aktivitas yang tidak biasa yang dilakukan oleh aplikasi dan bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi.

  Tindakan yang Direkomendasikan: Menutup pemberitahuan

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi.
2. Tinjau cakupan yang diberikan ke aplikasi.
3. Tinjau aktivitas pengguna yang terkait dengan aplikasi.

Aplikasi dengan izin aplikasi EWS mengakses banyak email

Tingkat keparahan: Sedang

ID MITRE: T1114

Deteksi ini menghasilkan pemberitahuan untuk aplikasi cloud multi-penyewa dengan izin aplikasi EWS yang menunjukkan peningkatan panggilan yang signifikan ke EXCHANGE Web Services API yang khusus untuk enumerasi dan pengumpulan email. Aplikasi ini mungkin terlibat dalam mengakses dan mengambil data email sensitif.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aplikasi telah mengakses data email sensitif atau melakukan sejumlah besar panggilan yang tidak biasa ke beban kerja Exchange.

  Tindakan yang direkomendasikan:

  • Selidiki detail pendaftaran aplikasi tentang tata kelola aplikasi dan kunjungi ID Microsoft Entra untuk detail selengkapnya.
  • Hubungi pengguna atau admin yang memberikan persetujuan atau izin ke aplikasi. Verifikasi apakah perubahan tersebut disengaja.
  • Cari tabel perburuan Tingkat Lanjut CloudAppEvents untuk memahami aktivitas aplikasi dan mengidentifikasi data yang diakses oleh aplikasi. Periksa kotak surat yang terpengaruh dan tinjau pesan yang mungkin telah dibaca atau diteruskan oleh aplikasi itu sendiri atau aturan yang telah dibuatnya.
  • Verifikasi apakah aplikasi sangat penting bagi organisasi Anda sebelum mempertimbangkan tindakan penahanan apa pun. Nonaktifkan aplikasi menggunakan tata kelola aplikasi atau ID Microsoft Entra untuk mencegahnya mengakses sumber daya. Kebijakan tata kelola aplikasi yang ada mungkin telah menonaktifkan aplikasi.

• FP: Jika Anda dapat mengonfirmasi bahwa tidak ada aktivitas yang tidak biasa yang dilakukan oleh aplikasi dan bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi.

  Tindakan yang Direkomendasikan: Menutup pemberitahuan

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi.
2. Tinjau cakupan yang diberikan ke aplikasi.
3. Tinjau aktivitas pengguna yang terkait dengan aplikasi.

Aplikasi yang baru saja digunakan mengakses API

Tingkat keparahan: Sedang

ID MITRE: T1530

Deteksi ini menghasilkan pemberitahuan untuk aplikasi cloud multi-penyewa yang telah tidak aktif untuk sementara waktu dan baru-baru ini mulai melakukan panggilan API. Aplikasi ini dapat disusupi oleh penyerang dan digunakan untuk mengakses dan mengambil data sensitif.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aplikasi telah mengakses data sensitif atau melakukan sejumlah besar panggilan yang tidak biasa ke beban kerja Microsoft Graph, Exchange, atau Azure Resource Manager.

  Tindakan yang direkomendasikan:

  • Selidiki detail pendaftaran aplikasi tentang tata kelola aplikasi dan kunjungi ID Microsoft Entra untuk detail selengkapnya.
  • Hubungi pengguna atau admin yang memberikan persetujuan atau izin ke aplikasi. Verifikasi apakah perubahan tersebut disengaja.
  • Cari tabel perburuan Tingkat Lanjut CloudAppEvents untuk memahami aktivitas aplikasi dan mengidentifikasi data yang diakses oleh aplikasi. Periksa kotak surat yang terpengaruh dan tinjau pesan yang mungkin telah dibaca atau diteruskan oleh aplikasi itu sendiri atau aturan yang telah dibuatnya.
  • Verifikasi apakah aplikasi sangat penting bagi organisasi Anda sebelum mempertimbangkan tindakan penahanan apa pun. Nonaktifkan aplikasi menggunakan tata kelola aplikasi atau ID Microsoft Entra untuk mencegahnya mengakses sumber daya. Kebijakan tata kelola aplikasi yang ada mungkin telah menonaktifkan aplikasi.

• FP: Jika Anda dapat mengonfirmasi bahwa tidak ada aktivitas yang tidak biasa yang dilakukan oleh aplikasi dan bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi.

  Tindakan yang Direkomendasikan: Menutup pemberitahuan

Memahami cakupan pelanggaran

1. Tinjau semua aktivitas yang dilakukan oleh aplikasi.
2. Tinjau cakupan yang diberikan ke aplikasi.
3. Tinjau aktivitas pengguna yang terkait dengan aplikasi.

Pemberitahuan dampak

Bagian ini menjelaskan pemberitahuan yang menunjukkan bahwa aktor jahat mungkin mencoba memanipulasi, mengganggu, atau menghancurkan sistem dan data Anda dari organisasi Anda.

Aplikasi Entra Line-of-Business memulai lonjakan anomali dalam pembuatan komputer virtual

Tingkat keparahan: Sedang

ID MITRE: T1496

Deteksi ini mengidentifikasi aplikasi OAuth baru penyewa tunggal yang membuat sebagian besar Azure Virtual Machines di penyewa Anda menggunakan API Azure Resource Manager.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aplikasi OAuth baru-baru ini dibuat dan membuat sejumlah besar Komputer Virtual di penyewa Anda, maka positif sejati ditunjukkan.

  Tindakan yang direkomendasikan: Tinjau Komputer virtual yang dibuat dan perubahan terbaru yang dilakukan pada aplikasi. Berdasarkan investigasi, Anda dapat memilih untuk melarang akses ke aplikasi ini. Tinjau tingkat izin yang diminta oleh aplikasi ini dan pengguna mana yang telah memberikan akses.

• FP: Jika setelah diselidiki, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Pahami cakupan pelanggaran:

1. Tinjau aplikasi yang baru-baru ini dibuat dan VM dibuat.
2. Tinjau semua aktivitas yang dilakukan oleh aplikasi sejak pembuatannya.
3. Tinjau cakupan yang diberikan oleh aplikasi di Graph API dan Peran yang diberikan kepadanya di langganan Anda.

Aplikasi OAuth dengan hak istimewa cakupan tinggi di Microsoft Graph diamati memulai pembuatan komputer virtual

Tingkat keparahan: Sedang

ID MITRE: T1496

Deteksi ini mengidentifikasi aplikasi OAuth yang membuat sebagian besar Azure Virtual Machines di penyewa Anda menggunakan API Azure Resource Manager sambil memiliki hak istimewa tinggi di penyewa melalui MS Graph API sebelum aktivitas.

TP atau FP?

• TP: Jika Anda dapat mengonfirmasi bahwa aplikasi OAuth yang memiliki cakupan hak istimewa tinggi telah dibuat dan membuat sejumlah besar Komputer Virtual di penyewa Anda, maka positif sejati ditunjukkan.

  Tindakan yang direkomendasikan: Tinjau Komputer virtual yang dibuat dan perubahan terbaru yang dilakukan pada aplikasi. Berdasarkan investigasi, Anda dapat memilih untuk melarang akses ke aplikasi ini. Tinjau tingkat izin yang diminta oleh aplikasi ini dan pengguna mana yang telah memberikan akses.

• FP: Jika setelah diselidiki, Anda dapat mengonfirmasi bahwa aplikasi memiliki penggunaan bisnis yang sah di organisasi.

  Tindakan yang direkomendasikan: Menutup pemberitahuan.

Pahami cakupan pelanggaran:

1. Tinjau aplikasi yang baru-baru ini dibuat dan VM dibuat.
2. Tinjau semua aktivitas yang dilakukan oleh aplikasi sejak pembuatannya.
3. Tinjau cakupan yang diberikan oleh aplikasi di Graph API dan Peran yang diberikan kepadanya di langganan Anda.

Langkah berikutnya

Mengelola pemberitahuan tata kelola aplikasi