Condividi tramite


Analizzare gli avvisi di rilevamento delle minacce per la governance delle app

La governance delle app fornisce rilevamenti di sicurezza e avvisi per attività dannose. Questo articolo elenca i dettagli per ogni avviso in grado di facilitare l'indagine e la correzione, incluse le condizioni per l'attivazione degli avvisi. Poiché i rilevamenti delle minacce non sono deterministici per natura, vengono attivati solo quando esiste un comportamento che devia dalla norma.

Per altre informazioni, vedere Governance delle app in app Microsoft Defender per il cloud

Nota

I rilevamenti delle minacce per la governance delle app si basano sul conteggio delle attività sui dati temporanei e potrebbero non essere archiviati, pertanto gli avvisi possono fornire il numero di attività o indicazioni di picchi, ma non necessariamente tutti i dati pertinenti. In particolare per le attività dell'API Graph delle app OAuth, le attività stesse possono essere controllate dal tenant usando Log Analitica e Sentinel.

Per ulteriori informazioni:

MITRE ATT&CK

Per semplificare il mapping della relazione tra gli avvisi di governance delle app e la nota matrice MITRE ATT&CK, gli avvisi sono stati classificati in base alla corrispondente tattica MITRE ATT&CK. Questo riferimento aggiuntivo semplifica la comprensione della tecnica di attacchi sospetti potenzialmente in uso quando viene attivato l'avviso di governance delle app.

Questa guida fornisce informazioni sull'analisi e la correzione degli avvisi di governance delle app nelle categorie seguenti.

Classificazioni degli avvisi di sicurezza

Dopo l'analisi corretta, tutti gli avvisi di governance delle app possono essere classificati come uno dei tipi di attività seguenti:

  • Vero positivo (TP): avviso relativo a un'attività dannosa confermata.
  • Vero positivo non dannoso (B-TP): avviso relativo a attività sospette ma non dannose, ad esempio un test di penetrazione o un'altra azione sospetta autorizzata.
  • Falso positivo (FP):avviso relativo a un'attività non dannosa.

Passaggi generali per l'indagine

Usare le linee guida generali seguenti durante l'analisi di qualsiasi tipo di avviso per comprendere meglio la potenziale minaccia prima di applicare l'azione consigliata.

  • Esaminare il livello di gravità dell'app e confrontare le altre app nel tenant. Questa verifica consente di identificare quali app nel tenant rappresentano il rischio maggiore.

  • Se si identifica un TP, esaminare tutte le attività dell'app per comprendere l'impatto. Ad esempio, esaminare le informazioni sull'app seguenti:

    • Ambiti a cui è concesso l'accesso
    • Comportamento insolito
    • Indirizzo IP e posizione

Avvisi di accesso iniziali

Questa sezione descrive gli avvisi che indicano che un'app dannosa potrebbe tentare di mantenere il proprio punto di appoggio nell'organizzazione.

L'app reindirizza all'URL di phishing sfruttando la vulnerabilità di reindirizzamento OAuth

Gravità: medio

Questo rilevamento identifica le app OAuth reindirizzando agli URL di phishing sfruttando il parametro del tipo di risposta nell'implementazione OAuth tramite l'API Microsoft Graph.

TP o FP?

  • TP: se è possibile confermare che l'app OAuth è stata recapitata da un'origine sconosciuta, il tipo di risposta dell'URL di risposta dopo il consenso all'app OAuth contiene una richiesta non valida e reindirizza a un URL di risposta sconosciuto o non attendibile.

    Azione consigliata: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola posta in arrivo. 

  • FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app. 
  2. Esaminare gli ambiti concessi dall'app. 

App OAuth con URL di risposta sospetto

Gravità: medio

Questo rilevamento identifica un'app OAuth a cui si accede a un URL di risposta sospetto tramite l'API Microsoft Graph.

TP o FP?

  • TP: se è possibile confermare che l'app OAuth viene recapitata da un'origine sconosciuta e reindirizza a un URL sospetto, viene indicato un vero positivo. Un URL sospetto è uno dei casi in cui la reputazione dell'URL è sconosciuta, non attendibile o il cui dominio è stato registrato di recente e la richiesta di app è per un ambito con privilegi elevati.

    Azione consigliata: esaminare l'URL di risposta, i domini e gli ambiti richiesti dall'app. In base all'indagine, puoi scegliere di vietare l'accesso a questa app. Esaminare il livello di autorizzazione richiesto da questa app e gli utenti a cui viene concesso l'accesso.

    Per impedire l'accesso all'app, passare alla scheda pertinente per l'app nella pagina Governance delle app. Nella riga in cui viene visualizzata l'app da escludere selezionare l'icona di esclusione. È possibile scegliere se si vuole indicare agli utenti l'app installata e autorizzata è stata vietata. La notifica informa gli utenti che l'app verrà disabilitata e non avrà accesso all'app connessa. Per fare in modo che gli utenti non lo sappiano, deselezionare l'opzione Invia una notifica agli utenti che hanno concesso l'accesso a questa app vietata nella finestra di dialogo. È consigliabile informare gli utenti dell'app che l'app sta per essere vietata dall'uso.

  • FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare le app create di recente e i relativi URL di risposta.

  2. Esaminare tutte le attività eseguite dall'app. 

  3. Esaminare gli ambiti concessi dall'app. 

Gravità: Bassa

Questo rilevamento identifica un'app OAuth creata di recente e ha rilevato una bassa percentuale di consenso. Ciò può indicare un'app dannosa o rischiosa che attira gli utenti in concessioni di consenso illecito.

TP o FP?

  • TP: se è possibile confermare che l'app OAuth viene recapitata da un'origine sconosciuta, viene indicato un vero positivo.

    Azione consigliata: esaminare il nome visualizzato, gli URL di risposta e i domini dell'app. In base all'indagine è possibile scegliere di vietare l'accesso a questa app. Esaminare il livello di autorizzazione richiesto da questa app e quali utenti hanno concesso l'accesso.

  • FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Se si sospetta che un'app sia sospetta, è consigliabile esaminare il nome e il dominio di risposta dell'app in app store diversi. Quando si controllano gli App Store, concentrarsi sui tipi di app seguenti:
    • App create di recente
    • App con nome visualizzato insolito
    • App con un dominio di risposta sospetto
  3. Se si sospetta ancora che un'app sia sospetta, è possibile cercare il nome visualizzato dell'app e il dominio di risposta.

App con reputazione URL non valida

Gravità: medio

Questo rilevamento identifica un'app OAuth che è stata rilevata per avere una reputazione dell'URL non valida.

TP o FP?

  • TP: se è possibile confermare che l'app OAuth viene recapitata da un'origine sconosciuta e reindirizza a un URL sospetto, viene indicato un vero positivo.

    Azione consigliata: esaminare gli URL di risposta, i domini e gli ambiti richiesti dall'app. In base all'indagine è possibile scegliere di vietare l'accesso a questa app. Esaminare il livello di autorizzazione richiesto da questa app e quali utenti hanno concesso l'accesso.

  • FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Se si sospetta che un'app sia sospetta, è consigliabile esaminare il nome e il dominio di risposta dell'app in app store diversi. Quando si controllano gli App Store, concentrarsi sui tipi di app seguenti:
    • App create di recente
    • App con nome visualizzato insolito
    • App con un dominio di risposta sospetto
  3. Se si sospetta ancora che un'app sia sospetta, è possibile cercare il nome visualizzato dell'app e il dominio di risposta.

Gravità: medio

Descrizione: questo rilevamento identifica le app OAuth con caratteri, ad esempio caratteri Unicode o codificati, richieste per ambiti di consenso sospetti e che hanno eseguito l'accesso alle cartelle di posta degli utenti tramite l'API Graph. Questo avviso può indicare un tentativo di camuffare un'app dannosa come app nota e attendibile in modo che gli avversari possano indurre gli utenti a fornire il consenso all'app dannosa.

TP o FP?

  • TP: se è possibile verificare che l'app OAuth abbia codificato il nome visualizzato con ambiti sospetti recapitati da un'origine sconosciuta, viene indicato un vero positivo.

    Azione consigliata: esaminare il livello di autorizzazione richiesto da questa app e quali utenti hanno concesso l'accesso. In base all'indagine è possibile scegliere di vietare l'accesso a questa app.

    Per impedire l'accesso all'app, passare alla scheda pertinente per l'app nella pagina Governance delle app. Nella riga in cui viene visualizzata l'app da escludere selezionare l'icona di esclusione. È possibile scegliere se si vuole indicare agli utenti l'app installata e autorizzata è stata vietata. La notifica comunica agli utenti che l'app verrà disabilitata e che non avranno accesso all'app connessa. Per fare in modo che gli utenti non lo sappiano, deselezionare l'opzione Invia una notifica agli utenti che hanno concesso l'accesso a questa app vietata nella finestra di dialogo. È consigliabile informare gli utenti dell'app che l'app sta per essere vietata dall'uso.

  • FP: se si vuole confermare che l'app ha un nome codificato ma ha un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

Seguire l'esercitazione su come analizzare le app OAuth rischiose.

L'app OAuth con ambiti di lettura ha un URL di risposta sospetto

Gravità: medio

Descrizione: questo rilevamento identifica un'app OAuth con solo ambiti di lettura, ad esempio User.Read, People.Read, Contacts.Read, Mail.Read, Contacts.Read. Reindirizzamenti condivisi all'URL di risposta sospetto tramite l'API Graph. Questa attività tenta di indicare che un'app dannosa con autorizzazioni con privilegi inferiori (ad esempio gli ambiti di lettura) potrebbe essere sfruttata per condurre l'esplorazione degli account degli utenti.

TP o FP?

  • TP: se è possibile confermare che l'app OAuth con ambito di lettura viene recapitata da un'origine sconosciuta e reindirizza a un URL sospetto, viene indicato un vero positivo.

    Azione consigliata: esaminare l'URL di risposta e gli ambiti richiesti dall'app. In base all'indagine è possibile scegliere di vietare l'accesso a questa app. Esaminare il livello di autorizzazione richiesto da questa app e quali utenti hanno concesso l'accesso.

    Per impedire l'accesso all'app, passare alla scheda pertinente per l'app nella pagina Governance delle app. Nella riga in cui viene visualizzata l'app da escludere selezionare l'icona di esclusione. È possibile scegliere se si vuole indicare agli utenti l'app installata e autorizzata è stata vietata. La notifica comunica agli utenti che l'app verrà disabilitata e che non avranno accesso all'app connessa. Per fare in modo che gli utenti non lo sappiano, deselezionare l'opzione Invia una notifica agli utenti che hanno concesso l'accesso a questa app vietata nella finestra di dialogo. È consigliabile informare gli utenti dell'app che l'app sta per essere vietata dall'uso.

  • B-TP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Se si sospetta che un'app sia sospetta, è consigliabile esaminare il nome dell'app e l'URL di risposta in app store diversi. Quando si controllano gli App Store, concentrarsi sui tipi di app seguenti:
    • App create di recente.
    • App con un URL di risposta sospetto
    • App che non sono state aggiornate di recente. La mancanza di aggiornamenti potrebbe indicare che l'app non è più supportata.
  3. Se si sospetta ancora che un'app sia sospetta, è possibile cercare online il nome dell'app, il nome dell'editore e l'URL di risposta

App con nome visualizzato insolito e TLD insolito nel dominio reply

Gravità: medio

Questo rilevamento identifica l'app con un nome visualizzato insolito e reindirizza a un dominio di risposta sospetto con un dominio di primo livello insolito (TLD) tramite l'API Graph. Ciò può indicare un tentativo di camuffare un'app dannosa o rischiosa come app nota e attendibile in modo che gli avversari possano indurre gli utenti a fornire il consenso all'app dannosa o rischiosa. 

TP o FP?

  • TP: se è possibile confermare che l'app con un nome visualizzato insolito recapitato da un'origine sconosciuta e reindirizza a un dominio sospetto con un dominio di primo livello insolito

    Azione consigliata: esaminare il nome visualizzato e il dominio di risposta dell'app. In base all'indagine è possibile scegliere di vietare l'accesso a questa app. Esaminare il livello di autorizzazione richiesto da questa app e quali utenti hanno concesso l'accesso.

  • FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

Esaminare tutte le attività eseguite dall'app. Se si sospetta che un'app sia sospetta, è consigliabile esaminare il nome e il dominio di risposta dell'app in app store diversi. Quando si controllano gli App Store, concentrarsi sui tipi di app seguenti:

  • App create di recente
  • App con nome visualizzato insolito
  • App con un dominio di risposta sospetto

Se si sospetta ancora che un'app sia sospetta, è possibile cercare il nome visualizzato dell'app e il dominio di risposta.

Gravità: medio

Questo rilevamento identifica le app OAuth create di recente nei tenant del server di pubblicazione relativamente nuovi con le caratteristiche seguenti:

  • Autorizzazioni per accedere o modificare le impostazioni della cassetta postale
  • Percentuale di consenso relativamente bassa, che può identificare app indesiderate o persino dannose che tentano di ottenere il consenso da utenti insospettabili

TP o FP?

  • TP: se sei in grado di confermare che la richiesta di consenso all'app è stata recapitata da un'origine sconosciuta o esterna e l'app non ha un uso aziendale legittimo nell'organizzazione, viene indicato un vero positivo.

    Azione consigliata:

    • Contattare utenti e amministratori che hanno concesso il consenso a questa app per confermare che questo è stato intenzionale e i privilegi eccessivi sono normali.
    • Analizzare l'attività dell'app e controllare gli account interessati per individuare attività sospette.
    • In base all'indagine, disabilitare l'app e sospendere e reimpostare le password per tutti gli account interessati.
    • Classificare l'avviso come vero positivo.
  • FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: classificare l'avviso come falso positivo e prendere in considerazione la condivisione del feedback in base all'indagine dell'avviso.

Comprendere l'ambito della violazione

Esaminare le concessioni di consenso all'applicazione effettuata da utenti e amministratori. Esaminare tutte le attività eseguite dall'app, in particolare l'accesso alla cassetta postale di utenti e account amministratore associati. Se si sospetta che l'app sia sospetta, è consigliabile disabilitare l'applicazione e ruotare le credenziali di tutti gli account interessati.

Gravità: medio

Questo avviso identifica le app OAuth registrate di recente in un tenant del server di pubblicazione relativamente nuovo con le autorizzazioni per modificare le impostazioni della cassetta postale e accedere ai messaggi di posta elettronica. Verifica inoltre se l'app ha una frequenza di consenso globale relativamente bassa e effettua numerose chiamate all'API Microsoft Graph per accedere ai messaggi di posta elettronica degli utenti che concludono il consenso degli utenti. Le app che attivano questo avviso potrebbero essere app indesiderate o dannose che tentano di ottenere il consenso da utenti insospettabili.

TP o FP?

  • TP: se sei in grado di confermare che la richiesta di consenso all'app è stata recapitata da un'origine sconosciuta o esterna e l'app non ha un uso aziendale legittimo nell'organizzazione, viene indicato un vero positivo.

    Azione consigliata:

    • Contattare utenti e amministratori che hanno concesso il consenso a questa app per confermare che questo è stato intenzionale e i privilegi eccessivi sono normali.
    • Analizzare l'attività dell'app e controllare gli account interessati per individuare attività sospette.
    • In base all'indagine, disabilitare l'app e sospendere e reimpostare le password per tutti gli account interessati.
    • Classificare l'avviso come vero positivo.
  • FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione, viene indicato un falso positivo.

    Azione consigliata: classificare l'avviso come falso positivo e prendere in considerazione la condivisione del feedback in base all'indagine dell'avviso.

Comprendere l'ambito della violazione

Esaminare le concessioni di consenso all'applicazione effettuata da utenti e amministratori. Esaminare tutte le attività eseguite dall'app, in particolare l'accesso alle cassette postali degli utenti e degli account amministratore associati. Se si sospetta che l'app sia sospetta, è consigliabile disabilitare l'applicazione e ruotare le credenziali di tutti gli account interessati.

App sospetta con autorizzazioni di posta elettronica che inviano numerosi messaggi di posta elettronica

Gravità: medio

Questo avviso trova app OAuth multi-tenant che hanno effettuato numerose chiamate all'API Microsoft Graph per inviare messaggi di posta elettronica entro un breve periodo di tempo. Verifica inoltre se le chiamate API hanno generato errori e tentativi non riusciti di inviare messaggi di posta elettronica. Le app che attivano questo avviso potrebbero inviare attivamente posta indesiderata o messaggi di posta elettronica dannosi ad altre destinazioni.

TP o FP?

  • TP: se sei in grado di confermare che la richiesta di consenso all'app è stata recapitata da un'origine sconosciuta o esterna e l'app non ha un uso aziendale legittimo nell'organizzazione, viene indicato un vero positivo.

    Azione consigliata:

    • Contattare utenti e amministratori che hanno concesso il consenso a questa app per confermare che questo è stato intenzionale e i privilegi eccessivi sono normali.
    • Analizzare l'attività dell'app e controllare gli account interessati per individuare attività sospette.
    • In base all'indagine, disabilitare l'app e sospendere e reimpostare le password per tutti gli account interessati.
    • Classificare l'avviso come vero positivo.
  • FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione, viene indicato un falso positivo.

    Azione consigliata: classificare l'avviso come falso positivo e prendere in considerazione la condivisione del feedback in base all'indagine dell'avviso.

Comprendere l'ambito della violazione

Esaminare le concessioni di consenso all'applicazione effettuata da utenti e amministratori. Esaminare tutte le attività eseguite dall'app, in particolare l'accesso alla cassetta postale di utenti e account amministratore associati. Se si sospetta che l'app sia sospetta, è consigliabile disabilitare l'applicazione e ruotare le credenziali di tutti gli account interessati.

App OAuth sospetta usata per inviare numerosi messaggi di posta elettronica

Gravità: medio

Questo avviso indica un'app OAuth che ha effettuato numerose chiamate all'API Microsoft Graph per inviare messaggi di posta elettronica entro un breve periodo di tempo. Il tenant dell'editore dell'app è noto per generare un volume elevato di app OAuth che effettuano chiamate api Microsoft Graph simili. Un utente malintenzionato potrebbe usare attivamente questa app per inviare posta indesiderata o messaggi di posta elettronica dannosi alle proprie destinazioni.

TP o FP?

  • TP: se sei in grado di confermare che la richiesta di consenso all'app è stata recapitata da un'origine sconosciuta o esterna e l'app non ha un uso aziendale legittimo nell'organizzazione, viene indicato un vero positivo.

    Azione consigliata:

    • Contattare utenti e amministratori che hanno concesso il consenso a questa app per confermare che questo è stato intenzionale e i privilegi eccessivi sono normali.
    • Analizzare l'attività dell'app e controllare gli account interessati per individuare attività sospette.
    • In base all'indagine, disabilitare l'app e sospendere e reimpostare le password per tutti gli account interessati.
    • Classificare l'avviso come vero positivo.
  • FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione, viene indicato un falso positivo.

    Azione consigliata: classificare l'avviso come falso positivo e prendere in considerazione la condivisione del feedback in base all'indagine dell'avviso.

Comprendere l'ambito della violazione

Esaminare le concessioni di consenso all'applicazione effettuata da utenti e amministratori. Esaminare tutte le attività eseguite dall'app, in particolare l'accesso alla cassetta postale di utenti e account amministratore associati. Se si sospetta che l'app sia sospetta, è consigliabile disabilitare l'applicazione e ruotare le credenziali di tutti gli account interessati.

Avvisi di persistenza

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di mantenere il proprio punto di appoggio nell'organizzazione.

L'app ha effettuato chiamate a Graph anomale al carico di lavoro di Exchange dopo l'aggiornamento del certificato o l'aggiunta di nuove credenziali

Gravità: medio

ID MITRE: T1098.001, T1114

Questo rilevamento attiva un avviso quando un'app Line of Business (LOB) ha aggiornato i certificati/segreti o ha aggiunto nuove credenziali e entro pochi giorni dopo l'aggiornamento o l'aggiunta di nuove credenziali, le attività insolite o l'utilizzo di volumi elevati per il carico di lavoro di Exchange tramite l'API Graph usando l'algoritmo di Machine Learning.

TP o FP?

  • TP: se si è in grado di confermare che le attività insolite o l'utilizzo elevato del volume per il carico di lavoro di Exchange sono state eseguite dall'app LINEB tramite l'API Graph

    Azione consigliata: disabilitare temporaneamente l'app e reimpostare la password e quindi riabilitare l'app.

  • FP: se è possibile confermare che nessuna attività insolita è stata eseguita dall'app LOB o dall'app è destinata a eseguire volumi insolitamente elevati di chiamate a grafo.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi dall'app.
  3. Esaminare l'attività utente associata a questa app.

L'app con ambito OAuth sospetto è stata contrassegnata a alto rischio dal modello di Machine Learning, ha effettuato chiamate a gragrafi per leggere la posta elettronica e creare una regola posta in arrivo

Gravità: medio

MITRE ID: T1137.005, T1114

Questo rilevamento identifica un'app OAuth contrassegnata a alto rischio dal modello di Machine Learning che ha concesso il consenso agli ambiti sospetti, crea una regola di posta in arrivo sospetta e quindi ha eseguito l'accesso alle cartelle di posta e ai messaggi degli utenti tramite l'API Graph. Le regole della posta in arrivo, ad esempio l'inoltro di tutti o specifici messaggi di posta elettronica a un altro account di posta elettronica, e le chiamate a Graph per accedere ai messaggi di posta elettronica e inviare a un altro account di posta elettronica, possono essere un tentativo di esfiltrare le informazioni dall'organizzazione.

TP o FP?

  • TP: se è possibile verificare che la regola posta in arrivo sia stata creata da un'app di terze parti OAuth con ambiti sospetti recapitati da un'origine sconosciuta, viene rilevato un vero positivo.

    Azione consigliata: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola posta in arrivo.

Seguire l'esercitazione su come reimpostare una password usando Microsoft Entra ID e seguire l'esercitazione su come rimuovere la regola posta in arrivo.

  • FP: se è possibile confermare che l'app ha creato una regola posta in arrivo a un account di posta elettronica esterno nuovo o personale per motivi legittimi.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi dall'app.
  3. Esaminare l'azione e la condizione della regola posta in arrivo creata dall'app.

App con ambito OAuth sospetto ha effettuato chiamate a gragraf per leggere la posta elettronica e creare la regola posta in arrivo

Gravità: medio

ID MITRE: T1137.005, T1114

Questo rilevamento identifica un'app OAuth che ha acconsentito a ambiti sospetti, crea una regola di posta in arrivo sospetta e quindi accede alle cartelle e ai messaggi di posta elettronica degli utenti tramite l'API Graph. Le regole della posta in arrivo, ad esempio l'inoltro di tutti o specifici messaggi di posta elettronica a un altro account di posta elettronica, e le chiamate a Graph per accedere ai messaggi di posta elettronica e inviare a un altro account di posta elettronica, possono essere un tentativo di esfiltrare le informazioni dall'organizzazione.

TP o FP?

  • TP: se è possibile confermare che la regola posta in arrivo è stata creata da un'app di terze parti OAuth con ambiti sospetti recapitati da un'origine sconosciuta, viene indicato un vero positivo.

    Azione consigliata: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola posta in arrivo.

    Seguire l'esercitazione su come reimpostare una password usando Microsoft Entra ID e seguire l'esercitazione su come rimuovere la regola posta in arrivo.

  • FP: se è possibile confermare che l'app ha creato una regola posta in arrivo a un account di posta elettronica esterno nuovo o personale per motivi legittimi.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi dall'app.
  3. Esaminare l'azione e la condizione della regola posta in arrivo creata dall'app.

App a cui si accede da un percorso insolito dopo l'aggiornamento del certificato

Gravità: Bassa

ID MITRE: T1098

Questo rilevamento attiva un avviso quando un'app line-of-business (LOB) è stata aggiornata il certificato o il segreto e entro pochi giorni dopo l'aggiornamento del certificato, l'app è accessibile da una posizione insolita che non è stata rilevata di recente o non ha mai eseguito l'accesso in passato.

TP o FP?

  • TP: se è possibile confermare che l'app LINEB ha eseguito l'accesso da una posizione insolita ed ha eseguito attività insolite tramite l'API Graph.

    Azione consigliata: disabilitare temporaneamente l'app e reimpostare la password e quindi riabilitare l'app.

  • FP: se si è in grado di confermare che l'app LINEB ha eseguito l'accesso da una posizione insolita per scopi legittimi e nessuna attività insolita eseguita.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi dall'app.
  3. Esaminare l'attività utente associata a questa app.

L'app a cui si accede da una posizione insolita ha effettuato chiamate a Graph anomale dopo l'aggiornamento del certificato

Gravità: medio

ID MITRE: T1098

Questo rilevamento attiva un avviso quando un'app line-of-business (LOB) ha aggiornato il certificato/segreto e entro pochi giorni dopo l'aggiornamento del certificato, l'app viene accessibile da una posizione insolita che non è stata vista di recente o mai accessibile in passato e ha osservato attività insolite o utilizzo tramite l'API Graph usando l'algoritmo di Machine Learning.

TP o FP?

  • TP: se si è in grado di confermare che le attività o l'utilizzo insolite sono state eseguite dall'app LINEB tramite l'API Graph da una posizione insolita.

    Azione consigliata: disabilitare temporaneamente l'app e reimpostare la password e quindi riabilitare l'app.

  • FP: se si è in grado di confermare che l'app LINEB ha eseguito l'accesso da una posizione insolita per scopi legittimi e nessuna attività insolita eseguita.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi dall'app.
  3. Esaminare l'attività utente associata a questa app.

L'app creata di recente ha un volume elevato di consensi revocati

Gravità: medio

MITRE ID: T1566, T1098

Diversi utenti hanno revocato il loro consenso a questa app line-of-business creata di recente o di terze parti. Questa app potrebbe aver invertito gli utenti a fornire il consenso inavvertitamente.

TP o FP?

  • TP: se è possibile verificare che l'app OAuth venga recapitata da un'origine sconosciuta e che il comportamento dell'app sia sospetto. 

    Azione consigliata: revocare i consenso concessi all'app e disabilitare l'app. 

  • FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione e che non siano state eseguite attività insolite dall'app.

    Azione consigliata: Ignorare l'avviso

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Se si sospetta che un'app sia sospetta, è consigliabile esaminare il nome e il dominio di risposta dell'app in app store diversi. Quando si controllano gli App Store, concentrarsi sui tipi di app seguenti:
    • App create di recente
    • App con un nome visualizzato insolito
    • App con un dominio di risposta sospetto
  3. Se si sospetta ancora che un'app sia sospetta, è possibile cercare il nome visualizzato dell'app e il dominio di risposta.

Metadati dell'app associati alla campagna di phishing nota

Gravità: medio

Questo rilevamento genera avvisi per le app OAuth non Microsoft con metadati, ad esempio nome, URL o editore, osservati in precedenza nelle app associate a una campagna di phishing. Queste app potrebbero far parte della stessa campagna e potrebbero essere coinvolte nell'esfiltrazione di informazioni riservate.

TP o FP?

  • TP: se è possibile confermare che l'app OAuth viene recapitata da un'origine sconosciuta ed esegue attività insolite.

    Azione consigliata:

    • Esaminare i dettagli di registrazione dell'app sulla governance delle app e visitare Microsoft Entra ID per altri dettagli.
    • Contattare gli utenti o gli amministratori che hanno concesso il consenso o le autorizzazioni per l'app. Verificare se le modifiche sono state intenzionali.
    • Cercare nella tabella Di ricerca avanzata CloudAppEvents per comprendere l'attività dell'app e determinare se è previsto il comportamento osservato.
    • Verificare se l'app è fondamentale per l'organizzazione prima di prendere in considerazione eventuali azioni di contenimento. Disattivare l'app usando la governance delle app o l'ID Microsoft Entra per impedire l'accesso alle risorse. I criteri di governance delle app esistenti potrebbero aver già disattivato l'app.
  • FP: se è possibile verificare che non siano state eseguite attività insolite dall'app e che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: Ignorare l'avviso

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi all'app.
  3. Esaminare l'attività utente associata all'app.

Metadati dell'app associati alle app sospette contrassegnate in precedenza

Gravità: medio

Questo rilevamento genera avvisi per le app OAuth non Microsoft con metadati, ad esempio nome, URL o autore, osservati in precedenza nelle app contrassegnate dalla governance delle app a causa di attività sospette. Questa app potrebbe far parte di una campagna di attacco e potrebbe essere coinvolta nell'esfiltrazione di informazioni riservate.

TP o FP?

  • TP: se è possibile confermare che l'app OAuth viene recapitata da un'origine sconosciuta ed esegue attività insolite.

    Azione consigliata:

    • Esaminare i dettagli di registrazione dell'app sulla governance delle app e visitare Microsoft Entra ID per altri dettagli.
    • Contattare gli utenti o gli amministratori che hanno concesso il consenso o le autorizzazioni per l'app. Verificare se le modifiche sono state intenzionali.
    • Cercare nella tabella Di ricerca avanzata CloudAppEvents per comprendere l'attività dell'app e determinare se è previsto il comportamento osservato.
    • Verificare se l'app è fondamentale per l'organizzazione prima di prendere in considerazione eventuali azioni di contenimento. Disattivare l'app usando la governance delle app o l'ID Microsoft Entra per impedire l'accesso alle risorse. I criteri di governance delle app esistenti potrebbero aver già disattivato l'app.
  • FP: se è possibile verificare che non siano state eseguite attività insolite dall'app e che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: Ignorare l'avviso

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi all'app.
  3. Esaminare l'attività utente associata all'app.

Attività di posta elettronica di app OAuth sospette tramite l'API Graph

Gravità: alta

Questo rilevamento genera avvisi per le app OAuth multi-tenant registrate dagli utenti con un accesso ad alto rischio, che hanno effettuato chiamate all'API Microsoft Graph per eseguire attività di posta elettronica sospette entro un breve periodo di tempo.

Questo rilevamento verifica se le chiamate API sono state effettuate per la creazione della regola della cassetta postale, creare un messaggio di posta elettronica di risposta, inoltrare posta elettronica, rispondere o inviare nuovi messaggi di posta elettronica. Le app che attivano questo avviso potrebbero inviare attivamente posta indesiderata o messaggi di posta elettronica dannosi ad altre destinazioni o esfiltrare dati riservati e cancellare tracce per evitare il rilevamento.

TP o FP?

  • TP: se è possibile confermare che la creazione e la richiesta di consenso dell'app all'app è stata recapitata da un'origine sconosciuta o esterna e l'app non ha un uso aziendale legittimo nell'organizzazione, viene indicato un vero positivo.

    Azione consigliata:

    • Contattare utenti e amministratori che hanno concesso il consenso a questa app per confermare che questo è stato intenzionale e i privilegi eccessivi sono normali.

    • Analizzare l'attività dell'app e controllare gli account interessati per individuare attività sospette.

    • In base all'indagine, disabilitare l'app e sospendere e reimpostare le password per tutti gli account interessati e rimuovere la regola posta in arrivo.

    • Classificare l'avviso come vero positivo.

  • FP: se, dopo l'indagine, è possibile confermare che l'app ha un uso aziendale legittimo nell'organizzazione, viene indicato un falso positivo.

    Azione consigliata:

    • Classificare l'avviso come falso positivo e prendere in considerazione la condivisione del feedback in base all'indagine dell'avviso.

    • Comprendere l'ambito della violazione:

      Esaminare le concessioni di consenso all'applicazione effettuata da utenti e amministratori. Esaminare tutte le attività eseguite dall'app, in particolare l'accesso alla cassetta postale di utenti e account amministratore associati. Se si sospetta che l'app sia sospetta, è consigliabile disabilitare l'applicazione e ruotare le credenziali di tutti gli account interessati.

Attività di posta elettronica di app OAuth sospette tramite l'API EWS

Gravità: alta

Questo rilevamento genera avvisi per le app OAuth multi-tenant registrate dagli utenti con un accesso ad alto rischio, che hanno effettuato chiamate all'API EWS (Microsoft Exchange Web Services) per eseguire attività di posta elettronica sospette entro un breve periodo di tempo.

Questo rilevamento verifica se le chiamate API sono state effettuate per aggiornare le regole della posta in arrivo, spostare elementi, eliminare posta elettronica, eliminare una cartella o eliminare un allegato. Le app che attivano questo avviso potrebbero esfiltrare o eliminare attivamente dati riservati e cancellare tracce per evitare il rilevamento.

TP o FP?

  • TP: se è possibile confermare che la creazione e la richiesta di consenso dell'app all'app è stata recapitata da un'origine sconosciuta o esterna e l'app non ha un uso aziendale legittimo nell'organizzazione, viene indicato un vero positivo.

    Azione consigliata:

    • Contattare utenti e amministratori che hanno concesso il consenso a questa app per confermare che questo è stato intenzionale e i privilegi eccessivi sono normali.

    • Analizzare l'attività dell'app e controllare gli account interessati per individuare attività sospette.

    • In base all'indagine, disabilitare l'app e sospendere e reimpostare le password per tutti gli account interessati e rimuovere la regola posta in arrivo.

    • Classificare l'avviso come vero positivo.

  • FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione, viene indicato un falso positivo.

    Azione consigliata:

    • Classificare l'avviso come falso positivo e prendere in considerazione la condivisione del feedback in base all'indagine dell'avviso.

    • Comprendere l'ambito della violazione:

      Esaminare le concessioni di consenso all'applicazione effettuata da utenti e amministratori. Esaminare tutte le attività eseguite dall'app, in particolare l'accesso alla cassetta postale di utenti e account amministratore associati. Se si sospetta che l'app sia sospetta, è consigliabile disabilitare l'applicazione e ruotare le credenziali di tutti gli account interessati.

Avvisi di escalation dei privilegi

L'app OAuth con metadati sospetti dispone dell'autorizzazione exchange

Gravità: medio

ID MITRE: T1078

Questo avviso viene attivato quando un'app line-of-business con metadati sospetti ha il privilegio di gestire l'autorizzazione su Exchange.

TP o FP?

  • TP: se è possibile confermare che l'app OAuth viene recapitata da un'origine sconosciuta e presenta caratteristiche di metadati sospette, viene indicato un vero positivo.

Azione consigliata: revocare i consenso concessi all'app e disabilitare l'app.

FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

Azione consigliata: Ignorare l'avviso

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi dall'app.
  3. Esaminare l'attività utente associata all'app.

Avvisi di evasione della difesa

Gravità: medio

Un'app cloud non Microsoft usa un logo trovato da un algoritmo di Machine Learning simile a un logo Microsoft. Può trattarsi di un tentativo di rappresentare i prodotti software Microsoft e di apparire legittimi.

Nota

Gli amministratori tenant dovranno fornire il consenso tramite popup per avere i dati necessari inviati al di fuori del limite di conformità corrente e selezionare i team partner all'interno di Microsoft per abilitare questo rilevamento delle minacce per le app line-of-business.

TP o FP?

  • TP: se è possibile confermare che il logo dell'app è un'imitazione di un logo Microsoft e il comportamento dell'app è sospetto. 

    Azione consigliata: revocare i consenso concessi all'app e disabilitare l'app.

  • FP: se è possibile verificare che il logo dell'app non sia un'imitazione di un logo Microsoft o che non siano state eseguite attività insolite dall'app. 

    Azione consigliata: Ignorare l'avviso

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi all'app.
  3. Esaminare l'attività utente associata all'app.

L'app è associata a un dominio non corretto

Gravità: medio

Questo rilevamento genera avvisi per le app OAuth non Microsoft con domini di pubblicazione o URL di reindirizzamento che contengono versioni non aggiornate dei nomi dei marchi Microsoft. Il tipo di ortografia viene in genere usato per acquisire il traffico verso siti ogni volta che gli utenti digitano inavvertitamente URL, ma possono anche essere usati per rappresentare i prodotti e i servizi software più diffusi.

TP o FP?

  • TP: se è possibile confermare che il dominio di pubblicazione o l'URL di reindirizzamento dell'app è stato digitato e non è correlato alla vera identità dell'app.

    Azione consigliata:

    • Esaminare i dettagli di registrazione dell'app sulla governance delle app e visitare Microsoft Entra ID per altri dettagli.
    • Controllare l'app per individuare altri segni di spoofing o rappresentazione e qualsiasi attività sospetta.
    • Verificare se l'app è fondamentale per l'organizzazione prima di prendere in considerazione eventuali azioni di contenimento. Disattivare l'app usando la governance delle app per impedire l'accesso alle risorse. I criteri di governance delle app esistenti potrebbero aver già disattivato l'app.
  • FP: se è possibile verificare che il dominio dell'editore e l'URL di reindirizzamento dell'app siano legittimi. 

    Azione consigliata: classificare l'avviso come falso positivo e prendere in considerazione la condivisione del feedback in base all'indagine dell'avviso.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi all'app.
  3. Esaminare l'attività utente associata all'app.

Accesso tramite credenziali

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di leggere i dati sensibili delle credenziali ed è costituito da tecniche per rubare credenziali come nomi di account, segreti, token, certificati e password nell'organizzazione.

L'applicazione che avvia più attività di lettura keyvault non riuscite senza esito positivo

Gravità: medio

ID MITRE: T1078.004

Questo rilevamento identifica un'applicazione nel tenant che è stata osservata eseguendo più chiamate di azione di lettura all'insieme di credenziali delle chiavi usando l'API di Azure Resource Manager in un breve intervallo, con solo errori e nessuna attività di lettura completata correttamente.

TP o FP?

  • TP: se l'app è sconosciuta o non viene usata, l'attività specificata è potenzialmente sospetta. Dopo aver verificato l'uso della risorsa di Azure e convalidando l'uso dell'app nel tenant, l'attività specificata potrebbe richiedere la disabilitazione dell'app. Si tratta in genere di prove di attività sospette di enumerazione rispetto alla risorsa KeyVault per ottenere l'accesso alle credenziali per lo spostamento laterale o l'escalation dei privilegi.

    Azioni consigliate: esaminare le risorse di Azure accessibili o create dall'applicazione ed eventuali modifiche recenti apportate all'applicazione. In base all'indagine, scegliere se si vuole impedire l'accesso a questa app. Esaminare il livello di autorizzazione richiesto da questa app e gli utenti a cui è stato concesso l'accesso.

  • FP: se, dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare l'accesso e l'attività dell'app.
  2. Esaminare tutte le attività eseguite dall'app dopo la creazione.
  3. Esaminare gli ambiti concessi dall'app nell'API Graph e il ruolo concesso nella sottoscrizione.
  4. Esaminare tutti gli utenti che potrebbero aver eseguito l'accesso all'app prima dell'attività.

Avvisi di individuazione

Enumerazione unità eseguita dall'app

Gravità: medio

ID MITRE: T1087

Questo rilevamento identifica un'app OAuth rilevata dal modello di Machine Learning che esegue l'enumerazione nei file di OneDrive usando l'API Graph.

TP o FP?

  • TP: se si è in grado di confermare che le attività o l'utilizzo insolite per OneDrive sono state eseguite dall'app LINEB tramite l'API Graph.

    Azione consigliata: disabilitare e rimuovere l'app e reimpostare la password.

  • FP: se è possibile confermare che non sono state eseguite attività insolite dall'app.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi dall'app.
  3. Esaminare l'attività utente associata a questa app.

Attività di enumerazione sospette eseguite con Microsoft Graph PowerShell

Gravità: medio

ID MITRE: T1087

Questo rilevamento identifica un volume elevato di attività di enumerazione sospette eseguite entro un breve intervallo di tempo tramite un'applicazione PowerShell di Microsoft Graph.

TP o FP?

  • TP: se è possibile verificare che le attività di enumerazione sospette/insolite siano state eseguite dall'applicazione Microsoft Graph PowerShell.

    Azione consigliata: disabilitare e rimuovere l'applicazione e reimpostare la password.

  • FP: se è possibile confermare che non sono state eseguite attività insolite dall'applicazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'applicazione.
  2. Esaminare l'attività utente associata a questa applicazione.

L'applicazione multi-tenant creata di recente enumera frequentemente le informazioni sugli utenti

Gravità: medio

ID MITRE: T1087

Questo avviso rileva le app OAuth registrate di recente in un tenant del server di pubblicazione relativamente nuovo con le autorizzazioni per modificare le impostazioni della cassetta postale e accedere ai messaggi di posta elettronica. Verifica se l'app ha effettuato numerose chiamate all'API Microsoft Graph che richiede informazioni sulla directory utente. Le app che attivano questo avviso potrebbero consentire agli utenti di concedere il consenso in modo da poter accedere ai dati dell'organizzazione.

TP o FP?

  • TP: se sei in grado di confermare che la richiesta di consenso all'app è stata recapitata da un'origine sconosciuta o esterna e l'app non ha un uso aziendale legittimo nell'organizzazione, viene indicato un vero positivo.

    Azione consigliata:

    • Contattare utenti e amministratori che hanno concesso il consenso a questa app per confermare che questo è stato intenzionale e i privilegi eccessivi sono normali.
    • Analizzare l'attività dell'app e controllare gli account interessati per individuare attività sospette.
    • In base all'indagine, disabilitare l'app e sospendere e reimpostare le password per tutti gli account interessati.
    • Classificare l'avviso come vero positivo.
  • FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione, viene indicato un falso positivo.

    Azione consigliata: classificare l'avviso come falso positivo e prendere in considerazione la condivisione del feedback in base all'indagine dell'avviso.

Comprendere l'ambito della violazione

Esaminare le concessioni di consenso all'applicazione effettuata da utenti e amministratori. Esaminare tutte le attività eseguite dall'app, in particolare l'enumerazione delle informazioni sulla directory utente. Se si sospetta che l'app sia sospetta, è consigliabile disabilitare l'applicazione e ruotare le credenziali di tutti gli account interessati.

Avvisi di esfiltrazione

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di sottrarre i dati di interesse all'obiettivo dell'organizzazione.

App OAuth che usa un agente utente insolito

Gravità: Bassa

ID MITRE: T1567

Questo rilevamento identifica un'applicazione OAuth che usa un agente utente insolito per accedere all'API Graph.

TP o FP?

  • TP: se è possibile confermare che l'app OAuth ha iniziato di recente a usare un nuovo agente utente non usato in precedenza e questa modifica è imprevista, viene indicato un vero positivo.

    Azioni consigliate: esaminare gli agenti utente usati e le modifiche recenti apportate all'applicazione. In base all'indagine, puoi scegliere di vietare l'accesso a questa app. Esaminare il livello di autorizzazione richiesto da questa app e quali utenti hanno concesso l'accesso.

  • FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare le app create di recente e gli agenti utente usati.
  2. Esaminare tutte le attività eseguite dall'app. 
  3. Esaminare gli ambiti concessi dall'app. 

App con un agente utente insolito ha eseguito l'accesso ai dati di posta elettronica tramite Servizi Web di Exchange

Gravità: alta

ID MITRE: T1114, T1567

Questo rilevamento identifica un'app OAuth che usava un agente utente insolito per accedere ai dati di posta elettronica tramite l'API dei servizi Web di Exchange.

TP o FP?

  • TP: se si è in grado di confermare che l'applicazione OAuth non deve modificare l'agente utente usato per effettuare richieste all'API di Servizi Web di Exchange, viene indicato un vero positivo.

    Azioni consigliate: classificare l'avviso come TP. In base all'indagine, se l'app è dannosa, è possibile revocare i consenso e disabilitare l'app nel tenant. Se si tratta di un'app compromessa, puoi revocare i consenso, disabilitare temporaneamente l'app, esaminare le autorizzazioni, reimpostare il segreto e il certificato e quindi riabilitare l'app.

  • FP: se dopo l'indagine, è possibile verificare che l'agente utente usato dall'applicazione abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: classificare l'avviso come FP. Valutare anche la possibilità di condividere commenti e suggerimenti in base all'indagine dell'avviso.

Comprendere l'ambito della violazione

  1. Verificare se l'applicazione è stata appena creata o se sono state apportate modifiche recenti.
  2. Esaminare le autorizzazioni concesse all'applicazione e agli utenti che hanno acconsentito all'applicazione.
  3. Esaminare tutte le attività eseguite dall'app.

Avvisi di spostamento laterale

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di spostarsi in un secondo momento all'interno di risorse diverse, pivoting tra più sistemi e account per ottenere un maggiore controllo nell'organizzazione.

App OAuth inattiva che usa principalmente MS Graph o Exchange Web Services recentemente visto per accedere ai carichi di lavoro ARM

Gravità: medio

ID MITRE: T1078.004

Questo rilevamento identifica un'applicazione nel tenant che, dopo un lungo intervallo di attività inattiva, ha iniziato ad accedere all'API di Azure Resource Manager per la prima volta. In precedenza, questa applicazione usava principalmente MS Graph o Exchange Web Service.

TP o FP?

  • TP: se l'app è sconosciuta o non viene usata, l'attività specificata è potenzialmente sospetta e potrebbe richiedere la disabilitazione dell'app, dopo aver verificato la risorsa di Azure usata e convalidando l'utilizzo dell'app nel tenant.

    Azioni consigliate:

    1. Esaminare le risorse di Azure accessibili o create dall'applicazione ed eventuali modifiche recenti apportate all'applicazione.
    2. Esaminare il livello di autorizzazione richiesto da questa app e quali utenti hanno concesso l'accesso.
    3. In base all'indagine, scegliere se si vuole impedire l'accesso a questa app.
  • FP: se, dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare l'accesso e l'attività dell'app.
  2. Esaminare tutte le attività eseguite dall'app dopo la creazione.
  3. Esaminare gli ambiti concessi dall'app nell'API Graph e il ruolo concesso nella sottoscrizione.
  4. Esaminare tutti gli utenti che potrebbero aver eseguito l'accesso all'app prima dell'attività.

Avvisi di raccolta

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di raccogliere dati di interesse per l'obiettivo dell'organizzazione.

L'app ha effettuato attività insolite di ricerca tramite posta elettronica

Gravità: medio

ID MITRE: T1114

Questo rilevamento identifica quando un'app ha acconsentito all'ambito OAuth sospetto e ha effettuato un volume elevato di attività di ricerca di posta elettronica insolite, ad esempio la ricerca di contenuti specifici tramite l'API Graph. Ciò può indicare un tentativo di violazione dell'organizzazione, ad esempio gli avversari che tentano di cercare e leggere messaggi di posta elettronica specifici dall'organizzazione tramite l'API Graph. 

TP o FP?

  • TP: se è possibile confermare un volume elevato di attività insolite di ricerca e lettura tramite l'API Graph da parte di un'app OAuth con un ambito OAuth sospetto e che l'app viene recapitata da un'origine sconosciuta.

    Azioni consigliate: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola posta in arrivo. 

  • FP: se è possibile verificare che l'app abbia eseguito un volume elevato di ricerche di posta elettronica insolite e leggere tramite l'API Graph per motivi legittimi.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare gli ambiti concessi dall'app.
  2. Esaminare tutte le attività eseguite dall'app. 

L'app ha effettuato chiamate a Graph anomale per leggere la posta elettronica

Gravità: medio

ID MITRE: T1114

Questo rilevamento identifica quando l'app OAuth line-of-business accede a un volume insolito e elevato di cartelle e messaggi dell'utente tramite l'API Graph, che può indicare un tentativo di violazione dell'organizzazione.

TP o FP?

  • TP: se è possibile confermare che l'attività del grafico insolita è stata eseguita dall'app OAuth line-of-business (LOB), viene indicato un vero positivo.

    Azioni consigliate: disabilitare temporaneamente l'app e reimpostare la password e quindi riabilitare l'app. Seguire l'esercitazione su come reimpostare una password usando Microsoft Entra ID.

  • FP: se è possibile verificare che l'app sia destinata a eseguire un volume insolitamente elevato di chiamate a grafo.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare il log attività per gli eventi eseguiti da questa app per ottenere una migliore comprensione delle altre attività di Graph per leggere i messaggi di posta elettronica e tentare di raccogliere informazioni di posta elettronica riservate degli utenti.
  2. Monitorare l'aggiunta di credenziali impreviste all'app.

L'app crea una regola posta in arrivo e ha effettuato attività insolite di ricerca tramite posta elettronica

Gravità: medio

ID MITRE: T1137, T1114

Questo rilevamento identifica l'app con il consenso per l'ambito con privilegi elevati, crea una regola di posta in arrivo sospetta e crea attività di ricerca di posta elettronica insolite nelle cartelle di posta elettronica degli utenti tramite l'API Graph. Ciò può indicare una violazione tentata dell'organizzazione, ad esempio gli avversari che tentano di cercare e raccogliere messaggi di posta elettronica specifici dall'organizzazione tramite l'API Graph.

TP o FP?

  • TP: se è possibile confermare la ricerca e la raccolta di messaggi di posta elettronica specifici eseguite tramite l'API Graph da un'app OAuth con ambito con privilegi elevati e l'app viene recapitata da un'origine sconosciuta.

    Azione consigliata: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola posta in arrivo.

  • FP: se si è in grado di confermare che l'app ha eseguito ricerche e raccolte di posta elettronica specifiche tramite l'API Graph e ha creato una regola posta in arrivo a un account di posta elettronica esterno nuovo o personale per motivi legittimi.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi dall'app.
  3. Esaminare qualsiasi azione della regola posta in arrivo creata dall'app.
  4. Esaminare le attività di ricerca tramite posta elettronica eseguite dall'app.

App made OneDrive/SharePoint search activities and created inbox rule

Gravità: medio

ID MITRE: T1137, T1213

Questo rilevamento identifica che un'app ha acconsentito all'ambito con privilegi elevati, ha creato una regola di posta in arrivo sospetta e ha reso insolite le attività di ricerca di SharePoint o OneDrive tramite l'API Graph. Ciò può indicare un tentativo di violazione dell'organizzazione, ad esempio gli avversari che tentano di cercare e raccogliere dati specifici da SharePoint o OneDrive dall'organizzazione tramite l'API Graph. 

TP o FP?

  • TP: se è possibile confermare i dati specifici della ricerca e della raccolta di SharePoint o OneDrive eseguiti tramite l'API Graph da un'app OAuth con ambito con privilegi elevati e l'app viene recapitata da un'origine sconosciuta. 

    Azione consigliata: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola posta in arrivo. 

  • FP: se si è in grado di confermare che l'app ha eseguito dati specifici dalla ricerca e dalla raccolta di SharePoint o OneDrive tramite l'API Graph da un'app OAuth e ha creato una regola di posta in arrivo a un account di posta elettronica esterno nuovo o personale per motivi legittimi. 

    Azione consigliata: Ignorare l'avviso

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app. 
  2. Esaminare gli ambiti concessi dall'app. 
  3. Esaminare qualsiasi azione della regola posta in arrivo creata dall'app. 
  4. Esaminare le attività di ricerca di SharePoint o OneDrive eseguite dall'app.

App ha eseguito numerose ricerche e modifiche in OneDrive

Gravità: medio

ID MITRE: T1137, T1213

Questo rilevamento identifica le app OAuth con autorizzazioni con privilegi elevati che eseguono un numero elevato di ricerche e modifiche in OneDrive usando l'API Graph.

TP o FP?

  • TP: se è possibile verificare che un utilizzo elevato del carico di lavoro di OneDrive tramite l'API Graph non sia previsto da questa applicazione OAuth con autorizzazioni con privilegi elevati per la lettura e la scrittura in OneDrive, viene indicato un vero positivo.

    Azione consigliata: in base all'indagine, se l'applicazione è dannosa, è possibile revocare i consensi e disabilitare l'applicazione nel tenant. Se si tratta di un'applicazione compromessa, puoi revocare i consenso, disabilitare temporaneamente l'app, esaminare le autorizzazioni necessarie, reimpostare la password e quindi riabilitare l'app.

  • FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: risolvere l'avviso e segnalare i risultati.

Comprendere l'ambito della violazione

  1. Verificare se l'app proviene da un'origine affidabile.
  2. Verificare se l'applicazione è stata appena creata o se sono state apportate modifiche recenti.
  3. Esaminare le autorizzazioni concesse all'applicazione e agli utenti che hanno acconsentito all'applicazione.
  4. Esaminare tutte le altre attività dell'app.

L'app ha reso un volume elevato di importanza la lettura e la creazione della regola posta in arrivo

Gravità: medio

ID MITRE: T1137, T1114

Questo rilevamento identifica che un'app ha acconsentito all'ambito con privilegi elevati, crea una regola posta in arrivo sospetta e crea un volume elevato di importanti attività di lettura della posta elettronica tramite l'API Graph. Ciò può indicare un tentativo di violazione dell'organizzazione, ad esempio gli avversari che tentano di leggere messaggi di posta elettronica di importanza elevata dall'organizzazione tramite l'API Graph. 

TP o FP?

  • TP: se è possibile confermare che un volume elevato di messaggi di posta elettronica importanti letti tramite l'API Graph da un'app OAuth con ambito con privilegi elevati e l'app viene recapitata da un'origine sconosciuta. 

    Azione consigliata: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola posta in arrivo. 

  • FP: se si è in grado di confermare che l'app ha eseguito un volume elevato di messaggi di posta elettronica importanti letti tramite l'API Graph e ha creato una regola posta in arrivo a un account di posta elettronica esterno nuovo o personale per motivi legittimi. 

    Azione consigliata: Ignorare l'avviso

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app. 
  2. Esaminare gli ambiti concessi dall'app. 
  3. Esaminare qualsiasi azione della regola posta in arrivo creata dall'app. 
  4. Esaminare le attività di lettura di posta elettronica di importanza elevata eseguite dall'app.

L'app con privilegi ha eseguito attività insolite in Teams

Gravità: medio

Questo rilevamento identifica le app con il consenso agli ambiti OAuth con privilegi elevati, che hanno eseguito l'accesso a Microsoft Teams e hanno reso un volume insolito di attività di lettura o post chat tramite l'API Graph. Ciò può indicare un tentativo di violazione dell'organizzazione, ad esempio avversari che tentano di raccogliere informazioni dall'organizzazione tramite l'API Graph.

TP o FP?

  • TP: se è possibile confermare che le attività insolite dei messaggi di chat in Microsoft Teams tramite l'API Graph di un'app OAuth con un ambito con privilegi elevati e l'app viene recapitata da un'origine sconosciuta.

    Azione consigliata: disabilitare e rimuovere l'app e reimpostare la password

  • FP: se si è in grado di verificare che le attività insolite eseguite in Microsoft Teams tramite l'API Graph fossero per motivi legittimi.

    Azione consigliata: Ignorare l'avviso

Comprendere l'ambito della violazione

  1. Esaminare gli ambiti concessi dall'app.
  2. Esaminare tutte le attività eseguite dall'app.
  3. Esaminare l'attività utente associata all'app.

Attività di OneDrive anomale per app che hanno appena aggiornato o aggiunto nuove credenziali

Gravità: medio

ID MITRE: T1098.001, T1213

Un'app cloud non Microsoft ha effettuato chiamate api Graph anomale a OneDrive, incluso l'utilizzo di dati con volumi elevati. Rilevate da Machine Learning, queste chiamate API insolite sono state effettuate entro pochi giorni dall'aggiunta di certificati/segreti esistenti nuovi o aggiornati dall'app. Questa app potrebbe essere coinvolta nell'esfiltrazione di dati o in altri tentativi di accesso e recupero di informazioni riservate.

TP o FP?

  • TP: se è possibile verificare che le attività insolite, ad esempio l'utilizzo elevato del volume del carico di lavoro di OneDrive, siano state eseguite dall'app tramite l'API Graph.

    Azione consigliata: disabilitare temporaneamente l'app, reimpostare la password e quindi riabilitare l'app.

  • FP: se è possibile verificare che non siano state eseguite attività insolite dall'app o che l'app sia destinata a effettuare volumi insolitamente elevati di chiamate a Graph.

    Azione consigliata: Ignorare l'avviso

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi dall'app.
  3. Esaminare l'attività utente associata all'app.

Attività di SharePoint anomale dall'app che ha appena aggiornato o aggiunto nuove credenziali

Gravità: medio

ID MITRE: T1098.001, T1213.002

Un'app cloud non Microsoft ha effettuato chiamate api Graph anomale a SharePoint, incluso l'utilizzo di dati con volumi elevati. Rilevate da Machine Learning, queste chiamate API insolite sono state effettuate entro pochi giorni dall'aggiunta di certificati/segreti esistenti nuovi o aggiornati dall'app. Questa app potrebbe essere coinvolta nell'esfiltrazione di dati o in altri tentativi di accesso e recupero di informazioni riservate.

TP o FP?

  • TP: se è possibile confermare che le attività insolite, ad esempio l'utilizzo elevato del volume del carico di lavoro di SharePoint, sono state eseguite dall'app tramite l'API Graph.

    Azione consigliata: disabilitare temporaneamente l'app, reimpostare la password e quindi riabilitare l'app.

  • FP: se è possibile verificare che non siano state eseguite attività insolite dall'app o che l'app sia destinata a effettuare volumi insolitamente elevati di chiamate a Graph.

    Azione consigliata: Ignorare l'avviso

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi dall'app.
  3. Esaminare l'attività utente associata all'app.

Gravità: medio

ID MITRE: T1114

Questo rilevamento genera avvisi per le app OAuth non Microsoft con metadati, ad esempio nome, URL o editore, osservati in precedenza nelle app con attività sospette correlate alla posta elettronica. Questa app potrebbe far parte di una campagna di attacco e potrebbe essere coinvolta nell'esfiltrazione di informazioni riservate.

TP o FP?

  • TP: se è possibile verificare che l'app abbia creato regole di cassetta postale o abbia effettuato un numero elevato di chiamate all'API Graph insolite al carico di lavoro di Exchange.

    Azione consigliata:

    • Esaminare i dettagli di registrazione dell'app sulla governance delle app e visitare Microsoft Entra ID per altri dettagli.
    • Contattare gli utenti o gli amministratori che hanno concesso il consenso o le autorizzazioni per l'app. Verificare se le modifiche sono state intenzionali.
    • Cercare nella tabella Di ricerca avanzata CloudAppEvents per comprendere l'attività dell'app e identificare i dati a cui accede l'app. Controllare le cassette postali interessate ed esaminare i messaggi che potrebbero essere stati letti o inoltrati dall'app stessa o dalle regole create.
    • Verificare se l'app è fondamentale per l'organizzazione prima di prendere in considerazione eventuali azioni di contenimento. Disattivare l'app usando la governance delle app o l'ID Microsoft Entra per impedire l'accesso alle risorse. I criteri di governance delle app esistenti potrebbero aver già disattivato l'app.
  • FP: se è possibile verificare che non siano state eseguite attività insolite dall'app e che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: Ignorare l'avviso

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi all'app.
  3. Esaminare l'attività utente associata all'app.

App con autorizzazioni dell'applicazione EWS che accedono a numerosi messaggi di posta elettronica

Gravità: medio

ID MITRE: T1114

Questo rilevamento genera avvisi per le app cloud multi-tenant con autorizzazioni dell'applicazione EWS che mostrano un aumento significativo delle chiamate all'API di Servizi Web di Exchange specifiche per l'enumerazione e la raccolta di posta elettronica. Questa app potrebbe essere coinvolta nell'accesso e nel recupero di dati di posta elettronica sensibili.

TP o FP?

  • TP: se è possibile verificare che l'app abbia eseguito l'accesso a dati di posta elettronica sensibili o abbia effettuato un numero elevato di chiamate insolite al carico di lavoro di Exchange.

    Azione consigliata:

    • Esaminare i dettagli di registrazione dell'app sulla governance delle app e visitare Microsoft Entra ID per altri dettagli.
    • Contattare gli utenti o gli amministratori che hanno concesso il consenso o le autorizzazioni per l'app. Verificare se le modifiche sono state intenzionali.
    • Cercare nella tabella Di ricerca avanzata CloudAppEvents per comprendere l'attività dell'app e identificare i dati a cui accede l'app. Controllare le cassette postali interessate ed esaminare i messaggi che potrebbero essere stati letti o inoltrati dall'app stessa o dalle regole create.
    • Verificare se l'app è fondamentale per l'organizzazione prima di prendere in considerazione eventuali azioni di contenimento. Disattivare l'app usando la governance delle app o l'ID Microsoft Entra per impedire l'accesso alle risorse. I criteri di governance delle app esistenti potrebbero aver già disattivato l'app.
  • FP: se è possibile verificare che non siano state eseguite attività insolite dall'app e che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: Ignorare l'avviso

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi all'app.
  3. Esaminare l'attività utente associata all'app.

App inutilizzata che accede di recente alle API

Gravità: medio

ID MITRE: T1530

Questo rilevamento genera avvisi per un'app cloud multi-tenant che è stata inattiva per un po' e ha iniziato a effettuare chiamate API di recente. Questa app può essere compromessa da un utente malintenzionato e usata per accedere e recuperare dati sensibili.

TP o FP?

  • TP: se è possibile verificare che l'app abbia eseguito l'accesso a dati sensibili o abbia effettuato un numero elevato di chiamate insolite a carichi di lavoro di Microsoft Graph, Exchange o Azure Resource Manager.

    Azione consigliata:

    • Esaminare i dettagli di registrazione dell'app sulla governance delle app e visitare Microsoft Entra ID per altri dettagli.
    • Contattare gli utenti o gli amministratori che hanno concesso il consenso o le autorizzazioni per l'app. Verificare se le modifiche sono state intenzionali.
    • Cercare nella tabella Di ricerca avanzata CloudAppEvents per comprendere l'attività dell'app e identificare i dati a cui accede l'app. Controllare le cassette postali interessate ed esaminare i messaggi che potrebbero essere stati letti o inoltrati dall'app stessa o dalle regole create.
    • Verificare se l'app è fondamentale per l'organizzazione prima di prendere in considerazione eventuali azioni di contenimento. Disattivare l'app usando la governance delle app o l'ID Microsoft Entra per impedire l'accesso alle risorse. I criteri di governance delle app esistenti potrebbero aver già disattivato l'app.
  • FP: se è possibile verificare che non siano state eseguite attività insolite dall'app e che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: Ignorare l'avviso

Comprendere l'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi all'app.
  3. Esaminare l'attività utente associata all'app.

Avvisi di impatto

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di modificare, interrompere o distruggere i sistemi e i dati dell'organizzazione.

Entra Line-of-Business app che avvia un picco anomalo nella creazione di macchine virtuali

Gravità: medio

ID MITRE: T1496

Questo rilevamento identifica una nuova applicazione OAuth a tenant singolo che crea la maggior parte dei Macchine virtuali di Azure nel tenant usando l'API di Azure Resource Manager.

TP o FP?

  • TP: se è possibile verificare che l'app OAuth sia stata creata di recente e crei un numero elevato di Macchine virtuali nel tenant, viene indicato un vero positivo.

    Azioni consigliate: esaminare le macchine virtuali create e le eventuali modifiche recenti apportate all'applicazione. In base all'indagine, puoi scegliere di vietare l'accesso a questa app. Esaminare il livello di autorizzazione richiesto da questa app e quali utenti hanno concesso l'accesso.

  • FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione:

  1. Esaminare le app create di recente e le macchine virtuali create di recente.
  2. Esaminare tutte le attività eseguite dall'app dopo la creazione.
  3. Esaminare gli ambiti concessi dall'app nell'API Graph e nel ruolo concessi nella sottoscrizione.

L'app OAuth con privilegi di ambito elevato in Microsoft Graph è stata osservata avviando la creazione di macchine virtuali

Gravità: medio

ID MITRE: T1496

Questo rilevamento identifica l'applicazione OAuth che crea la maggior parte di Azure Macchine virtuali nel tenant usando l'API di Azure Resource Manager con privilegi elevati nel tenant tramite l'API Microsoft Graph prima dell'attività.

TP o FP?

  • TP: se è possibile confermare che l'app OAuth con ambiti con privilegi elevati è stata creata e crea un numero elevato di Macchine virtuali nel tenant, viene indicato un vero positivo.

    Azioni consigliate: esaminare le macchine virtuali create e le eventuali modifiche recenti apportate all'applicazione. In base all'indagine, puoi scegliere di vietare l'accesso a questa app. Esaminare il livello di autorizzazione richiesto da questa app e quali utenti hanno concesso l'accesso.

  • FP: se dopo l'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione:

  1. Esaminare le app create di recente e le macchine virtuali create di recente.
  2. Esaminare tutte le attività eseguite dall'app dopo la creazione.
  3. Esaminare gli ambiti concessi dall'app nell'API Graph e nel ruolo concessi nella sottoscrizione.

Passaggi successivi

Gestire gli avvisi di governance delle app