次の方法で共有

脅威検出アラートの調査

  • [アーティクル]

アプリ ガバナンスでは、悪意のあるアクティビティに対するセキュリティ検出とアラートが提供されます。 この記事では、アラートをトリガーする条件など、調査と修復に役立つ各アラートの詳細を示します。 脅威検出は本質的に非決定的であるため、標準とは異なる動作が発生した場合にのみトリガーされます。

詳細については、「Microsoft Defender for Cloud Apps でのアプリ ガバナンス」を参照してください。

Note

アプリ ガバナンスの脅威の検出は、一時的で格納できない可能性のあるデータに対するアクティビティのカウントに基づいているため、アラートはアクティビティの数やスパイクの兆候を知らせる可能性がありますが、必ずしもすべての関連データを提供するわけではありません。 特に OAuth アプリ Graph API のアクティビティの場合、アクティビティ自体は、Log Analytics と Sentinel を使用してテナントによって監査できます。

詳細については、以下を参照してください。

MITRE ATT&CK

アプリ ガバナンス アラートとよく知られた MITRE ATT&CK マトリックスとの間の関係を簡単にマップできるように、MITRE ATT&CK の対応する方策ごとにアラートを分類しました。 この追加の参照により、アプリ ガバナンス アラートがトリガーされたときに使用されている可能性のある疑わしい攻撃手法を容易に把握できます。

このガイドでは、次のカテゴリのアプリ ガバナン アラートの調査と修復に関する情報を提供します。

セキュリティ アラートの分類

適切な調査に従って、すべてのアプリ ガバナン アラートは、次のアクティビティの種類のいずれかとして分類することができます。

  • 真陽性 (TP): 確認された悪意のあるアクティビティに関するアラート。
  • 無害な真陽性 (B-TP): 侵入テストやその他の承認された疑わしいアクションなど、疑わしいが悪意のないアクティビティに関するアラート。
  • 誤検知 (FP): 悪意のないアクティビティに関するアラート。

一般的な調査手順

推奨されるアクションを適用する前に、次の一般的なガイドラインを使ってすべての種類のアラートを調査し、潜在的な脅威をより明確に理解してください。

  • アプリの重大度レベルを確認し、テナント内の他のアプリと比較します。 この確認は、テナント内のより大きなリスクをもたらすアプリを特定するのに役立ちます。

  • TP を識別する場合は、すべてのアプリ アクティビティを確認して、その影響について理解を深めます。 たとえば、次のアプリ情報を確認します。

    • アクセス権が付与されたスコープ
    • 異常な動作
    • IP アドレスと場所

初期アクセス アラート

このセクションでは、悪意のあるアプリが組織での足掛かりを維持しようとしている可能性があることを示すアラートについて説明します。

OAuth リダイレクト脆弱性を悪用してフィッシング URL にアプリがリダイレクトされる

重大度: 中

この検出で識別されるのは、Microsoft Graph API を介して OAuth 実装内の応答型パラメーターを利用することでフィッシング URL にリダイレクトされる OAuth アプリです。

TP または FP?

  • TP: OAuth アプリが不明なソースから配信されたことを確認できる場合、OAuth アプリに同意した後の応答 URL の応答型には無効な要求が含まれ、不明または信頼できない応答 URL にリダイレクトされます。

    推奨アクション: アプリを無効にして削除し、パスワードをリセットして、受信トレイ ルールを削除します。 

  • FP: 調査後に、アプリが組織内でビジネスのために正当に使用されていることを確認できる場合。

    推奨アクション: アラートを無視します。

侵害の範囲を理解する

  1. アプリによって実行されるすべてのアクティビティを確認します。 
  2. アプリによって付与されたスコープを確認します。 

疑わしい応答 URL を含む OAuth アプリ

重大度: 中

この検出では、Microsoft Graph API を介して疑わしい応答 URL にアクセスした OAuth アプリが識別されます。

TP または FP?

  • TP: OAuth アプリが不明なソースから配信され、疑わしい URL にリダイレクトされることを確認できる場合は、真陽性が示されます。 疑わしい URL とは、URL のレピュテーションが不明であるか、信頼されていないか、またはそのドメインが最近登録されていて、アプリの要求が高特権スコープに対するものである URL です。

    推奨アクション: アプリによって要求された応答 URL、ドメイン、スコープを確認します。 調査に基づいて、このアプリへのアクセスの禁止を選択できます。 このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。

    アプリへのアクセスを禁止するには、[アプリ ガバナンス] ページにあるアプリの関連タブに移動します。 禁止するアプリが表示されている行で、禁止アイコンを選択します。 自分がインストールして承認したアプリが禁止されたことをユーザーに通知するかどうかを選択できます。 その通知により、ユーザーは、アプリが無効になり、接続されているアプリにアクセスできなくなることがわかります。 通知しない場合は、ダイアログにある [この禁止されたアプリにアクセス許可を付与したユーザーに通知を送信します] をオフにします。 アプリの使用が禁止されようとしていることをアプリのユーザーに知らせることをお勧めします。

  • FP: 調査後に、アプリが組織内でビジネスのために正当に使用されていることを確認できる場合。

    推奨アクション: アラートを無視します。

侵害の範囲を理解する

  1. 最近作成されたアプリとその応答 URL を確認します。

  2. アプリによって実行されるすべてのアクティビティを確認します。 

  3. アプリによって付与されたスコープを確認します。 

重大度: 低

この検出では、最近作成され、同意率が低いことが判明した OAuth アプリが特定されます。 これは、不当な同意を許可するようユーザーを誘い出すための、悪意のある、または危険なアプリを示している可能性があります。

TP または FP?

  • TP: OAuth アプリが不明なソースから配信されたことを確認できる場合は、真陽性が示されます。

    推奨アクション: アプリの表示名、応答 URL、ドメインを確認します。 調査に基づいて、このアプリへのアクセスの禁止を選択できます。 このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認してください。

  • FP: 調査後に、アプリが組織内でビジネスのために正当に使用されていることを確認できる場合。

    推奨アクション: アラートを無視します。

侵害の範囲を理解する

  1. アプリによって実行されるすべてのアクティビティを確認します。
  2. アプリが疑わしいと思われる場合は、異なるアプリ ストアでそのアプリの名前と応答ドメインを調査することをお勧めします。 アプリ ストアを確認するときは、以下の種類のアプリに注目してください。
    • 最近作成されたアプリ
    • 不自然な表示名を持つアプリ
    • 応答ドメインが疑わしいアプリ
  3. アプリがまだ疑わしいと思われる場合は、そのアプリの表示名と応答ドメインを調べることができます。

URL レピュテーションが悪いアプリ

重大度: 中

この検出では、URL レピュテーションが悪いことが判明した OAuth アプリが特定されます。

TP または FP?

  • TP: OAuth アプリが不明なソースから配信され、疑わしい URL にリダイレクトされることを確認できる場合は、真陽性が示されます。

    推奨アクション: アプリによって要求された応答 URL、ドメイン、スコープを確認します。 調査に基づいて、このアプリへのアクセスの禁止を選択できます。 このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。

  • FP: 調査後に、アプリが組織内でビジネスのために正当に使用されていることを確認できる場合。

    推奨アクション: アラートを無視します。

侵害の範囲を理解する

  1. アプリによって実行されるすべてのアクティビティを確認します。
  2. アプリが疑わしいと思われる場合は、異なるアプリ ストアでそのアプリの名前と応答ドメインを調査することをお勧めします。 アプリ ストアを確認するときは、以下の種類のアプリに注目してください。
    • 最近作成されたアプリ
    • 不自然な表示名を持つアプリ
    • 応答ドメインが疑わしいアプリ
  3. アプリがまだ疑わしいと思われる場合は、そのアプリの表示名と応答ドメインを調べることができます。

重大度: 中

説明: この検出では、疑わしい同意スコープで要求された、Unicode やエンコード文字などの文字を含む OAuth アプリで、Graph API を使ってユーザーのメール フォルダーにアクセスしたものが特定されます。 このアラートは、敵対者がユーザーを悪意のあるアプリに誤って同意するよう導くために、悪意のあるアプリを、既知の信頼できるアプリとしてカモフラージュしようとしたことを示している可能性があります。

TP または FP?

  • TP: OAuth アプリの表示名がエンコードされ、不明なソースから配信された疑わしいスコープを持つことを確認できる場合は、真陽性が示されます。

    推奨されるアクション: このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。 調査に基づいて、このアプリへのアクセスの禁止を選択できます。

    アプリへのアクセスを禁止するには、[アプリ ガバナンス] ページにあるアプリの関連タブに移動します。 禁止するアプリが表示されている行で、禁止アイコンを選択します。 自分がインストールして承認したアプリが禁止されたことをユーザーに通知するかどうかを選択できます。 この通知によって、アプリが無効にされ、接続されているアプリへのアクセス権がなくなることをユーザーに知らせます。 通知しない場合は、ダイアログにある [この禁止されたアプリにアクセス許可を付与したユーザーに通知を送信します] をオフにします。 アプリの使用が禁止されようとしていることをアプリのユーザーに知らせることをお勧めします。

  • FP: アプリの名前はエンコードされているが、組織での正当なビジネス用途に使用されていることを確認する場合。

    推奨アクション: アラートを無視します。

侵害の範囲を理解する

危険性の高い OAuth アプリを調査する方法については、チュートリアルに従ってください。

Read スコープのある OAuth アプリが疑わしい応答 URL を持っている

重大度: 中

説明: この検出では、Graph API を使用して疑わしい応答 URL にリダイレクトする、User.ReadPeople.ReadContacts.ReadMail.ReadContacts.Read.Shared などの Read スコープのみを持つ OAuth アプリが特定されます。 このアクティビティでは、低い特権のアクセス許可 (Read スコープなど) を持つ悪意のあるアプリが、ユーザー アカウントの偵察を実行するために悪用される可能性があることを示そうと試みます。

TP または FP?

  • TP: Read スコープを持つ OAuth アプリが不明なソースから配信され、疑わしい URL にリダイレクトされることを確認できる場合は、真陽性が示されます。

    推奨アクション: アプリによって要求された応答 URL とスコープを確認します。 調査に基づいて、このアプリへのアクセスの禁止を選択できます。 このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。

    アプリへのアクセスを禁止するには、[アプリ ガバナンス] ページにあるアプリの関連タブに移動します。 禁止するアプリが表示されている行で、禁止アイコンを選択します。 自分がインストールして承認したアプリが禁止されたことをユーザーに通知するかどうかを選択できます。 この通知によって、アプリが無効にされ、接続されているアプリへのアクセス権がなくなることをユーザーに知らせます。 通知しない場合は、ダイアログにある [この禁止されたアプリにアクセス許可を付与したユーザーに通知を送信します] をオフにします。 アプリの使用が禁止されようとしていることをアプリのユーザーに知らせることをお勧めします。

  • B-TP: 調査後に、アプリが組織内でビジネスのために正当に使用されていることを確認できる場合。

    推奨アクション: アラートを無視します。

侵害の範囲を理解する

  1. アプリによって実行されるすべてのアクティビティを確認します。
  2. アプリが疑わしいと思われる場合は、異なるアプリ ストアでそのアプリの名前と応答 URL を調査することをお勧めします。 アプリ ストアを確認するときは、以下の種類のアプリに注目してください。
    • 最近作成されたアプリ。
    • 応答 URL が疑わしいアプリ
    • 最近更新されていないアプリ。 更新されていないことは、そのアプリがサポートされなくなったことを示している可能性があります。
  3. アプリがまだ疑わしいと思われる場合は、そのアプリの名前、発行元の名前、応答 URL をオンラインで調べることができます

表示名と応答ドメインの TLD が不自然なアプリ

重大度: 中

この検出では、表示名が不自然であり、不自然なトップレベル ドメイン (TLD) を持つ疑わしい応答ドメインに Graph API を使ってリダイレクトされるアプリが特定されます。 これは、敵対者がユーザーを、悪意のあるまたは危険なアプリに誤って同意するよう導くために、悪意のあるまたは危険なアプリを、既知の信頼できるアプリとしてカモフラージュしようとしたことを示している可能性があります。 

TP または FP?

  • TP: 不自然な表示名を持つアプリが不明なソースから配信され、不自然なトップレベル ドメインを持つ疑わしいドメインにリダイレクトされることを確認できる場合

    推奨アクション: アプリの表示名と応答ドメインを確認します。 調査に基づいて、このアプリへのアクセスの禁止を選択できます。 このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認してください。

  • FP: 調査後に、アプリが組織内でビジネスのために正当に使用されていることを確認できる場合。

    推奨アクション: アラートを無視します。

侵害の範囲を理解する

アプリによって実行されるすべてのアクティビティを確認します。 アプリが疑わしいと思われる場合は、異なるアプリ ストアでそのアプリの名前と応答ドメインを調査することをお勧めします。 アプリ ストアを確認するときは、以下の種類のアプリに注目してください。

  • 最近作成されたアプリ
  • 不自然な表示名を持つアプリ
  • 応答ドメインが疑わしいアプリ

アプリがまだ疑わしいと思われる場合は、そのアプリの表示名と応答ドメインを調べることができます。

重大度: 中

この検出では、比較的新しい発行元テナントで最近作成された OAuth アプリが次の特性で識別されます。

  • メールボックスの設定に対するアクセスまたは変更のアクセス許可
  • 同意率が比較的低い (疑いを持っていないユーザーから同意を得ようとする望ましくないアプリや悪意のあるアプリを特定できます)

TP または FP?

  • TP: アプリに対する同意の要求が不明なソースまたは外部ソースから配信され、そのアプリが組織内で正当なビジネス用途に使用されていないことが確認できる場合は、真陽性となります。

    推奨される操作:

    • このアプリに同意したユーザーと管理者に連絡して、これが意図的であり、この過剰な権限が正常であることを確認してください。
    • アプリのアクティビティを調査し、疑わしいアクティビティがないか影響を受けたアカウントを調べます。
    • 調査に基づいて、アプリを無効にし、影響を受けるすべてのアカウントのパスワードを一時停止およびリセットします。
    • アラートを真陽性として分類します。

  • FP: 調査後に、アプリが組織内でビジネスのために正当に使用されていることを確認できる場合。

    推奨アクション: アラートを誤検知として分類し、アラートの調査に基づいてフィードバックを共有することを検討します。

侵害の範囲を理解する

ユーザーと管理者によって行われたアプリケーションに対する同意付与を確認します。 アプリによって実行されたすべてのアクティビティ (特に、関連するユーザーと管理者アカウントのメールボックスへのアクセス) を調査します。 アプリが疑わしいと思われる場合は、アプリケーションを無効にし、影響を受けるすべてのアカウントの資格情報をローテーションすることを検討してください。

重大度: 中

このアラートは、メールボックスの設定を変更したり電子メールにアクセスしたりするアクセス許可を持つ比較的新しい発行元テナントに最近登録された OAuth アプリを特定します。 また、このアプリのグローバル同意率が比較的低いかどうかを確認し、同意したユーザーの電子メールにアクセスするために Microsoft Graph API を多数呼び出します。 このアラートをトリガーするアプリは、疑いを持っていないユーザーから同意を得ようとする望ましくないアプリや悪意のあるアプリである可能性があります。

TP または FP?

  • TP: アプリに対する同意の要求が不明なソースまたは外部ソースから配信され、そのアプリが組織内で正当なビジネス用途に使用されていないことが確認できる場合は、真陽性となります。

    推奨される操作:

    • このアプリに同意したユーザーと管理者に連絡して、これが意図的であり、この過剰な権限が正常であることを確認してください。
    • アプリのアクティビティを調査し、疑わしいアクティビティがないか影響を受けたアカウントを調べます。
    • 調査に基づいて、アプリを無効にし、影響を受けるすべてのアカウントのパスワードを一時停止およびリセットします。
    • アラートを真陽性として分類します。

  • FP: 調査の結果アプリが組織内で正当なビジネス用途に使用されていることを確認できる場合は、誤検知となります。

    推奨アクション: アラートを誤検知として分類し、アラートの調査に基づいてフィードバックを共有することを検討します。

侵害の範囲を理解する

ユーザーと管理者によって行われたアプリケーションに対する同意付与を確認します。 アプリによって実行されたすべてのアクティビティ (特に、関連するユーザーと管理者アカウントのメールボックスへのアクセス) を調査します。 アプリが疑わしいと思われる場合は、アプリケーションを無効にし、影響を受けるすべてのアカウントの資格情報をローテーションすることを検討してください。

多数のメールを送信するメール アクセス許可を持つ疑わしいアプリ

重大度: 中

このアラートは、短時間で電子メールを送信するために Microsoft Graph API に対して多数の呼び出しを行ったマルチテナント OAuth アプリを検出します。 また、API 呼び出しによってエラーが発生し、電子メールの送信が失敗したかどうかも確認されます。 このアラートをトリガーするアプリは、迷惑メールや悪意のあるメールを他のターゲットに活発に送信している可能性があります。

TP または FP?

  • TP: アプリに対する同意の要求が不明なソースまたは外部ソースから配信され、そのアプリが組織内で正当なビジネス用途に使用されていないことが確認できる場合は、真陽性となります。

    推奨される操作:

    • このアプリに同意したユーザーと管理者に連絡して、これが意図的であり、この過剰な権限が正常であることを確認してください。
    • アプリのアクティビティを調査し、疑わしいアクティビティがないか影響を受けたアカウントを調べます。
    • 調査に基づいて、アプリを無効にし、影響を受けるすべてのアカウントのパスワードを一時停止およびリセットします。
    • アラートを真陽性として分類します。

  • FP: 調査の結果アプリが組織内で正当なビジネス用途に使用されていることを確認できる場合は、誤検知となります。

    推奨アクション: アラートを誤検知として分類し、アラートの調査に基づいてフィードバックを共有することを検討します。

侵害の範囲を理解する

ユーザーと管理者によって行われたアプリケーションに対する同意付与を確認します。 アプリによって実行されたすべてのアクティビティ (特に、関連するユーザーと管理者アカウントのメールボックスへのアクセス) を調査します。 アプリが疑わしいと思われる場合は、アプリケーションを無効にし、影響を受けるすべてのアカウントの資格情報をローテーションすることを検討してください。

多数の電子メールを送信するのに使用される疑わしい OAuth アプリ

重大度: 中

このアラートは、短時間で電子メールを送信するために Microsoft Graph API に対して多数の呼び出しを行った OAuth アプリを示します。 このアプリの発行元テナントは、同様の Microsoft Graph API 呼び出しを行う大量の OAuth アプリを生成することが知られています。 攻撃者は、このアプリを積極的に使用して、迷惑メールや悪意のあるメールをターゲットに送信している可能性があります。

TP または FP?

  • TP: アプリに対する同意の要求が不明なソースまたは外部ソースから配信され、そのアプリが組織内で正当なビジネス用途に使用されていないことが確認できる場合は、真陽性となります。

    推奨される操作:

    • このアプリに同意したユーザーと管理者に連絡して、これが意図的であり、この過剰な権限が正常であることを確認してください。
    • アプリのアクティビティを調査し、疑わしいアクティビティがないか影響を受けたアカウントを調べます。
    • 調査に基づいて、アプリを無効にし、影響を受けるすべてのアカウントのパスワードを一時停止およびリセットします。
    • アラートを真陽性として分類します。

  • FP: 調査の結果アプリが組織内で正当なビジネス用途に使用されていることを確認できる場合は、誤検知となります。

    推奨アクション: アラートを誤検知として分類し、アラートの調査に基づいてフィードバックを共有することを検討します。

侵害の範囲を理解する

ユーザーと管理者によって行われたアプリケーションに対する同意付与を確認します。 アプリによって実行されたすべてのアクティビティ (特に、関連するユーザーと管理者アカウントのメールボックスへのアクセス) を調査します。 アプリが疑わしいと思われる場合は、アプリケーションを無効にし、影響を受けるすべてのアカウントの資格情報をローテーションすることを検討してください。

永続化アラート

このセクションでは、悪意のあるアクターが組織内で足掛かりを維持しようとしている可能性があることを示すアラートについて説明します。

証明書の更新か新しい資格情報の追加の後にアプリで Exchange ワークロードに対する不自然な Graph 呼び出しが行われた

重大度: 中

MITRE ID: T1098.001、T1114

この検出では、基幹業務 (LOB) アプリで証明書やシークレットが更新されたか新しい資格情報が追加され、証明書の更新や新しい資格情報の追加から数日以内に、Graph API を使った Exchange ワークロードに対する不自然なアクティビティまたは大量の使用が機械学習アルゴリズムを使って観察された場合に、アラートがトリガーされます。

TP または FP?

  • TP: Exchange ワークロードに対する不自然なアクティビティや大量の使用が LOB アプリによって Graph API を使って実行されたと確認できる場合

    推奨アクション: アプリを一時的に無効にし、パスワードをリセットしてから、アプリを再び有効にします。

  • FP: LOB アプリによって不自然なアクティビティが実行されなかったこと、またはアプリが不自然に多くの Graph 呼び出しを行うことを目的としていたことを確認できる場合。

    推奨アクション: アラートを無視します。

侵害の範囲を理解する

  1. このアプリによって実行されたすべてのアクティビティを確認します。
  2. アプリによって付与されたスコープを確認します。
  3. このアプリに関連付けられているユーザー アクティビティを確認します。

疑わしい OAuth スコープを持つアプリが機械学習モデルによって高リスクとフラグ設定され、メールを読み取る Graph 呼び出しが行われ、受信トレイ ルールが作成された

重大度: 中

MITRE ID: T1137.005、T1114

この検出では、機械学習モデルによって高リスクとフラグ設定された OAuth アプリで、疑わしいスコープに同意し、疑わしい受信トレイ ルールを作成した後、Graph API を使ってユーザーのメール フォルダーとメッセージにアクセスしたものが特定されます。 (たとえば、すべてまたは特定のメールを別のメール アカウントに転送する) 受信トレイ ルールや、メールにアクセスして別のメール アカウントに送信する Graph 呼び出しは、組織から情報を抜き取ろうとする試みである可能性があります。

TP または FP?

  • TP: OAuth サードパーティ アプリによって、不明なソースから配信された疑わしいスコープを持つ受信トレイ ルールが作成されたことを確認できる場合は、真陽性が検出されます。

    推奨アクション: アプリを無効にして削除し、パスワードをリセットして、受信トレイ ルールを削除します。

Microsoft Entra ID を使用してパスワードをリセットする方法のチュートリアルと、受信トレイ ルールを削除する方法のチュートリアルに従ってください。

  • FP: アプリによって、新規または個人の外部メール アカウントに対する受信トレイ ルールが正当な理由で作成されたことを確認できる場合。

    推奨アクション: アラートを無視します。

侵害の範囲を理解する

  1. アプリによって実行されるすべてのアクティビティを確認します。
  2. アプリによって付与されたスコープを確認します。
  3. アプリによって作成された受信トレイ ルールのアクションと条件を確認します。

疑わしい OAuth スコープを持つアプリでメールを読み取る Graph 呼び出しが行われ、受信トレイ ルールが作成された

重大度: 中

MITRE ID: T1137.005、T1114

この検出では、疑わしいスコープに同意し、疑わしい受信トレイ ルールを作成した後、Graph API を使ってユーザーのメール フォルダーとメッセージにアクセスした OAuth アプリが特定されます。 (たとえば、すべてまたは特定のメールを別のメール アカウントに転送する) 受信トレイ ルールや、メールにアクセスして別のメール アカウントに送信する Graph 呼び出しは、組織から情報を抜き取ろうとする試みである可能性があります。

TP または FP?

  • TP: OAuth サードパーティ アプリによって、不明なソースから配信された疑わしいスコープを持つ受信トレイ ルールが作成されたことを確認できる場合は、真陽性が示されます。

    推奨アクション: アプリを無効にして削除し、パスワードをリセットして、受信トレイ ルールを削除します。

    Microsoft Entra ID を使用してパスワードをリセットする方法のチュートリアルと、受信トレイ ルールを削除する方法のチュートリアルに従ってください。

  • FP: アプリによって、新規または個人の外部メール アカウントに対する受信トレイ ルールが正当な理由で作成されたことを確認できる場合。

    推奨アクション: アラートを無視します。

侵害の範囲を理解する

  1. アプリによって実行されるすべてのアクティビティを確認します。
  2. アプリによって付与されたスコープを確認します。
  3. アプリによって作成された受信トレイ ルールのアクションと条件を確認します。

証明書の更新後に不自然な場所からアクセスされたアプリ

重大度: 低

MITRE ID: T1098

この検出では、基幹業務 (LOB) アプリで証明書やシークレットが更新され、証明書の更新から数日以内に、最近確認されていない場所や過去にアクセスされていない場所からアプリがアクセスされたときにアラートがトリガーされます。

TP または FP?

  • TP: LOB アプリが不自然な場所からアクセスされ、Graph API 経由で不自然なアクティビティが実行されたことを確認できる場合。

    推奨アクション: アプリを一時的に無効にし、パスワードをリセットしてから、アプリを再び有効にします。

  • FP: LOB アプリが正当な目的で不自然な場所からアクセスされ、不自然なアクティビティが実行されていないことを確認できる場合。

    推奨アクション: アラートを無視します。

侵害の範囲を理解する

  1. このアプリによって実行されたすべてのアクティビティを確認します。
  2. アプリによって付与されたスコープを確認します。
  3. このアプリに関連付けられているユーザー アクティビティを確認します。

証明書の更新後に不自然な場所からアクセスされたアプリによって不自然な Graph 呼び出しが行われた

重大度: 中

MITRE ID: T1098

この検出では、基幹業務 (LOB) アプリで証明書やシークレットが更新され、証明書の更新から数日以内に、最近確認されていない場所や過去にアクセスされたことのない場所からアプリがアクセスされ、Graph API 経由の通常とは異なるアクティビティや使用が機械学習アルゴリズムを使用して観察されたときに、アラートがトリガーされます。

TP または FP?

  • TP: 不自然なアクティビティや使用が、LOB アプリによって Graph API 経由で不自然な場所から実行されたことを確認できる場合。

    推奨アクション: アプリを一時的に無効にし、パスワードをリセットしてから、アプリを再び有効にします。

  • FP: LOB アプリが正当な目的で不自然な場所からアクセスされ、不自然なアクティビティが実行されていないことを確認できる場合。

    推奨アクション: アラートを無視します。

侵害の範囲を理解する

  1. このアプリによって実行されたすべてのアクティビティを確認します。
  2. アプリによって付与されたスコープを確認します。
  3. このアプリに関連付けられているユーザー アクティビティを確認します。

最近作成されたアプリで、同意の取り消しが大量に発生しています

重大度: 中

MITRE ID: T1566、T1098

複数のユーザーが、最近作成された基幹業務 (LOB) またはサードパーティ製アプリに対する同意を取り消しました。 このアプリは、誤って同意するようにユーザーを誘導した可能性があります。

TP または FP?

  • TP: OAuth アプリが不明なソースから配信されており、アプリの動作が疑わしいことを確認できる場合。 

    推奨アクション: アプリに付与された同意を取り消し、アプリを無効にします。 

  • FP: 調査後に、アプリが組織内で正当なビジネス用途を使用しており、アプリによって通常とは異なるアクティビティが実行されていないことを確認できる場合。

    推奨アクション: アラートを無視します

侵害の範囲を理解する

  1. このアプリによって実行されたすべてのアクティビティを確認します。
  2. アプリが疑わしいと思われる場合は、異なるアプリ ストアでアプリの名前と応答ドメインを調査することをお勧めします。 アプリ ストアを確認するときは、以下の種類のアプリに注目してください。
    • 最近作成されたアプリ
    • 不自然な表示名を持つアプリ
    • 応答ドメインが疑わしいアプリ
  3. アプリがまだ疑わしいと思われる場合は、そのアプリの表示名と応答ドメインを調べることができます。

既知のフィッシィングの攻撃活動に関連付けられているアプリ メタデータ

重大度: 中

この検出により、フィッシィングの攻撃活動に関連付けられたアプリで以前に観察されたメタデータ (名前URL発行元など) を含む Microsoft OAuth 以外のアプリに対するアラートが生成されます。 このアプリは攻撃活動の一部で、機密情報の流出に関与している可能性があります。

TP または FP?

  • TP: OAuth アプリが不明なソースから配信され、通常とは異なるアクティビティを実行していることが確認できる場合。

    推奨される操作:

    • アプリ ガバナンスに関するアプリの登録の詳細を調査します。詳細については Microsoft Entra ID にアクセスしてください。
    • アプリに同意またはアクセス許可を付与したユーザーまたは管理者に問い合わせます。 変更が意図的なものかどうかを確認します。
    • [CloudAppEvents] 高度な追求テーブルを検索して、アプリのアクティビティを把握し、観察された動作が予想されるかどうかを判断します。
    • 封じ込めアクションを検討する前に、アプリが組織にとって重要かどうかを確認します。 アプリ ガバナンスまたは Microsoft Entra ID を使用してアプリを非アクティブ化して、リソースにアクセスできないようにします。 既存のアプリ ガバナンス ポリシーによって、アプリが既に非アクティブ化されている可能性があります。

  • FP: アプリによって通常とは異なるアクティビティが実行されていないことと、アプリが組織内で正当なビジネス用途に使用されていることが確認できる場合。

    推奨アクション: アラートを無視します

侵害の範囲を理解する

  1. このアプリによって実行されたすべてのアクティビティを確認します。
  2. アプリに付与されたスコープを確認します。
  3. このアプリに関連付けられているユーザー アクティビティを確認します。

以前にフラグが付けられた疑わしいアプリに関連付けられているアプリ メタデータ

重大度: 中

この検出により、疑わしいアクティビティが原因でアプリ ガバナンスによりフラグが付けられたアプリで以前に観察されたメタデータ (名前URL発行元など) を含む Microsoft OAuth 以外のアプリに対するアラートが生成されます。 このアプリは攻撃キャンペーンの一部で、機密情報の流出に関与している可能性があります。

TP または FP?

  • TP: OAuth アプリが不明なソースから配信され、通常とは異なるアクティビティを実行していることが確認できる場合。

    推奨される操作:

    • アプリ ガバナンスに関するアプリの登録の詳細を調査します。詳細については Microsoft Entra ID にアクセスしてください。
    • アプリに同意またはアクセス許可を付与したユーザーまたは管理者に問い合わせます。 変更が意図的なものかどうかを確認します。
    • [CloudAppEvents] 高度な追求テーブルを検索して、アプリのアクティビティを把握し、観察された動作が予想されるかどうかを判断します。
    • 封じ込めアクションを検討する前に、アプリが組織にとって重要かどうかを確認します。 アプリ ガバナンスまたは Microsoft Entra ID を使用してアプリを非アクティブ化して、リソースにアクセスできないようにします。 既存のアプリ ガバナンス ポリシーによって、アプリが既に非アクティブ化されている可能性があります。

  • FP: アプリによって通常とは異なるアクティビティが実行されていないことと、アプリが組織内で正当なビジネス用途に使用されていることが確認できる場合。

    推奨アクション: アラートを無視します

侵害の範囲を理解する

  1. このアプリによって実行されたすべてのアクティビティを確認します。
  2. アプリに付与されたスコープを確認します。
  3. このアプリに関連付けられているユーザー アクティビティを確認します。

Graph API を使用した疑わしい OAuth アプリの電子メール アクティビティ

重大度: 高

この検出により、リスクの高いサインインのユーザーによって登録された、Microsoft Graph API を呼び出して短時間で疑わしい電子メール アクティビティを実行するマルチテナント OAuth アプリに対するアラートが生成されます。

この検出では、メールボックス ルールの作成、返信メールの作成、電子メールの転送、返信、または新しい電子メールの送信のために API 呼び出しが行われたかどうかを確認します。 このアラートをトリガーするアプリは、迷惑メールや悪意のあるメールを他のターゲットに活発に送信したり、機密データを流出させたり、追跡を消去して検出を回避したりする可能性があります。

TP または FP?

  • TP: アプリの作成とアプリに対する同意の要求が不明なソースまたは外部ソースから配信され、そのアプリが組織内で正当なビジネス用途に使用されていないことが確認できる場合は、真陽性となります。

    推奨される操作:

    • このアプリに同意したユーザーと管理者に連絡して、これが意図的であり、この過剰な権限が正常であることを確認してください。

    • アプリのアクティビティを調査し、疑わしいアクティビティがないか影響を受けたアカウントを調べます。

    • 調査に基づいて、アプリを無効にし、影響を受けるすべてのアカウントのパスワードを一時停止およびリセットし、受信トレイルールを削除します。

    • アラートを真陽性として分類します。

  • FP: 調査の結果アプリが組織内で正当なビジネス用途に使用されていることを確認できる場合は、誤検知となります。

    推奨される操作:

    • アラートを誤検知として分類し、アラートの調査に基づいてフィードバックを共有することを検討します。

    • 違反の範囲を把握する:

      ユーザーと管理者によって行われたアプリケーションに対する同意付与を確認します。 アプリによって実行されたすべてのアクティビティ (特に、関連するユーザーと管理者アカウントのメールボックスへのアクセス) を調査します。 アプリが疑わしいと思われる場合は、アプリケーションを無効にし、影響を受けるすべてのアカウントの資格情報をローテーションすることを検討してください。

EWS API を使用した疑わしい OAuth アプリの電子メール アクティビティ

重大度: 高

この検出により、リスクの高いサインインのユーザーによって登録された、Microsoft Exchange Web サービス (EWS) API を呼び出して短時間で疑わしい電子メール アクティビティを実行するマルチテナント OAuth アプリに対するアラートが生成されます。

この検出では、受信トレイ ルールの更新、アイテムの移動、メールの削除、フォルダーの削除、添付ファイルの削除を行うために API 呼び出しが行われたかどうかを確認します。 このアラートをトリガーするアプリは、活発に機密データの流出や削除をしたり、追跡を消去して検出を回避したりする可能性があります。

TP または FP?

  • TP: アプリの作成とアプリに対する同意の要求が不明なソースまたは外部ソースから配信され、そのアプリが組織内で正当なビジネス用途に使用されていないことが確認できる場合は、真陽性となります。

    推奨される操作:

    • このアプリに同意したユーザーと管理者に連絡して、これが意図的であり、この過剰な権限が正常であることを確認してください。

    • アプリのアクティビティを調査し、疑わしいアクティビティがないか影響を受けたアカウントを調べます。

    • 調査に基づいて、アプリを無効にし、影響を受けるすべてのアカウントのパスワードを一時停止およびリセットし、受信トレイルールを削除します。

    • アラートを真陽性として分類します。

  • FP: 調査の結果アプリが組織内で正当なビジネス用途に使用されていることを確認できる場合は、誤検知となります。

    推奨される操作:

    • アラートを誤検知として分類し、アラートの調査に基づいてフィードバックを共有することを検討します。

    • 違反の範囲を把握する:

      ユーザーと管理者によって行われたアプリケーションに対する同意付与を確認します。 アプリによって実行されたすべてのアクティビティ (特に、関連するユーザーと管理者アカウントのメールボックスへのアクセス) を調査します。 アプリが疑わしいと思われる場合は、アプリケーションを無効にし、影響を受けるすべてのアカウントの資格情報をローテーションすることを検討してください。

権限昇格アラート

疑わしいメタデータを持つ OAuth アプリに Exchange アクセス許可がある

重大度: 中

MITRE ID: T1078

このアラートは、疑わしいメタデータを持つ基幹業務アプリに Exchange に対するアクセス許可を管理する権限がある場合にトリガーされます。

TP または FP?

  • TP: OAuth アプリが不明なソースから配信され、疑わしいメタデータの特性があることを確認できる場合は、真陽性が示されます。

推奨アクション: アプリに付与された同意を取り消し、アプリを無効にします。

FP: 調査後に、アプリが組織内でビジネスのために正当に使用されていることを確認できる場合。

推奨アクション: アラートを無視します

侵害の範囲を理解する

  1. アプリによって実行されるすべてのアクティビティを確認します。
  2. アプリによって付与されたスコープを確認します。
  3. このアプリに関連付けられているユーザー アクティビティを確認します。

防御回避アラート

重大度: 中

マイクロソフト以外のクラウド アプリが、機械学習のアルゴリズムによってマイクロソフトのロゴに類似していることが判明したロゴを使用しています。 これは、Microsoft ソフトウェア製品を偽装し、正規のものに見せかけようとする試みである可能性があります。

Note

テナント管理者は、現在のコンプライアンス境界の外に必要なデータを送信し、基幹業務アプリに対してこの脅威検出を有効にするためにマイクロソフト内のパートナー チームを選択するために、ポップアップを介して同意する必要があります。

TP または FP?

  • TP: アプリのロゴがマイクロソフト ロゴの偽物であり、アプリの動作が疑わしいことを確認できる場合。 

    推奨アクション: アプリに付与された同意を取り消し、アプリを無効にします。

  • FP: アプリのロゴがマイクロソフト ロゴの偽物ではないことを確認できる場合、またはアプリによって通常とは異なるアクティビティが実行されなかった場合。 

    推奨アクション: アラートを無視します

侵害の範囲を理解する

  1. このアプリによって実行されたすべてのアクティビティを確認します。
  2. アプリに付与されたスコープを確認します。
  3. このアプリに関連付けられているユーザー アクティビティを確認します。

アプリがタイポスクワッティングのドメインに関連付けられている

重大度: 中

この検出により、マイクロソフト ブランド名のタイポスクワッティング バージョンを含む発行元のドメインまたはリダイレクト URL を含む Microsoft OAuth 以外のアプリに対するアラートが生成されます。 通常、タイポスクワッティングは、ユーザーが誤って URL を誤入力した際のサイトへのトラフィックを捕らえるために使用されますが、人気のソフトウェア製品やサービスを偽装するために使用することもできます。

TP または FP?

  • TP: 発行元のドメインまたはアプリのリダイレクト URL がタイポスクワッティングであり、アプリの真のアイデンティティとは関係がないことを確認できる場合。

    推奨される操作:

    • アプリ ガバナンスに関するアプリの登録の詳細を調査します。詳細については Microsoft Entra ID にアクセスしてください。
    • その他のスプーフィングや偽装の兆候および疑わしいアクティビティがないかアプリを確認します。
    • 封じ込めアクションを検討する前に、アプリが組織にとって重要かどうかを確認します。 アプリ ガバナンスを使用してアプリを非アクティブ化し、リソースにアクセスできないようにします。 既存のアプリ ガバナンス ポリシーによって、アプリが既に非アクティブ化されている可能性があります。

  • FP: 発行元のドメインとアプリのリダイレクト URLが本物であることが確認できる場合。 

    推奨アクション: アラートを誤検知として分類し、アラートの調査に基づいてフィードバックを共有することを検討します。

侵害の範囲を理解する

  1. このアプリによって実行されたすべてのアクティビティを確認します。
  2. アプリに付与されたスコープを確認します。
  3. このアプリに関連付けられているユーザー アクティビティを確認します。

資格情報のアクセス

このセクションでは、悪意のあるアクターが機密性の高い資格情報データを読み取ろうとしている可能性があることを示すアラートについて説明します。このアラートは、組織内のアカウント名、シークレット、トークン、証明書、パスワードなどの資格情報を盗む手法で構成されています。

アプリケーションが複数回失敗した KeyVault 読み取りアクティビティを開始しても成功しない

重大度: 中

MITRE ID: T1078.004

この検出により、Azure Resource Manager API を使用して短い間隔で KeyVault への複数の読み取りアクション呼び出しを実行し、失敗のみが発生し、正常な読み取りアクティビティが完了していないテナント内のアプリが特定されます。

TP または FP?

  • TP: アプリが不明または使用されていない場合、そのアクティビティは疑わしい可能性があります。 使用されている Azure リソースを確認し、テナントでのアプリの使用を検証した後、そのアクティビティでアプリを無効にする必要がある場合があります。 これは通常、横方向の移動や権限昇格のための資格情報へのアクセスを目的とした、KeyVault リソースに対する列挙アクティビティの疑いがある証拠です。

    推奨されるアクション: アプリによってアクセスまたは作成された Azure リソースと、アプリケーションに加えられた最近の変更を確認します。 調査に基づいて、このアプリへのアクセスを禁止するかどうかを選択できます。 このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。

  • FP: 調査後に、アプリが組織内でビジネスのために正当に使用されていることを確認できる場合。

    推奨アクション: アラートを無視します。

侵害の範囲を理解する

  1. アプリのアクセスおよびアクティビティを確認します。
  2. 作成後アプリによって実行されたすべてのアクティビティを確認します。
  3. Graph API でアプリによって付与されたスコープと、サブスクリプションでアプリに付与された役割を確認します。
  4. アクティビティの前にアプリにアクセスした可能性があるユーザーを確認します。

検出アラート

アプリでドライブの列挙が実行された

重大度: 中

MITRE ID: T1087

この検出では、Graph API を使って OneDrive ファイルに対する列挙を実行したことが機械学習モデルによって検出された OAuth アプリが特定されます。

TP または FP?

  • TP: OneDrive に対する不自然なアクティビティや使用が、LOB アプリによって Graph API 経由で実行されたことを確認できる場合。

    推奨アクション: アプリを無効にして削除し、パスワードをリセットします。

  • FP: アプリによって不自然なアクティビティが実行されていないことを確認できる場合。

    推奨アクション: アラートを無視します。

侵害の範囲を理解する

  1. このアプリによって実行されたすべてのアクティビティを確認します。
  2. アプリによって付与されたスコープを確認します。
  3. このアプリに関連付けられているユーザー アクティビティを確認します。

Microsoft Graph PowerShell を使用して実行された疑わしい列挙アクティビティ

重大度: 中

MITRE ID: T1087

この検出では、Microsoft Graph PowerShell アプリケーションを介して短時間に実行された大量の疑わしい列挙アクティビティが特定されます。

TP または FP?

  • TP: Microsoft Graph PowerShell アプリケーションによって実行された疑わしいまたは通常と異なる列挙アクティビティが実行されたことを確認できる場合。

    推奨アクション: アプリケーションを無効にして削除し、パスワードをリセットします。

  • FP: アプリケーションによって不自然なアクティビティが実行されていないことを確認できる場合。

    推奨アクション: アラートを無視します。

侵害の範囲を理解する

  1. このアプリケーションによって実行されたすべてのアクティビティを確認します。
  2. このアプリケーションに関連付けられているユーザー アクティビティを確認します。

最近作成されたマルチテナント アプリケーションがユーザー情報を頻繁に列挙する

重大度: 中

MITRE ID: T1087

このアラートは、メールボックスの設定を変更したり電子メールにアクセスしたりするアクセス許可を持つ比較的新しい発行元テナントに最近登録された OAuth アプリを検出します。 アプリが Microsoft Graph API に対して多数の呼び出しを行ってユーザー ディレクトリ情報を要求したかどうかを確認します。 このアラートをトリガーするアプリは、組織データにアクセスできるようにするために、同意を与えるようにユーザーを誘い出す可能性があります。

TP または FP?

  • TP: アプリに対する同意の要求が不明なソースまたは外部ソースから配信され、そのアプリが組織内で正当なビジネス用途に使用されていないことが確認できる場合は、真陽性となります。

    推奨される操作:

    • このアプリに同意したユーザーと管理者に連絡して、これが意図的であり、この過剰な権限が正常であることを確認してください。
    • アプリのアクティビティを調査し、疑わしいアクティビティがないか影響を受けたアカウントを調べます。
    • 調査に基づいて、アプリを無効にし、影響を受けるすべてのアカウントのパスワードを一時停止およびリセットします。
    • アラートを真陽性として分類します。

  • FP: 調査の結果アプリが組織内で正当なビジネス用途に使用されていることを確認できる場合は、誤検知となります。

    推奨アクション: アラートを誤検知として分類し、アラートの調査に基づいてフィードバックを共有することを検討します。

侵害の範囲を理解する

ユーザーと管理者によって行われたアプリケーションに対する同意付与を確認します。 アプリによって実行されるすべてのアクティビティ (特にユーザー ディレクトリ情報の列挙) を調査します。 アプリが疑わしいと思われる場合は、アプリケーションを無効にし、影響を受けるすべてのアカウントの資格情報をローテーションすることを検討してください。

流出アラート

このセクションでは、悪意のあるアクターが目標に対して関心のあるデータを組織から盗もうとしている可能性があることを示すアラートについて説明します。

通常とは異なるユーザー エージェントを使用する OAuth アプリ

重大度: 低

MITRE ID: T1567

この検出は、通常とは異なるユーザー エージェントを使用して Graph API にアクセスしている OAuth アプリケーションを識別します。

TP または FP?

  • TP: OAuth アプリによって、以前は使用されていない新しいユーザー エージェントが最近使用され始め、この変更が予想外であることを確認できる場合は、真陽性となります。

    推奨アクション: 使用されたユーザー エージェントと、アプリケーションに対して最近行われた変更を確認します。 調査に基づいて、このアプリへのアクセスの禁止を選択できます。 このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。

  • FP: 調査後に、アプリが組織内でビジネスのために正当に使用されていることを確認できる場合。

    推奨アクション: アラートを無視します。

侵害の範囲を理解する

  1. 最近作成されたアプリと、使用されたユーザー エージェントを確認します。
  2. アプリによって実行されるすべてのアクティビティを確認します。 
  3. アプリによって付与されたスコープを確認します。 

通常とは異なるユーザー エージェントを使用して Exchange Web サービスを介して電子メール データにアクセスしたアプリ

重大度: 高

MITRE ID: T1114、T1567

この検出により、Exchange Web サービス API を使用して通常とは異なるユーザー エージェントを使用して電子メール データにアクセスした OAuth アプリが識別されます。

TP または FP?

  • TP: OAuth アプリケーションが Exchange Web サービス API への要求を行うために使用するユーザー エージェントを変更するとは考えられないことが確認できる場合は、真陽性となります。

    推奨アクション: アラートを TP として分類します。 調査に基づいて、アプリに悪意がある場合は、同意を取り消し、テナントでアプリを無効にすることができます。 侵害されているアプリである場合は、同意を取り消し、アプリを一時的に無効にし、アクセス許可を確認して、シークレットと証明書をリセットしてから、アプリをもう一度有効にすることができます。

  • FP: 調査後に、アプリケーションによって使用されるユーザー エージェントが組織内でビジネスのために正当に使用されていることを確認できる場合。

    推奨アクション: アラートを FP として分類します。 また、アラートの調査に基づいてフィードバックを共有することを検討します。

侵害の範囲を理解する

  1. アプリケーションが新しく作成されたか、または最近変更されたかどうかを確認します。
  2. アプリケーションに付与されているアクセス許可と、アプリケーションに同意したユーザーを確認します。
  3. アプリによって実行されるすべてのアクティビティを確認します。

横移動アラート

このセクションでは、悪意のアクターが組織内でより多くの制御を得るために複数のシステムやアカウントを経由しながら、さまざまなリソース内を横方向に移動しようとしている可能性があることを示すアラートについて説明します。

主に MS Graph または Exchange Web サービスを使用する休止中の OAuth アプリが、最近 ARM ワークロードにアクセスしていることが確認された

重大度: 中

MITRE ID: T1078.004

この検出により、長期間の休止アクティビティの後、初めて Azure Resource Manager API へのアクセスを開始したテナント内のアプリが特定されます。 以前は、このアプリは主に MS Graph または Exchange Web サービスを使用していました。

TP または FP?

  • TP: アプリが不明または使用されていない場合、そのアプリは疑わしい可能性があり、使用されている Azure リソースを確認してテナントでのアプリの使用状況を検証した後、アプリを無効にする必要がある場合があります。

    推奨アクション:

    1. アプリによってアクセスまたは作成された Azure リソースと、アプリに対して行われた最近の変更を確認します。
    2. このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。
    3. 調査に基づいて、このアプリへのアクセスを禁止するかどうかを選択できます。

  • FP: 調査後に、アプリが組織内でビジネスのために正当に使用されていることを確認できる場合。

    推奨アクション: アラートを無視します。

侵害の範囲を理解する

  1. アプリのアクセスおよびアクティビティを確認します。
  2. 作成後アプリによって実行されたすべてのアクティビティを確認します。
  3. Graph API でアプリによって付与されたスコープと、サブスクリプションでアプリに付与された役割を確認します。
  4. アクティビティの前にアプリにアクセスした可能性があるユーザーを確認します。

収集アラート

このセクションでは、悪意のあるアクターが目標達成のための目的のデータを組織から収集しようとしている可能性があることを示すアラートについて説明します。

アプリで異常な電子メール検索アクティビティが行われた

重大度: 中

MITRE ID: T1114

この検出では、アプリが疑わしい OAuth スコープに同意し、Graph API を介した特定のコンテンツのメール検索など、異常なメール検索アクティビティを大量に行ったことを識別します。 これは、Graph API を使って組織の特定のメールを検索して読み取ろうとした敵対者など、組織の侵害が試みられたことを示している可能性があります。 

TP または FP?

  • TP: 疑わしい OAuth スコープを持つ OAuth アプリによって Graph API を介して行われた大量の異常なメール検索と読み取りアクティビティを確認でき、さらにアプリが不明なソースから配信されていることを確認できる場合。

    推奨アクション: アプリを無効にして削除し、パスワードをリセットして、受信トレイ ルールを削除します。 

  • FP: アプリが大量の異常なメール検索を実行したこと、正当な理由で Graph API を読み取ったことを確認できる場合。

    推奨アクション: アラートを無視します。

侵害の範囲を理解する

  1. アプリによって付与されたスコープを確認します。
  2. アプリによって実行されるすべてのアクティビティを確認します。 

アプリでメールを読み取る異常な Graph 呼び出しが行われた

重大度: 中

MITRE ID: T1114

この検出では、基幹業務 (LOB) OAuth アプリによって、Graph API を介して非常に大量のユーザーのメール フォルダーとメッセージがアクセスされた場合が特定されます。これは、組織の侵害が試みられたことを示す可能性があります。

TP または FP?

  • TP: 基幹業務 (LOB) OAuth アプリによって不自然な Graph アクティビティが実行されたことを確認できる場合は、真陽性が示されます。

    推奨アクション: アプリを一時的に無効にし、パスワードをリセットしてから、アプリを再び有効にします。 Microsoft Entra ID を使用してパスワードをリセットする方法に関するチュートリアルに従ってください。

  • FP: アプリが不自然に多くの Graph 呼び出しを行うことを目的としていたことを確認できる場合。

    推奨アクション: アラートを無視します。

侵害の範囲を理解する

  1. このアプリによって実行されたイベントのアクティビティ ログを確認して、メールを読み取り、ユーザーの機密性の高いメール情報を収集しようとするその他の Graph アクティビティについて理解を深めます。
  2. アプリに追加される予期しない資格情報を監視します。

アプリで受信トレイ ルールが作成され、メールの不自然な検索アクティビティが行われた

重大度: 中

MITRE ID: T1137、T1114

この検出では、高い特権のスコープに同意し、疑わしい受信トレイ ルールを作成して、Graph API を使ってユーザーのメール フォルダーでメールの不自然な検索アクティビティを行ったアプリが特定されます。 これは、Graph API を使って組織の特定のメールを検索して収集しようとした敵対者など、組織の侵害が試みられたことを示している可能性があります。

TP または FP?

  • TP: 高い特権のスコープを持つ OAuth アプリによって、Graph API を使った特定のメールの検索と収集が実行され、またアプリが不明なソースから配信されたことを確認できる場合。

    推奨アクション: アプリを無効にして削除し、パスワードをリセットして、受信トレイ ルールを削除します。

  • FP: アプリによって Graph API を使った特定のメールの検索と収集が実行され、新規または個人の外部メール アカウントに対して正当な理由により受信トレイ ルールが作成されたことを確認できる場合。

    推奨アクション: アラートを無視します。

侵害の範囲を理解する

  1. アプリによって実行されるすべてのアクティビティを確認します。
  2. アプリによって付与されたスコープを確認します。
  3. アプリによって作成された受信トレイ ルールのアクションを確認します。
  4. アプリによって実行されたメール検索アクティビティを確認します。

アプリによって OneDrive または SharePoint の検索アクティビティが行われ、受信トレイ ルールが作成された

重大度: 中

MITRE ID: T1137、T1213

この検出では、アプリが高い特権のスコープに同意し、疑わしい受信トレイ ルールを作成して、Graph API を使って SharePoint または OneDrive の不自然な検索アクティビティを行ったことが特定されます。 これは、Graph API を使って組織の SharePoint または OneDrive から特定のデータを検索して収集しようとした敵対者など、組織の侵害が試みられたことを示している可能性があります。 

TP または FP?

  • TP: 高い特権のスコープを持つ OAuth アプリによって、SharePoint または OneDrive の特定のデータの検索と収集が Graph API 経由で実行され、またアプリが不明なソースから配信されたことを確認できる場合。 

    推奨アクション: アプリを無効にして削除し、パスワードをリセットして、受信トレイ ルールを削除します。 

  • FP: OAuth アプリによって SharePoint または OneDrive の特定のデータの検索と収集が Graph API 経由で実行され、新規または個人の外部メール アカウントに対して正当な理由により受信トレイ ルールが作成されたことを確認できる場合。 

    推奨アクション: アラートを無視します

侵害の範囲を理解する

  1. アプリによって実行されるすべてのアクティビティを確認します。 
  2. アプリによって付与されたスコープを確認します。 
  3. アプリによって作成された受信トレイ ルールのアクションを確認します。 
  4. アプリによって実行された SharePoint または OneDrive の検索アクティビティを確認します。

アプリが OneDrive で大量の検索や編集を行った

重大度: 中

MITRE ID: T1137、T1213

この検出では、Graph API を使って OneDrive で多数の検索と編集を実行している高い特権アクセス許可を持つ OAuth アプリが特定されます。

TP または FP?

  • TP: OneDrive の読み取りと書き込みのための高い権限許可を持つこの OAuth アプリケーションで、Graph API による OneDrive ワークロードの高い使用率が予想されないことを確認できた場合は、真陽性となります。

    推奨アクション: 調査に基づいて、アプリケーションに悪意がある場合は、同意を取り消し、テナントでアプリケーションを無効にすることができます。 侵害されているアプリケーションである場合は、同意を取り消し、アプリを一時的に無効にし、必要なアクセス許可を確認して、パスワードをリセットしてから、アプリをもう一度有効にすることができます。

  • FP: 調査後に、アプリが組織内でビジネスのために正当に使用されていることを確認できる場合。

    推奨アクション: アラートを解決し、結果を報告します。

侵害の範囲を理解する

  1. アプリが信頼できるソースのものかどうかを確認します。
  2. アプリケーションが新しく作成されたか、または最近変更されたかどうかを確認します。
  3. アプリケーションに付与されているアクセス許可と、アプリケーションに同意したユーザーを確認します。
  4. アプリの他のすべてのアクティビティを調べます。

アプリによって重要なメールが大量に読み取られ、受信トレイ ルールが作成された

重大度: 中

MITRE ID: T1137、T1114

この検出では、アプリが高い特権のスコープに同意し、疑わしい受信トレイ ルールを作成して、Graph API を使った大量の重要なメールの読み取りアクティビティを行ったことが特定されます。 これは、Graph API を使って組織の重要なメールを読み取ろうとした敵対者など、組織の侵害が試みられたことを示している可能性があります。 

TP または FP?

  • TP: 高い特権のスコープを持つ OAuth アプリによる Graph API を使った大量の重要なメールの読み取りと、アプリが不明なソースから配信されたことを確認できる場合。 

    推奨アクション: アプリを無効にして削除し、パスワードをリセットして、受信トレイ ルールを削除します。 

  • FP: アプリによって Graph API を使った大量の重要なメールの読み取りが実行され、新規または個人の外部メール アカウントに対して正当な理由により受信トレイ ルールが作成されたことを確認できる場合。 

    推奨アクション: アラートを無視します

侵害の範囲を理解する

  1. アプリによって実行されるすべてのアクティビティを確認します。 
  2. アプリによって付与されたスコープを確認します。 
  3. アプリによって作成された受信トレイ ルールのアクションを確認します。 
  4. アプリによって実行された重要なメールの読み取りアクティビティを確認します。

特権アプリが Teams で異常なアクティビティを実行した

重大度: 中

この検出により、高い特権の OAuth スコープに同意し、Microsoft Teams にアクセスし、Graph API を介して異常な量のチャット メッセージの読み取りまたは投稿アクティビティを行ったアプリが識別されます。 これは、Graph API を使って組織の情報を集めようとした敵対者など、組織の侵害が試みられたことを示している可能性があります。

TP または FP?

  • TP: 高い特権のスコープを持つ OAuth アプリによる Graph API を使った Microsoft Teams での異常なチャット メッセージのアクティビティと、アプリが不明なソースから配信されたことを確認できる場合。

    推奨アクション: アプリを無効にして削除し、パスワードをリセットします。

  • FP: Graph API を使った Microsoft Teams で実行された異常なアクティビティが正当な理由で行われたことを確認できる場合。

    推奨アクション: アラートを無視します

侵害の範囲を理解する

  1. アプリによって付与されたスコープを確認します。
  2. アプリによって実行されるすべてのアクティビティを確認します。
  3. このアプリに関連付けられているユーザー アクティビティを確認します。

最近資格情報を更新または新しく追加したアプリ別の OneDrive の異常なアクティビティ

重大度: 中

MITRE ID: T1098.001、T1213

Microsoft 以外のクラウド アプリより、データの大量使用など、OneDrive に対して異常な Graph API 呼び出しが行われました。 機械学習によって検出されたこれらの通常とは異なる API 呼び出しは、アプリで証明書やシークレットが新しく追加された、または既存の証明書やシークレットが更新されてから、数日以内に行われました。 このアプリは、データ流出や、秘匿性の高い情報にアクセスして取得するその他の企てに関与している可能性があります。

TP または FP?

  • TP: OneDrive ワークロードの大量使用などの不自然なアクティビティが、そのアプリによって Graph API を通じて実行されたと確認できる場合。

    推奨アクション: アプリを一時的に無効にし、パスワードをリセットしてから、アプリを再び有効にします。

  • FP: そのアプリによって不自然なアクティビティが実行されなかったこと、またはそのアプリが不自然に多くの Graph 呼び出しを行うことを目的としていたことを確認できる場合。

    推奨アクション: アラートを無視します

侵害の範囲を理解する

  1. このアプリによって実行されたすべてのアクティビティを確認します。
  2. アプリによって付与されたスコープを確認します。
  3. このアプリに関連付けられているユーザー アクティビティを確認します。

最近資格情報を更新または新しく追加したアプリ別のSharePoint の異常なアクティビティ

重大度: 中

MITRE ID: T1098.001、T1213.002

Microsoft 以外のクラウド アプリより、データの大量使用など、SharePoint に対して異常な Graph API 呼び出しが行われました。 機械学習によって検出されたこれらの通常とは異なる API 呼び出しは、アプリで証明書やシークレットが新しく追加された、または既存の証明書やシークレットが更新されてから、数日以内に行われました。 このアプリは、データ流出や、秘匿性の高い情報にアクセスして取得するその他の企てに関与している可能性があります。

TP または FP?

  • TP: SharePoint ワークロードの大量使用などの不自然なアクティビティが、そのアプリによって Graph API を通じて実行されたと確認できる場合。

    推奨アクション: アプリを一時的に無効にし、パスワードをリセットしてから、アプリを再び有効にします。

  • FP: そのアプリによって不自然なアクティビティが実行されなかったこと、またはそのアプリが不自然に多くの Graph 呼び出しを行うことを目的としていたことを確認できる場合。

    推奨アクション: アラートを無視します

侵害の範囲を理解する

  1. このアプリによって実行されたすべてのアクティビティを確認します。
  2. アプリによって付与されたスコープを確認します。
  3. このアプリに関連付けられているユーザー アクティビティを確認します。

重大度: 中

MITRE ID: T1114

この検出により、疑わしいメール関連アクティビティのあるアプリで以前に観察されたメタデータ (名前URL発行元など) を含む Microsoft OAuth 以外のアプリに対するアラートが生成されます。 このアプリは攻撃キャンペーンの一部で、機密情報の流出に関与している可能性があります。

TP または FP?

  • TP: アプリがメールボックス ルールを作成したか、Exchange ワークロードに対して通常とは異なる多数の Graph API 呼び出しを行ったことを確認できる場合。

    推奨される操作:

    • アプリ ガバナンスに関するアプリの登録の詳細を調査します。詳細については Microsoft Entra ID にアクセスしてください。
    • アプリに同意またはアクセス許可を付与したユーザーまたは管理者に問い合わせます。 変更が意図的なものかどうかを確認します。
    • [CloudAppEvents] 高度な追求テーブルを検索して、アプリのアクティビティを理解し、アプリによってアクセスされたデータを特定します。 影響を受けるメールボックスをチェックし、アプリ自体またはアプリが作成したルールによって読み取られたまたは転送された可能性のあるメッセージを確認します。
    • 封じ込めアクションを検討する前に、アプリが組織にとって重要かどうかを確認します。 アプリ ガバナンスまたは Microsoft Entra ID を使用してアプリを非アクティブ化して、リソースにアクセスできないようにします。 既存のアプリ ガバナンス ポリシーによって、アプリが既に非アクティブ化されている可能性があります。

  • FP: アプリによって通常とは異なるアクティビティが実行されていないことと、アプリが組織内で正当なビジネス用途に使用されていることが確認できる場合。

    推奨アクション: アラートを無視します

侵害の範囲を理解する

  1. このアプリによって実行されたすべてのアクティビティを確認します。
  2. アプリに付与されたスコープを確認します。
  3. このアプリに関連付けられているユーザー アクティビティを確認します。

多数のメールにアクセスする EWS アプリケーションのアクセス許可を持つアプリ

重大度: 中

MITRE ID: T1114

この検出により、EWS アプリケーションのアクセス許可を持つマルチテナント クラウド アプリのアラートが生成され、メール リストとコレクションに固有の Exchange Web Services API の呼び出しが大幅に増加します。 このアプリは、機密性の高いメール データへのアクセスと取得に関係している可能性があります。

TP または FP?

  • TP: アプリが機密性の高いメール データにアクセスしたか、または、Exchange ワークロードに対して多数の異常な呼び出しを行ったかを確認できる場合。

    推奨される操作:

    • アプリ ガバナンスに関するアプリの登録の詳細を調査します。詳細については Microsoft Entra ID にアクセスしてください。
    • アプリに同意またはアクセス許可を付与したユーザーまたは管理者に問い合わせます。 変更が意図的なものかどうかを確認します。
    • [CloudAppEvents] 高度な追求テーブルを検索して、アプリのアクティビティを理解し、アプリによってアクセスされたデータを特定します。 影響を受けるメールボックスをチェックし、アプリ自体またはアプリが作成したルールによって読み取られたまたは転送された可能性のあるメッセージを確認します。
    • 封じ込めアクションを検討する前に、アプリが組織にとって重要かどうかを確認します。 アプリ ガバナンスまたは Microsoft Entra ID を使用してアプリを非アクティブ化して、リソースにアクセスできないようにします。 既存のアプリ ガバナンス ポリシーによって、アプリが既に非アクティブ化されている可能性があります。

  • FP: アプリによって通常とは異なるアクティビティが実行されていないことと、アプリが組織内で正当なビジネス用途に使用されていることが確認できる場合。

    推奨アクション: アラートを無視します

侵害の範囲を理解する

  1. このアプリによって実行されたすべてのアクティビティを確認します。
  2. アプリに付与されたスコープを確認します。
  3. このアプリに関連付けられているユーザー アクティビティを確認します。

API に新規アクセスする未使用アプリ

重大度: 中

MITRE ID: T1530

この検出により、しばらくの間、非アクティブであり、最近 API 呼び出しを開始したマルチテナント クラウド アプリのアラートが生成されます。 このアプリは、攻撃者によって侵害され、機密データへのアクセスと取得に使用される可能性があります。

TP または FP?

  • TP: アプリが機密データにアクセスしたか、Microsoft Graph、Exchange、または Azure Resource Manager ワークロードに対して多数の異常な呼び出しを行っているかを確認できる場合。

    推奨される操作:

    • アプリ ガバナンスに関するアプリの登録の詳細を調査します。詳細については Microsoft Entra ID にアクセスしてください。
    • アプリに同意またはアクセス許可を付与したユーザーまたは管理者に問い合わせます。 変更が意図的なものかどうかを確認します。
    • [CloudAppEvents] 高度な追求テーブルを検索して、アプリのアクティビティを理解し、アプリによってアクセスされたデータを特定します。 影響を受けるメールボックスをチェックし、アプリ自体またはアプリが作成したルールによって読み取られたまたは転送された可能性のあるメッセージを確認します。
    • 封じ込めアクションを検討する前に、アプリが組織にとって重要かどうかを確認します。 アプリ ガバナンスまたは Microsoft Entra ID を使用してアプリを非アクティブ化して、リソースにアクセスできないようにします。 既存のアプリ ガバナンス ポリシーによって、アプリが既に非アクティブ化されている可能性があります。

  • FP: アプリによって通常とは異なるアクティビティが実行されていないことと、アプリが組織内で正当なビジネス用途に使用されていることが確認できる場合。

    推奨アクション: アラートを無視します

侵害の範囲を理解する

  1. このアプリによって実行されたすべてのアクティビティを確認します。
  2. アプリに付与されたスコープを確認します。
  3. このアプリに関連付けられているユーザー アクティビティを確認します。

影響アラート

このセクションでは、悪意のある行為者が組織のシステムやデータを操作、中断、または破壊しようとしている可能性があることを示すアラートについて説明します。

仮想マシンの作成で異常なスパイクを開始する Entra 基幹業務アプリ

重大度: 中

MITRE ID: T1496

この検出により、Azure Resource Manager API を使用してテナント内に Azure Virtual Machines の大部分を作成している、シングル テナントの新しい OAuth アプリケーションが特定されます。

TP または FP?

  • TP: OAuth アプリが最近作成され、そのアプリによりテナントに多数の仮想マシンが作成されていることを確認できる場合は、真陽性となります。

    推奨アクション: 作成された仮想マシンと、アプリケーションに対して最近加えられた変更を確認します。 調査に基づいて、このアプリへのアクセスの禁止を選択できます。 このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。

  • FP: 調査後に、アプリが組織内でビジネスのために正当に使用されていることを確認できる場合。

    推奨されるアクション: アラートを無視します。

違反の範囲を把握する

  1. 最近作成されたアプリと作成された VM を確認します。
  2. 作成後アプリによって実行されたすべてのアクティビティを確認します。
  3. Graph API でアプリによって付与されたスコープと、サブスクリプションでアプリに付与された役割を確認します。

Microsoft Graph でスコープ権限が高い OAuth アプリが仮想マシンの作成を開始していることが確認された

重大度: 中

MITRE ID: T1496

この検出により、アクティビティの前に MS Graph API を介してテナントで高い権限を持ちながら、Azure Resource Manager API を使用してテナントに Azure Virtual Machines の大部分を作成する OAuth アプリケーションが特定されます。

TP または FP?

  • TP: 高い権限スコープを持つ OAuth アプリが作成され、テナントに多数の仮想マシンが作成されていることを確認できる場合は、真陽性が示されます。

    推奨アクション: 作成された仮想マシンと、アプリケーションに対して最近加えられた変更を確認します。 調査に基づいて、このアプリへのアクセスの禁止を選択できます。 このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。

  • FP: 調査後に、アプリが組織内でビジネスのために正当に使用されていることを確認できる場合。

    推奨されるアクション: アラートを無視します。

違反の範囲を把握する

  1. 最近作成されたアプリと作成された VM を確認します。
  2. 作成後アプリによって実行されたすべてのアクティビティを確認します。
  3. Graph API でアプリによって付与されたスコープと、サブスクリプションでアプリに付与された役割を確認します。

次のステップ

アプリ ガバナンス アラートの管理