Share via

위협 탐지 경고 조사

  • 아티클

앱 거버넌스는 악의적인 활동에 대한 보안 검색 및 경고를 제공합니다. 이 문서에서는 경고 트리거 조건을 포함하여 조사 및 수정에 도움이 될 수 있는 각 경고에 대한 세부 정보를 나열합니다. 위협 탐지는 본질적으로 비결정적이므로 표준에서 벗어나는 동작이 있을 때만 트리거됩니다.

자세한 내용은 클라우드용 Microsoft Defender 앱의 앱 거버넌스를 참조하세요.

참고 항목

앱 거버넌스 위협 검색은 일시적이며 저장되지 않을 수 있는 데이터에 대한 계산 활동을 기반으로 하므로 경고는 활동 수 또는 급증의 표시를 제공할 수 있지만 모든 관련 데이터가 반드시 있는 것은 아닙니다. 특히 OAuth 앱 Graph API 작업의 경우 Log Analytics 및 Sentinel을 사용하여 테넌트에서 활동 자체를 감사할 수 있습니다.

자세한 내용은 다음을 참조하십시오.

MITRE ATT&CK

앱 거버넌스 경고와 친숙한 MITRE ATT&CK Matrix 간의 관계를 보다 쉽게 매핑할 수 있도록 해당 MITRE ATT&CK 전술로 경고를 분류했습니다. 이 추가 참조를 사용하면 앱 거버넌스 경고가 트리거될 때 잠재적으로 사용 중인 의심스러운 공격 기술을 더 쉽게 이해할 수 있습니다.

이 가이드에서는 다음 범주의 앱 거버넌스 경고를 조사하고 수정하는 방법에 대한 정보를 제공합니다.

보안 경고 분류

적절한 조사에 따라 모든 앱 거버넌스 경고를 다음 작업 유형 중 하나로 분류할 수 있습니다.

  • 참 긍정(TP): 확인된 악성 활동에 대한 경고입니다.
  • 양성 진양성(B-TP): 침투 테스트 또는 기타 권한 있는 의심스러운 작업과 같이 의심스럽지만 악의적인 활동에 대한 경고입니다.
  • FP(가양성): 비정상 활동에 대한 경고입니다.

일반 조사 단계

권장되는 작업을 적용하기 전에 잠재적 위협을 보다 명확하게 이해하려면 모든 유형의 경고를 조사할 때 다음 일반 지침을 사용합니다.

  • 앱 심각도 수준을 검토하고 테넌트의 나머지 앱과 비교합니다. 이 검토는 테넌트에서 더 큰 위험을 초래하는 앱을 식별하는 데 도움이 됩니다.

  • TP를 식별하는 경우 모든 앱 활동을 검토하여 영향을 파악합니다. 예를 들어 다음 앱 정보를 검토합니다.

    • 액세스 권한이 부여된 범위
    • 비정상적인 동작
    • IP 주소 및 위치

초기 액세스 경고

이 섹션에서는 악의적인 앱이 조직에서 자신의 발판을 기본 하려고 할 수 있음을 나타내는 경고에 대해 설명합니다.

OAuth 리디렉션 취약성을 악용하여 앱이 피싱 URL로 리디렉션

심각도: 보통

이 검색은 Microsoft Graph API를 통해 OAuth 구현의 응답 유형 매개 변수를 악용하여 피싱 URL로 리디렉션되는 OAuth 앱을 식별합니다.

TP 또는 FP?

  • TP: OAuth 앱이 알 수 없는 원본에서 배달되었는지 확인할 수 있는 경우 OAuth 앱에 동의한 후 회신 URL의 응답 유형에 잘못된 요청이 포함되고 알 수 없거나 신뢰할 수 없는 회신 URL로 리디렉션됩니다.

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 다시 설정하고, 받은 편지함 규칙을 제거합니다. 

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 앱에서 수행한 모든 활동을 검토합니다. 
  2. 앱에서 부여한 범위를 검토합니다. 

의심스러운 회신 URL이 있는 OAuth 앱

심각도: 보통

이 검색은 Microsoft Graph API를 통해 의심스러운 회신 URL에 액세스한 OAuth 앱을 식별합니다.

TP 또는 FP?

  • TP: OAuth 앱이 알 수 없는 원본에서 배달되고 의심스러운 URL로 리디렉션되는지 확인할 수 있는 경우 진정한 긍정이 표시됩니다. 의심스러운 URL은 URL의 평판을 알 수 없거나, 신뢰할 수 없거나기본 최근에 등록되었으며 앱 요청이 높은 권한 범위에 대한 것입니다.

    권장 작업: 앱에서 요청한 회신 URL, do기본 및 범위를 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청한 사용 권한 수준 및 액세스 권한이 부여된 사용자를 검토합니다.

    앱에 대한 액세스를 금지하려면 앱 거버넌스 페이지에서 앱에 대한 관련 탭으로 이동합니다. 금지하려는 앱이 표시되는 행에서 금지 아이콘을 선택합니다. 사용자가 설치하고 권한을 부여한 앱이 금지되었음을 사용자에게 알릴지 여부를 선택할 수 있습니다. 이 알림을 통해 사용자는 앱이 비활성화되고 연결된 앱에 액세스할 수 없음을 알 수 있습니다. 사용자에게 알리지 않으려면 대화 상자에서 이 금지된 앱에 액세스 권한을 부여한 사용자에게 알림을 선택 취소합니다. 앱 사용자에게 앱 사용이 금지될 예정임을 알리는 것이 좋습니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 최근에 만든 앱과 해당 회신 URL을 검토합니다.

  2. 앱에서 수행한 모든 활동을 검토합니다. 

  3. 앱에서 부여한 범위를 검토합니다. 

심각도: 낮음

이 검색은 최근에 만들어졌으며 동의율이 낮은 것으로 확인된 OAuth 앱을 식별합니다. 이는 불법 동의 부여에서 사용자를 유인하는 악의적이거나 위험한 앱을 나타낼 수 있습니다.

TP 또는 FP?

  • TP: OAuth 앱이 알 수 없는 소스에서 배달되었는지 확인할 수 있는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 앱의 표시 이름, 회신 URL 및 할 일기본 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청한 사용 권한 수준 및 액세스 권한을 부여한 사용자를 검토합니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 앱에서 수행한 모든 활동을 검토합니다.
  2. 앱이 의심스럽다고 의심되는 경우 앱의 이름을 조사하고 다른 앱 스토어에서 기본 회신하는 것이 좋습니다. 앱 저장소를 검사 경우 다음 유형의 앱에 집중합니다.
    • 최근에 만든 앱
    • 비정상적인 표시 이름을 가진 앱
    • 의심스러운 회신이 있는 앱은 수행합니다기본
  3. 앱이 여전히 의심스러운 것으로 의심되는 경우 앱 표시 이름을 조사하여 회신할 수 있습니다기본.

URL 평판이 잘못된 앱

심각도: 보통

이 검색은 잘못된 URL 평판을 가진 것으로 확인된 OAuth 앱을 식별합니다.

TP 또는 FP?

  • TP: OAuth 앱이 알 수 없는 원본에서 배달되고 의심스러운 URL로 리디렉션되는지 확인할 수 있는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 앱에서 요청한 회신 URL, do기본 및 범위를 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청한 사용 권한 수준 및 액세스 권한을 부여한 사용자를 검토합니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 앱에서 수행한 모든 활동을 검토합니다.
  2. 앱이 의심스럽다고 의심되는 경우 앱의 이름을 조사하고 다른 앱 스토어에서 기본 회신하는 것이 좋습니다. 앱 저장소를 검사 경우 다음 유형의 앱에 집중합니다.
    • 최근에 만든 앱
    • 비정상적인 표시 이름을 가진 앱
    • 의심스러운 회신이 있는 앱은 수행합니다기본
  3. 앱이 여전히 의심스러운 것으로 의심되는 경우 앱 표시 이름을 조사하여 회신할 수 있습니다기본.

심각도: 보통

설명: 이 검색은 유니코드 또는 인코딩된 문자와 같이 의심스러운 동의 범위에 요청되고 Graph API를 통해 사용자 메일 폴더에 액세스한 OAuth 앱을 식별합니다. 이 경고는 악의적 사용자가 악의적인 앱에 동의하도록 사용자를 오도할 수 있도록 악성 앱을 알려진 신뢰할 수 있는 앱으로 위장하려는 시도를 나타낼 수 있습니다.

TP 또는 FP?

  • TP: OAuth 앱이 알 수 없는 원본에서 전달된 의심스러운 범위로 표시 이름을 인코딩했는지 확인할 수 있는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 이 앱에서 요청한 사용 권한 수준 및 액세스 권한을 부여한 사용자를 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다.

    앱에 대한 액세스를 금지하려면 앱 거버넌스 페이지에서 앱에 대한 관련 탭으로 이동합니다. 금지하려는 앱이 표시되는 행에서 금지 아이콘을 선택합니다. 사용자가 설치하고 권한을 부여한 앱이 금지되었음을 사용자에게 알릴지 여부를 선택할 수 있습니다. 알림을 통해 앱이 비활성되고 연결된 앱에 대한 액세스 권한이 없다는 것을 사용자에게 알려줍니다. 사용자에게 알리지 않으려면 대화 상자에서 이 금지된 앱에 액세스 권한을 부여한 사용자에게 알림을 선택 취소합니다. 앱 사용자에게 앱 사용이 금지될 예정임을 알리는 것이 좋습니다.

  • FP: 앱에 인코딩된 이름이 있지만 조직에서 합법적인 비즈니스 사용이 있는지 확인하는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

위험한 OAuth 앱을 조사하는 방법에 대한 자습서를 따릅니다.

읽기 범위가 있는 OAuth 앱 의심스러운 회신 URL이 있습니다.

심각도: 보통

설명: 이 검색은 User.Read, 사람 같은 읽기 범위만 있는 OAuth 앱을 식별합니다. 읽기, Contacts.Read, Mail.Read, Contacts.Read. Graph API를 통해 의심스러운 회신 URL로의 공유 리디렉션 이 활동은 권한이 적은 악성 앱(예: 읽기 범위)이 악용되어 사용자 계정 정찰을 수행할 수 있음을 나타내려고 합니다.

TP 또는 FP?

  • TP: 읽기 범위가 있는 OAuth 앱이 알 수 없는 원본에서 배달되고 의심스러운 URL로 리디렉션되는지 확인할 수 있는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 앱에서 요청한 회신 URL 및 범위를 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청한 사용 권한 수준 및 액세스 권한을 부여한 사용자를 검토합니다.

    앱에 대한 액세스를 금지하려면 앱 거버넌스 페이지에서 앱에 대한 관련 탭으로 이동합니다. 금지하려는 앱이 표시되는 행에서 금지 아이콘을 선택합니다. 사용자가 설치하고 권한을 부여한 앱이 금지되었음을 사용자에게 알릴지 여부를 선택할 수 있습니다. 알림을 통해 앱이 비활성되고 연결된 앱에 대한 액세스 권한이 없다는 것을 사용자에게 알려줍니다. 사용자에게 알리지 않으려면 대화 상자에서 이 금지된 앱에 액세스 권한을 부여한 사용자에게 알림을 선택 취소합니다. 앱 사용자에게 앱 사용이 금지될 예정임을 알리는 것이 좋습니다.

  • B-TP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 앱에서 수행한 모든 활동을 검토합니다.
  2. 앱이 의심스럽다고 의심되는 경우 다른 앱 스토어에서 앱의 이름과 회신 URL을 조사하는 것이 좋습니다. 앱 저장소를 검사 경우 다음 유형의 앱에 집중합니다.
    • 최근에 만든 앱입니다.
    • 의심스러운 회신 URL이 있는 앱
    • 최근에 업데이트되지 않은 앱입니다. 업데이트가 부족하면 앱이 더 이상 지원되지 않음을 나타낼 수 있습니다.
  3. 앱이 의심스럽다고 의심되는 경우 앱 이름, 게시자 이름 및 회신 URL을 온라인으로 검색할 수 있습니다.

회신에서 비정상적인 표시 이름과 비정상적인 TLD를 가진 앱은 그렇지 않습니다기본

심각도: 보통

이 검색은 비정상적인 표시 이름을 가진 앱을 식별하고 의심스러운 회신으로 리디렉션합니다기본 Graph API를 통해 비정상적인 TLD(최상위 do기본)를 사용합니다. 악의적 사용자가 악의적이거나 위험한 앱에 동의하도록 사용자를 오도할 수 있도록 악의적이거나 위험한 앱을 알려진 신뢰할 수 있는 앱으로 위장하려는 시도를 나타낼 수 있습니다. 

TP 또는 FP?

  • TP: 알 수 없는 소스에서 전달된 비정상적인 표시 이름을 가진 앱이 의심스러운 작업으로 리디렉션되는지 확인할 수 있는 경우기본 비정상적인 최상위 수준을 사용합니다기본

    권장 작업: 앱의 표시 이름 및 회신 수행기본 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청한 사용 권한 수준 및 액세스 권한을 부여한 사용자를 검토합니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해

앱에서 수행한 모든 활동을 검토합니다. 앱이 의심스럽다고 의심되는 경우 앱의 이름을 조사하고 다른 앱 스토어에서 기본 회신하는 것이 좋습니다. 앱 저장소를 검사 경우 다음 유형의 앱에 집중합니다.

  • 최근에 만든 앱
  • 비정상적인 표시 이름을 가진 앱
  • 의심스러운 회신이 있는 앱은 수행합니다기본

앱이 여전히 의심스러운 것으로 의심되는 경우 앱 표시 이름을 조사하여 회신할 수 있습니다기본.

심각도: 보통

이 검색은 다음과 같은 특성을 사용하여 비교적 새로운 게시자 테넌트에서 최근에 만든 OAuth 앱을 식별합니다.

  • 사서함 설정에 액세스하거나 변경할 수 있는 권한
  • 상대적으로 낮은 동의율로, 의심하지 않는 사용자로부터 동의를 얻으려고 시도하는 원치 않는 또는 악의적인 앱을 식별할 수 있습니다.

TP 또는 FP?

  • TP: 앱에 대한 동의 요청이 알 수 없거나 외부 원본에서 전달되었으며 앱에 조직에서 합법적인 비즈니스 사용이 없는 경우 진정한 긍정이 표시됩니다.

    권장 조치:

    • 이 앱에 동의한 사용자 및 관리자에게 문의하여 의도적이고 과도한 권한이 정상인지 확인합니다.
    • 앱 활동을 조사하고 의심스러운 활동에 대해 영향을 받는 계정을 검사.
    • 조사에 따라 앱을 사용하지 않도록 설정하고 영향을 받는 모든 계정에 대한 암호를 일시 중단 및 재설정합니다.
    • 경고를 진정한 긍정으로 분류합니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 가양성으로 분류하고 경고 조사에 따라 피드백을 공유하는 것이 좋습니다.

위반 범위 이해

사용자 및 관리자가 만든 애플리케이션에 대한 동의 부여를 검토합니다. 앱에서 수행하는 모든 활동, 특히 연결된 사용자 및 관리자 계정의 사서함에 대한 액세스를 조사합니다. 앱이 의심스러운 것으로 의심되는 경우 애플리케이션을 사용하지 않도록 설정하거나 영향을 받는 모든 계정의 자격 증명을 회전하는 것이 좋습니다.

심각도: 보통

이 경고는 사서함 설정을 변경하고 전자 메일에 액세스할 수 있는 권한이 있는 비교적 새로운 게시자 테넌트에 최근에 등록된 OAuth 앱을 식별합니다. 또한 앱의 글로벌 동의율이 상대적으로 낮은지 확인하고 동의한 사용자의 전자 메일에 액세스하기 위해 Microsoft Graph API를 여러 번 호출합니다. 이 경고를 트리거하는 앱은 의심하지 않는 사용자로부터 동의를 얻으려고 시도하는 원치 않거나 악의적인 앱일 수 있습니다.

TP 또는 FP?

  • TP: 앱에 대한 동의 요청이 알 수 없거나 외부 원본에서 전달되었으며 앱에 조직에서 합법적인 비즈니스 사용이 없는 경우 진정한 긍정이 표시됩니다.

    권장 조치:

    • 이 앱에 동의한 사용자 및 관리자에게 문의하여 의도적이고 과도한 권한이 정상인지 확인합니다.
    • 앱 활동을 조사하고 의심스러운 활동에 대해 영향을 받는 계정을 검사.
    • 조사에 따라 앱을 사용하지 않도록 설정하고 영향을 받는 모든 계정에 대한 암호를 일시 중단 및 재설정합니다.
    • 경고를 진정한 긍정으로 분류합니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있는 경우 가양성 표시가 표시됩니다.

    권장 작업: 경고를 가양성으로 분류하고 경고 조사에 따라 피드백을 공유하는 것이 좋습니다.

위반 범위 이해

사용자 및 관리자가 만든 애플리케이션에 대한 동의 부여를 검토합니다. 앱에서 수행하는 모든 활동, 특히 연결된 사용자 및 관리자 계정의 사서함에 대한 액세스를 조사합니다. 앱이 의심스러운 것으로 의심되는 경우 애플리케이션을 사용하지 않도록 설정하거나 영향을 받는 모든 계정의 자격 증명을 회전하는 것이 좋습니다.

수많은 전자 메일을 보내는 메일 권한이 있는 의심스러운 앱

심각도: 보통

이 경고는 짧은 기간 내에 이메일을 보내기 위해 Microsoft Graph API를 여러 번 호출한 다중 테넌트 OAuth 앱을 찾습니다. 또한 API 호출로 인해 오류가 발생했는지 여부와 전자 메일 보내기 시도 실패 여부도 확인합니다. 이 경고를 트리거하는 앱은 스팸 또는 악성 전자 메일을 다른 대상에 적극적으로 보낼 수 있습니다.

TP 또는 FP?

  • TP: 앱에 대한 동의 요청이 알 수 없거나 외부 원본에서 전달되었으며 앱에 조직에서 합법적인 비즈니스 사용이 없는 경우 진정한 긍정이 표시됩니다.

    권장 조치:

    • 이 앱에 동의한 사용자 및 관리자에게 문의하여 의도적이고 과도한 권한이 정상인지 확인합니다.
    • 앱 활동을 조사하고 의심스러운 활동에 대해 영향을 받는 계정을 검사.
    • 조사에 따라 앱을 사용하지 않도록 설정하고 영향을 받는 모든 계정에 대한 암호를 일시 중단 및 재설정합니다.
    • 경고를 진정한 긍정으로 분류합니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있는 경우 가양성 표시가 표시됩니다.

    권장 작업: 경고를 가양성으로 분류하고 경고 조사에 따라 피드백을 공유하는 것이 좋습니다.

위반 범위 이해

사용자 및 관리자가 만든 애플리케이션에 대한 동의 부여를 검토합니다. 앱에서 수행하는 모든 활동, 특히 연결된 사용자 및 관리자 계정의 사서함에 대한 액세스를 조사합니다. 앱이 의심스러운 것으로 의심되는 경우 애플리케이션을 사용하지 않도록 설정하거나 영향을 받는 모든 계정의 자격 증명을 회전하는 것이 좋습니다.

수많은 이메일을 보내는 데 사용되는 의심스러운 OAuth 앱

심각도: 보통

이 경고는 짧은 기간 내에 이메일을 보내기 위해 Microsoft Graph API를 여러 번 호출한 OAuth 앱을 나타냅니다. 앱의 게시자 테넌트는 유사한 Microsoft Graph API 호출을 하는 많은 양의 OAuth 앱을 생성하는 것으로 알려져 있습니다. 공격자가 이 앱을 적극적으로 사용하여 스팸 또는 악성 이메일을 대상에 보낼 수 있습니다.

TP 또는 FP?

  • TP: 앱에 대한 동의 요청이 알 수 없거나 외부 원본에서 전달되었으며 앱에 조직에서 합법적인 비즈니스 사용이 없는 경우 진정한 긍정이 표시됩니다.

    권장 조치:

    • 이 앱에 동의한 사용자 및 관리자에게 문의하여 의도적이고 과도한 권한이 정상인지 확인합니다.
    • 앱 활동을 조사하고 의심스러운 활동에 대해 영향을 받는 계정을 검사.
    • 조사에 따라 앱을 사용하지 않도록 설정하고 영향을 받는 모든 계정에 대한 암호를 일시 중단 및 재설정합니다.
    • 경고를 진정한 긍정으로 분류합니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있는 경우 가양성 표시가 표시됩니다.

    권장 작업: 경고를 가양성으로 분류하고 경고 조사에 따라 피드백을 공유하는 것이 좋습니다.

위반 범위 이해

사용자 및 관리자가 만든 애플리케이션에 대한 동의 부여를 검토합니다. 앱에서 수행하는 모든 활동, 특히 연결된 사용자 및 관리자 계정의 사서함에 대한 액세스를 조사합니다. 앱이 의심스러운 것으로 의심되는 경우 애플리케이션을 사용하지 않도록 설정하거나 영향을 받는 모든 계정의 자격 증명을 회전하는 것이 좋습니다.

지속성 경고

이 섹션에서는 악의적인 행위자가 조직에서 자신의 발판을 기본 하려고 할 수 있음을 나타내는 경고에 대해 설명합니다.

앱이 인증서 업데이트 또는 새 자격 증명 추가 후 Exchange 워크로드에 비정상적인 그래프 호출을 했습니다.

심각도: 보통

MITRE ID: T1098.001, T1114

이 검색은 LOB(기간 업무) 앱이 인증서/비밀을 업데이트하거나 새 자격 증명을 추가한 후 며칠 내에 인증서 업데이트 또는 새 자격 증명 추가, 관찰된 비정상적인 활동 또는 기계 학습 알고리즘을 사용하여 Graph API를 통해 Exchange 워크로드에 대용량 사용을 관찰할 때 경고를 트리거합니다.

TP 또는 FP?

  • TP: Graph API를 통해 LOB 앱에서 Exchange 워크로드에 대한 비정상적인 작업/대용량 사용이 수행되었는지 확인할 수 있는 경우

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 다시 설정한 다음, 앱을 다시 사용하도록 설정합니다.

  • FP: LOB 앱 또는 앱에서 비정상적인 활동이 수행되지 않은 것을 확인할 수 있는 경우 비정상적으로 많은 양의 그래프 호출을 수행합니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 이 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에서 부여한 범위를 검토합니다.
  3. 이 앱과 연결된 사용자 활동을 검토합니다.

의심스러운 OAuth 범위가 있는 앱은 Machine Learning 모델에 의해 위험성이 높은 플래그가 지정되고, 전자 메일을 읽기 위해 그래프를 호출하고, 받은 편지함 규칙을 만들었습니다.

심각도: 보통

MITRE ID: T1137.005, T1114

이 검색은 의심스러운 범위에 동의하고, 의심스러운 받은 편지함 규칙을 만든 다음, Graph API를 통해 사용자에게 메일 폴더 및 메시지에 액세스한 Machine Learning 모델에서 위험 수준이 높은 플래그가 지정된 OAuth 앱 식별합니다. 전체 또는 특정 전자 메일을 다른 전자 메일 계정으로 전달하는 것과 같은 받은 편지함 규칙 및 전자 메일에 액세스하고 다른 전자 메일 계정으로 보내기 위한 Graph 호출은 조직에서 정보를 유출하려는 시도일 수 있습니다.

TP 또는 FP?

  • TP: 알 수 없는 원본에서 전달된 의심스러운 범위가 있는 OAuth 타사 앱에서 받은 편지함 규칙이 만들어졌는지 확인할 수 있는 경우 진정한 긍정이 검색됩니다.

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 다시 설정하고, 받은 편지함 규칙을 제거합니다.

Microsoft Entra ID를 사용하여 암호를 재설정하는 방법에 대한 자습서를 따르고 받은 편지함 규칙을 제거하는 방법에 대한 자습서를 따릅니다.

  • FP: 앱이 합법적인 이유로 새 또는 개인 외부 전자 메일 계정에 받은 편지함 규칙을 만들었는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 앱에서 수행한 모든 활동을 검토합니다.
  2. 앱에서 부여한 범위를 검토합니다.
  3. 앱에서 만든 받은 편지함 규칙 작업 및 조건을 검토합니다.

의심스러운 OAuth 범위가 있는 앱은 전자 메일을 읽기 위해 그래프를 호출하고 받은 편지함 규칙을 만들었습니다.

심각도: 보통

MITRE ID: T1137.005, T1114

이 검색은 의심스러운 범위에 동의한 OAuth 앱 식별하고, 의심스러운 받은 편지함 규칙을 만든 다음, Graph API를 통해 사용자에게 메일 폴더 및 메시지에 액세스합니다. 전체 또는 특정 전자 메일을 다른 전자 메일 계정으로 전달하는 것과 같은 받은 편지함 규칙 및 전자 메일에 액세스하고 다른 전자 메일 계정으로 보내기 위한 Graph 호출은 조직에서 정보를 유출하려는 시도일 수 있습니다.

TP 또는 FP?

  • TP: 알 수 없는 원본에서 전달된 의심스러운 범위가 있는 OAuth 타사 앱에서 받은 편지함 규칙이 만들어졌는지 확인할 수 있는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 다시 설정하고, 받은 편지함 규칙을 제거합니다.

    Microsoft Entra ID를 사용하여 암호를 재설정하는 방법에 대한 자습서를 따르고 받은 편지함 규칙을 제거하는 방법에 대한 자습서를 따릅니다.

  • FP: 앱이 합법적인 이유로 새 또는 개인 외부 전자 메일 계정에 받은 편지함 규칙을 만들었는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 앱에서 수행한 모든 활동을 검토합니다.
  2. 앱에서 부여한 범위를 검토합니다.
  3. 앱에서 만든 받은 편지함 규칙 작업 및 조건을 검토합니다.

인증서 업데이트 후 비정상적인 위치에서 액세스한 앱

심각도: 낮음

MITRE ID: T1098

이 검색은 LOB(기간 업무) 앱이 인증서/비밀을 업데이트하고 몇 일 이내에 인증서 업데이트 후 최근에 보지 못했거나 과거에 액세스하지 않은 비정상적인 위치에서 앱에 액세스할 때 경고를 트리거합니다.

TP 또는 FP?

  • TP: LOB 앱이 비정상적인 위치에서 액세스하고 Graph API를 통해 비정상적인 활동을 수행했는지 확인할 수 있는 경우

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 다시 설정한 다음, 앱을 다시 사용하도록 설정합니다.

  • FP: LOB 앱이 합법적인 목적으로 비정상적인 위치에서 액세스하고 비정상적인 활동이 수행되지 않는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 이 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에서 부여한 범위를 검토합니다.
  3. 이 앱과 연결된 사용자 활동을 검토합니다.

비정상적인 위치에서 액세스한 앱이 비정상적인 Graph 호출 후 인증서 업데이트

심각도: 보통

MITRE ID: T1098

이 검색은 LOB(기간 업무) 앱이 인증서/비밀을 업데이트하고 인증서 업데이트 후 며칠 이내에 앱이 최근에 보지 못했거나 과거에 액세스한 적이 없는 비정상적인 위치에서 액세스하고 기계 학습 알고리즘을 사용하여 Graph API를 통해 비정상적인 활동 또는 사용을 관찰할 때 경고를 트리거합니다.

TP 또는 FP?

  • TP: 비정상적인 위치에서 Graph API를 통해 LOB 앱에서 비정상적인 활동/사용이 수행되었는지 확인할 수 있는 경우

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 다시 설정한 다음, 앱을 다시 사용하도록 설정합니다.

  • FP: LOB 앱이 합법적인 목적으로 비정상적인 위치에서 액세스하고 비정상적인 활동이 수행되지 않는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 이 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에서 부여한 범위를 검토합니다.
  3. 이 앱과 연결된 사용자 활동을 검토합니다.

최근에 만든 앱에는 많은 양의 철회된 동의가 있습니다.

심각도: 보통

MITRE ID: T1566, T1098

몇몇 사용자가 최근에 만든 LOB(기간 업무) 또는 타사 앱에 대한 동의를 취소했습니다. 이 앱은 사용자가 실수로 동의를 제공하게 했을 수 있습니다.

TP 또는 FP?

  • TP: OAuth 앱이 알 수 없는 원본에서 배달되고 앱 동작이 의심스러운지 확인할 수 있는 경우 

    권장 작업: 앱에 부여된 동의를 취소하고 앱을 사용하지 않도록 설정합니다. 

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 사용이 있고 앱에서 비정상적인 활동이 수행되지 않은 것을 확인할 수 있습니다.

    권장 작업: 경고 해제

위반 범위 이해

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱이 의심스럽다고 의심되는 경우 다른 앱 스토어에서 앱의 이름 및 회신을 조사하는 것이 좋습니다기본. 앱 저장소를 검사 경우 다음 유형의 앱에 집중합니다.
    • 최근에 만든 앱
    • 비정상적인 표시 이름을 가진 앱
    • 의심스러운 회신이 있는 앱은 수행합니다기본
  3. 앱이 여전히 의심스러운 것으로 의심되는 경우 앱 표시 이름을 조사하여 회신할 수 있습니다기본.

알려진 피싱 캠페인과 관련된 앱 메타데이터

심각도: 보통

이 검색은 이전에 피싱 캠페인과 연결된 앱에서 관찰된 메타데이터(예: 이름, URL 또는 게시자)를 사용하여 타사 OAuth 앱에 대한 경고를 생성합니다. 이러한 앱은 동일한 캠페인의 일부일 수 있으며 중요한 정보의 반출에 관여할 수 있습니다.

TP 또는 FP?

  • TP: OAuth 앱이 알 수 없는 원본에서 배달되고 비정상적인 활동을 수행하고 있는지 확인할 수 있는 경우

    권장 조치:

    • 앱 거버넌스에 대한 앱의 등록 세부 정보를 조사하고 자세한 내용은 Microsoft Entra ID를 방문하세요.
    • 앱에 동의 또는 권한을 부여한 사용자 또는 관리자에게 문의합니다. 변경 내용이 의도적인지 확인합니다.
    • CloudAppEvents 고급 헌팅 테이블을 검색하여 앱 활동을 이해하고 관찰된 동작이 예상되는지 확인합니다.
    • 포함 작업을 고려하기 전에 앱이 조직에 중요한지 확인합니다. 앱 거버넌스 또는 Microsoft Entra ID를 사용하여 앱을 비활성화하여 리소스에 액세스하지 못하도록 합니다. 기존 앱 거버넌스 정책이 이미 앱을 비활성화했을 수 있습니다.

  • FP: 앱에서 비정상적인 활동이 수행되지 않았으며 앱이 조직에서 합법적인 비즈니스 사용을 하고 있는지 확인할 수 있는 경우

    권장 작업: 경고 해제

위반 범위 이해

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에 부여된 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

이전에 플래그가 지정된 의심스러운 앱과 연결된 앱 메타데이터

심각도: 보통

이 검색은 의심스러운 활동으로 인해 앱 거버넌스에 의해 플래그가 지정된 앱에서 이전에 관찰된 메타데이터(예: 이름, URL 또는 게시자)를 사용하여 타사 OAuth 앱에 대한 경고를 생성합니다. 이 앱은 공격 캠페인의 일부일 수 있으며 중요한 정보의 반출에 관여할 수 있습니다.

TP 또는 FP?

  • TP: OAuth 앱이 알 수 없는 원본에서 배달되고 비정상적인 활동을 수행하고 있는지 확인할 수 있는 경우

    권장 조치:

    • 앱 거버넌스에 대한 앱의 등록 세부 정보를 조사하고 자세한 내용은 Microsoft Entra ID를 방문하세요.
    • 앱에 동의 또는 권한을 부여한 사용자 또는 관리자에게 문의합니다. 변경 내용이 의도적인지 확인합니다.
    • CloudAppEvents 고급 헌팅 테이블을 검색하여 앱 활동을 이해하고 관찰된 동작이 예상되는지 확인합니다.
    • 포함 작업을 고려하기 전에 앱이 조직에 중요한지 확인합니다. 앱 거버넌스 또는 Microsoft Entra ID를 사용하여 앱을 비활성화하여 리소스에 액세스하지 못하도록 합니다. 기존 앱 거버넌스 정책이 이미 앱을 비활성화했을 수 있습니다.

  • FP: 앱에서 비정상적인 활동이 수행되지 않았으며 앱이 조직에서 합법적인 비즈니스 사용을 하고 있는지 확인할 수 있는 경우

    권장 작업: 경고 해제

위반 범위 이해

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에 부여된 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

Graph API를 통한 의심스러운 OAuth 앱 이메일 활동

심각도: 높음

이 검색은 위험 수준이 높은 로그인 사용자가 등록한 다중 테넌트 OAuth 앱에 대한 경고를 생성하며, 짧은 기간 내에 의심스러운 전자 메일 활동을 수행하기 위해 Microsoft Graph API를 호출했습니다.

이 검색은 사서함 규칙 만들기, 회신 전자 메일 만들기, 전자 메일 전달, 회신 또는 전송 중인 새 전자 메일에 대한 API 호출이 수행되었는지 여부를 확인합니다. 이 경고를 트리거하는 앱은 스팸 또는 악성 전자 메일을 다른 대상에 적극적으로 보내거나 기밀 데이터를 유출하고 추적을 지워 검색을 회피할 수 있습니다.

TP 또는 FP?

  • TP: 앱에 대한 앱 만들기 및 동의 요청이 알 수 없거나 외부 원본에서 전달되었으며 앱에 조직에서 합법적인 비즈니스 사용이 없는 경우 진정한 긍정이 표시됩니다.

    권장 조치:

    • 이 앱에 동의한 사용자 및 관리자에게 문의하여 의도적이고 과도한 권한이 정상인지 확인합니다.

    • 앱 활동을 조사하고 의심스러운 활동에 대해 영향을 받는 계정을 검사.

    • 조사에 따라 앱을 사용하지 않도록 설정하고 영향을 받는 모든 계정에 대한 암호를 일시 중단 및 재설정하고 받은 편지함 규칙을 제거합니다.

    • 경고를 진정한 긍정으로 분류합니다.

  • FP: 조사 후에 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있는 경우 가양성 표시가 표시됩니다.

    권장 조치:

    • 경고를 가양성으로 분류하고 경고 조사에 따라 피드백을 공유하는 것이 좋습니다.

    • 위반의 범위를 이해합니다.

      사용자 및 관리자가 만든 애플리케이션에 대한 동의 부여를 검토합니다. 앱에서 수행하는 모든 활동, 특히 연결된 사용자 및 관리자 계정의 사서함에 대한 액세스를 조사합니다. 앱이 의심스러운 것으로 의심되는 경우 애플리케이션을 사용하지 않도록 설정하거나 영향을 받는 모든 계정의 자격 증명을 회전하는 것이 좋습니다.

EWS API를 통한 의심스러운 OAuth 앱 이메일 활동

심각도: 높음

이 검색은 위험성이 높은 로그인을 사용하여 사용자가 등록한 다중 테넌트 OAuth 앱에 대한 경고를 생성하며, 짧은 기간 내에 의심스러운 전자 메일 작업을 수행하기 위해 Microsoft EWS(Exchange Web Services) API를 호출했습니다.

이 검색은 받은 편지함 규칙을 업데이트하거나, 항목을 이동하거나, 전자 메일을 삭제하거나, 폴더를 삭제하거나, 첨부 파일을 삭제하기 위해 API 호출이 수행되었는지 여부를 확인합니다. 이 경고를 트리거하는 앱은 기밀 데이터를 적극적으로 내보내거나 삭제하고 검색을 회피하기 위해 트랙을 지울 수 있습니다.

TP 또는 FP?

  • TP: 앱에 대한 앱 만들기 및 동의 요청이 알 수 없거나 외부 원본에서 전달되었으며 앱에 조직에서 합법적인 비즈니스 사용이 없는 경우 진정한 긍정이 표시됩니다.

    권장 조치:

    • 이 앱에 동의한 사용자 및 관리자에게 문의하여 의도적이고 과도한 권한이 정상인지 확인합니다.

    • 앱 활동을 조사하고 의심스러운 활동에 대해 영향을 받는 계정을 검사.

    • 조사에 따라 앱을 사용하지 않도록 설정하고 영향을 받는 모든 계정에 대한 암호를 일시 중단 및 재설정하고 받은 편지함 규칙을 제거합니다.

    • 경고를 진정한 긍정으로 분류합니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있는 경우 가양성 표시가 표시됩니다.

    권장 작업:

    • 경고를 가양성으로 분류하고 경고 조사에 따라 피드백을 공유하는 것이 좋습니다.

    • 위반의 범위를 이해합니다.

      사용자 및 관리자가 만든 애플리케이션에 대한 동의 부여를 검토합니다. 앱에서 수행하는 모든 활동, 특히 연결된 사용자 및 관리자 계정의 사서함에 대한 액세스를 조사합니다. 앱이 의심스러운 것으로 의심되는 경우 애플리케이션을 사용하지 않도록 설정하거나 영향을 받는 모든 계정의 자격 증명을 회전하는 것이 좋습니다.

권한 상승 경고

의심스러운 메타데이터가 있는 OAuth 앱에 Exchange 권한이 있습니다.

심각도: 보통

MITRE ID: T1078

이 경고는 의심스러운 메타데이터가 있는 기간 업무 앱이 Exchange에 대한 사용 권한을 관리할 수 있는 권한이 있는 경우 트리거됩니다.

TP 또는 FP?

  • TP: OAuth 앱이 알 수 없는 원본에서 배달되고 의심스러운 메타데이터 특성이 있는지 확인할 수 있는 경우 진정한 긍정이 표시됩니다.

권장 작업: 앱에 부여된 동의를 취소하고 앱을 사용하지 않도록 설정합니다.

FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

권장 작업: 경고 해제

위반 범위 이해

  1. 앱에서 수행한 모든 활동을 검토합니다.
  2. 앱에서 부여한 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

방어 회피 경고

심각도: 보통

Microsoft가 아닌 클라우드 앱은 기계 학습 알고리즘에서 Microsoft 로고와 유사한 로고를 사용하고 있습니다. 이는 Microsoft 소프트웨어 제품을 가장하고 합법적인 것으로 보이려는 시도일 수 있습니다.

참고 항목

테넌트 관리자는 팝업을 통해 필요한 데이터를 현재 규정 준수 경계 외부로 보내고 Microsoft 내에서 파트너 팀을 선택하여 LOB(기간 업무) 앱에 대해 이 위협 탐지를 사용하도록 설정하기 위해 동의를 제공해야 합니다.

TP 또는 FP?

  • TP: 앱 로고가 Microsoft 로고를 모방하고 앱 동작이 의심스럽다는 것을 확인할 수 있는 경우 

    권장 작업: 앱에 부여된 동의를 취소하고 앱을 사용하지 않도록 설정합니다.

  • FP: 앱 로고가 Microsoft 로고의 모방이 아니거나 앱에서 비정상적인 활동이 수행되지 않은 것을 확인할 수 있는 경우 

    권장 작업: 경고 해제

위반 범위 이해

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에 부여된 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

앱은 오타가 있는 do와 연결됩니다기본

심각도: 보통

이 검색은 Microsoft 브랜드 이름의 오타가 있는 버전을 포함하는 게시자 do기본s 또는 리디렉션 URL을 사용하는 비 Microsoft OAuth 앱에 대한 경고를 생성합니다. 오타 제곱은 일반적으로 사용자가 실수로 URL을 잘못 입력할 때마다 사이트로 트래픽을 캡처하는 데 사용되지만 인기 있는 소프트웨어 제품 및 서비스를 가장하는 데 사용할 수도 있습니다.

TP 또는 FP?

  • TP: 게시자가 앱의 URL을 기본 또는 리디렉션하는 것을 확인할 수 있는 경우 오타가 있으며 앱의 실제 ID와 관련이 없습니다.

    권장 조치:

    • 앱 거버넌스에 대한 앱의 등록 세부 정보를 조사하고 자세한 내용은 Microsoft Entra ID를 방문하세요.
    • 앱에서 스푸핑 또는 가장의 다른 징후와 의심스러운 활동을 확인합니다.
    • 포함 작업을 고려하기 전에 앱이 조직에 중요한지 확인합니다. 앱 거버넌스를 사용하여 앱이 리소스에 액세스하지 못하도록 앱을 비활성화합니다. 기존 앱 거버넌스 정책이 이미 앱을 비활성화했을 수 있습니다.

  • FP: 게시자가 앱의 URL을 기본 및 리디렉션하는 것이 합법적인지 확인할 수 있습니다. 

    권장 작업: 경고를 가양성으로 분류하고 경고 조사에 따라 피드백을 공유하는 것이 좋습니다.

위반 범위 이해

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에 부여된 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

자격 증명 액세스

이 섹션에서는 악의적인 행위자가 중요한 자격 증명 데이터를 읽으려고 할 수 있음을 나타내는 경고를 설명하고 조직의 계정 이름, 비밀, 토큰, 인증서 및 암호와 같은 자격 증명을 도용하는 기술로 구성됩니다.

실패한 여러 KeyVault 읽기 작업을 시작하는 애플리케이션이 성공하지 않음

심각도: 보통

MITRE ID: T1078.004

이 검색은 짧은 간격으로 Azure Resource Manager API를 사용하여 KeyVault에 대한 여러 읽기 작업을 호출하는 것으로 관찰된 테넌트의 애플리케이션을 식별하며, 오류만 있고 성공적인 읽기 작업이 완료되지 않습니다.

TP 또는 FP?

  • TP: 앱을 알 수 없거나 사용하지 않는 경우 지정된 활동이 잠재적으로 의심스럽습니다. 사용 중인 Azure 리소스를 확인하고 테넌트에서 앱 사용의 유효성을 검사한 후 지정된 활동에서 앱을 사용하지 않도록 설정해야 할 수 있습니다. 이는 일반적으로 횡적 이동 또는 권한 상승에 대한 자격 증명에 액세스하기 위해 KeyVault 리소스에 대해 의심되는 열거 활동의 증거입니다.

    권장 작업: 애플리케이션에서 액세스하거나 만든 Azure 리소스와 애플리케이션에 대한 최근 변경 내용을 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지할지 여부를 선택합니다. 이 앱에서 요청한 권한 수준과 액세스 권한을 부여한 사용자를 검토합니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 앱의 액세스 및 활동을 검토합니다.
  2. 만든 이후 앱에서 수행한 모든 활동을 검토합니다.
  3. Graph API에서 앱이 부여한 범위와 구독에서 부여된 역할을 검토합니다.
  4. 활동 전에 앱에 액세스했을 수 있는 사용자를 검토합니다.

검색 경고

앱 수행 드라이브 열거형

심각도: 보통

MITRE ID: T1087

이 검색은 Graph API를 사용하여 OneDrive 파일에서 열거를 수행하는 Machine Learning 모델에서 검색된 OAuth 앱을 식별합니다.

TP 또는 FP?

  • TP: OneDrive에 대한 비정상적인 활동/사용이 Graph API를 통해 LOB 앱에서 수행되었는지 확인할 수 있는 경우

    권장 작업: 앱을 사용하지 않도록 설정하고 제거하고 암호를 다시 설정합니다.

  • FP: 앱에서 비정상적인 활동이 수행되지 않은 것을 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 이 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에서 부여한 범위를 검토합니다.
  3. 이 앱과 연결된 사용자 활동을 검토합니다.

Microsoft Graph PowerShell을 사용하여 수행된 의심스러운 열거형 활동

심각도: 보통

MITRE ID: T1087

이 검색은 Microsoft Graph PowerShell 애플리케이션을 통해 짧은 시간 내에 수행되는 많은 양의 의심스러운 열거형 활동을 식별합니다.

TP 또는 FP?

  • TP: Microsoft Graph PowerShell 애플리케이션에서 의심스러운/비정상적인 열거 작업이 수행되었는지 확인할 수 있는 경우

    권장 작업: 애플리케이션을 사용하지 않도록 설정 및 제거하고 암호를 다시 설정합니다.

  • FP: 애플리케이션에서 비정상적인 활동이 수행되지 않은 것을 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 이 애플리케이션에서 수행하는 모든 활동을 검토합니다.
  2. 이 애플리케이션과 연결된 사용자 활동을 검토합니다.

최근에 만든 다중 테넌트 애플리케이션은 사용자 정보를 자주 열거합니다.

심각도: 보통

MITRE ID: T1087

이 경고는 사서함 설정을 변경하고 전자 메일에 액세스할 수 있는 권한이 있는 비교적 새로운 게시자 테넌트에 최근에 등록된 OAuth 앱을 찾습니다. 앱이 사용자 디렉터리 정보를 요청하는 Microsoft Graph API를 여러 번 호출했는지 여부를 확인합니다. 이 경고를 트리거하는 앱은 사용자가 조직 데이터에 액세스할 수 있도록 동의를 부여하게 할 수 있습니다.

TP 또는 FP?

  • TP: 앱에 대한 동의 요청이 알 수 없거나 외부 원본에서 전달되었으며 앱에 조직에서 합법적인 비즈니스 사용이 없는 경우 진정한 긍정이 표시됩니다.

    권장 조치:

    • 이 앱에 동의한 사용자 및 관리자에게 문의하여 의도적이고 과도한 권한이 정상인지 확인합니다.
    • 앱 활동을 조사하고 의심스러운 활동에 대해 영향을 받는 계정을 검사.
    • 조사에 따라 앱을 사용하지 않도록 설정하고 영향을 받는 모든 계정에 대한 암호를 일시 중단 및 재설정합니다.
    • 경고를 진정한 긍정으로 분류합니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있는 경우 가양성 표시가 표시됩니다.

    권장 작업: 경고를 가양성으로 분류하고 경고 조사에 따라 피드백을 공유하는 것이 좋습니다.

위반 범위 이해

사용자 및 관리자가 만든 애플리케이션에 대한 동의 부여를 검토합니다. 앱에서 수행하는 모든 활동, 특히 사용자 디렉터리 정보의 열거형을 조사합니다. 앱이 의심스러운 것으로 의심되는 경우 애플리케이션을 사용하지 않도록 설정하거나 영향을 받는 모든 계정의 자격 증명을 회전하는 것이 좋습니다.

반출 경고

이 섹션에서는 악의적인 행위자가 조직의 목표에 대한 관심 있는 데이터를 도용하려고 할 수 있음을 나타내는 경고를 설명합니다.

비정상적인 사용자 에이전트를 사용하는 OAuth 앱

심각도: 낮음

MITRE ID: T1567

이 검색은 비정상적인 사용자 에이전트를 사용하여 Graph API에 액세스하는 OAuth 애플리케이션을 식별합니다.

TP 또는 FP?

  • TP: OAuth 앱이 이전에 사용되지 않은 새 사용자 에이전트를 사용하기 시작했으며 이 변경이 예기치 않은 경우 진정한 긍정이 표시됩니다.

    권장 작업: 사용된 사용자 에이전트 및 애플리케이션에 대한 최근 변경 내용을 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청한 사용 권한 수준 및 액세스 권한을 부여한 사용자를 검토합니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 최근에 만든 앱과 사용된 사용자 에이전트를 검토합니다.
  2. 앱에서 수행한 모든 활동을 검토합니다. 
  3. 앱에서 부여한 범위를 검토합니다. 

비정상적인 사용자 에이전트가 Exchange Web Services를 통해 전자 메일 데이터에 액세스한 앱

심각도: 높음

MITRE ID: T1114, T1567

이 검색은 비정상적인 사용자 에이전트를 사용하여 Exchange 웹 서비스 API를 사용하여 전자 메일 데이터에 액세스하는 OAuth 앱을 식별합니다.

TP 또는 FP?

  • TP: OAuth 애플리케이션이 Exchange Web Services API에 대한 요청을 만드는 데 사용하는 사용자 에이전트를 변경할 것으로 예상되지 않는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 경고를 TP로 분류합니다. 조사에 따라 앱이 악의적인 경우 동의를 철회하고 테넌트에서 앱을 사용하지 않도록 설정할 수 있습니다. 손상된 앱인 경우 동의를 해지하고, 일시적으로 앱을 사용하지 않도록 설정하고, 사용 권한을 검토하고, 비밀 및 인증서를 다시 설정한 다음, 앱을 다시 사용하도록 설정할 수 있습니다.

  • FP: 조사 후 애플리케이션에서 사용하는 사용자 에이전트가 조직에서 합법적인 비즈니스 용도로 사용되는지 확인할 수 있습니다.

    권장 작업: 경고를 FP로 분류합니다. 또한 경고 조사에 따라 피드백을 공유하는 것이 좋습니다.

위반 범위 이해

  1. 애플리케이션이 새로 만들어졌거나 최근에 변경된 내용이 있는지 검토합니다.
  2. 애플리케이션에 부여된 권한 및 애플리케이션에 동의한 사용자를 검토합니다.
  3. 앱에서 수행한 모든 활동을 검토합니다.

횡적 이동 경고

이 섹션에서는 악의적인 행위자가 여러 시스템 및 계정을 피벗하면서 조직에서 더 많은 제어를 얻기 위해 여러 리소스 내에서 횡적으로 이동하려고 할 수 있음을 나타내는 경고를 설명합니다.

최근 ARM 워크로드에 액세스하는 것으로 보이는 MS Graph 또는 Exchange Web Services를 주로 사용하는 휴면 OAuth 앱

심각도: 보통

MITRE ID: T1078.004

이 검색은 오랜 기간의 휴면 작업 후에 처음으로 Azure Resource Manager API에 액세스하기 시작한 테넌트의 애플리케이션을 식별합니다. 이전에는 이 애플리케이션이 대부분 MS Graph 또는 Exchange 웹 서비스를 사용했습니다.

TP 또는 FP?

  • TP: 앱을 알 수 없거나 사용하지 않는 경우 지정된 활동이 잠재적으로 의심스럽고 사용 중인 Azure 리소스를 확인하고 테넌트에서 앱 사용의 유효성을 검사한 후 앱을 사용하지 않도록 설정해야 할 수 있습니다.

    권장 작업은 다음과 같습니다.

    1. 애플리케이션에서 액세스하거나 만든 Azure 리소스와 애플리케이션에 대한 최근 변경 내용을 검토합니다.
    2. 이 앱에서 요청한 사용 권한 수준 및 액세스 권한을 부여한 사용자를 검토합니다.
    3. 조사에 따라 이 앱에 대한 액세스를 금지할지 여부를 선택합니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 앱의 액세스 및 활동을 검토합니다.
  2. 만든 이후 앱에서 수행한 모든 활동을 검토합니다.
  3. Graph API에서 앱이 부여한 범위와 구독에서 부여된 역할을 검토합니다.
  4. 활동 전에 앱에 액세스했을 수 있는 사용자를 검토합니다.

컬렉션 경고

이 섹션에서는 악의적인 행위자가 조직에서 해당 목표에 대한 관심 있는 데이터를 수집하려고 할 수 있음을 나타내는 경고를 설명합니다.

앱에서 비정상적인 전자 메일 검색 활동을 수행했습니다.

심각도: 보통

MITRE ID: T1114

이 검색은 앱이 의심스러운 OAuth 범위에 동의하고 Graph API를 통해 특정 콘텐츠에 대한 전자 메일 검색과 같은 비정상적인 전자 메일 검색 활동을 대량으로 수행한 경우를 식별합니다. 이는 Graph API를 통해 조직에서 특정 전자 메일을 검색하고 읽으려는 악의적 사용자와 같은 조직의 위반 시도를 나타낼 수 있습니다. 

TP 또는 FP?

  • TP: 의심스러운 OAuth 범위가 있는 OAuth 앱에서 Graph API를 통해 비정상적인 전자 메일 검색 및 읽기 활동을 대량으로 확인할 수 있고 앱을 알 수 없는 원본에서 배달할 수 있는 경우

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 다시 설정하고, 받은 편지함 규칙을 제거합니다. 

  • FP: 앱이 비정상적인 전자 메일 검색을 대량으로 수행하고 합법적인 이유로 Graph API를 통해 읽었는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 앱에서 부여한 범위를 검토합니다.
  2. 앱에서 수행한 모든 활동을 검토합니다. 

앱이 전자 메일을 읽기 위해 비정상적인 그래프 호출을 했습니다.

심각도: 보통

MITRE ID: T1114

이 검색은 LOB(기간 업무) OAuth 앱 Graph API를 통해 비정상적이고 많은 양의 사용자 메일 폴더 및 메시지에 액세스하는 경우를 식별합니다. 이는 조직의 위반 시도를 나타낼 수 있습니다.

TP 또는 FP?

  • TP: LOB(기간 업무) OAuth 앱 비정상적인 그래프 활동이 수행되었는지 확인할 수 있는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 다시 설정한 다음, 앱을 다시 사용하도록 설정합니다. Microsoft Entra ID를 사용하여 암호를 재설정하는 방법에 대한 자습서를 따릅니다.

  • FP: 앱이 비정상적으로 많은 양의 그래프 호출을 수행하도록 의도되었는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 이 앱에서 수행하는 이벤트에 대한 활동 로그를 검토하여 다른 Graph 활동을 더 잘 이해하여 전자 메일을 읽고 사용자에게 중요한 전자 메일 정보를 수집하려고 시도합니다.
  2. 앱에 추가되는 예기치 않은 자격 증명을 모니터링합니다.

앱은 받은 편지함 규칙을 만들고 비정상적인 전자 메일 검색 작업을 수행합니다.

심각도: 보통

MITRE ID: T1137, T1114

이 검색은 높은 권한 범위에 동의한 앱을 식별하고, 의심스러운 받은 편지함 규칙을 만들고, Graph API를 통해 사용자 메일 폴더에서 비정상적인 전자 메일 검색 활동을 수행합니다. 이는 Graph API를 통해 조직에서 특정 전자 메일을 검색하고 수집하려는 악의적 사용자와 같은 조직의 위반 시도를 나타낼 수 있습니다.

TP 또는 FP?

  • TP: 높은 권한 범위를 가진 OAuth 앱에서 Graph API를 통해 수행된 특정 전자 메일 검색 및 컬렉션을 확인할 수 있고 앱을 알 수 없는 원본에서 배달하는 경우

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 다시 설정하고, 받은 편지함 규칙을 제거합니다.

  • FP: 앱이 Graph API를 통해 특정 전자 메일 검색 및 수집을 수행하고 합법적인 이유로 새 또는 개인 외부 전자 메일 계정에 받은 편지함 규칙을 만들었는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 앱에서 수행한 모든 활동을 검토합니다.
  2. 앱에서 부여한 범위를 검토합니다.
  3. 앱에서 만든 받은 편지함 규칙 작업을 검토합니다.
  4. 앱에서 수행한 전자 메일 검색 활동을 검토합니다.

앱에서 OneDrive/SharePoint 검색 작업을 수행하고 받은 편지함 규칙을 만들었습니다.

심각도: 보통

MITRE ID: T1137, T1213

이 검색은 앱이 높은 권한 범위에 동의하고, 의심스러운 받은 편지함 규칙을 만들고, Graph API를 통해 비정상적인 SharePoint 또는 OneDrive 검색 활동을 수행했음을 식별합니다. 이는 Graph API를 통해 SharePoint 또는 OneDrive에서 특정 데이터를 검색하고 수집하려는 악의적 사용자와 같이 조직의 위반 시도를 나타낼 수 있습니다. 

TP 또는 FP?

  • TP: 권한이 높은 OAuth 앱에서 Graph API를 통해 수행된 SharePoint 또는 OneDrive 검색 및 컬렉션에서 특정 데이터를 확인할 수 있고 알 수 없는 원본에서 앱이 전달되는 경우 

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 다시 설정하고, 받은 편지함 규칙을 제거합니다. 

  • FP: 앱이 OAuth 앱의 Graph API를 통해 SharePoint 또는 OneDrive 검색 및 수집에서 특정 데이터를 수행했는지 확인할 수 있고 합법적인 이유로 새 또는 개인 외부 전자 메일 계정에 받은 편지함 규칙을 만들었습니다. 

    권장 작업: 경고 해제

위반 범위 이해

  1. 앱에서 수행한 모든 활동을 검토합니다. 
  2. 앱에서 부여한 범위를 검토합니다. 
  3. 앱에서 만든 받은 편지함 규칙 작업을 검토합니다. 
  4. 앱에서 수행한 SharePoint 또는 OneDrive 검색 활동을 검토합니다.

OneDrive에서 앱이 수많은 검색 및 편집을 했습니다.

심각도: 보통

MITRE ID: T1137, T1213

이 검색은 Graph API를 사용하여 OneDrive에서 많은 수의 검색 및 편집을 수행하는 높은 권한의 OAuth 앱을 식별합니다.

TP 또는 FP?

  • TP: Graph API를 통한 OneDrive 워크로드의 높은 사용이 OneDrive를 읽고 쓸 수 있는 높은 권한 권한을 가진 이 OAuth 애플리케이션에서 예상되지 않는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 조사에 따라 애플리케이션이 악의적인 경우 동의를 철회하고 테넌트에서 애플리케이션을 사용하지 않도록 설정할 수 있습니다. 손상된 애플리케이션인 경우 동의를 해지하고, 앱을 일시적으로 사용하지 않도록 설정하고, 필요한 권한을 검토하고, 암호를 다시 설정한 다음, 앱을 다시 사용하도록 설정할 수 있습니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해결하고 결과를 보고합니다.

위반 범위 이해

  1. 앱이 신뢰할 수 있는 원본에서 온 것인지 확인합니다.
  2. 애플리케이션이 새로 만들어졌는지 또는 최근에 변경되었는지 확인합니다.
  3. 애플리케이션에 부여된 권한 및 애플리케이션에 동의한 사용자를 검토합니다.
  4. 다른 모든 앱 활동을 조사합니다.

앱은 중요도 메일을 대량으로 읽고 받은 편지함 규칙을 만들었습니다.

심각도: 보통

MITRE ID: T1137, T1114

이 검색은 앱이 높은 권한 범위에 동의하고, 의심스러운 받은 편지함 규칙을 만들고, Graph API를 통해 많은 양의 중요한 메일 읽기 활동을 수행했음을 식별합니다. 이는 Graph API를 통해 조직에서 중요도가 높은 전자 메일을 읽으려는 악의적 사용자와 같은 조직의 위반 시도를 나타낼 수 있습니다. 

TP 또는 FP?

  • TP: 높은 권한 범위를 가진 OAuth 앱에서 Graph API를 통해 읽은 중요한 전자 메일의 양이 많고 알 수 없는 원본에서 앱이 배달되는지 확인할 수 있는 경우 

    권장 작업: 앱을 사용하지 않도록 설정 및 제거하고, 암호를 다시 설정하고, 받은 편지함 규칙을 제거합니다. 

  • FP: 앱이 Graph API를 통해 읽은 중요한 전자 메일을 대량으로 수행하고 합법적인 이유로 새 또는 개인 외부 전자 메일 계정에 받은 편지함 규칙을 만들었는지 확인할 수 있는 경우 

    권장 작업: 경고 해제

위반 범위 이해

  1. 앱에서 수행한 모든 활동을 검토합니다. 
  2. 앱에서 부여한 범위를 검토합니다. 
  3. 앱에서 만든 받은 편지함 규칙 작업을 검토합니다. 
  4. 앱에서 수행하는 중요도 높은 전자 메일 읽기 작업을 검토합니다.

권한 있는 앱이 Teams에서 비정상적인 활동을 수행했습니다.

심각도: 보통

이 검색은 높은 권한 OAuth 범위에 동의하고, Microsoft Teams에 액세스하고, Graph API를 통해 비정상적인 양의 읽기 또는 사후 채팅 메시지 활동을 수행한 앱을 식별합니다. 이는 Graph API를 통해 조직에서 정보를 수집하려는 악의적 사용자와 같은 조직의 위반 시도를 나타낼 수 있습니다.

TP 또는 FP?

  • TP: 높은 권한 범위를 가진 OAuth 앱에서 Graph API를 통해 Microsoft Teams에서 비정상적인 채팅 메시지 활동을 확인할 수 있고 앱을 알 수 없는 원본에서 배달하는 경우

    권장 작업: 앱 사용 안 함 및 제거 및 암호 재설정

  • FP: Graph API를 통해 Microsoft Teams에서 수행된 비정상적인 활동이 합법적인 이유로 수행되었는지 확인할 수 있는 경우

    권장 작업: 경고 해제

위반 범위 이해

  1. 앱에서 부여한 범위를 검토합니다.
  2. 앱에서 수행한 모든 활동을 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

새 자격 증명을 업데이트하거나 추가한 앱별 비정상적인 OneDrive 활동

심각도: 보통

MITRE ID: T1098.001, T1213

Microsoft가 아닌 클라우드 앱은 대용량 데이터 사용을 포함하여 OneDrive에 비정상적인 Graph API 호출을 했습니다. 기계 학습에서 감지된 이러한 비정상적인 API 호출은 앱이 새 인증서/비밀을 추가하거나 업데이트한 후 며칠 내에 이루어졌습니다. 이 앱은 데이터 반출 또는 중요한 정보에 액세스하고 검색하려는 다른 시도와 관련이 있을 수 있습니다.

TP 또는 FP?

  • TP: OneDrive 워크로드의 대용량 사용과 같은 비정상적인 활동이 Graph API를 통해 앱에서 수행되었는지 확인할 수 있습니다.

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 다시 설정한 다음 앱을 다시 사용하도록 설정합니다.

  • FP: 앱에서 비정상적인 활동이 수행되지 않거나 앱이 비정상적으로 많은 양의 Graph 호출을 수행하도록 의도된 것을 확인할 수 있는 경우

    권장 작업: 경고 해제

위반 범위 이해

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에서 부여한 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

새 자격 증명을 업데이트하거나 추가한 앱별 비정상적인 SharePoint 활동

심각도: 보통

MITRE ID: T1098.001, T1213.002

Microsoft가 아닌 클라우드 앱은 대용량 데이터 사용을 포함하여 SharePoint에 비정상적인 Graph API 호출을 했습니다. 기계 학습에서 감지된 이러한 비정상적인 API 호출은 앱이 새 인증서/비밀을 추가하거나 업데이트한 후 며칠 내에 이루어졌습니다. 이 앱은 데이터 반출 또는 중요한 정보에 액세스하고 검색하려는 다른 시도와 관련이 있을 수 있습니다.

TP 또는 FP?

  • TP: SharePoint 워크로드의 대용량 사용과 같은 비정상적인 활동이 Graph API를 통해 앱에서 수행되었는지 확인할 수 있는 경우

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 다시 설정한 다음 앱을 다시 사용하도록 설정합니다.

  • FP: 앱에서 비정상적인 활동이 수행되지 않거나 앱이 비정상적으로 많은 양의 Graph 호출을 수행하도록 의도된 것을 확인할 수 있는 경우

    권장 작업: 경고 해제

위반 범위 이해

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에서 부여한 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

심각도: 보통

MITRE ID: T1114

이 검색은 이전에 의심스러운 메일 관련 활동이 있는 앱에서 관찰된 메타데이터(예: 이름, URL 또는 게시자)를 사용하여 타사 OAuth 앱에 대한 경고를 생성합니다. 이 앱은 공격 캠페인의 일부일 수 있으며 중요한 정보의 반출에 관여할 수 있습니다.

TP 또는 FP?

  • TP: 앱이 사서함 규칙을 만들었거나 Exchange 워크로드에 대한 비정상적인 Graph API 호출을 많이 했는지 확인할 수 있는 경우

    권장 조치:

    • 앱 거버넌스에 대한 앱의 등록 세부 정보를 조사하고 자세한 내용은 Microsoft Entra ID를 방문하세요.
    • 앱에 동의 또는 권한을 부여한 사용자 또는 관리자에게 문의합니다. 변경 내용이 의도적인지 확인합니다.
    • CloudAppEvents 고급 헌팅 테이블을 검색하여 앱 활동을 이해하고 앱에서 액세스하는 데이터를 식별합니다. 영향을 받는 사서함을 확인하고 앱 자체 또는 앱이 만든 규칙에서 읽거나 전달했을 수 있는 메시지를 검토합니다.
    • 포함 작업을 고려하기 전에 앱이 조직에 중요한지 확인합니다. 앱 거버넌스 또는 Microsoft Entra ID를 사용하여 앱을 비활성화하여 리소스에 액세스하지 못하도록 합니다. 기존 앱 거버넌스 정책이 이미 앱을 비활성화했을 수 있습니다.

  • FP: 앱에서 비정상적인 활동이 수행되지 않았으며 앱이 조직에서 합법적인 비즈니스 사용을 하고 있는지 확인할 수 있는 경우

    권장 작업: 경고 해제

위반 범위 이해

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에 부여된 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

수많은 전자 메일에 액세스하는 EWS 애플리케이션 권한이 있는 앱

심각도: 보통

MITRE ID: T1114

이 검색은 EWS 애플리케이션 권한이 있는 다중 테넌트 클라우드 앱에 대한 경고를 생성하여 전자 메일 열거 및 수집과 관련된 Exchange Web Services API에 대한 호출이 크게 증가했음을 보여 줍니다. 이 앱은 중요한 전자 메일 데이터에 액세스하고 검색하는 데 관련될 수 있습니다.

TP 또는 FP?

  • TP: 앱이 중요한 전자 메일 데이터에 액세스했거나 Exchange 워크로드에 대한 비정상적인 호출을 많이 했는지 확인할 수 있는 경우

    권장 조치:

    • 앱 거버넌스에 대한 앱의 등록 세부 정보를 조사하고 자세한 내용은 Microsoft Entra ID를 방문하세요.
    • 앱에 동의 또는 권한을 부여한 사용자 또는 관리자에게 문의합니다. 변경 내용이 의도적인지 확인합니다.
    • CloudAppEvents 고급 헌팅 테이블을 검색하여 앱 활동을 이해하고 앱에서 액세스하는 데이터를 식별합니다. 영향을 받는 사서함을 확인하고 앱 자체 또는 앱이 만든 규칙에서 읽거나 전달했을 수 있는 메시지를 검토합니다.
    • 포함 작업을 고려하기 전에 앱이 조직에 중요한지 확인합니다. 앱 거버넌스 또는 Microsoft Entra ID를 사용하여 앱을 비활성화하여 리소스에 액세스하지 못하도록 합니다. 기존 앱 거버넌스 정책이 이미 앱을 비활성화했을 수 있습니다.

  • FP: 앱에서 비정상적인 활동이 수행되지 않았으며 앱이 조직에서 합법적인 비즈니스 사용을 하고 있는지 확인할 수 있는 경우

    권장 작업: 경고 해제

위반 범위 이해

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에 부여된 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

API에 새로 액세스하는 사용되지 않는 앱

심각도: 보통

MITRE ID: T1530

이 검색은 한동안 비활성 상태이며 최근에 API 호출을 시작한 다중 테넌트 클라우드 앱에 대한 경고를 생성합니다. 이 앱은 공격자가 손상하고 중요한 데이터에 액세스하고 검색하는 데 사용될 수 있습니다.

TP 또는 FP?

  • TP: 앱이 중요한 데이터에 액세스했거나 Microsoft Graph, Exchange 또는 Azure Resource Manager 워크로드에 대해 많은 수의 비정상적인 호출을 했는지 확인할 수 있는 경우

    권장 조치:

    • 앱 거버넌스에 대한 앱의 등록 세부 정보를 조사하고 자세한 내용은 Microsoft Entra ID를 방문하세요.
    • 앱에 동의 또는 권한을 부여한 사용자 또는 관리자에게 문의합니다. 변경 내용이 의도적인지 확인합니다.
    • CloudAppEvents 고급 헌팅 테이블을 검색하여 앱 활동을 이해하고 앱에서 액세스하는 데이터를 식별합니다. 영향을 받는 사서함을 확인하고 앱 자체 또는 앱이 만든 규칙에서 읽거나 전달했을 수 있는 메시지를 검토합니다.
    • 포함 작업을 고려하기 전에 앱이 조직에 중요한지 확인합니다. 앱 거버넌스 또는 Microsoft Entra ID를 사용하여 앱을 비활성화하여 리소스에 액세스하지 못하도록 합니다. 기존 앱 거버넌스 정책이 이미 앱을 비활성화했을 수 있습니다.

  • FP: 앱에서 비정상적인 활동이 수행되지 않았으며 앱이 조직에서 합법적인 비즈니스 사용을 하고 있는지 확인할 수 있는 경우

    권장 작업: 경고 해제

위반 범위 이해

  1. 앱에서 수행하는 모든 활동을 검토합니다.
  2. 앱에 부여된 범위를 검토합니다.
  3. 앱과 연결된 사용자 활동을 검토합니다.

영향 경고

이 섹션에서는 악의적인 행위자가 조직에서 시스템 및 데이터를 조작, 중단 또는 삭제하려고 시도할 수 있음을 나타내는 경고를 설명합니다.

가상 머신 만들기에서 비정상적인 급증을 시작하는 Entra 기간 업무 앱

심각도: 보통

MITRE ID: T1496

이 검색은 Azure Resource Manager API를 사용하여 테넌트에 대량의 Azure Virtual Machines를 만드는 단일 테넌트 새 OAuth 애플리케이션을 식별합니다.

TP 또는 FP?

  • TP: OAuth 앱이 최근에 만들어졌으며 테넌트에 많은 수의 Virtual Machines를 만들고 있는지 확인할 수 있는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 만든 가상 머신 및 애플리케이션에 대한 최근 변경 내용을 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청한 사용 권한 수준 및 액세스 권한을 부여한 사용자를 검토합니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반의 범위를 이해합니다.

  1. 최근에 만든 앱과 만든 VM을 검토합니다.
  2. 만든 이후 앱에서 수행한 모든 활동을 검토합니다.
  3. 구독에서 부여된 Graph API 및 역할에서 앱이 부여한 범위를 검토합니다.

Microsoft Graph에서 높은 범위의 권한을 가진 OAuth 앱이 가상 머신 만들기를 시작하는 것으로 확인되었습니다.

심각도: 보통

MITRE ID: T1496

이 검색은 활동 전에 MS Graph API를 통해 테넌트에서 높은 권한을 가지면서 Azure Resource Manager API를 사용하여 테넌트에서 Azure Virtual Machines의 대부분을 만드는 OAuth 애플리케이션을 식별합니다.

TP 또는 FP?

  • TP: 높은 권한 범위를 가진 OAuth 앱이 만들어졌으며 테넌트에 많은 수의 Virtual Machines를 만들고 있는지 확인할 수 있는 경우 진정한 긍정이 표시됩니다.

    권장 작업: 만든 가상 머신 및 애플리케이션에 대한 최근 변경 내용을 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다. 이 앱에서 요청한 사용 권한 수준 및 액세스 권한을 부여한 사용자를 검토합니다.

  • FP: 조사 후 앱이 조직에서 합법적인 비즈니스 용도를 가지고 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반의 범위를 이해합니다.

  1. 최근에 만든 앱과 만든 VM을 검토합니다.
  2. 만든 이후 앱에서 수행한 모든 활동을 검토합니다.
  3. 구독에서 부여된 Graph API 및 역할에서 앱이 부여한 범위를 검토합니다.

다음 단계

앱 거버넌스 경고 관리