Share via

Waarschuwingen voor detectie van bedreigingen onderzoeken

  • Artikel

App-beheer biedt beveiligingsdetecties en -waarschuwingen voor schadelijke activiteiten. Dit artikel bevat details voor elke waarschuwing die u kan helpen bij uw onderzoek en herstel, inclusief de voorwaarden voor het activeren van waarschuwingen. Omdat bedreigingsdetecties niet-deterministisch van aard zijn, worden ze alleen geactiveerd wanneer er gedrag is dat afwijkt van de norm.

Zie App-beheer in Microsoft Defender voor Cloud Apps voor meer informatie

Notitie

Bedreigingsdetecties voor app-governance zijn gebaseerd op het tellen van activiteiten op gegevens die tijdelijk zijn en mogelijk niet worden opgeslagen. Waarschuwingen kunnen daarom het aantal activiteiten of indicaties van pieken bieden, maar niet noodzakelijkerwijs alle relevante gegevens. Met name voor Graph API-activiteiten van OAuth-apps kunnen de activiteiten zelf worden gecontroleerd door de tenant met behulp van Log Analytics en Sentinel.

Zie voor meer informatie:

MITRE ATT&CK

Om de relatie tussen app-governancewaarschuwingen en de vertrouwde MITRE ATT&CK Matrix gemakkelijker toe te wijzen, hebben we de waarschuwingen gecategoriseerd op basis van de bijbehorende MITRE ATT&CK-tactiek. Deze extra verwijzing maakt het gemakkelijker om inzicht te krijgen in de techniek voor verdachte aanvallen die mogelijk in gebruik zijn wanneer een waarschuwing voor app-governance wordt geactiveerd.

Deze handleiding bevat informatie over het onderzoeken en herstellen van app-governancewaarschuwingen in de volgende categorieën.

Classificaties van beveiligingswaarschuwingen

Na een goed onderzoek kunnen alle waarschuwingen voor app-governance worden geclassificeerd als een van de volgende activiteitstypen:

  • Terecht positief (TP): een waarschuwing over een bevestigde schadelijke activiteit.
  • Goedaardig terecht positief (B-TP): een waarschuwing over verdachte maar niet schadelijke activiteiten, zoals een penetratietest of andere geautoriseerde verdachte actie.
  • Fout-positief (FP): een waarschuwing over een niet-onbetrouwbale activiteit.

Algemene onderzoeksstappen

Gebruik de volgende algemene richtlijnen bij het onderzoeken van elk type waarschuwing om een duidelijker inzicht te krijgen in de mogelijke bedreiging voordat u de aanbevolen actie toepast.

  • Controleer het ernstniveau van de app en vergelijk met de rest van de apps in uw tenant. Deze beoordeling helpt u bij het identificeren van welke apps in uw tenant het grotere risico vormen.

  • Als u een TP identificeert, bekijkt u alle app-activiteiten om inzicht te krijgen in de impact. Bekijk bijvoorbeeld de volgende app-gegevens:

    • Bereiken die toegang hebben verleend
    • Ongebruikelijk gedrag
    • IP-adres en -locatie

Eerste toegangswaarschuwingen

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende app mogelijk probeert zijn voet aan de grond te houden in uw organisatie.

App wordt omgeleid naar phishing-URL door misbruik te maken van OAuth-omleidingsprobleem

Ernst: gemiddeld

Deze detectie identificeert OAuth-apps die worden omgeleid naar phishing-URL's door gebruik te maken van de antwoordtypeparameter in OAuth-implementatie via de Microsoft Graph API.

TP of FP?

  • TP: Als u kunt bevestigen dat de OAuth-app is geleverd vanuit een onbekende bron, bevat het antwoordtype van de antwoord-URL nadat u toestemming hebt gegeven voor de OAuth-app een ongeldige aanvraag en wordt u omgeleid naar een onbekende of niet-vertrouwde antwoord-URL.

    Aanbevolen actie: schakel de app uit en verwijder deze, stel het wachtwoord opnieuw in en verwijder de regel voor Postvak IN. 

  • FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door de app worden uitgevoerd. 
  2. Controleer de bereiken die door de app zijn verleend. 

OAuth-app met verdachte antwoord-URL

Ernst: gemiddeld

Deze detectie identificeert een OAuth-app die toegang heeft tot een verdachte antwoord-URL via de Microsoft Graph API.

TP of FP?

  • TP: Als u kunt bevestigen dat de OAuth-app wordt geleverd vanuit een onbekende bron en wordt omgeleid naar een verdachte URL, wordt een terecht-positief aangegeven. Een verdachte URL is een URL waarbij de reputatie van de URL onbekend, niet vertrouwd is of waarvan het domein onlangs is geregistreerd en de app-aanvraag voor een bereik met hoge bevoegdheden is.

    Aanbevolen actie: Controleer de antwoord-URL, domeinen en bereiken die door de app zijn aangevraagd. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te verbieden. Controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang krijgen.

    Als u de toegang tot de app wilt verbieden, gaat u naar het relevante tabblad voor uw app op de pagina App-beheer . Selecteer in de rij waarin de app die u wilt verbieden, het pictogram Ban. U kunt kiezen of u gebruikers wilt laten weten welke app ze hebben geïnstalleerd en geautoriseerd, is verboden. Met de melding kunnen gebruikers weten dat de app wordt uitgeschakeld en hebben ze geen toegang tot de verbonden app. Als u niet wilt dat ze dit weten, schakelt u de optie Gebruikers informeren uit die toegang hebben verleend tot deze verboden app in het dialoogvenster. U wordt aangeraden de app-gebruikers te laten weten dat hun app binnenkort niet kan worden gebruikt.

  • FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk de apps die onlangs zijn gemaakt en hun antwoord-URL's.

  2. Bekijk alle activiteiten die door de app worden uitgevoerd. 

  3. Controleer de bereiken die door de app zijn verleend. 

Ernst: Laag

Deze detectie identificeert een OAuth-app die onlangs is gemaakt en een lage toestemmingsfrequentie heeft. Dit kan duiden op een kwaadwillende of riskante app die gebruikers in illegale toestemmingstoestemming lokken.

TP of FP?

  • TP: Als u kunt bevestigen dat de OAuth-app wordt geleverd vanuit een onbekende bron, wordt een terecht-positief aangegeven.

    Aanbevolen actie: Controleer de weergavenaam, antwoord-URL's en domeinen van de app. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te verbieden. Controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend.

  • FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door de app worden uitgevoerd.
  2. Als u vermoedt dat een app verdacht is, raden we u aan de naam en het antwoorddomein van de app in verschillende app stores te onderzoeken. Wanneer u app-stores controleert, richt u zich op de volgende typen apps:
    • Apps die onlangs zijn gemaakt
    • App met ongebruikelijke weergavenaam
    • Apps met een verdacht antwoorddomein
  3. Als u nog steeds vermoedt dat een app verdacht is, kunt u de weergavenaam en het antwoorddomein van de app onderzoeken.

App met slechte URL-reputatie

Ernst: gemiddeld

Deze detectie identificeert een OAuth-app die een slechte URL-reputatie heeft.

TP of FP?

  • TP: Als u kunt bevestigen dat de OAuth-app wordt geleverd vanuit een onbekende bron en wordt omgeleid naar een verdachte URL, wordt een terecht-positief aangegeven.

    Aanbevolen actie: Controleer de antwoord-URL's, domeinen en bereiken die door de app zijn aangevraagd. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te verbieden. Controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend.

  • FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door de app worden uitgevoerd.
  2. Als u vermoedt dat een app verdacht is, raden we u aan de naam en het antwoorddomein van de app in verschillende app stores te onderzoeken. Wanneer u app-stores controleert, richt u zich op de volgende typen apps:
    • Apps die onlangs zijn gemaakt
    • App met ongebruikelijke weergavenaam
    • Apps met een verdacht antwoorddomein
  3. Als u nog steeds vermoedt dat een app verdacht is, kunt u de weergavenaam en het antwoorddomein van de app onderzoeken.

Ernst: gemiddeld

Beschrijving: Deze detectie identificeert OAuth-apps met tekens, zoals Unicode of gecodeerde tekens, die zijn aangevraagd voor verdachte toestemmingsbereiken en die toegang hebben verkregen tot e-mailmappen van gebruikers via de Graph API. Deze waarschuwing kan duiden op een poging om een schadelijke app te camoufleren als een bekende en vertrouwde app, zodat kwaadwillende personen de gebruikers kunnen misleiden om toestemming te geven voor de schadelijke app.

TP of FP?

  • TP: Als u kunt bevestigen dat de OAuth-app de weergavenaam heeft gecodeerd met verdachte bereiken die afkomstig zijn van een onbekende bron, wordt een terecht-positief aangegeven.

    Aanbevolen actie: controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te verbieden.

    Als u de toegang tot de app wilt verbieden, gaat u naar het relevante tabblad voor uw app op de pagina App-beheer . Selecteer in de rij waarin de app die u wilt verbieden, het pictogram Ban. U kunt kiezen of u gebruikers wilt laten weten welke app ze hebben geïnstalleerd en geautoriseerd, is verboden. Met de melding kunnen gebruikers weten dat de app wordt uitgeschakeld en dat ze geen toegang hebben tot de verbonden app. Als u niet wilt dat ze dit weten, schakelt u de optie Gebruikers informeren uit die toegang hebben verleend tot deze verboden app in het dialoogvenster. U wordt aangeraden de app-gebruikers te laten weten dat hun app binnenkort niet kan worden gebruikt.

  • FP: Als u wilt bevestigen dat de app een gecodeerde naam heeft, maar een legitiem zakelijk gebruik in de organisatie heeft.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

Volg de zelfstudie over het onderzoeken van riskante OAuth-apps.

OAuth-app met leesbereiken heeft verdachte antwoord-URL

Ernst: gemiddeld

Beschrijving: Deze detectie identificeert een OAuth-app met alleen leesbereiken zoals User.Read, Mensen. Lezen, Contacts.Read, Mail.Read, Contacts.Read. Gedeelde omleidingen naar verdachte antwoord-URL via Graph API. Deze activiteit probeert aan te geven dat schadelijke apps met minder bevoegdheden (zoals leesbereiken) kunnen worden misbruikt om gebruikersaccountverkenning uit te voeren.

TP of FP?

  • TP: Als u kunt bevestigen dat de OAuth-app met leesbereik wordt geleverd vanuit een onbekende bron en wordt omgeleid naar een verdachte URL, wordt een terecht-positief aangegeven.

    Aanbevolen actie: Controleer de antwoord-URL en bereiken die door de app zijn aangevraagd. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te verbieden. Controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend.

    Als u de toegang tot de app wilt verbieden, gaat u naar het relevante tabblad voor uw app op de pagina App-beheer . Selecteer in de rij waarin de app die u wilt verbieden, het pictogram Ban. U kunt kiezen of u gebruikers wilt laten weten welke app ze hebben geïnstalleerd en geautoriseerd, is verboden. Met de melding kunnen gebruikers weten dat de app wordt uitgeschakeld en dat ze geen toegang hebben tot de verbonden app. Als u niet wilt dat ze dit weten, schakelt u de optie Gebruikers informeren uit die toegang hebben verleend tot deze verboden app in het dialoogvenster. U wordt aangeraden de app-gebruikers te laten weten dat hun app binnenkort niet kan worden gebruikt.

  • B-TP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door de app worden uitgevoerd.
  2. Als u vermoedt dat een app verdacht is, raden we u aan de naam en antwoord-URL van de app in verschillende app stores te onderzoeken. Wanneer u app-stores controleert, richt u zich op de volgende typen apps:
    • Apps die onlangs zijn gemaakt.
    • Apps met een verdachte antwoord-URL
    • Apps die niet onlangs zijn bijgewerkt. Gebrek aan updates kan erop wijzen dat de app niet meer wordt ondersteund.
  3. Als u nog steeds vermoedt dat een app verdacht is, kunt u de naam van de app, de naam van de uitgever en de antwoord-URL online onderzoeken

App met ongebruikelijke weergavenaam en ongebruikelijke TLD in antwoorddomein

Ernst: gemiddeld

Deze detectie identificeert de app met een ongebruikelijke weergavenaam en leidt om naar verdacht antwoorddomein met een ongebruikelijk domein op het hoogste niveau (TLD) via Graph API. Dit kan duiden op een poging om een kwaadwillende of riskante app te camoufleren als een bekende en vertrouwde app, zodat kwaadwillende personen de gebruikers kunnen misleiden om toestemming te geven voor hun schadelijke of riskante app. 

TP of FP?

  • TP: Als u kunt bevestigen dat de app met een ongebruikelijke weergavenaam wordt geleverd vanuit een onbekende bron en wordt omgeleid naar een verdacht domein met ongebruikelijk domein op het hoogste niveau

    Aanbevolen actie: Controleer de weergavenaam en het antwoorddomein van de app. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te verbieden. Controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend.

  • FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

    Aanbevolen actie: de waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

Bekijk alle activiteiten die door de app worden uitgevoerd. Als u vermoedt dat een app verdacht is, raden we u aan de naam en het antwoorddomein van de app in verschillende app stores te onderzoeken. Wanneer u app-stores controleert, richt u zich op de volgende typen apps:

  • Apps die onlangs zijn gemaakt
  • App met ongebruikelijke weergavenaam
  • Apps met een verdacht antwoorddomein

Als u nog steeds vermoedt dat een app verdacht is, kunt u de weergavenaam en het antwoorddomein van de app onderzoeken.

Ernst: gemiddeld

Deze detectie identificeert OAuth-apps die onlangs zijn gemaakt in relatief nieuwe uitgeverstenants met de volgende kenmerken:

  • Machtigingen voor toegang tot of wijziging van postvakinstellingen
  • Relatief lage toestemmingsfrequentie, die ongewenste of zelfs schadelijke apps kan identificeren die proberen toestemming te krijgen van ongemoede gebruikers

TP of FP?

  • TP: Als u kunt bevestigen dat de toestemmingsaanvraag voor de app is bezorgd vanuit een onbekende of externe bron en de app geen legitiem zakelijk gebruik in de organisatie heeft, wordt een terecht positief aangegeven.

    Aanbevolen actie:

    • Neem contact op met gebruikers en beheerders die toestemming hebben verleend voor deze app om te bevestigen dat dit opzettelijk was en de overmatige bevoegdheden normaal zijn.
    • Onderzoek app-activiteit en controleer de betrokken accounts op verdachte activiteiten.
    • Op basis van uw onderzoek schakelt u de app uit en onderbreekt en stelt u wachtwoorden opnieuw in voor alle betrokken accounts.
    • Classificeer de waarschuwing als een terecht-positief.

  • FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

    Aanbevolen actie: Classificeer de waarschuwing als fout-positief en overweeg feedback te delen op basis van uw onderzoek naar de waarschuwing.

Inzicht in het bereik van de inbreuk

Controleer de toestemmingstoekenningen voor de toepassing die is gemaakt door gebruikers en beheerders. Onderzoek alle activiteiten die door de app worden uitgevoerd, met name toegang tot het postvak van gekoppelde gebruikers en beheerdersaccounts. Als u vermoedt dat de app verdacht is, kunt u overwegen de toepassing uit te schakelen en referenties van alle betrokken accounts te roteren.

Ernst: gemiddeld

Deze waarschuwing identificeert OAuth-apps die onlangs zijn geregistreerd in een relatief nieuwe uitgevertenant met machtigingen voor het wijzigen van postvakinstellingen en toegang tot e-mailberichten. Ook wordt gecontroleerd of de app een relatief laag globaal toestemmingspercentage heeft en talloze aanroepen naar Microsoft Graph API uitvoert om toegang te krijgen tot e-mails van toestemmingsgebruikers. Apps die deze waarschuwing activeren, kunnen ongewenste of schadelijke apps zijn die proberen toestemming te krijgen van niet-vermoedende gebruikers.

TP of FP?

  • TP: Als u kunt bevestigen dat de toestemmingsaanvraag voor de app is bezorgd vanuit een onbekende of externe bron en de app geen legitiem zakelijk gebruik in de organisatie heeft, wordt een terecht positief aangegeven.

    Aanbevolen actie:

    • Neem contact op met gebruikers en beheerders die toestemming hebben verleend voor deze app om te bevestigen dat dit opzettelijk was en de overmatige bevoegdheden normaal zijn.
    • Onderzoek app-activiteit en controleer de betrokken accounts op verdachte activiteiten.
    • Op basis van uw onderzoek schakelt u de app uit en onderbreekt en stelt u wachtwoorden opnieuw in voor alle betrokken accounts.
    • Classificeer de waarschuwing als een terecht-positief.

  • FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik in de organisatie heeft, wordt een fout-positief aangegeven.

    Aanbevolen actie: Classificeer de waarschuwing als fout-positief en overweeg feedback te delen op basis van uw onderzoek naar de waarschuwing.

Inzicht in het bereik van de inbreuk

Controleer de toestemmingstoekenningen voor de toepassing die is gemaakt door gebruikers en beheerders. Onderzoek alle activiteiten die door de app worden uitgevoerd, met name toegang tot de postvakken van gekoppelde gebruikers en beheerdersaccounts. Als u vermoedt dat de app verdacht is, kunt u overwegen de toepassing uit te schakelen en referenties van alle betrokken accounts te roteren.

Verdachte app met e-mailmachtigingen die talloze e-mailberichten verzenden

Ernst: gemiddeld

Deze waarschuwing vindt multitenant OAuth-apps die talloze aanroepen naar Microsoft Graph API hebben gedaan om binnen een korte periode e-mailberichten te verzenden. Ook wordt gecontroleerd of de API-aanroepen fouten hebben veroorzaakt en mislukte pogingen om e-mailberichten te verzenden. Apps die deze waarschuwing activeren, verzenden mogelijk actief spam of schadelijke e-mailberichten naar andere doelen.

TP of FP?

  • TP: Als u kunt bevestigen dat de toestemmingsaanvraag voor de app is bezorgd vanuit een onbekende of externe bron en de app geen legitiem zakelijk gebruik in de organisatie heeft, wordt een terecht positief aangegeven.

    Aanbevolen actie:

    • Neem contact op met gebruikers en beheerders die toestemming hebben verleend voor deze app om te bevestigen dat dit opzettelijk was en de overmatige bevoegdheden normaal zijn.
    • Onderzoek app-activiteit en controleer de betrokken accounts op verdachte activiteiten.
    • Op basis van uw onderzoek schakelt u de app uit en onderbreekt en stelt u wachtwoorden opnieuw in voor alle betrokken accounts.
    • Classificeer de waarschuwing als een terecht-positief.

  • FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik in de organisatie heeft, wordt een fout-positief aangegeven.

    Aanbevolen actie: Classificeer de waarschuwing als fout-positief en overweeg feedback te delen op basis van uw onderzoek naar de waarschuwing.

Inzicht in het bereik van de inbreuk

Controleer de toestemmingstoekenningen voor de toepassing die is gemaakt door gebruikers en beheerders. Onderzoek alle activiteiten die door de app worden uitgevoerd, met name toegang tot het postvak van gekoppelde gebruikers en beheerdersaccounts. Als u vermoedt dat de app verdacht is, kunt u overwegen de toepassing uit te schakelen en referenties van alle betrokken accounts te roteren.

Verdachte OAuth-app die wordt gebruikt voor het verzenden van talloze e-mailberichten

Ernst: gemiddeld

Deze waarschuwing geeft een OAuth-app aan die talloze aanroepen naar Microsoft Graph API heeft gedaan om binnen een korte periode e-mailberichten te verzenden. De uitgevertenant van de app staat bekend om een groot aantal OAuth-apps te maken die vergelijkbare Microsoft Graph API-aanroepen maken. Een aanvaller gebruikt deze app mogelijk actief om spam of schadelijke e-mailberichten naar hun doelen te verzenden.

TP of FP?

  • TP: Als u kunt bevestigen dat de toestemmingsaanvraag voor de app is bezorgd vanuit een onbekende of externe bron en de app geen legitiem zakelijk gebruik in de organisatie heeft, wordt een terecht positief aangegeven.

    Aanbevolen actie:

    • Neem contact op met gebruikers en beheerders die toestemming hebben verleend voor deze app om te bevestigen dat dit opzettelijk was en de overmatige bevoegdheden normaal zijn.
    • Onderzoek app-activiteit en controleer de betrokken accounts op verdachte activiteiten.
    • Op basis van uw onderzoek schakelt u de app uit en onderbreekt en stelt u wachtwoorden opnieuw in voor alle betrokken accounts.
    • Classificeer de waarschuwing als een terecht-positief.

  • FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik in de organisatie heeft, wordt een fout-positief aangegeven.

    Aanbevolen actie: Classificeer de waarschuwing als fout-positief en overweeg feedback te delen op basis van uw onderzoek naar de waarschuwing.

Inzicht in het bereik van de inbreuk

Controleer de toestemmingstoekenningen voor de toepassing die is gemaakt door gebruikers en beheerders. Onderzoek alle activiteiten die door de app worden uitgevoerd, met name toegang tot het postvak van gekoppelde gebruikers en beheerdersaccounts. Als u vermoedt dat de app verdacht is, kunt u overwegen de toepassing uit te schakelen en referenties van alle betrokken accounts te roteren.

Persistentiewaarschuwingen

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor probeert zijn voet aan de grond te houden in uw organisatie.

App heeft afwijkende Graph-aanroepen gedaan naar Exchange-werkbelasting na het bijwerken van certificaten of het toevoegen van nieuwe referenties

Ernst: gemiddeld

MITRE ID: T1098.001, T1114

Deze detectie activeert een waarschuwing wanneer een LOB-app (Line-Of-Business) certificaat/geheimen heeft bijgewerkt of nieuwe referenties heeft toegevoegd en binnen enkele dagen na het bijwerken of toevoegen van nieuwe referenties, ongebruikelijke activiteiten of hoog volumegebruik voor Exchange-werkbelasting heeft waargenomen via Graph API met behulp van machine learning-algoritme.

TP of FP?

  • TP: Als u kunt bevestigen dat ongebruikelijke activiteiten/hoog volumegebruik voor exchange-werkbelasting is uitgevoerd door de LOB-app via Graph API

    Aanbevolen actie: schakel de app tijdelijk uit en stel het wachtwoord opnieuw in en schakel de app vervolgens opnieuw in.

  • FP: Als u kunt bevestigen dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de LOB-app of app, is bedoeld om ongebruikelijk veel grafiekoproepen uit te voeren.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door deze app worden uitgevoerd.
  2. Controleer de bereiken die door de app zijn verleend.
  3. Controleer de gebruikersactiviteit die aan deze app is gekoppeld.

App met verdacht OAuth-bereik is gemarkeerd met een hoog risico door het Machine Learning-model, heeft grafiekoproepen gedaan om e-mail te lezen en regel voor Postvak IN te maken

Ernst: gemiddeld

MITRE ID: T1137.005, T1114

Deze detectie identificeert een OAuth-app die is gemarkeerd met een hoog risico door het Machine Learning-model dat toestemming heeft gegeven voor verdachte bereiken, een verdachte regel voor Postvak IN maakt en vervolgens e-mailmappen en berichten van gebruikers opent via de Graph API. Regels voor Postvak IN, zoals het doorsturen van alle of specifieke e-mailberichten naar een ander e-mailaccount, en Graph-aanroepen voor toegang tot e-mailberichten en verzenden naar een ander e-mailaccount, kunnen een poging zijn om gegevens uit uw organisatie te exfiltreren.

TP of FP?

  • TP: Als u kunt bevestigen dat de regel voor Postvak IN is gemaakt door een OAuth-app van derden met verdachte bereiken die afkomstig zijn van een onbekende bron, wordt een terecht-positief gedetecteerd.

    Aanbevolen actie: schakel de app uit en verwijder deze, stel het wachtwoord opnieuw in en verwijder de regel voor Postvak IN.

Volg de zelfstudie over het opnieuw instellen van een wachtwoord met behulp van Microsoft Entra ID en volg de zelfstudie over het verwijderen van de regel voor Postvak IN.

  • FP: Als u kunt bevestigen dat de app om legitieme redenen een regel voor Postvak IN heeft gemaakt voor een nieuw of persoonlijk extern e-mailaccount.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door de app worden uitgevoerd.
  2. Controleer de bereiken die door de app zijn verleend.
  3. Controleer de actie en voorwaarde voor postvak IN die door de app zijn gemaakt.

App met verdacht OAuth-bereik heeft grafiekoproepen gedaan om e-mail te lezen en regel voor Postvak IN te maken

Ernst: gemiddeld

MITRE ID's: T1137.005, T1114

Deze detectie identificeert een OAuth-app die toestemming heeft gegeven voor verdachte bereiken, een verdachte regel voor Postvak IN maakt en vervolgens e-mailmappen en berichten van gebruikers opent via de Graph API. Regels voor Postvak IN, zoals het doorsturen van alle of specifieke e-mailberichten naar een ander e-mailaccount, en Graph-aanroepen voor toegang tot e-mailberichten en verzenden naar een ander e-mailaccount, kunnen een poging zijn om gegevens uit uw organisatie te exfiltreren.

TP of FP?

  • TP: Als u kunt bevestigen dat de regel voor Postvak IN is gemaakt door een OAuth-app van derden met verdachte bereiken die afkomstig zijn van een onbekende bron, wordt een terecht-positief aangegeven.

    Aanbevolen actie: schakel de app uit en verwijder deze, stel het wachtwoord opnieuw in en verwijder de regel voor Postvak IN.

    Volg de zelfstudie over het opnieuw instellen van een wachtwoord met behulp van Microsoft Entra ID en volg de zelfstudie over het verwijderen van de regel voor Postvak IN.

  • FP: Als u kunt bevestigen dat de app om legitieme redenen een regel voor Postvak IN heeft gemaakt voor een nieuw of persoonlijk extern e-mailaccount.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door de app worden uitgevoerd.
  2. Controleer de bereiken die door de app zijn verleend.
  3. Controleer de actie en voorwaarde voor postvak IN die door de app zijn gemaakt.

App geopend vanaf ongebruikelijke locatie na certificaatupdate

Ernst: Laag

MITRE ID: T1098

Deze detectie activeert een waarschuwing wanneer een LOB-app (Line-Of-Business) het certificaat/geheim heeft bijgewerkt en binnen enkele dagen na het bijwerken van het certificaat, de app wordt geopend vanaf een ongebruikelijke locatie die niet recent of nooit eerder is geopend.

TP of FP?

  • TP: als u kunt bevestigen dat de LOB-app toegankelijk is vanaf een ongebruikelijke locatie en ongebruikelijke activiteiten heeft uitgevoerd via Graph API.

    Aanbevolen actie: schakel de app tijdelijk uit en stel het wachtwoord opnieuw in en schakel de app vervolgens opnieuw in.

  • FP: Als u kunt bevestigen dat de LOB-app toegankelijk is vanaf een ongebruikelijke locatie voor legitieme doeleinden en geen ongebruikelijke activiteiten wordt uitgevoerd.

    Aanbevolen actie: de waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door deze app worden uitgevoerd.
  2. Controleer de bereiken die door de app zijn verleend.
  3. Controleer de gebruikersactiviteit die aan deze app is gekoppeld.

App geopend vanaf ongebruikelijke locatie heeft afwijkende Graph-aanroepen gedaan na het bijwerken van het certificaat

Ernst: gemiddeld

MITRE ID: T1098

Met deze detectie wordt een waarschuwing geactiveerd wanneer een LOB-app (Line-Of-Business) het certificaat/geheim heeft bijgewerkt en binnen enkele dagen na het bijwerken van certificaten, de app wordt geopend vanaf een ongebruikelijke locatie die onlangs of nooit eerder is bekeken en ongebruikelijke activiteiten of gebruik heeft waargenomen via Graph API met behulp van het Machine Learning-algoritme.

TP of FP?

  • TP: Als u kunt bevestigen dat ongebruikelijke activiteiten/gebruik zijn uitgevoerd door de LOB-app via Graph API vanaf een ongebruikelijke locatie.

    Aanbevolen actie: schakel de app tijdelijk uit en stel het wachtwoord opnieuw in en schakel de app vervolgens opnieuw in.

  • FP: Als u kunt bevestigen dat de LOB-app toegankelijk is vanaf een ongebruikelijke locatie voor legitieme doeleinden en geen ongebruikelijke activiteiten wordt uitgevoerd.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door deze app worden uitgevoerd.
  2. Controleer de bereiken die door de app zijn verleend.
  3. Controleer de gebruikersactiviteit die aan deze app is gekoppeld.

De app die onlangs is gemaakt, heeft een groot aantal ingetrokken toestemmingen

Ernst: gemiddeld

MITRE ID: T1566, T1098

Verschillende gebruikers hebben hun toestemming voor deze onlangs gemaakte LOB-app (Line-Of-Business) of app van derden ingetrokken. Deze app heeft mogelijk gebruikers gelokt om deze per ongeluk toestemming te geven.

TP of FP?

  • TP: Als u kunt bevestigen dat de OAuth-app wordt geleverd vanuit een onbekende bron en app-gedrag verdacht is. 

    Aanbevolen actie: intrekken van toestemmingen die aan de app zijn verleend en de app uitschakelen. 

  • FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie en dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de app.

    Aanbevolen actie: de waarschuwing sluiten

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door de app worden uitgevoerd.
  2. Als u vermoedt dat een app verdacht is, raden we u aan de naam en het antwoorddomein van de app in verschillende app stores te onderzoeken. Wanneer u app-stores controleert, richt u zich op de volgende typen apps:
    • Apps die onlangs zijn gemaakt
    • Apps met een ongebruikelijke weergavenaam
    • Apps met een verdacht antwoorddomein
  3. Als u nog steeds vermoedt dat een app verdacht is, kunt u de weergavenaam en het antwoorddomein van de app onderzoeken.

App-metagegevens die zijn gekoppeld aan bekende phishingcampagne

Ernst: gemiddeld

Met deze detectie worden waarschuwingen gegenereerd voor niet-Microsoft OAuth-apps met metagegevens, zoals naam, URL of uitgever, die eerder waren waargenomen in apps die zijn gekoppeld aan een phishingcampagne. Deze apps maken mogelijk deel uit van dezelfde campagne en kunnen betrokken zijn bij exfiltratie van gevoelige informatie.

TP of FP?

  • TP: Als u kunt bevestigen dat de OAuth-app wordt geleverd vanuit een onbekende bron en ongebruikelijke activiteiten uitvoert.

    Aanbevolen actie:

    • Onderzoek de registratiegegevens van de app over app-governance en ga naar Microsoft Entra ID voor meer informatie.
    • Neem contact op met de gebruikers of beheerders die toestemming of machtigingen voor de app hebben verleend. Controleer of de wijzigingen opzettelijk zijn.
    • Zoek in de tabel Geavanceerde opsporing van CloudAppEvents om de app-activiteit te begrijpen en te bepalen of het waargenomen gedrag wordt verwacht.
    • Controleer of de app essentieel is voor uw organisatie voordat u eventuele insluitingsacties overweegt. Deactiveren van de app met behulp van app-governance of Microsoft Entra-id om te voorkomen dat deze toegang heeft tot resources. Bestaande beleidsregels voor app-governance hebben de app mogelijk al gedeactiveerd.

  • FP: Als u kunt bevestigen dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de app en dat de app een legitiem zakelijk gebruik in de organisatie heeft.

    Aanbevolen actie: de waarschuwing sluiten

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door de app worden uitgevoerd.
  2. Controleer de bereiken die aan de app zijn verleend.
  3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

App-metagegevens die zijn gekoppeld aan eerder gemarkeerde verdachte apps

Ernst: gemiddeld

Met deze detectie worden waarschuwingen gegenereerd voor niet-Microsoft OAuth-apps met metagegevens, zoals naam, URL of uitgever, die eerder waren waargenomen in apps die zijn gemarkeerd door app-governance vanwege verdachte activiteiten. Deze app maakt mogelijk deel uit van een aanvalscampagne en kan betrokken zijn bij exfiltratie van gevoelige informatie.

TP of FP?

  • TP: Als u kunt bevestigen dat de OAuth-app wordt geleverd vanuit een onbekende bron en ongebruikelijke activiteiten uitvoert.

    Aanbevolen actie:

    • Onderzoek de registratiegegevens van de app over app-governance en ga naar Microsoft Entra ID voor meer informatie.
    • Neem contact op met de gebruikers of beheerders die toestemming of machtigingen voor de app hebben verleend. Controleer of de wijzigingen opzettelijk zijn.
    • Zoek in de tabel Geavanceerde opsporing van CloudAppEvents om de app-activiteit te begrijpen en te bepalen of het waargenomen gedrag wordt verwacht.
    • Controleer of de app essentieel is voor uw organisatie voordat u eventuele insluitingsacties overweegt. Deactiveren van de app met behulp van app-governance of Microsoft Entra-id om te voorkomen dat deze toegang heeft tot resources. Bestaande beleidsregels voor app-governance hebben de app mogelijk al gedeactiveerd.

  • FP: Als u kunt bevestigen dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de app en dat de app een legitiem zakelijk gebruik in de organisatie heeft.

    Aanbevolen actie: de waarschuwing sluiten

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door de app worden uitgevoerd.
  2. Controleer de bereiken die aan de app zijn verleend.
  3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

Verdachte e-mailactiviteit voor OAuth-apps via Graph API

Ernst: Hoog

Met deze detectie worden waarschuwingen gegenereerd voor OAuth-apps met meerdere tenants, geregistreerd door gebruikers met een hoog risico-aanmelding, die microsoft Graph API heeft aangeroepen om verdachte e-mailactiviteiten binnen een korte periode uit te voeren.

Met deze detectie wordt gecontroleerd of de API-aanroepen zijn gemaakt voor het maken van postvakregels, het maken van e-mail beantwoorden, e-mail doorsturen, beantwoorden of nieuwe e-mailberichten worden verzonden. Apps die deze waarschuwing activeren, verzenden mogelijk actief spam of schadelijke e-mailberichten naar andere doelen of exfiltratie van vertrouwelijke gegevens en wissen sporen om detectie te omzeilen.

TP of FP?

  • TP: Als u kunt bevestigen dat de app-creatie en toestemmingsaanvraag voor de app is bezorgd vanuit een onbekende of externe bron en de app geen legitiem zakelijk gebruik in de organisatie heeft, wordt een terecht positief aangegeven.

    Aanbevolen actie:

    • Neem contact op met gebruikers en beheerders die toestemming hebben verleend voor deze app om te bevestigen dat dit opzettelijk was en de overmatige bevoegdheden normaal zijn.

    • Onderzoek app-activiteit en controleer de betrokken accounts op verdachte activiteiten.

    • Schakel op basis van uw onderzoek de app uit en onderbroken en stel wachtwoorden opnieuw in voor alle betrokken accounts en verwijder de regel voor Postvak IN.

    • Classificeer de waarschuwing als een terecht-positief.

  • FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik in de organisatie heeft, wordt een fout-positief aangegeven.

    Aanbevolen actie:

    • Classificeer de waarschuwing als fout-positief en overweeg feedback te delen op basis van uw onderzoek naar de waarschuwing.

    • Inzicht in het bereik van de inbreuk:

      Controleer de toestemmingstoekenningen voor de toepassing die is gemaakt door gebruikers en beheerders. Onderzoek alle activiteiten die door de app worden uitgevoerd, met name toegang tot het postvak van gekoppelde gebruikers en beheerdersaccounts. Als u vermoedt dat de app verdacht is, kunt u overwegen de toepassing uit te schakelen en referenties van alle betrokken accounts te roteren.

Verdachte E-mailactiviteit van OAuth-app via EWS-API

Ernst: Hoog

Met deze detectie worden waarschuwingen gegenereerd voor OAuth-apps met meerdere tenants, geregistreerd door gebruikers met een risicovolle aanmelding, die binnen korte tijd verdachte e-mailactiviteiten heeft uitgevoerd naar de EWS-API (Microsoft Exchange Web Services).

Met deze detectie wordt gecontroleerd of de API-aanroepen zijn uitgevoerd om regels voor Postvak IN bij te werken, items te verplaatsen, e-mail te verwijderen, map te verwijderen of bijlage te verwijderen. Apps die deze waarschuwing activeren, kunnen vertrouwelijke gegevens actief exfiltreren of verwijderen en sporen wissen om detectie te omzeilen.

TP of FP?

  • TP: Als u kunt bevestigen dat de app-creatie en toestemmingsaanvraag voor de app is bezorgd vanuit een onbekende of externe bron en de app geen legitiem zakelijk gebruik in de organisatie heeft, wordt een terecht positief aangegeven.

    Aanbevolen actie:

    • Neem contact op met gebruikers en beheerders die toestemming hebben verleend voor deze app om te bevestigen dat dit opzettelijk was en de overmatige bevoegdheden normaal zijn.

    • Onderzoek app-activiteit en controleer de betrokken accounts op verdachte activiteiten.

    • Schakel op basis van uw onderzoek de app uit en onderbroken en stel wachtwoorden opnieuw in voor alle betrokken accounts en verwijder de regel voor Postvak IN.

    • Classificeer de waarschuwing als een terecht-positief.

  • FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik in de organisatie heeft, wordt een fout-positief aangegeven.

    Aanbevolen actie:

    • Classificeer de waarschuwing als fout-positief en overweeg feedback te delen op basis van uw onderzoek naar de waarschuwing.

    • Inzicht in het bereik van de inbreuk:

      Controleer de toestemmingstoekenningen voor de toepassing die is gemaakt door gebruikers en beheerders. Onderzoek alle activiteiten die door de app worden uitgevoerd, met name toegang tot het postvak van gekoppelde gebruikers en beheerdersaccounts. Als u vermoedt dat de app verdacht is, kunt u overwegen de toepassing uit te schakelen en referenties van alle betrokken accounts te roteren.

Waarschuwingen voor escalatie van bevoegdheden

OAuth-app met verdachte metagegevens heeft exchange-machtigingen

Ernst: gemiddeld

MITRE ID: T1078

Deze waarschuwing wordt geactiveerd wanneer een Line-Of-Business-app met verdachte metagegevens gemachtigd is om machtigingen te beheren via Exchange.

TP of FP?

  • TP: Als u kunt bevestigen dat de OAuth-app wordt geleverd vanuit een onbekende bron en verdachte metagegevenskenmerken heeft, wordt een terecht-positief aangegeven.

Aanbevolen actie: intrekken van toestemmingen die aan de app zijn verleend en de app uitschakelen.

FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

Aanbevolen actie: de waarschuwing sluiten

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door de app worden uitgevoerd.
  2. Controleer de bereiken die door de app zijn verleend.
  3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

Waarschuwingen voor defensieontduiking

Ernst: gemiddeld

Een niet-Microsoft-cloud-app gebruikt een logo dat is gevonden door een machine learning-algoritme dat lijkt op een Microsoft-logo. Dit kan een poging zijn om Microsoft-softwareproducten te imiteren en legitiem te lijken.

Notitie

Tenantbeheerders moeten toestemming geven via pop-up om vereiste gegevens te laten verzenden buiten de huidige nalevingsgrens en om partnerteams binnen Microsoft te selecteren om deze bedreigingsdetectie in te schakelen voor Line-Of-Business-apps.

TP of FP?

  • TP: Als u kunt bevestigen dat het app-logo een imitatie is van een Microsoft-logo en het gedrag van de app verdacht is. 

    Aanbevolen actie: intrekken van toestemmingen die aan de app zijn verleend en de app uitschakelen.

  • FP: Als u kunt bevestigen dat het app-logo geen imitatie is van een Microsoft-logo of dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de app. 

    Aanbevolen actie: de waarschuwing sluiten

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door de app worden uitgevoerd.
  2. Controleer de bereiken die aan de app zijn verleend.
  3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

App is gekoppeld aan een getypeerd domein

Ernst: gemiddeld

Met deze detectie worden waarschuwingen gegenereerd voor niet-Microsoft OAuth-apps met uitgeversdomeinen of omleidings-URL's die getypeerde versies van Microsoft-merknamen bevatten. Typoquatting wordt over het algemeen gebruikt om verkeer vast te leggen op sites wanneer gebruikers per ongeluk URL's typt, maar ze kunnen ook worden gebruikt om populaire softwareproducten en -services te imiteren.

TP of FP?

  • TP: Als u kunt bevestigen dat het uitgeversdomein of de omleidings-URL van de app is getypteerd en niet gerelateerd is aan de werkelijke identiteit van de app.

    Aanbevolen actie:

    • Onderzoek de registratiegegevens van de app over app-governance en ga naar Microsoft Entra ID voor meer informatie.
    • Controleer de app op andere tekenen van adresvervalsing of imitatie en verdachte activiteiten.
    • Controleer of de app essentieel is voor uw organisatie voordat u eventuele insluitingsacties overweegt. De app deactiveren met behulp van app-beheer om te voorkomen dat deze toegang heeft tot resources. Bestaande beleidsregels voor app-governance hebben de app mogelijk al gedeactiveerd.

  • FP: Als u kunt bevestigen dat het uitgeversdomein en de omleidings-URL van de app legitiem zijn. 

    Aanbevolen actie: Classificeer de waarschuwing als fout-positief en overweeg feedback te delen op basis van uw onderzoek naar de waarschuwing.

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door de app worden uitgevoerd.
  2. Controleer de bereiken die aan de app zijn verleend.
  3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

Toegang tot referenties

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk gevoelige referentiegegevens probeert te lezen en bestaat uit technieken voor het stelen van referenties, zoals accountnamen, geheimen, tokens, certificaten en wachtwoorden in uw organisatie.

Toepassing die meerdere mislukte KeyVault-leesactiviteit initieert zonder succes

Ernst: gemiddeld

MITRE-id: T1078.004

Deze detectie identificeert een toepassing in uw tenant die is waargenomen bij het aanroepen van meerdere leesacties naar de KeyVault met behulp van de Azure Resource Manager-API in een kort interval, waarbij alleen fouten en geen geslaagde leesactiviteit zijn voltooid.

TP of FP?

  • TP: Als de app onbekend is of niet wordt gebruikt, is de opgegeven activiteit mogelijk verdacht. Na het verifiëren van de Azure-resource die wordt gebruikt en het valideren van het app-gebruik in de tenant, kan de opgegeven activiteit vereisen dat de app wordt uitgeschakeld. Dit is meestal het bewijs van verdachte inventarisatieactiviteit voor de KeyVault-resource om toegang te krijgen tot referenties voor laterale verplaatsing of escalatie van bevoegdheden.

    Aanbevolen acties: Controleer de Azure-resources die zijn geopend of gemaakt door de toepassing en eventuele recente wijzigingen in de toepassing. Kies op basis van uw onderzoek of u de toegang tot deze app wilt verbieden. Controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend.

  • FP: Als u na onderzoek kunt bevestigen dat de app legitiem zakelijk gebruik heeft in de organisatie.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Controleer de toegang en activiteit van de app.
  2. Bekijk alle activiteiten die door de app zijn uitgevoerd sinds het maken ervan.
  3. Controleer de bereiken die zijn verleend door de app in Graph API en de rol die eraan is verleend in uw abonnement.
  4. Controleer een gebruiker die de app heeft geopend vóór de activiteit.

Detectiewaarschuwingen

Door de app uitgevoerde opsomming van stations

Ernst: gemiddeld

MITRE ID: T1087

Deze detectie identificeert een OAuth-app die is gedetecteerd door het Machine Learning-model dat opsomming uitvoert op OneDrive-bestanden met behulp van Graph API.

TP of FP?

  • TP: Als u kunt bevestigen dat ongebruikelijke activiteiten/gebruik voor OneDrive zijn uitgevoerd door de LOB-app via Graph API.

    Aanbevolen actie: de app uitschakelen en verwijderen en het wachtwoord opnieuw instellen.

  • FP: Als u kunt bevestigen dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de app.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door deze app worden uitgevoerd.
  2. Controleer de bereiken die door de app zijn verleend.
  3. Controleer de gebruikersactiviteit die aan deze app is gekoppeld.

Verdachte inventarisatieactiviteiten uitgevoerd met Behulp van Microsoft Graph PowerShell

Ernst: gemiddeld

MITRE ID: T1087

Deze detectie identificeert een groot aantal verdachte inventarisatieactiviteiten die binnen een korte periode worden uitgevoerd via een Microsoft Graph PowerShell-toepassing .

TP of FP?

  • TP: Als u kunt bevestigen dat verdachte/ongebruikelijke inventarisatieactiviteiten zijn uitgevoerd door de Microsoft Graph PowerShell-toepassing.

    Aanbevolen actie: schakel de toepassing uit en verwijder deze en stel het wachtwoord opnieuw in.

  • FP: Als u kunt bevestigen dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de toepassing.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door deze toepassing worden uitgevoerd.
  2. Controleer de gebruikersactiviteit die aan deze toepassing is gekoppeld.

Onlangs gemaakte multitenant-toepassing inventariseert regelmatig gebruikersgegevens

Ernst: gemiddeld

MITRE ID: T1087

Met deze waarschuwing worden OAuth-apps gevonden die onlangs zijn geregistreerd in een relatief nieuwe uitgevertenant met machtigingen voor het wijzigen van postvakinstellingen en toegang tot e-mailberichten. Hiermee wordt gecontroleerd of de app talloze aanroepen heeft gedaan naar Microsoft Graph API die gebruikersmapgegevens aanvraagt. Apps die deze waarschuwing activeren, kunnen gebruikers lokken om toestemming te geven, zodat ze toegang hebben tot bedrijfsgegevens.

TP of FP?

  • TP: Als u kunt bevestigen dat de toestemmingsaanvraag voor de app is bezorgd vanuit een onbekende of externe bron en de app geen legitiem zakelijk gebruik in de organisatie heeft, wordt een terecht positief aangegeven.

    Aanbevolen actie:

    • Neem contact op met gebruikers en beheerders die toestemming hebben verleend voor deze app om te bevestigen dat dit opzettelijk was en de overmatige bevoegdheden normaal zijn.
    • Onderzoek app-activiteit en controleer de betrokken accounts op verdachte activiteiten.
    • Op basis van uw onderzoek schakelt u de app uit en onderbreekt en stelt u wachtwoorden opnieuw in voor alle betrokken accounts.
    • Classificeer de waarschuwing als een terecht-positief.

  • FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik in de organisatie heeft, wordt een fout-positief aangegeven.

    Aanbevolen actie: Classificeer de waarschuwing als fout-positief en overweeg feedback te delen op basis van uw onderzoek naar de waarschuwing.

Inzicht in het bereik van de inbreuk

Controleer de toestemmingstoekenningen voor de toepassing die is gemaakt door gebruikers en beheerders. Onderzoek alle activiteiten die door de app worden uitgevoerd, met name opsomming van gebruikersmapgegevens. Als u vermoedt dat de app verdacht is, kunt u overwegen de toepassing uit te schakelen en referenties van alle betrokken accounts te roteren.

Exfiltratiewaarschuwingen

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert gegevens te stelen die van belang zijn voor hun doel van uw organisatie.

OAuth-app met ongebruikelijke gebruikersagent

Ernst: Laag

MITRE ID: T1567

Deze detectie identificeert een OAuth-toepassing die gebruikmaakt van een ongebruikelijke gebruikersagent voor toegang tot de Graph API.

TP of FP?

  • TP: Als u kunt bevestigen dat de OAuth-app onlangs is begonnen met het gebruik van een nieuwe gebruikersagent die niet eerder is gebruikt en deze wijziging onverwacht is, wordt een terecht-positief aangegeven.

    Aanbevolen acties: controleer de gebruikte gebruikersagenten en eventuele recente wijzigingen in de toepassing. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te verbieden. Controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend.

  • FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk de apps die onlangs zijn gemaakt en de gebruikte gebruikersagenten.
  2. Bekijk alle activiteiten die door de app worden uitgevoerd. 
  3. Controleer de bereiken die door de app zijn verleend. 

App met een ongebruikelijke gebruikersagent heeft toegang tot e-mailgegevens via Exchange Web Services

Ernst: Hoog

MITRE ID: T1114, T1567

Deze detectie identificeert een OAuth-app die een ongebruikelijke gebruikersagent heeft gebruikt voor toegang tot e-mailgegevens met behulp van de Exchange Web Services-API.

TP of FP?

  • TP: Als u kunt bevestigen dat de OAuth-toepassing niet verwacht de gebruikersagent te wijzigen die wordt gebruikt voor het indienen van aanvragen bij de Exchange Web Services-API, wordt een terecht-positief aangegeven.

    Aanbevolen acties: De waarschuwing classificeren als een TP. Op basis van het onderzoek kunt u, als de app schadelijk is, toestemming intrekken en de app in de tenant uitschakelen. Als het een gecompromitteerde app is, kunt u de toestemmingen intrekken, de app tijdelijk uitschakelen, de machtigingen controleren, het geheim en certificaat opnieuw instellen en vervolgens de app opnieuw inschakelen.

  • FP: Als u na onderzoek kunt bevestigen dat de gebruikersagent die door de toepassing wordt gebruikt, een legitiem zakelijk gebruik heeft in de organisatie.

    Aanbevolen actie: De waarschuwing classificeren als een FP. Overweeg ook feedback te delen op basis van uw onderzoek naar de waarschuwing.

Inzicht in het bereik van de inbreuk

  1. Controleer of de toepassing nieuw is gemaakt of recente wijzigingen heeft aangebracht.
  2. Controleer de machtigingen die zijn verleend aan de toepassing en gebruikers die toestemming hebben gegeven voor de toepassing.
  3. Bekijk alle activiteiten die door de app worden uitgevoerd.

Waarschuwingen voor laterale verplaatsing

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor lateraal binnen verschillende resources kan worden verplaatst, terwijl u door meerdere systemen en accounts draait om meer controle te krijgen in uw organisatie.

Slapende OAuth-app die voornamelijk gebruikmaakt van MS Graph of Exchange Web Services, heeft onlangs toegang tot ARM-workloads gezien

Ernst: gemiddeld

MITRE-id: T1078.004

Deze detectie identificeert een toepassing in uw tenant die na een lange periode van slaapactiviteit voor het eerst toegang heeft tot de Azure Resource Manager-API. Voorheen gebruikt deze toepassing voornamelijk MS Graph of Exchange Web Service.

TP of FP?

  • TP: Als de app onbekend is of niet wordt gebruikt, is de opgegeven activiteit mogelijk verdacht en kan het nodig zijn om de app uit te schakelen, na het verifiëren van de Gebruikte Azure-resource en het valideren van het app-gebruik in de tenant.

    Aanbevolen acties:

    1. Controleer de Azure-resources die door de toepassing zijn geopend of gemaakt en eventuele recente wijzigingen in de toepassing.
    2. Controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend.
    3. Kies op basis van uw onderzoek of u de toegang tot deze app wilt verbieden.

  • FP: Als u na onderzoek kunt bevestigen dat de app legitiem zakelijk gebruik heeft in de organisatie.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Controleer de toegang en activiteit van de app.
  2. Bekijk alle activiteiten die door de app zijn uitgevoerd sinds het maken ervan.
  3. Controleer de bereiken die zijn verleend door de app in Graph API en de rol die eraan is verleend in uw abonnement.
  4. Controleer een gebruiker die de app heeft geopend vóór de activiteit.

Verzamelingswaarschuwingen

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert gegevens te verzamelen die interessant zijn voor hun doel van uw organisatie.

App heeft ongebruikelijke e-mailzoekactiviteiten uitgevoerd

Ernst: gemiddeld

MITRE-id: T1114

Deze detectie identificeert wanneer een app toestemming heeft gegeven voor verdacht OAuth-bereik en een groot aantal ongebruikelijke e-mailzoekactiviteiten heeft uitgevoerd, zoals het zoeken naar specifieke inhoud via de Graph API via e-mail. Dit kan duiden op een inbreuk op uw organisatie, zoals kwaadwillende personen die via Graph API specifieke e-mail van uw organisatie willen zoeken en lezen. 

TP of FP?

  • TP: Als u een groot aantal ongebruikelijke e-mailzoekopdrachten kunt bevestigen en activiteiten kunt lezen via de Graph API door een OAuth-app met een verdacht OAuth-bereik en of de app wordt geleverd vanuit een onbekende bron.

    Aanbevolen acties: schakel de app uit en verwijder deze, stel het wachtwoord opnieuw in en verwijder de regel voor Postvak IN. 

  • FP: Als u kunt bevestigen dat de app een groot aantal ongebruikelijke e-mailzoekopdrachten heeft uitgevoerd en om legitieme redenen via Graph API heeft gelezen.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Controleer de bereiken die door de app zijn verleend.
  2. Bekijk alle activiteiten die door de app worden uitgevoerd. 

App heeft afwijkende Graph-aanroepen gedaan om e-mail te lezen

Ernst: gemiddeld

MITRE-id: T1114

Deze detectie geeft aan wanneer de OAuth-app line-of-business (LOB) toegang heeft tot een ongebruikelijk en groot aantal e-mailmappen en berichten van gebruikers via de Graph API, wat kan duiden op een poging tot schending van uw organisatie.

TP of FP?

  • TP: Als u kunt bevestigen dat de ongebruikelijke grafiekactiviteit is uitgevoerd door de LOB-app (Line of Business), wordt een terecht-positief aangegeven.

    Aanbevolen acties: schakel de app tijdelijk uit en stel het wachtwoord opnieuw in en schakel de app vervolgens opnieuw in. Volg de zelfstudie over het opnieuw instellen van een wachtwoord met behulp van Microsoft Entra ID.

  • FP: Als u kunt bevestigen dat de app bedoeld is om ongebruikelijk veel grafiekoproepen uit te voeren.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk het activiteitenlogboek voor gebeurtenissen die door deze app worden uitgevoerd om meer inzicht te krijgen in andere Graph-activiteiten om e-mailberichten te lezen en gevoelige e-mailgegevens van gebruikers te verzamelen.
  2. Controleer of er onverwachte referenties worden toegevoegd aan de app.

App maakt een regel voor Postvak IN en heeft ongebruikelijke activiteiten voor e-mailzoekopdrachten uitgevoerd

Ernst: gemiddeld

MITRE-id's: T1137, T1114

Deze detectie identificeert app die is toegestaan voor een bereik met hoge bevoegdheden, maakt verdachte regels voor Postvak IN en maakte ongebruikelijke e-mailzoekactiviteiten in e-mailmappen van gebruikers via Graph API. Dit kan duiden op een poging tot schending van uw organisatie, zoals kwaadwillende personen die via Graph API specifieke e-mailberichten van uw organisatie willen zoeken en verzamelen.

TP of FP?

  • TP: Als u specifieke e-mailberichten kunt bevestigen die via Graph API door een OAuth-app met een hoog bevoegdheidsbereik worden uitgevoerd en de app wordt geleverd vanuit een onbekende bron.

    Aanbevolen actie: schakel de app uit en verwijder deze, stel het wachtwoord opnieuw in en verwijder de regel voor Postvak IN.

  • FP: Als u kunt bevestigen dat de app specifieke e-mailzoekopdrachten en -verzameling heeft uitgevoerd via Graph API en om legitieme redenen een regel voor Postvak IN heeft gemaakt voor een nieuw of persoonlijk extern e-mailaccount.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door de app worden uitgevoerd.
  2. Controleer de bereiken die door de app zijn verleend.
  3. Controleer een regelactie voor Postvak IN die door de app is gemaakt.
  4. Bekijk alle e-mailzoekactiviteiten die door de app worden uitgevoerd.

OneDrive-/SharePoint-zoekactiviteiten gemaakt en regel voor Postvak IN gemaakt

Ernst: gemiddeld

MITRE ID's: T1137, T1213

Deze detectie identificeert dat een app toestemming heeft gegeven voor een bereik met hoge bevoegdheden, een verdachte regel voor Postvak IN heeft gemaakt en ongebruikelijke SharePoint- of OneDrive-zoekactiviteiten heeft uitgevoerd via Graph API. Dit kan duiden op een inbreuk op uw organisatie, zoals kwaadwillende personen die specifieke gegevens uit SharePoint of OneDrive van uw organisatie willen zoeken en verzamelen via Graph API. 

TP of FP?

  • TP: Als u specifieke gegevens uit SharePoint of OneDrive kunt bevestigen die worden uitgevoerd via Graph API door een OAuth-app met een bereik met hoge bevoegdheden en de app wordt geleverd vanuit een onbekende bron. 

    Aanbevolen actie: schakel de app uit en verwijder deze, stel het wachtwoord opnieuw in en verwijder de regel voor Postvak IN. 

  • FP: Als u kunt bevestigen dat de app specifieke gegevens van SharePoint of OneDrive heeft uitgevoerd via Graph API door een OAuth-app en om legitieme redenen een regel voor Postvak IN heeft gemaakt voor een nieuw of persoonlijk extern e-mailaccount. 

    Aanbevolen actie: de waarschuwing sluiten

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door de app worden uitgevoerd. 
  2. Controleer de bereiken die door de app zijn verleend. 
  3. Controleer een regelactie voor Postvak IN die door de app is gemaakt. 
  4. Bekijk alle sharePoint- of OneDrive-zoekactiviteiten die door de app worden uitgevoerd.

App heeft talloze zoekopdrachten en bewerkingen uitgevoerd in OneDrive

Ernst: gemiddeld

MITRE-id's: T1137, T1213

Deze detectie identificeert OAuth-apps met machtigingen met hoge bevoegdheden die een groot aantal zoekopdrachten en bewerkingen uitvoeren in OneDrive met behulp van Graph API.

TP of FP?

  • TP: Als u kunt bevestigen dat een hoog gebruik van OneDrive-werkbelasting via Graph API niet wordt verwacht van deze OAuth-toepassing met hoge bevoegdheden voor lezen en schrijven naar OneDrive, wordt een terecht-positief aangegeven.

    Aanbevolen actie: als de toepassing schadelijk is, kunt u toestemmingen intrekken en de toepassing in de tenant uitschakelen. Als het een gecompromitteerde toepassing is, kunt u de toestemmingen intrekken, de app tijdelijk uitschakelen, de vereiste machtigingen controleren, het wachtwoord opnieuw instellen en vervolgens de app opnieuw inschakelen.

  • FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

    Aanbevolen actie: los de waarschuwing op en rapporteer uw bevindingen.

Inzicht in het bereik van de inbreuk

  1. Controleer of de app afkomstig is van een betrouwbare bron.
  2. Controleer of de toepassing nieuw is gemaakt of recente wijzigingen heeft aangebracht.
  3. Controleer de machtigingen die zijn verleend aan de toepassing en gebruikers die toestemming hebben gegeven voor de toepassing.
  4. Onderzoek alle andere app-activiteiten.

App heeft een groot aantal belangrijke e-mail gelezen en gemaakte regel voor Postvak IN gemaakt

Ernst: gemiddeld

MITRE-id's: T1137, T1114

Deze detectie identificeert dat een app toestemming heeft gegeven voor een bereik met hoge bevoegdheden, een verdachte regel voor Postvak IN maakt en een groot aantal belangrijke activiteiten voor het lezen van e-mail heeft gemaakt via Graph API. Dit kan duiden op een poging tot schending van uw organisatie, zoals kwaadwillende personen die e-mail van uw organisatie met hoge urgentie willen lezen via Graph API. 

TP of FP?

  • TP: Als u kunt bevestigen dat een groot aantal belangrijke e-mail door een OAuth-app met een hoog bevoegdheidsbereik door een OAuth-app wordt gelezen en de app wordt geleverd vanuit een onbekende bron. 

    Aanbevolen actie: schakel de app uit en verwijder deze, stel het wachtwoord opnieuw in en verwijder de regel voor Postvak IN. 

  • FP: Als u kunt bevestigen dat de app om legitieme redenen een groot aantal belangrijke e-mail heeft gelezen via Graph API en een regel voor Postvak IN heeft gemaakt voor een nieuw of persoonlijk extern e-mailaccount. 

    Aanbevolen actie: de waarschuwing sluiten

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door de app worden uitgevoerd. 
  2. Controleer de bereiken die door de app zijn verleend. 
  3. Controleer een regelactie voor Postvak IN die door de app is gemaakt. 
  4. Bekijk alle belangrijke e-mailleesactiviteiten die door de app worden uitgevoerd.

Bevoorrechte app heeft ongebruikelijke activiteiten uitgevoerd in Teams

Ernst: gemiddeld

Deze detectie identificeert apps die toestemming hebben gegeven voor OAuth-bereiken met hoge bevoegdheden, die Toegang hebben verkregen tot Microsoft Teams en een ongebruikelijk aantal activiteiten voor lezen of posten van chatberichten via Graph API hebben gemaakt. Dit kan duiden op een inbreuk op uw organisatie, zoals kwaadwillende personen die gegevens van uw organisatie willen verzamelen via Graph API.

TP of FP?

  • TP: Als u kunt bevestigen dat ongebruikelijke chatberichtenactiviteiten in Microsoft Teams via Graph API worden uitgevoerd door een OAuth-app met een bereik met hoge bevoegdheden en de app wordt geleverd vanuit een onbekende bron.

    Aanbevolen actie: de app uitschakelen en verwijderen en het wachtwoord opnieuw instellen

  • FP: Als u kunt bevestigen dat de ongebruikelijke activiteiten die zijn uitgevoerd in Microsoft Teams via Graph API, om legitieme redenen zijn.

    Aanbevolen actie: de waarschuwing sluiten

Inzicht in het bereik van de inbreuk

  1. Controleer de bereiken die door de app zijn verleend.
  2. Bekijk alle activiteiten die door de app worden uitgevoerd.
  3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

Afwijkende OneDrive-activiteit per app die zojuist nieuwe referenties heeft bijgewerkt of toegevoegd

Ernst: gemiddeld

MITRE-id's: T1098.001, T1213

Een niet-Microsoft-cloud-app heeft afwijkende Graph API-aanroepen gedaan naar OneDrive, inclusief gegevensgebruik met een hoog volume. Gedetecteerd door machine learning zijn deze ongebruikelijke API-aanroepen binnen een paar dagen nadat de app nieuwe of bijgewerkte bestaande certificaten/geheimen heeft toegevoegd. Deze app kan betrokken zijn bij gegevensexfiltratie of andere pogingen om gevoelige informatie te openen en op te halen.

TP of FP?

  • TP: Als u kunt bevestigen dat ongebruikelijke activiteiten, zoals hoog volumegebruik van oneDrive-werkbelasting, door de app zijn uitgevoerd via Graph API.

    Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app opnieuw in.

  • FP: Als u kunt bevestigen dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de app of dat de app bedoeld is om ongebruikelijk veel Graph-aanroepen te maken.

    Aanbevolen actie: de waarschuwing sluiten

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door de app worden uitgevoerd.
  2. Controleer de bereiken die door de app zijn verleend.
  3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

Afwijkende SharePoint-activiteit per app die zojuist nieuwe referenties heeft bijgewerkt of toegevoegd

Ernst: gemiddeld

MITRE-id's: T1098.001, T1213.002

Een niet-Microsoft-cloud-app heeft afwijkende Graph API-aanroepen gedaan naar SharePoint, inclusief gegevensgebruik met een hoog volume. Gedetecteerd door machine learning zijn deze ongebruikelijke API-aanroepen binnen een paar dagen nadat de app nieuwe of bijgewerkte bestaande certificaten/geheimen heeft toegevoegd. Deze app kan betrokken zijn bij gegevensexfiltratie of andere pogingen om gevoelige informatie te openen en op te halen.

TP of FP?

  • TP: Als u kunt bevestigen dat ongebruikelijke activiteiten, zoals hoog volumegebruik van SharePoint-werkbelasting, door de app zijn uitgevoerd via Graph API.

    Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app opnieuw in.

  • FP: Als u kunt bevestigen dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de app of dat de app bedoeld is om ongebruikelijk veel Graph-aanroepen te maken.

    Aanbevolen actie: de waarschuwing sluiten

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door de app worden uitgevoerd.
  2. Controleer de bereiken die door de app zijn verleend.
  3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

Ernst: gemiddeld

MITRE-id's: T1114

Met deze detectie worden waarschuwingen gegenereerd voor niet-Microsoft OAuth-apps met metagegevens, zoals naam, URL of uitgever, die eerder in apps met verdachte e-mailactiviteit waren waargenomen. Deze app maakt mogelijk deel uit van een aanvalscampagne en kan betrokken zijn bij exfiltratie van gevoelige informatie.

TP of FP?

  • TP: Als u kunt bevestigen dat de app postvakregels heeft gemaakt of een groot aantal ongebruikelijke Graph API-aanroepen naar de Exchange-workload heeft gemaakt.

    Aanbevolen actie:

    • Onderzoek de registratiegegevens van de app over app-governance en ga naar Microsoft Entra ID voor meer informatie.
    • Neem contact op met de gebruikers of beheerders die toestemming of machtigingen voor de app hebben verleend. Controleer of de wijzigingen opzettelijk zijn.
    • Zoek in de tabel Geavanceerde opsporing van CloudAppEvents om inzicht te krijgen in app-activiteit en gegevens te identificeren die door de app worden geopend. Controleer de betreffende postvakken en controleer berichten die mogelijk zijn gelezen of doorgestuurd door de app zelf of regels die zijn gemaakt.
    • Controleer of de app essentieel is voor uw organisatie voordat u eventuele insluitingsacties overweegt. Deactiveren van de app met behulp van app-governance of Microsoft Entra-id om te voorkomen dat deze toegang heeft tot resources. Bestaande beleidsregels voor app-governance hebben de app mogelijk al gedeactiveerd.

  • FP: Als u kunt bevestigen dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de app en dat de app een legitiem zakelijk gebruik in de organisatie heeft.

    Aanbevolen actie: de waarschuwing sluiten

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door de app worden uitgevoerd.
  2. Controleer de bereiken die aan de app zijn verleend.
  3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

App met EWS-toepassingsmachtigingen voor toegang tot talloze e-mailberichten

Ernst: gemiddeld

MITRE-id's: T1114

Met deze detectie worden waarschuwingen gegenereerd voor cloud-apps met meerdere tenants met EWS-toepassingsmachtigingen, met een aanzienlijke toename van aanroepen naar de Exchange Web Services-API die specifiek zijn voor opsomming en verzameling van e-mail. Deze app kan betrokken zijn bij het openen en ophalen van gevoelige e-mailgegevens.

TP of FP?

  • TP: Als u kunt bevestigen dat de app toegang heeft tot gevoelige e-mailgegevens of een groot aantal ongebruikelijke aanroepen naar de Exchange-workload heeft gedaan.

    Aanbevolen actie:

    • Onderzoek de registratiegegevens van de app over app-governance en ga naar Microsoft Entra ID voor meer informatie.
    • Neem contact op met de gebruikers of beheerders die toestemming of machtigingen voor de app hebben verleend. Controleer of de wijzigingen opzettelijk zijn.
    • Zoek in de tabel Geavanceerde opsporing van CloudAppEvents om inzicht te krijgen in app-activiteit en gegevens te identificeren die door de app worden geopend. Controleer de betreffende postvakken en controleer berichten die mogelijk zijn gelezen of doorgestuurd door de app zelf of regels die zijn gemaakt.
    • Controleer of de app essentieel is voor uw organisatie voordat u eventuele insluitingsacties overweegt. Deactiveren van de app met behulp van app-governance of Microsoft Entra-id om te voorkomen dat deze toegang heeft tot resources. Bestaande beleidsregels voor app-governance hebben de app mogelijk al gedeactiveerd.

  • FP: Als u kunt bevestigen dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de app en dat de app een legitiem zakelijk gebruik in de organisatie heeft.

    Aanbevolen actie: de waarschuwing sluiten

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door de app worden uitgevoerd.
  2. Controleer de bereiken die aan de app zijn verleend.
  3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

Ongebruikte app heeft onlangs toegang tot API's

Ernst: gemiddeld

MITRE-id's: T1530

Met deze detectie worden waarschuwingen gegenereerd voor een cloud-app met meerdere tenants die een tijdje inactief is geweest en onlangs is begonnen met het maken van API-aanroepen. Deze app kan worden aangetast door een aanvaller en wordt gebruikt om gevoelige gegevens te openen en op te halen.

TP of FP?

  • TP: Als u kunt bevestigen dat de app toegang heeft tot gevoelige gegevens of een groot aantal ongebruikelijke aanroepen naar Microsoft Graph-, Exchange- of Azure Resource Manager-workloads heeft uitgevoerd.

    Aanbevolen actie:

    • Onderzoek de registratiegegevens van de app over app-governance en ga naar Microsoft Entra ID voor meer informatie.
    • Neem contact op met de gebruikers of beheerders die toestemming of machtigingen voor de app hebben verleend. Controleer of de wijzigingen opzettelijk zijn.
    • Zoek in de tabel Geavanceerde opsporing van CloudAppEvents om inzicht te krijgen in app-activiteit en gegevens te identificeren die door de app worden geopend. Controleer de betreffende postvakken en controleer berichten die mogelijk zijn gelezen of doorgestuurd door de app zelf of regels die zijn gemaakt.
    • Controleer of de app essentieel is voor uw organisatie voordat u eventuele insluitingsacties overweegt. Deactiveren van de app met behulp van app-governance of Microsoft Entra-id om te voorkomen dat deze toegang heeft tot resources. Bestaande beleidsregels voor app-governance hebben de app mogelijk al gedeactiveerd.

  • FP: Als u kunt bevestigen dat er geen ongebruikelijke activiteiten zijn uitgevoerd door de app en dat de app een legitiem zakelijk gebruik in de organisatie heeft.

    Aanbevolen actie: de waarschuwing sluiten

Inzicht in het bereik van de inbreuk

  1. Bekijk alle activiteiten die door de app worden uitgevoerd.
  2. Controleer de bereiken die aan de app zijn verleend.
  3. Controleer de gebruikersactiviteit die is gekoppeld aan de app.

Impactwaarschuwingen

In deze sectie worden waarschuwingen beschreven die aangeven dat een kwaadwillende actor mogelijk probeert uw systemen en gegevens van uw organisatie te manipuleren, onderbreken of vernietigen.

Entra Line-Of-Business-app die een afwijkende piek initieert bij het maken van virtuele machines

Ernst: gemiddeld

MITRE ID: T1496

Deze detectie identificeert één tenant nieuwe OAuth-toepassing die bulksgewijs virtuele Azure-machines in uw tenant maakt met behulp van de Azure Resource Manager-API.

TP of FP?

  • TP: Als u kunt bevestigen dat de OAuth-app onlangs is gemaakt en grote aantallen virtuele machines in uw tenant maakt, wordt een terecht-positief aangegeven.

    Aanbevolen acties: controleer de virtuele machines die zijn gemaakt en eventuele recente wijzigingen in de toepassing. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te verbieden. Controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend.

  • FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk:

  1. Controleer de apps die onlangs zijn gemaakt en vm's die zijn gemaakt.
  2. Bekijk alle activiteiten die door de app zijn uitgevoerd sinds het maken ervan.
  3. Controleer de bereiken die zijn verleend door de app in Graph API en de rol die eraan zijn verleend in uw abonnement.

OAuth-app met bevoegdheden voor hoog bereik in Microsoft Graph is waargenomen bij het initiëren van het maken van virtuele machines

Ernst: gemiddeld

MITRE ID: T1496

Deze detectie identificeert OAuth-toepassing die bulksgewijs azure-VM's maakt in uw tenant met behulp van de Azure Resource Manager-API, terwijl deze hoge bevoegdheden heeft in de tenant via MS Graph API voordat de activiteit wordt uitgevoerd.

TP of FP?

  • TP: Als u kunt bevestigen dat de OAuth-app met een hoog bevoegdheidsbereik is gemaakt en grote aantallen virtuele machines in uw tenant maakt, wordt een terecht-positief aangegeven.

    Aanbevolen acties: controleer de virtuele machines die zijn gemaakt en eventuele recente wijzigingen in de toepassing. Op basis van uw onderzoek kunt u ervoor kiezen om de toegang tot deze app te verbieden. Controleer het machtigingsniveau dat door deze app is aangevraagd en welke gebruikers toegang hebben verleend.

  • FP: Als u na onderzoek kunt bevestigen dat de app een legitiem zakelijk gebruik heeft in de organisatie.

    Aanbevolen actie: De waarschuwing sluiten.

Inzicht in het bereik van de inbreuk:

  1. Controleer de apps die onlangs zijn gemaakt en vm's die zijn gemaakt.
  2. Bekijk alle activiteiten die door de app zijn uitgevoerd sinds het maken ervan.
  3. Controleer de bereiken die zijn verleend door de app in Graph API en de rol die eraan zijn verleend in uw abonnement.

Volgende stappen

Waarschuwingen voor app-beheer beheren