Vooraf gedefinieerde app-beleidswaarschuwingen onderzoeken

App-governance biedt vooraf gedefinieerde waarschuwingen voor app-beleid voor afwijkende activiteiten. Het doel van deze handleiding is om u algemene en praktische informatie over elke waarschuwing te geven, om u te helpen bij uw onderzoek en hersteltaken.

Deze handleiding bevat algemene informatie over de voorwaarden voor het activeren van waarschuwingen. Omdat vooraf gedefinieerde beleidsregels niet-deterministisch van aard zijn, worden ze alleen geactiveerd wanneer er gedrag is dat afwijkt van de norm.

Tip

Sommige waarschuwingen zijn mogelijk in preview, dus controleer regelmatig de bijgewerkte waarschuwingsstatussen.

Classificaties van beveiligingswaarschuwingen

Na een goed onderzoek kunnen alle waarschuwingen voor app-governance worden geclassificeerd in een van de volgende activiteitstypen:

• Terecht positief (TP): een waarschuwing over een bevestigde schadelijke activiteit.
• Goedaardig terecht positief (B-TP): een waarschuwing over verdachte maar niet schadelijke activiteiten, zoals een penetratietest of andere geautoriseerde verdachte actie.
• Fout-positief (FP): een waarschuwing over een niet-onbetrouwbale activiteit.

Algemene onderzoeksstappen

Gebruik de volgende algemene richtlijnen bij het onderzoeken van elk type waarschuwing om een duidelijker inzicht te krijgen in de mogelijke bedreiging voordat u de aanbevolen actie toepast.

1. Controleer het ernstniveau van de app en vergelijk met de rest van de apps in uw tenant. Deze beoordeling helpt u bij het identificeren van welke apps in uw tenant een groter risico vormen.

2. Als u een TP identificeert, bekijkt u alle app-activiteiten om inzicht te krijgen in de impact. Bekijk bijvoorbeeld de volgende app-informatie:

   • Bereiken die toegang hebben verleend
   • Ongebruikelijk gedrag
   • IP-adres en -locatie

Waarschuwingen voor vooraf gedefinieerd app-beleid

Deze sectie bevat informatie over elke vooraf gedefinieerde beleidswaarschuwing, samen met de stappen voor onderzoek en herstel.

Toename van het gegevensgebruik door een overprivilegeerde of app met hoge bevoegdheden

Ernst: gemiddeld

Zoek apps met krachtige of ongebruikte machtigingen die plotselinge toename van het gegevensgebruik vertonen via Graph API. Ongebruikelijke wijzigingen in het gegevensgebruik kunnen duiden op inbreuk.

TP of FP?

Als u wilt bepalen of de waarschuwing een terecht-positief (TP) of een fout-positief (FP) is, controleert u alle activiteiten die door de app worden uitgevoerd, bereiken die zijn verleend aan de app en gebruikersactiviteit die aan de app is gekoppeld.

• TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de toename van het gegevensgebruik door een te hoge of zeer bevoegde app onregelmatig of mogelijk schadelijk is.

  Aanbevolen actie: Neem contact op met gebruikers over de app-activiteiten die de toename van het gegevensgebruik hebben veroorzaakt. Schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app opnieuw in.

• FP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de gedetecteerde app-activiteit is bedoeld en een legitiem zakelijk gebruik in de organisatie heeft.

  Aanbevolen actie: De waarschuwing sluiten.

Ongebruikelijke activiteit van een app met toestemming van een prioriteitsaccount

Ernst: gemiddeld

Ongebruikelijke toenames in gegevensgebruik of Graph API-toegangsfouten die worden weergegeven door apps die toestemming hebben gegeven door een prioriteitsaccount.

TP of FP?

Bekijk alle activiteiten die door de app worden uitgevoerd, bereiken die zijn verleend aan de app en gebruikersactiviteit die aan de app is gekoppeld.

• TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de toename van gegevensgebruik of API-toegangsfouten door een app met toestemming van een prioriteitsaccount zeer onregelmatig of mogelijk schadelijk is.

  Aanbevolen actie: Neem contact op met accountgebruikers met prioriteit over de app-activiteiten die de toename van gegevensgebruik of API-toegangsfouten hebben veroorzaakt. Schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app opnieuw in.

• FP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de gedetecteerde app-activiteit is bedoeld en een legitiem zakelijk gebruik in de organisatie heeft.

  Aanbevolen actie: De waarschuwing sluiten.

Nieuwe app met een lage toestemmingsfrequentie

Ernst: gemiddeld

Toestemmingsaanvragen van een zojuist gemaakte app zijn vaak geweigerd door gebruikers. Gebruikers weigeren meestal toestemmingsaanvragen van apps die onverwacht gedrag vertonen of afkomstig zijn van een niet-vertrouwde bron. Apps met een lage toestemmingsfrequentie zijn waarschijnlijk riskant of schadelijk.

TP of FP?

Bekijk alle activiteiten die door de app worden uitgevoerd, bereiken die zijn verleend aan de app en gebruikersactiviteit die aan de app is gekoppeld.

• TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de app afkomstig is van een onbekende bron en zijn activiteiten zeer onregelmatig of mogelijk schadelijk zijn.

  Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app opnieuw in.

• FP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de gedetecteerde app-activiteit legitiem is.

  Aanbevolen actie: De waarschuwing sluiten.

Piek in Graph API-aanroepen naar OneDrive

Ernst: gemiddeld

Een cloud-app liet een aanzienlijke toename zien in Graph API-aanroepen naar OneDrive. Deze app kan betrokken zijn bij gegevensexfiltratie of andere pogingen om gevoelige gegevens te openen en op te halen.

TP of FP?

Bekijk alle activiteiten die door de app worden uitgevoerd, bereiken die zijn verleend aan de app en gebruikersactiviteit die aan de app is gekoppeld.

• TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat zeer onregelmatige, mogelijk schadelijke activiteiten hebben geresulteerd in de gedetecteerde toename van oneDrive-gebruik.

  Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app opnieuw in.

• FP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de gedetecteerde app-activiteit legitiem is.

  Aanbevolen actie: De waarschuwing sluiten.

Piek in Graph API-aanroepen naar SharePoint

Ernst: gemiddeld

Een cloud-app heeft een aanzienlijke toename van Graph API-aanroepen naar SharePoint laten zien. Deze app kan betrokken zijn bij gegevensexfiltratie of andere pogingen om gevoelige gegevens te openen en op te halen.

TP of FP?

Bekijk alle activiteiten die door de app worden uitgevoerd, bereiken die zijn verleend aan de app en gebruikersactiviteit die aan de app is gekoppeld.

• TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat zeer onregelmatige, mogelijk schadelijke activiteiten hebben geresulteerd in de gedetecteerde toename van het SharePoint-gebruik.

  Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app opnieuw in.

• FP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de gedetecteerde app-activiteit legitiem is.

  Aanbevolen actie: De waarschuwing sluiten.

Piek in Graph API-aanroepen naar Exchange

Ernst: gemiddeld

Een cloud-app heeft een aanzienlijke toename van Graph API-aanroepen naar Exchange aangetoond. Deze app kan betrokken zijn bij gegevensexfiltratie of andere pogingen om gevoelige gegevens te openen en op te halen.

TP of FP?

Bekijk alle activiteiten die door de app worden uitgevoerd, bereiken die zijn verleend aan de app en gebruikersactiviteit die aan de app is gekoppeld.

• TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat zeer onregelmatige, mogelijk schadelijke activiteiten hebben geresulteerd in de gedetecteerde toename van het Exchange-gebruik.

  Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app opnieuw in.

• FP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de gedetecteerde app-activiteit legitiem is.

  Aanbevolen actie: De waarschuwing sluiten.

Verdachte app met toegang tot meerdere Microsoft 365-services

Ernst: gemiddeld

Zoek apps met OAuth-toegang tot meerdere Microsoft 365-services die statistisch afwijkende Graph API-activiteit hebben vertoond na een certificaat- of geheime update. Door deze apps te identificeren en te controleren op inbreuk, kunt u laterale verplaatsing, gegevensexfiltratie en andere schadelijke activiteiten voorkomen die cloudmappen, e-mailberichten en andere services doorkruisen.

TP of FP?

Bekijk alle activiteiten die door de app worden uitgevoerd, bereiken die zijn verleend aan de app en gebruikersactiviteit die aan de app is gekoppeld.

• TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de updates voor app-certificaten of -geheimen en andere app-activiteiten zeer onregelmatig of mogelijk schadelijk zijn.

  Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app opnieuw in.

• FP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de gedetecteerde app-activiteit legitiem is.

  Aanbevolen actie: De waarschuwing sluiten.

Grote hoeveelheid activiteit voor het maken van regels voor Postvak IN door een app

Ernst: gemiddeld

Een app heeft een groot aantal Graph API-aanroepen gedaan om Regels voor Postvak IN van Exchange te maken. Deze app kan betrokken zijn bij het verzamelen en exfiltratie van gegevens of andere pogingen om gevoelige informatie te openen en op te halen.

TP of FP?

Bekijk alle activiteiten die door de app worden uitgevoerd, bereiken die zijn verleend aan de app en gebruikersactiviteit die aan de app is gekoppeld.

• TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat het maken van regels voor Postvak IN en andere activiteiten zeer onregelmatig of mogelijk schadelijk zijn.

  Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app opnieuw in.

• FP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de gedetecteerde app-activiteit legitiem is.

  Aanbevolen actie: De waarschuwing sluiten.

Grote hoeveelheid e-mailzoekactiviteit per app

Ernst: gemiddeld

Een app heeft een groot aantal Graph API-aanroepen gedaan om te zoeken naar Exchange-e-mailinhoud. Deze app kan betrokken zijn bij het verzamelen van gegevens of andere pogingen om gevoelige informatie te openen en op te halen.

TP of FP?

Bekijk alle activiteiten die door de app worden uitgevoerd, bereiken die zijn verleend aan de app en gebruikersactiviteit die aan de app is gekoppeld.

• TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de inhoudszoekopdrachten in Exchange en andere activiteiten zeer onregelmatig of mogelijk schadelijk zijn geweest.

  Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app opnieuw in.

• FP: Als u kunt bevestigen dat er geen ongebruikelijke e-mailzoekactiviteiten zijn uitgevoerd door de app of dat de app is bedoeld om ongebruikelijke e-mailzoekactiviteiten te maken via Graph API.

  Aanbevolen actie: De waarschuwing sluiten.

Grote hoeveelheid e-mailverzending door een app

Ernst: gemiddeld

Een app heeft een groot aantal Graph API-aanroepen gedaan om e-mailberichten te verzenden met Exchange Online. Deze app kan betrokken zijn bij het verzamelen en exfiltratie van gegevens of andere pogingen om gevoelige informatie te openen en op te halen.

TP of FP?

Bekijk alle activiteiten die door de app worden uitgevoerd, bereiken die zijn verleend aan de app en gebruikersactiviteit die aan de app is gekoppeld.

• TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat het verzenden van e-mailberichten en andere activiteiten zeer onregelmatig of mogelijk schadelijk is geweest.

  Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app opnieuw in.

• FP: Als u kunt bevestigen dat er geen ongebruikelijke activiteiten voor het verzenden van e-mail zijn uitgevoerd door de app of dat de app bedoeld is om ongebruikelijke e-mailactiviteiten te verzenden via Graph API.

  Aanbevolen actie: De waarschuwing sluiten.

Toegang tot gevoelige gegevens

Ernst: gemiddeld

Apps zoeken die toegang hebben tot gevoelige gegevens die worden geïdentificeerd door specifieke labels.

TP of FP?

Als u wilt bepalen of de waarschuwing een terecht-positief (TP) of een fout-positief (FP) is, controleert u de resources die door de app worden geopend.

• TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de app of de gedetecteerde activiteit onregelmatig of mogelijk schadelijk is.

  Aanbevolen actie: Voorkom dat de app toegang heeft tot resources door deze uit Microsoft Entra-id te deactiveren.

• FP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de app legitiem zakelijk gebruik heeft in de organisatie en dat de gedetecteerde activiteit werd verwacht.

  Aanbevolen actie: De waarschuwing sluiten.

Volgende stappen

Meer informatie over detectie en herstel van app-bedreigingen