Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
App-governance biedt vooraf gedefinieerde waarschuwingen voor app-beleid voor afwijkende activiteiten. Het doel van deze handleiding is om u algemene en praktische informatie te bieden over elke waarschuwing, om u te helpen bij uw onderzoeks- en hersteltaken.
Deze handleiding bevat algemene informatie over de voorwaarden voor het activeren van waarschuwingen. Omdat vooraf gedefinieerde beleidsregels van nature niet-deterministisch zijn, worden ze alleen geactiveerd wanneer er gedrag is dat afwijkt van de norm.
Tip
Sommige waarschuwingen zijn mogelijk in preview, dus controleer regelmatig de bijgewerkte waarschuwingsstatussen.
Classificaties van beveiligingswaarschuwingen
Na het juiste onderzoek kunnen alle waarschuwingen voor app-governance worden ingedeeld in een van de volgende activiteitstypen:
- Waar positief (TP): een waarschuwing over een bevestigde schadelijke activiteit.
- Goedaardig waar positief (B-TP): een waarschuwing bij verdachte maar niet schadelijke activiteiten, zoals een penetratietest of andere geautoriseerde verdachte actie.
- Fout-positief (FP): een waarschuwing voor een niet-kwaadaardige activiteit.
Algemene onderzoeksstappen
Gebruik de volgende algemene richtlijnen bij het onderzoeken van een type waarschuwing om een duidelijker beeld te krijgen van de mogelijke bedreiging voordat u de aanbevolen actie toepast.
Controleer het ernstniveau van de app en vergelijk deze met de rest van de apps in uw Tenant. Met deze beoordeling kunt u bepalen welke apps in uw tenant een groter risico vormen.
Als u een TP identificeert, bekijkt u alle app-activiteiten om inzicht te krijgen in de impact. Bekijk bijvoorbeeld de volgende app-informatie:
- Bereiken waarvoor toegang is verleend
- Ongebruikelijk gedrag
- IP-adres en locatie
Vooraf gedefinieerde waarschuwingen voor app-beleid
Deze sectie bevat informatie over elke vooraf gedefinieerde beleidswaarschuwing, samen met stappen voor onderzoek en herstel.
Toename van het gegevensgebruik door een app met een te hoge bevoegdheid of een app met hoge bevoegdheden
Opmerking
Als onderdeel van onze voortdurende inspanningen om de nauwkeurigheid van waarschuwingen voor Defender for Cloud-apps te verbeteren, hebben we dit beleid uitgeschakeld. Dit beleid blijft zichtbaar in de Defender-portal met de status Uitgeschakeld. Als u dit beleid wilt blijven gebruiken, gaat u in de Defender-portal naar App-beheer en vervolgens naar de pagina Beleid . Selecteer het beleid en selecteer vervolgens Activeren.
Ernst: gemiddeld
Zoek apps met krachtige of ongebruikte machtigingen die een plotselinge toename van het gegevensgebruik vertonen via Graph API. Ongebruikelijke wijzigingen in het gegevensgebruik kunnen duiden op inbreuk.
TP of FP?
Als u wilt bepalen of de waarschuwing een waar-positief (TP) of een fout-positief (FP) is, controleert u alle activiteiten die door de app worden uitgevoerd, de bereiken die zijn verleend aan de app en de gebruikersactiviteit die aan de app is gekoppeld.
TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de toename van het gegevensgebruik door een app met een te hoge bevoegdheid onregelmatig of mogelijk schadelijk is.
Aanbevolen actie: Neem contact op met gebruikers over de app-activiteiten die de toename van het gegevensgebruik hebben veroorzaakt. Schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app vervolgens opnieuw in.
FP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de gedetecteerde app-activiteit bedoeld is en een legitiem zakelijk gebruik in de organisatie heeft.
Aanbevolen actie: sluit de waarschuwing.
Ongebruikelijke activiteit van een app met toestemming van een prioriteitsaccount
Opmerking
Als onderdeel van onze voortdurende inspanningen om de nauwkeurigheid van waarschuwingen voor Defender for Cloud-apps te verbeteren, hebben we dit beleid uitgeschakeld. Dit beleid blijft zichtbaar in de Defender-portal met de status Uitgeschakeld. Als u dit beleid wilt blijven gebruiken, gaat u in de Defender-portal naar App-beheer en vervolgens naar de pagina Beleid . Selecteer het beleid en selecteer vervolgens Activeren.
Ernst: gemiddeld
Ongebruikelijke toenamen in gegevensgebruik of Graph API toegangsfouten vinden die worden weergegeven door apps die toestemming hebben gekregen van een prioriteitsaccount.
TP of FP?
Controleer alle activiteiten die door de app worden uitgevoerd, de bereiken die zijn verleend aan de app en de gebruikersactiviteit die aan de app is gekoppeld.
TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de toename van gegevensgebruik of API-toegangsfouten door een app met toestemming van een prioriteitsaccount zeer onregelmatig of mogelijk schadelijk is.
Aanbevolen actie: neem contact op met gebruikers van prioriteitsaccounts over de app-activiteiten die de toename van het gegevensgebruik of api-toegangsfouten hebben veroorzaakt. Schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app vervolgens opnieuw in.
FP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de gedetecteerde app-activiteit bedoeld is en een legitiem zakelijk gebruik in de organisatie heeft.
Aanbevolen actie: sluit de waarschuwing.
Nieuwe app met een lage toestemmingsfrequentie
Ernst: gemiddeld
Toestemmingsaanvragen van een zojuist gemaakte app zijn regelmatig geweigerd door gebruikers. Gebruikers weigeren doorgaans toestemmingsaanvragen van apps die onverwacht gedrag vertonen of afkomstig zijn van een niet-vertrouwde bron. Apps met lage toestemmingspercentages zijn waarschijnlijk riskant of schadelijk.
TP of FP?
Controleer alle activiteiten die door de app worden uitgevoerd, de bereiken die zijn verleend aan de app en de gebruikersactiviteit die aan de app is gekoppeld.
TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de app afkomstig is van een onbekende bron en dat de activiteiten zeer onregelmatig of mogelijk schadelijk zijn.
Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app vervolgens opnieuw in.
FP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de gedetecteerde app-activiteit legitiem is.
Aanbevolen actie: sluit de waarschuwing.
Piek in Graph API oproepen naar OneDrive
Ernst: gemiddeld
Een cloud-app heeft een aanzienlijke toename in Graph API aanroepen naar OneDrive laten zien. Deze app kan betrokken zijn bij gegevensexfiltratie of andere pogingen om gevoelige gegevens te openen en op te halen.
TP of FP?
Controleer alle activiteiten die door de app worden uitgevoerd, de bereiken die zijn verleend aan de app en de gebruikersactiviteit die aan de app is gekoppeld.
TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat zeer onregelmatige, mogelijk schadelijke activiteiten hebben geleid tot de gedetecteerde toename van OneDrive-gebruik.
Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app vervolgens opnieuw in.
FP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de gedetecteerde app-activiteit legitiem is.
Aanbevolen actie: sluit de waarschuwing.
Piek in Graph API oproepen naar SharePoint
Ernst: gemiddeld
Een cloud-app heeft een aanzienlijke toename van Graph API aanroepen naar SharePoint laten zien. Deze app kan betrokken zijn bij gegevensexfiltratie of andere pogingen om gevoelige gegevens te openen en op te halen.
TP of FP?
Controleer alle activiteiten die door de app worden uitgevoerd, de bereiken die zijn verleend aan de app en de gebruikersactiviteit die aan de app is gekoppeld.
TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat zeer onregelmatige, mogelijk schadelijke activiteiten hebben geleid tot de gedetecteerde toename van het SharePoint-gebruik.
Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app vervolgens opnieuw in.
FP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de gedetecteerde app-activiteit legitiem is.
Aanbevolen actie: sluit de waarschuwing.
Piek in Graph API aanroepen naar Exchange
Ernst: gemiddeld
Een cloud-app heeft een aanzienlijke toename van Graph API aanroepen naar Exchange laten zien. Deze app kan betrokken zijn bij gegevensexfiltratie of andere pogingen om gevoelige gegevens te openen en op te halen.
TP of FP?
Controleer alle activiteiten die door de app worden uitgevoerd, de bereiken die zijn verleend aan de app en de gebruikersactiviteit die aan de app is gekoppeld.
TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat zeer onregelmatige, mogelijk schadelijke activiteiten hebben geleid tot de gedetecteerde toename van het Exchange-gebruik.
Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app vervolgens opnieuw in.
FP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de gedetecteerde app-activiteit legitiem is.
Aanbevolen actie: sluit de waarschuwing.
Verdachte app met toegang tot meerdere Microsoft 365-services
Ernst: gemiddeld
Zoek apps met OAuth-toegang tot meerdere Microsoft 365-services die statistisch afwijkende Graph API activiteit hebben vertoond na een certificaat of geheime update. Door deze apps te identificeren en te controleren op inbreuk, kunt u laterale verplaatsing, gegevensexfiltratie en andere schadelijke activiteiten voorkomen die door mappen, e-mails en andere services in de cloud gaan.
TP of FP?
Controleer alle activiteiten die door de app worden uitgevoerd, de bereiken die zijn verleend aan de app en de gebruikersactiviteit die aan de app is gekoppeld.
TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de updates voor app-certificaten of -geheimen en andere app-activiteiten zeer onregelmatig of mogelijk schadelijk zijn.
Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app vervolgens opnieuw in.
FP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de gedetecteerde app-activiteit legitiem is.
Aanbevolen actie: sluit de waarschuwing.
Hoog volume van de activiteit voor het maken van regels voor Postvak IN door een app
Ernst: gemiddeld
Een app heeft een groot aantal Graph API aanroepen gedaan om Regels voor Postvak IN van Exchange te maken. Deze app is mogelijk betrokken bij het verzamelen en exfiltratie van gegevens of andere pogingen om gevoelige informatie te openen en op te halen.
TP of FP?
Controleer alle activiteiten die door de app worden uitgevoerd, de bereiken die zijn verleend aan de app en de gebruikersactiviteit die aan de app is gekoppeld.
TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat het maken van regels voor Postvak IN en andere activiteiten zeer onregelmatig of mogelijk schadelijk zijn.
Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app vervolgens opnieuw in.
FP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de gedetecteerde app-activiteit legitiem is.
Aanbevolen actie: sluit de waarschuwing.
Groot volume van e-mailzoekactiviteit door een app
Ernst: gemiddeld
Een app heeft een groot aantal Graph API aanroepen gedaan om exchange-e-mailinhoud te doorzoeken. Deze app is mogelijk betrokken bij het verzamelen van gegevens of andere pogingen om gevoelige informatie te openen en op te halen.
TP of FP?
Controleer alle activiteiten die door de app worden uitgevoerd, de bereiken die zijn verleend aan de app en de gebruikersactiviteit die aan de app is gekoppeld.
TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de inhoudszoekopdrachten op Exchange en andere activiteiten zeer onregelmatig of mogelijk schadelijk zijn.
Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app vervolgens opnieuw in.
FP: Als u kunt bevestigen dat er geen ongebruikelijke e-mailzoekactiviteiten zijn uitgevoerd door de app of dat de app is bedoeld om ongebruikelijke e-mailzoekactiviteiten uit te voeren via Graph API.
Aanbevolen actie: sluit de waarschuwing.
Grote hoeveelheid e-mailverzendingsactiviteit door een app
Ernst: gemiddeld
Een app heeft een groot aantal Graph API oproepen gedaan om e-mailberichten te verzenden met behulp van Exchange Online. Deze app is mogelijk betrokken bij het verzamelen en exfiltratie van gegevens of andere pogingen om gevoelige informatie te openen en op te halen.
TP of FP?
Controleer alle activiteiten die door de app worden uitgevoerd, de bereiken die zijn verleend aan de app en de gebruikersactiviteit die aan de app is gekoppeld.
TP: Pas deze aanbevolen actie toe als u hebt bevestigd dat het verzenden van e-mailberichten en andere activiteiten zeer onregelmatig of mogelijk schadelijk is.
Aanbevolen actie: schakel de app tijdelijk uit, stel het wachtwoord opnieuw in en schakel de app vervolgens opnieuw in.
FP: als u kunt bevestigen dat er geen ongebruikelijke e-mailverzendingsactiviteiten zijn uitgevoerd door de app of dat de app is bedoeld om ongebruikelijke e-mailverzendingsactiviteiten te maken via Graph API.
Aanbevolen actie: sluit de waarschuwing.
Toegang tot gevoelige gegevens
Opmerking
Als onderdeel van onze voortdurende inspanningen om de nauwkeurigheid van waarschuwingen voor Defender for Cloud-apps te verbeteren, hebben we dit beleid uitgeschakeld. Dit beleid blijft zichtbaar in de Defender-portal met de status Uitgeschakeld. Als u dit beleid wilt blijven gebruiken, gaat u in de Defender-portal naar App-beheer en vervolgens naar de pagina Beleid . Selecteer het beleid en selecteer vervolgens Activeren.
Ernst: gemiddeld
Apps zoeken die toegang hebben tot gevoelige gegevens die zijn geïdentificeerd door specifieke vertrouwelijkheidslabels.
TP of FP?
Als u wilt bepalen of de waarschuwing een waar-positief (TP) of een fout-positief (FP) is, controleert u de resources die door de app worden geopend.
TP: pas deze aanbevolen actie toe als u hebt bevestigd dat de app of de gedetecteerde activiteit onregelmatig of mogelijk schadelijk is.
Aanbevolen actie: Voorkom dat de app toegang heeft tot resources door deze te deactiveren vanuit Microsoft Entra ID.
FP: Pas deze aanbevolen actie toe als u hebt bevestigd dat de app legitiem zakelijk gebruik heeft in de organisatie en de gedetecteerde activiteit werd verwacht.
Aanbevolen actie: sluit de waarschuwing.
Volgende stappen
Meer informatie over detectie en herstel van app-bedreigingen