Investigar alertas de detecção de ameaças

A governança de aplicativos fornece detecções de segurança e alertas para atividades maliciosas. Esse artigo lista detalhes de cada alerta que pode ajudar sua investigação e correção, incluindo as condições para disparar alertas. Como as detecções de ameaças são não determinísticas por natureza, elas só são acionadas quando há um comportamento que se desvia da norma.

Para obter mais informações, consulte Governança de aplicativos no Microsoft Defender para Aplicativos de Nuvem

Observação

As detecções de ameaças de governança de aplicativos são baseadas na contagem de atividades em dados que são transitórios e podem não ser armazenados, portanto, os alertas podem fornecer o número de atividades ou indicações de picos, mas não necessariamente todos os dados relevantes. Especificamente para atividades da API gráfica de aplicativos OAuth, as próprias atividades podem ser auditadas pelo locatário usando o Log Analytics e o Sentinel.

Para obter mais informações, consulte:

• Acessar logs de atividades do Microsoft Graph
• Analisar logs de atividades usando o Log Analytics

MITRE ATT&CK

Para facilitar o mapeamento da relação entre os alertas de governança do aplicativo e a conhecida Matriz MITRE ATT&CK, categorizamos os alertas pela tática MITRE ATT&CK correspondente. Essa referência extra facilita a compreensão da técnica de ataques suspeitos potencialmente em uso quando o alerta de governança de aplicativos é acionado.

Este guia fornece informações sobre como investigar e corrigir os alertas de governança de aplicativos nas categorias a seguir.

• Acesso inicial
• Execução
• Persistência
• Escalonamento de Privilégios
• Evasão de defesa
• Acesso com credencial
• Discovery
• Movimentação lateral
• Coleção
• Exfiltração
• Impacto

Classificações dos alertas de segurança

Após uma investigação adequada, todos os alertas de governança de aplicativos podem ser classificados como um dos seguintes tipos de atividade:

• Verdadeiro positivo (TP): um alerta sobre uma atividade maliciosa confirmada.
• Verdadeiro positivo benigno (B-TP): um alerta sobre uma atividade suspeita, mas não maliciosa, como um teste de penetração ou outra ação suspeita autorizada.
• Falso positivo (FP): um alerta sobre uma atividade não mal-intencionada.

Etapas gerais de investigação

Use as diretrizes gerais a seguir ao investigar qualquer tipo de alerta para obter uma compreensão mais clara da ameaça em potencial antes de aplicar a ação recomendada.

• Analise o nível de gravidade do aplicativo e compare-o com o restante dos aplicativos no seu locatário. Essa análise ajuda você a identificar quais aplicativos em seu locatário representam o maior risco.

• Se você identificar um TP, revise todas as atividades do aplicativo para entender o impacto. Por exemplo, reveja as seguintes informações do aplicativo:

  • Escopos com acesso concedido
  • Comportamento incomum
  • Endereço IP e localização

Alertas de acesso inicial

Esta seção descreve alertas indicando que um aplicativo mal-intencionado pode estar tentando manter uma posição na sua organização.

O aplicativo redireciona para a URL de phishing explorando a vulnerabilidade de redirecionamento OAuth

Gravidade: Média

Essa detecção identifica aplicativos OAuth redirecionando para URLs de phishing explorando o parâmetro de tipo de resposta na implementação do OAuth por meio da API do Microsoft Graph.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo OAuth foi entregue de uma fonte desconhecida, o tipo de resposta da URL de resposta após consentir com o aplicativo OAuth conterá uma solicitação inválida e redirecionará para uma URL de resposta desconhecida ou não confiável.

  Ação recomendada: desabilite e remova o aplicativo, redefina a senha e remova a regra da caixa de entrada. 

• FP: Se após a investigação, é possível confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Revise todas as atividades feitas pelo aplicativo. 
2. Revise os escopos concedidos pelo aplicativo. 

Aplicativo OAuth com URL de resposta suspeita

Gravidade: Média

Essa detecção identifica que um aplicativo OAuth acessou uma URL de resposta suspeita por meio da API do Microsoft Graph.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo OAuth é entregue de uma fonte desconhecida e redireciona para uma URL suspeita, um verdadeiro positivo é indicado. Uma URL suspeita é aquela em que a reputação da URL é desconhecida, não confiável ou cujo domínio foi registrado recentemente e a solicitação do aplicativo é para um escopo de alto privilégio.

  Ação recomendada: revise a URL de resposta, os domínios e os escopos solicitados pelo aplicativo. Com base em sua investigação, é possível optar por proibir o acesso a este aplicativo. Analise o nível de permissão solicitado por este aplicativo e quais usuários recebem acesso.

  Para proibir o acesso ao aplicativo, vá para a guia relevante do seu aplicativo na página Governança do aplicativo. Na linha em que o aplicativo que você deseja banir aparece, selecione o ícone de banimento. Você pode escolher se deseja informar os usuários de que o aplicativo instalado e autorizado foi vetado. A notificação permite que os usuários saibam que o aplicativo será desabilitado e eles não terão acesso ao aplicativo conectado. Se não quiser que eles saibam, cancele a seleção de Notificar os usuários que concederam acesso a esse aplicativo vetado na caixa de diálogo. É recomendável que você informe os usuários do aplicativo que ele está prestes a ter o uso vetado.

• FP: Se após a investigação, é possível confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Analise os aplicativos criados recentemente e suas URLs de resposta.

2. Revise todas as atividades feitas pelo aplicativo. 

3. Revise os escopos concedidos pelo aplicativo. 

Aplicativo criado recentemente tem baixa taxa de consentimento

Gravidade: Baixa

Essa detecção identifica um aplicativo OAuth que foi criado recentemente e que apresentou baixa taxa de consentimento. Isso pode indicar um aplicativo malicioso ou arriscado que atrai usuários em concessões de consentimento ilícito.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo OAuth é entregue de uma fonte desconhecida, um verdadeiro positivo será indicado.

  Ação recomendada: revise o nome para exibição, as URLs de resposta e os domínios do aplicativo. Com base em sua investigação, é possível optar por proibir o acesso a este aplicativo. Analise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

• FP: Se após a investigação, é possível confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Revise todas as atividades feitas pelo aplicativo.
2. Se você suspeitar de que um aplicativo é suspeito, recomendamos que investigue o nome do aplicativo e o domínio de resposta em diferentes lojas de aplicativos. Ao verificar as lojas de aplicativos, concentre-se nos seguintes tipos de aplicativos:
   • Aplicativos que foram criados recentemente
   • Aplicativo com nome de exibição incomum
   • Aplicativos com um domínio de resposta suspeito
3. Se você ainda suspeitar de que um aplicativo é suspeito, poderá pesquisar o nome de exibição do aplicativo e o domínio de resposta.

Aplicativo com má reputação de URL

Gravidade: Média

Essa detecção identifica um aplicativo OAuth que foi encontrado com má reputação de URL.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo OAuth é entregue de uma fonte desconhecida e redireciona para uma URL suspeita, um verdadeiro positivo é indicado.

  Ação recomendada: revise os URLs de resposta, domínios e escopos solicitados pelo aplicativo. Com base em sua investigação, é possível optar por proibir o acesso a este aplicativo. Analise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

• FP: Se após a investigação, é possível confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Revise todas as atividades feitas pelo aplicativo.
2. Se você suspeitar de que um aplicativo é suspeito, recomendamos que investigue o nome do aplicativo e o domínio de resposta em diferentes lojas de aplicativos. Ao verificar as lojas de aplicativos, concentre-se nos seguintes tipos de aplicativos:
   • Aplicativos que foram criados recentemente
   • Aplicativo com nome de exibição incomum
   • Aplicativos com um domínio de resposta suspeito
3. Se você ainda suspeitar de que um aplicativo é suspeito, poderá pesquisar o nome de exibição do aplicativo e o domínio de resposta.

Nome de aplicativo codificado com escopos de consentimento suspeitos

Gravidade: Média

Descrição: essa detecção identifica aplicativos OAuth com caracteres, como Unicode ou caracteres codificados, solicitados para escopos de consentimento suspeitos e que acessaram pastas de email de usuários por meio da API do Graph. Esse alerta pode indicar uma tentativa de camuflar um aplicativo mal-intencionado como um aplicativo conhecido e confiável, para que os adversários possam induzir os usuários a consentir com o aplicativo mal-intencionado.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo OAuth codificou o nome de exibição com escopos suspeitos entregues de uma fonte desconhecida, um verdadeiro positivo será indicado.

  Ação recomendada: revise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso. Com base na sua investigação, você pode optar por proibir o acesso ao aplicativo.

  Para proibir o acesso ao aplicativo, vá para a guia relevante do seu aplicativo na página Governança do aplicativo. Na linha em que o aplicativo que você deseja banir aparece, selecione o ícone de banimento. Você pode escolher se deseja informar os usuários de que o aplicativo instalado e autorizado foi vetado. A notificação permite que os usuários saibam que o aplicativo será desabilitado e eles não terão acesso ao aplicativo conectado. Se não quiser que eles saibam, cancele a seleção de Notificar os usuários que concederam acesso a esse aplicativo vetado na caixa de diálogo. É recomendável que você informe os usuários do aplicativo que ele está prestes a ter o uso vetado.

• FP: Se você for confirmar que o aplicativo tem um nome codificado, mas tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta.

Entenda o escopo da violação

Siga o tutorial sobre como investigar aplicativos OAuth arriscados.

O aplicativo OAuth com escopos de leitura tem URL de resposta suspeita

Gravidade: Média

Descrição: essa detecção identifica um aplicativo OAuth com apenas escopos de leitura, como User.Read, People.Read, Contacts.Read, Mail.Read, Contacts.Read. Redirecionamentos compartilhados para URL de resposta suspeita por meio da API do Graph. Essa atividade tenta indicar que aplicativos mal-intencionados com menos permissão de privilégio (como escopos de leitura) podem ser explorados para realizar o reconhecimento da conta dos usuários.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo OAuth com escopo de leitura é entregue de uma fonte desconhecida e redireciona para uma URL suspeita, um verdadeiro positivo é indicado.

  Ação recomendada: revise a URL de resposta e os escopos solicitados pelo aplicativo. Com base em sua investigação, é possível optar por proibir o acesso a este aplicativo. Analise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

  Para proibir o acesso ao aplicativo, vá para a guia relevante do seu aplicativo na página Governança do aplicativo. Na linha em que o aplicativo que você deseja banir aparece, selecione o ícone de banimento. Você pode escolher se deseja informar os usuários de que o aplicativo instalado e autorizado foi vetado. A notificação permite que os usuários saibam que o aplicativo será desabilitado e eles não terão acesso ao aplicativo conectado. Se não quiser que eles saibam, cancele a seleção de Notificar os usuários que concederam acesso a esse aplicativo vetado na caixa de diálogo. É recomendável que você informe os usuários do aplicativo que ele está prestes a ter o uso vetado.

• B-TP: Se após a investigação, é possível confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Revise todas as atividades feitas pelo aplicativo.
2. Se você suspeitar que um aplicativo é suspeito, recomendamos investigar o nome do aplicativo e o URL de resposta em diferentes lojas de aplicativos. Ao verificar as lojas de aplicativos, concentre-se nos seguintes tipos de aplicativos:
   • Aplicativos que foram criados recentemente.
   • Aplicativos com uma URL de resposta suspeita
   • Aplicativos que não foram atualizados recentemente. A falta de atualizações pode indicar que o aplicativo não é mais suportado.
3. Se o aplicativo ainda parecer suspeito, você poderá pesquisar online o nome do aplicativo, o nome do fornecedor e a URL da resposta.

Aplicativo com nome de exibição incomum e TLD incomum no domínio Responder

Gravidade: Média

Essa detecção identifica o aplicativo com nome de exibição incomum e redireciona para o domínio de resposta suspeito com um domínio de nível superior (TLD) incomum por meio da API do Graph. Isso pode indicar uma tentativa de camuflar um aplicativo malicioso ou arriscado como um aplicativo conhecido e confiável para que os adversários possam enganar os usuários a consentir com seu aplicativo malicioso ou arriscado. 

TP ou FP?

• TP: Se você puder confirmar que o aplicativo com nome de exibição incomum foi entregue de uma fonte desconhecida e redireciona para um domínio suspeito com domínio de nível superior incomum

  Ação recomendada: revise o nome para exibição e o domínio Responder do aplicativo. Com base em sua investigação, é possível optar por proibir o acesso a este aplicativo. Analise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

• FP: Se após a investigação, é possível confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

Revise todas as atividades feitas pelo aplicativo. Se você suspeitar de que um aplicativo é suspeito, recomendamos que investigue o nome do aplicativo e o domínio de resposta em diferentes lojas de aplicativos. Ao verificar as lojas de aplicativos, concentre-se nos seguintes tipos de aplicativos:

• Aplicativos que foram criados recentemente
• Aplicativo com nome de exibição incomum
• Aplicativos com um domínio de resposta suspeito

Se você ainda suspeitar de que um aplicativo é suspeito, poderá pesquisar o nome de exibição do aplicativo e o domínio de resposta.

Novo aplicativo com permissões de email com baixo padrão de consentimento

Gravidade: Média

Essa detecção identifica aplicativos OAuth criados recentemente em locatários de editores relativamente novos com as seguintes características:

• Permissões para acessar ou alterar configurações de caixa de correio
• Taxa de consentimento relativamente baixa, que pode identificar aplicativos indesejados ou até mesmo maliciosos que tentam obter consentimento de usuários desavisados

TP ou FP?

• TP: se você puder confirmar que a solicitação de consentimento para o aplicativo foi entregue de uma fonte desconhecida ou externa e que o aplicativo não tem um uso comercial legítimo na organização, um verdadeiro positivo será indicado.

  Ação recomendada:

  • Entre em contato com usuários e administradores que concederam consentimento a esse aplicativo para confirmar que isso foi intencional e os privilégios excessivos são normais.
  • Investigue a atividade do aplicativo e verifique se há atividades suspeitas nas contas afetadas.
  • Com base em sua investigação, desative o aplicativo e suspenda e redefina senhas de todas as contas afetadas.
  • Classifique o alerta como um verdadeiro positivo.

• FP: Se após a investigação, é possível confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: classifique o alerta como falso positivo e considere compartilhar comentários com base em sua investigação do alerta.

Entender o escopo da violação

Revise as concessões de consentimento ao aplicativo feitas por usuários e administradores. Investigue todas as atividades feitas pelo aplicativo, especialmente o acesso à caixa de correio de usuários associados e contas de administrador. Se você suspeitar que o aplicativo é suspeito, considere desabilitar o aplicativo e girar as credenciais de todas as contas afetadas.

Novo aplicativo com baixa taxa de consentimento acessando inúmeros emails

Gravidade: Média

Esse alerta identifica aplicativos OAuth registrados recentemente em um locatário de editor relativamente novo com permissões para alterar configurações de caixa de correio e acessar emails. Ele também verifica se o aplicativo tem uma taxa de consentimento global relativamente baixa e faz inúmeras chamadas para a API do Microsoft Graph para acessar emails de usuários que consentem. Os aplicativos que disparam esse alerta podem ser aplicativos indesejados ou mal-intencionados que tentam obter o consentimento de usuários desavisados.

TP ou FP?

• TP: se você puder confirmar que a solicitação de consentimento para o aplicativo foi entregue de uma fonte desconhecida ou externa e que o aplicativo não tem um uso comercial legítimo na organização, um verdadeiro positivo será indicado.

  Ação recomendada:

  • Entre em contato com usuários e administradores que concederam consentimento a esse aplicativo para confirmar que isso foi intencional e os privilégios excessivos são normais.
  • Investigue a atividade do aplicativo e verifique se há atividades suspeitas nas contas afetadas.
  • Com base em sua investigação, desative o aplicativo e suspenda e redefina senhas de todas as contas afetadas.
  • Classifique o alerta como um verdadeiro positivo.

• FP: Se após a investigação, você puder confirmar que o aplicativo tem um uso comercial legítimo na organização, um falso positivo é indicado.

  Ação recomendada: classifique o alerta como falso positivo e considere compartilhar comentários com base em sua investigação do alerta.

Entender o escopo da violação

Revise as concessões de consentimento ao aplicativo feitas por usuários e administradores. Investigue todas as atividades feitas pelo aplicativo, especialmente o acesso às caixas de correio de usuários associados e contas de administrador. Se você suspeitar que o aplicativo é suspeito, considere desabilitar o aplicativo e girar as credenciais de todas as contas afetadas.

Aplicativo suspeito com permissões de email enviando vários emails

Gravidade: Média

Esse alerta localiza aplicativos OAuth multilocatários que fizeram várias chamadas para a API do Microsoft Graph para enviar emails em um curto período de tempo. Ele também verifica se as chamadas de API resultaram em erros e tentativas fracassadas de enviar emails. Os aplicativos que disparam esse alerta podem estar enviando spam ou emails mal-intencionados para outros alvos.

TP ou FP?

• TP: se você puder confirmar que a solicitação de consentimento para o aplicativo foi entregue de uma fonte desconhecida ou externa e que o aplicativo não tem um uso comercial legítimo na organização, um verdadeiro positivo será indicado.

  Ação recomendada:

  • Entre em contato com usuários e administradores que concederam consentimento a esse aplicativo para confirmar que isso foi intencional e os privilégios excessivos são normais.
  • Investigue a atividade do aplicativo e verifique se há atividades suspeitas nas contas afetadas.
  • Com base em sua investigação, desative o aplicativo e suspenda e redefina senhas de todas as contas afetadas.
  • Classifique o alerta como um verdadeiro positivo.

• FP: Se após a investigação, você puder confirmar que o aplicativo tem um uso comercial legítimo na organização, um falso positivo é indicado.

  Ação recomendada: classifique o alerta como falso positivo e considere compartilhar comentários com base em sua investigação do alerta.

Entender o escopo da violação

Revise as concessões de consentimento ao aplicativo feitas por usuários e administradores. Investigue todas as atividades feitas pelo aplicativo, especialmente o acesso à caixa de correio de usuários associados e contas de administrador. Se você suspeitar que o aplicativo é suspeito, considere desabilitar o aplicativo e girar as credenciais de todas as contas afetadas.

Aplicativo OAuth suspeito usado para enviar vários emails

Gravidade: Média

Esse alerta indica um aplicativo OAuth que fez várias chamadas para a API do Microsoft Graph para enviar emails em um curto período de tempo. O locatário do editor do aplicativo é conhecido por gerar um alto volume de aplicativos OAuth que fazem chamadas semelhantes à API do Microsoft Graph. Um invasor pode estar usando ativamente esse aplicativo para enviar spam ou emails mal-intencionados para seus alvos.

TP ou FP?

• TP: se você puder confirmar que a solicitação de consentimento para o aplicativo foi entregue de uma fonte desconhecida ou externa e que o aplicativo não tem um uso comercial legítimo na organização, um verdadeiro positivo será indicado.

  Ação recomendada:

  • Entre em contato com usuários e administradores que concederam consentimento a esse aplicativo para confirmar que isso foi intencional e os privilégios excessivos são normais.
  • Investigue a atividade do aplicativo e verifique se há atividades suspeitas nas contas afetadas.
  • Com base em sua investigação, desative o aplicativo e suspenda e redefina senhas de todas as contas afetadas.
  • Classifique o alerta como um verdadeiro positivo.

• FP: Se após a investigação, você puder confirmar que o aplicativo tem um uso comercial legítimo na organização, um falso positivo é indicado.

  Ação recomendada: classifique o alerta como falso positivo e considere compartilhar comentários com base em sua investigação do alerta.

Entender o escopo da violação

Revise as concessões de consentimento ao aplicativo feitas por usuários e administradores. Investigue todas as atividades feitas pelo aplicativo, especialmente o acesso à caixa de correio de usuários associados e contas de administrador. Se você suspeitar que o aplicativo é suspeito, considere desabilitar o aplicativo e girar as credenciais de todas as contas afetadas.

Alertas de persistência

Esta seção descreve alertas indicando que um ator mal-intencionado pode estar tentando obter uma posição na sua organização.

Aplicativo fez chamadas de gráfico anômalas para carga de trabalho do Exchange após atualização de certificado ou adição de novas credenciais

Gravidade: Média

MITRE ID: T1098.001, T1114

Essa detecção dispara um alerta quando um aplicativo de Linha de Negócios (LOB) atualiza certificados/segredos ou adiciona novas credenciais e, em poucos dias, após a atualização do certificado ou adição de novas credenciais, atividades incomuns observadas ou uso de alto volume na carga de trabalho do Exchange por meio da API do Graph usando o algoritmo de aprendizado de máquina.

TP ou FP?

• TP: Se você puder confirmar que atividades incomuns/uso de alto volume para carga de trabalho do Exchange foi executado pelo aplicativo LOB por meio da API do Graph

  Ação recomendada: desabilite temporariamente o aplicativo, redefina a senha e reative o aplicativo.

• FP: Se você puder confirmar que nenhuma atividade incomum foi executada pelo aplicativo LOB ou aplicativo destina-se a fazer um volume excepcionalmente alto de chamadas gráficas.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Revise todas as atividades desse aplicativo.
2. Revise os escopos concedidos pelo aplicativo.
3. Revise a atividade do usuário associada a esse aplicativo.

Aplicativo com escopo OAuth suspeito foi sinalizado como de alto risco pelo modelo de Machine Learning, fez chamadas gráficas para ler emails e criou a Regra da Caixa de Entrada

Gravidade: Média

MITRE ID: T1137.005, T1114

Essa detecção identifica um aplicativo OAuth que foi sinalizado como de alto risco pelo modelo de Machine Learning que consentiu com escopos suspeitos, criou uma regra de caixa de entrada suspeita e, em seguida, acessou pastas de email e mensagens de usuários por meio da API do Graph. As regras da Caixa de Entrada, como o encaminhamento de todos ou emails específicos para outra conta de email e as chamadas do Graph para acessar emails e enviar para outra conta de email, podem ser uma tentativa de exfiltrar inmaneirações da sua organização.

TP ou FP?

• TP: Se você puder confirmar que a regra de caixa de entrada foi criada por um aplicativo de terceiros OAuth com escopos suspeitos entregues de uma fonte desconhecida, um verdadeiro positivo será detectado.

  Ação recomendada: desabilite e remova o aplicativo, redefina a senha e remova a regra da caixa de entrada.

Siga o tutorial sobre como redefinir uma senha usando o Microsoft Entra ID e o tutorial sobre como remover a regra da caixa de entrada.

• FP: se for possível confirmar que o aplicativo criou uma regra de caixa de entrada para uma conta de email externa nova ou pessoal por motivos legítimos.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Revise todas as atividades feitas pelo aplicativo.
2. Revise os escopos concedidos pelo aplicativo.
3. Revise a ação e a condição da regra da caixa de entrada criadas pelo aplicativo.

Aplicativo com escopo OAuth suspeito fez chamadas gráficas para ler emails e criou regra de caixa de entrada

Gravidade: Média

MITRE ID's: T1137.005, T1114

Essa detecção identifica um aplicativo OAuth que consentiu com escopos suspeitos, cria uma regra de caixa de entrada suspeita e, em seguida, acessou pastas de email e mensagens de usuários por meio da API do Graph. As regras da Caixa de Entrada, como o encaminhamento de todos ou emails específicos para outra conta de email e as chamadas do Graph para acessar emails e enviar para outra conta de email, podem ser uma tentativa de exfiltrar inmaneirações da sua organização.

TP ou FP?

• TP: se for possível confirmar que a regra de caixa de entrada foi criada por um aplicativo de terceiros OAuth com escopos suspeitos entregues de uma fonte desconhecida, um verdadeiro positivo será indicado.

  Ação recomendada: desabilite e remova o aplicativo, redefina a senha e remova a regra da caixa de entrada.

  Siga o tutorial sobre como redefinir uma senha usando o Microsoft Entra ID e o tutorial sobre como remover a regra da caixa de entrada.

• FP: se for possível confirmar que o aplicativo criou uma regra de caixa de entrada para uma conta de email externa nova ou pessoal por motivos legítimos.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Revise todas as atividades feitas pelo aplicativo.
2. Revise os escopos concedidos pelo aplicativo.
3. Revise a ação e a condição da regra da caixa de entrada criadas pelo aplicativo.

Aplicativo acessado de local incomum após atualização de certificado

Gravidade: Baixa

MITRE ID: T1098

Essa detecção dispara um alerta quando um aplicativo de Linha de Negócios (LOB) foi atualizado o certificado/segredo e, em poucos dias após a atualização do certificado, o aplicativo é acessado de um local incomum que não foi visto recentemente ou nunca foi acessado no passado.

TP ou FP?

• TP: se você puder confirmar que o aplicativo LOB acessou de um local incomum e executou atividades incomuns por meio da API do Graph.

  Ação recomendada: desabilite temporariamente o aplicativo, redefina a senha e reative o aplicativo.

• FP: Se você puder confirmar que o aplicativo LOB foi acessado de um local incomum para fins legítimos e sem atividades incomuns executadas.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Revise todas as atividades realizadas por este aplicativo.
2. Revise os escopos concedidos pelo aplicativo.
3. Revise a atividade do usuário associada a esse aplicativo.

Aplicativo acessado de local incomum feito chamadas de gráfico anômalas após atualização de certificado

Gravidade: Média

MITRE ID: T1098

Essa detecção dispara um alerta quando um aplicativo de Linha de Negócios (LOB) atualiza o certificado/segredo e, em poucos dias após a atualização do certificado, o aplicativo é acessado de um local incomum que não foi visto recentemente ou nunca foi acessado no passado e observou atividades ou uso incomuns por meio da API do Graph usando o algoritmo de aprendizado de máquina.

TP ou FP?

• TP: Se você puder confirmar que atividades/uso incomuns foram realizados pelo aplicativo LOB por meio da API do Graph de um local incomum.

  Ação recomendada: desabilite temporariamente o aplicativo, redefina a senha e reative o aplicativo.

• FP: Se você puder confirmar que o aplicativo LOB foi acessado de um local incomum para fins legítimos e sem atividades incomuns executadas.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Revise todas as atividades realizadas por este aplicativo.
2. Revise os escopos concedidos pelo aplicativo.
3. Revise a atividade do usuário associada a esse aplicativo.

Aplicativo criado recentemente tem alto volume de consentimentos revogados

Gravidade: Média

MITRE identificação: T1566, T1098

Vários usuários revogaram seu consentimento para este aplicativo de linha de negócios (LOB) ou de terceiros criado recentemente. Esse aplicativo pode ter atraído os usuários para dar-lhe consentimento inadvertidamente.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo OAuth é entregue de uma fonte desconhecida e o comportamento do aplicativo é suspeito. 

  Ação recomendada: Revogar os consentimentos concedidos ao aplicativo e desativá-lo. 

• FP: Se após a investigação, é possível confirmar que o aplicativo tem um uso comercial legítimo na organização e nenhuma atividade incomum foi realizada pelo aplicativo.

  Ação recomendada: ignorar o alerta

Entender o escopo da violação

1. Revise todas as atividades do aplicativo.
2. Se suspeitar que uma aplicação é suspeita, recomendamos que investigue o nome e o domínio de resposta da aplicação em diferentes lojas de aplicações. Ao verificar as lojas de aplicativos, concentre-se nos seguintes tipos de aplicativos:
   • Aplicativos que foram criados recentemente
   • Aplicativos com um nome de exibição incomum
   • Aplicativos com um domínio de resposta suspeito
3. Se você ainda suspeitar de que um aplicativo é suspeito, poderá pesquisar o nome de exibição do aplicativo e o domínio de resposta.

Metadados do aplicativo associados a campanhas de phishing conhecidas

Gravidade: Média

Essa detecção gera alertas para aplicativos OAuth que não são da Microsoft com metadados, como nome, URL ou editor, que foram observados anteriormente em aplicativos associados a uma campanha de phishing. Esses aplicativos podem fazer parte da mesma campanha e podem estar envolvidos na exfiltração de inmaneirações confidenciais.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo OAuth é entregue de uma fonte desconhecida e está executando atividades incomuns.

  Ação recomendada:

  • Investigue os detalhes de registro do aplicativo sobre a governança de aplicativos e visite o Microsoft Entra ID para obter mais detalhes.
  • Entre em contato com os usuários ou administradores que concederam consentimento ou permissões ao aplicativo. Verifique se as alterações foram intencionais.
  • Pesquise a tabela de busca avançada do CloudAppEvents para entender a atividade do aplicativo e determinar se o comportamento observado é esperado.
  • Verifique se o aplicativo é essencial para sua organização antes de considerar quaisquer ações de contenção. Desative o aplicativo usando a governança de aplicativos ou a ID do Microsoft Entra para impedir que ele acesse recursos. Políticas de governança de aplicativo existentes podem já ter desativado o aplicativo.

• FP: se você puder confirmar que nenhuma atividade incomum foi realizada pelo aplicativo e que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta

Entender o escopo da violação

1. Revise todas as atividades do aplicativo.
2. Revise os escopos concedidos ao aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

Metadados de aplicativos associados a aplicativos suspeitos sinalizados anteriormente

Gravidade: Média

Essa detecção gera alertas para aplicativos OAuth que não são da Microsoft com metadados, como nome, URL ou editor, que haviam sido observados anteriormente em aplicativos sinalizados pela governança de aplicativos devido a atividades suspeitas. Esse aplicativo pode fazer parte de uma campanha de ataque e pode estar envolvido na exfiltração de informações confidenciais.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo OAuth é entregue de uma fonte desconhecida e está executando atividades incomuns.

  Ação recomendada:

  • Investigue os detalhes de registro do aplicativo sobre a governança de aplicativos e visite o Microsoft Entra ID para obter mais detalhes.
  • Entre em contato com os usuários ou administradores que concederam consentimento ou permissões ao aplicativo. Verifique se as alterações foram intencionais.
  • Pesquise a tabela de busca avançada do CloudAppEvents para entender a atividade do aplicativo e determinar se o comportamento observado é esperado.
  • Verifique se o aplicativo é essencial para sua organização antes de considerar quaisquer ações de contenção. Desative o aplicativo usando a governança de aplicativos ou a ID do Microsoft Entra para impedir que ele acesse recursos. Políticas de governança de aplicativo existentes podem já ter desativado o aplicativo.

• FP: se você puder confirmar que nenhuma atividade incomum foi realizada pelo aplicativo e que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta

Entender o escopo da violação

1. Revise todas as atividades do aplicativo.
2. Revise os escopos concedidos ao aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

Atividade de e-mail suspeita do aplicativo OAuth por meio da API do Graph

Gravidade: Alta

Essa detecção gera alertas para aplicativos OAuth multilocatário, registrados por usuários com uma entrada de alto risco, que fizeram chamadas para a API do Microsoft Graph para executar atividades de email suspeitas em um curto período de tempo.

Essa detecção verifica se as chamadas de API foram feitas para criação de regra de caixa de correio, criar email de resposta, encaminhar email, responder ou novos emails sendo enviados. Os aplicativos que disparam esse alerta podem estar enviando ativamente spam ou emails mal-intencionados para outros alvos ou exfiltrando dados confidenciais e limpando trilhas para evitar a detecção.

TP ou FP?

• TP: Se você puder confirmar que a criação do aplicativo e a solicitação de consentimento para o aplicativo foram entregues de uma fonte desconhecida ou externa e o aplicativo não tem um uso comercial legítimo na organização, um verdadeiro positivo é indicado.

  Ação recomendada:

  • Entre em contato com usuários e administradores que concederam consentimento a esse aplicativo para confirmar que isso foi intencional e os privilégios excessivos são normais.

  • Investigue a atividade do aplicativo e verifique se há atividades suspeitas nas contas afetadas.

  • Com base em sua investigação, desative o aplicativo e suspenda e redefina senhas para todas as contas afetadas e remova a regra da caixa de entrada.

  • Classifique o alerta como um verdadeiro positivo.

• FP: Se, após investigação, você puder confirmar que o aplicativo tem um uso comercial legítimo na organização, um falso positivo será indicado.

  Ação recomendada:

  • Classifique o alerta como um falso positivo e considere compartilhar comentários com base em sua investigação do alerta.

  • Entender o escopo da violação:

    Revise as concessões de consentimento ao aplicativo feitas por usuários e administradores. Investigue todas as atividades feitas pelo aplicativo, especialmente o acesso à caixa de correio de usuários associados e contas de administrador. Se você suspeitar que o aplicativo é suspeito, considere desabilitar o aplicativo e girar as credenciais de todas as contas afetadas.

Atividade de email suspeita do aplicativo OAuth por meio da API do EWS

Gravidade: Alta

Essa detecção gera alertas para aplicativos OAuth multilocatário, registrados por usuários com uma entrada de alto risco, que fizeram chamadas para a API do Microsoft Exchange Web Services (EWS) para executar atividades de email suspeitas em um curto período de tempo.

Essa detecção verifica se as chamadas de API foram feitas para atualizar regras da caixa de entrada, mover itens, excluir email, excluir pasta ou excluir anexo. Os aplicativos que disparam esse alerta podem estar exfiltrando ou excluindo ativamente dados confidenciais e limpando trilhas para evitar a detecção.

TP ou FP?

• TP: Se você puder confirmar que a criação do aplicativo e a solicitação de consentimento para o aplicativo foram entregues de uma fonte desconhecida ou externa e o aplicativo não tem um uso comercial legítimo na organização, um verdadeiro positivo é indicado.

  Ação recomendada:

  • Entre em contato com usuários e administradores que concederam consentimento a esse aplicativo para confirmar que isso foi intencional e os privilégios excessivos são normais.

  • Investigue a atividade do aplicativo e verifique se há atividades suspeitas nas contas afetadas.

  • Com base em sua investigação, desative o aplicativo e suspenda e redefina senhas para todas as contas afetadas e remova a regra da caixa de entrada.

  • Classifique o alerta como um verdadeiro positivo.

• FP: Se após a investigação, você puder confirmar que o aplicativo tem um uso comercial legítimo na organização, um falso positivo é indicado.

  Ação recomendada:

  • Classifique o alerta como um falso positivo e considere compartilhar comentários com base em sua investigação do alerta.

  • Entender o escopo da violação:

    Revise as concessões de consentimento ao aplicativo feitas por usuários e administradores. Investigue todas as atividades feitas pelo aplicativo, especialmente o acesso à caixa de correio de usuários associados e contas de administrador. Se você suspeitar que o aplicativo é suspeito, considere desabilitar o aplicativo e girar as credenciais de todas as contas afetadas.

Alertas de escalonamento de privilégios

O aplicativo OAuth com metadados suspeitos tem permissão do Exchange

Gravidade: Média

MITRE ID: T1078

Esse alerta é disparado quando um aplicativo de linha de negócios com metadados suspeitos tem privilégio para gerenciar permissão no Exchange.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo OAuth é entregue de uma fonte desconhecida e tem características de metadados suspeitas, um verdadeiro positivo é indicado.

Ação recomendada: Revogar os consentimentos concedidos ao aplicativo e desativá-lo.

FP: Se após a investigação, é possível confirmar que o aplicativo tem um uso comercial legítimo na organização.

Ação recomendada: ignorar o alerta

Entender o escopo da violação

1. Revise todas as atividades feitas pelo aplicativo.
2. Revise os escopos concedidos pelo aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

Alertas de evasão de defesa

Aplicativo que representa um logotipo da Microsoft

Gravidade: Média

Um aplicativo de nuvem que não é da Microsoft está usando um logotipo que foi encontrado por um algoritmo de aprendizado de máquina como sendo semelhante a um logotipo da Microsoft. Isso pode ser uma tentativa de se passar por produtos de software da Microsoft e parecer legítimo.

Observação

Os administradores de locatários deverão dar consentimento via pop-up para que os dados necessários sejam enviados fora do limite de conformidade atual e para selecionar equipes parceiras dentro da Microsoft para habilitar essa detecção de ameaças para aplicativos de linha de negócios.

TP ou FP?

• TP: se você puder confirmar que o logotipo do aplicativo é uma imitação de um logotipo da Microsoft e o comportamento do aplicativo é suspeito. 

  Ação recomendada: Revogar os consentimentos concedidos ao aplicativo e desativá-lo.

• FP: se você puder confirmar que o logotipo do aplicativo não é uma imitação de um logotipo da Microsoft ou se nenhuma atividade incomum foi realizada pelo aplicativo. 

  Ação recomendada: ignorar o alerta

Entender o escopo da violação

1. Revise todas as atividades do aplicativo.
2. Revise os escopos concedidos ao aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

O aplicativo está associado a um domínio typosquatted

Gravidade: Média

Essa detecção gera alertas para aplicativos OAuth que não são da Microsoft com domínios de editor ou URLs de redirecionamento que contêm versões typosquatted de nomes de marcas da Microsoft. O Typosquatting geralmente é usado para capturar tráfego para sites sempre que os usuários digitam URLs inadvertidamente, mas eles também podem ser usados para se passar por produtos e serviços de software populares.

TP ou FP?

• TP: Se você puder confirmar que o domínio do editor ou a URL de redirecionamento do aplicativo está digitada e não está relacionada à verdadeira identidade do aplicativo.

  Ação recomendada:

  • Investigue os detalhes de registro do aplicativo sobre a governança de aplicativos e visite o Microsoft Entra ID para obter mais detalhes.
  • Verifique o aplicativo para outros sinais de falsificação ou falsificação de identidade e qualquer atividade suspeita.
  • Verifique se o aplicativo é essencial para sua organização antes de considerar quaisquer ações de contenção. Desative o aplicativo usando a governança de aplicativos para impedir que ele acesse recursos. Políticas de governança de aplicativo existentes podem já ter desativado o aplicativo.

• FP: Se você puder confirmar que o domínio do editor e a URL de redirecionamento do aplicativo são legítimos. 

  Ação recomendada: classifique o alerta como falso positivo e considere compartilhar comentários com base em sua investigação do alerta.

Entender o escopo da violação

1. Revise todas as atividades do aplicativo.
2. Revise os escopos concedidos ao aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

Acesso de credenciais

Esta seção descreve alertas indicando que um ator mal-intencionado pode estar tentando ler dados confidenciais de credenciais e consiste em técnicas para roubar credenciais como nomes de contas, segredos, tokens, certificados e senhas em sua organização.

Aplicativo iniciando várias atividades de leitura do KeyVault com falha sem êxito

Gravidade: Média

MITRE ID: T1078.004

Essa detecção identifica um aplicativo em seu locatário que foi observado fazendo várias chamadas de ação de leitura para o KeyVault usando a API do Gerenciador de Recursos do Azure em um curto intervalo, com apenas falhas e nenhuma atividade de leitura bem-sucedida sendo concluída.

TP ou FP?

• TP: Se o aplicativo é desconhecido ou não está sendo usado, a atividade dada é potencialmente suspeita. Depois de verificar o recurso do Azure que está sendo usado e validar o uso do aplicativo no locatário, a atividade específica pode exigir que o aplicativo seja desabilitado. Isso geralmente é evidência de atividade de enumeração suspeita em relação ao recurso KeyVault para obter acesso a credenciais para movimento lateral ou escalonamento de privilégios.

  Ações recomendadas: revise os recursos do Azure acessados ou criados pelo aplicativo e quaisquer alterações recentes feitas no aplicativo. Com base em sua investigação, escolha se deseja proibir o acesso a este aplicativo. Analise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

• FP: Se, após investigação, você puder confirmar que o aplicativo tem uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta.

Entenda o escopo da violação

1. Analise o acesso e a atividade do aplicativo.
2. Revise todas as atividades feitas pelo aplicativo desde a sua criação.
3. Revise os escopos concedidos pelo aplicativo na Graph API e a Função concedida a ele em sua assinatura.
4. Analise qualquer usuário que possa ter acessado o aplicativo antes da atividade.

Alertas de descoberta

Enumeração de unidade executada pelo aplicativo

Gravidade: Média

MITRE ID: T1087

Essa detecção identifica um aplicativo OAuth que foi detectado pelo modelo de Machine Learning executando enumeração em arquivos do OneDrive usando a API do Graph.

TP ou FP?

• TP: Se você puder confirmar que atividades/uso incomuns no OneDrive foram executadas pelo aplicativo LOB por meio da API do Graph.

  Ação recomendada: desativar e remover o aplicativo e redefinir a senha.

• FP: se você puder confirmar que nenhuma atividade incomum foi realizada pelo aplicativo.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Revise todas as atividades desse aplicativo.
2. Revise os escopos concedidos pelo aplicativo.
3. Revise a atividade do usuário associada a esse aplicativo.

Atividades de enumeração suspeitas executadas usando o Microsoft Graph PowerShell

Gravidade: Média

MITRE ID: T1087

Essa detecção identifica um grande volume de atividades de enumeração suspeitas executadas em um curto espaço de tempo por meio de um aplicativo do Microsoft Graph PowerShell.

TP ou FP?

• TP: Se você puder confirmar que atividades de enumeração suspeitas/incomuns foram executadas pelo aplicativo Microsoft Graph PowerShell.

  Ação recomendada: desative e remova o aplicativo e redefina a senha.

• FP: se você puder confirmar que nenhuma atividade incomum foi realizada pelo aplicativo.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Revise todas as atividades desse aplicativo.
2. Revise a atividade do usuário associada a esse aplicativo.

O aplicativo multilocatário criado recentemente enumera as inmaneirações dos usuários com frequência

Gravidade: Média

MITRE ID: T1087

Esse alerta localiza aplicativos OAuth registrados recentemente em um locatário de editor relativamente novo com permissões para alterar configurações de caixa de correio e acessar emails. Ele verifica se o aplicativo fez várias chamadas para a API do Microsoft Graph solicitando inmaneirações do diretório do usuário. Os aplicativos que disparam esse alerta podem estar atraindo os usuários a conceder consentimento para que possam acessar dados organizacionais.

TP ou FP?

• TP: se você puder confirmar que a solicitação de consentimento para o aplicativo foi entregue de uma fonte desconhecida ou externa e que o aplicativo não tem um uso comercial legítimo na organização, um verdadeiro positivo será indicado.

  Ação recomendada:

  • Entre em contato com usuários e administradores que concederam consentimento a esse aplicativo para confirmar que isso foi intencional e os privilégios excessivos são normais.
  • Investigue a atividade do aplicativo e verifique se há atividades suspeitas nas contas afetadas.
  • Com base em sua investigação, desative o aplicativo e suspenda e redefina senhas de todas as contas afetadas.
  • Classifique o alerta como um verdadeiro positivo.

• FP: Se após a investigação, você puder confirmar que o aplicativo tem um uso comercial legítimo na organização, um falso positivo é indicado.

  Ação recomendada: classifique o alerta como falso positivo e considere compartilhar comentários com base em sua investigação do alerta.

Entender o escopo da violação

Revise as concessões de consentimento ao aplicativo feitas por usuários e administradores. Investigue todas as atividades feitas pelo aplicativo, especialmente a enumeração das inmaneirações do diretório do usuário. Se você suspeitar que o aplicativo é suspeito, considere desabilitar o aplicativo e girar as credenciais de todas as contas afetadas.

Alertas de exfiltração

Esta seção descreve alertas que indicam que um agente mal-intencionado pode estar tentando roubar da sua organização dados de interesse para o objetivo dele.

Aplicativo OAuth usando agente de usuário incomum

Gravidade: Baixa

MITRE ID: T1567

Essa detecção identifica um aplicativo OAuth que está usando um agente de usuário incomum para acessar a API do Graph.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo OAuth começou recentemente a utilizar um novo agente do usuário que não foi usado anteriormente e essa alteração é inesperada, um verdadeiro positivo é indicado.

  Ações recomendadas: revise os agentes de usuário usados e quaisquer alterações recentes feitas no aplicativo. Com base em sua investigação, é possível optar por proibir o acesso a este aplicativo. Analise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

• FP: Se após a investigação, é possível confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Analise os aplicativos criados recentemente e os agentes de usuário usados.
2. Revise todas as atividades feitas pelo aplicativo. 
3. Revise os escopos concedidos pelo aplicativo. 

Aplicativo com um agente de usuário incomum acessou dados de email por meio dos Serviços Web do Exchange

Gravidade: Alta

MITRE identificação: T1114, T1567

Essa detecção identifica um aplicativo OAuth que usou um agente de usuário incomum para acessar dados de email usando a API de serviços Web do Exchange.

TP ou FP?

• TP: se você puder confirmar que o aplicativo OAuth não deve alterar o agente do usuário que ele usa para fazer solicitações à API dos Serviços Web do Exchange, um verdadeiro positivo será indicado.

  Ações recomendadas: classifique o alerta como um TP. Com base na investigação, se o aplicativo for malicioso, é possível revogar consentimentos e desabilitar o aplicativo no locatário. Se for um aplicativo comprometido, é possível revogar os consentimentos, desabilitar temporariamente o aplicativo, revisar as permissões, redefinir o segredo e o certificado e, em seguida, reativar o aplicativo.

• FP: Se após a investigação, é possível confirmar que o agente do usuário usado pelo aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: Classifique o alerta como FP. Além disso, considere compartilhar comentários com base em sua investigação do alerta.

Entender o escopo da violação

1. Analise se o aplicativo foi criado recentemente ou se teve alguma alteração recente feita nele.
2. Revise as permissões concedidas ao aplicativo e aos usuários que consentiram com o aplicativo.
3. Revise todas as atividades feitas pelo aplicativo.

Alertas de movimentação lateral

Esta seção descreve alertas indicando que um ator mal-intencionado pode estar tentando se mover lateralmente dentro de diferentes recursos, enquanto gira por vários sistemas e contas para obter mais controle em sua organização.

Aplicativo OAuth inativo usando predominantemente o MS Graph ou os Serviços Web do Exchange recentemente visto acessando cargas de trabalho ARM

Gravidade: Média

MITRE ID: T1078.004

Essa detecção identifica um aplicativo em seu locatário que, após um longo período de atividade inativa, começou a acessar a API do Gerenciador de Recursos do Azure pela primeira vez. Anteriormente, este aplicativo tinha usado principalmente o MS Graph ou Exchange Web Service.

TP ou FP?

• TP: Se o aplicativo for desconhecido ou não estiver sendo usado, a atividade específica é potencialmente suspeita e pode exigir a desativação do aplicativo, depois de verificar o recurso do Azure que está sendo usado e validar o uso do aplicativo no locatário.

  Ações recomendadas:

  1. Examine os recursos do Azure acessados ou criados pelo aplicativo e quaisquer alterações recentes feitas no aplicativo.
  2. Analise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.
  3. Com base em sua investigação, escolha se deseja proibir o acesso a este aplicativo.

• FP: Se, após investigação, você puder confirmar que o aplicativo tem uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta.

Entenda o escopo da violação

1. Analise o acesso e a atividade do aplicativo.
2. Revise todas as atividades feitas pelo aplicativo desde a sua criação.
3. Revise os escopos concedidos pelo aplicativo na Graph API e a Função concedida a ele em sua assinatura.
4. Analise qualquer usuário que possa ter acessado o aplicativo antes da atividade.

Alertas de coleção

Esta seção descreve alertas que indicam que um agente mal-intencionado pode estar tentando reunir da sua organização dados de interesse para o objetivo dele.

Aplicativo fez atividades de pesquisa de email incomuns

Gravidade: Média

MITRE ID: T1114

Essa detecção identifica quando um aplicativo consentiu com o escopo OAuth suspeito e fez um alto volume de atividades de pesquisa de e-mail incomuns, como a pesquisa de e-mail para conteúdo específico por meio da API do Graph. Isso pode indicar uma tentativa de violação de sua organização, como adversários tentando pesquisar e ler emails específicos de sua organização por meio da API do Graph. 

TP ou FP?

• TP: Se você puder confirmar um alto volume de atividades de pesquisa e leitura de e-mail incomuns por meio da API do Graph por um aplicativo OAuth com um escopo OAuth suspeito e que o aplicativo é entregue de fonte desconhecida.

  Ações recomendadas: desative e remova o aplicativo, redefina a senha e remova a regra da caixa de entrada. 

• FP: Se você puder confirmar que o aplicativo executou alto volume de pesquisa de e-mail incomum e ler através da API do Graph por razões legítimas.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Revise os escopos concedidos pelo aplicativo.
2. Revise todas as atividades feitas pelo aplicativo. 

App fez chamadas de gráfico anômalas para ler email

Gravidade: Média

MITRE ID: T1114

Essa detecção identifica quando o aplicativo OAuth de linha de negócios (LOB) acessa um volume incomum e alto de pastas de email e mensagens do usuário por meio da API do Graph, o que pode indicar uma tentativa de violação de sua organização.

TP ou FP?

• TP: Se você puder confirmar que a atividade de gráfico incomum foi executada pelo aplicativo OAuth de linha de negócios (LOB), então um verdadeiro positivo é indicado.

  Ações recomendadas: desabilite temporariamente o aplicativo, redefina a senha e reative o aplicativo. Siga o tutorial sobre como redefinir uma senha usando o Microsoft Entra ID.

• FP: Se você puder confirmar que o aplicativo se destina a fazer um volume excepcionalmente alto de chamadas gráficas.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Revise o registro de atividades para eventos realizados por este aplicativo para obter uma melhor compreensão de outras atividades do Graph para ler emails e tentar coletar inmaneirações de email confidenciais dos usuários.
2. Monitore se há credenciais inesperadas sendo adicionadas ao aplicativo.

Aplicativo cria regra de caixa de entrada e faz atividades de pesquisa de email incomuns

Gravidade: Média

MITRE IDs: T1137, T1114

Essa detecção identifica o aplicativo consentido com o escopo de alto privilégio, cria uma regra de caixa de entrada suspeita e fez atividades de pesquisa de e-mail incomuns nas pastas de e-mail dos usuários por meio da API do Graph. Isso pode indicar uma tentativa de violação de sua organização, como adversários tentando pesquisar e coletar e-mails específicos de sua organização por meio da API do Graph.

TP ou FP?

• TP: Se você puder confirmar qualquer pesquisa e coleta de e-mails específicos feita por meio da API do Graph por um aplicativo OAuth com escopo de alto privilégio, e o aplicativo for entregue de fonte desconhecida.

  Ação recomendada: desabilite e remova o aplicativo, redefina a senha e remova a regra da caixa de entrada.

• FP: Se você puder confirmar que o aplicativo realizou pesquisa e coleta de e-mail específicos por meio da API do Graph e criou uma regra de caixa de entrada para uma conta de e-mail externa nova ou pessoal por motivos legítimos.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação

1. Revise todas as atividades feitas pelo aplicativo.
2. Revise os escopos concedidos pelo aplicativo.
3. Revise qualquer ação de regra de caixa de entrada criada pelo aplicativo.
4. Revise todas as atividades de pesquisa de email feitas pelo aplicativo.

Aplicativo criou atividades de pesquisa do OneDrive/SharePoint e criou regra de caixa de entrada

Gravidade: Média

MITRE ID's: T1137, T1213

Essa detecção identifica que um Aplicativo consentiu com o escopo de alto privilégio, criou uma regra de caixa de entrada suspeita e fez atividades de pesquisa incomuns do SharePoint ou do OneDrive por meio da API do Graph. Isso pode indicar uma tentativa de violação de sua organização, como adversários tentando pesquisar e coletar dados específicos do SharePoint ou do OneDrive de sua organização por meio da API do Graph. 

TP ou FP?

• TP: Se você puder confirmar quaisquer dados específicos da pesquisa e coleta do SharePoint ou do OneDrive feita por meio da API do Graph por um aplicativo OAuth com escopo de alto privilégio e o aplicativo for entregue de origem desconhecida. 

  Ação recomendada: desabilite e remova o aplicativo, redefina a senha e remova a regra da caixa de entrada. 

• FP: Se você puder confirmar que o aplicativo executou dados específicos da pesquisa e coleta do SharePoint ou do OneDrive por meio da API do Graph por um aplicativo OAuth e criou uma regra de caixa de entrada para uma conta de email externa nova ou pessoal por motivos legítimos. 

  Ação recomendada: ignorar o alerta

Entender o escopo da violação

1. Revise todas as atividades feitas pelo aplicativo. 
2. Revise os escopos concedidos pelo aplicativo. 
3. Revise qualquer ação de regra de caixa de entrada criada pelo aplicativo. 
4. Revise todas as atividades de pesquisa do SharePoint ou do OneDrive feitas pelo aplicativo.

O aplicativo fez inúmeras pesquisas e edições no OneDrive

Gravidade: Média

MITRE IDs: T1137, T1213

Essa detecção identifica aplicativos OAuth com permissões de alto privilégio que executam um grande número de pesquisas e edições no OneDrive usando a API do Graph.

TP ou FP?

• TP: Se você puder confirmar que um alto uso da carga de trabalho do OneDrive via API do Graph não é esperado desse aplicativo OAuth com permissões de alto privilégio para ler e gravar no OneDrive, um verdadeiro positivo será indicado.

  Ação recomendada: com base na investigação, se o aplicativo for malicioso, é possívelrá revogar consentimentos e desabilitar o aplicativo no locatário. Se for um aplicativo comprometido, é possível revogar os consentimentos, desabilitar temporariamente o aplicativo, revisar as permissões necessárias, redefinir a senha e reativar o aplicativo.

• FP: Se após a investigação, é possível confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: Resolva o alerta e relate suas descobertas.

Entender o escopo da violação

1. Verifique se o aplicativo é de uma fonte confiável.
2. Verifique se o aplicativo foi criado recentemente ou se teve alterações recentes feitas nele.
3. Revise as permissões concedidas ao aplicativo e aos usuários que consentiram com o aplicativo.
4. Investigue todas as outras atividades do aplicativo.

Aplicativo fez alto volume de emails importantes lidos e criou regra de caixa de entrada

Gravidade: Média

MITRE IDs: T1137, T1114

Essa detecção identifica que um aplicativo consentiu com o escopo de alto privilégio, cria uma regra de caixa de entrada suspeita e fez um alto volume de atividades importantes de leitura de e-mail por meio da API do Graph. Isso pode indicar uma tentativa de violação de sua organização, como adversários tentando ler emails de alta importância de sua organização por meio da API do Graph. 

TP ou FP?

• TP: Se você puder confirmar que o alto volume de e-mails importantes lidos através da API do Graph por um aplicativo OAuth com escopo de alto privilégio e o aplicativo for entregue de fonte desconhecida. 

  Ação recomendada: desabilite e remova o aplicativo, redefina a senha e remova a regra da caixa de entrada. 

• FP: Se você puder confirmar que o aplicativo executou um alto volume de e-mails importantes lidos por meio da API do Graph e criou uma regra de caixa de entrada para uma conta de e-mail externa nova ou pessoal por motivos legítimos. 

  Ação recomendada: ignorar o alerta

Entender o escopo da violação

1. Revise todas as atividades feitas pelo aplicativo. 
2. Revise os escopos concedidos pelo aplicativo. 
3. Revise qualquer ação de regra de caixa de entrada criada pelo aplicativo. 
4. Revise qualquer atividade de leitura de email de alta importância feita pelo aplicativo.

Aplicativo privilegiado executava atividades incomuns no Teams

Gravidade: Média

Essa detecção identifica aplicativos consentidos com escopos OAuth de alto privilégio, que acessaram o Microsoft Teams e fizeram um volume incomum de atividades de leitura ou postagem de mensagens de bate-papo por meio da API do Graph. Isso pode indicar uma tentativa de violação de sua organização, como adversários tentando coletar informações de sua organização por meio da API do Graph.

TP ou FP?

• TP: Se você puder confirmar que atividades de mensagens de bate-papo incomuns no Microsoft Teams por meio da API do Graph por um aplicativo OAuth com um escopo de alto privilégio e o aplicativo for entregue de uma fonte desconhecida.

  Ação recomendada: desativar e remover o aplicativo e redefinir a senha

• FP: Se você puder confirmar que as atividades incomuns realizadas no Microsoft Teams por meio da API do Graph foram por motivos legítimos.

  Ação recomendada: ignorar o alerta

Entender o escopo da violação

1. Revise os escopos concedidos pelo aplicativo.
2. Revise todas as atividades feitas pelo aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

Atividade anômala do OneDrive por aplicativo que acabou de atualizar ou adicionar novas credenciais

Gravidade: Média

IDs MITRE: T1098.001, T1213

Um aplicativo de nuvem que não é da Microsoft fez chamadas anômalas da API do Graph para o OneDrive, incluindo o uso de dados de alto volume. Detectadas pelo aprendizado de máquina, essas chamadas de API incomuns foram feitas em poucos dias depois que o aplicativo adicionou certificados/segredos novos ou atualizados existentes. Esse aplicativo pode estar envolvido na exfiltração de dados ou outras tentativas de acessar e recuperar informações confidenciais.

TP ou FP?

• TP: Se você puder confirmar que atividades incomuns, como o uso de alto volume de carga de trabalho do OneDrive, foram executadas pelo aplicativo por meio da API do Graph.

  Ação recomendada: desabilite temporariamente o aplicativo, redefina a senha e reative o aplicativo.

• FP: Se você puder confirmar que nenhuma atividade incomum foi realizada pelo aplicativo ou que o aplicativo se destina a fazer um volume excepcionalmente alto de chamadas do Graph.

  Ação recomendada: ignorar o alerta

Entender o escopo da violação

1. Revise todas as atividades do aplicativo.
2. Revise os escopos concedidos pelo aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

Atividade anômala do SharePoint por aplicativo que acabou de atualizar ou adicionar novas credenciais

Gravidade: Média

IDs MITRE: T1098.001, T1213.002

Um aplicativo de nuvem que não é da Microsoft fez chamadas anômalas da API do Graph para o SharePoint, incluindo o uso de dados de alto volume. Detectadas pelo aprendizado de máquina, essas chamadas de API incomuns foram feitas em poucos dias depois que o aplicativo adicionou certificados/segredos novos ou atualizados existentes. Esse aplicativo pode estar envolvido na exfiltração de dados ou outras tentativas de acessar e recuperar informações confidenciais.

TP ou FP?

• TP: Se você puder confirmar que atividades incomuns, como o uso de alto volume da carga de trabalho do SharePoint, foram executadas pelo aplicativo por meio da API do Graph.

  Ação recomendada: desabilite temporariamente o aplicativo, redefina a senha e reative o aplicativo.

• FP: Se você puder confirmar que nenhuma atividade incomum foi realizada pelo aplicativo ou que o aplicativo se destina a fazer um volume excepcionalmente alto de chamadas do Graph.

  Ação recomendada: ignorar o alerta

Entender o escopo da violação

1. Revise todas as atividades do aplicativo.
2. Revise os escopos concedidos pelo aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

Metadados do aplicativo associados a atividades suspeitas relacionadas a emails

Gravidade: Média

MITRE IDs: T1114

Essa detecção gera alertas para aplicativos OAuth que não são da Microsoft com metadados, como nome, URL ou editor, que foram observados anteriormente em aplicativos com atividades suspeitas relacionadas a email. Esse aplicativo pode fazer parte de uma campanha de ataque e pode estar envolvido na exfiltração de informações confidenciais.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo criou regras de caixa de correio ou fez um grande número de chamadas incomuns da API do Graph para a carga de trabalho do Exchange.

  Ação recomendada:

  • Investigue os detalhes de registro do aplicativo sobre a governança de aplicativos e visite o Microsoft Entra ID para obter mais detalhes.
  • Entre em contato com os usuários ou administradores que concederam consentimento ou permissões ao aplicativo. Verifique se as alterações foram intencionais.
  • Pesquise a tabela de busca avançada do CloudAppEvents para entender a atividade do aplicativo e identificar os dados acessados pelo aplicativo. Verifique as caixas de correio afetadas e revise as mensagens que podem ter sido lidas ou encaminhadas pelo próprio aplicativo ou pelas regras que ele criou.
  • Verifique se o aplicativo é essencial para sua organização antes de considerar quaisquer ações de contenção. Desative o aplicativo usando a governança de aplicativos ou a ID do Microsoft Entra para impedir que ele acesse recursos. Políticas de governança de aplicativo existentes podem já ter desativado o aplicativo.

• FP: se você puder confirmar que nenhuma atividade incomum foi realizada pelo aplicativo e que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta

Entender o escopo da violação

1. Revise todas as atividades do aplicativo.
2. Revise os escopos concedidos ao aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

Aplicativo com permissões de aplicativo EWS acessando vários e-mails

Gravidade: Média

MITRE IDs: T1114

Essa detecção gera alertas para aplicativos de nuvem multilocatários com permissões de aplicativo EWS mostrando um aumento significativo nas chamadas para a API dos Serviços Web do Exchange que são específicas para enumeração e coleta de email. Este aplicativo pode estar envolvido no acesso e recuperação de dados de e-mail confidenciais.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo acessou dados de email confidenciais ou fez um grande número de chamadas incomuns para a carga de trabalho do Exchange.

  Ação recomendada:

  • Investigue os detalhes de registro do aplicativo sobre a governança de aplicativos e visite o Microsoft Entra ID para obter mais detalhes.
  • Entre em contato com os usuários ou administradores que concederam consentimento ou permissões ao aplicativo. Verifique se as alterações foram intencionais.
  • Pesquise a tabela de busca avançada do CloudAppEvents para entender a atividade do aplicativo e identificar os dados acessados pelo aplicativo. Verifique as caixas de correio afetadas e revise as mensagens que podem ter sido lidas ou encaminhadas pelo próprio aplicativo ou pelas regras que ele criou.
  • Verifique se o aplicativo é essencial para sua organização antes de considerar quaisquer ações de contenção. Desative o aplicativo usando a governança de aplicativos ou a ID do Microsoft Entra para impedir que ele acesse recursos. Políticas de governança de aplicativo existentes podem já ter desativado o aplicativo.

• FP: se você puder confirmar que nenhuma atividade incomum foi realizada pelo aplicativo e que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta

Entender o escopo da violação

1. Revise todas as atividades do aplicativo.
2. Revise os escopos concedidos ao aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

Aplicativo não utilizado acessando APIs recentemente

Gravidade: Média

MITRE IDs: T1530

Essa detecção gera alertas para um aplicativo de nuvem multilocatário que está inativo há algum tempo e começou recentemente a fazer chamadas de API. Este aplicativo pode ser comprometido por um invasor e ser usado para acessar e recuperar dados confidenciais.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo acessou dados confidenciais ou fez um grande número de chamadas incomuns para cargas de trabalho do Microsoft Graph, Exchange ou Azure Resource Manager.

  Ação recomendada:

  • Investigue os detalhes de registro do aplicativo sobre a governança de aplicativos e visite o Microsoft Entra ID para obter mais detalhes.
  • Entre em contato com os usuários ou administradores que concederam consentimento ou permissões ao aplicativo. Verifique se as alterações foram intencionais.
  • Pesquise a tabela de busca avançada do CloudAppEvents para entender a atividade do aplicativo e identificar os dados acessados pelo aplicativo. Verifique as caixas de correio afetadas e revise as mensagens que podem ter sido lidas ou encaminhadas pelo próprio aplicativo ou pelas regras que ele criou.
  • Verifique se o aplicativo é essencial para sua organização antes de considerar quaisquer ações de contenção. Desative o aplicativo usando a governança de aplicativos ou a ID do Microsoft Entra para impedir que ele acesse recursos. Políticas de governança de aplicativo existentes podem já ter desativado o aplicativo.

• FP: se você puder confirmar que nenhuma atividade incomum foi realizada pelo aplicativo e que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta

Entender o escopo da violação

1. Revise todas as atividades do aplicativo.
2. Revise os escopos concedidos ao aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

Alertas de impacto

Esta seção descreve alertas indicando que um ator mal-intencionado pode estar tentando manipular, interromper ou destruir seus sistemas e dados de sua organização.

Aplicativo Entra Line-of-Business iniciando um pico anômalo na criação de máquinas virtuais

Gravidade: Média

MITRE ID: T1496

Essa detecção identifica um novo aplicativo OAuth de locatário único que está criando a maior parte das Máquinas Virtuais do Azure em seu locatário usando a API do Gerenciador de Recursos do Azure.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo OAuth foi criado recentemente e está criando um grande número de Máquinas Virtuais em seu locatário, um verdadeiro positivo será indicado.

  Ações recomendadas: revise as máquinas virtuais criadas e quaisquer alterações recentes feitas no aplicativo. Com base em sua investigação, é possível optar por proibir o acesso a este aplicativo. Analise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

• FP: Se após a investigação, é possível confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação:

1. Revise os aplicativos criados recentemente e as VMs criadas.
2. Revise todas as atividades feitas pelo aplicativo desde a sua criação.
3. Revise os escopos concedidos pelo aplicativo na API do Graph e na Função concedida a ele em sua assinatura.

O aplicativo OAuth com privilégios de alto escopo no Microsoft Graph foi observado iniciando a criação de máquinas virtuais

Gravidade: Média

MITRE ID: T1496

Essa detecção identifica o aplicativo OAuth que cria a maior parte das Máquinas Virtuais do Azure em seu locatário usando a API do Gerenciador de Recursos do Azure enquanto tem alto privilégio no locatário por meio da API do MS Graph antes da atividade.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo OAuth com escopos de alto privilégio foi criado e está criando um grande número de Máquinas Virtuais em seu locatário, um verdadeiro positivo será indicado.

  Ações recomendadas: revise as máquinas virtuais criadas e quaisquer alterações recentes feitas no aplicativo. Com base em sua investigação, é possível optar por proibir o acesso a este aplicativo. Analise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

• FP: Se após a investigação, é possível confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: ignorar o alerta.

Entender o escopo da violação:

1. Revise os aplicativos criados recentemente e as VMs criadas.
2. Revise todas as atividades feitas pelo aplicativo desde a sua criação.
3. Revise os escopos concedidos pelo aplicativo na API do Graph e na Função concedida a ele em sua assinatura.

Próximas etapas

Gerenciar alertas de governança de aplicativos