Investigue alertas de deteção de ameaças à governança de aplicativos

A governança de aplicativos fornece deteções de segurança e alertas para atividades maliciosas. Este artigo lista detalhes de cada alerta que podem ajudar sua investigação e correção, incluindo as condições para disparar alertas. Como as deteções de ameaças não são determinísticas por natureza, elas só são acionadas quando há um comportamento que se desvia da norma.

Para obter mais informações, consulte Governança de aplicativos no Microsoft Defender for Cloud Apps

Nota

As deteções de ameaças à governança de aplicativos são baseadas na contagem de atividades em dados que são transitórios e podem não ser armazenados, portanto, os alertas podem fornecer o número de atividades ou indicações de picos, mas não necessariamente todos os dados relevantes. Especificamente para atividades da API do Graph de aplicativos OAuth, as próprias atividades podem ser auditadas pelo locatário usando o Log Analytics e o Sentinel.

Para obter mais informações, veja:

• Aceder aos registos de atividade do Microsoft Graph
• Analise os registros de atividades usando o Log Analytics

MITRE ATT&CK

Para facilitar o mapeamento da relação entre os alertas de governança de aplicativos e a conhecida Matriz MITRE ATT&CK, categorizamos os alertas pela tática MITRE ATT&CK correspondente. Essa referência extra facilita a compreensão da técnica de ataques suspeitos potencialmente em uso quando o alerta de governança de aplicativo é acionado.

Este guia fornece informações sobre como investigar e corrigir alertas de governança de aplicativos nas categorias a seguir.

• Acesso inicial
• Execução
• Persistência
• Escalamento de Privilégios
• Evasão de Defesa
• Acesso a credenciais
• Descoberta
• Movimento Lateral
• Coleção
• Exfiltração
• Impacto

Classificações de alertas de segurança

Após uma investigação adequada, todos os alertas de governança de aplicativos podem ser classificados como um dos seguintes tipos de atividade:

• Verdadeiro positivo (TP): Um alerta sobre uma atividade maliciosa confirmada.
• Benign true positive (B-TP): um alerta sobre atividades suspeitas, mas não maliciosas, como um teste de penetração ou outra ação suspeita autorizada.
• Falso positivo (FP): um alerta sobre uma atividade não maliciosa.

Medidas gerais de investigação

Use as seguintes diretrizes gerais ao investigar qualquer tipo de alerta para obter uma compreensão mais clara da ameaça potencial antes de aplicar a ação recomendada.

• Reveja o nível de gravidade da aplicação e compare com as restantes aplicações no seu inquilino. Esta análise ajuda-o a identificar quais as Aplicações no seu inquilino que representam o maior risco.

• Se você identificar um TP, revise todas as atividades do aplicativo para entender o impacto. Por exemplo, reveja as seguintes informações da aplicação:

  • Escopos com acesso concedido
  • Comportamento invulgar
  • Endereço IP e localização

Alertas de acesso inicial

Esta seção descreve alertas que indicam que um aplicativo mal-intencionado pode estar tentando manter sua posição na sua organização.

O aplicativo redireciona para URL de phishing explorando a vulnerabilidade de redirecionamento OAuth

Gravidade: Média

Essa deteção identifica aplicativos OAuth redirecionando para URLs de phishing explorando o parâmetro de tipo de resposta na implementação OAuth por meio da API do Microsoft Graph.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo OAuth foi entregue de uma fonte desconhecida, o tipo de resposta da URL de resposta depois de consentir com o aplicativo OAuth contém uma solicitação inválida e redireciona para uma URL de resposta desconhecida ou não confiável.

  Ação recomendada: desative e remova o aplicativo, redefina a senha e remova a regra da caixa de entrada. 

• FP: Se após investigação, você pode confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: Dispense o alerta.

Compreender o âmbito da violação

1. Analise todas as atividades realizadas pelo aplicativo. 
2. Analise os escopos concedidos pelo aplicativo. 

Aplicativo OAuth com URL de resposta suspeito

Gravidade: Média

Essa deteção identifica um aplicativo OAuth acessado por uma URL de resposta suspeita por meio da API do Microsoft Graph.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo OAuth é entregue de uma fonte desconhecida e redireciona para um URL suspeito, então um verdadeiro positivo é indicado. Um URL suspeito é aquele em que a reputação do URL é desconhecida, não confiável ou cujo domínio foi registrado recentemente e a solicitação do aplicativo é para um escopo de alto privilégio.

  Ação recomendada: revise o URL de resposta, domínios e escopos solicitados pelo aplicativo. Com base na sua investigação, pode optar por proibir o acesso a esta aplicação. Revise o nível de permissão solicitado por este aplicativo e quais usuários recebem acesso.

  Para proibir o acesso ao aplicativo, vá para a guia relevante para seu aplicativo na página Governança do aplicativo. Na linha em que o aplicativo que você deseja banir aparece, selecione o ícone de banimento. Você pode escolher se deseja informar aos usuários que o aplicativo que eles instalaram e autorizaram foi banido. A notificação permite que os usuários saibam que o aplicativo será desativado e que eles não terão acesso ao aplicativo conectado. Se você não quiser que eles saibam, desmarque Notificar os usuários que concederam acesso a esse aplicativo banido na caixa de diálogo. Recomendamos que você informe aos usuários do aplicativo que seu aplicativo está prestes a ser banido de uso.

• FP: Se após investigação, você pode confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: Dispense o alerta.

Compreender o âmbito da violação

1. Analise os aplicativos criados recentemente e suas URLs de resposta.

2. Analise todas as atividades realizadas pelo aplicativo. 

3. Analise os escopos concedidos pelo aplicativo. 

Aplicativo criado recentemente tem baixa taxa de consentimento

Gravidade: Baixa

Essa deteção identifica um aplicativo OAuth que foi criado recentemente e que teve baixa taxa de consentimento. Isso pode indicar um aplicativo malicioso ou arriscado que atrai os usuários em concessões de consentimento ilícitas.

TP ou FP?

• TP: Se você for capaz de confirmar que o aplicativo OAuth é entregue de uma fonte desconhecida, então um verdadeiro positivo é indicado.

  Ação recomendada: revise o nome para exibição, URLs de resposta e domínios do aplicativo. Com base na sua investigação, você pode optar por proibir o acesso a este aplicativo. Revise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

• FP: Se após investigação, você pode confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: Dispense o alerta.

Compreender o âmbito da violação

1. Analise todas as atividades realizadas pelo aplicativo.
2. Se suspeitar que uma aplicação é suspeita, recomendamos que investigue o nome da aplicação e o domínio de resposta em diferentes lojas de aplicações. Ao verificar as lojas de aplicativos, concentre-se nos seguintes tipos de aplicativos:
   • Aplicações que foram criadas recentemente
   • Aplicativo com nome de exibição incomum
   • Aplicações com um domínio de resposta suspeito
3. Se você ainda suspeitar que um aplicativo é suspeito, você pode pesquisar o nome de exibição do aplicativo e o domínio de resposta.

Aplicação com má reputação de URL

Gravidade: Média

Essa deteção identifica um aplicativo OAuth que foi encontrado para ter má reputação de URL.

TP ou FP?

• TP: Se você conseguir confirmar que o aplicativo OAuth é entregue de uma fonte desconhecida e redireciona para um URL suspeito, então um verdadeiro positivo é indicado.

  Ação recomendada: revise as URLs, domínios e escopos de resposta solicitados pelo aplicativo. Com base na sua investigação, você pode optar por proibir o acesso a este aplicativo. Revise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

• FP: Se após investigação, você pode confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: Dispense o alerta.

Compreender o âmbito da violação

1. Analise todas as atividades realizadas pelo aplicativo.
2. Se suspeitar que uma aplicação é suspeita, recomendamos que investigue o nome da aplicação e o domínio de resposta em diferentes lojas de aplicações. Ao verificar as lojas de aplicativos, concentre-se nos seguintes tipos de aplicativos:
   • Aplicações que foram criadas recentemente
   • Aplicativo com nome de exibição incomum
   • Aplicações com um domínio de resposta suspeito
3. Se você ainda suspeitar que um aplicativo é suspeito, você pode pesquisar o nome de exibição do aplicativo e o domínio de resposta.

Nome do aplicativo codificado com escopos de consentimento suspeitos

Gravidade: Média

Descrição: essa deteção identifica aplicativos OAuth com caracteres, como Unicode ou caracteres codificados, solicitados para escopos de consentimento suspeitos e que acessaram pastas de email de usuários por meio da API do Graph. Esse alerta pode indicar uma tentativa de camuflar um aplicativo mal-intencionado como um aplicativo conhecido e confiável para que os adversários possam induzir os usuários em erro a consentir com o aplicativo mal-intencionado.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo OAuth codificou o nome de exibição com escopos suspeitos entregues de uma fonte desconhecida, então um verdadeiro positivo é indicado.

  Ação recomendada: Revise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso. Com base na sua investigação, você pode optar por proibir o acesso a este aplicativo.

  Para proibir o acesso ao aplicativo, vá para a guia relevante para seu aplicativo na página Governança do aplicativo. Na linha em que o aplicativo que você deseja banir aparece, selecione o ícone de banimento. Você pode escolher se deseja informar aos usuários que o aplicativo que eles instalaram e autorizaram foi banido. A notificação permite que os usuários saibam que o aplicativo será desativado e eles não terão acesso ao aplicativo conectado. Se você não quiser que eles saibam, desmarque Notificar os usuários que concederam acesso a esse aplicativo banido na caixa de diálogo. Recomendamos que você informe aos usuários do aplicativo que seu aplicativo está prestes a ser banido de uso.

• FP: Se você confirmar que o aplicativo tem um nome codificado, mas tem um uso comercial legítimo na organização.

  Ação recomendada: Dispense o alerta.

Compreender o âmbito da violação

Siga o tutorial sobre como investigar aplicativos OAuth arriscados.

O aplicativo OAuth com escopos de leitura tem URL de resposta suspeito

Gravidade: Média

Descrição: essa deteção identifica um aplicativo OAuth com apenas escopos de leitura , como User.Read, People.Read, Contacts.Read, Mail.Read, Contacts.Read. Redirecionamentos compartilhados para URL de resposta suspeito por meio da API do Graph. Essa atividade tenta indicar que aplicativos mal-intencionados com menos permissão de privilégio (como Ler escopos) podem ser explorados para realizar o reconhecimento da conta dos usuários.

TP ou FP?

• TP: Se você conseguir confirmar que o aplicativo OAuth com escopo de leitura é entregue de uma fonte desconhecida e redireciona para uma URL suspeita, então um verdadeiro positivo é indicado.

  Ação recomendada: revise a URL de resposta e os escopos solicitados pelo aplicativo. Com base na sua investigação, você pode optar por proibir o acesso a este aplicativo. Revise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

  Para proibir o acesso ao aplicativo, vá para a guia relevante para seu aplicativo na página Governança do aplicativo. Na linha em que o aplicativo que você deseja banir aparece, selecione o ícone de banimento. Você pode escolher se deseja informar aos usuários que o aplicativo que eles instalaram e autorizaram foi banido. A notificação permite que os usuários saibam que o aplicativo será desativado e eles não terão acesso ao aplicativo conectado. Se você não quiser que eles saibam, desmarque Notificar os usuários que concederam acesso a esse aplicativo banido na caixa de diálogo. Recomendamos que você informe aos usuários do aplicativo que seu aplicativo está prestes a ser banido de uso.

• B-TP: Se após investigação, você pode confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: Dispense o alerta.

Compreender o âmbito da violação

1. Analise todas as atividades realizadas pelo aplicativo.
2. Se suspeitar que uma aplicação é suspeita, recomendamos que investigue o nome e o URL de resposta da aplicação em diferentes lojas de aplicações. Ao verificar as lojas de aplicativos, concentre-se nos seguintes tipos de aplicativos:
   • Aplicativos que foram criados recentemente.
   • Aplicações com um URL de resposta suspeito
   • Aplicações que não foram atualizadas recentemente. A falta de atualizações pode indicar que o aplicativo não é mais suportado.
3. Se ainda suspeitar que uma aplicação é suspeita, pode pesquisar online o nome da aplicação, o nome do editor e o URL de resposta

Aplicativo com nome de exibição incomum e TLD incomum no domínio Responder

Gravidade: Média

Essa deteção identifica o aplicativo com nome de exibição incomum e redireciona para um domínio de resposta suspeito com um domínio de nível superior (TLD) incomum por meio da Graph API. Isso pode indicar uma tentativa de camuflar um aplicativo mal-intencionado ou arriscado como um aplicativo conhecido e confiável para que os adversários possam induzir os usuários a consentir com seu aplicativo mal-intencionado ou arriscado. 

TP ou FP?

• TP: Se você conseguir confirmar que o aplicativo com nome de exibição incomum foi entregue de uma fonte desconhecida e redireciona para um domínio suspeito com domínio de nível superior incomum

  Ação recomendada: revise o nome para exibição e o domínio de resposta do aplicativo. Com base na sua investigação, você pode optar por proibir o acesso a este aplicativo. Revise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

• FP: Se após investigação, você pode confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: Dispense o alerta.

Compreender o âmbito da violação

Analise todas as atividades realizadas pelo aplicativo. Se suspeitar que uma aplicação é suspeita, recomendamos que investigue o nome da aplicação e o domínio de resposta em diferentes lojas de aplicações. Ao verificar as lojas de aplicativos, concentre-se nos seguintes tipos de aplicativos:

• Aplicações que foram criadas recentemente
• Aplicativo com nome de exibição incomum
• Aplicações com um domínio de resposta suspeito

Se você ainda suspeitar que um aplicativo é suspeito, você pode pesquisar o nome de exibição do aplicativo e o domínio de resposta.

Novo aplicativo com permissões de email com padrão de consentimento baixo

Gravidade: Média

Essa deteção identifica aplicativos OAuth criados recentemente em locatários de editor relativamente novos com as seguintes características:

• Permissões para acessar ou alterar configurações de caixa de correio
• Taxa de consentimento relativamente baixa, que pode identificar aplicações indesejadas ou mesmo maliciosas que tentam obter o consentimento de utilizadores desavisados

TP ou FP?

• TP: Se você conseguir confirmar que a solicitação de consentimento para o aplicativo foi entregue de uma fonte desconhecida ou externa e o aplicativo não tem um uso comercial legítimo na organização, então um verdadeiro positivo é indicado.

  Ação recomendada:

  • Entre em contato com usuários e administradores que deram consentimento para este aplicativo para confirmar que isso foi intencional e os privilégios excessivos são normais.
  • Investigue a atividade do aplicativo e verifique as contas afetadas em busca de atividades suspeitas.
  • Com base na sua investigação, desative a aplicação e suspenda e reponha as palavras-passe de todas as contas afetadas.
  • Classifique o alerta como um verdadeiro positivo.

• FP: Se após investigação, você pode confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: classifique o alerta como falso positivo e considere compartilhar comentários com base na sua investigação do alerta.

Compreender o âmbito da violação

Revise as concessões de consentimento para o aplicativo feitas por usuários e administradores. Investigue todas as atividades realizadas pelo aplicativo, especialmente o acesso à caixa de correio de usuários associados e contas de administrador. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e alternar as credenciais de todas as contas afetadas.

Novo aplicativo com baixa taxa de consentimento acessando vários e-mails

Gravidade: Média

Esse alerta identifica aplicativos OAuth registrados recentemente em um locatário de editor relativamente novo com permissões para alterar as configurações de caixa de correio e acessar e-mails. Ele também verifica se o aplicativo tem uma taxa de consentimento global relativamente baixa e faz várias chamadas para a API do Microsoft Graph para acessar e-mails de usuários consentidos. As aplicações que disparam este alerta podem ser aplicações indesejadas ou maliciosas que tentam obter o consentimento de utilizadores desavisados.

TP ou FP?

• TP: Se você conseguir confirmar que a solicitação de consentimento para o aplicativo foi entregue de uma fonte desconhecida ou externa e o aplicativo não tem um uso comercial legítimo na organização, então um verdadeiro positivo é indicado.

  Ação recomendada:

  • Entre em contato com usuários e administradores que deram consentimento para este aplicativo para confirmar que isso foi intencional e os privilégios excessivos são normais.
  • Investigue a atividade do aplicativo e verifique as contas afetadas em busca de atividades suspeitas.
  • Com base na sua investigação, desative a aplicação e suspenda e reponha as palavras-passe de todas as contas afetadas.
  • Classifique o alerta como um verdadeiro positivo.

• FP: Se, após a investigação, você puder confirmar que o aplicativo tem um uso comercial legítimo na organização, então um falso positivo é indicado.

  Ação recomendada: classifique o alerta como falso positivo e considere compartilhar comentários com base na sua investigação do alerta.

Compreender o âmbito da violação

Revise as concessões de consentimento para o aplicativo feitas por usuários e administradores. Investigue todas as atividades realizadas pelo aplicativo, especialmente o acesso às caixas de correio de usuários associados e contas de administrador. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e alternar as credenciais de todas as contas afetadas.

Aplicativo suspeito com permissões de e-mail enviando vários e-mails

Gravidade: Média

Este alerta encontra aplicativos OAuth multilocatários que fizeram várias chamadas para a API do Microsoft Graph para enviar e-mails em um curto período de tempo. Ele também verifica se as chamadas de API resultaram em erros e tentativas fracassadas de enviar e-mails. As aplicações que acionam este alerta podem estar a enviar ativamente spam ou e-mails maliciosos para outros alvos.

TP ou FP?

• TP: Se você conseguir confirmar que a solicitação de consentimento para o aplicativo foi entregue de uma fonte desconhecida ou externa e o aplicativo não tem um uso comercial legítimo na organização, então um verdadeiro positivo é indicado.

  Ação recomendada:

  • Entre em contato com usuários e administradores que deram consentimento para este aplicativo para confirmar que isso foi intencional e os privilégios excessivos são normais.
  • Investigue a atividade do aplicativo e verifique as contas afetadas em busca de atividades suspeitas.
  • Com base na sua investigação, desative a aplicação e suspenda e reponha as palavras-passe de todas as contas afetadas.
  • Classifique o alerta como um verdadeiro positivo.

• FP: Se, após a investigação, você puder confirmar que o aplicativo tem um uso comercial legítimo na organização, então um falso positivo é indicado.

  Ação recomendada: classifique o alerta como falso positivo e considere compartilhar comentários com base na sua investigação do alerta.

Compreender o âmbito da violação

Revise as concessões de consentimento para o aplicativo feitas por usuários e administradores. Investigue todas as atividades realizadas pelo aplicativo, especialmente o acesso à caixa de correio de usuários associados e contas de administrador. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e alternar as credenciais de todas as contas afetadas.

Aplicativo OAuth suspeito usado para enviar vários e-mails

Gravidade: Média

Esse alerta indica um aplicativo OAuth que fez várias chamadas para a API do Microsoft Graph para enviar e-mails em um curto período de tempo. O locatário do editor do aplicativo é conhecido por gerar um grande volume de aplicativos OAuth que fazem chamadas semelhantes à API do Microsoft Graph. Um invasor pode estar usando ativamente esse aplicativo para enviar spam ou e-mails mal-intencionados para seus alvos.

TP ou FP?

• TP: Se você conseguir confirmar que a solicitação de consentimento para o aplicativo foi entregue de uma fonte desconhecida ou externa e o aplicativo não tem um uso comercial legítimo na organização, então um verdadeiro positivo é indicado.

  Ação recomendada:

  • Entre em contato com usuários e administradores que deram consentimento para este aplicativo para confirmar que isso foi intencional e os privilégios excessivos são normais.
  • Investigue a atividade do aplicativo e verifique as contas afetadas em busca de atividades suspeitas.
  • Com base na sua investigação, desative a aplicação e suspenda e reponha as palavras-passe de todas as contas afetadas.
  • Classifique o alerta como um verdadeiro positivo.

• FP: Se, após a investigação, você puder confirmar que o aplicativo tem um uso comercial legítimo na organização, então um falso positivo é indicado.

  Ação recomendada: classifique o alerta como falso positivo e considere compartilhar comentários com base na sua investigação do alerta.

Compreender o âmbito da violação

Revise as concessões de consentimento para o aplicativo feitas por usuários e administradores. Investigue todas as atividades realizadas pelo aplicativo, especialmente o acesso à caixa de correio de usuários associados e contas de administrador. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e alternar as credenciais de todas as contas afetadas.

Alertas de persistência

Esta seção descreve alertas que indicam que um ator mal-intencionado pode estar tentando manter sua posição na sua organização.

O aplicativo fez chamadas anômalas do Graph para a carga de trabalho do Exchange após a atualização do certificado ou a adição de novas credenciais

Gravidade: Média

ID MITRE: T1098.001, T1114

Essa deteção dispara um alerta quando um aplicativo de Linha de Negócios (LOB) atualiza certificados/segredos ou adiciona novas credenciais e, em poucos dias, após a atualização do certificado ou a adição de novas credenciais, observa atividades incomuns ou uso de alto volume para a carga de trabalho do Exchange por meio da Graph API usando o algoritmo de aprendizado de máquina.

TP ou FP?

• TP: Se você puder confirmar que atividades incomuns/uso de alto volume para a carga de trabalho do Exchange foram realizadas pelo aplicativo LOB por meio da Graph API

  Recomendar ação: desative temporariamente o aplicativo e redefina a senha e, em seguida, reative o aplicativo.

• FP: Se você puder confirmar que nenhuma atividade incomum foi executada pelo aplicativo LOB ou aplicativo destina-se a fazer um volume anormalmente alto de chamadas gráficas.

  Ação recomendada: Dispense o alerta.

Compreender o âmbito da violação

1. Analise todas as atividades realizadas por este aplicativo.
2. Analise os escopos concedidos pelo aplicativo.
3. Revise a atividade do usuário associada a este aplicativo.

Aplicativo com escopo OAuth suspeito foi sinalizado como de alto risco pelo modelo de Machine Learning, fez chamadas gráficas para ler e-mails e criou a Regra da Caixa de Entrada

Gravidade: Média

ID MITRE: T1137.005, T1114

Essa deteção identifica um aplicativo OAuth que foi sinalizado como de alto risco pelo modelo de Aprendizado de Máquina que consentiu com escopos suspeitos, criou uma regra de caixa de entrada suspeita e, em seguida, acessou pastas de email e mensagens dos usuários por meio da API do Graph. As regras da caixa de entrada, como encaminhar todos ou e-mails específicos para outra conta de e-mail e chamadas do Graph para acessar e-mails e enviar para outra conta de email, podem ser uma tentativa de exfiltrar informações da sua organização.

TP ou FP?

• TP: Se você puder confirmar que a regra de caixa de entrada foi criada por um aplicativo de terceiros OAuth com escopos suspeitos entregues de uma fonte desconhecida, um verdadeiro positivo será detetado.

  Ação recomendada: desative e remova o aplicativo, redefina a senha e remova a regra da caixa de entrada.

Siga o tutorial sobre como redefinir uma senha usando o Microsoft Entra ID e siga o tutorial sobre como remover a regra de caixa de entrada.

• FP: Se você puder confirmar que o aplicativo criou uma regra de caixa de entrada para uma conta de e-mail externa nova ou pessoal por motivos legítimos.

  Ação recomendada: Dispense o alerta.

Compreender o âmbito da violação

1. Analise todas as atividades realizadas pelo aplicativo.
2. Analise os escopos concedidos pelo aplicativo.
3. Revise a ação e a condição da regra da caixa de entrada criadas pelo aplicativo.

Aplicativo com escopo OAuth suspeito fez chamadas gráficas para ler e-mails e criou regra de caixa de entrada

Gravidade: Média

ID MITRE: T1137.005, T1114

Essa deteção identifica um aplicativo OAuth que consentiu com escopos suspeitos, cria uma regra de caixa de entrada suspeita e, em seguida, acessou pastas de e-mail e mensagens de usuários por meio da API do Graph. As regras da caixa de entrada, como encaminhar todos ou e-mails específicos para outra conta de e-mail e chamadas do Graph para acessar e-mails e enviar para outra conta de email, podem ser uma tentativa de exfiltrar informações da sua organização.

TP ou FP?

• TP: Se você puder confirmar que a regra da caixa de entrada foi criada por um aplicativo de terceiros OAuth com escopos suspeitos entregues de uma fonte desconhecida, então um verdadeiro positivo é indicado.

  Ação recomendada: desative e remova o aplicativo, redefina a senha e remova a regra da caixa de entrada.

  Siga o tutorial sobre como redefinir uma senha usando o Microsoft Entra ID e siga o tutorial sobre como remover a regra de caixa de entrada.

• FP: Se você puder confirmar que o aplicativo criou uma regra de caixa de entrada para uma conta de e-mail externa nova ou pessoal por motivos legítimos.

  Ação recomendada: Dispense o alerta.

Compreender o âmbito da violação

1. Analise todas as atividades realizadas pelo aplicativo.
2. Analise os escopos concedidos pelo aplicativo.
3. Revise a ação e a condição da regra da caixa de entrada criadas pelo aplicativo.

Aplicativo acessado a partir de local incomum após atualização de certificado

Gravidade: Baixa

ID MITRE: T1098

Essa deteção dispara um alerta quando um aplicativo de Linha de Negócios (LOB) foi atualizado o certificado/segredo e, em poucos dias após a atualização do certificado, o aplicativo é acessado de um local incomum que não foi visto recentemente ou nunca foi acessado no passado.

TP ou FP?

• TP: se você puder confirmar que o aplicativo LOB acessou de um local incomum e realizou atividades incomuns por meio da Graph API.

  Recomendar ação: desative temporariamente o aplicativo e redefina a senha e, em seguida, reative o aplicativo.

• FP: Se você conseguir confirmar que o aplicativo LOB acessou de um local incomum para fins legítimos e sem atividades incomuns realizadas.

  Ação recomendada: Dispense o alerta.

Compreender o âmbito da violação

1. Revise todas as atividades realizadas por este aplicativo.
2. Analise os escopos concedidos pelo aplicativo.
3. Revise a atividade do usuário associada a este aplicativo.

Aplicativo acessado a partir de local incomum fez chamadas anômalas do Graph após atualização do certificado

Gravidade: Média

ID MITRE: T1098

Essa deteção dispara um alerta quando um aplicativo de Linha de Negócios (LOB) atualiza o certificado/segredo e, em poucos dias após a atualização do certificado, o aplicativo é acessado de um local incomum que não foi visto recentemente ou nunca acessado no passado e observou atividades ou uso incomuns por meio da Graph API usando algoritmo de aprendizado de máquina.

TP ou FP?

• TP: Se você puder confirmar que atividades/uso incomuns foram realizados pelo aplicativo LOB por meio da API do Graph a partir de um local incomum.

  Recomendar ação: desative temporariamente o aplicativo e redefina a senha e, em seguida, reative o aplicativo.

• FP: Se você conseguir confirmar que o aplicativo LOB acessou de um local incomum para fins legítimos e sem atividades incomuns realizadas.

  Ação recomendada: Dispense o alerta.

Compreender o âmbito da violação

1. Revise todas as atividades realizadas por este aplicativo.
2. Analise os escopos concedidos pelo aplicativo.
3. Revise a atividade do usuário associada a este aplicativo.

Aplicativo criado recentemente tem um alto volume de consentimentos revogados

Gravidade: Média

ID MITRE: T1566, T1098

Vários usuários revogaram seu consentimento para este aplicativo de linha de negócios (LOB) ou de terceiros criado recentemente. Esta aplicação pode ter atraído os utilizadores a dar-lhe consentimento inadvertidamente.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo OAuth é entregue de uma fonte desconhecida e o comportamento do aplicativo é suspeito. 

  Ação recomendada: revogue os consentimentos concedidos ao aplicativo e desative o aplicativo. 

• FP: Se após a investigação, você pode confirmar que o aplicativo tem um uso comercial legítimo na organização e nenhuma atividade incomum foi realizada pelo aplicativo.

  Ação recomendada: Ignorar o alerta

Compreender o âmbito da violação

1. Analise todas as atividades realizadas pelo aplicativo.
2. Se suspeitar que uma aplicação é suspeita, recomendamos que investigue o nome e o domínio de resposta da aplicação em diferentes lojas de aplicações. Ao verificar as lojas de aplicativos, concentre-se nos seguintes tipos de aplicativos:
   • Aplicações que foram criadas recentemente
   • Aplicativos com um nome de exibição incomum
   • Aplicações com um domínio de resposta suspeito
3. Se você ainda suspeitar que um aplicativo é suspeito, você pode pesquisar o nome de exibição do aplicativo e o domínio de resposta.

Metadados da aplicação associados a uma campanha de phishing conhecida

Gravidade: Média

Essa deteção gera alertas para aplicativos OAuth que não são da Microsoft com metadados, como nome, URL ou editor, que haviam sido observados anteriormente em aplicativos associados a uma campanha de phishing. Esses aplicativos podem fazer parte da mesma campanha e estar envolvidos na exfiltração de informações confidenciais.

TP ou FP?

• TP: Se você for capaz de confirmar que o aplicativo OAuth é entregue de uma fonte desconhecida e está realizando atividades incomuns.

  Ação recomendada:

  • Investigue os detalhes de registro do aplicativo sobre a governança do aplicativo e visite Microsoft Entra ID para obter mais detalhes.
  • Entre em contato com os usuários ou administradores que concederam consentimento ou permissões para o aplicativo. Verifique se as alterações foram intencionais.
  • Pesquise na tabela de caça avançada do CloudAppEvents para entender a atividade do aplicativo e determinar se o comportamento observado é esperado.
  • Verifique se o aplicativo é crítico para sua organização antes de considerar quaisquer ações de contenção. Desative o aplicativo usando a governança do aplicativo ou o Microsoft Entra ID para impedir que ele acesse recursos. As políticas de governança de aplicativo existentes podem já ter desativado o aplicativo.

• FP: Se você puder confirmar que nenhuma atividade incomum foi realizada pelo aplicativo e que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: Ignorar o alerta

Compreender o âmbito da violação

1. Analise todas as atividades realizadas pelo aplicativo.
2. Analise os escopos concedidos ao aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

Metadados da aplicação associados a aplicações suspeitas sinalizadas anteriormente

Gravidade: Média

Essa deteção gera alertas para aplicativos OAuth que não são da Microsoft com metadados, como nome, URL ou editor, que haviam sido observados anteriormente em aplicativos sinalizados pela governança do aplicativo devido a atividades suspeitas. Este aplicativo pode fazer parte de uma campanha de ataque e pode estar envolvido na exfiltração de informações confidenciais.

TP ou FP?

• TP: Se você for capaz de confirmar que o aplicativo OAuth é entregue de uma fonte desconhecida e está realizando atividades incomuns.

  Ação recomendada:

  • Investigue os detalhes de registro do aplicativo sobre a governança do aplicativo e visite Microsoft Entra ID para obter mais detalhes.
  • Entre em contato com os usuários ou administradores que concederam consentimento ou permissões para o aplicativo. Verifique se as alterações foram intencionais.
  • Pesquise na tabela de caça avançada do CloudAppEvents para entender a atividade do aplicativo e determinar se o comportamento observado é esperado.
  • Verifique se o aplicativo é crítico para sua organização antes de considerar quaisquer ações de contenção. Desative o aplicativo usando a governança do aplicativo ou o Microsoft Entra ID para impedir que ele acesse recursos. As políticas de governança de aplicativo existentes podem já ter desativado o aplicativo.

• FP: Se você puder confirmar que nenhuma atividade incomum foi realizada pelo aplicativo e que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: Ignorar o alerta

Compreender o âmbito da violação

1. Analise todas as atividades realizadas pelo aplicativo.
2. Analise os escopos concedidos ao aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

Atividade suspeita de e-mail do aplicativo OAuth por meio da Graph API

Gravidade: Alta

Essa deteção gera alertas para aplicativos OAuth multilocatário, registrados por usuários com entrada de alto risco, que fizeram chamadas para a API do Microsoft Graph para executar atividades de email suspeitas em um curto período de tempo.

Essa deteção verifica se as chamadas de API foram feitas para a criação de regras de caixa de correio, criar e-mails de resposta, encaminhar e-mails, responder ou enviar novos e-mails. As aplicações que acionam este alerta podem estar a enviar ativamente spam ou e-mails maliciosos para outros alvos ou a exfiltrar dados confidenciais e limpar faixas para evitar a deteção.

TP ou FP?

• TP: Se você conseguir confirmar que a criação do aplicativo e a solicitação de consentimento para o aplicativo foi entregue de uma fonte desconhecida ou externa e o aplicativo não tem um uso comercial legítimo na organização, então um verdadeiro positivo é indicado.

  Ação recomendada:

  • Entre em contato com usuários e administradores que deram consentimento para este aplicativo para confirmar que isso foi intencional e os privilégios excessivos são normais.

  • Investigue a atividade do aplicativo e verifique as contas afetadas em busca de atividades suspeitas.

  • Com base na sua investigação, desative o aplicativo e suspenda e redefina as senhas de todas as contas afetadas e remova a regra da caixa de entrada.

  • Classifique o alerta como um verdadeiro positivo.

• FP: Se, após investigação, você puder confirmar que o aplicativo tem um uso comercial legítimo na organização, então um falso positivo é indicado.

  Ação recomendada:

  • Classifique o alerta como falso positivo e considere compartilhar comentários com base na sua investigação do alerta.

  • Entenda o escopo da violação:

    Revise as concessões de consentimento para o aplicativo feitas por usuários e administradores. Investigue todas as atividades realizadas pelo aplicativo, especialmente o acesso à caixa de correio de usuários associados e contas de administrador. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e alternar as credenciais de todas as contas afetadas.

Atividade suspeita de e-mail do aplicativo OAuth por meio da API EWS

Gravidade: Alta

Essa deteção gera alertas para aplicativos OAuth multilocatário, registrados por usuários com entrada de alto risco, que fizeram chamadas para a API do Microsoft Exchange Web Services (EWS) para executar atividades de email suspeitas em um curto período de tempo.

Essa deteção verifica se as chamadas de API foram feitas para atualizar regras da caixa de entrada, mover itens, excluir e-mails, excluir pastas ou excluir anexos. Os aplicativos que disparam esse alerta podem estar exfiltrando ou excluindo ativamente dados confidenciais e limpando faixas para evitar a deteção.

TP ou FP?

• TP: Se você conseguir confirmar que a criação do aplicativo e a solicitação de consentimento para o aplicativo foi entregue de uma fonte desconhecida ou externa e o aplicativo não tem um uso comercial legítimo na organização, então um verdadeiro positivo é indicado.

  Ação recomendada:

  • Entre em contato com usuários e administradores que deram consentimento para este aplicativo para confirmar que isso foi intencional e os privilégios excessivos são normais.

  • Investigue a atividade do aplicativo e verifique as contas afetadas em busca de atividades suspeitas.

  • Com base na sua investigação, desative o aplicativo e suspenda e redefina as senhas de todas as contas afetadas e remova a regra da caixa de entrada.

  • Classifique o alerta como um verdadeiro positivo.

• FP: Se, após a investigação, você puder confirmar que o aplicativo tem um uso comercial legítimo na organização, então um falso positivo é indicado.

  Ação Recomendada:

  • Classifique o alerta como falso positivo e considere compartilhar comentários com base na sua investigação do alerta.

  • Entenda o escopo da violação:

    Revise as concessões de consentimento para o aplicativo feitas por usuários e administradores. Investigue todas as atividades realizadas pelo aplicativo, especialmente o acesso à caixa de correio de usuários associados e contas de administrador. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e alternar as credenciais de todas as contas afetadas.

Alertas de escalonamento de privilégios

O aplicativo OAuth com metadados suspeitos tem permissão do Exchange

Gravidade: Média

ID MITRE: T1078

Esse alerta é acionado quando um aplicativo de linha de negócios com metadados suspeitos tem privilégio para gerenciar permissões no Exchange.

TP ou FP?

• TP: Se você conseguir confirmar que o aplicativo OAuth é entregue de uma fonte desconhecida e tem características de metadados suspeitas, então um verdadeiro positivo é indicado.

Ação recomendada: revogue os consentimentos concedidos ao aplicativo e desative o aplicativo.

FP: Se após investigação, você pode confirmar que o aplicativo tem um uso comercial legítimo na organização.

Ação recomendada: Ignorar o alerta

Compreender o âmbito da violação

1. Analise todas as atividades realizadas pelo aplicativo.
2. Analise os escopos concedidos pelo aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

Alertas de evasão de defesa

Aplicação que se faz passar por um logótipo da Microsoft

Gravidade: Média

Um aplicativo de nuvem que não é da Microsoft está usando um logotipo que foi encontrado por um algoritmo de aprendizado de máquina como semelhante a um logotipo da Microsoft. Isso pode ser uma tentativa de se passar por produtos de software da Microsoft e parecer legítimo.

Nota

Os administradores de locatários precisarão fornecer consentimento via pop-up para que os dados necessários sejam enviados fora do limite de conformidade atual e selecionar equipes de parceiros dentro da Microsoft para habilitar essa deteção de ameaças para aplicativos de linha de negócios.

TP ou FP?

• TP: Se você puder confirmar que o logotipo do aplicativo é uma imitação de um logotipo da Microsoft e o comportamento do aplicativo é suspeito. 

  Ação recomendada: revogue os consentimentos concedidos ao aplicativo e desative o aplicativo.

• FP: Se você puder confirmar que o logotipo do aplicativo não é uma imitação de um logotipo da Microsoft ou que nenhuma atividade incomum foi realizada pelo aplicativo. 

  Ação recomendada: Ignorar o alerta

Compreender o âmbito da violação

1. Analise todas as atividades realizadas pelo aplicativo.
2. Analise os escopos concedidos ao aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

O aplicativo está associado a um domínio typosquatted

Gravidade: Média

Essa deteção gera alertas para aplicativos OAuth que não são da Microsoft com domínios de editor ou URLs de redirecionamento que contêm versões typosquatted de nomes de marcas da Microsoft. Typosquatting é geralmente usado para capturar tráfego para sites sempre que os usuários inadvertidamente digitam URLs incorretamente, mas eles também podem ser usados para personificar produtos e serviços de software populares.

TP ou FP?

• TP: Se você puder confirmar que o domínio do editor ou URL de redirecionamento do aplicativo está typosquated e não está relacionado com a verdadeira identidade do aplicativo.

  Ação recomendada:

  • Investigue os detalhes de registro do aplicativo sobre a governança do aplicativo e visite Microsoft Entra ID para obter mais detalhes.
  • Verifique o aplicativo para outros sinais de falsificação ou falsificação de identidade e qualquer atividade suspeita.
  • Verifique se o aplicativo é crítico para sua organização antes de considerar quaisquer ações de contenção. Desative o aplicativo usando a governança do aplicativo para impedir que ele acesse recursos. As políticas de governança de aplicativo existentes podem já ter desativado o aplicativo.

• FP: Se você puder confirmar que o domínio do editor e o URL de redirecionamento do aplicativo são legítimos. 

  Ação recomendada: classifique o alerta como falso positivo e considere compartilhar comentários com base na sua investigação do alerta.

Compreender o âmbito da violação

1. Analise todas as atividades realizadas pelo aplicativo.
2. Analise os escopos concedidos ao aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

Acesso a credenciais

Esta seção descreve alertas que indicam que um ator mal-intencionado pode estar tentando ler dados confidenciais de credenciais e consiste em técnicas para roubar credenciais como nomes de contas, segredos, tokens, certificados e senhas em sua organização.

Aplicativo que inicia várias atividades de leitura do KeyVault com falha sem sucesso

Gravidade: Média

ID MITRE: T1078.004

Essa deteção identifica um aplicativo em seu locatário que foi observado fazendo várias chamadas de ação de leitura para o KeyVault usando a API do Azure Resource Manager em um curto intervalo, com apenas falhas e nenhuma atividade de leitura bem-sucedida sendo concluída.

TP ou FP?

• TP: Se o aplicativo é desconhecido ou não está sendo usado, a atividade dada é potencialmente suspeita. Depois de verificar o recurso do Azure que está sendo usado e validar o uso do aplicativo no locatário, a atividade determinada pode exigir que o aplicativo seja desabilitado. Isso geralmente é evidência de atividade de enumeração suspeita em relação ao recurso KeyVault para obter acesso a credenciais para movimento lateral ou escalonamento de privilégios.

  Ações recomendadas: revise os recursos do Azure acessados ou criados pelo aplicativo e quaisquer alterações recentes feitas no aplicativo. Com base na sua investigação, escolha se deseja proibir o acesso a este aplicativo. Revise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

• FP: Se, após investigação, você puder confirmar que o aplicativo tem uso comercial legítimo na organização.

  Ação recomendada: Dispense o alerta.

Compreender o âmbito da violação

1. Analise o acesso e a atividade do aplicativo.
2. Reveja todas as atividades realizadas pela aplicação desde a sua criação.
3. Analise os escopos concedidos pelo aplicativo na API do Graph e a Função concedida a ele em sua assinatura.
4. Analise qualquer usuário que possa ter acessado o aplicativo antes da atividade.

Alertas de descoberta

Enumeração de unidade executada pelo aplicativo

Gravidade: Média

ID MITRE: T1087

Essa deteção identifica um aplicativo OAuth que foi detetado pelo modelo de Aprendizado de Máquina executando enumeração em arquivos do OneDrive usando a API do Graph.

TP ou FP?

• TP: Se você puder confirmar que atividades/uso incomuns do OneDrive foram realizadas pelo aplicativo LOB por meio da Graph API.

  Ação recomendada: desative e remova o aplicativo e redefina a senha.

• FP: Se você puder confirmar que nenhuma atividade incomum foi realizada pelo aplicativo.

  Ação recomendada: Dispense o alerta.

Compreender o âmbito da violação

1. Analise todas as atividades realizadas por este aplicativo.
2. Analise os escopos concedidos pelo aplicativo.
3. Revise a atividade do usuário associada a este aplicativo.

Atividades de enumeração suspeitas executadas usando o Microsoft Graph PowerShell

Gravidade: Média

ID MITRE: T1087

Essa deteção identifica um grande volume de atividades de enumeração suspeitas executadas em um curto período de tempo por meio de um aplicativo Microsoft Graph PowerShell .

TP ou FP?

• TP: Se você puder confirmar que atividades de enumeração suspeitas/incomuns foram executadas pelo aplicativo Microsoft Graph PowerShell.

  Ação recomendada: Desative e remova o aplicativo e redefina a senha.

• FP: Se você puder confirmar que nenhuma atividade incomum foi realizada pelo aplicativo.

  Ação recomendada: Dispense o alerta.

Compreender o âmbito da violação

1. Analise todas as atividades realizadas por este aplicativo.
2. Revise a atividade do usuário associada a este aplicativo.

O aplicativo multilocatário criado recentemente enumera as informações dos usuários com freqüência

Gravidade: Média

ID MITRE: T1087

Este alerta encontra aplicativos OAuth registrados recentemente em um locatário de editor relativamente novo com permissões para alterar as configurações de caixa de correio e acessar e-mails. Ele verifica se o aplicativo fez várias chamadas para a API do Microsoft Graph solicitando informações do diretório do usuário. Os aplicativos que disparam esse alerta podem estar atraindo os usuários a conceder consentimento para que eles possam acessar dados organizacionais.

TP ou FP?

• TP: Se você conseguir confirmar que a solicitação de consentimento para o aplicativo foi entregue de uma fonte desconhecida ou externa e o aplicativo não tem um uso comercial legítimo na organização, então um verdadeiro positivo é indicado.

  Ação recomendada:

  • Entre em contato com usuários e administradores que deram consentimento para este aplicativo para confirmar que isso foi intencional e os privilégios excessivos são normais.
  • Investigue a atividade do aplicativo e verifique as contas afetadas em busca de atividades suspeitas.
  • Com base na sua investigação, desative a aplicação e suspenda e reponha as palavras-passe de todas as contas afetadas.
  • Classifique o alerta como um verdadeiro positivo.

• FP: Se, após a investigação, você puder confirmar que o aplicativo tem um uso comercial legítimo na organização, então um falso positivo é indicado.

  Ação recomendada: classifique o alerta como falso positivo e considere compartilhar comentários com base na sua investigação do alerta.

Compreender o âmbito da violação

Revise as concessões de consentimento para o aplicativo feitas por usuários e administradores. Investigue todas as atividades feitas pelo aplicativo, especialmente a enumeração de informações do diretório do usuário. Se suspeitar que a aplicação é suspeita, considere desativar a aplicação e alternar as credenciais de todas as contas afetadas.

Alertas de exfiltração

Esta seção descreve alertas que indicam que um ator mal-intencionado pode estar tentando roubar dados de interesse para seu objetivo da sua organização.

Aplicativo OAuth usando agente de usuário incomum

Gravidade: Baixa

ID MITRE: T1567

Essa deteção identifica um aplicativo OAuth que está usando um agente de usuário incomum para acessar a API do Graph.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo OAuth começou recentemente a usar um novo agente de usuário que não foi usado anteriormente e essa alteração é inesperada, então um verdadeiro positivo é indicado.

  Ações recomendadas: revise os agentes de usuário usados e quaisquer alterações recentes feitas no aplicativo. Com base na sua investigação, pode optar por proibir o acesso a esta aplicação. Revise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

• FP: Se após investigação, você pode confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: Dispense o alerta.

Compreender o âmbito da violação

1. Analise os aplicativos criados recentemente e os agentes de usuário usados.
2. Analise todas as atividades realizadas pelo aplicativo. 
3. Analise os escopos concedidos pelo aplicativo. 

Aplicativo com um agente de usuário incomum acessou dados de email por meio dos Serviços Web do Exchange

Gravidade: Alta

ID MITRE: T1114, T1567

Essa deteção identifica um aplicativo OAuth que usou um agente de usuário incomum para acessar dados de email usando a API de serviços Web do Exchange.

TP ou FP?

• TP: Se você puder confirmar que não se espera que o aplicativo OAuth altere o agente de usuário que ele usa para fazer solicitações à API de Serviços Web do Exchange, um verdadeiro positivo será indicado.

  Ações recomendadas: Classifique o alerta como um TP. Com base na investigação, se o aplicativo for malicioso, você pode revogar consentimentos e desabilitar o aplicativo no locatário. Se for uma aplicação comprometida, pode revogar os consentimentos, desativar temporariamente a aplicação, rever as permissões, repor o segredo e o certificado e, em seguida, reativar a aplicação.

• FP: Se após investigação, você pode confirmar que o agente de usuário usado pelo aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: Classifique o alerta como PF. Além disso, considere compartilhar comentários com base na sua investigação do alerta.

Compreender o âmbito da violação

1. Analise se o aplicativo foi criado recentemente ou se foram feitas alterações recentes nele.
2. Revise as permissões concedidas ao aplicativo e os usuários que consentiram com o aplicativo.
3. Analise todas as atividades realizadas pelo aplicativo.

Alertas de movimento lateral

Esta seção descreve alertas que indicam que um ator mal-intencionado pode estar tentando se mover lateralmente dentro de diferentes recursos, enquanto gira através de vários sistemas e contas para obter mais controle em sua organização.

Aplicativo OAuth inativo predominantemente usando MS Graph ou Exchange Web Services recentemente visto acessando cargas de trabalho ARM

Gravidade: Média

ID MITRE: T1078.004

Essa deteção identifica um aplicativo em seu locatário que, após um longo período de atividade inativa, começou a acessar a API do Azure Resource Manager pela primeira vez. Anteriormente, este aplicativo usava principalmente o MS Graph ou o Exchange Web Service.

TP ou FP?

• TP: Se o aplicativo for desconhecido ou não estiver sendo usado, a atividade dada é potencialmente suspeita e pode exigir a desativação do aplicativo, depois de verificar o recurso do Azure que está sendo usado e validar o uso do aplicativo no locatário.

  Ações recomendadas:

  1. Analise os recursos do Azure acessados ou criados pelo aplicativo e quaisquer alterações recentes feitas no aplicativo.
  2. Revise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.
  3. Com base na sua investigação, escolha se deseja proibir o acesso a este aplicativo.

• FP: Se, após investigação, você puder confirmar que o aplicativo tem uso comercial legítimo na organização.

  Ação recomendada: Dispense o alerta.

Compreender o âmbito da violação

1. Analise o acesso e a atividade do aplicativo.
2. Reveja todas as atividades realizadas pela aplicação desde a sua criação.
3. Analise os escopos concedidos pelo aplicativo na API do Graph e a Função concedida a ele em sua assinatura.
4. Analise qualquer usuário que possa ter acessado o aplicativo antes da atividade.

Alertas de recolha

Esta seção descreve alertas que indicam que um ator mal-intencionado pode estar tentando coletar dados de interesse para seu objetivo da sua organização.

App fez atividades de pesquisa de e-mail incomuns

Gravidade: Média

ID MITRE: T1114

Essa deteção identifica quando um aplicativo consentiu com o escopo OAuth suspeito e fez um grande volume de atividades de pesquisa de e-mail incomuns, como a pesquisa de e-mail para conteúdo específico por meio da Graph API. Isso pode indicar uma tentativa de violação da sua organização, como adversários tentando pesquisar e ler e-mails específicos da sua organização por meio da API do Graph. 

TP ou FP?

• TP: Se você puder confirmar um alto volume de pesquisa de e-mail incomum e atividades de leitura através da Graph API por um aplicativo OAuth com um escopo OAuth suspeito e que o aplicativo é entregue de fonte desconhecida.

  Ações recomendadas: desative e remova o aplicativo, redefina a senha e remova a regra da caixa de entrada. 

• FP: Se você puder confirmar que o aplicativo realizou um grande volume de pesquisa de e-mail incomum e leu a API do Graph por motivos legítimos.

  Ação recomendada: Dispense o alerta.

Compreender o âmbito da violação

1. Analise os escopos concedidos pelo aplicativo.
2. Analise todas as atividades realizadas pelo aplicativo. 

App fez chamadas anômalas do Graph para ler e-mails

Gravidade: Média

ID MITRE: T1114

Essa deteção identifica quando o Aplicativo OAuth de Linha de Negócios (LOB) acessa um volume incomum e alto de pastas de e-mail e mensagens do usuário por meio da API do Graph, o que pode indicar uma tentativa de violação da sua organização.

TP ou FP?

• TP: Se você puder confirmar que a atividade gráfica incomum foi realizada pelo aplicativo OAuth da Linha de Negócios (LOB), então um verdadeiro positivo é indicado.

  Ações recomendadas: desative temporariamente o aplicativo e redefina a senha e, em seguida, reative o aplicativo. Siga o tutorial sobre como redefinir uma senha usando o Microsoft Entra ID.

• FP: Se você puder confirmar que o aplicativo se destina a fazer um volume anormalmente alto de chamadas gráficas.

  Ação recomendada: Dispense o alerta.

Compreender o âmbito da violação

1. Revise o registro de atividades para eventos realizados por este aplicativo para obter uma melhor compreensão de outras atividades do Graph para ler e-mails e tentar coletar informações confidenciais de e-mail dos usuários.
2. Monitore se há credenciais inesperadas sendo adicionadas ao aplicativo.

Aplicativo cria regra de caixa de entrada e faz atividades de pesquisa de e-mail incomuns

Gravidade: Média

IDs MITRE: T1137, T1114

Essa deteção identifica o aplicativo consentido com alto escopo de privilégios, cria uma regra de caixa de entrada suspeita e fez atividades de pesquisa de e-mail incomuns em pastas de e-mail de usuários por meio da Graph API. Isso pode indicar uma tentativa de violação da sua organização, como adversários que tentam pesquisar e coletar e-mails específicos da sua organização por meio da API do Graph.

TP ou FP?

• TP: Se você for capaz de confirmar qualquer pesquisa e coleta de e-mails específicos feita através da Graph API por um aplicativo OAuth com alto escopo de privilégios, e o aplicativo for entregue de fonte desconhecida.

  Ação recomendada: desative e remova o aplicativo, redefina a senha e remova a regra da caixa de entrada.

• FP: Se você puder confirmar que o aplicativo realizou pesquisa e coleta de e-mails específicos por meio da Graph API e criou uma regra de caixa de entrada para uma conta de e-mail externa nova ou pessoal por motivos legítimos.

  Ação recomendada: Dispense o alerta.

Compreender o âmbito da violação

1. Analise todas as atividades realizadas pelo aplicativo.
2. Analise os escopos concedidos pelo aplicativo.
3. Revise qualquer ação de regra de caixa de entrada criada pelo aplicativo.
4. Analise todas as atividades de pesquisa de e-mail feitas pelo aplicativo.

Aplicativo criou atividades de pesquisa do OneDrive / SharePoint e criou regra de caixa de entrada

Gravidade: Média

ID MITRE: T1137, T1213

Essa deteção identifica que um Aplicativo consentiu com um escopo de alto privilégio, criou uma regra de caixa de entrada suspeita e fez atividades de pesquisa incomuns do SharePoint ou do OneDrive por meio da API do Graph. Isso pode indicar uma tentativa de violação da sua organização, como adversários que tentam pesquisar e coletar dados específicos do SharePoint ou do OneDrive da sua organização por meio da API do Graph. 

TP ou FP?

• TP: Se você conseguir confirmar quaisquer dados específicos do SharePoint ou do OneDrive, a pesquisa e a coleta feitas por meio da Graph API por um aplicativo OAuth com escopo de alto privilégio e o aplicativo for entregue de fonte desconhecida. 

  Ação recomendada: desative e remova o aplicativo, redefina a senha e remova a regra da caixa de entrada. 

• FP: Se você puder confirmar que o aplicativo executou dados específicos da pesquisa e coleta do SharePoint ou do OneDrive por meio da Graph API por um aplicativo OAuth e criou uma regra de caixa de entrada para uma conta de email externa nova ou pessoal por motivos legítimos. 

  Ação recomendada: Ignorar o alerta

Compreender o âmbito da violação

1. Analise todas as atividades realizadas pelo aplicativo. 
2. Analise os escopos concedidos pelo aplicativo. 
3. Revise qualquer ação de regra de caixa de entrada criada pelo aplicativo. 
4. Analise todas as atividades de pesquisa do SharePoint ou do OneDrive feitas pelo aplicativo.

App fez inúmeras pesquisas e edições no OneDrive

Gravidade: Média

IDs MITRE: T1137, T1213

Essa deteção identifica aplicativos OAuth com permissões de alto privilégio que executam um grande número de pesquisas e edições no OneDrive usando a API do Graph.

TP ou FP?

• TP: Se você conseguir confirmar que um alto uso da carga de trabalho do OneDrive por meio da API do Graph não é esperado deste aplicativo OAuth com permissões de alto privilégio para ler e gravar no OneDrive, então um verdadeiro positivo é indicado.

  Ação recomendada: Com base na investigação, se o aplicativo for malicioso, você pode revogar consentimentos e desabilitar o aplicativo no locatário. Se for uma aplicação comprometida, pode revogar os consentimentos, desativar temporariamente a aplicação, rever as permissões necessárias, repor a palavra-passe e, em seguida, reativar a aplicação.

• FP: Se após investigação, você pode confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: resolva o alerta e relate suas descobertas.

Compreender o âmbito da violação

1. Verifique se o aplicativo é de uma fonte confiável.
2. Verifique se o aplicativo foi criado recentemente ou se foram feitas alterações recentes nele.
3. Revise as permissões concedidas ao aplicativo e os usuários que consentiram com o aplicativo.
4. Investigue todas as outras atividades do aplicativo.

Aplicativo fez alto volume de leitura de e-mails importantes e criou regra de caixa de entrada

Gravidade: Média

IDs MITRE: T1137, T1114

Essa deteção identifica que um aplicativo consentiu com um escopo de alto privilégio, criou uma regra de caixa de entrada suspeita e fez um grande volume de atividades importantes de leitura de e-mail por meio da Graph API. Isso pode indicar uma tentativa de violação da sua organização, como adversários tentando ler e-mails de alta importância da sua organização por meio da API do Graph. 

TP ou FP?

• TP: Se você conseguir confirmar que o alto volume de e-mails importantes é lido através da Graph API por um aplicativo OAuth com alto escopo de privilégios, e o aplicativo é entregue de fonte desconhecida. 

  Ação recomendada: desative e remova o aplicativo, redefina a senha e remova a regra da caixa de entrada. 

• FP: Se você puder confirmar que o aplicativo executou um grande volume de e-mails importantes lidos através da API do Graph e criou uma regra de caixa de entrada para uma conta de e-mail externa nova ou pessoal por motivos legítimos. 

  Ação recomendada: Ignorar o alerta

Compreender o âmbito da violação

1. Analise todas as atividades realizadas pelo aplicativo. 
2. Analise os escopos concedidos pelo aplicativo. 
3. Revise qualquer ação de regra de caixa de entrada criada pelo aplicativo. 
4. Analise qualquer atividade de leitura de e-mail de alta importância feita pelo aplicativo.

Aplicativo privilegiado realizou atividades incomuns no Teams

Gravidade: Média

Essa deteção identifica aplicativos consentidos com escopos OAuth de alto privilégio, que acessaram o Microsoft Teams e fizeram um volume incomum de atividades de mensagens de bate-papo de leitura ou pós-bate-papo por meio da API do Graph. Isso pode indicar uma tentativa de violação de sua organização, como adversários tentando coletar informações de sua organização por meio da API do Graph.

TP ou FP?

• TP: Se você conseguir confirmar que atividades incomuns de mensagens de bate-papo no Microsoft Teams por meio da API do Graph por um aplicativo OAuth com um escopo de alto privilégio e o aplicativo for entregue de uma fonte desconhecida.

  Ação recomendada: desativar e remover o aplicativo e redefinir a senha

• FP: Se você puder confirmar que as atividades incomuns realizadas no Microsoft Teams por meio da API do Graph foram por motivos legítimos.

  Ação recomendada: Ignorar o alerta

Compreender o âmbito da violação

1. Analise os escopos concedidos pelo aplicativo.
2. Analise todas as atividades realizadas pelo aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

Atividade anômala do OneDrive por aplicativo que acabou de atualizar ou adicionar novas credenciais

Gravidade: Média

IDs MITRE: T1098.001, T1213

Um aplicativo na nuvem que não é da Microsoft fez chamadas anômalas da API do Graph para o OneDrive, incluindo o uso de dados de alto volume. Detetadas pelo aprendizado de máquina, essas chamadas de API incomuns foram feitas em poucos dias depois que o aplicativo adicionou certificados/segredos novos ou atualizados. Este aplicativo pode estar envolvido em exfiltração de dados ou outras tentativas de acessar e recuperar informações confidenciais.

TP ou FP?

• TP: Se você puder confirmar que atividades incomuns, como o uso de alto volume da carga de trabalho do OneDrive, foram realizadas pelo aplicativo por meio da Graph API.

  Ação recomendada: desative temporariamente o aplicativo, redefina a senha e reative o aplicativo.

• FP: Se você puder confirmar que nenhuma atividade incomum foi realizada pelo aplicativo ou que o aplicativo se destina a fazer um volume anormalmente alto de chamadas do Graph.

  Ação recomendada: Ignorar o alerta

Compreender o âmbito da violação

1. Analise todas as atividades realizadas pelo aplicativo.
2. Analise os escopos concedidos pelo aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

Atividade anômala do SharePoint por aplicativo que acabou de atualizar ou adicionar novas credenciais

Gravidade: Média

IDs MITRE: T1098.001, T1213.002

Um aplicativo na nuvem que não é da Microsoft fez chamadas anômalas da API do Graph para o SharePoint, incluindo o uso de dados de alto volume. Detetadas pelo aprendizado de máquina, essas chamadas de API incomuns foram feitas em poucos dias depois que o aplicativo adicionou certificados/segredos novos ou atualizados. Este aplicativo pode estar envolvido em exfiltração de dados ou outras tentativas de acessar e recuperar informações confidenciais.

TP ou FP?

• TP: Se você puder confirmar que atividades incomuns, como o uso de alto volume da carga de trabalho do SharePoint, foram executadas pelo aplicativo por meio da Graph API.

  Ação recomendada: desative temporariamente o aplicativo, redefina a senha e reative o aplicativo.

• FP: Se você puder confirmar que nenhuma atividade incomum foi realizada pelo aplicativo ou que o aplicativo se destina a fazer um volume anormalmente alto de chamadas do Graph.

  Ação recomendada: Ignorar o alerta

Compreender o âmbito da violação

1. Analise todas as atividades realizadas pelo aplicativo.
2. Analise os escopos concedidos pelo aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

Metadados da aplicação associados a atividades suspeitas relacionadas com correio

Gravidade: Média

IDs MITRE: T1114

Essa deteção gera alertas para aplicativos OAuth que não são da Microsoft com metadados, como nome, URL ou editor, que haviam sido observados anteriormente em aplicativos com atividades suspeitas relacionadas a email. Este aplicativo pode fazer parte de uma campanha de ataque e pode estar envolvido na exfiltração de informações confidenciais.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo criou regras de caixa de correio ou fez um grande número de chamadas incomuns da API do Graph para a carga de trabalho do Exchange.

  Ação recomendada:

  • Investigue os detalhes de registro do aplicativo sobre a governança do aplicativo e visite Microsoft Entra ID para obter mais detalhes.
  • Entre em contato com os usuários ou administradores que concederam consentimento ou permissões para o aplicativo. Verifique se as alterações foram intencionais.
  • Pesquise na tabela de caça avançada do CloudAppEvents para entender a atividade do aplicativo e identificar os dados acessados pelo aplicativo. Verifique as caixas de correio afetadas e analise as mensagens que possam ter sido lidas ou encaminhadas pelo próprio aplicativo ou as regras que ele criou.
  • Verifique se o aplicativo é crítico para sua organização antes de considerar quaisquer ações de contenção. Desative o aplicativo usando a governança do aplicativo ou o Microsoft Entra ID para impedir que ele acesse recursos. As políticas de governança de aplicativo existentes podem já ter desativado o aplicativo.

• FP: Se você puder confirmar que nenhuma atividade incomum foi realizada pelo aplicativo e que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: Ignorar o alerta

Compreender o âmbito da violação

1. Analise todas as atividades realizadas pelo aplicativo.
2. Analise os escopos concedidos ao aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

Aplicativo com permissões de aplicativo EWS acessando vários e-mails

Gravidade: Média

IDs MITRE: T1114

Essa deteção gera alertas para aplicativos de nuvem multilocatários com permissões de aplicativo EWS, mostrando um aumento significativo nas chamadas para a API de Serviços Web do Exchange que são específicas para enumeração e coleta de email. Este aplicativo pode estar envolvido no acesso e recuperação de dados confidenciais de e-mail.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo acessou dados confidenciais de e-mail ou fez um grande número de chamadas incomuns para a carga de trabalho do Exchange.

  Ação recomendada:

  • Investigue os detalhes de registro do aplicativo sobre a governança do aplicativo e visite Microsoft Entra ID para obter mais detalhes.
  • Entre em contato com os usuários ou administradores que concederam consentimento ou permissões para o aplicativo. Verifique se as alterações foram intencionais.
  • Pesquise na tabela de caça avançada do CloudAppEvents para entender a atividade do aplicativo e identificar os dados acessados pelo aplicativo. Verifique as caixas de correio afetadas e analise as mensagens que possam ter sido lidas ou encaminhadas pelo próprio aplicativo ou as regras que ele criou.
  • Verifique se o aplicativo é crítico para sua organização antes de considerar quaisquer ações de contenção. Desative o aplicativo usando a governança do aplicativo ou o Microsoft Entra ID para impedir que ele acesse recursos. As políticas de governança de aplicativo existentes podem já ter desativado o aplicativo.

• FP: Se você puder confirmar que nenhuma atividade incomum foi realizada pelo aplicativo e que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: Ignorar o alerta

Compreender o âmbito da violação

1. Analise todas as atividades realizadas pelo aplicativo.
2. Analise os escopos concedidos ao aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

Aplicativo não utilizado que acessa APIs recentemente

Gravidade: Média

IDs MITRE: T1530

Essa deteção gera alertas para um aplicativo de nuvem multilocatário que está inativo há algum tempo e recentemente começou a fazer chamadas de API. Este aplicativo pode ser comprometido por um invasor e ser usado para acessar e recuperar dados confidenciais.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo acessou dados confidenciais ou fez um grande número de chamadas incomuns para cargas de trabalho do Microsoft Graph, Exchange ou Azure Resource Manager.

  Ação recomendada:

  • Investigue os detalhes de registro do aplicativo sobre a governança do aplicativo e visite Microsoft Entra ID para obter mais detalhes.
  • Entre em contato com os usuários ou administradores que concederam consentimento ou permissões para o aplicativo. Verifique se as alterações foram intencionais.
  • Pesquise na tabela de caça avançada do CloudAppEvents para entender a atividade do aplicativo e identificar os dados acessados pelo aplicativo. Verifique as caixas de correio afetadas e analise as mensagens que possam ter sido lidas ou encaminhadas pelo próprio aplicativo ou as regras que ele criou.
  • Verifique se o aplicativo é crítico para sua organização antes de considerar quaisquer ações de contenção. Desative o aplicativo usando a governança do aplicativo ou o Microsoft Entra ID para impedir que ele acesse recursos. As políticas de governança de aplicativo existentes podem já ter desativado o aplicativo.

• FP: Se você puder confirmar que nenhuma atividade incomum foi realizada pelo aplicativo e que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: Ignorar o alerta

Compreender o âmbito da violação

1. Analise todas as atividades realizadas pelo aplicativo.
2. Analise os escopos concedidos ao aplicativo.
3. Revise a atividade do usuário associada ao aplicativo.

Alertas de impacto

Esta seção descreve alertas que indicam que um ator mal-intencionado pode estar tentando manipular, interromper ou destruir seus sistemas e dados da sua organização.

Aplicativo Entra Line-of-Business iniciando um pico anômalo na criação de máquinas virtuais

Gravidade: Média

ID MITRE: T1496

Essa deteção identifica um novo aplicativo OAuth de locatário único que está criando grande parte das Máquinas Virtuais do Azure em seu locatário usando a API do Azure Resource Manager.

TP ou FP?

• TP: Se você conseguir confirmar que o aplicativo OAuth foi criado recentemente e está criando um grande número de máquinas virtuais em seu locatário, um verdadeiro positivo é indicado.

  Ações recomendadas: revise as máquinas virtuais criadas e quaisquer alterações recentes feitas no aplicativo. Com base na sua investigação, pode optar por proibir o acesso a esta aplicação. Revise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

• FP: Se após investigação, você pode confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: Dispense o alerta.

Entenda o escopo da violação:

1. Analise os aplicativos criados recentemente e as VMs criadas.
2. Reveja todas as atividades realizadas pela aplicação desde a sua criação.
3. Analise os escopos concedidos pelo aplicativo na API do Graph e a Função concedida a ele em sua assinatura.

Aplicativo OAuth com privilégios de alto escopo no Microsoft Graph foi observado iniciando a criação de máquinas virtuais

Gravidade: Média

ID MITRE: T1496

Essa deteção identifica o aplicativo OAuth que cria grande parte das Máquinas Virtuais do Azure em seu locatário usando a API do Azure Resource Manager enquanto tem alto privilégio no locatário por meio da API do MS Graph antes da atividade.

TP ou FP?

• TP: Se você puder confirmar que o aplicativo OAuth com escopos de alto privilégio foi criado e está criando um grande número de Máquinas Virtuais em seu locatário, então um verdadeiro positivo é indicado.

  Ações recomendadas: revise as máquinas virtuais criadas e quaisquer alterações recentes feitas no aplicativo. Com base na sua investigação, pode optar por proibir o acesso a esta aplicação. Revise o nível de permissão solicitado por este aplicativo e quais usuários concederam acesso.

• FP: Se após investigação, você pode confirmar que o aplicativo tem um uso comercial legítimo na organização.

  Ação recomendada: Dispense o alerta.

Entenda o escopo da violação:

1. Analise os aplicativos criados recentemente e as VMs criadas.
2. Reveja todas as atividades realizadas pela aplicação desde a sua criação.
3. Analise os escopos concedidos pelo aplicativo na API do Graph e a Função concedida a ele em sua assinatura.

Próximos passos

Gerenciar alertas de governança de aplicativos