Изучение оповещений об обнаружении угроз системы управления приложениями
Управление приложениями обеспечивает обнаружение безопасности и оповещения для вредоносных действий. В этой статье перечислены сведения о каждом оповещении, которое может помочь в расследовании и исправлении, включая условия для активации оповещений. Так как обнаружение угроз недетерминировано по природе, они активируются только при наличии поведения, которое отклоняется от нормы.
Дополнительные сведения см. в разделе "Управление приложениями" в приложениях Microsoft Defender для облака
Примечание.
Обнаружение угроз управления приложениями основано на подсчете действий на данных, которые являются временными и могут не храниться, поэтому оповещения могут предоставлять количество действий или признаков пиков, но не обязательно все соответствующие данные. В частности, для действий API Graph приложений OAuth сами действия могут быть проверены клиентом с помощью Log Analytics и Sentinel.
Дополнительные сведения см. в следующих разделах:
MITRE ATT&CK
Чтобы упростить сопоставление связей между оповещениями системы управления приложениями и знакомой матрицей MITRE ATT&CK, мы классифицировали оповещения по соответствующей тактике MITRE ATT&CK. Эта дополнительная ссылка упрощает понимание метода подозрительных атак, потенциально используемых при активации оповещения системы управления приложениями.
В этом руководстве содержатся сведения об изучении и исправлении оповещений системы управления приложениями в следующих категориях.
- Начальный доступ
- Выполнение
- Сохраняемость
- Повышение привилегий
- Оборона Evasion
- Доступ к учетным данным
- Обнаружение
- Боковое движение
- Коллекция
- Извлечение
- Воздействие
Классификации оповещений системы безопасности
После правильного исследования все оповещения системы управления приложениями можно классифицировать как один из следующих типов действий:
- Истинно положительный (TP): оповещение о подтвержденной вредоносной активности.
- Доброкачественные истинные положительные (B-TP): оповещение о подозрительной, но не вредоносной деятельности, например тест на проникновение или другие авторизованные подозрительные действия.
- Ложноположительное срабатывание (FP): оповещение о невредимом действии.
Общие действия по расследованию
Используйте следующие общие рекомендации при изучении любого типа оповещений, чтобы получить более четкое представление о потенциальной угрозе перед применением рекомендуемого действия.
Просмотрите уровень серьезности приложения и сравните остальные приложения в клиенте. Эта проверка помогает определить, какие приложения в клиенте представляют больший риск.
Если вы определите TP, просмотрите все действия приложения, чтобы получить представление о влиянии. Например, просмотрите следующие сведения о приложении:
- Предоставленный доступ к областям
- Необычное поведение
- IP-адрес и расположение
Оповещения о начальном доступе
В этом разделе описываются оповещения, указывающие на то, что вредоносное приложение может пытаться сохранить свой колонтитул в вашей организации.
Перенаправление приложений на фишинговый URL-адрес путем использования уязвимости перенаправления OAuth
Серьезность: средний
Это обнаружение определяет приложения OAuth, перенаправленные на фишинговые URL-адреса, используя параметр типа ответа в реализации OAuth через API Microsoft Graph.
TP или FP?
TP. Если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника, тип ответа URL-адреса ответа после согласия приложения OAuth содержит недопустимый запрос и перенаправляется на неизвестный или ненадежный URL-адрес ответа.
Рекомендуемое действие. Отключите и удалите приложение, сбросите пароль и удалите правило папки "Входящие".
FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.
Рекомендуемое действие: закройте оповещение.
Общие сведения о области нарушения
- Просмотрите все действия, выполненные приложением.
- Просмотрите области, предоставленные приложением.
Приложение OAuth с подозрительным URL-адресом ответа
Серьезность: средний
Это обнаружение определяет приложение OAuth, которое обращается к подозрительному URL-адресу ответа через API Microsoft Graph.
TP или FP?
TP: Если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника и перенаправляется на подозрительный URL-адрес, то указывается истинное положительное значение. Подозрительный URL-адрес является одним из тех, где репутация URL-адреса неизвестна, не доверена или домен которого недавно зарегистрирован, и запрос приложения имеет высокий уровень привилегий.
Рекомендуемое действие: просмотрите URL-адрес ответа, домены и области, запрошенные приложением. На основе расследования вы можете запретить доступ к этому приложению. Просмотрите уровень разрешений, запрошенных этим приложением, и какие пользователи получают доступ.
Чтобы запретить доступ к приложению, перейдите на соответствующую вкладку для приложения на странице управления приложениями . В строке, в которой появится приложение, которое вы хотите запретить, выберите значок запрета. Вы можете выбрать, хотите ли вы сообщить пользователям, что они установили и авторизованы. Уведомление позволяет пользователям знать, что приложение будет отключено, и у них нет доступа к подключенном приложению. Если вы не хотите сообщать пользователям о блокировке приложения, снимите флажок Уведомить пользователей, предоставивших доступ заблокированному приложению в диалоговом окне. Рекомендуется сообщить пользователям приложения о том, что их приложение будет запрещено использовать.
FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.
Рекомендуемое действие: закройте оповещение.
Общие сведения о области нарушения
Просмотрите созданные недавно приложения и ИХ URL-адреса ответа.
Просмотрите все действия, выполненные приложением.
Просмотрите области, предоставленные приложением.
Приложение, созданное недавно, имеет низкую скорость согласия
Серьезность: низкая
Это обнаружение идентифицирует приложение OAuth, созданное недавно и обнаруживающее низкую скорость согласия. Это может указывать на вредоносное или рискованное приложение, которое заманит пользователей в незаконных грантах согласия.
TP или FP?
TP: Если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника, то отображается истинное положительное значение.
Рекомендуемое действие: просмотрите отображаемое имя, URL-адреса ответа и домены приложения. На основе расследования вы можете запретить доступ к этому приложению. Просмотрите уровень разрешений, запрошенных этим приложением, и какие пользователи предоставили доступ.
FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.
Рекомендуемое действие: закройте оповещение.
Общие сведения о области нарушения
- Просмотрите все действия, выполненные приложением.
- Если вы подозреваете, что приложение подозрительно, рекомендуется исследовать имя приложения и домен ответа в разных магазинах приложений. При проверке магазинов приложений сосредоточьтесь на следующих типах приложений:
- Приложения, созданные недавно
- Приложение с необычным отображаемого имени
- Приложения с подозрительным доменом ответа
- Если вы по-прежнему подозреваете, что приложение подозрительно, вы можете изучить отображаемое имя приложения и домен ответа.
Приложение с плохой репутацией URL-адреса
Серьезность: средний
Это обнаружение определяет приложение OAuth, которое было найдено с плохой репутацией URL-адреса.
TP или FP?
TP: Если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника и перенаправляется на подозрительный URL-адрес, то отображается истинное положительное значение.
Рекомендуемое действие: просмотрите URL-адреса ответа, домены и области, запрошенные приложением. На основе расследования вы можете запретить доступ к этому приложению. Просмотрите уровень разрешений, запрошенных этим приложением, и какие пользователи предоставили доступ.
FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.
Рекомендуемое действие: закройте оповещение.
Общие сведения о области нарушения
- Просмотрите все действия, выполненные приложением.
- Если вы подозреваете, что приложение подозрительно, рекомендуется исследовать имя приложения и домен ответа в разных магазинах приложений. При проверке магазинов приложений сосредоточьтесь на следующих типах приложений:
- Приложения, созданные недавно
- Приложение с необычным отображаемого имени
- Приложения с подозрительным доменом ответа
- Если вы по-прежнему подозреваете, что приложение подозрительно, вы можете изучить отображаемое имя приложения и домен ответа.
Закодированное имя приложения с подозрительными областями согласия
Серьезность: средний
Описание. Это обнаружение определяет приложения OAuth с символами, такими как Юникод или закодированные символы, запрошенные для подозрительных областей согласия, и которые обращаются к почтовым папкам пользователей через API Graph. Это оповещение может указывать на попытку камуфляжировать вредоносное приложение как известное и доверенное приложение, чтобы злоумышленники могли ввести пользователей в заблуждение в предоставлении согласия вредоносному приложению.
TP или FP?
TP: Если вы можете подтвердить, что приложение OAuth закодировало отображаемое имя с подозрительными областями, доставленными из неизвестного источника, то указано истинное положительное значение.
Рекомендуемое действие. Просмотрите уровень разрешений, запрошенных этим приложением, и какие пользователи предоставили доступ. На основе расследования вы можете запретить доступ к этому приложению.
Чтобы запретить доступ к приложению, перейдите на соответствующую вкладку для приложения на странице управления приложениями . В строке, в которой появится приложение, которое вы хотите запретить, выберите значок запрета. Вы можете выбрать, хотите ли вы сообщить пользователям, что они установили и авторизованы. В уведомлении пользователям сообщается о том, что приложение будет отключено и доступ к нему станет невозможен. Если вы не хотите сообщать пользователям о блокировке приложения, снимите флажок Уведомить пользователей, предоставивших доступ заблокированному приложению в диалоговом окне. Рекомендуется сообщить пользователям приложения о том, что их приложение будет запрещено использовать.
FP: Если вы хотите подтвердить, что приложение имеет закодированное имя, но имеет законное бизнес-использование в организации.
Рекомендуемое действие: закройте оповещение.
Общие сведения о области нарушения
Следуйте инструкциям по изучению рискованных приложений OAuth.
Приложение OAuth с областями чтения имеет подозрительный URL-адрес ответа
Серьезность: средний
Описание. Это обнаружение определяет приложение OAuth только с областями чтения, такими как User.Read, People.Read, Contacts.Read, Mail.Read, Contacts.Read, Contacts.Read. Общие перенаправления на подозрительный URL-адрес ответа через API Graph. Это действие пытается указать, что вредоносное приложение с меньшими привилегиями (например, области чтения) может использоваться для проведения разведки учетных записей пользователей.
TP или FP?
TP: Если вы можете подтвердить, что приложение OAuth с областью чтения доставляется из неизвестного источника и перенаправляется на подозрительный URL-адрес, то отображается истинное положительное значение.
Рекомендуемое действие. Просмотрите URL-адрес ответа и области, запрошенные приложением. На основе расследования вы можете запретить доступ к этому приложению. Просмотрите уровень разрешений, запрошенных этим приложением, и какие пользователи предоставили доступ.
Чтобы запретить доступ к приложению, перейдите на соответствующую вкладку для приложения на странице управления приложениями . В строке, в которой появится приложение, которое вы хотите запретить, выберите значок запрета. Вы можете выбрать, хотите ли вы сообщить пользователям, что они установили и авторизованы. В уведомлении пользователям сообщается о том, что приложение будет отключено и доступ к нему станет невозможен. Если вы не хотите сообщать пользователям о блокировке приложения, снимите флажок Уведомить пользователей, предоставивших доступ заблокированному приложению в диалоговом окне. Рекомендуется сообщить пользователям приложения о том, что их приложение будет запрещено использовать.
B-TP: если после расследования, вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.
Рекомендуемое действие: закройте оповещение.
Общие сведения о области нарушения
- Просмотрите все действия, выполненные приложением.
- Если вы подозреваете, что приложение подозрительно, рекомендуется исследовать имя приложения и URL-адрес ответа в разных магазинах приложений. При проверке магазинов приложений сосредоточьтесь на следующих типах приложений:
- Приложения, созданные недавно.
- Приложения с подозрительным URL-адресом ответа
- Приложения, которые недавно не были обновлены. Отсутствие обновлений может указывать на то, что приложение больше не поддерживается.
- Если вы по-прежнему подозреваете, что приложение подозрительно, вы можете изучить имя приложения, имя издателя и URL-адрес ответа в Интернете.
Приложение с необычным отображаемого имени и необычным TLD в домене ответа
Серьезность: средний
Это обнаружение определяет приложение с необычным отображаемым именем и перенаправлением на подозрительный домен ответа с необычным доменом верхнего уровня (TLD) через API Graph. Это может указывать на попытку камуфляжировать вредоносное или рискованное приложение как известное и надежное приложение, чтобы злоумышленники могли ввести пользователей в заблуждение о согласии с их вредоносным или рискованным приложением.
TP или FP?
TP: Если вы можете подтвердить, что приложение с необычным отображающимся именем, доставленным из неизвестного источника, и перенаправления в подозрительный домен с необычным доменом верхнего уровня
Рекомендуемое действие: просмотрите отображаемое имя и домен ответа приложения. На основе расследования вы можете запретить доступ к этому приложению. Просмотрите уровень разрешений, запрошенных этим приложением, и какие пользователи предоставили доступ.
FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.
Рекомендуемое действие: закройте оповещение.
Общие сведения о области нарушения
Просмотрите все действия, выполненные приложением. Если вы подозреваете, что приложение подозрительно, рекомендуется исследовать имя приложения и домен ответа в разных магазинах приложений. При проверке магазинов приложений сосредоточьтесь на следующих типах приложений:
- Приложения, созданные недавно
- Приложение с необычным отображаемого имени
- Приложения с подозрительным доменом ответа
Если вы по-прежнему подозреваете, что приложение подозрительно, вы можете изучить отображаемое имя приложения и домен ответа.
Новое приложение с разрешениями на почту с низким уровнем согласия
Серьезность: средний
Это обнаружение определяет приложения OAuth, созданные недавно в относительно новых клиентах издателя со следующими характеристиками:
- Разрешения на доступ или изменение параметров почтового ящика
- Относительно низкая частота согласия, которая может идентифицировать нежелательные или даже вредоносные приложения, которые пытаются получить согласие от неуказательных пользователей
TP или FP?
TP: Если вы можете подтвердить, что запрос согласия на приложение был доставлен из неизвестного или внешнего источника, а приложение не имеет законного бизнес-использования в организации, то указано истинное положительное значение.
Рекомендуемое действие.
- Обратитесь к пользователям и администраторам, которые предоставили этому приложению согласие, чтобы убедиться, что это было намеренно, и чрезмерные привилегии являются нормальными.
- Изучите действия приложения и проверьте затронутые учетные записи для подозрительных действий.
- На основе исследования отключите приложение и приостанавливайте и сбрасывайте пароли для всех затронутых учетных записей.
- Классифицируйте оповещение как истинное положительное.
FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.
Рекомендуемое действие: классифицируйте оповещение как ложное срабатывание и рассмотрите возможность совместного использования отзывов на основе исследования оповещения.
Общие сведения о области нарушения
Проверка предоставления согласия приложению, сделанному пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовому ящику связанных пользователей и учетных записей администратора. Если вы подозреваете, что приложение подозрительно, рассмотрите возможность отключения приложения и смены учетных данных всех затронутых учетных записей.
Новое приложение с низкой скоростью доступа к многочисленным сообщениям электронной почты
Серьезность: средний
Это оповещение определяет приложения OAuth, зарегистрированные в последнее время в относительно новом клиенте издателя с разрешениями на изменение параметров почтового ящика и доступа к электронной почте. Он также проверяет, имеет ли приложение относительно низкую глобальную частоту согласия и выполняет многочисленные вызовы API Microsoft Graph для доступа к электронной почте пользователей с согласием. Приложения, которые активируют это оповещение, могут быть нежелательными или вредоносными приложениями, пытающимися получить согласие от неуказательных пользователей.
TP или FP?
TP: Если вы можете подтвердить, что запрос согласия на приложение был доставлен из неизвестного или внешнего источника, а приложение не имеет законного бизнес-использования в организации, то указано истинное положительное значение.
Рекомендуемое действие.
- Обратитесь к пользователям и администраторам, которые предоставили этому приложению согласие, чтобы убедиться, что это было намеренно, и чрезмерные привилегии являются нормальными.
- Изучите действия приложения и проверьте затронутые учетные записи для подозрительных действий.
- На основе исследования отключите приложение и приостанавливайте и сбрасывайте пароли для всех затронутых учетных записей.
- Классифицируйте оповещение как истинное положительное.
FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации, то отображается ложное срабатывание.
Рекомендуемое действие: классифицируйте оповещение как ложное срабатывание и рассмотрите возможность совместного использования отзывов на основе исследования оповещения.
Общие сведения о области нарушения
Проверка предоставления согласия приложению, сделанному пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовым ящикам связанных пользователей и учетных записей администраторов. Если вы подозреваете, что приложение подозрительно, рассмотрите возможность отключения приложения и смены учетных данных всех затронутых учетных записей.
Подозрительное приложение с разрешениями на почту, отправляя многочисленные сообщения электронной почты
Серьезность: средний
Это оповещение находит мультитенантные приложения OAuth, которые выполнили многочисленные вызовы API Microsoft Graph для отправки сообщений электронной почты в течение короткого периода времени. Он также проверяет, привели ли вызовы API к ошибкам и неудачным попыткам отправить сообщения электронной почты. Приложения, которые активируют это оповещение, могут активно отправлять спам или вредоносные сообщения электронной почты другим целевым объектам.
TP или FP?
TP: Если вы можете подтвердить, что запрос согласия на приложение был доставлен из неизвестного или внешнего источника, а приложение не имеет законного бизнес-использования в организации, то указано истинное положительное значение.
Рекомендуемое действие.
- Обратитесь к пользователям и администраторам, которые предоставили этому приложению согласие, чтобы убедиться, что это было намеренно, и чрезмерные привилегии являются нормальными.
- Изучите действия приложения и проверьте затронутые учетные записи для подозрительных действий.
- На основе исследования отключите приложение и приостанавливайте и сбрасывайте пароли для всех затронутых учетных записей.
- Классифицируйте оповещение как истинное положительное.
FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации, то отображается ложное срабатывание.
Рекомендуемое действие: классифицируйте оповещение как ложное срабатывание и рассмотрите возможность совместного использования отзывов на основе исследования оповещения.
Общие сведения о области нарушения
Проверка предоставления согласия приложению, сделанному пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовому ящику связанных пользователей и учетных записей администратора. Если вы подозреваете, что приложение подозрительно, рассмотрите возможность отключения приложения и смены учетных данных всех затронутых учетных записей.
Подозрительное приложение OAuth, используемое для отправки многочисленных сообщений электронной почты
Серьезность: средний
Это оповещение указывает на приложение OAuth, которое сделало многочисленные вызовы API Microsoft Graph для отправки сообщений электронной почты в течение короткого периода времени. Клиент издателя приложения, как известно, создает большой объем приложений OAuth, которые делают аналогичные вызовы API Microsoft Graph. Злоумышленник может активно использовать это приложение для отправки нежелательной почты или вредоносных сообщений в целевые объекты.
TP или FP?
TP: Если вы можете подтвердить, что запрос согласия на приложение был доставлен из неизвестного или внешнего источника, а приложение не имеет законного бизнес-использования в организации, то указано истинное положительное значение.
Рекомендуемое действие.
- Обратитесь к пользователям и администраторам, которые предоставили этому приложению согласие, чтобы убедиться, что это было намеренно, и чрезмерные привилегии являются нормальными.
- Изучите действия приложения и проверьте затронутые учетные записи для подозрительных действий.
- На основе исследования отключите приложение и приостанавливайте и сбрасывайте пароли для всех затронутых учетных записей.
- Классифицируйте оповещение как истинное положительное.
FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации, то отображается ложное срабатывание.
Рекомендуемое действие: классифицируйте оповещение как ложное срабатывание и рассмотрите возможность совместного использования отзывов на основе исследования оповещения.
Общие сведения о области нарушения
Проверка предоставления согласия приложению, сделанному пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовому ящику связанных пользователей и учетных записей администратора. Если вы подозреваете, что приложение подозрительно, рассмотрите возможность отключения приложения и смены учетных данных всех затронутых учетных записей.
Оповещения сохраняемости
В этом разделе описываются оповещения, указывающие на то, что злоумышленник может пытаться сохранить свой колонтитул в вашей организации.
Приложение сделало аномальные вызовы Graph к обновлению сертификата рабочей нагрузки Exchange или добавлению новых учетных данных
Серьезность: средний
ИДЕНТИФИКАТОР MITRE: T1098.001, T1114
Это обнаружение активирует оповещение при обновлении или добавлении новых учетных данных в приложении бизнес-аналитики или добавлении новых учетных данных и в течение нескольких дней после обновления или добавления новых учетных данных, наблюдались необычные действия или использование больших объемов для рабочей нагрузки Exchange через API Graph с помощью алгоритма машинного обучения.
TP или FP?
TP. Если вы можете подтвердить, что необычные действия/большое использование рабочей нагрузки Exchange выполнялись бизнес-приложением через API Graph
Рекомендуется выполнить действие. Временно отключите приложение и сбросите пароль, а затем снова включите приложение.
FP: Если вы можете подтвердить, что не было необычных действий, выполняемых бизнес-приложением или приложением, предназначено для выполнения необычных вызовов графа.
Рекомендуемое действие: закройте оповещение.
Общие сведения о области нарушения
- Просмотрите все действия, выполняемые этим приложением.
- Просмотрите области, предоставленные приложением.
- Просмотрите действия пользователя, связанные с этим приложением.
Приложение с подозрительной областью OAuth отмечено высоким уровнем риска Машинное обучение модели, вызовы графов для чтения электронной почты и создания правила папки "Входящие"
Серьезность: средний
MITRE ID: T1137.005, T1114
Это обнаружение идентифицирует Приложение OAuth, помеченные высоким риском, Машинное обучение модели, которая согласилась на подозрительные области, создает подозрительное правило папки и сообщения пользователей электронной почты и сообщений через API Graph. Правила папки "Входящие", такие как пересылка всех или определенных сообщений электронной почты в другую учетную запись электронной почты, а также вызовы Graph для доступа к электронной почте и отправке в другую учетную запись электронной почты, могут быть попыткой получить информацию из вашей организации.
TP или FP?
TP: Если вы можете подтвердить, что правило папки "Входящие" было создано сторонним приложением OAuth с подозрительными областями, доставленными из неизвестного источника, то обнаруживается истинное положительное значение.
Рекомендуемое действие. Отключите и удалите приложение, сбросите пароль и удалите правило папки "Входящие".
Следуйте инструкциям по сбросу пароля с помощью идентификатора Microsoft Entra и следуйте инструкциям по удалению правила папки "Входящие".
FP: Если вы можете подтвердить, что приложение создало правило папки "Входящие" в новую или личную внешнюю учетную запись электронной почты по законным причинам.
Рекомендуемое действие: закройте оповещение.
Общие сведения о области нарушения
- Просмотрите все действия, выполненные приложением.
- Просмотрите области, предоставленные приложением.
- Просмотрите действие правила папки "Входящие" и условие, созданное приложением.
Приложение с подозрительной областью OAuth сделало вызовы графа для чтения электронной почты и созданного правила папки "Входящие"
Серьезность: средний
Идентификатор MITRE: T1137.005, T1114
Это обнаружение определяет Приложение OAuth, которые предоставили согласие на подозрительные области, создает подозрительное правило папки папки и сообщения пользователей электронной почты через API Graph. Правила папки "Входящие", такие как пересылка всех или определенных сообщений электронной почты в другую учетную запись электронной почты, а также вызовы Graph для доступа к электронной почте и отправке в другую учетную запись электронной почты, могут быть попыткой получить информацию из вашей организации.
TP или FP?
TP: Если вы можете подтвердить, что правило папки "Входящие" было создано сторонним приложением OAuth с подозрительными областями, доставленными из неизвестного источника, то указано истинное положительное значение.
Рекомендуемое действие. Отключите и удалите приложение, сбросите пароль и удалите правило папки "Входящие".
Следуйте инструкциям по сбросу пароля с помощью идентификатора Microsoft Entra и следуйте инструкциям по удалению правила папки "Входящие".
FP: Если вы можете подтвердить, что приложение создало правило папки "Входящие" в новую или личную внешнюю учетную запись электронной почты по законным причинам.
Рекомендуемое действие: закройте оповещение.
Общие сведения о области нарушения
- Просмотрите все действия, выполненные приложением.
- Просмотрите области, предоставленные приложением.
- Просмотрите действие правила папки "Входящие" и условие, созданное приложением.
Доступ к приложению из необычного расположения после обновления сертификата
Серьезность: низкая
MITRE ID: T1098
Это обнаружение активирует оповещение, когда бизнес-приложение было обновлено сертификат / секрет и в течение нескольких дней после обновления сертификата, приложение обращается из необычного расположения, которое не было замечено недавно или никогда не было доступа в прошлом.
TP или FP?
TP: если вы можете подтвердить, что бизнес-приложение обращается из необычного расположения и выполняет необычные действия через API Graph.
Рекомендуется выполнить действие. Временно отключите приложение и сбросите пароль, а затем снова включите приложение.
FP: Если вы можете подтвердить, что бизнес-приложение, доступ к которому осуществляется из необычного расположения для законной цели, и не выполняются необычные действия.
Рекомендуемое действие: закройте оповещение.
Общие сведения о области нарушения
- Просмотрите все действия, выполняемые этим приложением.
- Просмотрите области, предоставленные приложением.
- Просмотрите действия пользователя, связанные с этим приложением.
Доступ к приложению из необычного расположения сделал аномальные вызовы Graph после обновления сертификата
Серьезность: средний
MITRE ID: T1098
Это обнаружение активирует оповещение, когда бизнес-приложение обновило сертификат или секрет и в течение нескольких дней после обновления сертификата, приложение обращается из необычного расположения, которое не было замечено недавно или никогда не было доступа в прошлом и не наблюдалось необычных действий или использования через API Graph с помощью алгоритма машинного обучения.
TP или FP?
TP: Если вы можете подтвердить, что необычные действия и использование было выполнено бизнес-приложением через API Graph из необычного расположения.
Рекомендуется выполнить действие. Временно отключите приложение и сбросите пароль, а затем снова включите приложение.
FP: Если вы можете подтвердить, что бизнес-приложение, доступ к которому осуществляется из необычного расположения для законной цели, и не выполняются необычные действия.
Рекомендуемое действие: закройте оповещение.
Общие сведения о области нарушения
- Просмотрите все действия, выполняемые этим приложением.
- Просмотрите области, предоставленные приложением.
- Просмотрите действия пользователя, связанные с этим приложением.
Приложение, созданное недавно, имеет большое количество отозванных согласия
Серьезность: средний
ИДЕНТИФИКАТОР MITRE: T1566, T1098
Несколько пользователей отозвали свое согласие на это недавно созданное бизнес-приложение или стороннее приложение. Это приложение может заманить пользователей на предоставление согласия непреднамеренно.
TP или FP?
TP. Если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника, и поведение приложения подозрительно.
Рекомендуемое действие. Отмена согласия, предоставленного приложению, и отключение приложения.
FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации и никаких необычных действий, выполняемых приложением.
Рекомендуемое действие: отключение оповещения
Общие сведения о области нарушения
- Просмотрите все действия, выполняемые приложением.
- Если вы подозреваете, что приложение подозрительно, рекомендуется исследовать имя и домен ответа приложения в разных магазинах приложений. При проверке магазинов приложений сосредоточьтесь на следующих типах приложений:
- Приложения, созданные недавно
- Приложения с необычным отображаемым именем
- Приложения с подозрительным доменом ответа
- Если вы по-прежнему подозреваете, что приложение подозрительно, вы можете изучить отображаемое имя приложения и домен ответа.
Метаданные приложения, связанные с известной кампанией фишинга
Серьезность: средний
Это обнаружение создает оповещения для приложений, отличных от Microsoft OAuth, с метаданными, такими как имя, URL-адрес или издатель, которые ранее наблюдались в приложениях, связанных с фишинговой кампанией. Эти приложения могут быть частью той же кампании и могут быть вовлечены в кражу конфиденциальной информации.
TP или FP?
TP: Если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника и выполняет необычные действия.
Рекомендуемое действие.
- Дополнительные сведения о регистрации приложения см. в разделе "Управление приложениями" и дополнительные сведения см. в идентификаторе Microsoft Entra.
- Обратитесь к пользователям или администраторам, которые предоставили согласие или разрешения приложению. Убедитесь, что изменения были преднамеренными.
- Выполните поиск в таблице Расширенной охоты CloudAppEvents , чтобы понять действие приложения и определить, ожидается ли наблюдаемое поведение.
- Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия в области хранения. Отключите приложение с помощью системы управления приложениями или идентификатора Microsoft Entra, чтобы предотвратить доступ к ресурсам. Существующие политики управления приложениями, возможно, уже деактивировали приложение.
FP: Если вы можете подтвердить, что необычные действия не были выполнены приложением и что приложение имеет законное бизнес-использование в организации.
Рекомендуемое действие: отключение оповещения
Общие сведения о области нарушения
- Просмотрите все действия, выполняемые приложением.
- Просмотрите области, предоставленные приложению.
- Просмотрите действие пользователя, связанное с приложением.
Метаданные приложения, связанные с ранее помеченными подозрительными приложениями
Серьезность: средний
Это обнаружение создает оповещения для приложений, отличных от Microsoft OAuth, с метаданными, такими как имя, URL-адрес или издатель, которые ранее наблюдались в приложениях, помеченных управлением приложениями из-за подозрительной активности. Это приложение может быть частью кампании атаки и может быть вовлечено в кражу конфиденциальной информации.
TP или FP?
TP: Если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника и выполняет необычные действия.
Рекомендуемое действие.
- Дополнительные сведения о регистрации приложения см. в разделе "Управление приложениями" и дополнительные сведения см. в идентификаторе Microsoft Entra.
- Обратитесь к пользователям или администраторам, которые предоставили согласие или разрешения приложению. Убедитесь, что изменения были преднамеренными.
- Выполните поиск в таблице Расширенной охоты CloudAppEvents , чтобы понять действие приложения и определить, ожидается ли наблюдаемое поведение.
- Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия в области хранения. Отключите приложение с помощью системы управления приложениями или идентификатора Microsoft Entra, чтобы предотвратить доступ к ресурсам. Существующие политики управления приложениями, возможно, уже деактивировали приложение.
FP: Если вы можете подтвердить, что необычные действия не были выполнены приложением и что приложение имеет законное бизнес-использование в организации.
Рекомендуемое действие: отключение оповещения
Общие сведения о области нарушения
- Просмотрите все действия, выполняемые приложением.
- Просмотрите области, предоставленные приложению.
- Просмотрите действие пользователя, связанное с приложением.
Подозрительное действие электронной почты приложения OAuth через API Graph
Серьезность: высокий уровень
Это обнаружение создает оповещения для мультитенантных приложений OAuth, зарегистрированных пользователями с высоким уровнем риска входа, которые вызывают API Microsoft Graph для выполнения подозрительных действий электронной почты в течение короткого периода времени.
Это обнаружение проверяет, были ли вызовы API созданы для создания правила почтового ящика, создания электронной почты ответа, пересылки электронной почты, ответа или отправки новых сообщений электронной почты. Приложения, которые активируют это оповещение, могут активно отправлять спам или вредоносные сообщения электронной почты другим целевым объектам или эксфильтровать конфиденциальные данные и очищать дорожки для предотвращения обнаружения.
TP или FP?
TP: Если вы можете подтвердить, что создание и согласие приложения было доставлено из неизвестного или внешнего источника, а приложение не имеет законного бизнес-использования в организации, то будет указано истинное положительное значение.
Рекомендуемое действие.
Обратитесь к пользователям и администраторам, которые предоставили этому приложению согласие, чтобы убедиться, что это было намеренно, и чрезмерные привилегии являются нормальными.
Изучите действия приложения и проверьте затронутые учетные записи для подозрительных действий.
На основе исследования отключите приложение и приостанавливайте и сбрасывайте пароли для всех затронутых учетных записей и удалите правило папки "Входящие".
Классифицируйте оповещение как истинное положительное.
FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации, то отображается ложное срабатывание.
Рекомендуемое действие.
Классифицируйте оповещение как ложное срабатывание и рассмотрите возможность совместного использования отзывов на основе исследования оповещения.
Ознакомьтесь с областью нарушения:
Проверка предоставления согласия приложению, сделанному пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовому ящику связанных пользователей и учетных записей администратора. Если вы подозреваете, что приложение подозрительно, рассмотрите возможность отключения приложения и смены учетных данных всех затронутых учетных записей.
Подозрительное действие электронной почты приложения OAuth с помощью API EWS
Серьезность: высокий уровень
Это обнаружение создает оповещения для мультитенантных приложений OAuth, зарегистрированных пользователями с высоким уровнем риска входа, который выполнял вызовы API веб-служб Microsoft Exchange (EWS) для выполнения подозрительных действий электронной почты в течение короткого периода времени.
Это обнаружение проверяет, были ли вызовы API для обновления правил папки "Входящие", перемещения элементов, удаления электронной почты, удаления папки или удаления вложения. Приложения, которые активируют это оповещение, могут активно эксфильтровать или удалять конфиденциальные данные и очищать дорожки, чтобы избежать обнаружения.
TP или FP?
TP: Если вы можете подтвердить, что создание и согласие приложения было доставлено из неизвестного или внешнего источника, а приложение не имеет законного бизнес-использования в организации, то будет указано истинное положительное значение.
Рекомендуемое действие.
Обратитесь к пользователям и администраторам, которые предоставили этому приложению согласие, чтобы убедиться, что это было намеренно, и чрезмерные привилегии являются нормальными.
Изучите действия приложения и проверьте затронутые учетные записи для подозрительных действий.
На основе исследования отключите приложение и приостанавливайте и сбрасывайте пароли для всех затронутых учетных записей и удалите правило папки "Входящие".
Классифицируйте оповещение как истинное положительное.
FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации, то отображается ложное срабатывание.
Рекомендуемое действие.
Классифицируйте оповещение как ложное срабатывание и рассмотрите возможность совместного использования отзывов на основе исследования оповещения.
Ознакомьтесь с областью нарушения:
Проверка предоставления согласия приложению, сделанному пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовому ящику связанных пользователей и учетных записей администратора. Если вы подозреваете, что приложение подозрительно, рассмотрите возможность отключения приложения и смены учетных данных всех затронутых учетных записей.
Оповещения о эскалации привилегий
Приложение OAuth с подозрительными метаданными имеет разрешение Exchange
Серьезность: средний
ИДЕНТИФИКАТОР MITRE: T1078
Это оповещение активируется, когда бизнес-приложение с подозрительными метаданными имеет привилегию на управление разрешением через Exchange.
TP или FP?
- TP: Если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника и имеет подозрительные характеристики метаданных, то будет указано истинное положительное значение.
Рекомендуемое действие. Отмена согласия, предоставленного приложению, и отключение приложения.
FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.
Рекомендуемое действие: отключение оповещения
Общие сведения о области нарушения
- Просмотрите все действия, выполненные приложением.
- Просмотрите области, предоставленные приложением.
- Просмотрите действие пользователя, связанное с приложением.
Оповещения об отвещении обороны
Олицетворение логотипа Майкрософт
Серьезность: средний
Облачное приложение, отличное от Майкрософт, использует логотип, найденный алгоритмом машинного обучения, похожим на логотип Майкрософт. Это может быть попытка олицетворения продуктов программного обеспечения Майкрософт и показаться законными.
Примечание.
Администраторам клиента потребуется предоставить согласие с помощью всплывающего окна, чтобы иметь необходимые данные, отправленные за пределы текущей границы соответствия требованиям, и выбрать партнерские команды в Корпорации Майкрософт, чтобы включить это обнаружение угроз для бизнес-приложений.
TP или FP?
TP: Если вы можете подтвердить, что логотип приложения является имитацией логотипа Майкрософт, и поведение приложения подозрительно.
Рекомендуемое действие. Отмена согласия, предоставленного приложению, и отключение приложения.
FP: Если вы можете подтвердить, что логотип приложения не является имитацией логотипа Майкрософт или никаких необычных действий, выполняемых приложением.
Рекомендуемое действие: отключение оповещения
Общие сведения о области нарушения
- Просмотрите все действия, выполняемые приложением.
- Просмотрите области, предоставленные приложению.
- Просмотрите действие пользователя, связанное с приложением.
Приложение связано с доменом typeosquatted
Серьезность: средний
Это обнаружение создает оповещения для приложений, отличных от Microsoft OAuth, с доменами издателя или URL-адресами перенаправления, которые содержат типоскватированные версии фирменных имен Майкрософт. Typeosquatting обычно используется для записи трафика на сайты всякий раз, когда пользователи непреднамеренно неправильно вводят URL-адреса, но их также можно использовать для олицетворения популярных продуктов и служб программного обеспечения.
TP или FP?
TP. Если вы можете подтвердить, что домен издателя или URL-адрес перенаправления приложения опечатано и не связан с истинным удостоверением приложения.
Рекомендуемое действие.
- Дополнительные сведения о регистрации приложения см. в разделе "Управление приложениями" и дополнительные сведения см. в идентификаторе Microsoft Entra.
- Проверьте приложение на наличие других признаков спуфингов или олицетворения и любых подозрительных действий.
- Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия в области хранения. Отключите приложение с помощью управления приложениями, чтобы предотвратить доступ к ресурсам. Существующие политики управления приложениями, возможно, уже деактивировали приложение.
FP: Если вы можете подтвердить, что домен издателя и URL-адрес перенаправления приложения являются законными.
Рекомендуемое действие: классифицируйте оповещение как ложное срабатывание и рассмотрите возможность совместного использования отзывов на основе исследования оповещения.
Общие сведения о области нарушения
- Просмотрите все действия, выполняемые приложением.
- Просмотрите области, предоставленные приложению.
- Просмотрите действие пользователя, связанное с приложением.
Доступ к учетным данным
В этом разделе описываются оповещения, указывающие, что злоумышленник может пытаться считывать конфиденциальные данные учетных данных и состоит из методов кражи учетных данных, таких как имена учетных записей, секреты, токены, сертификаты и пароли в вашей организации.
Приложение, инициирующее несколько неудачных действий чтения KeyVault без успеха
Серьезность: средний
MITRE ID: T1078.004
Это обнаружение определяет приложение в клиенте, которое наблюдалось, выполняя несколько вызовов действий чтения к KeyVault с помощью API Azure Resource Manager в короткий интервал, и только сбои и отсутствие успешного выполнения действия чтения.
TP или FP?
TP: Если приложение неизвестно или не используется, данное действие потенциально подозрительно. После проверки используемого ресурса Azure и проверки использования приложения в клиенте данное действие может потребовать отключения приложения. Обычно это свидетельство предполагаемого действия перечисления в ресурсе KeyVault для получения доступа к учетным данным для бокового перемещения или эскалации привилегий.
Рекомендуемые действия. Просмотрите ресурсы Azure, к которым обращается приложение или создано, и все последние изменения, внесенные в приложение. На основе расследования выберите, нужно ли запретить доступ к этому приложению. Просмотрите уровень разрешений, запрошенный этим приложением, и какие пользователи предоставили доступ.
FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.
Рекомендуемое действие: закройте оповещение.
Общие сведения о области нарушения
- Просмотрите доступ и действие приложения.
- Просмотрите все действия, выполненные приложением с момента его создания.
- Просмотрите области, предоставляемые приложением в API Graph, и роль, предоставленную в вашей подписке.
- Просмотрите любого пользователя, который мог получить доступ к приложению до действия.
Оповещения об обнаружении
Перечисление выполненного приложения
Серьезность: средний
ИДЕНТИФИКАТОР MITRE: T1087
Это обнаружение определяет приложение OAuth, обнаруженное Машинное обучение модели, выполняющей перечисление файлов OneDrive с помощью API Graph.
TP или FP?
TP. Если вы можете подтвердить, что необычные действия и использование в OneDrive были выполнены бизнес-приложением через API Graph.
Рекомендуемое действие. Отключите и удалите приложение и сбросить пароль.
FP: Если вы можете подтвердить, что необычные действия не выполнялись приложением.
Рекомендуемое действие: закройте оповещение.
Общие сведения о области нарушения
- Просмотрите все действия, выполняемые этим приложением.
- Просмотрите области, предоставленные приложением.
- Просмотрите действия пользователя, связанные с этим приложением.
Подозрительные действия перечисления, выполняемые с помощью Microsoft Graph PowerShell
Серьезность: средний
ИДЕНТИФИКАТОР MITRE: T1087
Это обнаружение определяет большой объем подозрительных действий перечисления, выполняемых в течение короткого промежутка времени через приложение Microsoft Graph PowerShell .
TP или FP?
TP. Если вы можете подтвердить, что подозрительные или необычные действия перечисления были выполнены приложением Microsoft Graph PowerShell.
Рекомендуемое действие. Отключите и удалите приложение и сбросите пароль.
FP: Если вы можете подтвердить, что необычные действия не выполнялись приложением.
Рекомендуемое действие: закройте оповещение.
Общие сведения о области нарушения
- Просмотрите все действия, выполняемые этим приложением.
- Просмотрите действия пользователя, связанные с этим приложением.
Недавно созданное мультитенантное приложение часто перечисляет сведения о пользователях
Серьезность: средний
ИДЕНТИФИКАТОР MITRE: T1087
Это оповещение находит приложения OAuth, зарегистрированные недавно в относительно новом клиенте издателя с разрешениями на изменение параметров почтового ящика и доступа к электронной почте. Он проверяет, выполняется ли приложение многочисленные вызовы к API Microsoft Graph, запрашивая сведения о каталоге пользователей. Приложения, которые активируют это оповещение, могут заманить пользователей на предоставление согласия, чтобы они могли получить доступ к данным организации.
TP или FP?
TP: Если вы можете подтвердить, что запрос согласия на приложение был доставлен из неизвестного или внешнего источника, а приложение не имеет законного бизнес-использования в организации, то указано истинное положительное значение.
Рекомендуемое действие.
- Обратитесь к пользователям и администраторам, которые предоставили этому приложению согласие, чтобы убедиться, что это было намеренно, и чрезмерные привилегии являются нормальными.
- Изучите действия приложения и проверьте затронутые учетные записи для подозрительных действий.
- На основе исследования отключите приложение и приостанавливайте и сбрасывайте пароли для всех затронутых учетных записей.
- Классифицируйте оповещение как истинное положительное.
FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации, то отображается ложное срабатывание.
Рекомендуемое действие: классифицируйте оповещение как ложное срабатывание и рассмотрите возможность совместного использования отзывов на основе исследования оповещения.
Общие сведения о области нарушения
Проверка предоставления согласия приложению, сделанному пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно перечисление сведений о каталоге пользователей. Если вы подозреваете, что приложение подозрительно, рассмотрите возможность отключения приложения и смены учетных данных всех затронутых учетных записей.
Оповещения о краже
В этом разделе описываются оповещения, указывающие на то, что злоумышленник может пытаться украсть данные, интересующие их цели из вашей организации.
Приложение OAuth с помощью необычного агента пользователя
Серьезность: низкая
ИДЕНТИФИКАТОР MITRE: T1567
Это обнаружение определяет приложение OAuth, использующее необычный агент пользователя для доступа к API Graph.
TP или FP?
TP: Если вы можете подтвердить, что приложение OAuth недавно начало использовать новый агент пользователя, который ранее не использовался, и это изменение непредвиденное, то указывается истинное положительное значение.
Рекомендуемые действия. Просмотрите используемые агенты пользователей и все последние изменения, внесенные в приложение. На основе расследования вы можете запретить доступ к этому приложению. Просмотрите уровень разрешений, запрошенных этим приложением, и какие пользователи предоставили доступ.
FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.
Рекомендуемое действие: закройте оповещение.
Общие сведения о области нарушения
- Просмотрите созданные недавно приложения и используемые агенты пользователей.
- Просмотрите все действия, выполненные приложением.
- Просмотрите области, предоставленные приложением.
Приложение с необычным агентом пользователя, доступ к данным электронной почты через веб-службы Exchange
Серьезность: высокий уровень
ИДЕНТИФИКАТОР MITRE: T1114, T1567
Это обнаружение определяет приложение OAuth, которое использовало необычный агент пользователя для доступа к данным электронной почты с помощью API веб-служб Exchange.
TP или FP?
TP. Если вы можете подтвердить, что приложение OAuth не должно изменить агент пользователя, который он использует для выполнения запросов к API веб-служб Exchange, то будет указано истинное положительное значение.
Рекомендуемые действия: классифицируйте оповещение как TP. В зависимости от расследования, если приложение является вредоносным, вы можете отозвать согласие и отключить приложение в клиенте. Если это скомпрометированное приложение, вы можете отозвать согласие, временно отключить приложение, просмотреть разрешения, сбросить секрет и сертификат, а затем повторно включить приложение.
FP: Если после расследования вы можете подтвердить, что агент пользователя, используемый приложением, имеет законное бизнес-использование в организации.
Рекомендуемое действие. Классифицируйте оповещение как FP. Кроме того, рассмотрите возможность предоставления общего доступа к отзыву на основе исследования оповещения.
Общие сведения о области нарушения
- Проверьте, был ли приложение создано или было ли в нем внесены последние изменения.
- Просмотрите разрешения, предоставленные приложению и пользователям, которые предоставили приложению согласие.
- Просмотрите все действия, выполненные приложением.
Оповещения бокового перемещения
В этом разделе описываются оповещения, указывающие на то, что злоумышленник может пытаться боково перемещаться в разных ресурсах, а сводка с помощью нескольких систем и учетных записей для повышения контроля над организацией.
Неактивные Приложение OAuth преимущественно с помощью MS Graph или веб-служб Exchange, которые недавно видели, чтобы получить доступ к рабочим нагрузкам ARM
Серьезность: средний
MITRE ID: T1078.004
Это обнаружение идентифицирует приложение в клиенте, которое имеет длительный период неактивного действия, начало доступа к API Azure Resource Manager в первый раз. Ранее это приложение в основном использовало MS Graph или веб-службу Exchange.
TP или FP?
TP. Если приложение неизвестно или не используется, данное действие потенциально подозрительно и может потребовать отключения приложения, после проверки используемого ресурса Azure и проверки использования приложения в клиенте.
Рекомендованные действия
- Просмотрите ресурсы Azure, к которым обращается приложение или создано, и все последние изменения, внесенные в приложение.
- Просмотрите уровень разрешений, запрошенных этим приложением, и какие пользователи предоставили доступ.
- На основе расследования выберите, нужно ли запретить доступ к этому приложению.
FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.
Рекомендуемое действие: закройте оповещение.
Общие сведения о области нарушения
- Просмотрите доступ и действие приложения.
- Просмотрите все действия, выполненные приложением с момента его создания.
- Просмотрите области, предоставляемые приложением в API Graph, и роль, предоставленную в вашей подписке.
- Просмотрите любого пользователя, который мог получить доступ к приложению до действия.
Оповещения о коллекции
В этом разделе описываются оповещения, указывающие на то, что злоумышленник может пытаться собрать интересующие их данные из вашей организации.
Приложение сделало необычные действия поиска по электронной почте
Серьезность: средний
ИДЕНТИФИКАТОР MITRE: T1114
Это обнаружение определяет, когда приложение согласилось на подозрительные области OAuth и сделало большое количество необычных действий поиска по электронной почте, таких как поиск по электронной почте определенного содержимого через API Graph. Это может указывать на попытку нарушения вашей организации, например злоумышленников, пытающихся искать и читать определенные сообщения электронной почты из вашей организации через API Graph.
TP или FP?
TP. Если вы можете подтвердить большой объем необычных действий поиска по электронной почте и прочитать действия с помощью API Graph приложением OAuth с подозрительной областью OAuth и что приложение доставлено из неизвестного источника.
Рекомендуемые действия: отключите и удалите приложение, сбросите пароль и удалите правило папки "Входящие".
FP: Если вы можете подтвердить, что приложение выполнило большой объем необычного поиска по электронной почте и прочитано через API Graph по законным причинам.
Рекомендуемое действие: закройте оповещение.
Общие сведения о области нарушения
- Просмотрите области, предоставленные приложением.
- Просмотрите все действия, выполненные приложением.
Приложение сделало аномальные вызовы Graph для чтения электронной почты
Серьезность: средний
ИДЕНТИФИКАТОР MITRE: T1114
Это обнаружение определяет, когда Приложение OAuth Приложение OAuth Приложение OAuth обращается к необычным и большим объемам почтовых папок и сообщений пользователя через API Graph, что может указывать на попытку нарушения вашей организации.
TP или FP?
TP: Если вы можете подтвердить, что необычное действие графа было выполнено Приложение OAuth линии бизнеса (LOB), то отображается истинное положительное значение.
Рекомендуемые действия. Временно отключите приложение и сбросьте пароль, а затем снова включите приложение. Следуйте инструкциям по сбросу пароля с помощью идентификатора Microsoft Entra.
FP: Если вы можете подтвердить, что приложение предназначено для необычно большого объема вызовов графа.
Рекомендуемое действие: закройте оповещение.
Общие сведения о области нарушения
- Просмотрите журнал действий для событий, выполняемых этим приложением, чтобы лучше понять другие действия Graph, чтобы читать сообщения электронной почты и пытаться собирать конфиденциальные данные электронной почты пользователей.
- Отслеживайте непредвиденные учетные данные, добавляемые в приложение.
Приложение создает правило папки "Входящие" и делает необычные действия поиска по электронной почте
Серьезность: средний
Идентификаторы MITRE: T1137, T1114
Это обнаружение идентифицирует приложение с высоким уровнем привилегий, создает подозрительное правило папки "Входящие" и делает необычные действия поиска по электронной почте в папках электронной почты пользователей через API Graph. Это может указывать на попытку нарушения вашей организации, например злоумышленников, пытающихся искать и собирать определенные сообщения электронной почты из вашей организации через API Graph.
TP или FP?
TP. Если вы можете подтвердить поиск и коллекцию определенных сообщений электронной почты с помощью API Graph приложением OAuth с высоким уровнем привилегий, а приложение доставлено из неизвестного источника.
Рекомендуемое действие. Отключите и удалите приложение, сбросите пароль и удалите правило папки "Входящие".
FP: Если вы можете подтвердить, что приложение выполнило определенный поиск по электронной почте и коллекцию с помощью API Graph и создало правило папки "Входящие" для новой или личной внешней учетной записи электронной почты по законным причинам.
Рекомендуемое действие: закройте оповещение.
Общие сведения о области нарушения
- Просмотрите все действия, выполненные приложением.
- Просмотрите области, предоставленные приложением.
- Просмотрите любое действие правила папки "Входящие", созданное приложением.
- Просмотрите все действия поиска по электронной почте, выполненные приложением.
Приложение сделал OneDrive или действия поиска SharePoint и создало правило папки "Входящие"
Серьезность: средний
Идентификатор MITRE: T1137, T1213
Это обнаружение определяет, что приложение согласилось на высокий уровень привилегий, создало подозрительное правило папки "Входящие" и сделало необычные действия поиска SharePoint или OneDrive через API Graph. Это может указывать на попытку нарушения вашей организации, например злоумышленников, пытающихся искать и собирать определенные данные из SharePoint или OneDrive из вашей организации через API Graph.
TP или FP?
TP. Если вы можете подтвердить определенные данные из SharePoint или OneDrive, выполненные с помощью API Graph приложением OAuth с высоким уровнем привилегий, и приложение доставляется из неизвестного источника.
Рекомендуемое действие. Отключение и удаление приложения, сброс пароля и удаление правила папки "Входящие".
FP. Если вы можете подтвердить, что приложение выполнило определенные данные из SharePoint или OneDrive для поиска и сбора с помощью API Graph с помощью приложения OAuth и создало правило папки "Входящие" в новую или личную внешнюю учетную запись электронной почты по законным причинам.
Рекомендуемое действие: отключение оповещения
Общие сведения о области нарушения
- Просмотрите все действия, выполненные приложением.
- Просмотрите области, предоставленные приложением.
- Просмотрите любое действие правила папки "Входящие", созданное приложением.
- Просмотрите все действия поиска SharePoint или OneDrive, выполненные приложением.
Приложение провело многочисленные поиски и изменения в OneDrive
Серьезность: средний
Идентификаторы MITRE: T1137, T1213
Это обнаружение определяет приложения OAuth с высокими привилегиями, которые выполняют большое количество поисковых запросов и редактирований в OneDrive с помощью API Graph.
TP или FP?
TP. Если вы можете подтвердить, что высокая загрузка рабочей нагрузки OneDrive с помощью API Graph не ожидается от этого приложения OAuth с высокими привилегиями для чтения и записи в OneDrive, то отображается истинное положительное значение.
Рекомендуемое действие. В зависимости от расследования, если приложение является вредоносным, вы можете отозвать согласие и отключить приложение в клиенте. Если это скомпрометированное приложение, вы можете отозвать согласие, временно отключить приложение, просмотреть необходимые разрешения, сбросить пароль и повторно включить приложение.
FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.
Рекомендуемое действие: устраните оповещение и сообщите о результатах.
Общие сведения о области нарушения
- Проверьте, находится ли приложение из надежного источника.
- Убедитесь, что приложение было создано или было ли в нем внесены последние изменения.
- Просмотрите разрешения, предоставленные приложению и пользователям, которые предоставили приложению согласие.
- Изучите все остальные действия приложения.
Приложение сделало большое количество важных сообщений для чтения и создания правила папки "Входящие"
Серьезность: средний
Идентификаторы MITRE: T1137, T1114
Это обнаружение определяет, что приложение согласилось на высокий уровень привилегий, создает подозрительное правило папки "Входящие" и делает большое количество важных действий чтения почты с помощью API Graph. Это может указывать на попытку нарушения вашей организации, например злоумышленников, пытающихся прочитать высокую важность электронной почты из вашей организации через API Graph.
TP или FP?
TP. Если вы можете подтвердить, что большой объем важных сообщений электронной почты, прочитанных через API Graph, приложение OAuth с высоким уровнем привилегий, и приложение доставляется из неизвестного источника.
Рекомендуемое действие. Отключение и удаление приложения, сброс пароля и удаление правила папки "Входящие".
FP: Если вы можете подтвердить, что приложение выполнило большое количество важных сообщений электронной почты, прочитанных через API Graph, и создало правило папки "Входящие" для новой или личной внешней учетной записи электронной почты по законным причинам.
Рекомендуемое действие: отключение оповещения
Общие сведения о области нарушения
- Просмотрите все действия, выполненные приложением.
- Просмотрите области, предоставленные приложением.
- Просмотрите любое действие правила папки "Входящие", созданное приложением.
- Просмотрите любое важное действие чтения электронной почты, выполняемого приложением.
Привилегированное приложение выполнило необычные действия в Teams
Серьезность: средний
Это обнаружение идентифицирует приложения, которые дали согласие на высокий уровень привилегий OAuth, которые обращаются к Microsoft Teams и сделали необычный объем операций чтения или записи сообщений чата через API Graph. Это может указывать на попытку нарушения вашей организации, например злоумышленников, пытающихся собирать информацию из вашей организации через API Graph.
TP или FP?
TP. Если вы можете подтвердить, что необычные действия сообщения чата в Microsoft Teams через API Graph с помощью приложения OAuth с высокой привилегией, а приложение доставляется из неизвестного источника.
Рекомендуемое действие. Отключение и удаление приложения и сброс пароля
FP: Если вы можете подтвердить, что необычные действия, выполненные в Microsoft Teams через API Graph, были по законным причинам.
Рекомендуемое действие: отключение оповещения
Общие сведения о области нарушения
- Просмотрите области, предоставленные приложением.
- Просмотрите все действия, выполненные приложением.
- Просмотрите действие пользователя, связанное с приложением.
Аномальное действие OneDrive по приложению, которое только что обновило или добавило новые учетные данные
Серьезность: средний
Идентификаторы MITRE: T1098.001, T1213
Облачное приложение, отличное от Майкрософт, сделало аномальные вызовы API Graph к OneDrive, включая использование больших объемов данных. Обнаруженные машинным обучением, эти необычные вызовы API были сделаны в течение нескольких дней после добавления приложения новых или обновленных существующих сертификатов и секретов. Это приложение может быть вовлечено в кражу данных или другие попытки доступа к конфиденциальной информации и получения конфиденциальной информации.
TP или FP?
TP. Если вы можете подтвердить, что необычные действия, такие как использование рабочей нагрузки OneDrive с большим объемом, были выполнены приложением через API Graph.
Рекомендуемое действие. Временно отключите приложение, сбросите пароль и снова включите приложение.
FP: Если вы можете подтвердить, что необычные действия не выполнялись приложением или что приложение предназначено для создания необычно большого объема вызовов Graph.
Рекомендуемое действие: отключение оповещения
Общие сведения о области нарушения
- Просмотрите все действия, выполняемые приложением.
- Просмотрите области, предоставленные приложением.
- Просмотрите действие пользователя, связанное с приложением.
Аномальное действие SharePoint по приложению, которое только что обновило или добавило новые учетные данные
Серьезность: средний
Идентификаторы MITRE: T1098.001, T1213.002
Облачное приложение, отличное от Майкрософт, сделало аномальные вызовы API Graph к SharePoint, включая использование больших объемов данных. Обнаруженные машинным обучением, эти необычные вызовы API были сделаны в течение нескольких дней после добавления приложения новых или обновленных существующих сертификатов и секретов. Это приложение может быть вовлечено в кражу данных или другие попытки доступа к конфиденциальной информации и получения конфиденциальной информации.
TP или FP?
TP. Если вы можете подтвердить, что необычные действия, такие как использование рабочей нагрузки SharePoint с большим объемом, были выполнены приложением через API Graph.
Рекомендуемое действие. Временно отключите приложение, сбросите пароль и снова включите приложение.
FP: Если вы можете подтвердить, что необычные действия не выполнялись приложением или что приложение предназначено для создания необычно большого объема вызовов Graph.
Рекомендуемое действие: отключение оповещения
Общие сведения о области нарушения
- Просмотрите все действия, выполняемые приложением.
- Просмотрите области, предоставленные приложением.
- Просмотрите действие пользователя, связанное с приложением.
Метаданные приложения, связанные с подозрительным действием, связанным с почтой
Серьезность: средний
Идентификаторы MITRE: T1114
Это обнаружение создает оповещения для приложений, отличных от Microsoft OAuth, с метаданными, такими как имя, URL-адрес или издатель, которые ранее наблюдались в приложениях с подозрительными действиями, связанными с почтой. Это приложение может быть частью кампании атаки и может быть вовлечено в кражу конфиденциальной информации.
TP или FP?
TP. Если вы можете подтвердить, что приложение создало правила почтового ящика или сделало большое количество необычных вызовов API Graph к рабочей нагрузке Exchange.
Рекомендуемое действие.
- Дополнительные сведения о регистрации приложения см. в разделе "Управление приложениями" и дополнительные сведения см. в идентификаторе Microsoft Entra.
- Обратитесь к пользователям или администраторам, которые предоставили согласие или разрешения приложению. Убедитесь, что изменения были преднамеренными.
- Выполните поиск в таблице Расширенной охоты CloudAppEvents , чтобы понять действия приложения и определить данные, к которым обращается приложение. Проверьте затронутые почтовые ящики и просмотрите сообщения, которые могли быть прочитаны или переадресованы самим приложением или правилами, созданными им.
- Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия в области хранения. Отключите приложение с помощью системы управления приложениями или идентификатора Microsoft Entra, чтобы предотвратить доступ к ресурсам. Существующие политики управления приложениями, возможно, уже деактивировали приложение.
FP: Если вы можете подтвердить, что необычные действия не были выполнены приложением и что приложение имеет законное бизнес-использование в организации.
Рекомендуемое действие: отключение оповещения
Общие сведения о области нарушения
- Просмотрите все действия, выполняемые приложением.
- Просмотрите области, предоставленные приложению.
- Просмотрите действие пользователя, связанное с приложением.
Приложение с разрешениями приложения EWS, обращающееся к многочисленным сообщениям электронной почты
Серьезность: средний
Идентификаторы MITRE: T1114
Это обнаружение создает оповещения для мультитенантных облачных приложений с разрешениями приложений EWS, показывающими значительное увеличение вызовов API веб-служб Exchange, относящихся к перечислению электронной почты и коллекции. Это приложение может быть связано с доступом к конфиденциальным данным электронной почты и получением конфиденциальных данных электронной почты.
TP или FP?
TP. Если вы можете подтвердить, что приложение имеет доступ к конфиденциальным данным электронной почты или сделало большое количество необычных вызовов рабочей нагрузки Exchange.
Рекомендуемое действие.
- Дополнительные сведения о регистрации приложения см. в разделе "Управление приложениями" и дополнительные сведения см. в идентификаторе Microsoft Entra.
- Обратитесь к пользователям или администраторам, которые предоставили согласие или разрешения приложению. Убедитесь, что изменения были преднамеренными.
- Выполните поиск в таблице Расширенной охоты CloudAppEvents , чтобы понять действия приложения и определить данные, к которым обращается приложение. Проверьте затронутые почтовые ящики и просмотрите сообщения, которые могли быть прочитаны или переадресованы самим приложением или правилами, созданными им.
- Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия в области хранения. Отключите приложение с помощью системы управления приложениями или идентификатора Microsoft Entra, чтобы предотвратить доступ к ресурсам. Существующие политики управления приложениями, возможно, уже деактивировали приложение.
FP: Если вы можете подтвердить, что необычные действия не были выполнены приложением и что приложение имеет законное бизнес-использование в организации.
Рекомендуемое действие: отключение оповещения
Общие сведения о области нарушения
- Просмотрите все действия, выполняемые приложением.
- Просмотрите области, предоставленные приложению.
- Просмотрите действие пользователя, связанное с приложением.
Неиспользуемое приложение только что обращается к API
Серьезность: средний
Идентификаторы MITRE: T1530
Это обнаружение создает оповещения для мультитенантного облачного приложения, которое было неактивным в течение некоторого времени и недавно начало выполнять вызовы API. Это приложение может быть скомпрометировано злоумышленником и использоваться для доступа к конфиденциальным данным и получения конфиденциальных данных.
TP или FP?
TP. Если вы можете подтвердить, что приложение имеет доступ к конфиденциальным данным или сделало большое количество необычных вызовов для рабочих нагрузок Microsoft Graph, Exchange или Azure Resource Manager.
Рекомендуемое действие.
- Дополнительные сведения о регистрации приложения см. в разделе "Управление приложениями" и дополнительные сведения см. в идентификаторе Microsoft Entra.
- Обратитесь к пользователям или администраторам, которые предоставили согласие или разрешения приложению. Убедитесь, что изменения были преднамеренными.
- Выполните поиск в таблице Расширенной охоты CloudAppEvents , чтобы понять действия приложения и определить данные, к которым обращается приложение. Проверьте затронутые почтовые ящики и просмотрите сообщения, которые могли быть прочитаны или переадресованы самим приложением или правилами, созданными им.
- Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия в области хранения. Отключите приложение с помощью системы управления приложениями или идентификатора Microsoft Entra, чтобы предотвратить доступ к ресурсам. Существующие политики управления приложениями, возможно, уже деактивировали приложение.
FP: Если вы можете подтвердить, что необычные действия не были выполнены приложением и что приложение имеет законное бизнес-использование в организации.
Рекомендуемое действие: отключение оповещения
Общие сведения о области нарушения
- Просмотрите все действия, выполняемые приложением.
- Просмотрите области, предоставленные приложению.
- Просмотрите действие пользователя, связанное с приложением.
Оповещения о влиянии
В этом разделе описываются оповещения, указывающие на то, что злоумышленник может пытаться манипулировать, прерывать или уничтожать системы и данные из вашей организации.
Приложение Entra Line-of-Business, инициирующее аномальный пик создания виртуальных машин
Серьезность: средний
ИДЕНТИФИКАТОР MITRE: T1496
Это обнаружение определяет один клиент нового приложения OAuth, которое создает большую часть azure Виртуальные машины в клиенте с помощью API Azure Resource Manager.
TP или FP?
TP: Если вы можете подтвердить, что приложение OAuth недавно создано и создает большое количество Виртуальные машины в клиенте, то отображается истинное положительное значение.
Рекомендуемые действия. Просмотрите созданные виртуальные машины и все последние изменения, внесенные в приложение. На основе расследования вы можете запретить доступ к этому приложению. Просмотрите уровень разрешений, запрошенных этим приложением, и какие пользователи предоставили доступ.
FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.
Рекомендуемое действие: закройте оповещение.
Ознакомьтесь с областью нарушения:
- Просмотрите созданные недавно приложения и созданные виртуальные машины.
- Просмотрите все действия, выполненные приложением с момента его создания.
- Просмотрите области, предоставляемые приложением в API Graph и роли, предоставленные ей в вашей подписке.
Приложение OAuth с высокими привилегиями в Microsoft Graph наблюдалось при создании виртуальной машины
Серьезность: средний
ИДЕНТИФИКАТОР MITRE: T1496
Это обнаружение определяет приложение OAuth, которое создает большую часть Виртуальные машины Azure в клиенте с помощью API Azure Resource Manager при наличии высоких привилегий в клиенте с помощью API MS Graph до действия.
TP или FP?
TP: Если вы можете подтвердить, что приложение OAuth с высокими привилегиями было создано и создает большое количество Виртуальные машины в клиенте, то указано истинное положительное значение.
Рекомендуемые действия. Просмотрите созданные виртуальные машины и все последние изменения, внесенные в приложение. На основе расследования вы можете запретить доступ к этому приложению. Просмотрите уровень разрешений, запрошенных этим приложением, и какие пользователи предоставили доступ.
FP: Если после расследования вы можете подтвердить, что приложение имеет законное бизнес-использование в организации.
Рекомендуемое действие: закройте оповещение.
Ознакомьтесь с областью нарушения:
- Просмотрите созданные недавно приложения и созданные виртуальные машины.
- Просмотрите все действия, выполненные приложением с момента его создания.
- Просмотрите области, предоставляемые приложением в API Graph и роли, предоставленные ей в вашей подписке.