Undersöka hotidentifieringsaviseringar

  • Artikel

Appstyrning ger säkerhetsidentifieringar och aviseringar för skadliga aktiviteter. Den här artikeln innehåller information om varje avisering som kan hjälpa dig att undersöka och åtgärda, inklusive villkoren för att utlösa aviseringar. Eftersom hotidentifieringar är icke-terministiska av naturen utlöses de bara när det finns beteende som avviker från normen.

Mer information finns i Appstyrning i Microsoft Defender för molnet Apps

Kommentar

Hotidentifieringar för appstyrning baseras på att räkna aktiviteter på data som är tillfälliga och kanske inte lagras, därför kan aviseringar ge antalet aktiviteter eller indikationer på toppar, men inte nödvändigtvis alla relevanta data. Specifikt för OAuth-appar Graph API-aktiviteter kan själva aktiviteterna granskas av klientorganisationen med hjälp av Log Analytics och Sentinel.

Mer information finns i:

MITRE ATT&CK

För att göra det enklare att mappa relationen mellan appstyrningsaviseringar och den välbekanta MITRE ATT&CK-matrisen har vi kategoriserat aviseringarna enligt motsvarande MITRE ATT&CK-taktik. Den här extra referensen gör det lättare att förstå tekniken för misstänkta attacker som kan användas när appstyrningsaviseringar utlöses.

Den här guiden innehåller information om att undersöka och åtgärda appstyrningsaviseringar i följande kategorier.

Klassificeringar av säkerhetsaviseringar

Efter en korrekt undersökning kan alla appstyrningsaviseringar klassificeras som någon av följande aktivitetstyper:

  • Sant positivt (TP): En avisering om en bekräftad skadlig aktivitet.
  • Godartad sann positiv (B-TP): En avisering om misstänkt men inte skadlig aktivitet, till exempel ett intrångstest eller annan auktoriserad misstänkt åtgärd.
  • Falskt positivt (FP): En avisering om en icke-skadlig aktivitet.

Allmänna undersökningssteg

Använd följande allmänna riktlinjer när du undersöker alla typer av aviseringar för att få en tydligare förståelse för det potentiella hotet innan du tillämpar den rekommenderade åtgärden.

  • Granska appens allvarlighetsgrad och jämför med resten av apparna i din klientorganisation. Den här granskningen hjälper dig att identifiera vilka appar i din klientorganisation som utgör den större risken.

  • Om du identifierar en TP granskar du alla appaktiviteter för att få en förståelse för effekten. Granska till exempel följande appinformation:

    • Omfattningar som beviljats åtkomst
    • Ovanligt beteende
    • IP-adress och plats

Inledande åtkomstaviseringar

I det här avsnittet beskrivs aviseringar som anger att en skadlig app försöker behålla sitt fotfäste i din organisation.

Appen omdirigeras till nätfiske-URL genom att utnyttja sårbarheten för OAuth-omdirigering

Allvarlighetsgrad: Medel

Den här identifieringen identifierar OAuth-appar som omdirigerar till nätfiske-URL:er genom att utnyttja parametern för svarstyp i OAuth-implementeringen via Microsoft Graph API.

TP eller FP?

  • TP: Om du kan bekräfta att OAuth-appen levererades från en okänd källa innehåller svarstypen för svars-URL:en efter medgivande till OAuth-appen en ogiltig begäran och omdirigeras till en okänd eller ej betrodd svars-URL.

    Rekommenderad åtgärd: Inaktivera och ta bort appen, återställ lösenordet och ta bort inkorgsregeln. 

  • FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av appen. 
  2. Granska de omfång som beviljats av appen. 

OAuth-app med misstänkt svars-URL

Allvarlighetsgrad: Medel

Den här identifieringen identifierar en OAuth-app som har åtkomst till en misstänkt svars-URL via Microsoft Graph API.

TP eller FP?

  • TP: Om du kan bekräfta att OAuth-appen levereras från en okänd källa och omdirigeras till en misstänkt URL visas en sann positiv identifiering. En misstänkt URL är en där URL:ens rykte är okänt, inte betrott eller vars domän nyligen registrerades och appbegäran är för ett omfång med hög behörighet.

    Rekommenderad åtgärd: Granska svars-URL, domäner och omfång som begärs av appen. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen. Granska behörighetsnivån som begärs av den här appen och vilka användare som beviljas åtkomst.

    Om du vill förbjuda åtkomst till appen går du till relevant flik för din app på sidan Appstyrning . På raden där appen som du vill förbjuda visas väljer du förbudsikonen. Du kan välja om du vill berätta för användarna att appen som de har installerat och auktoriserat har förbjudits. Meddelandet meddelar användarna att appen kommer att inaktiveras och att de inte har åtkomst till den anslutna appen. Om du inte vill att de ska veta avmarkerar du Meddela användare som beviljat åtkomst till den här förbjudna appen i dialogrutan. Vi rekommenderar att du låter appanvändare veta att deras app är på väg att förbjudas att användas.

  • FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen

  1. Granska de appar som har skapats nyligen och deras svars-URL:er.

  2. Granska alla aktiviteter som utförs av appen. 

  3. Granska de omfång som beviljats av appen. 

Allvarlighetsgrad: Låg

Den här identifieringen identifierar en OAuth-app som skapades nyligen och som visar sig ha låg medgivandefrekvens. Detta kan tyda på en skadlig eller riskfylld app som lockar användare med otillåtet medgivande.

TP eller FP?

  • TP: Om du kan bekräfta att OAuth-appen levereras från en okänd källa visas en sann positiv identifiering.

    Rekommenderad åtgärd: Granska appens visningsnamn, svars-URL:er och domäner. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen. Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst.

  • FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av appen.
  2. Om du misstänker att en app är misstänkt rekommenderar vi att du undersöker appens namn och svarsdomän i olika appbutiker. När du kontrollerar appbutiker fokuserar du på följande typer av appar:
    • Appar som har skapats nyligen
    • App med ovanligt visningsnamn
    • Appar med en misstänkt svarsdomän
  3. Om du fortfarande misstänker att en app är misstänkt kan du undersöka appens visningsnamn och svarsdomän.

App med dåligt URL-rykte

Allvarlighetsgrad: Medel

Den här identifieringen identifierar en OAuth-app som visade sig ha dåligt URL-rykte.

TP eller FP?

  • TP: Om du kan bekräfta att OAuth-appen levereras från en okänd källa och omdirigeras till en misstänkt URL visas en sann positiv identifiering.

    Rekommenderad åtgärd: Granska svars-URL:er, domäner och omfång som begärs av appen. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen. Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst.

  • FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av appen.
  2. Om du misstänker att en app är misstänkt rekommenderar vi att du undersöker appens namn och svarsdomän i olika appbutiker. När du kontrollerar appbutiker fokuserar du på följande typer av appar:
    • Appar som har skapats nyligen
    • App med ovanligt visningsnamn
    • Appar med en misstänkt svarsdomän
  3. Om du fortfarande misstänker att en app är misstänkt kan du undersöka appens visningsnamn och svarsdomän.

Allvarlighetsgrad: Medel

Beskrivning: Den här identifieringen identifierar OAuth-appar med tecken, till exempel Unicode eller kodade tecken, som begärts för misstänkta medgivandeomfång och som har åtkomst till användarnas e-postmappar via Graph API. Den här aviseringen kan indikera ett försök att kamouflera en skadlig app som en känd och betrodd app så att angripare kan vilseleda användarna att samtycka till den skadliga appen.

TP eller FP?

  • TP: Om du kan bekräfta att OAuth-appen har kodat visningsnamnet med misstänkta omfång som levereras från en okänd källa visas en sann positiv identifiering.

    Rekommenderad åtgärd: Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen.

    Om du vill förbjuda åtkomst till appen går du till relevant flik för din app på sidan Appstyrning . På raden där appen som du vill förbjuda visas väljer du förbudsikonen. Du kan välja om du vill berätta för användarna att appen som de har installerat och auktoriserat har förbjudits. Meddelandet meddelar användarna att appen kommer att inaktiveras och att de inte har åtkomst till den anslutna appen. Om du inte vill att de ska veta avmarkerar du Meddela användare som beviljat åtkomst till den här förbjudna appen i dialogrutan. Vi rekommenderar att du låter appanvändare veta att deras app är på väg att förbjudas att användas.

  • FP: Om du vill bekräfta att appen har ett kodat namn men har en legitim företagsanvändning i organisationen.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen

Följ självstudien om hur du undersöker riskfyllda OAuth-appar.

OAuth-appen med läsomfattningar har misstänkt svars-URL

Allvarlighetsgrad: Medel

Beskrivning: Den här identifieringen identifierar en OAuth-app med endast läsomfattningar som User.Read Personer. Read, Contacts.Read, Mail.Read, Contacts.Read. Delade omdirigeringar till misstänkt svars-URL via Graph API. Den här aktiviteten försöker indikera att skadlig app med mindre behörighet (till exempel Läs omfång) kan utnyttjas för att utföra kontospaning för användare.

TP eller FP?

  • TP: Om du kan bekräfta att OAuth-appen med läsomfång levereras från en okänd källa och omdirigeras till en misstänkt URL visas en sann positiv identifiering.

    Rekommenderad åtgärd: Granska svars-URL:en och de omfång som begärs av appen. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen. Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst.

    Om du vill förbjuda åtkomst till appen går du till relevant flik för din app på sidan Appstyrning . På raden där appen som du vill förbjuda visas väljer du förbudsikonen. Du kan välja om du vill berätta för användarna att appen som de har installerat och auktoriserat har förbjudits. Meddelandet meddelar användarna att appen kommer att inaktiveras och att de inte har åtkomst till den anslutna appen. Om du inte vill att de ska veta avmarkerar du Meddela användare som beviljat åtkomst till den här förbjudna appen i dialogrutan. Vi rekommenderar att du låter appanvändare veta att deras app är på väg att förbjudas att användas.

  • B-TP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av appen.
  2. Om du misstänker att en app är misstänkt rekommenderar vi att du undersöker appens namn och svars-URL i olika appbutiker. När du kontrollerar appbutiker fokuserar du på följande typer av appar:
    • Appar som har skapats nyligen.
    • Appar med en misstänkt svars-URL
    • Appar som inte har uppdaterats nyligen. Brist på uppdateringar kan tyda på att appen inte längre stöds.
  3. Om du fortfarande misstänker att en app är misstänkt kan du söka efter appens namn, utgivarens namn och svars-URL online

App med ovanligt visningsnamn och ovanlig TLD i svarsdomän

Allvarlighetsgrad: Medel

Den här identifieringen identifierar appen med ovanligt visningsnamn och omdirigerar till misstänkt svarsdomän med en ovanlig toppnivådomän (TLD) via Graph API. Detta kan tyda på ett försök att kamouflera en skadlig eller riskfylld app som en känd och betrodd app så att angripare kan vilseleda användarna att samtycka till deras skadliga eller riskfyllda app. 

TP eller FP?

  • TP: Om du kan bekräfta att appen med ovanligt visningsnamn levereras från en okänd källa och omdirigeras till en misstänkt domän med ovanlig toppnivådomän

    Rekommenderad åtgärd: Granska appens visningsnamn och svarsdomän. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen. Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst.

  • FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen

Granska alla aktiviteter som utförs av appen. Om du misstänker att en app är misstänkt rekommenderar vi att du undersöker appens namn och svarsdomän i olika appbutiker. När du kontrollerar appbutiker fokuserar du på följande typer av appar:

  • Appar som har skapats nyligen
  • App med ovanligt visningsnamn
  • Appar med en misstänkt svarsdomän

Om du fortfarande misstänker att en app är misstänkt kan du undersöka appens visningsnamn och svarsdomän.

Allvarlighetsgrad: Medel

Den här identifieringen identifierar OAuth-appar som nyligen skapats i relativt nya utgivarklientorganisationer med följande egenskaper:

  • Behörigheter för att komma åt eller ändra postlådeinställningar
  • Relativt låg medgivandefrekvens, som kan identifiera oönskade eller till och med skadliga appar som försöker få medgivande från intet ont anande användare

TP eller FP?

  • TP: Om du kan bekräfta att begäran om medgivande till appen har levererats från en okänd eller extern källa och appen inte har någon legitim affärsanvändning i organisationen visas en sann positiv identifiering.

    Rekommenderad åtgärd:

    • Kontakta användare och administratörer som har gett medgivande till den här appen för att bekräfta att detta var avsiktligt och att de överdrivna privilegierna är normala.
    • Undersök appaktiviteten och kontrollera berörda konton för misstänkt aktivitet.
    • Baserat på din undersökning inaktiverar du appen och inaktiverar och återställer lösenord för alla berörda konton.
    • Klassificera aviseringen som en sann positiv identifiering.

  • FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen.

    Rekommenderad åtgärd: Klassificera aviseringen som en falsk positiv identifiering och överväg att dela feedback baserat på din undersökning av aviseringen.

Förstå omfattningen av överträdelsen

Granska medgivandebidrag till programmet som görs av användare och administratörer. Undersök alla aktiviteter som utförs av appen, särskilt åtkomst till postlådan för associerade användare och administratörskonton. Om du misstänker att appen är misstänkt kan du inaktivera programmet och rotera autentiseringsuppgifterna för alla berörda konton.

Allvarlighetsgrad: Medel

Den här aviseringen identifierar OAuth-appar som nyligen registrerats i en relativt ny utgivare med behörighet att ändra postlådeinställningar och få åtkomst till e-postmeddelanden. Den verifierar också om appen har en relativt låg global medgivandefrekvens och gör många anrop till Microsoft Graph API för att få åtkomst till e-postmeddelanden från medgivande användare. Appar som utlöser den här aviseringen kan vara oönskade eller skadliga appar som försöker få medgivande från intet ont anande användare.

TP eller FP?

  • TP: Om du kan bekräfta att begäran om medgivande till appen har levererats från en okänd eller extern källa och appen inte har någon legitim affärsanvändning i organisationen visas en sann positiv identifiering.

    Rekommenderad åtgärd:

    • Kontakta användare och administratörer som har gett medgivande till den här appen för att bekräfta att detta var avsiktligt och att de överdrivna privilegierna är normala.
    • Undersök appaktiviteten och kontrollera berörda konton för misstänkt aktivitet.
    • Baserat på din undersökning inaktiverar du appen och inaktiverar och återställer lösenord för alla berörda konton.
    • Klassificera aviseringen som en sann positiv identifiering.

  • FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen visas en falsk positiv identifiering.

    Rekommenderad åtgärd: Klassificera aviseringen som en falsk positiv identifiering och överväg att dela feedback baserat på din undersökning av aviseringen.

Förstå omfattningen av överträdelsen

Granska medgivandebidrag till programmet som görs av användare och administratörer. Undersök alla aktiviteter som utförs av appen, särskilt åtkomst till postlådor för associerade användare och administratörskonton. Om du misstänker att appen är misstänkt kan du inaktivera programmet och rotera autentiseringsuppgifterna för alla berörda konton.

Misstänkt app med e-postbehörigheter som skickar många e-postmeddelanden

Allvarlighetsgrad: Medel

Den här aviseringen hittar OAuth-appar med flera klientorganisationer som har gjort många anrop till Microsoft Graph API för att skicka e-postmeddelanden inom en kort tidsperiod. Den kontrollerar också om API-anropen har resulterat i fel och misslyckade försök att skicka e-postmeddelanden. Appar som utlöser den här aviseringen kan aktivt skicka skräppost eller skadliga e-postmeddelanden till andra mål.

TP eller FP?

  • TP: Om du kan bekräfta att begäran om medgivande till appen har levererats från en okänd eller extern källa och appen inte har någon legitim affärsanvändning i organisationen visas en sann positiv identifiering.

    Rekommenderad åtgärd:

    • Kontakta användare och administratörer som har gett medgivande till den här appen för att bekräfta att detta var avsiktligt och att de överdrivna privilegierna är normala.
    • Undersök appaktiviteten och kontrollera berörda konton för misstänkt aktivitet.
    • Baserat på din undersökning inaktiverar du appen och inaktiverar och återställer lösenord för alla berörda konton.
    • Klassificera aviseringen som en sann positiv identifiering.

  • FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen visas en falsk positiv identifiering.

    Rekommenderad åtgärd: Klassificera aviseringen som en falsk positiv identifiering och överväg att dela feedback baserat på din undersökning av aviseringen.

Förstå omfattningen av överträdelsen

Granska medgivandebidrag till programmet som görs av användare och administratörer. Undersök alla aktiviteter som utförs av appen, särskilt åtkomst till postlådan för associerade användare och administratörskonton. Om du misstänker att appen är misstänkt kan du inaktivera programmet och rotera autentiseringsuppgifterna för alla berörda konton.

Misstänkt OAuth-app som används för att skicka många e-postmeddelanden

Allvarlighetsgrad: Medel

Den här aviseringen anger en OAuth-app som har gjort många anrop till Microsoft Graph API för att skicka e-postmeddelanden inom en kort tidsperiod. Appens utgivarklientorganisation är känd för att skapa en stor mängd OAuth-appar som gör liknande Microsoft Graph API-anrop. En angripare kan aktivt använda den här appen för att skicka skräppost eller skadliga e-postmeddelanden till sina mål.

TP eller FP?

  • TP: Om du kan bekräfta att begäran om medgivande till appen har levererats från en okänd eller extern källa och appen inte har någon legitim affärsanvändning i organisationen visas en sann positiv identifiering.

    Rekommenderad åtgärd:

    • Kontakta användare och administratörer som har gett medgivande till den här appen för att bekräfta att detta var avsiktligt och att de överdrivna privilegierna är normala.
    • Undersök appaktiviteten och kontrollera berörda konton för misstänkt aktivitet.
    • Baserat på din undersökning inaktiverar du appen och inaktiverar och återställer lösenord för alla berörda konton.
    • Klassificera aviseringen som en sann positiv identifiering.

  • FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen visas en falsk positiv identifiering.

    Rekommenderad åtgärd: Klassificera aviseringen som en falsk positiv identifiering och överväg att dela feedback baserat på din undersökning av aviseringen.

Förstå omfattningen av överträdelsen

Granska medgivandebidrag till programmet som görs av användare och administratörer. Undersök alla aktiviteter som utförs av appen, särskilt åtkomst till postlådan för associerade användare och administratörskonton. Om du misstänker att appen är misstänkt kan du inaktivera programmet och rotera autentiseringsuppgifterna för alla berörda konton.

Beständighetsaviseringar

I det här avsnittet beskrivs aviseringar som anger att en illvillig aktör försöker behålla sitt fotfäste i din organisation.

Appen gjorde avvikande Graph-anrop till Exchange-arbetsbelastningen efter certifikatuppdatering eller tillägg av nya autentiseringsuppgifter

Allvarlighetsgrad: Medel

MITRE-ID: T1098.001, T1114

Den här identifieringen utlöser en avisering när en verksamhetsspecifik app (LOB) uppdaterade certifikat/hemligheter eller lade till nya autentiseringsuppgifter och inom några dagar efter certifikatuppdatering eller tillägg av nya autentiseringsuppgifter, observerade ovanliga aktiviteter eller högvolymanvändning i Exchange-arbetsbelastningen via Graph API med hjälp av Maskininlärningsalgoritm.

TP eller FP?

  • TP: Om du kan bekräfta att ovanlig aktivitet/hög volymanvändning till Exchange-arbetsbelastningen utfördes av LOB-appen via Graph API

    Rekommendera åtgärd: Inaktivera appen tillfälligt och återställ lösenordet och aktivera sedan appen igen.

  • FP: Om du kan bekräfta att inga ovanliga aktiviteter har utförts av LOB-appen eller appen är avsedd att göra ovanligt stora mängder grafanrop.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av den här appen.
  2. Granska de omfång som beviljats av appen.
  3. Granska användaraktiviteten som är associerad med den här appen.

App med misstänkt OAuth-omfång flaggades med hög risk av Machine Learning-modell, gjorde grafanrop för att läsa e-post och skapade inkorgsregel

Allvarlighetsgrad: Medel

MITRE-ID: T1137.005, T1114

Den här identifieringen identifierar en OAuth-app som flaggades med hög risk av Machine Learning-modellen som samtyckt till misstänkta omfattningar, skapar en misstänkt inkorgsregel och sedan använder användarnas e-postmappar och meddelanden via Graph API. Inkorgsregler, till exempel vidarebefordran av alla eller specifika e-postmeddelanden till ett annat e-postkonto och Graph-anrop för att komma åt e-postmeddelanden och skicka till ett annat e-postkonto, kan vara ett försök att exfiltera information från din organisation.

TP eller FP?

  • TP: Om du kan bekräfta att inkorgsregeln har skapats av en OAuth-app från tredje part med misstänkta omfång som levereras från en okänd källa identifieras en sann positiv identifiering.

    Rekommenderad åtgärd: Inaktivera och ta bort appen, återställ lösenordet och ta bort inkorgsregeln.

Följ självstudien om hur du återställer ett lösenord med Microsoft Entra-ID och följer självstudien om hur du tar bort inkorgsregeln.

  • FP: Om du kan bekräfta att appen har skapat en inkorgsregel till ett nytt eller personligt externt e-postkonto av legitima skäl.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av appen.
  2. Granska de omfång som beviljats av appen.
  3. Granska åtgärden och villkoret för inkorgsregeln som skapats av appen.

App med misstänkt OAuth-omfång gjorde grafanrop för att läsa e-post och skapa inkorgsregel

Allvarlighetsgrad: Medel

MITRE-ID: T1137.005, T1114

Den här identifieringen identifierar en OAuth-app som samtyckt till misstänkta omfång, skapar en misstänkt inkorgsregel och sedan använder användarnas e-postmappar och meddelanden via Graph API. Inkorgsregler, till exempel vidarebefordran av alla eller specifika e-postmeddelanden till ett annat e-postkonto och Graph-anrop för att komma åt e-postmeddelanden och skicka till ett annat e-postkonto, kan vara ett försök att exfiltera information från din organisation.

TP eller FP?

  • TP: Om du kan bekräfta att inkorgsregeln har skapats av en OAuth-app från tredje part med misstänkta omfång som levereras från en okänd källa visas en sann positiv identifiering.

    Rekommenderad åtgärd: Inaktivera och ta bort appen, återställ lösenordet och ta bort inkorgsregeln.

    Följ självstudien om hur du återställer ett lösenord med Microsoft Entra-ID och följer självstudien om hur du tar bort inkorgsregeln.

  • FP: Om du kan bekräfta att appen har skapat en inkorgsregel till ett nytt eller personligt externt e-postkonto av legitima skäl.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av appen.
  2. Granska de omfång som beviljats av appen.
  3. Granska åtgärden och villkoret för inkorgsregeln som skapats av appen.

App som nås från ovanlig plats efter certifikatuppdatering

Allvarlighetsgrad: Låg

MITRE-ID: T1098

Den här identifieringen utlöser en avisering när en verksamhetsspecifik app (LOB) uppdaterade certifikatet/hemligheten och inom några dagar efter certifikatuppdateringen nås appen från en ovanlig plats som inte har setts nyligen eller aldrig använts tidigare.

TP eller FP?

  • TP: om du kan bekräfta att LOB-appen har använts från en ovanlig plats och utfört ovanliga aktiviteter via Graph API.

    Rekommendera åtgärd: Inaktivera appen tillfälligt och återställ lösenordet och aktivera sedan appen igen.

  • FP: Om du kan bekräfta att LOB-appen har använts från en ovanlig plats för legitimt ändamål och inga ovanliga aktiviteter har utförts.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen

  1. Granska all aktivitet som utförs av den här appen.
  2. Granska de omfång som beviljats av appen.
  3. Granska användaraktiviteten som är associerad med den här appen.

Appen som nås från en ovanlig plats gjorde avvikande Graph-anrop efter certifikatuppdatering

Allvarlighetsgrad: Medel

MITRE-ID: T1098

Den här identifieringen utlöser en avisering när en verksamhetsspecifik app (LOB) uppdaterade certifikatet/hemligheten och inom några dagar efter certifikatuppdateringen nås appen från en ovanlig plats som inte har setts nyligen eller aldrig har använts tidigare och observerat ovanliga aktiviteter eller användning via Graph API med hjälp av maskininlärningsalgoritm.

TP eller FP?

  • TP: Om du kan bekräfta att ovanliga aktiviteter/användning utfördes av LOB-appen via Graph API från en ovanlig plats.

    Rekommendera åtgärd: Inaktivera appen tillfälligt och återställ lösenordet och aktivera sedan appen igen.

  • FP: Om du kan bekräfta att LOB-appen har använts från en ovanlig plats för legitimt ändamål och inga ovanliga aktiviteter har utförts.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen

  1. Granska all aktivitet som utförs av den här appen.
  2. Granska de omfång som beviljats av appen.
  3. Granska användaraktiviteten som är associerad med den här appen.

Appen som skapats nyligen har en stor mängd återkallade medgivanden

Allvarlighetsgrad: Medel

MITRE-ID: T1566, T1098

Flera användare har återkallat sitt medgivande till den nyligen skapade verksamhetsspecifika appen (LOB) eller en tredjepartsapp. Den här appen kan ha lockat användare att ge det medgivande oavsiktligt.

TP eller FP?

  • TP: Om du kan bekräfta att OAuth-appen levereras från en okänd källa och appbeteendet är misstänkt. 

    Rekommenderad åtgärd: Återkalla medgivanden som beviljats appen och inaktivera appen. 

  • FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen och att inga ovanliga aktiviteter utfördes av appen.

    Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av appen.
  2. Om du misstänker att en app är misstänkt rekommenderar vi att du undersöker appens namn- och svarsdomän i olika appbutiker. När du kontrollerar appbutiker fokuserar du på följande typer av appar:
    • Appar som har skapats nyligen
    • Appar med ett ovanligt visningsnamn
    • Appar med en misstänkt svarsdomän
  3. Om du fortfarande misstänker att en app är misstänkt kan du undersöka appens visningsnamn och svarsdomän.

Appmetadata som är associerade med en känd nätfiskekampanj

Allvarlighetsgrad: Medel

Den här identifieringen genererar aviseringar för icke-Microsoft OAuth-appar med metadata, till exempel namn, URL eller utgivare, som tidigare hade observerats i appar som är associerade med en nätfiskekampanj. Dessa appar kan ingå i samma kampanj och kan vara inblandade i exfiltrering av känslig information.

TP eller FP?

  • TP: Om du kan bekräfta att OAuth-appen levereras från en okänd källa och utför ovanliga aktiviteter.

    Rekommenderad åtgärd:

    • Undersök appens registreringsinformation om appstyrning och besök Microsoft Entra-ID för mer information.
    • Kontakta de användare eller administratörer som beviljat medgivande eller behörigheter till appen. Kontrollera om ändringarna var avsiktliga.
    • Sök i tabellen CloudAppEvents Avancerad jakt för att förstå appaktiviteten och avgöra om det observerade beteendet förväntas.
    • Kontrollera om appen är viktig för din organisation innan du överväger några inneslutningsåtgärder. Inaktivera appen med hjälp av appstyrning eller Microsoft Entra-ID för att förhindra att den kommer åt resurser. Befintliga appstyrningsprinciper kan redan ha inaktiverat appen.

  • FP: Om du kan bekräfta att inga ovanliga aktiviteter har utförts av appen och att appen har en legitim affärsanvändning i organisationen.

    Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av appen.
  2. Granska de omfång som beviljats appen.
  3. Granska användaraktiviteten som är associerad med appen.

Appmetadata som är associerade med tidigare flaggade misstänkta appar

Allvarlighetsgrad: Medel

Den här identifieringen genererar aviseringar för icke-Microsoft OAuth-appar med metadata, till exempel namn, URL eller utgivare, som tidigare hade observerats i appar som flaggats av appstyrning på grund av misstänkt aktivitet. Den här appen kan vara en del av en attackkampanj och kan vara involverad i exfiltrering av känslig information.

TP eller FP?

  • TP: Om du kan bekräfta att OAuth-appen levereras från en okänd källa och utför ovanliga aktiviteter.

    Rekommenderad åtgärd:

    • Undersök appens registreringsinformation om appstyrning och besök Microsoft Entra-ID för mer information.
    • Kontakta de användare eller administratörer som beviljat medgivande eller behörigheter till appen. Kontrollera om ändringarna var avsiktliga.
    • Sök i tabellen CloudAppEvents Avancerad jakt för att förstå appaktiviteten och avgöra om det observerade beteendet förväntas.
    • Kontrollera om appen är viktig för din organisation innan du överväger några inneslutningsåtgärder. Inaktivera appen med hjälp av appstyrning eller Microsoft Entra-ID för att förhindra att den kommer åt resurser. Befintliga appstyrningsprinciper kan redan ha inaktiverat appen.

  • FP: Om du kan bekräfta att inga ovanliga aktiviteter har utförts av appen och att appen har en legitim affärsanvändning i organisationen.

    Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av appen.
  2. Granska de omfång som beviljats appen.
  3. Granska användaraktiviteten som är associerad med appen.

Misstänkt e-postaktivitet för OAuth-appen via Graph API

Allvarlighetsgrad: Hög

Den här identifieringen genererar aviseringar för OAuth-appar med flera klientorganisationer, registrerade av användare med en högriskinloggning, som anropade Microsoft Graph API för att utföra misstänkta e-postaktiviteter inom en kort tidsperiod.

Den här identifieringen verifierar om API-anropen gjordes för att skapa postlåderegeln, skapa e-postsvar, vidarebefordra e-post, svara eller nya e-postmeddelanden som skickas. Appar som utlöser den här aviseringen kan aktivt skicka skräppost eller skadliga e-postmeddelanden till andra mål eller exfiltratera konfidentiella data och rensa spår för att undvika identifiering.

TP eller FP?

  • TP: Om du kan bekräfta att appens skapande- och medgivandebegäran till appen har levererats från en okänd eller extern källa och appen inte har någon legitim affärsanvändning i organisationen visas en sann positiv identifiering.

    Rekommenderad åtgärd:

    • Kontakta användare och administratörer som har gett medgivande till den här appen för att bekräfta att detta var avsiktligt och att de överdrivna privilegierna är normala.

    • Undersök appaktiviteten och kontrollera berörda konton för misstänkt aktivitet.

    • Baserat på din undersökning inaktiverar du appen och pausar och återställer lösenord för alla berörda konton och tar bort inkorgsregeln.

    • Klassificera aviseringen som en sann positiv identifiering.

  • FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen visas en falsk positiv identifiering.

    Rekommenderad åtgärd:

    • Klassificera aviseringen som en falsk positiv identifiering och överväg att dela feedback baserat på din undersökning av aviseringen.

    • Förstå omfattningen av överträdelsen:

      Granska medgivandebidrag till programmet som görs av användare och administratörer. Undersök alla aktiviteter som utförs av appen, särskilt åtkomst till postlådan för associerade användare och administratörskonton. Om du misstänker att appen är misstänkt kan du inaktivera programmet och rotera autentiseringsuppgifterna för alla berörda konton.

Misstänkt E-postaktivitet för OAuth-appen via EWS API

Allvarlighetsgrad: Hög

Den här identifieringen genererar aviseringar för OAuth-appar med flera klientorganisationer, registrerade av användare med en högriskinloggning, som gjorde anrop till MICROSOFT Exchange Web Services -API (EWS) för att utföra misstänkta e-postaktiviteter inom en kort tidsperiod.

Den här identifieringen verifierar om API-anropen gjordes för att uppdatera inkorgsregler, flytta objekt, ta bort e-post, ta bort mapp eller ta bort bifogad fil. Appar som utlöser den här aviseringen kan aktivt exfiltratera eller ta bort konfidentiella data och rensa spår för att undvika identifiering.

TP eller FP?

  • TP: Om du kan bekräfta att appens skapande- och medgivandebegäran till appen har levererats från en okänd eller extern källa och appen inte har någon legitim affärsanvändning i organisationen visas en sann positiv identifiering.

    Rekommenderad åtgärd:

    • Kontakta användare och administratörer som har gett medgivande till den här appen för att bekräfta att detta var avsiktligt och att de överdrivna privilegierna är normala.

    • Undersök appaktiviteten och kontrollera berörda konton för misstänkt aktivitet.

    • Baserat på din undersökning inaktiverar du appen och pausar och återställer lösenord för alla berörda konton och tar bort inkorgsregeln.

    • Klassificera aviseringen som en sann positiv identifiering.

  • FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen visas en falsk positiv identifiering.

    Rekommenderad åtgärd:

    • Klassificera aviseringen som en falsk positiv identifiering och överväg att dela feedback baserat på din undersökning av aviseringen.

    • Förstå omfattningen av överträdelsen:

      Granska medgivandebidrag till programmet som görs av användare och administratörer. Undersök alla aktiviteter som utförs av appen, särskilt åtkomst till postlådan för associerade användare och administratörskonton. Om du misstänker att appen är misstänkt kan du inaktivera programmet och rotera autentiseringsuppgifterna för alla berörda konton.

Eskaleringsaviseringar för privilegier

OAuth-appen med misstänkta metadata har Exchange-behörighet

Allvarlighetsgrad: Medel

MITRE-ID: T1078

Den här aviseringen utlöses när en branschspecifik app med misstänkta metadata har behörighet att hantera behörighet via Exchange.

TP eller FP?

  • TP: Om du kan bekräfta att OAuth-appen levereras från en okänd källa och har misstänkta metadataegenskaper visas en sann positiv identifiering.

Rekommenderad åtgärd: Återkalla medgivanden som beviljats appen och inaktivera appen.

FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen.

Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av appen.
  2. Granska de omfång som beviljats av appen.
  3. Granska användaraktiviteten som är associerad med appen.

Aviseringar om skydd mot undandrag

Allvarlighetsgrad: Medel

En molnapp från andra länder än Microsoft använder en logotyp som hittades av en maskininlärningsalgoritm som liknar en Microsoft-logotyp. Detta kan vara ett försök att personifiera Microsofts programvaruprodukter och verka legitimt.

Kommentar

Klientadministratörer måste ge sitt medgivande via popup-fönster för att nödvändiga data ska skickas utanför den aktuella efterlevnadsgränsen och välja partnerteam inom Microsoft för att aktivera den här hotidentifieringen för verksamhetsspecifika appar.

TP eller FP?

  • TP: Om du kan bekräfta att applogotypen är en imitation av en Microsoft-logotyp och appbeteendet är misstänkt. 

    Rekommenderad åtgärd: Återkalla medgivanden som beviljats appen och inaktivera appen.

  • FP: Om du kan bekräfta att applogotypen inte är en imitation av en Microsoft-logotyp eller om inga ovanliga aktiviteter utfördes av appen. 

    Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av appen.
  2. Granska de omfång som beviljats appen.
  3. Granska användaraktiviteten som är associerad med appen.

Appen är associerad med en typokvatterad domän

Allvarlighetsgrad: Medel

Den här identifieringen genererar aviseringar för icke-Microsoft OAuth-appar med utgivardomäner eller omdirigerings-URL:er som innehåller typokvatterade versioner av Microsofts varumärken. Typokvatting används vanligtvis för att samla in trafik till webbplatser när användare oavsiktligt skriver fel url:er, men de kan också användas för att personifiera populära programvaruprodukter och tjänster.

TP eller FP?

  • TP: Om du kan bekräfta att appens utgivardomän eller omdirigerings-URL är skrivskyddad och inte är relaterad till appens sanna identitet.

    Rekommenderad åtgärd:

    • Undersök appens registreringsinformation om appstyrning och besök Microsoft Entra-ID för mer information.
    • Kontrollera om det finns andra tecken på förfalskning eller personifiering i appen och eventuell misstänkt aktivitet.
    • Kontrollera om appen är viktig för din organisation innan du överväger några inneslutningsåtgärder. Inaktivera appen med hjälp av appstyrning för att förhindra att den kommer åt resurser. Befintliga appstyrningsprinciper kan redan ha inaktiverat appen.

  • FP: Om du kan bekräfta att appens utgivardomän och omdirigerings-URL är legitima. 

    Rekommenderad åtgärd: Klassificera aviseringen som en falsk positiv identifiering och överväg att dela feedback baserat på din undersökning av aviseringen.

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av appen.
  2. Granska de omfång som beviljats appen.
  3. Granska användaraktiviteten som är associerad med appen.

Åtkomst till autentiseringsuppgifter

I det här avsnittet beskrivs aviseringar som anger att en obehörig aktör försöker läsa känsliga autentiseringsuppgifter och består av tekniker för att stjäla autentiseringsuppgifter som kontonamn, hemligheter, token, certifikat och lösenord i din organisation.

Program som initierar flera misslyckade KeyVault-läsaktiviteter utan framgång

Allvarlighetsgrad: Medel

MITRE-ID: T1078.004

Den här identifieringen identifierar ett program i din klientorganisation som observerades göra flera läsåtgärdsanrop till KeyVault med hjälp av Azure Resource Manager-API:et inom ett kort intervall, med endast fel och ingen lyckad läsaktivitet slutfördes.

TP eller FP?

  • TP: Om appen är okänd eller inte används är den angivna aktiviteten potentiellt misstänkt. När du har verifierat azure-resursen som används och verifierat appens användning i klientorganisationen kan den angivna aktiviteten kräva att appen inaktiveras. Detta är vanligtvis bevis på misstänkt uppräkningsaktivitet mot KeyVault-resursen för att få åtkomst till autentiseringsuppgifter för lateral förflyttning eller behörighetseskalering.

    Rekommenderade åtgärder: Granska de Azure-resurser som används eller skapas av programmet och eventuella nyligen gjorda ändringar i programmet. Baserat på din undersökning väljer du om du vill förbjuda åtkomst till den här appen. Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst.

  • FP: Om du efter undersökningen kan bekräfta att appen har legitim affärsanvändning i organisationen.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen

  1. Granska appens åtkomst och aktivitet.
  2. Granska alla aktiviteter som gjorts av appen sedan den skapades.
  3. Granska de omfång som beviljats av appen i Graph API och den roll som den har beviljats i din prenumeration.
  4. Granska alla användare som kan ha använt appen före aktiviteten.

Identifieringsaviseringar

Uppräkning av utförda appar

Allvarlighetsgrad: Medel

MITRE-ID: T1087

Den här identifieringen identifierar en OAuth-app som identifierades av Machine Learning-modellen som utför uppräkning på OneDrive-filer med Graph API.

TP eller FP?

  • TP: Om du kan bekräfta att ovanliga aktiviteter/användning till OneDrive utfördes av LOB-appen via Graph API.

    Rekommenderad åtgärd: Inaktivera och ta bort appen och återställ lösenordet.

  • FP: Om du kan bekräfta att inga ovanliga aktiviteter har utförts av appen.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av den här appen.
  2. Granska de omfång som beviljats av appen.
  3. Granska användaraktiviteten som är associerad med den här appen.

Misstänkta uppräkningsaktiviteter som utförs med Microsoft Graph PowerShell

Allvarlighetsgrad: Medel

MITRE-ID: T1087

Den här identifieringen identifierar en stor mängd misstänkta uppräkningsaktiviteter som utförs inom en kort tidsperiod via ett Microsoft Graph PowerShell-program .

TP eller FP?

  • TP: Om du kan bekräfta att misstänkta/ovanliga uppräkningsaktiviteter utfördes av Microsoft Graph PowerShell-programmet.

    Rekommenderad åtgärd: Inaktivera och ta bort programmet och återställ lösenordet.

  • FP: Om du kan bekräfta att inga ovanliga aktiviteter utfördes av programmet.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av det här programmet.
  2. Granska användaraktiviteten som är associerad med det här programmet.

Nyligen skapat multitenantprogram räknar upp användarinformation ofta

Allvarlighetsgrad: Medel

MITRE-ID: T1087

Den här aviseringen hittar OAuth-appar som nyligen registrerats i en relativt ny utgivare med behörighet att ändra postlådeinställningar och få åtkomst till e-postmeddelanden. Den kontrollerar om appen har gjort många anrop till Microsoft Graph API och begär användarkataloginformation. Appar som utlöser den här aviseringen kan locka användare att bevilja medgivande så att de kan komma åt organisationsdata.

TP eller FP?

  • TP: Om du kan bekräfta att begäran om medgivande till appen har levererats från en okänd eller extern källa och appen inte har någon legitim affärsanvändning i organisationen visas en sann positiv identifiering.

    Rekommenderad åtgärd:

    • Kontakta användare och administratörer som har gett medgivande till den här appen för att bekräfta att detta var avsiktligt och att de överdrivna privilegierna är normala.
    • Undersök appaktiviteten och kontrollera berörda konton för misstänkt aktivitet.
    • Baserat på din undersökning inaktiverar du appen och inaktiverar och återställer lösenord för alla berörda konton.
    • Klassificera aviseringen som en sann positiv identifiering.

  • FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen visas en falsk positiv identifiering.

    Rekommenderad åtgärd: Klassificera aviseringen som en falsk positiv identifiering och överväg att dela feedback baserat på din undersökning av aviseringen.

Förstå omfattningen av överträdelsen

Granska medgivandebidrag till programmet som görs av användare och administratörer. Undersök alla aktiviteter som utförs av appen, särskilt uppräkning av användarkataloginformation. Om du misstänker att appen är misstänkt kan du inaktivera programmet och rotera autentiseringsuppgifterna för alla berörda konton.

Exfiltreringsaviseringar

I det här avsnittet beskrivs aviseringar som anger att en illvillig aktör försöker stjäla data av intresse för sitt mål från din organisation.

OAuth-app med ovanlig användaragent

Allvarlighetsgrad: Låg

MITRE-ID: T1567

Den här identifieringen identifierar ett OAuth-program som använder en ovanlig användaragent för att komma åt Graph API.

TP eller FP?

  • TP: Om du kan bekräfta att OAuth-appen nyligen har börjat använda en ny användaragent som inte användes tidigare och den här ändringen är oväntad, visas en sann positiv identifiering.

    Rekommenderade åtgärder: Granska de användaragenter som används och eventuella ändringar som gjorts i programmet. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen. Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst.

  • FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen

  1. Granska de appar som har skapats nyligen och de användaragenter som används.
  2. Granska alla aktiviteter som utförs av appen. 
  3. Granska de omfång som beviljats av appen. 

App med en ovanlig användaragent som har åtkomst till e-postdata via Exchange Web Services

Allvarlighetsgrad: Hög

MITRE-ID: T1114, T1567

Den här identifieringen identifierar en OAuth-app som använde en ovanlig användaragent för att komma åt e-postdata med hjälp av Exchange Web Services API.

TP eller FP?

  • TP: Om du kan bekräfta att OAuth-programmet inte förväntas ändra användaragenten som används för att göra begäranden till Exchange Web Services-API:et visas en sann positiv identifiering.

    Rekommenderade åtgärder: Klassificera aviseringen som en TP. Om appen är skadlig kan du, baserat på undersökningen, återkalla medgivanden och inaktivera appen i klientorganisationen. Om det är en komprometterad app kan du återkalla medgivandena, tillfälligt inaktivera appen, granska behörigheterna, återställa hemligheten och certifikatet och sedan återaktivera appen.

  • FP: Om du efter undersökningen kan bekräfta att användaragenten som används av programmet har en legitim affärsanvändning i organisationen.

    Rekommenderad åtgärd: Klassificera aviseringen som en FP. Överväg också att dela feedback baserat på din undersökning av aviseringen.

Förstå omfattningen av överträdelsen

  1. Granska om programmet har skapats nyligen eller om det har gjorts några ändringar nyligen.
  2. Granska de behörigheter som beviljats programmet och användare som har samtyckt till programmet.
  3. Granska alla aktiviteter som utförs av appen.

Aviseringar om lateral förflyttning

I det här avsnittet beskrivs aviseringar som anger att en illvillig aktör kan försöka flytta i sidled inom olika resurser, samtidigt som du pivoterar genom flera system och konton för att få mer kontroll i din organisation.

Vilande OAuth-app som främst använder MS Graph eller Exchange Web Services som nyligen setts komma åt ARM-arbetsbelastningar

Allvarlighetsgrad: Medel

MITRE-ID: T1078.004

Den här identifieringen identifierar ett program i din klientorganisation som efter en lång period av vilande aktivitet har börjat komma åt Azure Resource Manager-API:et för första gången. Tidigare hade det här programmet främst använt MS Graph eller Exchange Web Service.

TP eller FP?

  • TP: Om appen är okänd eller inte används är den angivna aktiviteten potentiellt misstänkt och kan kräva att appen inaktiveras när du har verifierat att Azure-resursen används och verifierat appanvändningen i klientorganisationen.

    Rekommenderade åtgärder:

    1. Granska de Azure-resurser som används eller skapas av programmet och eventuella ändringar som gjorts nyligen i programmet.
    2. Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst.
    3. Baserat på din undersökning väljer du om du vill förbjuda åtkomst till den här appen.

  • FP: Om du efter undersökningen kan bekräfta att appen har legitim affärsanvändning i organisationen.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen

  1. Granska appens åtkomst och aktivitet.
  2. Granska alla aktiviteter som gjorts av appen sedan den skapades.
  3. Granska de omfång som beviljats av appen i Graph API och den roll som den har beviljats i din prenumeration.
  4. Granska alla användare som kan ha använt appen före aktiviteten.

Samlingsaviseringar

I det här avsnittet beskrivs aviseringar som anger att en illvillig aktör försöker samla in data av intresse för sitt mål från din organisation.

Appen gjorde ovanliga e-postsökningsaktiviteter

Allvarlighetsgrad: Medel

MITRE-ID: T1114

Den här identifieringen identifierar när en app samtyckte till misstänkt OAuth-omfång och gjorde en stor mängd ovanliga e-postsökningsaktiviteter, till exempel e-postsökning efter specifikt innehåll via Graph API. Detta kan tyda på ett intrångsförsök i din organisation, till exempel att angripare försöker söka efter och läsa specifik e-post från din organisation via Graph API. 

TP eller FP?

  • TP: Om du kan bekräfta en stor mängd ovanliga e-postsökningar och läsaktiviteter via Graph API av en OAuth-app med ett misstänkt OAuth-omfång och att appen levereras från okänd källa.

    Rekommenderade åtgärder: Inaktivera och ta bort appen, återställ lösenordet och ta bort inkorgsregeln. 

  • FP: Om du kan bekräfta att appen har utfört en stor mängd ovanlig e-postsökning och läst igenom Graph API av legitima skäl.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen

  1. Granska de omfång som beviljats av appen.
  2. Granska alla aktiviteter som utförs av appen. 

Appen gjorde avvikande Graph-anrop för att läsa e-post

Allvarlighetsgrad: Medel

MITRE-ID: T1114

Den här identifieringen identifierar när verksamhetsspecifika OAuth-appar får åtkomst till en ovanlig och hög volym av användarens e-postmappar och meddelanden via Graph API, vilket kan tyda på ett intrångsförsök i din organisation.

TP eller FP?

  • TP: Om du kan bekräfta att den ovanliga grafaktiviteten utfördes av verksamhetsspecifika OAuth-appen (Line of Business) visas en sann positiv identifiering.

    Rekommenderade åtgärder: Inaktivera appen tillfälligt och återställ lösenordet och aktivera sedan appen igen. Följ självstudien om hur du återställer ett lösenord med Hjälp av Microsoft Entra-ID.

  • FP: Om du kan bekräfta att appen är avsedd att göra ovanligt stora mängder grafanrop.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen

  1. Granska aktivitetsloggen för händelser som utförs av den här appen för att få en bättre förståelse för andra Graph-aktiviteter för att läsa e-postmeddelanden och försöka samla in känslig e-postinformation för användarna.
  2. Övervaka för oväntade autentiseringsuppgifter som läggs till i appen.

Appen skapar inkorgsregel och gjorde ovanliga e-postsökningsaktiviteter

Allvarlighetsgrad: Medel

MITRE-ID: T1137, T1114

Den här identifieringen identifierar appmedgivande till högprivilegier, skapar misstänkt inkorgsregel och gjorde ovanliga e-postsökningsaktiviteter i användarnas e-postmappar via Graph API. Detta kan tyda på ett försök till intrång i din organisation, till exempel att angripare försöker söka efter och samla in specifika e-postmeddelanden från din organisation via Graph API.

TP eller FP?

  • TP: Om du kan bekräfta någon specifik e-postsökning och -samling som görs via Graph API av en OAuth-app med hög behörighet och appen levereras från okänd källa.

    Rekommenderad åtgärd: Inaktivera och ta bort appen, återställ lösenordet och ta bort inkorgsregeln.

  • FP: Om du kan bekräfta att appen har utfört specifik e-postsökning och -samling via Graph API och skapat en inkorgsregel till ett nytt eller personligt externt e-postkonto av legitima skäl.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av appen.
  2. Granska de omfång som beviljats av appen.
  3. Granska alla inkorgsregler som skapats av appen.
  4. Granska alla e-postsökningsaktiviteter som utförs av appen.

Apptillverkade OneDrive-/SharePoint-sökaktiviteter och skapad inkorgsregel

Allvarlighetsgrad: Medel

MITRE-ID: T1137, T1213

Den här identifieringen identifierar att en app har samtyckt till högprivilegier, skapat en misstänkt inkorgsregel och gjort ovanliga SharePoint- eller OneDrive-sökaktiviteter via Graph API. Detta kan tyda på ett försök till intrång i din organisation, till exempel att angripare försöker söka efter och samla in specifika data från SharePoint eller OneDrive från din organisation via Graph API. 

TP eller FP?

  • TP: Om du kan bekräfta specifika data från SharePoint eller OneDrive-sökning och insamling som görs via Graph API av en OAuth-app med hög behörighet, och appen levereras från okänd källa. 

    Rekommenderad åtgärd: Inaktivera och ta bort appen, återställ lösenordet och ta bort inkorgsregeln. 

  • FP: Om du kan bekräfta att appen har utfört specifika data från SharePoint- eller OneDrive-sökning och insamling via Graph API av en OAuth-app och skapat en inkorgsregel till ett nytt eller personligt externt e-postkonto av legitima skäl. 

    Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av appen. 
  2. Granska de omfång som beviljats av appen. 
  3. Granska alla inkorgsregler som skapats av appen. 
  4. Granska alla SharePoint- eller OneDrive-sökaktiviteter som görs av appen.

Appen har gjort många sökningar och redigeringar i OneDrive

Allvarlighetsgrad: Medel

MITRE-ID: T1137, T1213

Den här identifieringen identifierar OAuth-appar med hög behörighet som utför ett stort antal sökningar och redigeringar i OneDrive med Graph API.

TP eller FP?

  • TP: Om du kan bekräfta att en hög användning av OneDrive-arbetsbelastning via Graph API inte förväntas av att det här OAuth-programmet har behörighet att läsa och skriva till OneDrive, visas en sann positiv identifiering.

    Rekommenderad åtgärd: Baserat på undersökningen kan du återkalla medgivanden och inaktivera programmet i klientorganisationen om programmet är skadligt. Om det är ett komprometterat program kan du återkalla medgivandena, tillfälligt inaktivera appen, granska de behörigheter som krävs, återställa lösenordet och sedan återaktivera appen.

  • FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen.

    Rekommenderad åtgärd: Lös aviseringen och rapportera dina resultat.

Förstå omfattningen av överträdelsen

  1. Kontrollera om appen kommer från en tillförlitlig källa.
  2. Kontrollera om programmet har skapats nyligen eller om några nyligen gjorda ändringar har gjorts i programmet.
  3. Granska de behörigheter som beviljats programmet och användare som har samtyckt till programmet.
  4. Undersök alla andra appaktiviteter.

Appen har gjort e-post med hög prioritet läs- och skapad inkorgsregel

Allvarlighetsgrad: Medel

MITRE-ID: T1137, T1114

Den här identifieringen identifierar att en app som har godkänts för hög behörighet, skapar misstänkt inkorgsregel och gjort en stor mängd viktiga e-postläsningsaktiviteter via Graph API. Detta kan tyda på ett försök till intrång i din organisation, till exempel att angripare försöker läsa e-post med hög prioritet från din organisation via Graph API. 

TP eller FP?

  • TP: Om du kan bekräfta den stora mängden viktig e-post som lästs via Graph API av en OAuth-app med hög behörighet och appen levereras från okänd källa. 

    Rekommenderad åtgärd: Inaktivera och ta bort appen, återställ lösenordet och ta bort inkorgsregeln. 

  • FP: Om du kan bekräfta att appen har utfört stora mängder viktig e-postläsning via Graph API och skapat en inkorgsregel till ett nytt eller personligt externt e-postkonto av legitima skäl. 

    Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av appen. 
  2. Granska de omfång som beviljats av appen. 
  3. Granska alla inkorgsregler som skapats av appen. 
  4. Granska all e-postläsningsaktivitet med hög prioritet som utförs av appen.

Privilegierad app utförde ovanliga aktiviteter i Teams

Allvarlighetsgrad: Medel

Den här identifieringen identifierar appar som godkänts för OAuth-omfång med hög behörighet, som har åtkomst till Microsoft Teams och som gjort en ovanlig mängd läs- eller postchattmeddelandeaktiviteter via Graph API. Detta kan tyda på ett intrångsförsök i din organisation, till exempel att angripare försöker samla in information från din organisation via Graph API.

TP eller FP?

  • TP: Om du kan bekräfta att ovanliga chattmeddelandeaktiviteter i Microsoft Teams via Graph API av en OAuth-app med hög behörighet och appen levereras från en okänd källa.

    Rekommenderad åtgärd: Inaktivera och ta bort appen och återställ lösenordet

  • FP: Om du kan bekräfta att de ovanliga aktiviteter som utfördes i Microsoft Teams via Graph API var av legitima skäl.

    Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av överträdelsen

  1. Granska de omfång som beviljats av appen.
  2. Granska alla aktiviteter som utförs av appen.
  3. Granska användaraktiviteten som är associerad med appen.

Avvikande OneDrive-aktivitet per app som just har uppdaterat eller lagt till nya autentiseringsuppgifter

Allvarlighetsgrad: Medel

MITRE-ID: T1098.001, T1213

En icke-Microsoft-molnapp gjorde avvikande Graph API-anrop till OneDrive, inklusive dataanvändning med stora volymer. Dessa ovanliga API-anrop upptäcktes av maskininlärning inom några dagar efter att appen lagt till nya eller uppdaterade befintliga certifikat/hemligheter. Den här appen kan vara involverad i dataexfiltrering eller andra försök att komma åt och hämta känslig information.

TP eller FP?

  • TP: Om du kan bekräfta att ovanliga aktiviteter, till exempel högvolymanvändning av OneDrive-arbetsbelastning, utfördes av appen via Graph API.

    Rekommenderad åtgärd: Inaktivera appen tillfälligt, återställ lösenordet och aktivera sedan appen igen.

  • FP: Om du kan bekräfta att inga ovanliga aktiviteter har utförts av appen eller att appen är avsedd att göra ovanligt stora mängder Graph-anrop.

    Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av appen.
  2. Granska de omfång som beviljats av appen.
  3. Granska användaraktiviteten som är associerad med appen.

Avvikande SharePoint-aktivitet per app som precis har uppdaterat eller lagt till nya autentiseringsuppgifter

Allvarlighetsgrad: Medel

MITRE-ID: T1098.001, T1213.002

En icke-Microsoft-molnapp gjorde avvikande Graph API-anrop till SharePoint, inklusive dataanvändning med stora volymer. Dessa ovanliga API-anrop upptäcktes av maskininlärning inom några dagar efter att appen lagt till nya eller uppdaterade befintliga certifikat/hemligheter. Den här appen kan vara involverad i dataexfiltrering eller andra försök att komma åt och hämta känslig information.

TP eller FP?

  • TP: Om du kan bekräfta att ovanliga aktiviteter, till exempel högvolymanvändning av SharePoint-arbetsbelastning, utfördes av appen via Graph API.

    Rekommenderad åtgärd: Inaktivera appen tillfälligt, återställ lösenordet och aktivera sedan appen igen.

  • FP: Om du kan bekräfta att inga ovanliga aktiviteter har utförts av appen eller att appen är avsedd att göra ovanligt stora mängder Graph-anrop.

    Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av appen.
  2. Granska de omfång som beviljats av appen.
  3. Granska användaraktiviteten som är associerad med appen.

Allvarlighetsgrad: Medel

MITRE-ID: T1114

Den här identifieringen genererar aviseringar för icke-Microsoft OAuth-appar med metadata, till exempel namn, URL eller utgivare, som tidigare hade observerats i appar med misstänkt e-postrelaterad aktivitet. Den här appen kan vara en del av en attackkampanj och kan vara involverad i exfiltrering av känslig information.

TP eller FP?

  • TP: Om du kan bekräfta att appen har skapat postlåderegler eller gjort ett stort antal ovanliga Graph API-anrop till Exchange-arbetsbelastningen.

    Rekommenderad åtgärd:

    • Undersök appens registreringsinformation om appstyrning och besök Microsoft Entra-ID för mer information.
    • Kontakta de användare eller administratörer som beviljat medgivande eller behörigheter till appen. Kontrollera om ändringarna var avsiktliga.
    • Sök i tabellen CloudAppEvents Avancerad jakt för att förstå appaktivitet och identifiera data som används av appen. Kontrollera berörda postlådor och granska meddelanden som kan ha lästs eller vidarebefordrats av själva appen eller av de regler som den har skapat.
    • Kontrollera om appen är viktig för din organisation innan du överväger några inneslutningsåtgärder. Inaktivera appen med hjälp av appstyrning eller Microsoft Entra-ID för att förhindra att den kommer åt resurser. Befintliga appstyrningsprinciper kan redan ha inaktiverat appen.

  • FP: Om du kan bekräfta att inga ovanliga aktiviteter har utförts av appen och att appen har en legitim affärsanvändning i organisationen.

    Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av appen.
  2. Granska de omfång som beviljats appen.
  3. Granska användaraktiviteten som är associerad med appen.

App med EWS-programbehörigheter som har åtkomst till många e-postmeddelanden

Allvarlighetsgrad: Medel

MITRE-ID: T1114

Den här identifieringen genererar aviseringar för molnappar med flera klientorganisationer med EWS-programbehörigheter som visar en betydande ökning av anrop till Exchange Web Services-API:et som är specifika för e-postuppräkning och insamling. Den här appen kan vara involverad i åtkomst till och hämtning av känsliga e-postdata.

TP eller FP?

  • TP: Om du kan bekräfta att appen har åtkomst till känsliga e-postdata eller gjort ett stort antal ovanliga anrop till Exchange-arbetsbelastningen.

    Rekommenderad åtgärd:

    • Undersök appens registreringsinformation om appstyrning och besök Microsoft Entra-ID för mer information.
    • Kontakta de användare eller administratörer som beviljat medgivande eller behörigheter till appen. Kontrollera om ändringarna var avsiktliga.
    • Sök i tabellen CloudAppEvents Avancerad jakt för att förstå appaktivitet och identifiera data som används av appen. Kontrollera berörda postlådor och granska meddelanden som kan ha lästs eller vidarebefordrats av själva appen eller av de regler som den har skapat.
    • Kontrollera om appen är viktig för din organisation innan du överväger några inneslutningsåtgärder. Inaktivera appen med hjälp av appstyrning eller Microsoft Entra-ID för att förhindra att den kommer åt resurser. Befintliga appstyrningsprinciper kan redan ha inaktiverat appen.

  • FP: Om du kan bekräfta att inga ovanliga aktiviteter har utförts av appen och att appen har en legitim affärsanvändning i organisationen.

    Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av appen.
  2. Granska de omfång som beviljats appen.
  3. Granska användaraktiviteten som är associerad med appen.

Oanvänd app som nyligen har åtkomst till API:er

Allvarlighetsgrad: Medel

MITRE-ID: T1530

Den här identifieringen genererar aviseringar för en molnapp för flera klientorganisationer som har varit inaktiv ett tag och som nyligen har börjat göra API-anrop. Den här appen kan komprometteras av en angripare och användas för att komma åt och hämta känsliga data.

TP eller FP?

  • TP: Om du kan bekräfta att appen har åtkomst till känsliga data eller gjort ett stort antal ovanliga anrop till Microsoft Graph-, Exchange- eller Azure Resource Manager-arbetsbelastningar.

    Rekommenderad åtgärd:

    • Undersök appens registreringsinformation om appstyrning och besök Microsoft Entra-ID för mer information.
    • Kontakta de användare eller administratörer som beviljat medgivande eller behörigheter till appen. Kontrollera om ändringarna var avsiktliga.
    • Sök i tabellen CloudAppEvents Avancerad jakt för att förstå appaktivitet och identifiera data som används av appen. Kontrollera berörda postlådor och granska meddelanden som kan ha lästs eller vidarebefordrats av själva appen eller av de regler som den har skapat.
    • Kontrollera om appen är viktig för din organisation innan du överväger några inneslutningsåtgärder. Inaktivera appen med hjälp av appstyrning eller Microsoft Entra-ID för att förhindra att den kommer åt resurser. Befintliga appstyrningsprinciper kan redan ha inaktiverat appen.

  • FP: Om du kan bekräfta att inga ovanliga aktiviteter har utförts av appen och att appen har en legitim affärsanvändning i organisationen.

    Rekommenderad åtgärd: Stäng aviseringen

Förstå omfattningen av överträdelsen

  1. Granska alla aktiviteter som utförs av appen.
  2. Granska de omfång som beviljats appen.
  3. Granska användaraktiviteten som är associerad med appen.

Effektaviseringar

I det här avsnittet beskrivs aviseringar som anger att en illvillig aktör kan försöka manipulera, avbryta eller förstöra dina system och data från din organisation.

Entra Branschspecifik app initierar en avvikande topp i skapandet av virtuella datorer

Allvarlighetsgrad: Medel

MITRE-ID: T1496

Den här identifieringen identifierar ett nytt OAuth-program för en enskild klientorganisation som skapar huvuddelen av Azure Virtual Machines i din klientorganisation med hjälp av Azure Resource Manager-API:et.

TP eller FP?

  • TP: Om du kan bekräfta att OAuth-appen nyligen har skapats och skapar ett stort antal virtuella datorer i klientorganisationen visas en sann positiv identifiering.

    Rekommenderade åtgärder: Granska de virtuella datorer som skapats och eventuella ändringar som gjorts i programmet. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen. Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst.

  • FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen:

  1. Granska de appar som har skapats nyligen och virtuella datorer som skapats.
  2. Granska alla aktiviteter som gjorts av appen sedan den skapades.
  3. Granska de omfång som beviljats av appen i Graph API och Roll som beviljats den i din prenumeration.

OAuth-appen med hög omfångsprivilegier i Microsoft Graph observerades initiera skapandet av virtuella datorer

Allvarlighetsgrad: Medel

MITRE-ID: T1496

Den här identifieringen identifierar OAuth-programmet som skapar huvuddelen av Azure Virtual Machines i din klientorganisation med hjälp av Azure Resource Manager-API:et samtidigt som det har hög behörighet i klientorganisationen via MS Graph API före aktiviteten.

TP eller FP?

  • TP: Om du kan bekräfta att OAuth-appen med hög behörighet har skapats och skapar ett stort antal virtuella datorer i klientorganisationen visas en sann positiv identifiering.

    Rekommenderade åtgärder: Granska de virtuella datorer som skapats och eventuella ändringar som gjorts i programmet. Baserat på din undersökning kan du välja att förbjuda åtkomst till den här appen. Granska behörighetsnivån som begärs av den här appen och vilka användare som har beviljat åtkomst.

  • FP: Om du efter undersökningen kan bekräfta att appen har en legitim affärsanvändning i organisationen.

    Rekommenderad åtgärd: Stäng aviseringen.

Förstå omfattningen av överträdelsen:

  1. Granska de appar som har skapats nyligen och virtuella datorer som skapats.
  2. Granska alla aktiviteter som gjorts av appen sedan den skapades.
  3. Granska de omfång som beviljats av appen i Graph API och Roll som beviljats den i din prenumeration.

Nästa steg

Hantera appstyrningsaviseringar