Uygulama idaresi tehdit algılama uyarılarını araştırma
Uygulama idaresi, kötü amaçlı etkinlikler için güvenlik algılamaları ve uyarılar sağlar. Bu makalede, uyarıları tetikleme koşulları da dahil olmak üzere araştırmanıza ve düzeltmenize yardımcı olabilecek her uyarının ayrıntıları listelenir. Tehdit algılamaları doğası gereği belirsiz olmadığından, yalnızca normdan sapan davranışlar olduğunda tetiklenir.
Daha fazla bilgi için bkz. Bulut için Microsoft Defender Uygulamalarında uygulama idaresi
Not
Uygulama idaresi tehdit algılamaları, geçici olan ve depolanamayabilen verilerdeki etkinlikleri saymaya dayanır, bu nedenle uyarılar etkinliklerin sayısını veya ani artış göstergelerini sağlayabilir, ancak tüm ilgili veriler olmayabilir. Özellikle OAuth uygulamaları Graph API etkinlikleri için etkinlikler, Log Analytics ve Sentinel kullanılarak kiracı tarafından denetlenebilir.
Daha fazla bilgi için bkz.:
MITRE ATT&CK
Uygulama idare uyarıları ile tanıdık MITRE ATT&CK Matrisi arasındaki ilişkiyi eşlemeyi kolaylaştırmak için uyarıları ilgili MITRE ATT&CK taktiğine göre kategorilere ayırdık. Bu ek başvuru, uygulama idare uyarısı tetiklendiğinde kullanımda olabilecek şüpheli saldırı tekniklerini daha kolay anlamanıza olanak sağlar.
Bu kılavuz, aşağıdaki kategorilerde uygulama idaresi uyarılarını araştırma ve düzeltme hakkında bilgi sağlar.
- İlk Erişim
- Yürütme
- Kalıcılık
- Ayrıcalık Yükseltme
- Savunma Kaçamak
- Kimlik Bilgisi Erişimi
- Bulma
- YanAl Hareket
- Koleksiyon
- Sızdırma
- Etki
Güvenlik uyarısı sınıflandırmaları
Doğru araştırmanın ardından tüm uygulama idare uyarıları aşağıdaki etkinlik türlerinden biri olarak sınıflandırılabilir:
- Gerçek pozitif (TP): Doğrulanmış bir kötü amaçlı etkinlikle ilgili uyarı.
- Zararsız gerçek pozitif (B-TP): Sızma testi veya diğer yetkili şüpheli eylemler gibi şüpheli ancak kötü amaçlı olmayan etkinliklerle ilgili bir uyarı.
- Hatalı pozitif (FP): Kötü amaçlı olmayan bir etkinlikle ilgili uyarı.
Genel araştırma adımları
Önerilen eylemi uygulamadan önce olası tehdidi daha net anlamak için herhangi bir uyarı türünü araştırırken aşağıdaki genel yönergeleri kullanın.
Uygulama önem düzeyini gözden geçirin ve kiracınızdaki diğer uygulamalarla karşılaştırın. Bu inceleme, kiracınızdaki hangi Uygulamaların daha büyük risk oluşturduğunu belirlemenize yardımcı olur.
Bir TP tanımlarsanız, etkiyi anlamak için tüm Uygulama etkinliklerini gözden geçirin. Örneğin, aşağıdaki Uygulama bilgilerini gözden geçirin:
- Erişim verilen kapsamlar
- Olağandışı davranış
- IP adresi ve konum
İlk erişim uyarıları
Bu bölümde, kötü amaçlı bir uygulamanın kuruluşunuzdaki korumasını sağlamaya çalışabileceğini belirten uyarılar açıklanmaktadır.
Uygulama, OAuth yeniden yönlendirme güvenlik açığından yararlanarak kimlik avı URL'sine yönlendirir
Önem Derecesi: Orta
Bu algılama, Microsoft Graph API aracılığıyla OAuth uygulamasındaki yanıt türü parametresinden yararlanarak kimlik avı URL'lerine yönlendiren OAuth uygulamalarını tanımlar.
TP mi FP mi?
TP: OAuth uygulamasının bilinmeyen bir kaynaktan teslim edildiğini doğrulayabilirseniz, OAuth uygulamasına onay verdikten sonra yanıt URL'sinin yanıt türü geçersiz bir istek içerir ve bilinmeyen veya güvenilmeyen bir yanıt URL'sine yönlendirir.
Önerilen eylem: Uygulamayı devre dışı bırakın ve kaldırın, parolayı sıfırlayın ve gelen kutusu kuralını kaldırın.
FP: Araştırmadan sonra uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu onaylayabilirsiniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Uygulama tarafından yapılan tüm etkinlikleri gözden geçirin.
- Uygulama tarafından verilen kapsamları gözden geçirin.
Şüpheli Yanıt URL'si ile OAuth Uygulaması
Önem Derecesi: Orta
Bu algılama, Microsoft Graph API'si aracılığıyla şüpheli bir Yanıt URL'sine erişen bir OAuth uygulamasını tanımlar.
TP mi FP mi?
TP: OAuth uygulamasının bilinmeyen bir kaynaktan teslim edildiğini ve şüpheli bir URL'ye yönlendirildiğini doğrulayabilirseniz, gerçek bir pozitif belirtilir. Şüpheli URL, URL'nin itibarının bilinmediği, güvenilir olmadığı veya etki alanının yakın zamanda kaydedildiği ve uygulama isteğinin yüksek ayrıcalık kapsamına yönelik olduğu urldir.
Önerilen eylem: Uygulama tarafından istenen Yanıt URL'sini, etki alanlarını ve kapsamları gözden geçirin. Araştırmanıza bağlı olarak bu uygulamaya erişimi yasaklayabilirsiniz. Bu uygulama tarafından istenen izin düzeyini ve hangi kullanıcılara erişim verildiğini gözden geçirin.
Uygulamaya erişimi yasaklamamak için Uygulama idaresi sayfasında uygulamanızın ilgili sekmesine gidin. Yasaklamak istediğiniz uygulamanın görüntülendiği satırda yasaklama simgesini seçin. Kullanıcılara yükledikleri ve yetkilendirdikleri uygulamanın yasaklandığını bildirmek isteyip istemediğinizi seçebilirsiniz. Bildirim, kullanıcıların uygulamanın devre dışı bırakılacağını ve bağlı uygulamaya erişemeyeceklerini bilmesini sağlar. Onların bilmesini istemiyorsanız, iletişim kutusunda Bu yasaklanan uygulamaya erişim izni veren kullanıcılara bildir'in seçimini kaldırın. Uygulama kullanıcılarına uygulamalarının kullanımının yasaklanmak üzere olduğunu bildirmenizi öneririz.
FP: Araştırmadan sonra uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu onaylayabilirsiniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
Yakın zamanda oluşturulan uygulamaları ve Yanıt URL'lerini gözden geçirin.
Uygulama tarafından yapılan tüm etkinlikleri gözden geçirin.
Uygulama tarafından verilen kapsamları gözden geçirin.
Yakın zamanda oluşturulan uygulama düşük onay oranına sahip
Önem Derecesi: Düşük
Bu algılama, yakın zamanda oluşturulmuş ve düşük onay oranına sahip olduğu belirlenen bir OAuth uygulamasını tanımlar. Bu, kullanıcıları yasadışı onay vermelerine ayarlayan kötü amaçlı veya riskli bir uygulamayı gösterebilir.
TP mi FP mi?
TP: OAuth uygulamasının bilinmeyen bir kaynaktan teslim edildiğini doğrulayabilirseniz gerçek bir pozitif değeri gösterilir.
Önerilen eylem: Uygulamanın görünen adını, Yanıt URL'lerini ve etki alanlarını gözden geçirin. Araştırmanıza bağlı olarak bu uygulamaya erişimi yasaklayabilirsiniz. Bu uygulama tarafından istenen izin düzeyini ve hangi kullanıcıların erişim verdiğini gözden geçirin.
FP: Araştırmadan sonra uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu onaylayabilirsiniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Uygulama tarafından yapılan tüm etkinlikleri gözden geçirin.
- Bir uygulamanın şüpheli olduğundan şüpheleniyorsanız, farklı uygulama mağazalarında uygulamanın adını ve yanıt etki alanını araştırmanızı öneririz. Uygulama mağazalarını denetlerken aşağıdaki uygulama türlerine odaklanın:
- Yakın zamanda oluşturulmuş uygulamalar
- Olağan dışı görünen ada sahip uygulama
- Şüpheli Yanıt etki alanına sahip uygulamalar
- Bir uygulamanın şüpheli olduğundan hala şüpheleniyorsanız uygulama görünen adını ve yanıt etki alanını araştırabilirsiniz.
Url itibarı kötü olan uygulama
Önem Derecesi: Orta
Bu algılama, URL itibarının kötü olduğu bulunan bir OAuth uygulamasını tanımlar.
TP mi FP mi?
TP: OAuth uygulamasının bilinmeyen bir kaynaktan teslim edildiğini ve şüpheli bir URL'ye yönlendirildiğini doğrulayabilirseniz, gerçek bir pozitif belirtilir.
Önerilen eylem: Uygulama tarafından istenen Yanıt URL'lerini, etki alanlarını ve kapsamları gözden geçirin. Araştırmanıza bağlı olarak bu uygulamaya erişimi yasaklayabilirsiniz. Bu uygulama tarafından istenen izin düzeyini ve hangi kullanıcıların erişim izni verdiğini gözden geçirin.
FP: Araştırmadan sonra uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu onaylayabilirsiniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Uygulama tarafından yapılan tüm etkinlikleri gözden geçirin.
- Bir uygulamanın şüpheli olduğundan şüpheleniyorsanız, farklı uygulama mağazalarında uygulamanın adını ve yanıt etki alanını araştırmanızı öneririz. Uygulama mağazalarını denetlerken aşağıdaki uygulama türlerine odaklanın:
- Yakın zamanda oluşturulmuş uygulamalar
- Olağan dışı görünen ada sahip uygulama
- Şüpheli Yanıt etki alanına sahip uygulamalar
- Bir uygulamanın şüpheli olduğundan hala şüpheleniyorsanız uygulama görünen adını ve yanıt etki alanını araştırabilirsiniz.
Şüpheli onay kapsamlarına sahip kodlanmış uygulama adı
Önem Derecesi: Orta
Açıklama: Bu algılama, şüpheli onay kapsamları için istenen ve Kullanıcılara Graph API aracılığıyla posta klasörlerine erişen Unicode veya kodlanmış karakterler gibi karakterler içeren OAuth uygulamalarını tanımlar. Bu uyarı, kötü amaçlı bir uygulamayı bilinen ve güvenilen bir uygulama olarak kamufle etme girişimini gösterebilir, böylece saldırganlar kullanıcıları kötü amaçlı uygulamaya onay verme konusunda yanıltabilir.
TP mi FP mi?
TP: OAuth uygulamasının görünen adı bilinmeyen bir kaynaktan teslim edilen şüpheli kapsamlarla kodladığını doğrulayabilirseniz, gerçek bir pozitif gösterilir.
Önerilen eylem: Bu uygulama tarafından istenen izin düzeyini ve hangi kullanıcıların erişim izni verdiğini gözden geçirin. Araştırmanıza bağlı olarak bu uygulamaya erişimi yasaklayabilirsiniz.
Uygulamaya erişimi yasaklamamak için Uygulama idaresi sayfasında uygulamanızın ilgili sekmesine gidin. Yasaklamak istediğiniz uygulamanın görüntülendiği satırda yasaklama simgesini seçin. Kullanıcılara yükledikleri ve yetkilendirdikleri uygulamanın yasaklandığını bildirmek isteyip istemediğinizi seçebilirsiniz. Bildirim, kullanıcıların uygulamanın devre dışı bırakılacağını ve bağlı uygulamaya erişemeyeceklerini bilmesini sağlar. Onların bilmesini istemiyorsanız, iletişim kutusunda Bu yasaklanan uygulamaya erişim izni veren kullanıcılara bildir'in seçimini kaldırın. Uygulama kullanıcılarına uygulamalarının kullanımının yasaklanmak üzere olduğunu bildirmenizi öneririz.
FP: Uygulamanın kodlanmış bir ada sahip olduğunu ancak kuruluşta meşru bir iş kullanımına sahip olduğunu onaylayacaksanız.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
Riskli OAuth uygulamalarını araştırma öğreticisini izleyin.
Okuma kapsamlarına sahip OAuth Uygulamasının şüpheli Yanıt URL'si var
Önem Derecesi: Orta
Açıklama: Bu algılama yalnızca User.Read, People.Read, Contacts.Read, Mail.Read, Contacts.Read gibi Okuma kapsamlarına sahip bir OAuth uygulamasını tanımlar. Paylaşılan yönlendirmeler Graph API aracılığıyla şüpheli Yanıt URL'sine yönlendirilir. Bu etkinlik, kullanıcıların hesap keşfini gerçekleştirmek için daha az ayrıcalık iznine sahip kötü amaçlı uygulamanın (Okuma kapsamları gibi) kötüye kullanılabileceğini belirtmeye çalışır.
TP mi FP mi?
TP: Okuma kapsamına sahip OAuth uygulamasının bilinmeyen bir kaynaktan teslim edildiğini ve şüpheli bir URL'ye yönlendirildiğini doğrulayabilirseniz, gerçek bir pozitif gösterilir.
Önerilen eylem: Yanıt URL'sini ve uygulama tarafından istenen kapsamları gözden geçirin. Araştırmanıza bağlı olarak bu uygulamaya erişimi yasaklayabilirsiniz. Bu uygulama tarafından istenen izin düzeyini ve hangi kullanıcıların erişim izni verdiğini gözden geçirin.
Uygulamaya erişimi yasaklamamak için Uygulama idaresi sayfasında uygulamanızın ilgili sekmesine gidin. Yasaklamak istediğiniz uygulamanın görüntülendiği satırda yasaklama simgesini seçin. Kullanıcılara yükledikleri ve yetkilendirdikleri uygulamanın yasaklandığını bildirmek isteyip istemediğinizi seçebilirsiniz. Bildirim, kullanıcıların uygulamanın devre dışı bırakılacağını ve bağlı uygulamaya erişemeyeceklerini bilmesini sağlar. Onların bilmesini istemiyorsanız, iletişim kutusunda Bu yasaklanan uygulamaya erişim izni veren kullanıcılara bildir'in seçimini kaldırın. Uygulama kullanıcılarına uygulamalarının kullanımının yasaklanmak üzere olduğunu bildirmenizi öneririz.
B-TP: Araştırmadan sonra uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu onaylayabilirsiniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Uygulama tarafından yapılan tüm etkinlikleri gözden geçirin.
- Bir uygulamanın şüpheli olduğundan şüpheleniyorsanız, farklı uygulama mağazalarında uygulamanın adını ve Yanıt URL'sini araştırmanızı öneririz. Uygulama mağazalarını denetlerken aşağıdaki uygulama türlerine odaklanın:
- Yakın zamanda oluşturulan uygulamalar.
- Şüpheli Yanıt URL'si olan uygulamalar
- Yakın zamanda güncelleştirilmedi uygulamalar. Güncelleştirmelerin olmaması, uygulamanın artık desteklenmediğini gösterebilir.
- Bir uygulamanın şüpheli olduğundan hala şüpheleniyorsanız, uygulama adını, yayımcı adını ve yanıt URL'sini çevrimiçi olarak araştırabilirsiniz
Yanıt etki alanında olağan dışı görünen ada ve olağan dışı TLD'ye sahip uygulama
Önem Derecesi: Orta
Bu algılama, olağan dışı görünen ada sahip uygulamayı tanımlar ve Graph API aracılığıyla olağan dışı üst düzey etki alanına (TLD) sahip şüpheli yanıt etki alanına yönlendirir. Bu, kötü amaçlı veya riskli bir uygulamayı bilinen ve güvenilen bir uygulama olarak kamufle etme girişimini gösterebilir, böylece saldırganlar kullanıcıları kötü amaçlı veya riskli uygulamalarına onay verme konusunda yanıltıcı hale getirebilir.
TP mi FP mi?
TP: Olağan dışı görünen ada sahip uygulamanın bilinmeyen bir kaynaktan teslim edildiğini ve olağan dışı Üst düzey etki alanına sahip şüpheli bir etki alanına yönlendirildiğini onaylayabilirseniz
Önerilen eylem: Uygulamanın görünen adını ve Yanıtla etki alanını gözden geçirin. Araştırmanıza bağlı olarak bu uygulamaya erişimi yasaklayabilirsiniz. Bu uygulama tarafından istenen izin düzeyini ve hangi kullanıcıların erişim verdiğini gözden geçirin.
FP: Araştırmadan sonra uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu onaylayabilirsiniz.
Önerilen Eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
Uygulama tarafından yapılan tüm etkinlikleri gözden geçirin. Bir uygulamanın şüpheli olduğundan şüpheleniyorsanız, farklı uygulama mağazalarında uygulamanın adını ve yanıt etki alanını araştırmanızı öneririz. Uygulama mağazalarını denetlerken aşağıdaki uygulama türlerine odaklanın:
- Yakın zamanda oluşturulmuş uygulamalar
- Olağan dışı görünen ada sahip uygulama
- Şüpheli Yanıt etki alanına sahip uygulamalar
Bir uygulamanın şüpheli olduğundan hala şüpheleniyorsanız uygulama görünen adını ve yanıt etki alanını araştırabilirsiniz.
Düşük onay deseni olan posta izinlerine sahip yeni uygulama
Önem Derecesi: Orta
Bu algılama, son zamanlarda nispeten yeni yayımcı kiracılarında oluşturulan OAuth uygulamalarını aşağıdaki özelliklerle tanımlar:
- Posta kutusu ayarlarına erişme veya değiştirme izinleri
- Şüpheli olmayan kullanıcılardan onay almayı deneyen istenmeyen ve hatta kötü amaçlı uygulamaları belirleyebilen görece düşük onay oranı
TP mi FP mi?
TP: Uygulamaya yönelik onay isteğinin bilinmeyen veya dış bir kaynaktan teslim edildiğini doğrulayabilirseniz ve uygulamanın kuruluşta meşru bir iş kullanımı yoksa, gerçek bir pozitif belirtilir.
Önerilen eylem:
- Bunun kasıtlı olduğunu ve aşırı ayrıcalıkların normal olduğunu onaylamak için bu uygulamaya onay veren kullanıcılara ve yöneticilere başvurun.
- Uygulama etkinliğini araştırın ve etkilenen hesapların şüpheli etkinlik olup olmadığını denetleyin.
- Araştırmanıza bağlı olarak, uygulamayı devre dışı bırakın ve etkilenen tüm hesaplar için parolaları askıya alın ve sıfırlayın.
- Uyarıyı gerçek pozitif olarak sınıflandırın.
FP: Araştırmadan sonra uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu onaylayabilirsiniz.
Önerilen Eylem: Uyarıyı yanlış pozitif olarak sınıflandırın ve uyarıyı araştırmanıza göre geri bildirim paylaşmayı göz önünde bulundurun.
İhlal kapsamını anlama
Kullanıcılar ve yöneticiler tarafından yapılan uygulamaya onay vermelerini gözden geçirin. Uygulama tarafından yapılan tüm etkinlikleri, özellikle ilişkili kullanıcıların ve yönetici hesaplarının posta kutusuna erişimi araştırın. Uygulamanın şüpheli olduğundan şüpheleniyorsanız, uygulamayı devre dışı bırakmayı ve etkilenen tüm hesapların kimlik bilgilerini döndürmeyi göz önünde bulundurun.
Çok sayıda e-postaya erişirken düşük onay oranına sahip yeni uygulama
Önem Derecesi: Orta
Bu uyarı, posta kutusu ayarlarını değiştirme ve e-postalara erişme izinlerine sahip nispeten yeni bir yayımcı kiracısında yakın zamanda kaydedilen OAuth uygulamalarını tanımlar. Ayrıca uygulamanın görece düşük bir küresel onay oranına sahip olup olmadığını doğrular ve onaylayan kullanıcıların e-postalarına erişmek için Microsoft Graph API'sine çok sayıda çağrı yapar. Bu uyarıyı tetikleyen uygulamalar, istenmeyen veya istenmeyen kullanıcılardan onay almayı deneyen kötü amaçlı uygulamalar olabilir.
TP mi FP mi?
TP: Uygulamaya yönelik onay isteğinin bilinmeyen veya dış bir kaynaktan teslim edildiğini doğrulayabilirseniz ve uygulamanın kuruluşta meşru bir iş kullanımı yoksa, gerçek bir pozitif belirtilir.
Önerilen eylem:
- Bunun kasıtlı olduğunu ve aşırı ayrıcalıkların normal olduğunu onaylamak için bu uygulamaya onay veren kullanıcılara ve yöneticilere başvurun.
- Uygulama etkinliğini araştırın ve etkilenen hesapların şüpheli etkinlik olup olmadığını denetleyin.
- Araştırmanıza bağlı olarak, uygulamayı devre dışı bırakın ve etkilenen tüm hesaplar için parolaları askıya alın ve sıfırlayın.
- Uyarıyı gerçek pozitif olarak sınıflandırın.
FP: Araştırmadan sonra uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu doğrulayabilirsiniz, ardından hatalı pozitif sonuç gösterilir.
Önerilen Eylem: Uyarıyı yanlış pozitif olarak sınıflandırın ve uyarıyı araştırmanıza göre geri bildirim paylaşmayı göz önünde bulundurun.
İhlal kapsamını anlama
Kullanıcılar ve yöneticiler tarafından yapılan uygulamaya onay vermelerini gözden geçirin. Uygulama tarafından yapılan tüm etkinlikleri, özellikle de ilişkili kullanıcıların ve yönetici hesaplarının posta kutularına erişimi araştırın. Uygulamanın şüpheli olduğundan şüpheleniyorsanız, uygulamayı devre dışı bırakmayı ve etkilenen tüm hesapların kimlik bilgilerini döndürmeyi göz önünde bulundurun.
Çok sayıda e-posta gönderen posta izinlerine sahip şüpheli uygulama
Önem Derecesi: Orta
Bu uyarı, kısa bir süre içinde e-posta göndermek için Microsoft Graph API'sine çok sayıda çağrı yapan çok kiracılı OAuth uygulamalarını bulur. Ayrıca API çağrılarının hatalara neden olup olmadığını ve e-posta gönderme girişimlerinin başarısız olup olmadığını doğrular. Bu uyarıyı tetikleyen uygulamalar, diğer hedeflere etkin bir şekilde istenmeyen posta veya kötü amaçlı e-posta gönderiyor olabilir.
TP mi FP mi?
TP: Uygulamaya yönelik onay isteğinin bilinmeyen veya dış bir kaynaktan teslim edildiğini doğrulayabilirseniz ve uygulamanın kuruluşta meşru bir iş kullanımı yoksa, gerçek bir pozitif belirtilir.
Önerilen eylem:
- Bunun kasıtlı olduğunu ve aşırı ayrıcalıkların normal olduğunu onaylamak için bu uygulamaya onay veren kullanıcılara ve yöneticilere başvurun.
- Uygulama etkinliğini araştırın ve etkilenen hesapların şüpheli etkinlik olup olmadığını denetleyin.
- Araştırmanıza bağlı olarak, uygulamayı devre dışı bırakın ve etkilenen tüm hesaplar için parolaları askıya alın ve sıfırlayın.
- Uyarıyı gerçek pozitif olarak sınıflandırın.
FP: Araştırmadan sonra uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu doğrulayabilirsiniz, ardından hatalı pozitif sonuç gösterilir.
Önerilen Eylem: Uyarıyı yanlış pozitif olarak sınıflandırın ve uyarıyı araştırmanıza göre geri bildirim paylaşmayı göz önünde bulundurun.
İhlal kapsamını anlama
Kullanıcılar ve yöneticiler tarafından yapılan uygulamaya onay vermelerini gözden geçirin. Uygulama tarafından yapılan tüm etkinlikleri, özellikle ilişkili kullanıcıların ve yönetici hesaplarının posta kutusuna erişimi araştırın. Uygulamanın şüpheli olduğundan şüpheleniyorsanız, uygulamayı devre dışı bırakmayı ve etkilenen tüm hesapların kimlik bilgilerini döndürmeyi göz önünde bulundurun.
Çok sayıda e-posta göndermek için kullanılan şüpheli OAuth uygulaması
Önem Derecesi: Orta
Bu uyarı, kısa bir süre içinde e-posta göndermek için Microsoft Graph API'sine çok sayıda çağrı yapan bir OAuth uygulamasını gösterir. Uygulamanın yayımcı kiracısının benzer Microsoft Graph API çağrıları yapacak çok sayıda OAuth uygulaması oluşturduğunu bilinmektedir. Saldırgan, hedeflerine istenmeyen posta veya kötü amaçlı e-posta göndermek için bu uygulamayı etkin bir şekilde kullanıyor olabilir.
TP mi FP mi?
TP: Uygulamaya yönelik onay isteğinin bilinmeyen veya dış bir kaynaktan teslim edildiğini doğrulayabilirseniz ve uygulamanın kuruluşta meşru bir iş kullanımı yoksa, gerçek bir pozitif belirtilir.
Önerilen eylem:
- Bunun kasıtlı olduğunu ve aşırı ayrıcalıkların normal olduğunu onaylamak için bu uygulamaya onay veren kullanıcılara ve yöneticilere başvurun.
- Uygulama etkinliğini araştırın ve etkilenen hesapların şüpheli etkinlik olup olmadığını denetleyin.
- Araştırmanıza bağlı olarak, uygulamayı devre dışı bırakın ve etkilenen tüm hesaplar için parolaları askıya alın ve sıfırlayın.
- Uyarıyı gerçek pozitif olarak sınıflandırın.
FP: Araştırmadan sonra uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu doğrulayabilirsiniz, ardından hatalı pozitif sonuç gösterilir.
Önerilen Eylem: Uyarıyı yanlış pozitif olarak sınıflandırın ve uyarıyı araştırmanıza göre geri bildirim paylaşmayı göz önünde bulundurun.
İhlal kapsamını anlama
Kullanıcılar ve yöneticiler tarafından yapılan uygulamaya onay vermelerini gözden geçirin. Uygulama tarafından yapılan tüm etkinlikleri, özellikle ilişkili kullanıcıların ve yönetici hesaplarının posta kutusuna erişimi araştırın. Uygulamanın şüpheli olduğundan şüpheleniyorsanız, uygulamayı devre dışı bırakmayı ve etkilenen tüm hesapların kimlik bilgilerini döndürmeyi göz önünde bulundurun.
Kalıcılık uyarıları
Bu bölümde, kötü amaçlı bir aktörün kuruluşunuzdaki ayaklarını korumaya çalışabileceğini belirten uyarılar açıklanmaktadır.
Uygulama, sertifika güncelleştirmesi veya yeni kimlik bilgilerinin eklenmesi sonrasında Exchange iş yüküne anormal Graf çağrıları yaptı
Önem Derecesi: Orta
MITRE Kimliği: T1098.001, T1114
Bu algılama, bir İş Kolu (LOB) uygulaması sertifikayı/gizli dizileri güncelleştirdiğinde veya yeni kimlik bilgileri eklediğinde ve sertifika güncelleştirmesi veya yeni kimlik bilgileri eklendikten sonra birkaç gün içinde Makine öğrenmesi algoritmasını kullanarak Graph API aracılığıyla Exchange iş yüküne olağan dışı etkinlikler veya yüksek hacimli kullanım gözlemlendiğinde bir uyarı tetikler.
TP mi FP mi?
TP: Exchange iş yükünde olağan dışı etkinliklerin/yüksek hacimli kullanımın GRAPH API aracılığıyla LOB uygulaması tarafından gerçekleştirildiğini doğrulayabilirseniz
Eylem önerin: Uygulamayı geçici olarak devre dışı bırakın, parolayı sıfırlayın ve ardından uygulamayı yeniden etkinleştirin.
FP: LOB uygulaması veya uygulaması tarafından olağan dışı etkinliklerin gerçekleştirilmediğini doğrulayabilirseniz, olağan dışı şekilde yüksek hacimli graf çağrıları gerçekleştirmeye yöneliktir.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Bu uygulama tarafından gerçekleştirilen tüm etkinlikleri gözden geçirin.
- Uygulama tarafından verilen kapsamları gözden geçirin.
- Bu uygulamayla ilişkili kullanıcı etkinliğini gözden geçirin.
Şüpheli OAuth kapsamına sahip uygulama Machine Learning modeli tarafından yüksek riskli olarak işaretlendi, e-posta okumak için graf çağrıları yaptı ve Gelen Kutusu Kuralı oluşturuldu
Önem Derecesi: Orta
MITRE Kimliği: T1137.005, T1114
Bu algılama, Machine Learning modeli tarafından şüpheli kapsamlara onay veren, şüpheli bir gelen kutusu kuralı oluşturan ve ardından Kullanıcıların posta klasörlerine ve iletilerine Graph API aracılığıyla erişen yüksek riskli olarak işaretlenen bir OAuth Uygulamasını tanımlar. Tüm veya belirli e-postaları başka bir e-posta hesabına iletme ve e-postalara erişmek ve başka bir e-posta hesabına göndermek için Graph çağrıları gibi gelen kutusu kuralları, kuruluşunuzdan bilgi sızdırma girişimi olabilir.
TP mi FP mi?
TP: Gelen kutusu kuralının bilinmeyen bir kaynaktan teslim edilen şüpheli kapsamlara sahip bir OAuth üçüncü taraf uygulaması tarafından oluşturulduğunu onaylayabilirseniz, gerçek bir pozitif algılanır.
Önerilen eylem: Uygulamayı devre dışı bırakın ve kaldırın, parolayı sıfırlayın ve gelen kutusu kuralını kaldırın.
Microsoft Entra Id kullanarak parola sıfırlama öğreticisini izleyin ve gelen kutusu kuralını kaldırma öğreticisini izleyin.
FP: Uygulamanın geçerli nedenlerle yeni veya kişisel bir dış e-posta hesabına gelen kutusu kuralı oluşturduğunu onaylayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Uygulama tarafından yapılan tüm etkinlikleri gözden geçirin.
- Uygulama tarafından verilen kapsamları gözden geçirin.
- Uygulama tarafından oluşturulan gelen kutusu kuralı eylemini ve koşulunu gözden geçirin.
Şüpheli OAuth kapsamına sahip uygulama, e-posta okumak ve gelen kutusu kuralı oluşturmak için graf çağrıları yaptı
Önem Derecesi: Orta
MITRE Kimliği: T1137.005, T1114
Bu algılama, şüpheli kapsamları onaylayan, şüpheli bir gelen kutusu kuralı oluşturan ve ardından Graph API aracılığıyla kullanıcılara posta klasörlerine ve iletilerine erişen bir OAuth Uygulaması tanımlar. Tüm veya belirli e-postaları başka bir e-posta hesabına iletme ve e-postalara erişmek ve başka bir e-posta hesabına göndermek için Graph çağrıları gibi gelen kutusu kuralları, kuruluşunuzdan bilgi sızdırma girişimi olabilir.
TP mi FP mi?
TP: Gelen kutusu kuralının bilinmeyen bir kaynaktan teslim edilen şüpheli kapsamlara sahip bir OAuth üçüncü taraf uygulaması tarafından oluşturulduğunu onaylayabilirseniz, gerçek bir pozitif gösterilir.
Önerilen eylem: Uygulamayı devre dışı bırakın ve kaldırın, parolayı sıfırlayın ve gelen kutusu kuralını kaldırın.
Microsoft Entra Id kullanarak parola sıfırlama öğreticisini izleyin ve gelen kutusu kuralını kaldırma öğreticisini izleyin.
FP: Uygulamanın geçerli nedenlerle yeni veya kişisel bir dış e-posta hesabına gelen kutusu kuralı oluşturduğunu onaylayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Uygulama tarafından yapılan tüm etkinlikleri gözden geçirin.
- Uygulama tarafından verilen kapsamları gözden geçirin.
- Uygulama tarafından oluşturulan gelen kutusu kuralı eylemini ve koşulunu gözden geçirin.
Sertifika güncelleştirmesinden sonra olağan dışı konumdan erişilen uygulama
Önem Derecesi: Düşük
MITRE Kimliği: T1098
Bu algılama, bir İş Kolu (LOB) uygulaması sertifikayı /gizli diziyi güncelleştirdiğinde bir uyarı tetikler ve sertifika güncelleştirmesinden sonra birkaç gün içinde uygulamaya son zamanlarda görülmemiş veya geçmişte hiç erişilen olağan dışı konumdan erişilir.
TP mi FP mi?
TP: LOB uygulamasının olağan dışı konumdan erişildiğini ve Graph API aracılığıyla olağan dışı etkinlikler gerçekleştirdiğini doğrulayabilirseniz.
Eylem önerin: Uygulamayı geçici olarak devre dışı bırakın, parolayı sıfırlayın ve ardından uygulamayı yeniden etkinleştirin.
FP: LOB uygulamasının olağan dışı konumdan meşru bir amaçla erişildiğini ve olağan dışı etkinlik gerçekleştirilmediğini doğrulayabilirseniz.
Önerilen Eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Bu uygulama tarafından gerçekleştirilen tüm etkinlikleri gözden geçirin.
- Uygulama tarafından verilen kapsamları gözden geçirin.
- Bu uygulamayla ilişkili kullanıcı etkinliğini gözden geçirin.
Olağan dışı konumdan erişilen uygulama, sertifika güncelleştirmesinden sonra anormal Graph çağrıları yaptı
Önem Derecesi: Orta
MITRE Kimliği: T1098
Bu algılama, bir İş Kolu (LOB) uygulaması sertifikayı /gizli diziyi güncelleştirdiğinde ve sertifika güncelleştirmesinden sonra birkaç gün içinde uygulamaya yakın zamanda görülmemiş veya geçmişte hiç erişilmeyen olağan dışı bir konumdan erişildiğinde ve Machine learning algoritması kullanılarak Graph API'sinden olağan dışı etkinlikleri veya kullanımı gözlemlediğinde bir uyarı tetikler.
TP mi FP mi?
TP: Olağan dışı etkinliklerin/kullanımın LOB uygulaması tarafından Graph API'sinden olağan dışı bir konumdan gerçekleştirildiğini doğrulayabilirsiniz.
Eylem önerin: Uygulamayı geçici olarak devre dışı bırakın, parolayı sıfırlayın ve ardından uygulamayı yeniden etkinleştirin.
FP: LOB uygulamasının olağan dışı konumdan meşru bir amaçla erişildiğini ve olağan dışı etkinlik gerçekleştirilmediğini doğrulayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Bu uygulama tarafından gerçekleştirilen tüm etkinlikleri gözden geçirin.
- Uygulama tarafından verilen kapsamları gözden geçirin.
- Bu uygulamayla ilişkili kullanıcı etkinliğini gözden geçirin.
Yakın zamanda oluşturulan uygulamanın yüksek miktarda iptal edilmiş onayı var
Önem Derecesi: Orta
MITRE Kimliği: T1566, T1098
Birkaç kullanıcı yakın zamanda oluşturulan bu iş kolu (LOB) veya üçüncü taraf uygulamasına onaylarını iptal etti. Bu uygulama, kullanıcıları istemeden onay vermeleri için cezbetmiş olabilir.
TP mi FP mi?
TP: OAuth uygulamasının bilinmeyen bir kaynaktan teslim edildiğini ve uygulama davranışının şüpheli olduğunu onaylayabilirseniz.
Önerilen Eylem: Uygulamaya verilen onayları iptal edin ve uygulamayı devre dışı bırakın.
FP: Araştırmadan sonra uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu ve uygulama tarafından olağan dışı bir etkinlik gerçekleştirilmediğini onaylayabilirsiniz.
Önerilen Eylem: Uyarıyı kapatma
İhlal kapsamını anlama
- Uygulama tarafından gerçekleştirilen tüm etkinlikleri gözden geçirin.
- Bir uygulamanın şüpheli olduğundan şüpheleniyorsanız, farklı uygulama mağazalarında uygulamanın adını ve yanıt etki alanını araştırmanızı öneririz. Uygulama mağazalarını denetlerken aşağıdaki uygulama türlerine odaklanın:
- Yakın zamanda oluşturulmuş uygulamalar
- Olağan dışı görünen ada sahip uygulamalar
- Şüpheli Yanıt etki alanına sahip uygulamalar
- Bir uygulamanın şüpheli olduğundan hala şüpheleniyorsanız uygulama görünen adını ve yanıt etki alanını araştırabilirsiniz.
Bilinen kimlik avı kampanyasıyla ilişkili uygulama meta verileri
Önem Derecesi: Orta
Bu algılama, daha önce kimlik avı kampanyasıyla ilişkili uygulamalarda gözlemlenen ad, URL veya yayımcı gibi meta verileri olan Microsoft OAuth dışı uygulamalar için uyarılar oluşturur. Bu uygulamalar aynı kampanyanın parçası olabilir ve hassas bilgilerin sızdırma işlemine dahil olabilir.
TP mi FP mi?
TP: OAuth uygulamasının bilinmeyen bir kaynaktan teslim edildiğini ve olağan dışı etkinlikler gerçekleştirdiğini onaylayabilirseniz.
Önerilen eylem:
- Uygulama idaresi hakkında uygulamanın kayıt ayrıntılarını araştırın ve daha fazla ayrıntı için Microsoft Entra Id adresini ziyaret edin.
- Uygulamaya onay veya izin veren kullanıcılara veya yöneticilere başvurun. Değişikliklerin kasıtlı olup olmadığını doğrulayın.
- Uygulama etkinliğini anlamak ve gözlemlenen davranışın beklenip beklenmediğini belirlemek için CloudAppEvents Gelişmiş tehdit avcılığı tablosunu arayın.
- Herhangi bir kapsama eylemini dikkate almadan önce uygulamanın kuruluşunuz için kritik olup olmadığını doğrulayın. Uygulamanın kaynaklara erişmesini önlemek için uygulama idaresini veya Microsoft Entra Id'yi kullanarak uygulamayı devre dışı bırakın. Mevcut uygulama idare ilkeleri uygulamayı zaten devre dışı bırakmış olabilir.
FP: Uygulama tarafından olağan dışı etkinliklerin gerçekleştirilmediğini ve uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu onaylayabilirseniz.
Önerilen Eylem: Uyarıyı kapatma
İhlal kapsamını anlama
- Uygulama tarafından gerçekleştirilen tüm etkinlikleri gözden geçirin.
- Uygulamaya verilen kapsamları gözden geçirin.
- Uygulamayla ilişkili kullanıcı etkinliğini gözden geçirin.
Önceden bayrak eklenmiş şüpheli uygulamalarla ilişkilendirilmiş uygulama meta verileri
Önem Derecesi: Orta
Bu algılama, şüpheli etkinlik nedeniyle uygulama idaresi tarafından bayrak eklenmiş uygulamalarda daha önce gözlemlenen ad, URL veya yayımcı gibi meta verileri olan Microsoft OAuth olmayan uygulamalar için uyarılar oluşturur. Bu uygulama bir saldırı kampanyasının parçası olabilir ve hassas bilgilerin sızdırma işlemine dahil olabilir.
TP mi FP mi?
TP: OAuth uygulamasının bilinmeyen bir kaynaktan teslim edildiğini ve olağan dışı etkinlikler gerçekleştirdiğini onaylayabilirseniz.
Önerilen eylem:
- Uygulama idaresi hakkında uygulamanın kayıt ayrıntılarını araştırın ve daha fazla ayrıntı için Microsoft Entra Id adresini ziyaret edin.
- Uygulamaya onay veya izin veren kullanıcılara veya yöneticilere başvurun. Değişikliklerin kasıtlı olup olmadığını doğrulayın.
- Uygulama etkinliğini anlamak ve gözlemlenen davranışın beklenip beklenmediğini belirlemek için CloudAppEvents Gelişmiş tehdit avcılığı tablosunu arayın.
- Herhangi bir kapsama eylemini dikkate almadan önce uygulamanın kuruluşunuz için kritik olup olmadığını doğrulayın. Uygulamanın kaynaklara erişmesini önlemek için uygulama idaresini veya Microsoft Entra Id'yi kullanarak uygulamayı devre dışı bırakın. Mevcut uygulama idare ilkeleri uygulamayı zaten devre dışı bırakmış olabilir.
FP: Uygulama tarafından olağan dışı etkinliklerin gerçekleştirilmediğini ve uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu onaylayabilirseniz.
Önerilen Eylem: Uyarıyı kapatma
İhlal kapsamını anlama
- Uygulama tarafından gerçekleştirilen tüm etkinlikleri gözden geçirin.
- Uygulamaya verilen kapsamları gözden geçirin.
- Uygulamayla ilişkili kullanıcı etkinliğini gözden geçirin.
Graph API aracılığıyla şüpheli OAuth uygulama e-posta etkinliği
Önem Derecesi: Yüksek
Bu algılama, yüksek riskli oturum açma riski olan kullanıcılar tarafından kaydedilen ve kısa bir süre içinde şüpheli e-posta etkinlikleri gerçekleştirmek üzere Microsoft Graph API'sine çağrılar yapan çok kiracılı OAuth uygulamaları için uyarılar oluşturur.
Bu algılama, API çağrılarının posta kutusu kuralı oluşturma, yanıt e-postası oluşturma, e-posta iletme, yanıtlama veya gönderilen yeni e-postalar için yapılıp yapılmadığını doğrular. Bu uyarıyı tetikleyen uygulamalar, diğer hedeflere etkin bir şekilde istenmeyen posta veya kötü amaçlı e-postalar gönderiyor ya da algılamayı önlemek için gizli verileri silip izlemeleri temizliyor olabilir.
TP mi FP mi?
TP: Uygulama oluşturma ve uygulamaya onay isteğinin bilinmeyen veya dış bir kaynaktan teslim edildiğini doğrulayabilirseniz ve uygulamanın kuruluşta meşru bir iş kullanımı yoksa, gerçek bir pozitif sonuç gösterilir.
Önerilen eylem:
Bunun kasıtlı olduğunu ve aşırı ayrıcalıkların normal olduğunu onaylamak için bu uygulamaya onay veren kullanıcılara ve yöneticilere başvurun.
Uygulama etkinliğini araştırın ve etkilenen hesapların şüpheli etkinlik olup olmadığını denetleyin.
Araştırmanıza bağlı olarak, uygulamayı devre dışı bırakın, etkilenen tüm hesaplar için parolaları askıya alın ve sıfırlayın ve gelen kutusu kuralını kaldırın.
Uyarıyı gerçek pozitif olarak sınıflandırın.
FP: Araştırmadan sonra uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu doğrulayabilirseniz hatalı pozitif sonuç belirtilir.
Önerilen eylem:
Uyarıyı hatalı pozitif olarak sınıflandırın ve uyarıyı araştırmanıza bağlı olarak geri bildirim paylaşmayı göz önünde bulundurun.
İhlal kapsamını anlama:
Kullanıcılar ve yöneticiler tarafından yapılan uygulamaya onay vermelerini gözden geçirin. Uygulama tarafından yapılan tüm etkinlikleri, özellikle ilişkili kullanıcıların ve yönetici hesaplarının posta kutusuna erişimi araştırın. Uygulamanın şüpheli olduğundan şüpheleniyorsanız, uygulamayı devre dışı bırakmayı ve etkilenen tüm hesapların kimlik bilgilerini döndürmeyi göz önünde bulundurun.
EWS API aracılığıyla şüpheli OAuth uygulama e-posta etkinliği
Önem Derecesi: Yüksek
Bu algılama, yüksek riskli oturum açma işlemine sahip kullanıcılar tarafından kaydedilen ve kısa bir süre içinde şüpheli e-posta etkinlikleri gerçekleştirmek üzere Microsoft Exchange Web Hizmetleri (EWS) API'sine çağrılar yapan çok kiracılı OAuth uygulamaları için uyarılar oluşturur.
Bu algılama, gelen kutusu kurallarını güncelleştirmek, öğeleri taşımak, e-postayı silmek, klasörü silmek veya eki silmek için API çağrılarının yapılıp yapılmadığını doğrular. Bu uyarıyı tetikleyen uygulamalar, algılamayı önlemek için gizli verileri etkin bir şekilde dışarı aktarıyor veya siliyor ve izleri temizliyor olabilir.
TP mi FP mi?
TP: Uygulama oluşturma ve uygulamaya onay isteğinin bilinmeyen veya dış bir kaynaktan teslim edildiğini doğrulayabilirseniz ve uygulamanın kuruluşta meşru bir iş kullanımı yoksa, gerçek bir pozitif sonuç gösterilir.
Önerilen eylem:
Bunun kasıtlı olduğunu ve aşırı ayrıcalıkların normal olduğunu onaylamak için bu uygulamaya onay veren kullanıcılara ve yöneticilere başvurun.
Uygulama etkinliğini araştırın ve etkilenen hesapların şüpheli etkinlik olup olmadığını denetleyin.
Araştırmanıza bağlı olarak, uygulamayı devre dışı bırakın, etkilenen tüm hesaplar için parolaları askıya alın ve sıfırlayın ve gelen kutusu kuralını kaldırın.
Uyarıyı gerçek pozitif olarak sınıflandırın.
FP: Araştırmadan sonra uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu doğrulayabilirsiniz, ardından hatalı pozitif sonuç gösterilir.
Önerilen Eylem:
Uyarıyı hatalı pozitif olarak sınıflandırın ve uyarıyı araştırmanıza bağlı olarak geri bildirim paylaşmayı göz önünde bulundurun.
İhlal kapsamını anlama:
Kullanıcılar ve yöneticiler tarafından yapılan uygulamaya onay vermelerini gözden geçirin. Uygulama tarafından yapılan tüm etkinlikleri, özellikle ilişkili kullanıcıların ve yönetici hesaplarının posta kutusuna erişimi araştırın. Uygulamanın şüpheli olduğundan şüpheleniyorsanız, uygulamayı devre dışı bırakmayı ve etkilenen tüm hesapların kimlik bilgilerini döndürmeyi göz önünde bulundurun.
Ayrıcalık yükseltme uyarıları
Şüpheli meta verileri olan OAuth uygulamasının Exchange izni var
Önem Derecesi: Orta
MITRE Kimliği: T1078
Bu uyarı, şüpheli meta verileri olan bir iş kolu uygulamasının Exchange üzerinde izinleri yönetme ayrıcalığına sahip olması durumunda tetikleniyor.
TP mi FP mi?
- TP: OAuth uygulamasının bilinmeyen bir kaynaktan teslim edildiğini doğrulayabiliyorsanız ve şüpheli meta veri özelliklerine sahipseniz, gerçek bir pozitif gösterilir.
Önerilen Eylem: Uygulamaya verilen onayları iptal edin ve uygulamayı devre dışı bırakın.
FP: Araştırmadan sonra uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu onaylayabilirsiniz.
Önerilen Eylem: Uyarıyı kapatma
İhlal kapsamını anlama
- Uygulama tarafından yapılan tüm etkinlikleri gözden geçirin.
- Uygulama tarafından verilen kapsamları gözden geçirin.
- Uygulamayla ilişkili kullanıcı etkinliğini gözden geçirin.
Savunma Kaçamak uyarıları
Microsoft logosuna bürünen uygulama
Önem Derecesi: Orta
Microsoft dışı bir bulut uygulaması, bir makine öğrenmesi algoritması tarafından Microsoft logosuna benzer şekilde bulunan bir logo kullanıyor. Bu, Microsoft yazılım ürünlerinin kimliğine bürünme ve meşru görünme girişimi olabilir.
Not
Kiracı yöneticilerinin, iş kolu uygulamalarında bu tehdit algılamayı etkinleştirmek üzere gerekli verilerin geçerli uyumluluk sınırının dışına gönderilmesini sağlamak ve Microsoft'taki iş ortağı ekiplerini seçmek için açılır pencere aracılığıyla onay vermesi gerekir.
TP mi FP mi?
TP: Uygulama logosunun bir Microsoft logosunun takliti olduğunu ve uygulama davranışının şüpheli olduğunu doğrulayabilirseniz.
Önerilen Eylem: Uygulamaya verilen onayları iptal edin ve uygulamayı devre dışı bırakın.
FP: Uygulama logosunun bir Microsoft logosu takliti olmadığını veya uygulama tarafından olağan dışı etkinlik gerçekleştirilmediğini doğrulayabilirseniz.
Önerilen Eylem: Uyarıyı kapatma
İhlal kapsamını anlama
- Uygulama tarafından gerçekleştirilen tüm etkinlikleri gözden geçirin.
- Uygulamaya verilen kapsamları gözden geçirin.
- Uygulamayla ilişkili kullanıcı etkinliğini gözden geçirin.
Uygulama, yazım hatası uygulanmış bir etki alanıyla ilişkilendirildi
Önem Derecesi: Orta
Bu algılama, microsoft marka adlarının yazım hatasına neden olan sürümlerini içeren yayımcı etki alanları veya yeniden yönlendirme URL'leri içeren Microsoft OAuth olmayan uygulamalar için uyarılar oluşturur. Typosquatting genellikle kullanıcıların yanlışlıkla URL'leri yanlış yazdıkları her durumda sitelere gelen trafiği yakalamak için kullanılır, ancak popüler yazılım ürünlerinin ve hizmetlerinin kimliğine bürünmek için de kullanılabilir.
TP mi FP mi?
TP: Uygulamanın yayımcı etki alanının veya yeniden yönlendirme URL'sinin yazım hatasıyla karşılandığını ve uygulamanın gerçek kimliğiyle ilgili olmadığını onaylayabilirseniz.
Önerilen eylem:
- Uygulama idaresi hakkında uygulamanın kayıt ayrıntılarını araştırın ve daha fazla ayrıntı için Microsoft Entra Id adresini ziyaret edin.
- Diğer kimlik sahtekarlık veya kimliğe bürünme işaretleri ve şüpheli etkinlikler için uygulamayı denetleyin.
- Herhangi bir kapsama eylemini dikkate almadan önce uygulamanın kuruluşunuz için kritik olup olmadığını doğrulayın. Uygulamanın kaynaklara erişmesini önlemek için uygulama idaresini kullanarak uygulamayı devre dışı bırakın. Mevcut uygulama idare ilkeleri uygulamayı zaten devre dışı bırakmış olabilir.
FP: Yayımcı etki alanının ve uygulamanın yeniden yönlendirme URL'sinin geçerli olduğunu onaylayabilirseniz.
Önerilen Eylem: Uyarıyı yanlış pozitif olarak sınıflandırın ve uyarıyı araştırmanıza göre geri bildirim paylaşmayı göz önünde bulundurun.
İhlal kapsamını anlama
- Uygulama tarafından gerçekleştirilen tüm etkinlikleri gözden geçirin.
- Uygulamaya verilen kapsamları gözden geçirin.
- Uygulamayla ilişkili kullanıcı etkinliğini gözden geçirin.
Kimlik bilgisi erişimi
Bu bölümde, kötü amaçlı bir aktörün hassas kimlik bilgileri verilerini okumaya çalışabileceğini belirten uyarılar açıklanır ve kuruluşunuzdaki hesap adları, gizli diziler, belirteçler, sertifikalar ve parolalar gibi kimlik bilgilerini çalmak için kullanılan tekniklerden oluşur.
Başarısız olan birden çok KeyVault okuma etkinliğini başlatan uygulama başarılı değil
Önem Derecesi: Orta
MITRE Kimliği: T1078.004
Bu algılama, kiracınızda Azure Resource Manager API'sini kullanarak kısa bir süre içinde KeyVault'a birden çok okuma eylemi çağrısı yaparken gözlemlenen bir uygulamayı tanımlar ve yalnızca hatalar ve hiçbir başarılı okuma etkinliği tamamlanmamıştır.
TP mi FP mi?
TP: Uygulama bilinmiyorsa veya kullanılmıyorsa, verilen etkinlik potansiyel olarak şüphelidir. Kullanılan Azure kaynağını doğruladıktan ve kiracıda uygulama kullanımını doğruladıktan sonra, verilen etkinlik uygulamanın devre dışı bırakılmasını gerektirebilir. Bu, genellikle yanal taşıma veya ayrıcalık yükseltme için kimlik bilgilerine erişim elde etmek için KeyVault kaynağına karşı şüpheli numaralandırma etkinliğinin kanıtıdır.
Önerilen eylemler: Uygulama tarafından erişilen veya oluşturulan Azure kaynaklarını ve uygulamada yapılan son değişiklikleri gözden geçirin. Araştırmanıza bağlı olarak, bu uygulamaya erişimi yasaklamak isteyip istemediğinizi seçin. Bu uygulama tarafından istenen izin düzeyini ve hangi kullanıcıların erişim izni verdiğini gözden geçirin.
FP: Araştırmadan sonra uygulamanın kuruluşta meşru iş kullanımına sahip olduğunu onaylayabilirsiniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Uygulamanın erişimini ve etkinliğini gözden geçirin.
- Uygulama oluşturulduktan sonra gerçekleştirilir tüm etkinlikleri gözden geçirin.
- Graph API'de uygulama tarafından verilen kapsamları ve aboneliğinizde bu uygulamaya verilen Rolü gözden geçirin.
- Etkinlik öncesinde uygulamaya erişmiş olabilecek tüm kullanıcıları gözden geçirin.
Bulma uyarıları
Uygulama tarafından gerçekleştirilen sürücü numaralandırması
Önem Derecesi: Orta
MITRE Kimliği: T1087
Bu algılama, Graph API'sini kullanarak OneDrive dosyalarında numaralandırma gerçekleştiren Machine Learning modeli tarafından algılanan bir OAuth uygulamasını tanımlar.
TP mi FP mi?
TP: OneDrive'a yönelik olağan dışı etkinliklerin/kullanımın Graph API aracılığıyla LOB uygulaması tarafından gerçekleştirildiğini doğrulayabilirsiniz.
Önerilen eylem: Uygulamayı devre dışı bırakın ve kaldırın ve parolayı sıfırlayın.
FP: Uygulama tarafından olağan dışı etkinliklerin gerçekleştirilmediğini doğrulayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Bu uygulama tarafından gerçekleştirilen tüm etkinlikleri gözden geçirin.
- Uygulama tarafından verilen kapsamları gözden geçirin.
- Bu uygulamayla ilişkili kullanıcı etkinliğini gözden geçirin.
Microsoft Graph PowerShell kullanılarak gerçekleştirilen şüpheli numaralandırma etkinlikleri
Önem Derecesi: Orta
MITRE Kimliği: T1087
Bu algılama, bir Microsoft Graph PowerShell uygulaması aracılığıyla kısa bir süre içinde gerçekleştirilen çok sayıda şüpheli numaralandırma etkinliğini tanımlar.
TP mi FP mi?
TP: Şüpheli/olağan dışı numaralandırma etkinliklerinin Microsoft Graph PowerShell uygulaması tarafından gerçekleştirildiğini onaylayabilirseniz.
Önerilen eylem: Uygulamayı devre dışı bırakın ve kaldırın ve parolayı sıfırlayın.
FP: Uygulama tarafından olağan dışı etkinlik gerçekleştirilmediğini doğrulayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Bu uygulama tarafından gerçekleştirilen tüm etkinlikleri gözden geçirin.
- Bu uygulamayla ilişkili kullanıcı etkinliğini gözden geçirin.
Son oluşturulan çok kiracılı uygulama, kullanıcı bilgilerini sık sık numaralandırır
Önem Derecesi: Orta
MITRE Kimliği: T1087
Bu uyarı, posta kutusu ayarlarını değiştirme ve e-postalara erişme izinlerine sahip nispeten yeni bir yayımcı kiracısında yakın zamanda kaydedilen OAuth uygulamalarını bulur. Uygulamanın kullanıcı dizini bilgilerini isteyen Microsoft Graph API'sine çok sayıda çağrı yapıp yapmadığını doğrular. Bu uyarıyı tetikleyen uygulamalar, kuruluş verilerine erişebilmeleri için kullanıcıları onay verme konusunda uyarıyor olabilir.
TP mi FP mi?
TP: Uygulamaya yönelik onay isteğinin bilinmeyen veya dış bir kaynaktan teslim edildiğini doğrulayabilirseniz ve uygulamanın kuruluşta meşru bir iş kullanımı yoksa, gerçek bir pozitif belirtilir.
Önerilen eylem:
- Bunun kasıtlı olduğunu ve aşırı ayrıcalıkların normal olduğunu onaylamak için bu uygulamaya onay veren kullanıcılara ve yöneticilere başvurun.
- Uygulama etkinliğini araştırın ve etkilenen hesapların şüpheli etkinlik olup olmadığını denetleyin.
- Araştırmanıza bağlı olarak, uygulamayı devre dışı bırakın ve etkilenen tüm hesaplar için parolaları askıya alın ve sıfırlayın.
- Uyarıyı gerçek pozitif olarak sınıflandırın.
FP: Araştırmadan sonra uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu doğrulayabilirsiniz, ardından hatalı pozitif sonuç gösterilir.
Önerilen Eylem: Uyarıyı yanlış pozitif olarak sınıflandırın ve uyarıyı araştırmanıza göre geri bildirim paylaşmayı göz önünde bulundurun.
İhlal kapsamını anlama
Kullanıcılar ve yöneticiler tarafından yapılan uygulamaya onay vermelerini gözden geçirin. Uygulama tarafından yapılan tüm etkinlikleri, özellikle de kullanıcı dizini bilgilerinin numaralandırmasını araştırın. Uygulamanın şüpheli olduğundan şüpheleniyorsanız, uygulamayı devre dışı bırakmayı ve etkilenen tüm hesapların kimlik bilgilerini döndürmeyi göz önünde bulundurun.
Sızdırma uyarıları
Bu bölümde, kötü amaçlı bir aktörün kuruluşunuzdan hedefleriyle ilgili verileri çalmaya çalışabileceğini belirten uyarılar açıklanmaktadır.
Olağan dışı kullanıcı aracısı kullanan OAuth Uygulaması
Önem Derecesi: Düşük
MITRE Kimliği: T1567
Bu algılama, Graph API'sine erişmek için olağan dışı bir kullanıcı aracısı kullanan bir OAuth uygulamasını tanımlar.
TP mi FP mi?
TP: OAuth uygulamasının yakın zamanda daha önce kullanılmayan yeni bir kullanıcı aracısı kullanmaya başladığını ve bu değişikliğin beklenmeyen olduğunu doğrulayabilirseniz, gerçek bir pozitif belirtilir.
Önerilen eylemler: Kullanılan kullanıcı aracılarını ve uygulamada yapılan son değişiklikleri gözden geçirin. Araştırmanıza bağlı olarak bu uygulamaya erişimi yasaklayabilirsiniz. Bu uygulama tarafından istenen izin düzeyini ve hangi kullanıcıların erişim izni verdiğini gözden geçirin.
FP: Araştırmadan sonra uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu onaylayabilirsiniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Yakın zamanda oluşturulan uygulamaları ve kullanılan kullanıcı aracılarını gözden geçirin.
- Uygulama tarafından yapılan tüm etkinlikleri gözden geçirin.
- Uygulama tarafından verilen kapsamları gözden geçirin.
Alışılmışın dışında bir kullanıcı aracısının Exchange Web Services aracılığıyla e-posta verilerine erişmiş olduğu uygulama
Önem Derecesi: Yüksek
MITRE KIMLIĞI: T1114, T1567
Bu algılama, Exchange Web hizmetleri API'sini kullanarak e-posta verilerine erişmek için olağan dışı bir kullanıcı aracısı kullanan bir OAuth uygulamasını tanımlar.
TP mi FP mi?
TP: OAuth uygulamasının Exchange Web Services API'sine istekte bulunmak için kullandığı kullanıcı aracısını değiştirmesinin beklenmediğini doğrulayabilirseniz, gerçek bir pozitif gösterilir.
Önerilen eylemler: Uyarıyı TP olarak sınıflandırın. Araştırmaya bağlı olarak, uygulama kötü amaçlıysa onayları iptal edebilir ve uygulamayı kiracıda devre dışı bırakabilirsiniz. Güvenliği aşılmış bir uygulamaysa onayları iptal edebilir, uygulamayı geçici olarak devre dışı bırakabilir, izinleri gözden geçirebilir, gizli diziyi ve sertifikayı sıfırlayabilir ve ardından uygulamayı yeniden etkinleştirebilirsiniz.
FP: Araştırmadan sonra uygulama tarafından kullanılan kullanıcı aracısının kuruluşta meşru bir iş kullanımına sahip olduğunu onaylayabilirsiniz.
Önerilen eylem: Uyarıyı FP olarak sınıflandırın. Ayrıca, uyarıyla ilgili araştırmanıza bağlı olarak geri bildirim paylaşmayı da göz önünde bulundurun.
İhlal kapsamını anlama
- Uygulamanın yeni oluşturulup oluşturulmadığını veya uygulamada yeni değişiklikler yapılıp yapılmadığını gözden geçirin.
- Uygulamaya verilen izinleri ve uygulamaya onay veren kullanıcıları gözden geçirin.
- Uygulama tarafından yapılan tüm etkinlikleri gözden geçirin.
Yanal hareket uyarıları
Bu bölümde, kuruluşunuzda daha fazla denetim elde etmek için birden çok sistem ve hesapta özetleme yaparken kötü amaçlı bir aktörün farklı kaynaklar içinde hareket etmeye çalışabileceğini belirten uyarılar açıklanmaktadır.
Son zamanlarda ARM iş yüklerine eriştiği görülen, ağırlıklı olarak MS Graph veya Exchange Web Services kullanan Etkin OAuth Uygulaması
Önem Derecesi: Orta
MITRE Kimliği: T1078.004
Bu algılama, kiracınızda uzun süre boyunca uykuda olmayan bir etkinlik sonrasında Azure Resource Manager API'sine ilk kez erişmeye başlayan bir uygulamayı tanımlar. Daha önce bu uygulama çoğunlukla MS Graph veya Exchange Web Hizmeti kullanıyordu.
TP mi FP mi?
TP: Uygulama bilinmiyorsa veya kullanılmıyorsa, belirtilen etkinlik potansiyel olarak şüphelidir ve kullanılmakta olan Azure kaynağını doğruladıktan ve kiracıdaki uygulama kullanımını doğruladıktan sonra uygulamanın devre dışı bırakılması gerekebilir.
Önerilen eylemler:
- Uygulama tarafından erişilen veya oluşturulan Azure kaynaklarını ve uygulamada yapılan son değişiklikleri gözden geçirin.
- Bu uygulama tarafından istenen izin düzeyini ve hangi kullanıcıların erişim izni verdiğini gözden geçirin.
- Araştırmanıza bağlı olarak, bu uygulamaya erişimi yasaklamak isteyip istemediğinizi seçin.
FP: Araştırmadan sonra uygulamanın kuruluşta meşru iş kullanımına sahip olduğunu onaylayabilirsiniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Uygulamanın erişimini ve etkinliğini gözden geçirin.
- Uygulama oluşturulduktan sonra gerçekleştirilir tüm etkinlikleri gözden geçirin.
- Graph API'de uygulama tarafından verilen kapsamları ve aboneliğinizde bu uygulamaya verilen Rolü gözden geçirin.
- Etkinlik öncesinde uygulamaya erişmiş olabilecek tüm kullanıcıları gözden geçirin.
Toplama uyarıları
Bu bölümde, kötü amaçlı bir aktörün kuruluşunuzdan hedefleriyle ilgili verileri toplamaya çalışabileceğini belirten uyarılar açıklanmaktadır.
Uygulama olağan dışı e-posta arama etkinlikleri yaptı
Önem Derecesi: Orta
MITRE Kimliği: T1114
Bu algılama, bir uygulamanın şüpheli OAuth kapsamına ne zaman onay verdiğinizi ve Graph API aracılığıyla belirli bir içerik için e-posta araması gibi yüksek hacimli olağan dışı e-posta arama etkinlikleri yaptığını tanımlar. Bu durum, Graph API aracılığıyla kuruluşunuzdan belirli e-postaları aramaya ve okumaya çalışan saldırganlar gibi kuruluşunuzun ihlal girişimini gösterebilir.
TP mi FP mi?
TP: Şüpheli OAuth kapsamına sahip bir OAuth uygulaması tarafından Graph API'sinde çok fazla sayıda olağan dışı e-posta araması ve okuma etkinliğini onaylayabilir ve uygulamanın bilinmeyen kaynaktan teslim edildiğini onaylayabilirsiniz.
Önerilen eylemler: Uygulamayı devre dışı bırakın ve kaldırın, parolayı sıfırlayın ve gelen kutusu kuralını kaldırın.
FP: Uygulamanın yüksek hacimli olağan dışı e-posta araması gerçekleştirdiğini doğrulayabilir ve geçerli nedenlerle Graph API'sini okuyabilirsiniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Uygulama tarafından verilen kapsamları gözden geçirin.
- Uygulama tarafından yapılan tüm etkinlikleri gözden geçirin.
Uygulama, e-posta okumak için anormal Graf çağrıları yaptı
Önem Derecesi: Orta
MITRE Kimliği: T1114
Bu algılama, İş Kolu (LOB) OAuth Uygulamasının Graph API aracılığıyla olağan dışı ve yüksek hacimli bir kullanıcı posta klasörlerine ve iletilerine eriştiğinde bunu tanımlar ve bu durum kuruluşunuzun ihlal girişimine işaret edebilir.
TP mi FP mi?
TP: Olağan dışı graf etkinliğinin İş Kolu (LOB) OAuth Uygulaması tarafından gerçekleştirildiğini doğrulayabilirseniz, gerçek bir pozitif gösterilir.
Önerilen eylemler: Uygulamayı geçici olarak devre dışı bırakın, parolayı sıfırlayın ve ardından uygulamayı yeniden etkinleştirin. Microsoft Entra Id kullanarak parola sıfırlama öğreticisini izleyin.
FP: Uygulamanın olağan dışı derecede yüksek hacimli grafik çağrıları yapmayı hedeflediğini onaylayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- E-postaları okumak ve kullanıcıların hassas e-posta bilgilerini toplamaya çalışmak için diğer Graph etkinliklerini daha iyi anlamak için bu uygulama tarafından gerçekleştirilen olayların etkinlik günlüğünü gözden geçirin.
- Uygulamaya beklenmeyen kimlik bilgilerinin eklenmesini izleyin.
Uygulama gelen kutusu kuralı oluşturur ve olağan dışı e-posta arama etkinlikleri yaptı
Önem Derecesi: Orta
MITRE Kimlikleri: T1137, T1114
Bu algılama, Yüksek ayrıcalıklı kapsama onaylanan Uygulamayı tanımlar, şüpheli gelen kutusu kuralı oluşturur ve Graph API aracılığıyla kullanıcıların posta klasörlerinde olağan dışı e-posta arama etkinlikleri oluşturur. Bu durum, Graph API aracılığıyla kuruluşunuzdan belirli e-postaları aramaya ve toplamaya çalışan saldırganlar gibi kuruluşunuzun ihlal girişimini gösterebilir.
TP mi FP mi?
TP: Yüksek ayrıcalık kapsamına sahip bir OAuth uygulaması tarafından Graph API aracılığıyla yapılan belirli e-posta aramalarını ve koleksiyonlarını onaylıyorsanız ve uygulama bilinmeyen kaynaktan teslim edilir.
Önerilen eylem: Uygulamayı devre dışı bırakın ve kaldırın, parolayı sıfırlayın ve gelen kutusu kuralını kaldırın.
FP: Uygulamanın Graph API aracılığıyla belirli bir e-posta araması ve toplaması gerçekleştirdiğini ve geçerli nedenlerle yeni veya kişisel bir dış e-posta hesabına gelen kutusu kuralı oluşturduğunu onaylıyorsanız.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Uygulama tarafından yapılan tüm etkinlikleri gözden geçirin.
- Uygulama tarafından verilen kapsamları gözden geçirin.
- Uygulama tarafından oluşturulan tüm gelen kutusu kuralı eylemlerini gözden geçirin.
- Uygulama tarafından yapılan tüm e-posta arama etkinliklerini gözden geçirin.
Uygulama, OneDrive / SharePoint arama etkinlikleri yaptı ve gelen kutusu kuralı oluşturdu
Önem Derecesi: Orta
MITRE Kimliği: T1137, T1213
Bu algılama, bir Uygulamanın yüksek ayrıcalık kapsamını kabul ettiğini, şüpheli bir gelen kutusu kuralı oluşturduğunu ve Graph API aracılığıyla olağan dışı SharePoint veya OneDrive arama etkinlikleri yaptığını tanımlar. Bu durum, Graph API aracılığıyla SharePoint veya OneDrive'dan belirli verileri aramaya ve toplamaya çalışan saldırganlar gibi kuruluşunuzun ihlal girişimini gösterebilir.
TP mi FP mi?
TP: Yüksek ayrıcalık kapsamına sahip bir OAuth uygulaması tarafından Graph API aracılığıyla yapılan SharePoint veya OneDrive arama ve koleksiyonundan belirli verileri onaylıyorsanız ve uygulama bilinmeyen kaynaktan teslim edilir.
Önerilen Eylem: Uygulamayı devre dışı bırakın ve kaldırın, parolayı sıfırlayın ve gelen kutusu kuralını kaldırın.
FP: Uygulamanın OAuth uygulaması tarafından Graph API aracılığıyla SharePoint veya OneDrive arama ve koleksiyonundan belirli veriler gerçekleştirdiğini ve geçerli nedenlerle yeni veya kişisel bir dış e-posta hesabına gelen kutusu kuralı oluşturduğunu onaylıyorsanız.
Önerilen Eylem: Uyarıyı kapatma
İhlal kapsamını anlama
- Uygulama tarafından yapılan tüm etkinlikleri gözden geçirin.
- Uygulama tarafından verilen kapsamları gözden geçirin.
- Uygulama tarafından oluşturulan tüm gelen kutusu kuralı eylemlerini gözden geçirin.
- Uygulama tarafından yapılan tüm SharePoint veya OneDrive arama etkinliklerini gözden geçirin.
Uygulama OneDrive'da çok sayıda arama ve düzenleme yaptı
Önem Derecesi: Orta
MITRE Kimlikleri: T1137, T1213
Bu algılama, Graph API'sini kullanarak OneDrive'da çok sayıda arama ve düzenleme gerçekleştiren yüksek ayrıcalıklı izinlere sahip OAuth uygulamalarını tanımlar.
TP mi FP mi?
TP: Yüksek ayrıcalıklı onedrive okuma ve OneDrive'a yazma izinlerine sahip olan bu OAuth uygulamasından Graph API aracılığıyla OneDrive iş yükünün yüksek kullanımının beklenmediğini doğrulayabilirseniz, gerçek bir pozitif sonuç gösterilir.
Önerilen Eylem: Araştırmaya bağlı olarak, uygulama kötü amaçlıysa onayları iptal edebilir ve kiracıda uygulamayı devre dışı bırakabilirsiniz. Güvenliği aşılmış bir uygulamaysa onayları iptal edebilir, uygulamayı geçici olarak devre dışı bırakabilir, gerekli izinleri gözden geçirebilir, parolayı sıfırlayabilir ve ardından uygulamayı yeniden etkinleştirebilirsiniz.
FP: Araştırmadan sonra uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu onaylayabilirsiniz.
Önerilen Eylem: Uyarıyı çözün ve bulgularınızı bildirin.
İhlal kapsamını anlama
- Uygulamanın güvenilir bir kaynaktan olup olmadığını doğrulayın.
- Uygulamanın yeni oluşturulup oluşturulmadığını veya uygulamada yeni değişiklikler yapılıp yapılmadığını doğrulayın.
- Uygulamaya verilen izinleri ve uygulamaya onay veren kullanıcıları gözden geçirin.
- Diğer tüm uygulama etkinliklerini araştırın.
Uygulama önemli posta okuma ve oluşturma gelen kutusu kuralı yüksek hacimli yaptı
Önem Derecesi: Orta
MITRE Kimlikleri: T1137, T1114
Bu algılama, bir Uygulamanın yüksek ayrıcalık kapsamını kabul ettiğini, şüpheli gelen kutusu kuralı oluşturduğunu ve Graph API aracılığıyla yüksek hacimli önemli posta okuma etkinlikleri yaptığını tanımlar. Bu durum, Graph API aracılığıyla kuruluşunuzdan yüksek öneme sahip e-postaları okumaya çalışan saldırganlar gibi kuruluşunuzun ihlal girişimini gösterebilir.
TP mi FP mi?
TP: Yüksek ayrıcalık kapsamına sahip bir OAuth uygulaması tarafından Graph API'sinde yüksek hacimli önemli e-postaların okunduğunu doğrulayabilirseniz ve uygulama bilinmeyen kaynaktan teslim edilir.
Önerilen Eylem: Uygulamayı devre dışı bırakın ve kaldırın, parolayı sıfırlayın ve gelen kutusu kuralını kaldırın.
FP: Uygulamanın Graph API aracılığıyla okunan ve geçerli nedenlerle yeni veya kişisel bir dış e-posta hesabına gelen kutusu kuralı oluşturduğunu doğrulayabilirseniz.
Önerilen Eylem: Uyarıyı kapatma
İhlal kapsamını anlama
- Uygulama tarafından yapılan tüm etkinlikleri gözden geçirin.
- Uygulama tarafından verilen kapsamları gözden geçirin.
- Uygulama tarafından oluşturulan tüm gelen kutusu kuralı eylemlerini gözden geçirin.
- Uygulama tarafından yapılan yüksek öneme sahip e-posta okuma etkinliklerini gözden geçirin.
Ayrıcalıklı uygulama Teams'de olağan dışı etkinlikler gerçekleştirdi
Önem Derecesi: Orta
Bu algılama, Microsoft Teams'e erişen ve Graph API aracılığıyla olağan dışı bir okuma veya gönderi sohbeti etkinliği gerçekleştiren yüksek ayrıcalıklı OAuth kapsamlarına onay veren uygulamaları tanımlar. Bu durum, Graph API aracılığıyla kuruluşunuzdan bilgi toplamaya çalışan saldırganlar gibi kuruluşunuzun ihlal girişimini gösterebilir.
TP mi FP mi?
TP: Yüksek ayrıcalık kapsamına sahip bir OAuth uygulaması tarafından Graph API aracılığıyla Microsoft Teams'deki olağan dışı sohbet iletisi etkinliklerinin doğrulanıyorsa ve uygulama bilinmeyen bir kaynaktan teslim edilir.
Önerilen Eylem: Uygulamayı devre dışı bırakın ve kaldırın ve parolayı sıfırlayın
FP: Graph API aracılığıyla Microsoft Teams'de gerçekleştirilen olağan dışı etkinliklerin geçerli nedenlerden kaynaklandığını doğrulayabilirseniz.
Önerilen Eylem: Uyarıyı kapatma
İhlal kapsamını anlama
- Uygulama tarafından verilen kapsamları gözden geçirin.
- Uygulama tarafından yapılan tüm etkinlikleri gözden geçirin.
- Uygulamayla ilişkili kullanıcı etkinliğini gözden geçirin.
Yeni kimlik bilgilerini güncelleştiren veya ekleyen uygulamaya göre anormal OneDrive etkinliği
Önem Derecesi: Orta
MITRE Kimlikleri: T1098.001, T1213
Microsoft dışı bir bulut uygulaması, yüksek hacimli veri kullanımı dahil olmak üzere OneDrive'a anormal Graph API çağrıları yaptı. Makine öğrenmesi tarafından algılanan bu olağan dışı API çağrıları, uygulamanın yeni veya güncelleştirilmiş mevcut sertifikaları/gizli dizileri eklemesinin ardından birkaç gün içinde yapıldı. Bu uygulama, veri sızdırmaya veya hassas bilgilere erişmeye ve almaya yönelik diğer girişimlere dahil olabilir.
TP mi FP mi?
TP: OneDrive iş yükünün yüksek hacimli kullanımı gibi olağan dışı etkinliklerin uygulama tarafından Graph API aracılığıyla gerçekleştirildiğini doğrulayabilirseniz.
Önerilen Eylem: Uygulamayı geçici olarak devre dışı bırakın, parolayı sıfırlayın ve ardından uygulamayı yeniden etkinleştirin.
FP: Uygulama tarafından olağan dışı etkinlik gerçekleştirilmediğini veya uygulamanın olağan dışı derecede yüksek hacimli Graph çağrıları yapmayı hedeflediğini doğrulayabilirseniz.
Önerilen Eylem: Uyarıyı kapatma
İhlal kapsamını anlama
- Uygulama tarafından gerçekleştirilen tüm etkinlikleri gözden geçirin.
- Uygulama tarafından verilen kapsamları gözden geçirin.
- Uygulamayla ilişkili kullanıcı etkinliğini gözden geçirin.
Yeni kimlik bilgilerini güncelleştiren veya ekleyen uygulamaya göre anormal SharePoint etkinliği
Önem Derecesi: Orta
MITRE Kimlikleri: T1098.001, T1213.002
Microsoft dışı bir bulut uygulaması, yüksek hacimli veri kullanımı da dahil olmak üzere SharePoint'e anormal Graph API çağrıları yaptı. Makine öğrenmesi tarafından algılanan bu olağan dışı API çağrıları, uygulamanın yeni veya güncelleştirilmiş mevcut sertifikaları/gizli dizileri eklemesinin ardından birkaç gün içinde yapıldı. Bu uygulama, veri sızdırmaya veya hassas bilgilere erişmeye ve almaya yönelik diğer girişimlere dahil olabilir.
TP mi FP mi?
TP: SharePoint iş yükünün yüksek hacimli kullanımı gibi olağan dışı etkinliklerin Uygulama tarafından Graph API aracılığıyla gerçekleştirildiğini doğrulayabilirsiniz.
Önerilen Eylem: Uygulamayı geçici olarak devre dışı bırakın, parolayı sıfırlayın ve ardından uygulamayı yeniden etkinleştirin.
FP: Uygulama tarafından olağan dışı etkinlik gerçekleştirilmediğini veya uygulamanın olağan dışı derecede yüksek hacimli Graph çağrıları yapmayı hedeflediğini doğrulayabilirseniz.
Önerilen Eylem: Uyarıyı kapatma
İhlal kapsamını anlama
- Uygulama tarafından gerçekleştirilen tüm etkinlikleri gözden geçirin.
- Uygulama tarafından verilen kapsamları gözden geçirin.
- Uygulamayla ilişkili kullanıcı etkinliğini gözden geçirin.
Şüpheli postayla ilgili etkinlikle ilişkili uygulama meta verileri
Önem Derecesi: Orta
MITRE Kimlikleri: T1114
Bu algılama, daha önce şüpheli postayla ilgili etkinliği olan uygulamalarda gözlemlenen ad, URL veya yayımcı gibi meta verileri olan Microsoft OAuth olmayan uygulamalar için uyarılar oluşturur. Bu uygulama bir saldırı kampanyasının parçası olabilir ve hassas bilgilerin sızdırma işlemine dahil olabilir.
TP mi FP mi?
TP: Uygulamanın posta kutusu kuralları oluşturduğunu veya Exchange iş yüküne çok sayıda olağan dışı Graph API çağrısı yaptığını onaylayabilirseniz.
Önerilen eylem:
- Uygulama idaresi hakkında uygulamanın kayıt ayrıntılarını araştırın ve daha fazla ayrıntı için Microsoft Entra Id adresini ziyaret edin.
- Uygulamaya onay veya izin veren kullanıcılara veya yöneticilere başvurun. Değişikliklerin kasıtlı olup olmadığını doğrulayın.
- Uygulama etkinliğini anlamak ve uygulama tarafından erişilen verileri tanımlamak için CloudAppEvents Gelişmiş tehdit avcılığı tablosunu arayın. Etkilenen posta kutularını denetleyin ve uygulamanın kendisi veya oluşturduğu kurallar tarafından okunmuş veya iletilmiş olabilecek iletileri gözden geçirin.
- Herhangi bir kapsama eylemini dikkate almadan önce uygulamanın kuruluşunuz için kritik olup olmadığını doğrulayın. Uygulamanın kaynaklara erişmesini önlemek için uygulama idaresini veya Microsoft Entra Id'yi kullanarak uygulamayı devre dışı bırakın. Mevcut uygulama idare ilkeleri uygulamayı zaten devre dışı bırakmış olabilir.
FP: Uygulama tarafından olağan dışı etkinliklerin gerçekleştirilmediğini ve uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu onaylayabilirseniz.
Önerilen Eylem: Uyarıyı kapatma
İhlal kapsamını anlama
- Uygulama tarafından gerçekleştirilen tüm etkinlikleri gözden geçirin.
- Uygulamaya verilen kapsamları gözden geçirin.
- Uygulamayla ilişkili kullanıcı etkinliğini gözden geçirin.
Çok sayıda e-postaya erişen EWS uygulama izinlerine sahip uygulama
Önem Derecesi: Orta
MITRE Kimlikleri: T1114
Bu algılama, e-posta numaralandırmasına ve koleksiyonuna özgü Exchange Web Hizmetleri API'sine yönelik çağrılarda önemli bir artış gösteren EWS uygulama izinlerine sahip çok kiracılı bulut uygulamaları için uyarılar oluşturur. Bu uygulama, hassas e-posta verilerine erişme ve bunları alma işlemine dahil olabilir.
TP mi FP mi?
TP: Uygulamanın hassas e-posta verilerine erişip erişmediğini veya Exchange iş yüküne çok sayıda olağan dışı çağrı yaptığını onaylayabilirseniz.
Önerilen eylem:
- Uygulama idaresi hakkında uygulamanın kayıt ayrıntılarını araştırın ve daha fazla ayrıntı için Microsoft Entra Id adresini ziyaret edin.
- Uygulamaya onay veya izin veren kullanıcılara veya yöneticilere başvurun. Değişikliklerin kasıtlı olup olmadığını doğrulayın.
- Uygulama etkinliğini anlamak ve uygulama tarafından erişilen verileri tanımlamak için CloudAppEvents Gelişmiş tehdit avcılığı tablosunu arayın. Etkilenen posta kutularını denetleyin ve uygulamanın kendisi veya oluşturduğu kurallar tarafından okunmuş veya iletilmiş olabilecek iletileri gözden geçirin.
- Herhangi bir kapsama eylemini dikkate almadan önce uygulamanın kuruluşunuz için kritik olup olmadığını doğrulayın. Uygulamanın kaynaklara erişmesini önlemek için uygulama idaresini veya Microsoft Entra Id'yi kullanarak uygulamayı devre dışı bırakın. Mevcut uygulama idare ilkeleri uygulamayı zaten devre dışı bırakmış olabilir.
FP: Uygulama tarafından olağan dışı etkinliklerin gerçekleştirilmediğini ve uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu onaylayabilirseniz.
Önerilen Eylem: Uyarıyı kapatma
İhlal kapsamını anlama
- Uygulama tarafından gerçekleştirilen tüm etkinlikleri gözden geçirin.
- Uygulamaya verilen kapsamları gözden geçirin.
- Uygulamayla ilişkili kullanıcı etkinliğini gözden geçirin.
Kullanılmayan uygulama yeni API'lere erişiyor
Önem Derecesi: Orta
MITRE Kimlikleri: T1530
Bu algılama, bir süredir etkin olmayan ve yakın zamanda API çağrıları yapmaya başlayan çok kiracılı bir bulut uygulaması için uyarılar oluşturur. Bu uygulama bir saldırgan tarafından ele geçirilebilir ve hassas verilere erişmek ve bunları almak için kullanılıyor olabilir.
TP mi FP mi?
TP: Uygulamanın hassas verilere erişip erişmediğini veya Microsoft Graph, Exchange veya Azure Resource Manager iş yüklerine çok sayıda olağan dışı çağrı yaptığını doğrulayabilirseniz.
Önerilen eylem:
- Uygulama idaresi hakkında uygulamanın kayıt ayrıntılarını araştırın ve daha fazla ayrıntı için Microsoft Entra Id adresini ziyaret edin.
- Uygulamaya onay veya izin veren kullanıcılara veya yöneticilere başvurun. Değişikliklerin kasıtlı olup olmadığını doğrulayın.
- Uygulama etkinliğini anlamak ve uygulama tarafından erişilen verileri tanımlamak için CloudAppEvents Gelişmiş tehdit avcılığı tablosunu arayın. Etkilenen posta kutularını denetleyin ve uygulamanın kendisi veya oluşturduğu kurallar tarafından okunmuş veya iletilmiş olabilecek iletileri gözden geçirin.
- Herhangi bir kapsama eylemini dikkate almadan önce uygulamanın kuruluşunuz için kritik olup olmadığını doğrulayın. Uygulamanın kaynaklara erişmesini önlemek için uygulama idaresini veya Microsoft Entra Id'yi kullanarak uygulamayı devre dışı bırakın. Mevcut uygulama idare ilkeleri uygulamayı zaten devre dışı bırakmış olabilir.
FP: Uygulama tarafından olağan dışı etkinliklerin gerçekleştirilmediğini ve uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu onaylayabilirseniz.
Önerilen Eylem: Uyarıyı kapatma
İhlal kapsamını anlama
- Uygulama tarafından gerçekleştirilen tüm etkinlikleri gözden geçirin.
- Uygulamaya verilen kapsamları gözden geçirin.
- Uygulamayla ilişkili kullanıcı etkinliğini gözden geçirin.
Etki uyarıları
Bu bölümde, kötü amaçlı bir aktörün sistemlerinizi ve kuruluşunuzdan gelen verileri işlemeye, kesintiye uğratmaya veya yok etmeye çalışabileceğini belirten uyarılar açıklanmaktadır.
Sanal makine oluşturmada anormal bir ani artış başlatan İş Kolu uygulamasının entra'sı
Önem Derecesi: Orta
MITRE Kimliği: T1496
Bu algılama, Azure Resource Manager API'sini kullanarak kiracınızda Azure Sanal Makineler toplu oluşturan tek bir kiracı yeni OAuth uygulamasını tanımlar.
TP mi FP mi?
TP: OAuth uygulamasının yakın zamanda oluşturulduğunu ve kiracınızda çok sayıda Sanal Makineler oluşturduğunu doğrulayabilirseniz, gerçek bir pozitif değeri gösterilir.
Önerilen eylemler: Oluşturulan sanal makineleri ve uygulamada yapılan son değişiklikleri gözden geçirin. Araştırmanıza bağlı olarak bu uygulamaya erişimi yasaklayabilirsiniz. Bu uygulama tarafından istenen izin düzeyini ve hangi kullanıcıların erişim izni verdiğini gözden geçirin.
FP: Araştırmadan sonra uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu onaylayabilirsiniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama:
- Yakın zamanda oluşturulan uygulamaları ve oluşturulan VM'leri gözden geçirin.
- Uygulama oluşturulduktan sonra gerçekleştirilir tüm etkinlikleri gözden geçirin.
- Graph API'sinde uygulama tarafından verilen kapsamları ve aboneliğinizde verilen rolü gözden geçirin.
Microsoft Graph'ta yüksek kapsam ayrıcalıklarına sahip OAuth uygulamasının sanal makine oluşturma işlemi başlatıldığı gözlemlendi
Önem Derecesi: Orta
MITRE Kimliği: T1496
Bu algılama, etkinlik öncesinde MS Graph API aracılığıyla kiracıda yüksek ayrıcalığı varken Azure Resource Manager API'sini kullanarak kiracınızda azure Sanal Makineler toplu oluşturan OAuth uygulamasını tanımlar.
TP mi FP mi?
TP: Yüksek ayrıcalık kapsamlarına sahip OAuth uygulamasının oluşturulduğunu ve kiracınızda çok sayıda Sanal Makineler oluşturduğunu doğrulayabilirseniz, gerçek bir pozitif gösterilir.
Önerilen eylemler: Oluşturulan sanal makineleri ve uygulamada yapılan son değişiklikleri gözden geçirin. Araştırmanıza bağlı olarak bu uygulamaya erişimi yasaklayabilirsiniz. Bu uygulama tarafından istenen izin düzeyini ve hangi kullanıcıların erişim izni verdiğini gözden geçirin.
FP: Araştırmadan sonra uygulamanın kuruluşta meşru bir iş kullanımına sahip olduğunu onaylayabilirsiniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama:
- Yakın zamanda oluşturulan uygulamaları ve oluşturulan VM'leri gözden geçirin.
- Uygulama oluşturulduktan sonra gerçekleştirilir tüm etkinlikleri gözden geçirin.
- Graph API'sinde uygulama tarafından verilen kapsamları ve aboneliğinizde verilen rolü gözden geçirin.