调查威胁检测警报

  • 项目

应用治理提供了针对恶意活动的安全检测和警报。 本文列出了有助于调查和修正的每个警报的详细信息,包括触发警报条件。 由于威胁检测本质上是不确定的,只有当行为偏离规范时才会触发。

有关详细信息,请参阅 Microsoft Defender for Cloud Apps 中的应用治理

注意

应用治理威胁检测基于对暂时性数据(可能不存储)的计数活动,因此警报可能会提供活动数或峰值指示,但不一定是所有相关数据。 具体而言,对于 OAuth 应用图形 API 活动,租户可以使用 Log Analytics 和 Sentinel 审核活动本身。

有关详细信息,请参阅:

MITRE ATT&CK

为了更轻松地映射应用治理警报与熟悉的 MITRE ATT&CK 矩阵之间的关系,我们已按相应的 MITRE ATT&CK 策略对警报进行分类。 使用此额外参考,可以轻松了解触发应用治理警报时可能使用的可疑攻击技术。

本指南提供了有关调查和修复以下类别应用治理警报的信息。

安全警报分类

经过适当的调查后,所有应用治理警报均可归类为以下活动类型之一:

  • “真正 (TP)”:针对已确认的恶意活动的警报。
  • “良性 (B-TP)”:针对可疑但不是恶意的活动的警报,例如渗透测试或其他授权的可疑操作。
  • “误报 (FP)”:针对非恶意活动的警报。

常规调查步骤

在调查任何类型的警报时,使用以下一般准则,以便在采取建议操作之前更清楚地了解潜在威胁。

  • 查看应用严重性级别,并与租户中的其余应用进行比较。 此查看可帮助你确定租户中的哪些应用会带来更大风险。

  • 如果确定了 TP,请查看所有应用活动,了解其影响。 例如,可查看以下应用信息:

    • 授予访问权限的范围
    • 异常行为
    • IP 地址和位置

初始访问警报

本节介绍了指示恶意应用可能试图在组织中保持立足点的警报。

应用可通过利用 OAuth 重定向漏洞重定向到网络钓鱼 URL

严重性:中等

此检测可识别通过 Microsoft Graph API 攻击 OAuth 实现中的响应类型参数来重定向到网络钓鱼 URL 的 OAuth 应用。

TP 还是 FP?

  • TP:如果可以确认 OAuth 应用是从未知源传递的,则同意 OAuth 应用后回复 URL 的响应类型包含无效请求,并重定向到未知或不受信任的回复 URL。

    建议的操作:禁用和删除应用、重置密码和删除收件箱规则。 

  • FP:如果经过调查,可以确认应用在组织中具有合法的业务用途。

    建议的操作:关闭警报。

了解泄露范围

  1. 查看应用完成的所有活动。 
  2. 查看应用授予的范围。 

具有可疑回复 URL 的 OAuth 应用

严重性:中等

此检测可识别通过 Microsoft Graph API 访问可疑回复 URL 的 OAuth 应用。

TP 还是 FP?

  • TP:如果可以确认 OAuth 应用是从未知源传递的,并重定向到可疑 URL,则会指示真正。 可疑 URL 是 URL 信誉未知、不受信任或其域最近注册且应用请求适用于高特权范围的 URL。

    建议的操作:查看应用请求的回复 URL、域和范围。 根据调查,可以选择禁止访问此应用。 查看此应用请求的权限级别以及授予哪些用户访问权限。

    若要禁止访问应用,请转到应用治理页上应用的相关选项卡。 在显示要禁止的应用的行上,选择“禁止”图标。 可以选择是否要告知用户已禁止其安装和授权的应用。 该通知可让用户知道将禁用该应用且他们将无法访问连接的应用。 如果不希望用户知道,请取消选中“通知已向此禁止的应用授予访问权限的用户”对话框。 我们建议通知应用用户,使其知晓应用即将禁用。

  • FP:如果经过调查,可以确认应用在组织中具有合法的业务用途。

    建议的操作:关闭警报。

了解泄露范围

  1. 查看最近创建的应用及其回复 URL。

  2. 查看应用完成的所有活动。 

  3. 查看应用授予的范围。 

严重性:低

此检测可识别最近创建且发现其同意率较低的 OAuth 应用。 这可能表示恶意或有风险的应用,会引诱用户非法同意授权。

TP 还是 FP?

  • TP:如果可以确认 OAuth 应用是从未知源传递的,则会指示真正。

    建议的操作:查看应用的显示名称、回复 URL 和域。 根据调查,可以选择禁止访问此应用。 查看此应用请求的权限级别以及授予哪些用户访问权限。

  • FP:如果经过调查,可以确认应用在组织中具有合法的业务用途。

    建议的操作:关闭警报。

了解泄露范围

  1. 查看应用完成的所有活动。
  2. 如果怀疑某个应用可疑,我们建议在不同的应用商店中调查该应用的名称和回复域。 检查应用商店时,重点关注以下类型的应用:
    • 最近创建的应用
    • 具有异常显示名称的应用
    • 具有可疑回复域的应用
  3. 如果仍然怀疑应用可疑,可以研究应用显示名称和回复域。

URL 信誉不佳的应用

严重性:中等

此检测可识别发现 URL 信誉不佳的 OAuth 应用。

TP 还是 FP?

  • TP:如果能够确认 OAuth 应用是从未知源传递的,并重定向到可疑 URL,则会指示真正。

    建议的操作:查看应用请求的回复 URL、域和范围。 根据调查,可以选择禁止访问此应用。 查看此应用请求的权限级别以及授予哪些用户访问权限。

  • FP:如果经过调查,可以确认应用在组织中具有合法的业务用途。

    建议的操作:关闭警报。

了解泄露范围

  1. 查看应用完成的所有活动。
  2. 如果怀疑某个应用可疑,我们建议在不同的应用商店中调查该应用的名称和回复域。 检查应用商店时,重点关注以下类型的应用:
    • 最近创建的应用
    • 具有异常显示名称的应用
    • 具有可疑回复域的应用
  3. 如果仍然怀疑应用可疑,可以研究应用显示名称和回复域。

严重性:中等

说明:此检测可识别带有字符(例如 Unicode 或编码字符)的 OAuth 应用,其会请求可疑同意范围,以及通过图形 API 访问用户邮件文件夹。 此警报可以指示试图将自己伪装为已知和受信任的恶意应用,以便对手可误导用户同意恶意应用。

TP 还是 FP?

  • TP:如果可以确认 OAuth 应用是从未知源传递的,并重定向到可疑 URL,则会指示真正。

    建议的操作:查看此应用请求的权限级别以及授予哪些用户访问权限。 根据调查,可以选择禁止访问此应用。

    若要禁止访问应用,请转到应用治理页上应用的相关选项卡。 在显示要禁止的应用的行上,选择“禁止”图标。 可以选择是否要告知用户已禁止其安装和授权的应用。 该通知可让用户知道将禁用该应用且他们将无法访问连接的应用。 如果不希望用户知道,请取消选中“通知已向此禁止的应用授予访问权限的用户”对话框。 我们建议通知应用用户,使其知晓应用即将禁用。

  • FP:如果确认应用的名称具有编码,但在组织中具有合法的业务用途。

    建议的操作:关闭警报。

了解泄露的范围

按照有关如何调查有风险的 OAuth 应用的教程操作。

具有读取范围的 OAuth 应用带有可疑的回复 URL

严重性:中等

说明:此检测可识别仅具有“读取”范围(如 User.ReadPeople.ReadContacts.ReadMail.ReadContacts.Read.Shared)的 OAuth 应用,通过图形 API 重定向到可疑回复 URL。 此活动尝试表明拥有较低特权权限的恶意应用(如读取范围)可能会用来执行用户帐户侦查。

TP 还是 FP?

  • TP:如果能够确认具有读取范围的 OAuth 应用是从未知源传递的,并重定向到可疑 URL,则会指示真正。

    建议的操作:查看应用请求的回复 URL 和范围。 根据调查,可以选择禁止访问此应用。 查看此应用请求的权限级别以及授予哪些用户访问权限。

    若要禁止访问应用,请转到应用治理页上应用的相关选项卡。 在显示要禁止的应用的行上,选择“禁止”图标。 可以选择是否要告知用户已禁止其安装和授权的应用。 该通知可让用户知道将禁用该应用且他们将无法访问连接的应用。 如果不希望用户知道,请取消选中“通知已向此禁止的应用授予访问权限的用户”对话框。 我们建议通知应用用户,使其知晓应用即将禁用。

  • B-TP:如果经过调查,可以确认应用在组织中具有合法的业务用途。

    建议的操作:关闭警报。

了解泄露范围

  1. 查看应用完成的所有活动。
  2. 如果怀疑某个应用可疑,我们建议在不同的应用商店中调查该应用的名称和回复 URL。 检查应用商店时,重点关注以下类型的应用:
    • 最近创建的应用。
    • 具有可疑回复 URL 的应用
    • 最近未更新的应用。 缺少更新可能表示不再支持应用。
  3. 如果仍然怀疑应用可疑,可以在线研究应用名称、发布者名称和回复 URL

在回复域中具有异常显示名称和异常 TLD 的应用

严重性:中等

此检测可识别具有异常显示名称的应用,并通过图形 API 重定向到具有一级域名 (TLD) 的可疑回复域。 这可指示试图将自己伪装为已知和受信任的恶意或有风险应用,以便对手可误导用户同意恶意应用。 

TP 还是 FP?

  • TP:如果能够确认从未知源传递的具有异常显示名称的应用,并重定向到具有异常一级域名的可疑域

    建议的操作:查看应用的显示名称和回复域。 根据调查,可以选择禁止访问此应用。 查看此应用请求的权限级别以及授予哪些用户访问权限。

  • FP:如果经过调查,可以确认应用在组织中具有合法的业务用途。

    建议的操作:消除警报。

了解泄露范围

查看应用完成的所有活动。 如果怀疑某个应用可疑,我们建议在不同的应用商店中调查该应用的名称和回复域。 检查应用商店时,重点关注以下类型的应用:

  • 最近创建的应用
  • 具有异常显示名称的应用
  • 具有可疑回复域的应用

如果仍然怀疑应用可疑,可以研究应用显示名称和回复域。

严重性:中等

此检测可识别最近在相对较新的发布者租户中创建的 OAuth 应用,具有以下特征:

  • 访问或更改邮箱设置的权限
  • 相对较低的同意率,这可以识别尝试从毫无戒心的用户获得同意的不需要的甚至是恶意的应用

TP 还是 FP?

  • TP:如果能够确认向应用提供的同意请求是从未知或外部源传递的,并且该应用在组织中没有合法业务用途,则会指示真正。

    建议的操作:

    • 联系已对此应用授予同意的用户和管理员,确认这是有意为之且过多特权亦属正常。
    • 调查应用活动并检查受影响的帐户是否有可疑活动。
    • 根据调查,为所有受影响的帐户禁用应用并暂停和重置密码。
    • 将警报分类为真正。

  • FP:如果经过调查,可以确认应用在组织中具有合法的业务用途。

    建议的操作:将警报分类为误报,并根据对警报的调查考虑共享反馈。

了解泄露范围

查看用户和管理员对应用程序的同意授予。 调查应用完成的所有活动,特别是对关联用户和管理员帐户邮箱的访问。 如果怀疑应用可疑,请考虑禁用应用程序并轮换所有受影响的帐户的凭证。

严重性:中等

此警报可识别最近在相对较新的发布者租户中注册且有权更改邮箱设置和访问电子邮件的 OAuth 应用。 它还会验证应用是否具有相对较低的全局同意率,并多次调用 Microsoft Graph API 来访问同意用户的电子邮件。 触发此警报的应用可能是尝试从毫无戒心的用户获取同意的不需要的甚至是恶意的应用。

TP 还是 FP?

  • TP:如果能够确认向应用提供的同意请求是从未知或外部源传递的,并且该应用在组织中没有合法业务用途,则会指示真正。

    建议的操作:

    • 联系已对此应用授予同意的用户和管理员,确认这是有意为之且过多特权亦属正常。
    • 调查应用活动并检查受影响的帐户是否有可疑活动。
    • 根据调查,为所有受影响的帐户禁用应用并暂停和重置密码。
    • 将警报分类为真正。

  • FP:如果经过调查,可以确认应用在组织中具有合法的业务用途,则会指示误报。

    建议的操作:将警报分类为误报,并根据对警报的调查考虑共享反馈。

了解泄露范围

查看用户和管理员对应用程序的同意授予。 调查应用完成的所有活动,特别是对关联用户和管理员帐户邮箱的访问。 如果怀疑应用可疑,请考虑禁用应用程序并轮换所有受影响的帐户的凭证。

具有邮件权限的可疑应用发送大量电子邮件

严重性:中等

此警报发现多租户 OAuth 应用多次调用 Microsoft Graph API 以在短时间内发送电子邮件。 它还会验证 API 调用是否导致错误以及发送电子邮件的尝试是否失败。 触发此警报的应用可能会主动向其他目标发送垃圾邮件或恶意电子邮件。

TP 还是 FP?

  • TP:如果能够确认向应用提供的同意请求是从未知或外部源传递的,并且该应用在组织中没有合法业务用途,则会指示真正。

    建议的操作:

    • 联系已对此应用授予同意的用户和管理员,确认这是有意为之且过多特权亦属正常。
    • 调查应用活动并检查受影响的帐户是否有可疑活动。
    • 根据调查,为所有受影响的帐户禁用应用并暂停和重置密码。
    • 将警报分类为真正。

  • FP:如果经过调查,可以确认应用在组织中具有合法的业务用途,则会指示误报。

    建议的操作:将警报分类为误报,并根据对警报的调查考虑共享反馈。

了解泄露范围

查看用户和管理员对应用程序的同意授予。 调查应用完成的所有活动,特别是对关联用户和管理员帐户邮箱的访问。 如果怀疑应用可疑,请考虑禁用应用程序并轮换所有受影响的帐户的凭证。

可疑的 OAuth 应用用于发送大量电子邮件

严重性:中等

此警报指示 OAuth 应用多次调用 Microsoft Graph API 以在短时间内发送电子邮件。 众所周知,该应用的发布者租户会生成大量进行类似 Microsoft Graph API 调用的 OAuth 应用。 攻击者可能会主动使用此应用向其目标发送垃圾邮件或恶意电子邮件。

TP 还是 FP?

  • TP:如果能够确认向应用提供的同意请求是从未知或外部源传递的,并且该应用在组织中没有合法业务用途,则会指示真正。

    建议的操作:

    • 联系已对此应用授予同意的用户和管理员,确认这是有意为之且过多特权亦属正常。
    • 调查应用活动并检查受影响的帐户是否有可疑活动。
    • 根据调查,为所有受影响的帐户禁用应用并暂停和重置密码。
    • 将警报分类为真正。

  • FP:如果经过调查,可以确认应用在组织中具有合法的业务用途,则会指示误报。

    建议的操作:将警报分类为误报,并根据对警报的调查考虑共享反馈。

了解泄露范围

查看用户和管理员对应用程序的同意授予。 调查应用完成的所有活动,特别是对关联用户和管理员帐户邮箱的访问。 如果怀疑应用可疑,请考虑禁用应用程序并轮换所有受影响的帐户的凭证。

暂留警报

本节介绍了指示恶意行为者可能试图在组织中保持立足点的警报。

应用在证书更新或添加新凭证后对 Exchange 工作负载进行异常图形调用

严重性:中等

MITRE ID:T1098.001、T1114

当业务线 (LOB) 应用使用机器学习算法更新证书/机密或添加新凭证时,并且在证书更新或添加新凭证几天内,通过图形 API 使用机器学习算法观察到异常活动或 Exchange 工作负载的大量使用,此检测将触发警报。

TP 还是 FP?

  • TP:如果能够确认 LOB 应用通过图形 API 执行了异常活动/大量使用 Exchange 工作负载

    建议操作:暂时禁用应用并重置密码,然后重新启用应用。

  • FP:如果可以确认 LOB 应用没有执行异常活动,或者应用打算执行异常大量的图形调用。

    建议的操作:关闭警报。

了解泄露范围

  1. 查看此应用执行的所有活动。
  2. 查看应用授予的范围。
  3. 查看与此应用关联的用户活动。

具有可疑 OAuth 范围的应用被机器学习模型标记为高风险,执行图形调用以读取电子邮件和创建收件箱规则

严重性:中等

MITRE ID:T1137.005、T1114

此检测可识别通过机器学习模型标记为高风险的 OAuth 应用,其会同意可疑范围、创建可疑收件箱规则,然后通过图形 API 访问用户邮件文件夹和邮件。 收件箱规则(例如将所有或特定电子邮件转发到另一个电子邮件帐户,以及执行图形调用来访问电子邮件并发送到另一个电子邮件帐户),可能是试图从组织中窃取信息。

TP 还是 FP?

  • TP:如果可以确认收件箱规则是由 OAuth 第三方应用创建的,其中包含从未知源传递的可疑范围,则检测到真正。

    建议的操作:禁用和删除应用、重置密码和删除收件箱规则。

按照有关如何使用 Microsoft Entra ID 重置密码的教程进行操作,以及按照有关如何删除收件箱规则的教程进行操作。

  • FP:如果可以确认应用出于合法原因创建了指向新的或个人外部电子邮件帐户的收件箱规则。

    建议的操作:关闭警报。

了解泄露范围

  1. 查看应用完成的所有活动。
  2. 查看应用授予的范围。
  3. 查看应用创建的收件箱规则操作和条件。

具有可疑 OAuth 范围的应用执行图形调用,以读取电子邮件和创建收件箱规则

严重性:中等

MITRE ID:T1137.005、T1114

此检测可识别同意可疑范围、创建可疑收件箱规则,然后通过图形 API 访问用户邮件文件夹和邮件的 OAuth 应用。 收件箱规则(例如将所有或特定电子邮件转发到另一个电子邮件帐户,以及执行图形调用来访问电子邮件并发送到另一个电子邮件帐户),可能是试图从组织中窃取信息。

TP 还是 FP?

  • TP:如果可以确认收件箱规则是由 OAuth 第三方应用创建的,其中包含从未知源传递的可疑范围,则会指示真正。

    建议的操作:禁用和删除应用、重置密码和删除收件箱规则。

    按照有关如何使用 Microsoft Entra ID 重置密码的教程进行操作,以及按照有关如何删除收件箱规则的教程进行操作。

  • FP:如果可以确认应用出于合法原因创建了指向新的或个人外部电子邮件帐户的收件箱规则。

    建议的操作:关闭警报。

了解泄露范围

  1. 查看应用完成的所有活动。
  2. 查看应用授予的范围。
  3. 查看应用创建的收件箱规则操作和条件。

从异常位置访问应用(证书更新后)

严重性:低

MITRE ID:T1098

当一个业务线 (LOB) 应用更新证书/机密,并在证书更新后的几天内,从最近未见过或从未访问过的异常位置访问应用时,此检测将触发警报。

TP 还是 FP?

  • TP:如果能够确认 LOB 应用是从异常位置访问,且通过图形 API 执行异常活动。

    建议操作:暂时禁用应用并重置密码,然后重新启用应用。

  • FP:如果能够确认 LOB 应用出于合法目的从异常位置访问,且没有执行异常活动。

    建议的操作:消除警报。

了解泄露范围

  1. 查看此应用执行的所有活动。
  2. 查看应用授予的范围。
  3. 查看与此应用关联的用户活动。

从异常位置访问的应用在证书更新后发出异常的图形调用

严重性:中等

MITRE ID:T1098

当一个业务线 (LOB) 应用更新证书/机密,并在证书更新后的几天内,从最近未见过或从未访问过的异常位置访问应用,且通过图形 API 使用机器学习算法观察到异常活动或使用情况时,此检测将触发警报。

TP 还是 FP?

  • TP:如果能够确认 LOB 应用通过图形 API 从异常位置执行了异常活动/使用情况。

    建议操作:暂时禁用应用并重置密码,然后重新启用应用。

  • FP:如果能够确认 LOB 应用出于合法目的从异常位置访问,且没有执行异常活动。

    建议的操作:关闭警报。

了解泄露范围

  1. 查看此应用执行的所有活动。
  2. 查看应用授予的范围。
  3. 查看与此应用关联的用户活动。

最近创建的应用有大量已撤销同意

严重性:中等

MITRE ID:T1566、T1098

多个用户撤销了他们最近创建的业务线 (LOB) 或第三方应用的同意。 此应用可能无意中引诱用户授予同意。

TP 还是 FP?

  • TP:如果可以确认 OAuth 应用是从未知源传递的,并且应用行为可疑。 

    建议的操作:撤销授予应用的同意并禁用应用。 

  • FP:如果经过调查,可以确认应用在组织中具有合法的业务用途,并且该应用没有执行异常活动。

    建议的操作:消除警报

了解泄露范围

  1. 查看应用执行的所有活动。
  2. 如果怀疑某个应用可疑,我们建议在不同的应用商店中调查名称和应用的回复域。 检查应用商店时,重点关注以下类型的应用:
    • 最近创建的应用
    • 具有异常显示名称的应用
    • 具有可疑回复域的应用
  3. 如果仍然怀疑应用可疑,可以研究应用显示名称和回复域。

与已知网络钓鱼活动关联的应用元数据

严重性:中等

此检测会针对以前在与网络钓鱼活动关联的应用中观察到的元数据(例如“名称”、"URL" 或“发布者”)的非 Microsoft OAuth 应用生成警报。 这些应用可能是同一活动的一部分,也可能涉及敏感信息外泄。

TP 还是 FP?

  • TP:如果能够确认 OAuth 应用是从未知源传递的,并且正在执行异常活动。

    建议的操作:

    • 调查有关应用治理的应用注册详细信息,并访问 Microsoft Entra ID 了解更多详细信息。
    • 联系可对应用授予同意或许可的用户或管理员。 验证更改是否是有意为之。
    • 搜索 CloudAppEvents 高级搜寻表,了解应用活动并确定观察到的行为是否为预期。
    • 在考虑任何遏制操作之前,请验证应用是否对组织至关重要。 使用应用治理或 Microsoft Entra ID 停用应用,以防止其访问资源。 现有应用治理策略可能已停用该应用。

  • FP:如果可以确认应用没有执行异常活动并且在组织中具有合法的业务用途。

    建议的操作:消除警报

了解泄露范围

  1. 查看应用执行的所有活动。
  2. 查看授予应用的范围。
  3. 查看与应用关联的用户活动。

与以前标记的可疑应用关联的应用元数据

严重性:中等

此检测会针对以前在应用治理因可疑活动而被标记的应用中观察到的元数据(例如“名称”、"URL" 或“发布者”)的非 Microsoft OAuth 应用生成警报。 此应用可能是攻击活动的一部分,也可能涉及敏感信息外泄。

TP 还是 FP?

  • TP:如果能够确认 OAuth 应用是从未知源传递的,并且正在执行异常活动。

    建议的操作:

    • 调查有关应用治理的应用注册详细信息,并访问 Microsoft Entra ID 了解更多详细信息。
    • 联系可对应用授予同意或许可的用户或管理员。 验证更改是否是有意为之。
    • 搜索 CloudAppEvents 高级搜寻表,了解应用活动并确定观察到的行为是否为预期。
    • 在考虑任何遏制操作之前,请验证应用是否对组织至关重要。 使用应用治理或 Microsoft Entra ID 停用应用,以防止其访问资源。 现有应用治理策略可能已停用该应用。

  • FP:如果可以确认应用没有执行异常活动并且在组织中具有合法的业务用途。

    建议的操作:消除警报

了解泄露范围

  1. 查看应用执行的所有活动。
  2. 查看授予应用的范围。
  3. 查看与应用关联的用户活动。

通过图形 API 执行的可疑 OAuth 应用电子邮件活动

严重性:高

此检测为多租户 OAuth 应用生成警报,这些应用由具有高风险登录的用户注册,并会调用 Microsoft Graph API 以在短时间内执行可疑电子邮件活动。

此检测可验证是否对创建邮箱规则、创建回复电子邮件、转发电子邮件、回复或正在发送的新电子邮件执行 API 调用。 触发此警报的应用可能会主动向其他目标发送垃圾邮件或恶意电子邮件,或者外泄机密数据及清除跟踪以逃避检测。

TP 还是 FP?

  • TP:如果能够确认向应用提供的应用建立和同意请求是从未知或外部源传递的,并且该应用在组织中没有合法业务用途,则会指示真正。

    建议的操作:

    • 联系已对此应用授予同意的用户和管理员,确认这是有意为之且过多特权亦属正常。

    • 调查应用活动并检查受影响的帐户是否有可疑活动。

    • 根据调查,为所有受影响的帐户禁用应用并暂停和重置密码,以及删除收件箱规则。

    • 将警报分类为真正。

  • FP:如果经过调查,可以确认应用在组织中具有合法的业务用途,则会指示误报。

    建议的操作:

    • 将警报分类为误报,并根据对警报的调查考虑共享反馈。

    • 了解泄露范围:

      查看用户和管理员对应用程序的同意授予。 调查应用完成的所有活动,特别是对关联用户和管理员帐户邮箱的访问。 如果怀疑应用可疑,请考虑禁用应用程序并轮换所有受影响的帐户的凭证。

通过 EWS API 执行的可疑 OAuth 应用电子邮件活动

严重性:高

此检测为多租户 OAuth 应用生成警报,这些应用由具有高风险登录的用户注册,并会调用 Microsoft Exchange Web 服务 (EWS) API 以在短时间内执行可疑电子邮件活动。

此检测可验证 API 调用是更新收件箱规则、移动项目、删除电子邮件、删除文件夹还是删除附件。 触发此警报的应用可能会主动外泄或删除机密数据及清除跟踪以逃避检测。

TP 还是 FP?

  • TP:如果能够确认向应用提供的应用建立和同意请求是从未知或外部源传递的,并且该应用在组织中没有合法业务用途,则会指示真正。

    建议的操作:

    • 联系已对此应用授予同意的用户和管理员,确认这是有意为之且过多特权亦属正常。

    • 调查应用活动并检查受影响的帐户是否有可疑活动。

    • 根据调查,为所有受影响的帐户禁用应用并暂停和重置密码,以及删除收件箱规则。

    • 将警报分类为真正。

  • FP:如果经过调查,可以确认应用在组织中具有合法的业务用途,则会指示误报。

    推荐的操作

    • 将警报分类为误报,并根据对警报的调查考虑共享反馈。

    • 了解泄露范围:

      查看用户和管理员对应用程序的同意授予。 调查应用完成的所有活动,特别是对关联用户和管理员帐户邮箱的访问。 如果怀疑应用可疑,请考虑禁用应用程序并轮换所有受影响的帐户的凭证。

特权提升警报

具有可疑元数据的 OAuth 应用具有 Exchange 权限

严重性:中等

MITRE ID:T1078

当具有可疑元数据的业务线应用有权通过 Exchange 管理权限时,将触发此警报。

TP 还是 FP?

  • TP:如果能够确认 OAuth 应用是从未知源传递的,并且具有可疑元数据,则会指示真正。

建议的操作:撤销授予应用的同意并禁用应用。

FP:如果经过调查,可以确认应用在组织中具有合法的业务用途。

建议的操作:消除警报

了解泄露范围

  1. 查看应用完成的所有活动。
  2. 查看应用授予的范围。
  3. 查看与应用关联的用户活动。

防御规避警报

严重性:中等

非 Microsoft 云应用使用机器学习算法发现的徽标,与 Microsoft 徽标类似。 这可能是试图仿冒 Microsoft 软件产品,让其看起来合法。

注意

租户管理员需要通过弹出窗口提供同意,让所需的数据发送到当前合规性边界之外,并选择 Microsoft 内部的合作伙伴团队,以便为业务线应用启用此威胁检测。

TP 还是 FP?

  • TP:如果可以确认应用徽标是仿冒 Microsoft 徽标,并且应用行为可疑。 

    建议的操作:撤销授予应用的同意并禁用应用。

  • FP:如果可以确认应用徽标并非仿冒 Microsoft 徽标,或者应用没有执行异常活动。 

    建议的操作:消除警报

了解泄露范围

  1. 查看应用执行的所有活动。
  2. 查看授予应用的范围。
  3. 查看与应用关联的用户活动。

应用与拼写错误的域关联

严重性:中等

此检测会针对包含 Microsoft 品牌名称拼写错误版本的发布者域或重定向 URL 的非 Microsoft OAuth 应用生成警报。 每当用户无意中错误键入 URL 时,拼写错误通常用于捕获网站的流量,但它们也可用于仿冒常用软件产品和服务。

TP 还是 FP?

  • TP:如果可以确认应用的发布者域或重定向 URL 拼写错误并且与应用的真实标识无关。

    建议的操作:

    • 调查有关应用治理的应用注册详细信息,并访问 Microsoft Entra ID 了解更多详细信息。
    • 检查应用是否有其他欺骗或仿冒的迹象以及任何可疑活动。
    • 在考虑任何遏制操作之前,请验证应用是否对组织至关重要。 使用应用治理停用应用,以防止其访问资源。 现有应用治理策略可能已停用该应用。

  • FP:如果可以确认应用的发布者域和重定向 URL 是合法的。 

    建议的操作:将警报分类为误报,并根据对警报的调查考虑共享反馈。

了解泄露范围

  1. 查看应用执行的所有活动。
  2. 查看授予应用的范围。
  3. 查看与应用关联的用户活动。

凭据访问

本部分介绍警报,指示恶意参与者可能正在尝试读取敏感凭据数据,并包含用于窃取凭据的技术,例如帐户名称、机密、令牌、证书和密码。

应用程序启动多个失败的 KeyVault 读取活动且未成功

严重性:中等

MITRE ID:T1078.004

此检测可识别租户中观察到使用 Azure 资源管理器 API 对 KeyVault 进行多次读取操作调用的应用程序,仅失败且未成功完成读取活动。

TP 还是 FP?

  • TP:如果应用未知或未使用,则给定活动可能可疑。 验证正在使用的 Azure 资源并验证租户中的应用使用后,给定的活动可能需要禁用该应用。 这通常是针对 KeyVault 资源的可疑枚举活动的证据,用于获取对横向移动或特权提升的凭据的访问权限。

    建议的操作:查看应用程序访问或创建的 Azure 资源,以及对应用程序所做的任何最近更改。 根据调查,选择是否要禁止访问此应用。 查看此应用请求的权限级别以及已授予访问权限的用户。

  • FP:如果调查后,可以确认应用在组织中具有合法业务用途。

    建议的操作:关闭警报。

了解泄露的范围

  1. 查看应用的访问权限和活动。
  2. 查看自应用创建起应用完成的所有活动。
  3. 查看应用在图形 API 中授予的范围,以及订阅中向其授予的角色。
  4. 查看在活动之前可能访问过该应用的任何用户。

发现警报

应用执行驱动器枚举

严重性:中等

MITRE ID:T1087

此检测可识别使用图形 API 对 OneDrive 文件执行枚举的机器学习模型检测到的 OAuth 应用。

TP 还是 FP?

  • TP:如果能够确认 LOB 应用通过图形 API 执行了对 OneDrive 异常活动/使用情况。

    建议的操作:禁用和删除应用并重置密码。

  • FP:如果可以确认应用未执行异常活动。

    建议的操作:关闭警报。

了解泄露范围

  1. 查看此应用执行的所有活动。
  2. 查看应用授予的范围。
  3. 查看与此应用关联的用户活动。

使用 Microsoft Graph PowerShell 执行的可疑枚举活动

严重性:中等

MITRE ID:T1087

此检测可识别在短时间内通过 Microsoft Graph PowerShell 应用程序执行的大量可疑枚举活动。

TP 还是 FP?

  • TP:如果能够确认 Microsoft Graph PowerShell 应用程序执行了可疑/异常枚举活动。

    建议的操作:禁用和删除应用程序并重置密码。

  • FP:如果可以确认应用程序未执行异常活动。

    建议的操作:关闭警报。

了解泄露范围

  1. 查看此应用程序执行的所有活动。
  2. 查看与应用程序关联的用户活动。

最近创建的多租户应用程序频繁枚举用户信息

严重性:中等

MITRE ID:T1087

此警报发现 OAuth 应用最近在相对较新的发布者租户中注册并且有权更改邮箱设置和访问电子邮件。 其可验证应用是否对请求用户目录信息的 Microsoft Graph API 进行了多次调用。 触发此警报的应用可能会吸引用户授予同意,以便他们可以访问组织数据。

TP 还是 FP?

  • TP:如果能够确认向应用提供的同意请求是从未知或外部源传递的,并且该应用在组织中没有合法业务用途,则会指示真正。

    建议的操作:

    • 联系已对此应用授予同意的用户和管理员,确认这是有意为之且过多特权亦属正常。
    • 调查应用活动并检查受影响的帐户是否有可疑活动。
    • 根据调查,为所有受影响的帐户禁用应用并暂停和重置密码。
    • 将警报分类为真正。

  • FP:如果经过调查,可以确认应用在组织中具有合法的业务用途,则会指示误报。

    建议的操作:将警报分类为误报,并根据对警报的调查考虑共享反馈。

了解泄露范围

查看用户和管理员对应用程序的同意授予。 调查应用完成的所有活动,特别是用户目录信息的枚举。 如果怀疑应用可疑,请考虑禁用应用程序并轮换所有受影响的帐户的凭证。

外泄警报

本节介绍了表明恶意行为者可能正试图从组织窃取与其目标相关的数据的警报。

使用异常用户代理的 OAuth 应用

严重性:低

MITRE ID:T1567

此检测可识别使用异常用户代理访问图形 API 的 OAuth 应用程序。

TP 还是 FP?

  • TP:如果能够确认 OAuth 应用最近已开始使用以前未使用的新用户代理,并且此更改是意外的,则会指示真正。

    建议的操作:查看使用的用户代理以及最近对应用程序所做的任何更改。 根据调查,可以选择禁止访问此应用。 查看此应用请求的权限级别以及授予哪些用户访问权限。

  • FP:如果经过调查,可以确认应用在组织中具有合法的业务用途。

    建议的操作:关闭警报。

了解泄露范围

  1. 查看最近创建的应用以及使用的用户代理。
  2. 查看应用完成的所有活动。 
  3. 查看应用授予的范围。 

具有异常用户代理的应用,通过 Exchange Web 服务访问电子邮件数据

严重性:高

MITRE ID:T1114、T1567

此检测可标识使用异常用户代理通过 Exchange Web 服务 API 访问电子邮件数据的 OAuth 应用。

TP 还是 FP?

  • TP:如果能够确认 OAuth 应用程序不应将其更改为用于向 Exchange Web 服务 API 发出请求的用户代理,则会指示真正。

    建议的操作:将警报分类为 TP。 根据调查,如果应用是恶意的,则可以撤销同意并在租户中禁用该应用。 如果是被盗用的应用,则可以撤销同意、暂时禁用应用、查看权限、重置机密和证书,然后重新启用应用。

  • FP:如果经过调查,可以确认应用程序使用的用户代理在组织中具有合法的业务用途。

    建议的操作:将警报分类为 FP。 此外,可考虑根据对警报的调查共享反馈。

了解泄露范围

  1. 查看应用程序是新创建的,还是最近进行了任何更改。
  2. 查看授予应用程序的权限以及已同意应用程序的用户。
  3. 查看应用完成的所有活动。

横向移动警报

本部分介绍警报,指出恶意参与者可能尝试横向移动不同的资源,同时通过多个系统和帐户进行透视,以在组织中获得更多控制权。

主要使用 MS Graph 或 Exchange Web Services 的休眠 OAuth 应用,最近发现访问 ARM 工作负载

严重性:中等

MITRE ID:T1078.004

此检测可识别租户中的应用程序,该应用程序在长时间的休眠活动之后首次开始访问 Azure 资源管理器 API。 以前,此应用程序主要使用 MS Graph 或 Exchange Web 服务。

TP 还是 FP?

  • TP:如果应用未知或未使用,则给定活动可能可疑,在验证正在使用的 Azure 资源并验证租户中的应用使用情况后,可能需要禁用应用。

    建议的操作

    1. 查看应用程序访问或创建的 Azure 资源,以及对应用程序所做的任何最近更改。
    2. 查看此应用请求的权限级别以及授予哪些用户访问权限。
    3. 根据调查,选择是否要禁止访问此应用。

  • FP:如果调查后,可以确认应用在组织中具有合法业务用途。

    建议的操作:关闭警报。

了解泄露的范围

  1. 查看应用的访问权限和活动。
  2. 查看自应用创建起应用完成的所有活动。
  3. 查看应用在图形 API 中授予的范围,以及订阅中向其授予的角色。
  4. 查看在活动之前可能访问过该应用的任何用户。

收集警报

本节介绍了表明恶意行为者可能正试图从组织收集与其目标相关的数据的警报。

应用执行了异常电子邮件搜索活动

严重性:中等

MITRE ID:T1114

此检测可识别应用何时同意可疑 OAuth 范围,并执行大量异常电子邮件搜索活动,例如通过图形 API 搜索特定内容。 这可能表明有人企图入侵你的组织,例如对手尝试通过图形 API 搜索和读取组织的特定电子邮件。 

TP 还是 FP?

  • TP:如果可以确认具有可疑 OAuth 范围的 OAuth 应用通过图形 API 执行大量异常电子邮件搜索和读取活动,并且应用是从未知源传递的。

    建议的操作:禁用和删除应用、重置密码和删除收件箱规则。 

  • FP:如果可以确认出于合法原因,应用已通过图形 API 执行大量异常电子邮件搜索和读取活动。

    建议的操作:关闭警报。

了解泄露范围

  1. 查看应用授予的范围。
  2. 查看应用完成的所有活动。 

应用执行异常图形调用,以读取电子邮件

严重性:中等

MITRE ID:T1114

此检测可识别业务线 (LOB) OAuth 应用何时通过图形 API 访问异常且大量用户的邮件文件夹和邮件,这可能表明你组织的尝试遭到入侵。

TP 还是 FP?

  • TP:如果可以确认业务线 (LOB) OAuth 应用执行了异常图形活动,则会指示真正。

    建议的操作:暂时禁用应用并重置密码,然后重新启用应用。 按照有关如何使用 Microsoft Entra ID 重置密码的教程进行操作。

  • FP:如果可以确认应用打算执行异常大量的图形调用。

    建议的操作:关闭警报。

了解泄露范围

  1. 查看此应用执行的事件的活动日志,以便更好地了解其他 Graph 活动,进而读取电子邮件并尝试收集用户敏感信息。
  2. 监视要添加到应用的意外凭证。

应用创建收件箱规则并执行了异常电子邮件搜索活动

严重性:中等

MITRE ID:T1137、T1114

此检测可识别同意高特权范围的应用、创建可疑收件箱规则,并通过 Graph API 在用户邮件文件夹中执行异常的电子邮件搜索活动。 这可能表明有人企图入侵你的组织,例如对手尝试通过图形 API 搜索和收集组织的特定电子邮件。

TP 还是 FP?

  • TP:如果能够确认具有高特权范围的 OAuth 应用通过图形 API 搜索和收集任何特定电子邮件,并且应用是从未知源传递的。

    建议的操作:禁用和删除应用、重置密码和删除收件箱规则。

  • FP:如果能够确认应用已通过图形 API 执行了特定电子邮件搜索和收集,并出于合法原因为新的或个人外部电子邮件帐户创建了收件箱规则。

    建议的操作:关闭警报。

了解泄露范围

  1. 查看应用完成的所有活动。
  2. 查看应用授予的范围。
  3. 查看应用创建的任何收件箱规则操作。
  4. 查看应用完成的任何电子邮件搜索活动。

应用执行了 OneDrive/SharePoint 搜索活动并创建了收件箱规则

严重性:中等

MITRE ID:T1137、T1213

此检测可识别应用同意高特权范围、创建可疑收件箱规则,并通过图形 API 进行异常的 SharePoint 或 OneDrive 搜索活动。 这可能表明有人企图入侵你的组织,例如对手尝试通过图形 API 从组织的 SharePoint 或 OneDrive 搜索和收集特定数据。 

TP 还是 FP?

  • TP:如果能够确认具有高特权范围的 OAuth 应用通过图形 API 从 SharePoint 或 OneDrive 搜索和收集任何特定数据,并且应用是从未知源传递的。 

    建议的操作:禁用和删除应用、重置密码和删除收件箱规则。 

  • FP:如果能够确认应用已通过图形 API 从 SharePoint 或 OneDrive 执行了特定数据搜索和收集,并出于合法原因为新的或个人外部电子邮件帐户创建了收件箱规则。 

    建议的操作:消除警报

了解泄露范围

  1. 查看应用完成的所有活动。 
  2. 查看应用授予的范围。 
  3. 查看应用创建的任何收件箱规则操作。 
  4. 查看应用完成的任何 SharePoint 或 OneDrive 搜索活动。

应用在 OneDrive 中执行了多次搜索和编辑

严重性:中等

MITRE ID:T1137、T1213

此检测可识别具有高特权权限的 OAuth 应用,这些应用使用图形 API 在 OneDrive 中执行大量搜索和编辑。

TP 还是 FP?

  • TP:如果能够确认此 OAuth 应用程序具有读取和写入 OneDrive 的高特权权限,且其通过图形 API 对 OneDrive 工作负载的使用率过高,则会表示真正。

    建议的操作:根据调查,如果应用程序是恶意的,则可以撤销同意并在租户中禁用应用程序。 如果是被盗用的应用程序,则可以撤销同意、暂时禁用应用、查看所需的权限、重置密码,然后重新启用应用。

  • FP:如果经过调查,可以确认应用在组织中具有合法的业务用途。

    建议的操作:解决警报并报告发现。

了解泄露范围

  1. 验证应用是否来自可靠的源。
  2. 验证应用程序是新创建的,还是最近进行了任何更改。
  3. 查看授予应用程序的权限以及已同意应用程序的用户。
  4. 调查所有其他应用活动。

应用使大量重要性邮件可读取并创建了收件箱规则

严重性:中等

MITRE ID:T1137、T1114

此检测可识别应用同意高特权范围、创建可疑收件箱规则并通过图形 API 执行大量重要邮件读取活动。 这可能表明有人企图入侵你的组织,例如对手尝试通过图形 API 读取组织的高重要性的电子邮件。 

TP 还是 FP?

  • TP:如果能够确认具有高特权范围的 OAuth 应用通过图形 API 读取大量重要电子邮件,并且应用是从未知源传递的。 

    建议的操作:禁用和删除应用、重置密码和删除收件箱规则。 

  • FP:如果能够确认应用已通过图形 API 执行了大量重要电子邮件读取,并出于合法原因为新的或个人外部电子邮件帐户创建了收件箱规则。 

    建议的操作:消除警报

了解泄露范围

  1. 查看应用完成的所有活动。 
  2. 查看应用授予的范围。 
  3. 查看应用创建的任何收件箱规则操作。 
  4. 查看应用完成的任何高重要性电子邮件读取活动。

特权应用在 Teams 中执行异常活动

严重性:中等

此检测可识别同意高特权 OAuth 范围、访问 Microsoft Teams 的应用,并通过图形 API 进行异常的读取或发布聊天消息活动。 这可能表明有人企图入侵你的组织,例如对手尝试通过图形 API 收集组织的信息。

TP 还是 FP?

  • TP:如果能够确认具有高特权范围的 OAuth 应用通过图形 API 在 Microsoft Teams 中执行异常聊天消息活动,并且应用是从未知源传递的。

    建议的操作:禁用和删除应用并重置密码

  • FP:如果能够确认通过图形 API 在 Microsoft Teams 中执行的异常活动是出于合法原因。

    建议的操作:消除警报

了解泄露范围

  1. 查看应用授予的范围。
  2. 查看应用完成的所有活动。
  3. 查看与应用关联的用户活动。

仅更新或添加新凭据的应用的异常 OneDrive 活动

严重性:中等

MITRE ID:T1098.001、T1213

非 Microsoft 云应用对 OneDrive 进行了异常图形 API 调用,包括大量的数据使用。 机器学习检测到这些异常的 API 调用是在应用添加新的或更新现有的证书/机密后的几天内进行的。 此应用可能涉及数据外泄或其他访问和取回敏感信息的尝试。

TP 还是 FP?

  • TP:如果可以确认应用通过图形 API 执行了异常活动,例如大量使用 OneDrive 工作负载。

    建议的操作:暂时禁用应用、重置密码,然后重新启用应用。

  • FP:如果可以确认应用没有执行异常活动,或者应用打算执行异常大量的图形调用。

    建议的操作:消除警报

了解泄露范围

  1. 查看应用执行的所有活动。
  2. 查看应用授予的范围。
  3. 查看与应用关联的用户活动。

仅更新或添加新凭证的应用的异常 SharePoint 活动

严重性:中等

MITRE ID:T1098.001、T1213.002

非 Microsoft 云应用对 SharePoint 进行了异常图形 API 调用,包括大量的数据使用。 机器学习检测到这些异常的 API 调用是在应用添加新的或更新现有的证书/机密后的几天内进行的。 此应用可能涉及数据外泄或其他访问和取回敏感信息的尝试。

TP 还是 FP?

  • TP:如果可以确认应用通过图形 API 执行了异常活动,例如大量使用 SharePoint 工作负载。

    建议的操作:暂时禁用应用、重置密码,然后重新启用应用。

  • FP:如果可以确认应用没有执行异常活动,或者应用打算执行异常大量的图形调用。

    建议的操作:消除警报

了解泄露范围

  1. 查看应用执行的所有活动。
  2. 查看应用授予的范围。
  3. 查看与应用关联的用户活动。

严重性:中等

MITRE ID:T1114

此检测会针对以前在具有可疑邮件相关活动的应用中观察到的元数据(例如“名称”、"URL" 或“发布者”)的非 Microsoft OAuth 应用生成警报。 此应用可能是攻击活动的一部分,也可能涉及敏感信息外泄。

TP 还是 FP?

  • TP:如果可以确认应用已创建邮箱规则,或对 Exchange 工作负载执行大量异常图形 API 调用。

    建议的操作:

    • 调查有关应用治理的应用注册详细信息,并访问 Microsoft Entra ID 了解更多详细信息。
    • 联系可对应用授予同意或许可的用户或管理员。 验证更改是否是有意为之。
    • 搜索 CloudAppEvents 高级搜寻表,了解应用活动并识别应用访问的数据。 检查受影响的邮箱,并查看应用本身可能已读取或转发的邮件或已创建的规则。
    • 在考虑任何遏制操作之前,请验证应用是否对组织至关重要。 使用应用治理或 Microsoft Entra ID 停用应用,以防止其访问资源。 现有应用治理策略可能已停用该应用。

  • FP:如果可以确认应用没有执行异常活动并且在组织中具有合法的业务用途。

    建议的操作:消除警报

了解泄露范围

  1. 查看应用执行的所有活动。
  2. 查看授予应用的范围。
  3. 查看与应用关联的用户活动。

具有访问大量电子邮件的 EWS 应用程序权限的应用

严重性:中等

MITRE ID:T1114

此检测为具有 EWS 应用程序权限的多租户云应用生成警报,显示对特定于电子邮件枚举和收集的 Exchange Web 服务 API 的调用显著增加。 此应用可能涉及访问和检索敏感数据。

TP 还是 FP?

  • TP:如果可以确认应用已访问敏感数据或对 Exchange 工作负荷进行大量异常调用。

    建议的操作:

    • 调查有关应用治理的应用注册详细信息,并访问 Microsoft Entra ID 了解更多详细信息。
    • 联系可对应用授予同意或许可的用户或管理员。 验证更改是否是有意为之。
    • 搜索 CloudAppEvents 高级搜寻表,了解应用活动并识别应用访问的数据。 检查受影响的邮箱,并查看应用本身可能已读取或转发的邮件或已创建的规则。
    • 在考虑任何遏制操作之前,请验证应用是否对组织至关重要。 使用应用治理或 Microsoft Entra ID 停用应用,以防止其访问资源。 现有应用治理策略可能已停用该应用。

  • FP:如果可以确认应用没有执行异常活动并且在组织中具有合法的业务用途。

    建议的操作:消除警报

了解泄露范围

  1. 查看应用执行的所有活动。
  2. 查看授予应用的范围。
  3. 查看与应用关联的用户活动。

未使用的应用新访问 API

严重性:中等

MITRE ID:T1530

此检测为多租户云应用生成警报,该应用在一段时间内处于非活动状态,并且最近已开始进行 API 调用。 攻击者可能会入侵此应用,并用于访问和检索敏感数据。

TP 还是 FP?

  • TP:如果可以确认应用访问了敏感数据,或者对 Microsoft Graph、Exchange 或 Azure 资源管理器 工作负载进行了大量异常调用。

    建议的操作:

    • 调查有关应用治理的应用注册详细信息,并访问 Microsoft Entra ID 了解更多详细信息。
    • 联系可对应用授予同意或许可的用户或管理员。 验证更改是否是有意为之。
    • 搜索 CloudAppEvents 高级搜寻表,了解应用活动并识别应用访问的数据。 检查受影响的邮箱,并查看应用本身可能已读取或转发的邮件或已创建的规则。
    • 在考虑任何遏制操作之前,请验证应用是否对组织至关重要。 使用应用治理或 Microsoft Entra ID 停用应用,以防止其访问资源。 现有应用治理策略可能已停用该应用。

  • FP:如果可以确认应用没有执行异常活动并且在组织中具有合法的业务用途。

    建议的操作:消除警报

了解泄露范围

  1. 查看应用执行的所有活动。
  2. 查看授予应用的范围。
  3. 查看与应用关联的用户活动。

影响警报

本节介绍了表明恶意行为者可能试图操纵、中断或破坏组织系统和数据的警报。

在创建虚拟机时,启动异常高峰的 Entra 业务线应用

严重性:中等

MITRE ID:T1496

此检测可识别使用 Azure Resource Manager API 在租户中创建大量 Azure 虚拟机的单租户新 OAuth 应用程序。

TP 还是 FP?

  • TP:如果能够确认 OAuth 应用最近已创建了并且正在租户中创建大量虚拟机,则会指示真正。

    建议的操作:查看建立的虚拟机以及最近对应用程序所做的任何更改。 根据调查,可以选择禁止访问此应用。 查看此应用请求的权限级别以及授予哪些用户访问权限。

  • FP:如果经过调查,可以确认应用在组织中具有合法的业务用途。

    建议的操作:消除警报。

了解泄露范围

  1. 查看最近创建的应用和创建的虚拟机。
  2. 查看自应用创建起应用完成的所有活动。
  3. 查看应用在图形 API 中授予的范围,以及在订阅中授予该应用的角色。

观察到 Microsoft Graph 中具有高范围权限的 OAuth 应用已启动虚拟机创建

严重性:中等

MITRE ID:T1496

此检测可识别 OAuth 应用程序,该应用程序使用 Azure Resource Manager API 在租户中创建大量 Azure 虚拟机,同时在活动之前通过 MS Graph API 在租户中拥有高特权。

TP 还是 FP?

  • TP:如果能够确认已创建具有高特权范围的 OAuth 应用,并且正在租户中创建大量虚拟机,则会指示真正的正数。

    建议的操作:查看建立的虚拟机以及最近对应用程序所做的任何更改。 根据调查,可以选择禁止访问此应用。 查看此应用请求的权限级别以及授予哪些用户访问权限。

  • FP:如果经过调查,可以确认应用在组织中具有合法的业务用途。

    建议的操作:消除警报。

了解泄露范围

  1. 查看最近创建的应用和创建的虚拟机。
  2. 查看自应用创建起应用完成的所有活动。
  3. 查看应用在图形 API 中授予的范围,以及在订阅中授予该应用的角色。

后续步骤

管理应用治理警报