調查預先定義的應用程式原則警示
應用程式控管會針對異常活動提供預先定義的應用程式原則警示。 本指南的目的是要為您提供每個警示的一般和實用資訊,以協助調查和補救工作。
本指南包含觸發警示條件的一般資訊。 因為預先定義的原則本質上不是決定性的,所以只有在有偏離常態的行為時,才會觸發這些原則。
提示
某些警示可能處於預覽狀態,因此請定期檢閱更新的警示狀態。
安全性警示分類
經過適當的調查,所有應用程式控管警示都可以分類為下列其中一種活動類型:
- 真肯定 (TP) :已確認惡意活動的警示。
- 良性真陽性 (B-TP) :可疑但非惡意活動的警示,例如滲透測試或其他授權的可疑動作。
- 誤判 (FP) :非惡意活動的警示。
一般調查步驟
在調查任何類型的警示時,請使用下列一般指導方針,在套用建議動作之前,更清楚瞭解潛在威脅。
檢閱應用程式嚴重性層級,並與租使用者中的其餘應用程式進行比較。 此檢閱可協助您識別租使用者中的哪些應用程式帶來更大的風險。
如果您識別 TP,請檢閱所有應用程式活動,以瞭解影響。 例如,檢閱下列應用程式資訊:
- 授與存取權的範圍
- 不尋常的行為
- IP 位址和位置
預先定義的應用程式原則警示
本節提供每個預先定義原則警示的相關資訊,以及調查和補救的步驟。
透過過度特殊許可權或高度特殊許可權的應用程式增加資料使用量
嚴重性 :中
尋找具有強大或未使用許可權的應用程式,這些應用程式會透過圖形 API 突然增加資料使用量。 資料使用量的異常變更可能表示遭到入侵。
TP 或 FP?
若要判斷警示是否為真陽性(TP)或誤判為真(FP),請檢閱應用程式所執行的所有活動、授與應用程式的範圍和與應用程式相關聯的使用者活動。
TP :如果您確認過度許可權或高度特殊許可權應用程式的資料使用量增加是不規則或潛在的惡意,請套用此建議動作。
建議的動作 :連絡使用者,瞭解導致資料使用量增加的應用程式活動。 暫時停用應用程式、重設密碼,然後重新啟用應用程式。
FP :如果您確認偵測到的應用程式活動是預期且組織中有合法的商務用途,請套用此建議動作。
建議的動作 :關閉警示。
具有優先帳戶同意的應用程式異常活動
嚴重性 :中
尋找資料使用量或圖形 API 存取錯誤中異常增加,這些錯誤是由優先順序帳戶給予同意的應用程式所顯示。
TP 或 FP?
檢閱應用程式執行的所有活動、授與應用程式的範圍,以及與應用程式相關聯的使用者活動。
TP :如果您已確認優先順序帳戶同意的應用程式增加資料使用量或 API 存取錯誤,則套用此建議動作是高度不規則或潛在的惡意。
建議的動作 :連絡優先順序帳戶使用者,瞭解導致資料使用量或 API 存取錯誤增加的應用程式活動。 暫時停用應用程式、重設密碼,然後重新啟用應用程式。
FP :如果您確認偵測到的應用程式活動是預期且組織中有合法的商務用途,請套用此建議動作。
建議的動作 :關閉警示。
低同意率的新應用程式
嚴重性 :中
使用者經常拒絕來自新建立應用程式的同意要求。 使用者通常會拒絕來自表現出非預期行為或來自不受信任來源之應用程式的同意要求。 具有低同意率的應用程式更有可能是有風險或惡意的應用程式。
TP 或 FP?
檢閱應用程式執行的所有活動、授與應用程式的範圍,以及與應用程式相關聯的使用者活動。
TP :如果您確認應用程式來自未知的來源,且其活動非常不規則或可能惡意,請套用此建議動作。
建議的動作 :暫時停用應用程式、重設密碼,然後重新啟用應用程式。
FP :如果您確認偵測到的應用程式活動合法,請套用此建議動作。
建議的動作 :關閉警示。
對 OneDrive 進行圖形 API 呼叫尖峰
嚴重性 :中
雲端應用程式顯示 Graph API 對 OneDrive 的呼叫大幅增加。 此應用程式可能涉及資料外泄或其他嘗試存取和擷取敏感性資料。
TP 或 FP?
檢閱應用程式執行的所有活動、授與應用程式的範圍,以及與應用程式相關聯的使用者活動。
TP :如果您已確認高度不規則、潛在的惡意活動導致偵測到 OneDrive 使用量增加,請套用此建議動作。
建議的動作 :暫時停用應用程式、重設密碼,然後重新啟用應用程式。
FP :如果您確認偵測到的應用程式活動合法,請套用此建議動作。
建議的動作 :關閉警示。
對 SharePoint 進行圖形 API 呼叫尖峰
嚴重性 :中
雲端應用程式顯示對 SharePoint 的圖形 API 呼叫大幅增加。 此應用程式可能涉及資料外泄或其他嘗試存取和擷取敏感性資料。
TP 或 FP?
檢閱應用程式執行的所有活動、授與應用程式的範圍,以及與應用程式相關聯的使用者活動。
TP :如果您已確認高度不規則、潛在的惡意活動導致偵測到 SharePoint 使用量增加,請套用此建議動作。
建議的動作 :暫時停用應用程式、重設密碼,然後重新啟用應用程式。
FP :如果您確認偵測到的應用程式活動合法,請套用此建議動作。
建議的動作 :關閉警示。
對 Exchange 進行圖形 API 呼叫尖峰
嚴重性 :中
雲端應用程式顯示 Graph API 對 Exchange 的呼叫大幅增加。 此應用程式可能涉及資料外泄或其他嘗試存取和擷取敏感性資料。
TP 或 FP?
檢閱應用程式執行的所有活動、授與應用程式的範圍,以及與應用程式相關聯的使用者活動。
TP :如果您已確認高度不規則、潛在的惡意活動導致偵測到 Exchange 使用量增加,請套用此建議動作。
建議的動作 :暫時停用應用程式、重設密碼,然後重新啟用應用程式。
FP :如果您確認偵測到的應用程式活動合法,請套用此建議動作。
建議的動作 :關閉警示。
可存取多個 Microsoft 365 服務的可疑應用程式
嚴重性 :中
尋找具有 OAuth 存取權的應用程式,以存取多個 Microsoft 365 服務,這些服務在憑證或秘密更新之後已表現出統計異常圖形 API 活動。 藉由識別這些應用程式並檢查它們是否有入侵,您可以防止橫向移動、資料外泄,以及其他周遊雲端資料夾、電子郵件和其他服務的惡意活動。
TP 或 FP?
檢閱應用程式執行的所有活動、授與應用程式的範圍,以及與應用程式相關聯的使用者活動。
TP :如果您確認應用程式憑證或秘密和其他應用程式活動的更新是高度不規則或潛在的惡意,請套用此建議動作。
建議的動作 :暫時停用應用程式、重設密碼,然後重新啟用應用程式。
FP :如果您確認偵測到的應用程式活動合法,請套用此建議動作。
建議的動作 :關閉警示。
應用程式的大量收件匣規則建立活動
嚴重性 :中
應用程式會進行大量圖形 API 呼叫,以建立 Exchange 收件匣規則。 此應用程式可能涉及資料收集和外泄或其他嘗試存取和擷取敏感性資訊。
TP 或 FP?
檢閱應用程式執行的所有活動、授與應用程式的範圍,以及與應用程式相關聯的使用者活動。
TP :如果您確認建立收件匣規則和其他活動非常不規則或潛在惡意,請套用此建議動作。
建議的動作 :暫時停用應用程式、重設密碼,然後重新啟用應用程式。
FP :如果您確認偵測到的應用程式活動合法,請套用此建議動作。
建議的動作 :關閉警示。
應用程式的大量電子郵件搜尋活動
嚴重性 :中
應用程式進行大量圖形 API 呼叫來搜尋 Exchange 電子郵件內容。 此應用程式可能涉及資料收集或其他嘗試存取和擷取敏感性資訊。
TP 或 FP?
檢閱應用程式執行的所有活動、授與應用程式的範圍,以及與應用程式相關聯的使用者活動。
TP :如果您確認 Exchange 上的內容搜尋和其他活動非常不規則或潛在惡意,請套用此建議動作。
建議的動作 :暫時停用應用程式、重設密碼,然後重新啟用應用程式。
FP :如果您可以確認應用程式未執行任何不尋常的郵件搜尋活動,或應用程式是要透過圖形 API 進行不尋常的郵件搜尋活動。
建議的動作 :關閉警示。
應用程式傳送大量電子郵件活動
嚴重性 :中
應用程式會進行大量圖形 API 呼叫,以使用 Exchange Online 傳送電子郵件訊息。 此應用程式可能涉及資料收集和外泄或其他嘗試存取和擷取敏感性資訊。
TP 或 FP?
檢閱應用程式執行的所有活動、授與應用程式的範圍,以及與應用程式相關聯的使用者活動。
TP :如果您確認傳送電子郵件訊息和其他活動非常不規則或潛在的惡意,請套用此建議動作。
建議的動作 :暫時停用應用程式、重設密碼,然後重新啟用應用程式。
FP :如果您可以確認應用程式未執行任何不尋常的郵件傳送活動,或應用程式是要透過 Graph API 進行不尋常的郵件傳送活動。
建議的動作 :關閉警示。
敏感性資料的存取
嚴重性 :中
尋找可存取特定敏感標籤所識別敏感性資料的應用程式。
TP 或 FP?
若要判斷警示是否為真陽性 (TP) 或誤判 (FP),請檢閱應用程式存取的資源。
TP :如果您確認應用程式或偵測到的活動不規則或潛在惡意,請套用此建議動作。
建議的動作 :防止應用程式從 Microsoft Entra ID 停用它來存取任何資源。
FP :如果您確認應用程式在組織中有合法的商務用途,且偵測到的活動預期為 ,請套用此建議動作。
建議的動作 :關閉警示。