應用程式治理提供惡意行為的安全偵測與警示。 本文列出每個警示的細節,有助於調查與修復,包括觸發警示的條件。 由於威脅偵測本質上是非確定性的,只有當行為異常時才會被觸發。
欲了解更多資訊,請參閱 Microsoft Defender for Cloud Apps 中的應用程式治理
注意事項
應用程式治理威脅偵測是基於對暫時性且可能未被儲存的資料活動進行計數,因此警示可能提供活動數量或尖峰的跡象,但不一定包含所有相關資料。 針對 OAuth 應用的 圖形 API 活動,租戶可透過 Log Analytics 與 Sentinel 進行活動審核。
如需詳細資訊,請參閱:
一般調查步驟
尋找應用程式治理相關警示
要查找與應用程式治理相關的警示,請前往 Microsoft Defender 入口網站的警示頁面。 在警示清單中,使用「服務/偵測來源」欄位來篩選警示。 將此欄位的值設為「App Governance」,以查看所有由 App Governance 產生的警示。
一般指引
在調查任何類型的警示時,請使用下列一般指導方針,以在應用建議動作之前更清楚地了解潛在威脅。
檢閱應用程式嚴重性層級,並與租用戶中其餘的應用程式比較。 此檢視有助於您辨識租客中哪些應用程式風險較高。
如果您發現 TP,請檢閱所有應用程式活動,了解影響。 例如,請檢閱下列應用程式資訊:
- 授予存取權的範圍
- 異常行為
- IP 位址和位置
安全性警示分類
在適當的調查之後,所有應用程式控管警示都可以分類為下列其中一種活動類型:
- TP) (真陽性 :確認惡意活動的警示。
- 良性真陽性 (B-TP) :針對可疑但非惡意行為的警示,例如滲透測試或其他授權的可疑行動。
- 假陽性 (FP) :針對非惡意活動的警示。
MITRE ATT&CK
為了更容易對應應用程式控管警示與熟悉的 MITRE ATT&CK 矩陣之間的關係,我們已根據對應的 MITRE ATT&CK 策略將警示分類。 這個額外的參考資料,讓人們更容易理解當應用程式治理警示觸發時,可能使用的疑似攻擊技術。
本指南提供下列類別中的調查和補救應用程式控管之警示資訊。
初次存取警示
本節描述的警示可指出可能試圖在您的組織中保持立足點的惡意應用程式。
應用程式利用 OAuth 重定向漏洞,將網址重定向至
嚴重性:中
此偵測透過 Microsoft 圖形 API 利用 OAuth 回應類型參數,識別 OAuth 應用程式轉址至釣魚網址。
TP 或 FP?
TP:如果你能確認 OAuth 應用程式是來自未知來源,同意 OAuth 應用程式後回覆 URL 的回應類型包含無效請求,並會重定向到未知或不受信任的回覆 URL。
建議動作:停用並移除應用程式、重設密碼,以及移除收件匣規則。
FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。
建議動作:關閉警示。
了解入侵範圍
- 檢閱應用程式完成的所有活動。
- 檢閱應用程式授與的範圍。
OAuth 應用程式的回覆網址可疑
嚴重性:中
此偵測可識別出 OAuth 應用程式透過 Microsoft 圖形 API 存取可疑的回覆 URL。
TP 或 FP?
TP:如果你能確認 OAuth 應用程式來自未知來源,且重定向到可疑的網址,那就表示是真陽性。 可疑的 URL 是指該 URL 的聲譽不明、不值得信任,或是其網域最近註冊,且應用程式請求權限範圍很高。
建議行動:檢視應用程式要求的回覆網址、網域和範圍。 根據你的調查,你可以選擇禁止使用這個應用程式。 請檢視此應用程式所申請的權限等級及哪些使用者可存取。
要禁止對該應用程式的存取,請前往 應用程式治理 頁面中該應用程式的相關標籤。 在你想封鎖的應用程式出現的那一列,選擇封鎖圖示。 您可以選擇是否要告知使用者他們安裝和授權的應用程式已被禁止。 通知會讓使用者知道該應用程式將被停用,且無法使用已連接的應用程式。 如果你不想讓他們知道,可以在對話框中取消選擇「 通知授權使用此被禁應用程式的使用者 」。 建議您讓應用程式使用者知道他們的應用程式即將遭到禁用。
FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。
建議動作:關閉警示。
了解入侵範圍
檢視最近開發的應用程式及其回覆網址。
檢閱應用程式完成的所有活動。
檢閱應用程式授與的範圍。
最近建立的應用程式同意率低
嚴重性:低
此偵測會識別最近建立且同意率較低的 OAuth 應用程式。 這可能表示有惡意或風險高的應用程式,誘使用戶接受非法同意。
TP 或 FP?
TP:如果您可以確認 OAuth 應用程式來自未知來源,則表示其確判為真。
建議動作:檢閲顯示的名稱、回覆 URL 和應用程式的網域。 根據您的調查,您可以選擇禁止存取此應用程式。 檢閱此應用程式要求的權限層級,以及授與存取權的使用者。
FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。
建議動作:關閉警示。
了解入侵範圍
- 檢閱應用程式完成的所有活動。
- 如果您懷疑應用程式可疑,建議您在不同的 App Store 中調查應用程式名稱和回覆網域。 檢查 App Store 時,請專注於下列類型的應用程式:
- 最近建立的應用程式
- 顯示名稱異常的應用程式
- 具有可疑回覆網域的應用程式
- 如果您仍然懷疑某個應用程式可疑,您可以研究該應用程式的顯示名稱和回覆網域。
網址聲譽不佳的應用程式
嚴重性:中
此偵測會識別發現 URL 信譽不良的 OAuth 應用程式。
TP 或 FP?
TP:如果您可以確認 OAuth 應用程式來自未知來源並重新導向至可疑的 URL,則表示其確判為真。
建議動作:檢閱並回覆應用程式要求的 URL、網域和範圍。 根據您的調查,您可以選擇禁止存取此應用程式。 檢閱此應用程式要求的權限層級,以及哪些使用者已授予存取權。
FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。
建議動作:關閉警示。
了解入侵範圍
- 檢閱應用程式完成的所有活動。
- 如果您懷疑應用程式可疑,建議您在不同的 App Store 中調查應用程式名稱和回覆網域。 檢查 App Store 時,請專注於下列類型的應用程式:
- 最近建立的應用程式
- 顯示名稱異常的應用程式
- 具有可疑回覆網域的應用程式
- 如果您仍然懷疑某個應用程式可疑,您可以研究該應用程式的顯示名稱和回覆網域。
帶有可疑同意範圍的編碼應用程式名稱
嚴重性:中
描述:此偵測可發現帶有字元 (例如 Unicode 或編碼字元) 的 OAuth 應用程式,收到可疑的同意範圍要求並透過 Graph API 存取使用者郵件資料夾。 此警示可能表示有人企圖將惡意應用程式偽裝成已知且受信任的應用程式,以便攻擊者可以誤導使用者同意使用惡意應用程式。
TP 或 FP?
TP:如果您可以確認 OAuth 應用程式已使用從未知來源提供的可疑範圍對顯示名稱進行編碼,則表示其確判為真。
建議動作:檢閱此應用程式要求的權限層級,以及哪些使用者已授予存取權。 根據您的調查,您可以選擇禁止存取此應用程式。
要禁止對該應用程式的存取,請前往 應用程式治理 頁面中該應用程式的相關標籤。 在你想封鎖的應用程式出現的那一列,選擇封鎖圖示。 您可以選擇是否要告知使用者他們安裝和授權的應用程式已被禁止。 通知會讓使用者知道該應用程式將被停用,且無法使用連接的應用程式。 如果你不想讓他們知道,可以在對話框中取消選擇「通知授權使用此被禁應用程式的使用者」。 建議您讓應用程式使用者知道他們的應用程式即將遭到禁用。
FP:如果你要確認該應用程式有編碼名稱,但在組織中有合法的商業用途,
建議動作:關閉警示。
了解入侵範圍
請遵循教學課程,了解如何調查有風險的 OAuth 應用程式。
帶有讀取範圍的 OAuth 應用程式有可疑的回覆網址
嚴重性:中
說明:此偵測可識別僅有 Read 範圍的 OAuth 應用程式,如 User.Read、人員。閱讀、聯絡人。閱讀、郵件查詢、聯絡人閱讀。透過 圖形 API 共享會重定向到可疑的回覆網址。 此活動會嘗試指出,具有較低權限的惡意應用程式 (例如讀取範圍) 可能會受到利用,以執行使用者帳戶偵察。
TP 或 FP?
TP:如果您可以確認具有讀取範圍的 OAuth 應用程式來自未知來源並重新導向至可疑的 URL,則表示其確判為真。
建議動作:檢閱應用程式要求的回覆 URL 和範圍。 根據您的調查,您可以選擇禁止存取此應用程式。 檢閱此應用程式要求的權限層級,以及哪些使用者已授予存取權。
要禁止對該應用程式的存取,請前往 應用程式治理 頁面中該應用程式的相關標籤。 在你想封鎖的應用程式出現的那一列,選擇封鎖圖示。 您可以選擇是否要告知使用者他們安裝和授權的應用程式已被禁止。 通知會讓使用者知道該應用程式將被停用,且無法使用連接的應用程式。 如果你不想讓他們知道,可以在對話框中取消選擇「通知授權使用此被禁應用程式的使用者」。 建議您讓應用程式使用者知道他們的應用程式即將遭到禁用。
B-TP:調查後,您可以確認應用程式在組織中具有合法的商業用途。
建議動作:關閉警示。
了解入侵範圍
- 檢閱應用程式完成的所有活動。
- 如果您懷疑應用程式可疑,建議您在不同的 App Store 中調查應用程式名稱和回覆 URL。 檢查 App Store 時,請專注於下列類型的應用程式:
- 最近建立的應用程式。
- 具有可疑回覆 URL 的應用程式
- 最近尚未更新的應用程式。 缺少更新可能表示應用程式不再受到支援。
- 如果您仍然懷疑應用程式可疑,您可以在網路上研究應用程式名稱、發行者名稱和回覆 URL
回覆網域中顯示名稱異常且頂級域名異常的應用程式
嚴重性:中
此偵測可識別顯示名稱異常的應用程式,並導向至可疑的回覆網域,該頂層網域 () 圖形 API。 這可能表示他們試圖偽裝惡意或風險較高的應用程式,冒充已知且可信賴的應用程式,讓對手誤導使用者同意其惡意或風險較高的應用程式。
TP 或 FP?
TP:若您能够確認具有異常顯示名稱的應用程式來自未知來源,並重新導向到具有一場頂層網域的可疑網域
建議動作:檢閲應用程式的顯示名稱和回覆網域。 根據您的調查,您可以選擇禁止存取此應用程式。 檢閱此應用程式要求的權限層級,以及授與存取權的使用者。
FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。
建議動作:關閉警示。
了解入侵範圍
檢閱應用程式完成的所有活動。 如果您懷疑應用程式可疑,建議您在不同的 App Store 中調查應用程式名稱和回覆網域。 檢查 App Store 時,請專注於下列類型的應用程式:
- 最近建立的應用程式
- 顯示名稱異常的應用程式
- 具有可疑回覆網域的應用程式
如果您仍然懷疑某個應用程式可疑,您可以研究該應用程式的顯示名稱和回覆網域。
新應用程式的郵件權限,且同意率低
嚴重性:中
此偵測可識別近期在相對新出版商租戶中建立的 OAuth 應用程式,具有以下特徵:
- 存取或更改信箱設定的權限
- 相對低的同意率,能識別試圖取得不知情用戶同意的不受歡迎甚至惡意應用程式
TP 或 FP?
TP:如果你能確認該應用程式的同意請求是來自未知或外部來源,且該應用程式在組織中沒有合法的商業用途,那麼就表示是真正的陽性。
建議行動:
- 聯絡已授權使用此應用程式的用戶與管理員,確認這是刻意為之,且過度權限是正常的。
- 調查應用程式活動並檢查受影響帳號是否有可疑活動。
- 根據你的調查,請停用該應用程式,並暫停並重設所有受影響帳號的密碼。
- 將警報歸類為真實陽性。
FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。
建議行動:將警示歸類為誤報,並考慮根據你對警示的調查分享回饋。
了解入侵範圍
審查用戶與管理員對申請所作的同意授權。 調查該應用程式所有的活動,特別是存取相關使用者和管理員帳號的信箱。 如果你懷疑該應用程式有可疑之處,建議停用該應用程式並輪換所有受影響帳號的憑證。
新應用程式,同意率低,存取大量電子郵件
嚴重性:中
此警示標示近期註冊於相對新出版商租戶的 OAuth 應用程式,並擁有更改信箱設定及存取電子郵件的權限。 它也驗證該應用程式的全球同意率是否相對較低,並多次呼叫 Microsoft 圖形 API 以存取同意用戶的電子郵件。 觸發此警示的應用程式可能是不受歡迎或惡意的應用程式,試圖取得毫無戒心的使用者同意。
TP 或 FP?
TP:如果你能確認該應用程式的同意請求是來自未知或外部來源,且該應用程式在組織中沒有合法的商業用途,那麼就表示是真正的陽性。
建議行動:
- 聯絡已授權使用此應用程式的用戶與管理員,確認這是刻意為之,且過度權限是正常的。
- 調查應用程式活動並檢查受影響帳號是否有可疑活動。
- 根據你的調查,請停用該應用程式,並暫停並重設所有受影響帳號的密碼。
- 將警報歸類為真實陽性。
FP:如果調查後你能確認該應用程式在組織中有合法的商業用途,那麼就表示誤判。
建議行動:將警示歸類為誤報,並考慮根據你對警示的調查分享回饋。
了解入侵範圍
審查用戶與管理員對申請所作的同意授權。 調查該應用程式所有的活動,特別是存取相關使用者及管理員帳號的信箱。 如果你懷疑該應用程式有可疑之處,建議停用該應用程式並輪換所有受影響帳號的憑證。
可疑的郵件權限應用程式發送大量電子郵件
嚴重性:中
此警示會發現多租戶 OAuth 應用程式,這些應用程式多次呼叫 Microsoft 圖形 API,在短時間內發送電子郵件。 它也會驗證 API 呼叫是否導致錯誤及發送郵件失敗。 觸發此警示的應用程式可能正在積極向其他目標發送垃圾郵件或惡意郵件。
TP 或 FP?
TP:如果你能確認該應用程式的同意請求是來自未知或外部來源,且該應用程式在組織中沒有合法的商業用途,那麼就表示是真正的陽性。
建議行動:
- 聯絡已授權使用此應用程式的用戶與管理員,確認這是刻意為之,且過度權限是正常的。
- 調查應用程式活動並檢查受影響帳號是否有可疑活動。
- 根據你的調查,請停用該應用程式,並暫停並重設所有受影響帳號的密碼。
- 將警報歸類為真實陽性。
FP:如果調查後你能確認該應用程式在組織中有合法的商業用途,那麼就表示誤判。
建議行動:將警示歸類為誤報,並考慮根據你對警示的調查分享回饋。
了解入侵範圍
審查用戶與管理員對申請所作的同意授權。 調查該應用程式所有的活動,特別是存取相關使用者和管理員帳號的信箱。 如果你懷疑該應用程式有可疑之處,建議停用該應用程式並輪換所有受影響帳號的憑證。
可疑的 OAuth 應用程式以前會寄出許多電子郵件
嚴重性:中
此警示表示 OAuth 應用程式多次呼叫 Microsoft 圖形 API,在短時間內發送電子郵件。 該應用程式的發佈租戶已知會產生大量 OAuth 應用程式,這些應用程式會呼叫類似的 Microsoft 圖形 API。 攻擊者可能正積極使用此應用程式向目標發送垃圾郵件或惡意郵件。
TP 或 FP?
TP:如果你能確認該應用程式的同意請求是來自未知或外部來源,且該應用程式在組織中沒有合法的商業用途,那麼就表示是真正的陽性。
建議行動:
- 聯絡已授權使用此應用程式的用戶與管理員,確認這是刻意為之,且過度權限是正常的。
- 調查應用程式活動並檢查受影響帳號是否有可疑活動。
- 根據你的調查,請停用該應用程式,並暫停並重設所有受影響帳號的密碼。
- 將警報歸類為真實陽性。
FP:如果調查後你能確認該應用程式在組織中有合法的商業用途,那麼就表示誤判。
建議行動:將警示歸類為誤報,並考慮根據你對警示的調查分享回饋。
了解入侵範圍
審查用戶與管理員對申請所作的同意授權。 調查該應用程式所有的活動,特別是存取相關使用者和管理員帳號的信箱。 如果你懷疑該應用程式有可疑之處,建議停用該應用程式並輪換所有受影響帳號的憑證。
持續性警示
本節描述的警示可指出可能試圖在您的組織中保持立足點的惡意執行者。
應用程式在憑證更新或新增新認證後對 Exchange 工作負載進行異常圖形呼叫
嚴重性:中
MITRE 識別碼:T1098.001, T1114
此偵測會觸發商務用 (LOB) 應用程式更新憑證/秘密或新增認證,以及透過圖形 API 使用機器學習演算法,在憑證更新或新增新認證、觀察到異常活動或大量使用 Exchange 工作負載後的幾天內發出警示。
TP 或 FP?
TP:如果您能夠確認 Exchange 工作負載的異常活動/大量使用量是由 LOB 應用程式透過圖形 API 執行
建議動作:暫時停用應用程式並重設密碼,然後重新啟用應用程式。
FP:如果您可以確認 LOB 應用程式或應用程式未執行特殊的活動,是要執行超長的高圖形通話量。
建議動作:關閉警示。
了解入侵範圍
- 檢閱此應用程式執行的所有活動。
- 檢閱應用程式授與的範圍。
- 檢閱與此應用程式關聯的使用者活動。
機器學習模型已標出具有可疑 OAuth 範圍的應用程式為高風險,進行圖形呼叫以讀取電子郵件,並建立了收件匣規則
嚴重性:中
MITRE 識別碼:T1137.005, T1114
此偵測可識別出一個被機器學習模型標記為高風險的 OAuth 應用程式,該模型同意可疑範圍,建立了可疑收件匣規則,並透過 圖形 API 存取使用者的郵件資料夾與訊息。 收件匣規則,例如將所有或特定電子郵件轉寄到另一個電子郵件帳戶,以及 Graph 呼叫以存取電子郵件並傳送到另一個電子郵件帳戶,可能會試圖從您的組織中竊取資訊。
TP 或 FP?
TP:如果您可以確認由 OAuth 協力廠商應用程式所建立,其可疑範圍從未知來源傳遞,則偵測到真正的正數。
建議動作:停用並移除應用程式、重設密碼,以及移除收件匣規則。
請參考使用 Microsoft Entra ID 重設密碼的教學,並遵循移除收件匣規則的教學。
FP:如果您可以確認該應用程式出於合法理由,為新的或個人的外部電子郵件帳戶建立收件匣規則。
建議動作:關閉警示。
了解入侵範圍
- 檢閱應用程式完成的所有活動。
- 檢閱應用程式授與的範圍。
- 檢閱應用程式建立的收件匣規則動作和條件。
帶有可疑 OAuth 範圍的應用程式進行了 graph call 來閱讀電子郵件並建立了收件匣規則
嚴重性:中
MITRE 識別碼:T1137.005、T1114
此偵測可發現同意可疑範圍的 OAuth 應用程式、建立可疑的收件匣規則,然後透過 Graph API 存取使用者的郵件資料夾和郵件。 收件匣規則,例如將所有或特定電子郵件轉寄到另一個電子郵件帳戶,以及 Graph 呼叫以存取電子郵件並傳送到另一個電子郵件帳戶,可能會試圖從您的組織中竊取資訊。
TP 或 FP?
TP:如果您可以確認收件匣規則是由 OAuth 第三方應用程式建立,並且具有從未知來源提供的可疑範圍,則表示其確判為真。
建議動作:停用並移除應用程式、重設密碼,以及移除收件匣規則。
請參考使用 Microsoft Entra ID 重設密碼的教學,並遵循移除收件匣規則的教學。
FP:如果您可以確認該應用程式出於合法理由,為新的或個人的外部電子郵件帳戶建立收件匣規則。
建議動作:關閉警示。
了解入侵範圍
- 檢閱應用程式完成的所有活動。
- 檢閱應用程式授與的範圍。
- 檢閱應用程式建立的收件匣規則動作和條件。
從異常位置存取的應用程式張貼憑證更新
嚴重性:低
MITRE 識別碼:T1098
當業務線 (LOB) 應用程式更新憑證/機密時,偵測會觸發警示,且憑證更新後幾天內,應用程式會從一個最近沒見過或從未被存取過的異常地點被存取。
TP 或 FP?
TP:如果您能够確認 LOB 應用程式從異常位置存取,並透過 Graph API 執行異常活動。
建議動作:暫時停用應用程式並重設密碼,然後重新啟用應用程式。
FP:若您能够確認 LOB 應用程式出於合法目的從異常位置存取,並且沒有執行異常活動。
建議動作:關閉警示。
了解入侵範圍
- 檢閱此應用程式執行的所有活動。
- 檢閱應用程式授與的範圍。
- 檢閱與此應用程式關聯的使用者活動。
從異常位置存取的應用程式發出異常 Graph 呼叫後憑證更新
嚴重性:中
MITRE 識別碼:T1098
當業務線 (LOB) 應用程式更新憑證/秘密時,偵測會觸發警示,且在憑證更新後幾天內,應用程式會從一個最近未曾見過或從未被存取過的異常地點存取,並透過機器學習演算法圖形 API觀察到異常活動或使用情況。
TP 或 FP?
TP:若您能够確認 LOB 應用程式透過 Graph API 從異常位置執行了異常活動/使用情況。
建議動作:暫時停用應用程式並重設密碼,然後重新啟用應用程式。
FP:若您能够確認 LOB 應用程式出於合法目的從異常位置存取,並且沒有執行異常活動。
建議動作:關閉警示。
了解入侵範圍
- 檢閱此應用程式執行的所有活動。
- 檢閱應用程式授與的範圍。
- 檢閱與此應用程式關聯的使用者活動。
最近開發的應用程式有大量被撤銷的同意
嚴重性:中
MITRE 編號:T1566,T1098
已有數位用戶撤回對這款新近建立的業務線 (LOB) 或第三方應用程式的同意。 這個應用程式可能無意間誘使用戶同意它。
TP 或 FP?
TP:如果你能確認 OAuth 應用程式是從未知來源交付,且應用程式行為可疑。
建議行動:撤銷已授予應用程式的同意並停用該應用程式。
FP:如果經過調查,你可以確認該應用程式在組織中有合法的商業用途,且應用程式沒有執行任何異常行為。
建議動作:關閉警示。
了解入侵範圍
- 檢視應用程式執行的所有活動。
- 如果您懷疑某應用程式存在可疑,我們建議您調查該應用程式在不同應用商店的名稱與回覆網域。 檢查 App Store 時,請專注於下列類型的應用程式:
- 最近建立的應用程式
- 顯示名稱異常的應用程式
- 具有可疑回覆網域的應用程式
- 如果您仍然懷疑某個應用程式可疑,您可以研究該應用程式的顯示名稱和回覆網域。
與已知釣魚行動相關的應用程式元資料
嚴重性:中
此偵測會為非 Microsoft OAuth 應用程式產生警報,這些中繼資料(如 名稱、 網址或 發布者)先前曾在與釣魚攻擊相關的應用程式中被觀察到。 這些應用程式可能屬於同一行動,且可能涉及敏感資訊的外洩。
TP 或 FP?
TP:如果你能確認 OAuth 應用程式來自未知來源且執行異常活動,
建議行動:
- 請查詢應用程式的註冊資訊及管理相關資訊,並造訪 Microsoft Entra ID 以獲得更多資訊。
- 聯絡授權或授權該應用程式的使用者或管理員。 確認這些變更是否是刻意為之。
- 搜尋 CloudAppEvents 進階搜尋表,了解應用程式活動並判斷觀察到的行為是否預期出現。
- 在考慮任何遏制措施前,請確認該應用程式對您的組織是否至關重要。 使用應用治理或 Microsoft Entra ID 停用該應用程式,以防止它存取資源。 現有的應用程式治理政策可能已經停用了該應用程式。
FP:如果您能確認該應用程式沒有執行任何異常活動,且該應用程式在組織中有合法的商業用途。
建議動作:關閉警示。
了解入侵範圍
- 檢視應用程式執行的所有活動。
- 請檢視應用程式所獲得的範圍。
- 檢視與應用程式相關的使用者活動。
與先前標記可疑應用程式相關的應用程式元資料
嚴重性:中
此偵測會為非 Microsoft OAuth 應用程式產生警示,這些元資料(如 名稱、 網址或 發布者)先前在因可疑活動被應用程式治理標記的應用程式中被觀察到。 這個應用程式可能是攻擊行動的一部分,可能涉及敏感資訊的外洩。
TP 或 FP?
TP:如果你能確認 OAuth 應用程式來自未知來源且執行異常活動,
建議行動:
- 請查詢應用程式的註冊資訊及管理相關資訊,並造訪 Microsoft Entra ID 以獲得更多資訊。
- 聯絡授權或授權該應用程式的使用者或管理員。 確認這些變更是否是刻意為之。
- 搜尋 CloudAppEvents 進階搜尋表,了解應用程式活動並判斷觀察到的行為是否預期出現。
- 在考慮任何遏制措施前,請確認該應用程式對您的組織是否至關重要。 使用應用治理或 Microsoft Entra ID 停用該應用程式,以防止它存取資源。 現有的應用程式治理政策可能已經停用了該應用程式。
FP:如果您能確認該應用程式沒有執行任何異常活動,且該應用程式在組織中有合法的商業用途。
建議動作:關閉警示。
了解入侵範圍
- 檢視應用程式執行的所有活動。
- 請檢視應用程式所獲得的範圍。
- 檢視與應用程式相關的使用者活動。
透過 圖形 API 出現可疑的 OAuth 應用程式電子郵件活動
嚴重程度:高度
此偵測會為多租戶 OAuth 應用程式產生警示,這些應用程式由高風險登入用戶註冊,並在短時間內呼叫 Microsoft 圖形 API 執行可疑郵件活動。
此偵測用以驗證 API 呼叫是否用於建立信箱規則、建立回覆郵件、轉寄郵件、回覆,或是新郵件的發送。 觸發此警示的應用程式可能主動向其他目標發送垃圾郵件或惡意郵件,或竊取機密資料並清除路徑以避開偵測。
TP 或 FP?
TP:如果你能確認應用程式的建立與同意請求是來自未知或外部來源,且該應用程式在組織中沒有合法的商業用途,那麼就表示是真正的陽性。
建議行動:
聯絡已授權使用此應用程式的用戶與管理員,確認這是刻意為之,且過度權限是正常的。
調查應用程式活動並檢查受影響帳號是否有可疑活動。
根據你的調查,請停用應用程式,暫停並重設所有受影響帳號的密碼,並移除收件匣規則。
將警報歸類為真實陽性。
FP:如果經過調查,你能確認該應用程式在組織中有合法的商業用途,那麼就表示是誤判。
建議行動:
將警示歸類為假陽性,並考慮根據你對警示的調查分享回饋。
了解外洩的範圍:
審查用戶與管理員對申請所作的同意授權。 調查該應用程式所有的活動,特別是存取相關使用者和管理員帳號的信箱。 如果你懷疑該應用程式有可疑之處,建議停用該應用程式並輪換所有受影響帳號的憑證。
透過 EWS API 出現可疑的 OAuth 應用程式郵件活動
嚴重程度:高度
此偵測會為多租戶 OAuth 應用程式產生警報,這些用戶註冊為高風險登入,並呼叫 Exchange Web Services (EWS) API 以在短時間內執行可疑郵件活動Microsoft。
此偵測用以驗證 API 呼叫是否用於更新收件匣規則、移動項目、刪除電子郵件、刪除資料夾或刪除附件。 觸發此警報的應用程式可能正在積極竊取或刪除機密資料,並清除路徑以避開偵測。
TP 或 FP?
TP:如果你能確認應用程式的建立與同意請求是來自未知或外部來源,且該應用程式在組織中沒有合法的商業用途,那麼就表示是真正的陽性。
建議行動:
聯絡已授權使用此應用程式的用戶與管理員,確認這是刻意為之,且過度權限是正常的。
調查應用程式活動並檢查受影響帳號是否有可疑活動。
根據你的調查,請停用應用程式,暫停並重設所有受影響帳號的密碼,並移除收件匣規則。
將警報歸類為真實陽性。
FP:如果調查後你能確認該應用程式在組織中有合法的商業用途,那麼就表示誤判。
建議行動:
將警示歸類為假陽性,並考慮根據你對警示的調查分享回饋。
了解外洩的範圍:
審查用戶與管理員對申請所作的同意授權。 調查該應用程式所有的活動,特別是存取相關使用者和管理員帳號的信箱。 如果你懷疑該應用程式有可疑之處,建議停用該應用程式並輪換所有受影響帳號的憑證。
權限升級警示
帶有可疑元資料的 OAuth 應用程式擁有 Exchange 權限
嚴重性:中
MITRE 編號:T1078
當一個包含可疑元資料的業務應用程式擁有管理 Exchange 權限的權限時,會觸發此警示。
TP 或 FP?
- TP:如果你能確認 OAuth 應用程式來自未知來源,且有可疑的元資料特徵,那麼就表示是真陽性。
建議行動:撤銷已授予應用程式的同意並停用該應用程式。
FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。
建議動作:關閉警示。
了解入侵範圍
- 檢閱應用程式完成的所有活動。
- 檢閱應用程式授與的範圍。
- 檢視與應用程式相關的使用者活動。
防禦規避警報
應用程式模仿 Microsoft 標誌
嚴重性:中
非 Microsoft 的雲端應用程式使用了一個經機器學習演算法發現與 Microsoft 標誌相似的標誌。 這可能是試圖冒充 Microsoft 軟體產品並看起來合法的行為。
注意事項
租戶管理員需透過彈窗同意將所需資料傳送超出現有合規邊界,並選擇 Microsoft 內的合作夥伴團隊,才能啟用對業務線應用程式的威脅偵測。
TP 或 FP?
TP:如果你能確認該應用程式標誌是模仿 Microsoft 標誌,且應用程式行為可疑。
建議行動:撤銷已授予應用程式的同意並停用該應用程式。
FP:如果你能確認應用程式標誌不是模仿 Microsoft 標誌,或應用程式沒有執行任何異常行為,
建議動作:關閉警示。
了解入侵範圍
- 檢視應用程式執行的所有活動。
- 請檢視應用程式所獲得的範圍。
- 檢視與應用程式相關的使用者活動。
應用程式與一個打錯字域名相關聯
嚴重性:中
此偵測會為非 Microsoft OAuth 應用程式產生警報,該應用程式擁有出版商網域或重定向網址,且包含 Microsoft 品牌名稱的錯字版本。 打錯字搶註通常用於在使用者誤輸入網址時捕捉網站流量,但也可用來冒充熱門軟體產品與服務。
TP 或 FP?
TP:如果你能確認該應用程式的出版商網域或重定向網址是錯拼搶註,且與應用程式的真實身份無關,
建議行動:
- 請查詢應用程式的註冊資訊及管理相關資訊,並造訪 Microsoft Entra ID 以獲得更多資訊。
- 請檢查應用程式是否有其他偽造或冒充的跡象,以及任何可疑活動。
- 在考慮任何遏制措施前,請確認該應用程式對您的組織是否至關重要。 使用應用程式治理停用該應用程式,防止它存取資源。 現有的應用程式治理政策可能已經停用了該應用程式。
FP:如果你能確認應用程式的出版者網域和重定向網址是合法的。
建議行動:將警示歸類為誤報,並考慮根據你對警示的調查分享回饋。
了解入侵範圍
- 檢視應用程式執行的所有活動。
- 請檢視應用程式所獲得的範圍。
- 檢視與應用程式相關的使用者活動。
憑證存取
本節描述惡意行為者可能試圖讀取敏感憑證資料的警示,並包含竊取帳號名稱、秘密、令牌、憑證及密碼等組織憑證的技術。
應用程式多次啟動失敗的 KeyVault 讀取活動卻無成功
嚴重性:中
MITRE 編號:T1078.004
此偵測可識別租戶中一個應用程式,該應用程式在短時間內使用 Azure Resource Manager API 多次呼叫 KeyVault 讀取動作,僅失敗且未完成任何成功讀取活動。
TP 或 FP?
TP:如果應用程式未知或未被使用,該活動可能令人懷疑。 在驗證所使用的 Azure 資源並驗證租戶中的應用程式使用後,該活動可能需要停用該應用程式。 這通常是懷疑針對 KeyVault 資源進行列舉活動的證據,目的是取得橫向移動或權限升級所需的憑證。
建議行動:檢視該應用程式存取或建立的 Azure 資源,以及近期對應用程式所做的變更。 根據你的調查,決定是否要禁止使用這個應用程式。 檢視此應用程式所要求的權限等級及授權用戶。
FP:如果經過調查,你能確認該應用程式在組織中有合法的商業用途。
建議動作:關閉警示。
了解入侵範圍
- 檢視應用程式的存取權限和活動狀況。
- 檢視該應用程式自創建以來所做的所有活動。
- 檢視應用程式在 圖形 API 中授予的範圍,以及你訂閱中賦予的角色。
- 檢視任何在活動前可能使用過該應用程式的用戶。
探索警示
應用程式執行磁碟機列舉
嚴重性:中
MITRE 識別碼:T1087
此偵測會識別機器學習模型使用圖形 API 在 OneDrive 檔案上執行列舉時所偵測到的 OAuth 應用程式。
TP 或 FP?
TP:如果您能夠確認 OneDrive 的異常活動/使用方式是由 LOB 應用程式透過圖形 API 執行。
建議動作: 停用並移除應用程式,並重設密碼。
FP:如果您可以確認應用程式未執行任何異常活動。
建議動作:關閉警示。
了解入侵範圍
- 檢閱此應用程式執行的所有活動。
- 檢閱應用程式授與的範圍。
- 檢閱與此應用程式關聯的使用者活動。
使用 Microsoft Graph PowerShell 執行的可疑列舉活動
嚴重性:中
MITRE 識別碼:T1087
此偵測可識別出大量可疑的列舉活動,這些活動在短時間內透過 Microsoft Graph PowerShell 應用程式進行。
TP 或 FP?
TP:如果你能確認 Microsoft Graph PowerShell 應用程式執行了可疑或異常的列舉活動。
建議動作: 停用並移除應用程式,並重設密碼。
FP:如果您可以確認應用程式未執行任何異常活動。
建議動作:關閉警示。
了解入侵範圍
- 檢閱此應用程式執行的所有活動。
- 檢閱與此應用程式關聯的使用者活動。
最近建立的多租戶應用程式經常列舉使用者資訊
嚴重性:中
MITRE 識別碼:T1087
此警示發現最近註冊於一個相對較新的出版商租戶中,擁有更改信箱設定及電子郵件存取權限的 OAuth 應用程式。 它會驗證該應用程式是否多次呼叫 Microsoft 圖形 API,請求使用者目錄資訊。 觸發此警示的應用程式可能在誘使使用者同意,以便存取組織資料。
TP 或 FP?
TP:如果你能確認該應用程式的同意請求是來自未知或外部來源,且該應用程式在組織中沒有合法的商業用途,那麼就表示是真正的陽性。
建議行動:
- 聯絡已授權使用此應用程式的用戶與管理員,確認這是刻意為之,且過度權限是正常的。
- 調查應用程式活動並檢查受影響帳號是否有可疑活動。
- 根據你的調查,請停用該應用程式,並暫停並重設所有受影響帳號的密碼。
- 將警報歸類為真實陽性。
FP:如果調查後你能確認該應用程式在組織中有合法的商業用途,那麼就表示誤判。
建議行動:將警示歸類為誤報,並考慮根據你對警示的調查分享回饋。
了解入侵範圍
審查用戶與管理員對申請所作的同意授權。 調查應用程式執行的所有活動,特別是使用者目錄資訊的列舉。 如果你懷疑該應用程式有可疑之處,建議停用該應用程式並輪換所有受影響帳號的憑證。
外洩警報
本節描述警示,指出惡意行為者可能正試圖從您的組織竊取與其目標相關的資料。
OAuth 應用程式使用特殊使用者代理
嚴重性:低
MITRE 編號:T1567
此偵測可識別使用特殊使用者代理存取圖形 API 的 OAuth 應用程式。
TP 或 FP?
TP:如果你能確認 OAuth 應用程式最近開始使用一個之前未曾使用的新用戶代理,且此變更是意外的,則表示為真陽性。
建議行動:檢視所使用的使用者代理及近期對應用程式所做的變更。 根據你的調查,你可以選擇禁止使用這個應用程式。 檢閱此應用程式要求的權限層級,以及哪些使用者已授予存取權。
FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。
建議動作:關閉警示。
了解入侵範圍
- 檢視最近建立的應用程式及使用的使用者代理。
- 檢閱應用程式完成的所有活動。
- 檢閱應用程式授與的範圍。
擁有特殊使用者代理的應用程式透過 Exchange Web Services 存取電子郵件資料
嚴重程度:高度
MITRE 編號:T1114,T1567
此偵測識別出一個 OAuth 應用程式使用不尋常的使用者代理程式,使用 Exchange Web Services API 存取電子郵件資料。
TP 或 FP?
TP:如果你能確認 OAuth 應用程式不會更改它用來向 Exchange Web Services API 發出請求的使用者代理,那就表示是真陽性。
建議行動:將警示歸類為 TP。 根據調查,如果應用程式是惡意的,你可以撤銷同意並在租戶中停用該應用程式。 如果是被入侵的應用程式,你可以撤銷同意、暫時停用應用程式、審查權限、重設秘密和憑證,然後再重新啟用應用程式。
FP:如果經過調查,你可以確認應用程式所使用的使用者代理在組織中有合法的商業用途。
建議行動:將警示歸類為FP。 同時,也請考慮根據你對警報的調查分享回饋。
了解入侵範圍
- 檢視該應用程式是否是新建立的,或是否有近期任何變更。
- 檢視應用程式及已同意使用該應用程式的使用者所獲得的權限。
- 檢閱應用程式完成的所有活動。
橫向移動警示
本節描述警示,指出惡意行為者可能試圖在不同資源間橫向移動,並透過多個系統與帳號來獲得更多控制權。
近期主要使用 MS Graph 或 Exchange Web Services 的休眠 OAuth 應用程式正在存取 ARM 工作負載
嚴重性:中
MITRE 編號:T1078.004
此偵測能識別租戶中某個應用程式,該應用程式在長時間休眠後,首次開始存取 Azure Resource Manager API。 過去,這個應用程式主要使用 MS Graph 或 Exchange Web Service。
TP 或 FP?
TP:如果該應用程式未知或未被使用,該活動可能存在可疑,可能需要在驗證 Azure 資源使用並驗證租戶中應用程式使用情況後,停用該應用程式。
建議行動:
- 檢視該應用程式存取或建立的 Azure 資源,以及最近對應用程式所做的任何變更。
- 檢閱此應用程式要求的權限層級,以及哪些使用者已授予存取權。
- 根據你的調查,決定是否要禁止使用這個應用程式。
FP:如果經過調查,你能確認該應用程式在組織中有合法的商業用途。
建議動作:關閉警示。
了解入侵範圍
- 檢視應用程式的存取權限和活動狀況。
- 檢視該應用程式自創建以來所做的所有活動。
- 檢視應用程式在 圖形 API 中授予的範圍,以及你訂閱中賦予的角色。
- 檢視任何在活動前可能使用過該應用程式的用戶。
集合警示
本節描述的警報可指出,惡意行為者可能正嘗試從您的組織收集對其目標有益的資料。
應用程式讓電子郵件搜尋活動變得異常
嚴重性:中
MITRE 識別碼:T1114
此偵測可識別應用程式是否同意可疑的 OAuth 範圍,並進行大量異常郵件搜尋活動,例如透過 圖形 API 搜尋特定內容的郵件。 這可能表示組織遭到入侵企圖,例如攻擊者試圖透過 圖形 API 搜尋並讀取你組織的特定電子郵件。
TP 或 FP?
TP:如果你能確認有大量異常郵件搜尋,並透過 圖形 API 讀取活動,且該應用程式的 OAuth 範圍可疑,且該應用程式來自未知來源,
建議行動:停用並移除應用程式、重設密碼,以及移除收件匣規則。
FP:如果你能確認該應用程式執行了大量不尋常的電子郵件搜尋,並且正當理由閱讀過 圖形 API。
建議動作:關閉警示。
了解入侵範圍
- 檢閱應用程式授與的範圍。
- 檢閱應用程式完成的所有活動。
應用程式進行異常 Graph 呼叫以讀取電子郵件
嚴重性:中
MITRE 識別碼:T1114
此偵測可發現企業營運 (LOB) OAuth 應用程式透過 Graph API 存取異常且大量的使用者郵件資料夾和郵件,這表示惡意攻擊者已嘗試入侵您的組織。
TP 或 FP?
TP:如果您可以確認異常 Graph 活動是由企業營運 (LOB) OAuth 應用程式執行的,則表示其確判為真。
建議操作:暫時停用應用程式並重設密碼,然後再重新啟用應用程式。 請參考使用 Microsoft Entra ID 重設密碼的教學。
FP:如果您可以確認應用程式試圖執行異常大量的 Graph 呼叫。
建議動作:關閉警示。
了解入侵範圍
- 請查閱此應用程式所執行之事件的活動記錄,以深入了解其他 Graph 活動,以讀取電子郵件並嘗試收集使用者的敏感性電子郵件資訊。
- 監視新增到應用程式的未預期認證。
應用程式建立收件匣規則並執行異常電子郵件搜尋活動
嚴重性:中
MITRE 編號:T1137、T1114
此偵測識別同意高權限範圍、建立可疑收件匣規則以及透過 Graph API 在使用者郵件資料夾中進行異常電子郵件搜尋活動的應用程式。 這可能表示有人試圖入侵貴組織,例如攻擊者試圖透過 Graph API 搜尋和收集貴組織的特定電子郵件。
TP 或 FP?
TP:如果您能够確認具有高權限範圍的 OAuth 應用程式透過 Graph API 完成的任何特定電子郵件搜尋和收集,並且該應用程式來自未知來源。
建議動作:停用並移除應用程式、重設密碼,以及移除收件匣規則。
FP:若您能够確認應用程式已透過 Graph API 執行了特定電子郵件搜尋和收集,並出於合法原因為新的或個人外部電子郵件帳戶建立了收件匣規則。
建議動作:關閉警示。
了解入侵範圍
- 檢閱應用程式完成的所有活動。
- 檢閱應用程式授與的範圍。
- 檢閲應用程式建立的任何收件匣規則動作。
- 檢閲應用程式已執行的所有電子郵件搜尋活動。
App 建立了 OneDrive / SharePoint 搜尋活動並建立了收件匣規則
嚴重性:中
MITRE 編號:T1137、T1213
此偵測會識別應用程式同意高權限範圍、建立可疑的信箱規則,並透過 Graph API 進行異常的 SharePoint 或 OneDrive 搜尋活動。 這可能表示有人試圖入侵貴組織,例如攻擊者試圖透過 Graph API 搜尋和收集貴組織來自 SharePoint 或 OneDrive 的特定電子郵件。
TP 或 FP?
TP:如果你能確認 SharePoint 或 OneDrive 搜尋與收集中,有 Oauth 應用程式透過 圖形 API 進行的高權限範圍,且該應用程式來自未知來源,
建議行動:停用並移除應用程式,重設密碼,並移除收件匣規則。
FP:如果你能確認該應用程式透過 OAuth 應用程式透過 圖形 API 執行了 SharePoint 或 OneDrive 搜尋與收集的特定資料,並且基於正當理由為新的或個人外部電子郵件帳號建立了收件匣規則,
建議動作:關閉警示。
了解入侵範圍
- 檢閱應用程式完成的所有活動。
- 檢閱應用程式授與的範圍。
- 檢閲應用程式建立的任何收件匣規則動作。
- 檢閱應用程式完成的任何 SharePoint 或 OneDrive 搜尋活動。
App 在 OneDrive 裡做了大量搜尋和編輯
嚴重性:中
MITRE 編號:T1137、T1213
此偵測能識別擁有高權限權限、使用 OneDrive 圖形 API 進行大量搜尋與編輯的 OAuth 應用程式。
TP 或 FP?
TP:如果你能確認這個擁有高讀寫權限的 OAuth 應用程式,透過 圖形 API 不會有高 OneDrive 工作負載的使用率,那麼這表示是真正的陽性。
建議行動:根據調查結果,若應用程式惡意,您可以撤銷同意並在租戶中停用該應用程式。 如果是被入侵的應用程式,你可以撤銷同意、暫時停用應用程式、審查所需權限、重設密碼,然後再重新啟用應用程式。
FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。
建議行動:解決警報並回報您的發現。
了解入侵範圍
- 確認該應用程式是否來自可靠的來源。
- 確認該應用程式是否是新建立的,或是否有近期任何變更。
- 檢視應用程式及已同意使用該應用程式的使用者所獲得的權限。
- 調查所有其他應用程式活動。
應用程式已讀取大量重要性的郵件並建立收件匣規則
嚴重性:中
MITRE 編號:T1137、T1114
此偵測會識別應用程式同意高權限範圍、建立可疑的收件匣規則, 並透過 Graph API 進行大量重要的郵件讀取活動。 這可能表示有人試圖入侵貴組織, 例如攻擊者試圖透過 Graph API 讀取貴組織的重要電子郵件。
TP 或 FP?
TP:如果你能確認高權限範圍的 OAuth 應用程式透過 圖形 API 讀取大量重要郵件,且該應用程式來自未知來源。
建議行動:停用並移除應用程式,重設密碼,並移除收件匣規則。
FP:如果你能確認應用程式處理了大量重要郵件,請透過 圖形 API 閱讀,並為新的或個人外部電子郵件帳號建立收件匣規則,這是出於正當理由。
建議動作:關閉警示。
了解入侵範圍
- 檢閱應用程式完成的所有活動。
- 檢閱應用程式授與的範圍。
- 檢閲應用程式建立的任何收件匣規則動作。
- 查看應用程式完成的任何高重要性電子郵件讀取活動。
特權應用程式在 Teams 中執行了不尋常的活動
嚴重性:中
此偵測識別出同意高權限 OAuth 範圍、存取 Microsoft Teams 並透過 圖形 API 產生異常大量閱讀或貼文聊天訊息活動的應用程式。 這可能表示組織遭到入侵企圖,例如攻擊者試圖透過 圖形 API 從你的組織蒐集資訊。
TP 或 FP?
TP:如果你能透過 Microsoft圖形 API 確認 Teams 中異常聊天訊息活動是由一個權限範圍很高的 OAuth 應用程式,且該應用程式來自未知來源。
建議操作:停用並移除該應用程式,並重設密碼
FP:如果你能確認 Microsoft Teams 透過 圖形 API 進行的異常行為是出於正當理由,
建議動作:關閉警示。
了解入侵範圍
- 檢閱應用程式授與的範圍。
- 檢閱應用程式完成的所有活動。
- 檢視與應用程式相關的使用者活動。
OneDrive 異常活動依應用程式更新或新增帳號
嚴重性:中
MITRE 識別碼:T1098.001、T1213
一款非 Microsoft 雲端應用程式對 OneDrive 進行了異常的 圖形 API 呼叫,包括大量資料使用。 這些異常的 API 呼叫會被機器學習偵測到,通常在應用程式新增或更新現有憑證/秘密後幾天內就發生。 此應用程式可能涉及資料外洩或其他存取及取回敏感資訊的嘗試。
TP 或 FP?
TP:如果你能確認應用程式透過 圖形 API 執行異常活動,例如 OneDrive 工作負載的大量使用,
建議行動:暫時停用應用程式,重設密碼後再重新啟用該應用程式。
FP:如果你能確認該應用程式沒有執行任何異常活動,或應用程式本意是要發出異常大量的 Graph 呼叫,
建議動作:關閉警示。
了解入侵範圍
- 檢視應用程式執行的所有活動。
- 檢閱應用程式授與的範圍。
- 檢視與應用程式相關的使用者活動。
應用程式出現異常的 SharePoint 活動,剛更新或新增了憑證
嚴重性:中
MITRE 編號:T1098.001、T1213.002
一個非 Microsoft 雲端應用程式對 SharePoint 進行了異常的 圖形 API 呼叫,包括大量資料使用。 這些異常的 API 呼叫會被機器學習偵測到,通常在應用程式新增或更新現有憑證/秘密後幾天內就發生。 此應用程式可能涉及資料外洩或其他存取及取回敏感資訊的嘗試。
TP 或 FP?
TP:如果你能確認應用程式透過 圖形 API 執行了異常活動,例如大量使用 SharePoint 工作負載,
建議行動:暫時停用應用程式,重設密碼後再重新啟用該應用程式。
FP:如果你能確認該應用程式沒有執行任何異常活動,或應用程式本意是要發出異常大量的 Graph 呼叫,
建議動作:關閉警示。
了解入侵範圍
- 檢視應用程式執行的所有活動。
- 檢閱應用程式授與的範圍。
- 檢視與應用程式相關的使用者活動。
與可疑郵件相關活動相關的應用程式元資料
嚴重性:中
MITRE 編號:T1114
此偵測會為非 Microsoft OAuth 應用程式產生警示,這些中包含 名稱、 網址或 發布者等元資料,且先前在有可疑郵件相關活動的應用程式中曾被觀察到。 這個應用程式可能是攻擊行動的一部分,可能涉及敏感資訊的外洩。
TP 或 FP?
TP:如果你能確認該應用程式確實建立了郵箱規則,或對 Exchange 工作負載呼叫了大量異常的 圖形 API 指令。
建議行動:
- 請查詢應用程式的註冊資訊及管理相關資訊,並造訪 Microsoft Entra ID 以獲得更多資訊。
- 聯絡授權或授權該應用程式的使用者或管理員。 確認這些變更是否是刻意為之。
- 搜尋 CloudAppEvents 進階搜尋表,了解應用程式活動並識別該應用程式存取的資料。 檢查受影響的信箱,並檢視應用程式本身或其制定規則可能已閱讀或轉寄的郵件。
- 在考慮任何遏制措施前,請確認該應用程式對您的組織是否至關重要。 使用應用治理或 Microsoft Entra ID 停用該應用程式,以防止它存取資源。 現有的應用程式治理政策可能已經停用了該應用程式。
FP:如果您能確認該應用程式沒有執行任何異常活動,且該應用程式在組織中有合法的商業用途。
建議動作:關閉警示。
了解入侵範圍
- 檢視應用程式執行的所有活動。
- 請檢視應用程式所獲得的範圍。
- 檢視與應用程式相關的使用者活動。
擁有 EWS 應用程式權限的應用程式,存取大量電子郵件
嚴重性:中
MITRE 編號:T1114
此偵測會為多租戶雲端應用程式產生警報,顯示針對電子郵件列舉與收集專用的 Exchange Web Services API 呼叫顯著增加。 這個應用程式可能涉及存取和取回敏感的電子郵件資料。
TP 或 FP?
TP:如果你能確認該應用程式存取了敏感電子郵件資料,或對 Exchange 工作負載進行了大量異常呼叫。
建議行動:
- 請查詢應用程式的註冊資訊及管理相關資訊,並造訪 Microsoft Entra ID 以獲得更多資訊。
- 聯絡授權或授權該應用程式的使用者或管理員。 確認這些變更是否是刻意為之。
- 搜尋 CloudAppEvents 進階搜尋表,了解應用程式活動並識別該應用程式存取的資料。 檢查受影響的信箱,並檢視應用程式本身或其制定規則可能已閱讀或轉寄的郵件。
- 在考慮任何遏制措施前,請確認該應用程式對您的組織是否至關重要。 使用應用治理或 Microsoft Entra ID 停用該應用程式,以防止它存取資源。 現有的應用程式治理政策可能已經停用了該應用程式。
FP:如果您能確認該應用程式沒有執行任何異常活動,且該應用程式在組織中有合法的商業用途。
建議動作:關閉警示。
了解入侵範圍
- 檢視應用程式執行的所有活動。
- 請檢視應用程式所獲得的範圍。
- 檢視與應用程式相關的使用者活動。
未使用的應用程式正在重新存取 API
嚴重性:中
MITRE 識別碼:T1530
這項偵測會為一個多租戶雲端應用程式產生警報,該應用程式已停用一段時間,最近開始進行 API 呼叫。 此應用程式可能被攻擊者入侵,並被用來存取及取回敏感資料。
TP 或 FP?
TP:如果你能確認該應用程式存取了敏感資料,或對 Microsoft Graph、Exchange 或 Azure Resource Manager 工作負載進行了大量異常呼叫。
建議行動:
- 請查詢應用程式的註冊資訊及管理相關資訊,並造訪 Microsoft Entra ID 以獲得更多資訊。
- 聯絡授權或授權該應用程式的使用者或管理員。 確認這些變更是否是刻意為之。
- 搜尋 CloudAppEvents 進階搜尋表,了解應用程式活動並識別該應用程式存取的資料。 檢查受影響的信箱,並檢視應用程式本身或其制定規則可能已閱讀或轉寄的郵件。
- 在考慮任何遏制措施前,請確認該應用程式對您的組織是否至關重要。 使用應用治理或 Microsoft Entra ID 停用該應用程式,以防止它存取資源。 現有的應用程式治理政策可能已經停用了該應用程式。
FP:如果您能確認該應用程式沒有執行任何異常活動,且該應用程式在組織中有合法的商業用途。
建議動作:關閉警示。
了解入侵範圍
- 檢視應用程式執行的所有活動。
- 請檢視應用程式所獲得的範圍。
- 檢視與應用程式相關的使用者活動。
撞擊警報
本節描述警示,指出惡意行為者可能試圖操控、中斷或摧毀您組織中的系統與資料。
Entra 業務線應用程式引發虛擬機創建異常激增
嚴重性:中
MITRE 編號:T1496
此偵測能識別出一個新的租戶應用程式,該應用正在你的租戶中使用 Azure Resource Manager API 產生大量Azure 虛擬機器。
TP 或 FP?
TP:如果你能確認 OAuth 應用程式是最近建立的,並且在你的租戶中建立了大量虛擬機器,那就表示是真正的陽性。
建議行動:檢視已建立的虛擬機器及近期對應用程式所做的變更。 根據你的調查,你可以選擇禁止使用這個應用程式。 檢閱此應用程式要求的權限層級,以及哪些使用者已授予存取權。
FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。
建議動作:關閉警示。
了解外洩的範圍:
- 檢視最近建立的應用程式和虛擬機。
- 檢視該應用程式自創建以來所做的所有活動。
- 檢視應用程式在圖形 API 中授予的範圍,以及你訂閱中賦予它的角色。
在 Microsoft Graph 中,觀察到具有高範圍權限的 OAuth 應用程式啟動虛擬機建立
嚴重性:中
MITRE 編號:T1496
此偵測可識別出 OAuth 應用程式在租戶中使用Azure Resource Manager API 建立大量Azure 虛擬機器,且在活動前透過 MS 圖形 API在租戶中擁有高權限。
TP 或 FP?
TP:如果你能確認 OAuth 應用程式的權限範圍很高,並且在你的租戶中建立了大量虛擬機器,那就表示是真正的陽性。
建議行動:檢視已建立的虛擬機器及近期對應用程式所做的變更。 根據你的調查,你可以選擇禁止使用這個應用程式。 檢閱此應用程式要求的權限層級,以及哪些使用者已授予存取權。
FP:調查後,您可以確認應用程式在組織中具有合法的商業用途。
建議動作:關閉警示。
了解外洩的範圍:
- 檢視最近建立的應用程式和虛擬機。
- 檢視該應用程式自創建以來所做的所有活動。
- 檢視應用程式在圖形 API 中授予的範圍,以及你訂閱中賦予它的角色。