Изучение оповещений обнаружения угроз приложений OAuth

Управление приложениями обеспечивает обнаружение безопасности и оповещения о вредоносных действиях. В этой статье перечислены сведения о каждом оповещении, которое может помочь в исследовании и исправлении, включая условия для активации оповещений. Так как обнаружение угроз по своей природе недетерминировано, они активируются только при наличии поведения, которое отклоняется от нормы.

Дополнительные сведения см. в разделе Управление приложениями в Microsoft Defender for Cloud Apps

Примечание.

Обнаружение угроз управления приложениями основано на подсчете действий на данных, которые являются временными и не могут храниться, поэтому оповещения могут предоставлять количество действий или признаки пиков, но не обязательно все соответствующие данные. В частности, для действий API Graph в OAuth-приложениях сам арендатор может выполнять их аудит с помощью Log Analytics и Sentinel.

Дополнительные сведения см. в следующих разделах.

Общие действия по изучению оповещений об обнаружении угроз системы управления приложениями

Выполните следующие действия, чтобы найти оповещения об обнаружении угроз системы управления приложениями и исследовать их в Microsoft Defender XDR.

Чтобы найти оповещения, связанные с управлением приложениями, перейдите на страницу оповещений портала Microsoft Defender. В списке оповещений используйте поле "Источники службы и обнаружения" для фильтрации оповещений. Задайте для этого поля значение "Управление приложениями", чтобы просмотреть все оповещения, созданные управлением приложениями.

Общие рекомендации по изучению оповещений

Используйте следующие общие рекомендации при исследовании любого типа оповещений, чтобы получить более четкое представление о потенциальной угрозе перед применением рекомендуемого действия.

  • Проверьте уровень серьезности приложения и сравните его с остальными приложениями в вашем арендаторе. Этот обзор поможет определить, какие приложения в вашем арендаторе представляют больший риск.

  • Если вы определите истинный положительный результат (TP), просмотрите все действия приложения, чтобы получить представление о влиянии. Например, проверьте следующие сведения приложения.

    • Области, к которым предоставлен доступ
    • Необычное поведение
    • IP-адрес и расположение

Классификации оповещений системы безопасности

После надлежащего исследования все оповещения системы управления приложениями можно отнести к одному из следующих типов действий:

  • True positive (TP) — оповещение о подтвержденном вредоносном действии.
  • Доброкачественный истинно положительный результат (B-TP): оповещение о подозрительных, но не вредоносных действиях, таких как тест на проникновение или другое санкционированное подозрительное действие.
  • Ложноположительный результат (FP) — оповещение о невредоносном действии.

Сопоставление MITRE ATT&CK для оповещений системы управления приложениями

Платформа MITRE ATT&CK является стандартной отраслевой базой знаний тактики и методов злоумышленников. Чтобы упростить сопоставление отношений между оповещениями системы управления приложениями и матрицей MITRE ATT&CK, мы классифицировали оповещения по соответствующей тактике MITRE ATT&CK. Эта дополнительная ссылка упрощает понимание метода предполагаемых атак, потенциально используемого при срабатывании оповещения системы управления приложениями.

В этом руководстве содержится информация об исследовании и устранении оповещений системы управления приложениями в следующих категориях.

Оповещения о первоначальном доступе

Следующие оповещения о первоначальном доступе указывают на то, что вредоносное приложение может пытаться закрепиться в вашей организации.

Приложение перенаправляет на фишинговый URL-адрес путем использования уязвимости перенаправления OAuth

Серьезность: средний уровень

Это обнаружение выявляет приложения OAuth, перенаправляющие на фишинговые URL-адреса за счёт эксплуатации параметра response_type в реализации OAuth через API Microsoft Graph.

TP или FP?

  • TP: Если вы можете подтвердить, что приложение OAuth было получено из неизвестного источника, тип ответа в URL-адресе ответа после предоставления согласия приложению OAuth содержит недопустимый запрос и перенаправляет на неизвестный или ненадежный URL-адрес ответа.

    Рекомендуемое действие. Отключите и удалите приложение, сбросьте пароль и удалите правило для папки "Входящие". 

  • FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

    Рекомендуемое действие. Закройте оповещение.

Понять масштаб инцидента

  1. Проверьте все действия, выполненные приложением. 
  2. Проверьте области разрешений, предоставленные приложением. 

Приложение OAuth с подозрительным URL-адресом ответа

Серьезность: средний уровень

Это обнаружение выявляет, что приложение OAuth получило доступ к подозрительному URL-адресу ответа через Microsoft API Graph.

TP или FP?

  • TP. Если вы можете убедиться, что приложение OAuth доставлено из неизвестного источника и перенаправляется на подозрительный URL-адрес, то будет указан истинный положительный результат. Подозрительный URL-адрес — это URL-адрес, репутация которого неизвестна или который не считается доверенным, либо URL-адрес, домен которого был недавно зарегистрирован, если запрос приложения относится к области с высокими привилегиями.

    Рекомендуемое действие: проверьте URL-адрес ответа, домены и области, запрошенные приложением. В зависимости от исследования вы можете запретить доступ к этому приложению. Проверьте уровень разрешений, запрошенных этим приложением, и пользователям, которым предоставляется доступ.

    Чтобы запретить доступ к приложению, перейдите на соответствующую вкладку приложения на странице Управление приложениями . В строке, в которой отображается приложение, которое вы хотите запретить, щелкните значок запрета. Вы можете выбрать, нужно ли сообщать пользователям о том, что приложение, которое они установили и авторизовали, было заблокировано. Уведомление уведомляет пользователей о том, что приложение будет отключено и у них не будет доступа к подключенном приложению. Если вы не хотите, чтобы они знали, снимите флажок Уведомлять пользователей, которые предоставили доступ к этому запрещено приложению в диалоговом окне. Рекомендуется сообщать пользователям о запрете их приложений.

  • FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Просмотрите приложения, созданные недавно, и их URL-адреса ответа.

  2. Проверьте все действия, выполненные приложением. 

  3. Проверьте области разрешений, предоставленные приложением. 

Серьезность: низкий уровень

Это обнаружение определяет недавно созданное приложение OAuth с низким уровнем согласия. Это может указывать на вредоносное или рискованное приложение, которое заманит пользователей в незаконное предоставление согласия.

TP или FP?

  • TP: если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника, будет указан истинноположительный результат.

    Рекомендуемое действие. Проверьте отображаемое имя, URL-адреса ответов и домены приложения. На основе исследования вы можете запретить доступ к этому приложению. Проверьте уровень разрешения, запрашиваемого этим приложением, и пользователей, которые предоставили доступ.

  • FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Проверьте все действия, выполненные приложением.
  2. Если вы полагаете, что приложение является подозрительным, рекомендуется исследовать его имя и домен ответа в разных магазинах приложений. При проверке магазинов приложений уделите внимание следующим типам приложений:
    • Приложения, созданные недавно
    • Приложение с необычным отображаемым именем
    • Приложения с подозрительным доменом ответа
  3. Если вы все еще полагаете, что приложение является подозрительным, вы можете исследовать отображаемое имя приложения и домен ответа.

Приложение с URL-адресом с плохой репутацией

Серьезность: средний уровень

Это обнаружение определяет приложение OAuth, у которого обнаружен URL-адрес с плохой репутацией.

TP или FP?

  • TP: если вы можете подтвердить, что приложение OAuth предоставлено из неизвестного источника и перенаправляет на подозрительный URL-адрес, будет указан истинноположительный результат.

    Рекомендуемое действие. Проверьте URL-адреса ответа, домены и области, запрашиваемые приложением. На основе исследования вы можете запретить доступ к этому приложению. Проверьте уровень разрешения, запрашиваемого этим приложением, и пользователей, которые предоставили доступ.

  • FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Проверьте все действия, выполненные приложением.
  2. Если вы полагаете, что приложение является подозрительным, рекомендуется исследовать его имя и домен ответа в разных магазинах приложений. При проверке магазинов приложений уделите внимание следующим типам приложений:
    • Приложения, созданные недавно
    • Приложение с необычным отображаемым именем
    • Приложения с подозрительным доменом ответа
  3. Если вы все еще полагаете, что приложение является подозрительным, вы можете исследовать отображаемое имя приложения и домен ответа.

Серьезность: средний уровень

Описание: Это обнаружение выявляет приложения OAuth, в именах которых используются символы, например символы Юникода или закодированные символы, которые запрашивали подозрительные области разрешений согласия и получали доступ к почтовым папкам пользователей через API Graph. Это оповещение может указывать на попытку замаскировать вредоносное приложения как известное и доверенное приложение, чтобы злоумышленники могли ввести пользователей в заблуждение и получить их согласие на вредоносное приложение.

TP или FP?

  • TP: если вы можете подтвердить, что приложение OAuth содержит закодированное отображаемое имя с подозрительными областями и доставлено из неизвестного источника, будет указан истинноположительный результат.

    Рекомендуемое действие. Проверьте уровень разрешения, запрашиваемого этим приложением, и пользователей, которые предоставили доступ. На основе исследования вы можете запретить доступ к этому приложению.

    Чтобы запретить доступ к приложению, перейдите на соответствующую вкладку приложения на странице Управление приложениями . В строке, в которой отображается приложение, которое вы хотите запретить, щелкните значок запрета. Вы можете выбрать, нужно ли сообщать пользователям о том, что приложение, которое они установили и авторизовали, было заблокировано. Уведомление уведомляет пользователей о том, что приложение будет отключено и у них не будет доступа к подключенном приложению. Если вы не хотите, чтобы они знали, снимите флажок Уведомлять пользователей, которые предоставили доступ к этому запрещено приложению в диалоговом окне. Рекомендуется сообщать пользователям о запрете их приложений.

  • FP: если вам нужно подтвердить, что приложение имеет закодированное название, но используется в организации в законных деловых целях.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

Следуйте инструкциям в руководстве по анализу рискованных OAuth-приложений.

Приложение OAuth с областями чтения имеет подозрительный URL-адрес ответа

Серьезность: средний уровень

Описание: Это обнаружение выявляет приложение OAuth только с областями разрешений на чтение, такими как Read, User.Read, People.Read, Contacts.Read, Mail.Read, Contacts.Read.Shared, перенаправляющее на подозрительный URL-адрес ответа через API Graph. Это действие пытается указать, что вредоносное приложение с меньшими привилегиями (например, с областями чтения) может эксплуатироваться для проведения рекогносцировки учетных записей пользователей.

TP или FP?

  • TP: если вы можете подтвердить, что приложение OAuth с областью доступа на чтение получено из неизвестного источника и перенаправляет на подозрительный URL-адрес, это указывает на истинное срабатывание.

    Рекомендуемое действие. Проверьте URL-адрес ответа и области, запрашиваемые приложением. На основе исследования вы можете запретить доступ к этому приложению. Проверьте уровень разрешения, запрашиваемого этим приложением, и пользователей, которые предоставили доступ.

    Чтобы запретить доступ к приложению, перейдите на соответствующую вкладку приложения на странице Управление приложениями . В строке, в которой отображается приложение, которое вы хотите запретить, щелкните значок запрета. Вы можете выбрать, нужно ли сообщать пользователям о том, что приложение, которое они установили и авторизовали, было заблокировано. Уведомление уведомляет пользователей о том, что приложение будет отключено и у них не будет доступа к подключенном приложению. Если вы не хотите, чтобы они знали, снимите флажок Уведомлять пользователей, которые предоставили доступ к этому запрещено приложению в диалоговом окне. Рекомендуется сообщать пользователям о запрете их приложений.

  • B-TP: если после исследования вы можете подтвердить, что приложение предназначено для обоснованного бизнес-использования в организации.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Проверьте все действия, выполненные приложением.
  2. Если вы полагаете, что приложение является подозрительным, рекомендуется исследовать его имя и URL-адрес ответа в разных магазинах приложений. При проверке магазинов приложений уделите внимание следующим типам приложений:
    • Приложения, созданные недавно.
    • Приложения с подозрительным URL-адресом ответа
    • Приложения, которые не обновлялись в последнее время. Отсутствие обновлений может означать, что приложение больше не поддерживается.
  3. Если вы все еще полагаете, что приложение является подозрительным, вы можете исследовать имя приложения, имя издателя и URL-адрес ответа в Интернете

Приложение с необычным отображаемым именем и необычным TLD в домене Reply

Серьезность: средний уровень

Это обнаружение выявляет приложение с необычным отображаемым именем и перенаправлением на подозрительный домен для ответов с необычным доменом верхнего уровня (TLD) через API Graph. Это может указывать на попытку замаскировать вредоносное или рискованное приложение как известное и доверенное приложение, чтобы злоумышленники могли ввести пользователей в заблуждение для предоставления согласия на их вредоносное или рискованное приложение. 

TP или FP?

  • TP: если вы можете подтвердить, что приложение с необычным отображаемым именем доставлено из неизвестного источника и перенаправляет на подозрительный домен с необычным доменом верхнего уровня

    Рекомендуемое действие. Проверьте отображаемое имя и домен ответа приложения. На основе исследования вы можете запретить доступ к этому приложению. Проверьте уровень разрешения, запрашиваемого этим приложением, и пользователей, которые предоставили доступ.

  • FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

Проверьте все действия, выполненные приложением. Если вы полагаете, что приложение является подозрительным, рекомендуется исследовать его имя и домен ответа в разных магазинах приложений. При проверке магазинов приложений уделите внимание следующим типам приложений:

  • Приложения, созданные недавно
  • Приложение с необычным отображаемым именем
  • Приложения с подозрительным доменом ответа

Если вы все еще полагаете, что приложение является подозрительным, вы можете исследовать отображаемое имя приложения и домен ответа.

Серьезность: средний уровень

Это обнаружение определяет приложения OAuth, созданные недавно в относительно новых клиентах издателя, со следующими характеристиками:

  • Разрешения на доступ или изменение параметров почтового ящика
  • Относительно низкая частота предоставления согласия, которая может выявлять нежелательные или даже вредоносные приложения, которые пытаются получить согласие от не подозревающих пользователей.

TP или FP?

  • TP. Если вы можете подтвердить, что запрос согласия к приложению был доставлен из неизвестного или внешнего источника и приложение не имеет законного использования в организации, то будет указан истинный положительный результат.

    Рекомендуемое действие:

    • Обратитесь к пользователям и администраторам, которые предоставили согласие этому приложению, чтобы убедиться, что это было преднамеренным и чрезмерные привилегии являются нормальными.
    • Изучите активность приложений и проверьте затронутые учетные записи на наличие подозрительной активности.
    • На основе исследования отключите приложение, приостановите и сбросьте пароли для всех затронутых учетных записей.
    • Классифицируйте оповещение как истинно положительное.
  • FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

    Рекомендуемое действие. Классифицируйте оповещение как ложноположительное и рассмотрите возможность обмена отзывами на основе исследования оповещения.

Оцените масштаб нарушения безопасности

Проверьте предоставление согласия приложению, предоставляемое пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовым ящикам связанных пользователей и учетных записей администраторов. Если вы подозреваете, что приложение является подозрительным, попробуйте отключить приложение и сменить учетные данные всех затронутых учетных записей.

Серьезность: средний уровень

Это предупреждение выявляет приложения OAuth, недавно зарегистрированные в сравнительно новом тенанте издателя и имеющие разрешения на изменение параметров почтового ящика и доступ к сообщениям электронной почты. Он также проверяет, имеет ли приложение относительно низкий глобальный уровень согласия, и выполняет многочисленные звонки в Microsoft API Graph для доступа к электронной почте пользователей, отправляющих согласие. Приложения, которые активируют это оповещение, могут быть нежелательными или вредоносными приложениями, пытающимися получить согласие от подозревающих пользователей.

TP или FP?

  • TP. Если вы можете подтвердить, что запрос согласия к приложению был доставлен из неизвестного или внешнего источника и приложение не имеет законного использования в организации, то будет указан истинный положительный результат.

    Рекомендуемое действие:

    • Обратитесь к пользователям и администраторам, которые предоставили согласие этому приложению, чтобы убедиться, что это было преднамеренным и чрезмерные привилегии являются нормальными.
    • Изучите активность приложений и проверьте затронутые учетные записи на наличие подозрительной активности.
    • На основе исследования отключите приложение, приостановите и сбросьте пароли для всех затронутых учетных записей.
    • Классифицируйте оповещение как истинно положительное.
  • FP. Если после исследования вы можете подтвердить, что приложение имеет законное использование в организации, то будет указан ложноположительный результат.

    Рекомендуемое действие. Классифицируйте оповещение как ложноположительное и рассмотрите возможность обмена отзывами на основе исследования оповещения.

Оцените масштаб нарушения безопасности

Проверьте предоставление согласия приложению, предоставляемое пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовым ящикам связанных пользователей и учетных записей администраторов. Если вы подозреваете, что приложение является подозрительным, попробуйте отключить приложение и сменить учетные данные всех затронутых учетных записей.

Подозрительное приложение с разрешениями на отправку большого количества сообщений электронной почты

Серьезность: средний уровень

Это оповещение выявляет мультитенантные приложения OAuth, которые за короткий период времени выполнили множество вызовов к Microsoft API Graph для отправки электронной почты. Он также проверяет, привели ли вызовы API к ошибкам и неудачным попыткам отправки сообщений электронной почты. Приложения, которые активируют это оповещение, могут активно отправлять спам или вредоносные сообщения электронной почты другим целевым объектам.

TP или FP?

  • TP. Если вы можете подтвердить, что запрос согласия к приложению был доставлен из неизвестного или внешнего источника и приложение не имеет законного использования в организации, то будет указан истинный положительный результат.

    Рекомендуемое действие:

    • Обратитесь к пользователям и администраторам, которые предоставили согласие этому приложению, чтобы убедиться, что это было преднамеренным и чрезмерные привилегии являются нормальными.
    • Изучите активность приложений и проверьте затронутые учетные записи на наличие подозрительной активности.
    • На основе исследования отключите приложение, приостановите и сбросьте пароли для всех затронутых учетных записей.
    • Классифицируйте оповещение как истинно положительное.
  • FP. Если после исследования вы можете подтвердить, что приложение имеет законное использование в организации, то будет указан ложноположительный результат.

    Рекомендуемое действие. Классифицируйте оповещение как ложноположительное и рассмотрите возможность обмена отзывами на основе исследования оповещения.

Оцените масштаб нарушения безопасности

Проверьте предоставление согласия приложению, предоставляемое пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовым ящикам связанных пользователей и учетных записей администраторов. Если вы подозреваете, что приложение является подозрительным, попробуйте отключить приложение и сменить учетные данные всех затронутых учетных записей.

Подозрительное приложение OAuth, используемое для отправки многочисленных сообщений электронной почты

Серьезность: средний уровень

Это оповещение указывает на приложение OAuth, которое сделало многочисленные вызовы в Microsoft API Graph для отправки сообщений электронной почты в течение короткого периода времени. Известно, что клиент издателя приложения порождает большое количество приложений OAuth, которые делают аналогичные вызовы Microsoft API Graph. Злоумышленник может активно использовать это приложение для отправки спама или вредоносных сообщений электронной почты целевым объектам.

TP или FP?

  • TP. Если вы можете подтвердить, что запрос согласия к приложению был доставлен из неизвестного или внешнего источника и приложение не имеет законного использования в организации, то будет указан истинный положительный результат.

    Рекомендуемое действие:

    • Обратитесь к пользователям и администраторам, которые предоставили согласие этому приложению, чтобы убедиться, что это было преднамеренным и чрезмерные привилегии являются нормальными.
    • Изучите активность приложений и проверьте затронутые учетные записи на наличие подозрительной активности.
    • На основе исследования отключите приложение, приостановите и сбросьте пароли для всех затронутых учетных записей.
    • Классифицируйте оповещение как истинно положительное.
  • FP. Если после исследования вы можете подтвердить, что приложение имеет законное использование в организации, то будет указан ложноположительный результат.

    Рекомендуемое действие. Классифицируйте оповещение как ложноположительное и рассмотрите возможность обмена отзывами на основе исследования оповещения.

Оцените масштаб нарушения безопасности

Проверьте предоставление согласия приложению, предоставляемое пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовым ящикам связанных пользователей и учетных записей администраторов. Если вы подозреваете, что приложение является подозрительным, попробуйте отключить приложение и сменить учетные данные всех затронутых учетных записей.

Оповещения о сохраняемости

Следующие оповещения о закреплении указывают на то, что злоумышленник, возможно, пытается сохранить своё присутствие в вашей организации.

Приложение выполняло аномальные вызовы к Graph для рабочей нагрузки Exchange после обновления сертификата или добавления новых учетных данных

Серьезность: средний уровень

Идентификатор MITRE: T1098.001, T1114

Это обнаружение инициирует оповещение, если бизнес-приложение обновляет сертификат или секреты либо добавляет новые учетные данные и через несколько дней после обновления сертификата или добавления новых учетных данных наблюдаются необычные действия или высокий уровень использования рабочей нагрузки Exchange через API Graph с помощью алгоритма машинного обучения.

TP или FP?

  • TP: Если вы можете подтвердить, что необычные действия или интенсивное использование в службе Exchange выполнялись LOB-приложением через API Graph

    Рекомендуемое действие. Временно отключите приложение и сбросьте пароль, а затем повторно включите приложение.

  • FP: если вы можете подтвердить, что LOB-приложение не выполняло никаких необычных действий или что приложение рассчитано на необычно большое количество вызовов Graph API.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Проверьте все действия, выполненные этим приложением.
  2. Проверьте области разрешений, предоставленные приложением.
  3. Проверьте действия пользователей, связанные с этим приложением.

Приложение с подозрительной областью действия OAuth было помечено моделью машинного обучения как высокорисковое, выполняло вызовы Microsoft Graph для чтения электронной почты и создало правило для папки "Входящие"

Серьезность: средний уровень

ИД MITRE: T1137.005, T1114

Это обнаружение выявляет приложение OAuth, которое было помечено моделью машинного обучения как высокорисковое, получило согласие на подозрительные разрешения, создало подозрительное правило для папки "Входящие", а затем получило доступ к почтовым папкам и сообщениям пользователей через API Microsoft Graph. Правила для папки "Входящие", например перенаправление всех или определенных писем в другую учетную запись электронной почты, а также вызовы Graph для доступа к письмам и их отправки в другую учетную запись электронной почты, могут быть попыткой извлечь сведения из вашей организации.

TP или FP?

  • TP: если вы можете подтвердить, что правило для папки "Входящие" было создано сторонним приложением OAuth с подозрительными областями, предоставленным из неизвестного источника, определяется истинноположительный результат.

    Рекомендуемое действие. Отключите и удалите приложение, сбросьте пароль и удалите правило для папки "Входящие".

Следуйте инструкциям в руководстве по сбросу пароля с помощью Microsoft Entra ID и следуйте инструкциям по удалению правила папки "Входящие".

  • FP: если вы можете подтвердить, что приложение по обоснованным причинам создало правило для входящих сообщений, перенаправляющее их на новый или личный внешний адрес электронной почты.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Проверьте все действия, выполненные приложением.
  2. Проверьте области разрешений, предоставленные приложением.
  3. Проверьте действие и условие правила для папки "Входящие", созданные приложением.

Приложение с подозрительной областью действия OAuth выполнило вызовы к Graph API для чтения электронной почты и создало правило для папки «Входящие»

Серьезность: средний уровень

Идентификаторы MITRE: T1137.005, T1114

Это обнаружение определяет приложение OAuth, которое предоставило согласие на подозрительные области, создает подозрительное правило для папки "Входящие", а затем обращается к почтовым папкам и сообщениям пользователей посредством API Graph. Правила для папки "Входящие", например перенаправление всех или определенных писем в другую учетную запись электронной почты, а также вызовы Graph для доступа к письмам и их отправки в другую учетную запись электронной почты, могут быть попыткой извлечь сведения из вашей организации.

TP или FP?

  • TP: если вы можете подтвердить, что правило для папки "Входящие" было создано сторонним приложением OAuth с подозрительными областями, предоставленным из неизвестного источника, будет указан истинноположительный результат.

    Рекомендуемое действие. Отключите и удалите приложение, сбросьте пароль и удалите правило для папки "Входящие".

    Следуйте инструкциям в руководстве по сбросу пароля с помощью Microsoft Entra ID и следуйте инструкциям по удалению правила папки "Входящие".

  • FP: Если вы можете подтвердить, что приложение создало правило для входящих сообщений, направляющее их на новый или личный внешний адрес электронной почты, по уважительным причинам.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Проверьте все действия, выполненные приложением.
  2. Проверьте области разрешений, предоставленные приложением.
  3. Проверьте действие и условие правила для папки "Входящие", созданные приложением.

Доступ к приложению получен из необычного расположения после обновления сертификата

Серьезность: низкий уровень

Идентификатор MITRE: T1098

Это обнаружение формирует оповещение, когда в бизнес-приложении (LOB) были обновлены сертификат или секрет, и в течение нескольких дней после обновления сертификата к приложению осуществляется доступ из необычного местоположения, которое недавно не наблюдалось или с которого ранее никогда не выполнялся доступ.

TP или FP?

  • TP: если вы можете подтвердить, что к LOB-приложению был получен доступ из необычного местоположения и что через API Graph оно выполняло необычные действия.

    Рекомендуемое действие. Временно отключите приложение и сбросьте пароль, а затем повторно включите приложение.

  • FP: если вы можете подтвердить, что доступ к LOB-приложению из необычного местоположения был выполнен в законных целях и никаких необычных действий не выполнялось.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Проверьте все действия, выполненные этим приложением.
  2. Проверьте области разрешений, предоставленные приложением.
  3. Проверьте действия пользователей, связанные с этим приложением.

К приложению получен доступ из необычного местоположения, и приложение выполняло аномальные вызовы Graph после обновления сертификата

Серьезность: средний уровень

Идентификатор MITRE: T1098

Это обнаружение вызывает срабатывание оповещения, когда LOB-приложение обновило сертификат или секрет и в течение нескольких дней после обновления сертификата к приложению обращаются из необычного местоположения, из которого недавно не выполнялся доступ или доступ не выполнялся никогда, а также наблюдаются необычные действия или использование через Microsoft API Graph с использованием алгоритмов машинного обучения.

TP или FP?

  • TP: Если вы можете подтвердить, что необычные действия или использование были выполнены LOB-приложением через API Graph из необычного местоположения.

    Рекомендуемое действие. Временно отключите приложение и сбросьте пароль, а затем повторно включите приложение.

  • FP: если вы можете подтвердить, что доступ к LOB-приложению осуществлялся из необычного места в законных целях и не было выполнено никаких необычных действий.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Проверьте все действия, выполненные этим приложением.
  2. Проверьте области разрешений, предоставленные приложением.
  3. Проверьте действия пользователей, связанные с этим приложением.

Приложение, созданное недавно, имеет большое количество отозванных согласия

Серьезность: средний уровень

ИДЕНТИФИКАТОР MITRE: T1566, T1098

Несколько пользователей отозвали свое согласие на это недавно созданное бизнес-приложение (LOB) или стороннее приложение. Это приложение могло заманить пользователей на предоставление согласия непреднамеренно.

TP или FP?

  • TP: если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника, и поведение приложения является подозрительным. 

    Рекомендуемое действие. Отзыв согласия, предоставленных приложению, и отключение приложения. 

  • FP: если после исследования вы можете подтвердить, что приложение имеет законное использование в организации и что приложение не выполняло необычных действий.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Просмотрите все действия, выполняемые приложением.
  2. Если вы подозреваете, что приложение является подозрительным, рекомендуется изучить имя и домен ответа приложения в разных магазинах приложений. При проверке магазинов приложений уделите внимание следующим типам приложений:
    • Приложения, созданные недавно
    • Приложения с необычным отображаемым именем
    • Приложения с подозрительным доменом ответа
  3. Если вы все еще полагаете, что приложение является подозрительным, вы можете исследовать отображаемое имя приложения и домен ответа.

Метаданные приложения, связанные с известной кампанией фишинга

Серьезность: средний уровень

Это обнаружение создает оповещения для приложений OAuth, отличных от Майкрософт, с метаданными, такими как имя, URL-адрес или издатель, которые ранее наблюдались в приложениях, связанных с фишинговой кампанией. Эти приложения могут быть частью одной кампании и могут участвовать в краже конфиденциальной информации.

TP или FP?

  • TP: если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника и выполняет необычные действия.

    Рекомендуемое действие:

    • Изучите сведения о регистрации приложения по управлению приложениями и посетите Microsoft Entra ID для получения дополнительных сведений.
    • Обратитесь к пользователям или администраторам, которые предоставили согласие или разрешения для приложения. Проверьте, были ли изменения преднамеренными.
    • Выполните поиск по таблице расширенного поиска CloudAppEvents, чтобы понять активность приложения и определить, является ли наблюдаемое поведение ожидаемым.
    • Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия по сдерживанию. Отключите приложение с помощью управления приложениями или Microsoft Entra ID, чтобы запретить ему доступ к ресурсам. Возможно, существующие политики управления приложениями уже деактивировали приложение.
  • FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий и что приложение имеет законное использование в организации.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Просмотрите все действия, выполняемые приложением.
  2. Просмотрите области, предоставленные приложению.
  3. Просмотрите действия пользователя, связанные с приложением.

Метаданные приложения, связанные с ранее помеченными подозрительными приложениями

Серьезность: средний уровень

Это обнаружение создает оповещения для приложений OAuth, отличных от Майкрософт, с метаданными, такими как имя, URL-адрес или издатель, которые ранее наблюдались в приложениях, помеченных системой управления приложениями из-за подозрительных действий. Это приложение может быть частью кампании атак и может быть вовлечено в кражу конфиденциальной информации.

TP или FP?

  • TP: если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника и выполняет необычные действия.

    Рекомендуемое действие:

    • Изучите сведения о регистрации приложения по управлению приложениями и посетите Microsoft Entra ID для получения дополнительных сведений.
    • Обратитесь к пользователям или администраторам, которые предоставили согласие или разрешения для приложения. Проверьте, были ли изменения преднамеренными.
    • Выполните поиск в таблице расширенного поиска CloudAppEvents, чтобы понять активность приложения и определить, является ли наблюдаемое поведение ожидаемым.
    • Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия по сдерживанию. Отключите приложение с помощью управления приложениями или Microsoft Entra ID, чтобы запретить ему доступ к ресурсам. Возможно, существующие политики управления приложениями уже деактивировали приложение.
  • FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий и что приложение имеет законное использование в организации.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Просмотрите все действия, выполняемые приложением.
  2. Просмотрите области, предоставленные приложению.
  3. Просмотрите действия пользователя, связанные с приложением.

Подозрительная почтовая активность через API Graph с использованием приложения OAuth

Серьезность: высокая

Это обнаружение генерирует оповещения о мультитенантных приложениях OAuth, зарегистрированных пользователями после входа в систему с высоким уровнем риска, которые в течение короткого периода времени выполняли вызовы к API Microsoft Graph для совершения подозрительных действий с электронной почтой.

Это обнаружение проверяет, были ли выполнены вызовы API для создания правила почтового ящика, создания ответного сообщения, пересылки, ответа или отправки новых сообщений электронной почты. Приложения, которые активируют это оповещение, могут активно отправлять спам или вредоносные сообщения электронной почты другим целевым объектам или удалять конфиденциальные данные и очищать дорожки, чтобы избежать обнаружения.

TP или FP?

  • TP. Если вы можете подтвердить, что запрос на создание приложения и предоставление согласия к приложению был доставлен из неизвестного или внешнего источника и приложение не имеет законного использования в организации, то будет указан истинный положительный результат.

    Рекомендуемое действие:

    • Обратитесь к пользователям и администраторам, которые предоставили согласие этому приложению, чтобы убедиться, что это было преднамеренным и чрезмерные привилегии являются нормальными.

    • Изучите активность приложений и проверьте затронутые учетные записи на наличие подозрительной активности.

    • На основе исследования отключите приложение, приостановите и сбросьте пароли для всех затронутых учетных записей и удалите правило папки "Входящие".

    • Классифицируйте оповещение как истинно положительное.

  • FP. Если после исследования вы можете подтвердить, что приложение используется в организации на законных основаниях, то будет указан ложноположительный результат.

    Рекомендуемое действие:

    • Классифицируйте оповещение как ложноположительное и рассмотрите возможность предоставления отзывов на основе изучения оповещения.

    • Изучите область нарушения.

      Проверьте предоставление согласия приложению, предоставляемое пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовым ящикам связанных пользователей и учетных записей администраторов. Если вы подозреваете, что приложение является подозрительным, попробуйте отключить приложение и сменить учетные данные всех затронутых учетных записей.

Подозрительные действия по электронной почте приложения OAuth через API EWS

Серьезность: высокая

Это обнаружение создает оповещения для мультитенантных приложений OAuth, зарегистрированных пользователями с высоким риском входа, которые выполняли вызовы API веб-служб Microsoft Exchange (EWS) для выполнения подозрительных действий электронной почты в течение короткого периода времени.

Это обнаружение проверяет, были ли выполнены вызовы API для обновления правил папки "Входящие", перемещения элементов, удаления электронной почты, удаления папки или вложения. Приложения, вызывающие это оповещение, могут активно выводить или удалять конфиденциальные данные, а также заметать следы, чтобы избежать обнаружения.

TP или FP?

  • TP. Если вы можете подтвердить, что запрос на создание приложения и предоставление согласия к приложению был доставлен из неизвестного или внешнего источника и приложение не имеет законного использования в организации, то будет указан истинный положительный результат.

    Рекомендуемое действие:

    • Обратитесь к пользователям и администраторам, которые предоставили согласие этому приложению, чтобы убедиться, что это было преднамеренным и чрезмерные привилегии являются нормальными.

    • Изучите активность приложений и проверьте затронутые учетные записи на наличие подозрительной активности.

    • На основе исследования отключите приложение, приостановите и сбросьте пароли для всех затронутых учетных записей и удалите правило папки "Входящие".

    • Классифицируйте оповещение как истинно положительное.

  • FP. Если после исследования вы можете подтвердить, что приложение имеет законное использование в организации, то будет указан ложноположительный результат.

    Рекомендуемое действие:

    • Классифицируйте оповещение как ложноположительное и рассмотрите возможность предоставления отзывов на основе изучения оповещения.

    • Изучите область нарушения.

      Проверьте предоставление согласия приложению, предоставляемое пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно доступ к почтовым ящикам связанных пользователей и учетных записей администраторов. Если вы подозреваете, что приложение является подозрительным, попробуйте отключить приложение и сменить учетные данные всех затронутых учетных записей.

Оповещения об эскалации привилегий

Следующие оповещения о эскалации привилегий указывают на то, что вредоносное приложение может попытаться получить более высокий уровень разрешений в вашей организации.

Приложение OAuth с подозрительными метаданными имеет разрешение Exchange

Серьезность: средний уровень

ИДЕНТИФИКАТОР MITRE: T1078

Это оповещение активируется, когда бизнес-приложение с подозрительными метаданными имеет право на управление разрешениями через Exchange.

TP или FP?

  • TP. Если вы можете подтвердить, что приложение OAuth доставлено из неизвестного источника и имеет подозрительные характеристики метаданных, то будет указан истинный положительный результат.

Рекомендуемое действие. Отзыв согласия, предоставленных приложению, и отключение приложения.

FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Проверьте все действия, выполненные приложением.
  2. Проверьте области разрешений, предоставленные приложением.
  3. Просмотрите действия пользователя, связанные с приложением.

Оповещения об уклонении от защиты

Следующие оповещения об отказе от защиты указывают на то, что вредоносное приложение может пытаться избежать обнаружения или скрыть свою истинную цель в вашей организации.

Серьезность: средний уровень

В облачном приложении, отличном от Майкрософт, используется логотип, который был найден алгоритмом машинного обучения похожим на логотип Майкрософт. Это может быть попыткой выдать программные продукты за продукты Microsoft, чтобы они выглядели легитимными.

Примечание.

Администраторам арендатора потребуется дать согласие во всплывающем окне на отправку необходимых данных за пределы текущего периметра соответствия требованиям и на выбор партнерских групп в Microsoft, чтобы включить обнаружение угроз для бизнес-приложений.

TP или FP?

  • TP: если вы можете подтвердить, что логотип приложения является имитацией логотипа Майкрософт, а поведение приложения является подозрительным. 

    Рекомендуемое действие. Отзыв согласия, предоставленных приложению, и отключение приложения.

  • FP: если вы можете убедиться, что логотип приложения не является имитацией логотипа Майкрософт или что приложение не выполнило необычных действий. 

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Просмотрите все действия, выполняемые приложением.
  2. Просмотрите области, предоставленные приложению.
  3. Просмотрите действия пользователя, связанные с приложением.

Приложение связано с доменом, используемым для тайпсквоттинга

Серьезность: средний уровень

Это обнаружение создает оповещения для OAuth-приложений, не принадлежащих Microsoft, домены издателей или URL-адреса перенаправления которых содержат варианты названий брендов Microsoft с опечатками. Тайпсквоттинг обычно используется для перехвата трафика на сайты, когда пользователи случайно вводят URL-адреса с ошибками, но его также можно использовать для выдачи себя за популярные программные продукты и сервисы.

TP или FP?

  • TP: Если вы можете подтвердить, что домен издателя или URL-адрес перенаправления приложения является тайпсквот-доменом и не связан с реальной идентичностью приложения.

    Рекомендуемое действие:

    • Изучите сведения о регистрации приложения по управлению приложениями и посетите Microsoft Entra ID для получения дополнительных сведений.
    • Проверьте приложение на наличие других признаков подделки или выдачи себя за другое лицо, а также любой подозрительной активности.
    • Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия по сдерживанию. Отключите приложение с помощью управления приложениями, чтобы запретить ему доступ к ресурсам. Возможно, существующие политики управления приложениями уже деактивировали приложение.
  • FP: если вы можете подтвердить, что домен издателя и URL-адрес перенаправления приложения являются допустимыми. 

    Рекомендуемое действие. Классифицируйте оповещение как ложноположительное и рассмотрите возможность обмена отзывами на основе исследования оповещения.

Оцените масштаб нарушения безопасности

  1. Просмотрите все действия, выполняемые приложением.
  2. Просмотрите области, предоставленные приложению.
  3. Просмотрите действия пользователя, связанные с приложением.

Оповещения о доступе к учетным данным

Следующие оповещения о доступе к учетным данным указывают на то, что злоумышленник может пытаться считывать конфиденциальные учетные данные, а также применять методы кражи учетных данных, таких как имена учетных записей, секреты, маркеры, сертификаты и пароли в вашей организации.

Приложение, безуспешно инициирующее несколько неудачных операций чтения KeyVault

Серьезность: средний уровень

ИДЕНТИФИКАТОР MITRE: T1078.004

Это обнаружение выявляет приложение в вашем арендаторе, которое за короткий промежуток времени выполняло несколько вызовов операций чтения к Key Vault через API Azure Resource Manager, при этом все они завершились сбоем, и ни одна операция чтения не была успешно выполнена.

TP или FP?

  • TP: если приложение неизвестно или не используется, данное действие может быть подозрительным. После проверки используемого ресурса Azure и проверки использования приложения в клиенте данное действие может потребовать отключения приложения. Обычно это свидетельствует о предполагаемой активности по перечислению объектов в отношении ресурса KeyVault с целью получения доступа к учетным данным для латерального перемещения или повышения привилегий.

    Рекомендуемые действия: Просмотрите ресурсы Azure, к которым обращалось приложение или которые оно создало, а также все недавние изменения, внесенные в приложение. В зависимости от исследования выберите, хотите ли вы запретить доступ к этому приложению. Проверьте уровень разрешений, запрошенный этим приложением, и сведения о том, какие пользователи предоставили доступ.

  • FP: если после проверки вы можете подтвердить, что приложение используется в организации в законных рабочих целях.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Проверьте доступ и действия приложения.
  2. Просмотрите все действия, выполняемые приложением с момента его создания.
  3. Просмотрите области, предоставленные приложением в API Graph, и роль, предоставленную ему в вашей подписке.
  4. Просмотрите любого пользователя, который мог получить доступ к приложению до этого действия.

Оповещения об обнаружении

Приложение выполнило перечисление дисков

Серьезность: средний уровень

ИД MITRE: T1087

Это обнаружение определяет приложение OAuth, обнаруженное моделью Машинного обучения, которое выполняет перечисление файлов OneDrive с помощью API Graph.

TP или FP?

  • TP: если вы можете подтвердить, что необычные действия или использование OneDrive были выполнены LOB-приложением через API Graph.

    Рекомендуемое действие. Отключите и удалите приложение, а затем сбросьте пароль.

  • FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Проверьте все действия, выполненные этим приложением.
  2. Проверьте области разрешений, предоставленные приложением.
  3. Проверьте действия пользователей, связанные с этим приложением.

Подозрительные операции перечисления, выполняемые с помощью Microsoft Graph PowerShell

Серьезность: средний уровень

ИД MITRE: T1087

Это обнаружение определяет большой объем подозрительных действий перечисления, выполняемых в течение короткого промежутка времени с помощью приложения Microsoft Graph PowerShell .

TP или FP?

  • TP: если вы можете подтвердить, что подозрительные или необычные действия перечисления были выполнены приложением Microsoft Graph PowerShell.

    Рекомендуемое действие: отключить и удалить приложение, а также сбросить пароль.

  • FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Проверьте все действия, выполненные этим приложением.
  2. Проверьте действия пользователей, связанные с этим приложением.

Недавно созданное мультитенантное приложение часто перечисляет сведения о пользователях

Серьезность: средний уровень

ИД MITRE: T1087

Это оповещение выявляет приложения OAuth, недавно зарегистрированные в относительно новом тенанте издателя и имеющие разрешения на изменение параметров почтового ящика и доступ к электронной почте. Проверяет, выполняло ли приложение многочисленные вызовы к Microsoft API Graph, запрашивая сведения из каталога пользователей. Приложения, которые активируют это оповещение, могут заманить пользователей на предоставление согласия, чтобы они могли получить доступ к данным организации.

TP или FP?

  • TP. Если вы можете подтвердить, что запрос согласия к приложению был доставлен из неизвестного или внешнего источника и приложение не имеет законного использования в организации, то будет указан истинный положительный результат.

    Рекомендуемое действие:

    • Обратитесь к пользователям и администраторам, которые предоставили согласие этому приложению, чтобы убедиться, что это было преднамеренным и чрезмерные привилегии являются нормальными.
    • Изучите активность приложений и проверьте затронутые учетные записи на наличие подозрительной активности.
    • На основе исследования отключите приложение, приостановите и сбросьте пароли для всех затронутых учетных записей.
    • Классифицируйте оповещение как истинно положительное.
  • FP. Если после исследования вы можете подтвердить, что приложение имеет законное использование в организации, то будет указан ложноположительный результат.

    Рекомендуемое действие. Классифицируйте оповещение как ложноположительное и рассмотрите возможность обмена отзывами на основе исследования оповещения.

Оцените масштаб нарушения безопасности

Проверьте предоставление согласия приложению, предоставляемое пользователями и администраторами. Изучите все действия, выполняемые приложением, особенно перечисление сведений о каталоге пользователя. Если вы подозреваете, что приложение является подозрительным, попробуйте отключить приложение и сменить учетные данные всех затронутых учетных записей.

Оповещения об эксфильтрации данных

Следующие оповещения об краже данных указывают на то, что злоумышленник может попытаться украсть данные, интересующие их цели из вашей организации.

Приложение OAuth с помощью необычного агента пользователя

Серьезность: низкий уровень

ИДЕНТИФИКАТОР MITRE: T1567

Это обнаружение определяет приложение OAuth, которое использует необычный агент пользователя для доступа к API Graph.

TP или FP?

  • TP. Если вы можете убедиться, что приложение OAuth недавно начало использовать новый агент пользователя, который ранее не использовался, и это изменение является непредвиденным, то отображается истинный положительный результат.

    Рекомендуемые действия. Просмотрите используемые агенты пользователей и все последние изменения, внесенные в приложение. В зависимости от исследования вы можете запретить доступ к этому приложению. Проверьте уровень разрешения, запрашиваемого этим приложением, и пользователей, которые предоставили доступ.

  • FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Просмотрите недавно созданные приложения и используемые агенты пользователей.
  2. Проверьте все действия, выполненные приложением. 
  3. Проверьте области разрешений, предоставленные приложением. 

Приложение с необычным агентом пользователя обращается к данным электронной почты через веб-службы Exchange

Серьезность: высокая

ИДЕНТИФИКАТОР MITRE: T1114, T1567

Это обнаружение определяет приложение OAuth, которое использовало необычный агент пользователя для доступа к данным электронной почты с помощью API веб-служб Exchange.

TP или FP?

  • TP. Если вы можете подтвердить, что приложение OAuth не должно изменять агент пользователя, который он использует для выполнения запросов к API веб-служб Exchange, то будет указан истинный положительный результат.

    Рекомендуемые действия. Классифицируйте оповещение как TP. По результатам расследования, если приложение вредоносно, вы можете отозвать согласия и отключить приложение в арендаторе. Если это скомпрометированное приложение, вы можете отозвать согласие, временно отключить приложение, просмотреть разрешения, сбросить секрет и сертификат, а затем снова включить приложение.

  • FP: Если по результатам проверки вы можете подтвердить, что пользовательский агент, используемый приложением, имеет законное деловое применение в организации.

    Рекомендуемое действие. Классифицируйте оповещение как FP. Кроме того, рассмотрите возможность предоставления отзывов на основе изучения оповещения.

Оцените масштаб нарушения безопасности

  1. Проверьте, было ли приложение недавно создано или в него недавно вносились изменения.
  2. Просмотрите разрешения, предоставленные приложению и пользователям, которые дали согласие на это приложение.
  3. Проверьте все действия, выполненные приложением.

Оповещения о боковом перемещении

Следующие оповещения о латеральном перемещении указывают на то, что злоумышленник может пытаться осуществлять латеральное перемещение между различными ресурсами, используя несколько систем и учетных записей в качестве промежуточных точек, чтобы получить больший контроль над вашей организацией.

Неактивное приложение OAuth, преимущественно использующее MS Graph или веб-службы Exchange, недавно было замечено при доступе к рабочим нагрузкам ARM

Серьезность: средний уровень

ИДЕНТИФИКАТОР MITRE: T1078.004

Это обнаружение определяет приложение в клиенте, которое после длительного периода неактивных действий впервые начало доступ к API Azure Resource Manager. Ранее это приложение в основном использовало MS Graph или веб-службу Exchange.

TP или FP?

  • TP. Если приложение неизвестно или не используется, данное действие может быть подозрительным и может потребовать отключения приложения после проверки используемого ресурса Azure и проверки использования приложения в клиенте.

    Рекомендуемые действия:

    1. Просмотрите ресурсы Azure, к которым обращалось приложение или которые были созданы приложением, а также все недавние изменения, внесенные в приложение.
    2. Проверьте уровень разрешения, запрашиваемого этим приложением, и пользователей, которые предоставили доступ.
    3. В зависимости от исследования выберите, хотите ли вы запретить доступ к этому приложению.
  • FP: если после проверки вы можете подтвердить, что приложение используется в организации в законных рабочих целях.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Проверьте доступ и действия приложения.
  2. Просмотрите все действия, выполняемые приложением с момента его создания.
  3. Просмотрите области, предоставленные приложением в API Graph, и роль, предоставленную ему в вашей подписке.
  4. Просмотрите любого пользователя, который мог получить доступ к приложению до этого действия.

Оповещения о сборе

Следующие оповещения о сборе данных указывают на то, что злоумышленник, возможно, пытается собрать в вашей организации данные, представляющие интерес для достижения его целей.

Приложение выполняло необычные действия при поиске писем в электронной почте

Серьезность: средний уровень

ИДЕНТИФИКАТОР MITRE: T1114

Это обнаружение выявляет случаи, когда приложению было предоставлено согласие на подозрительную область действия OAuth и оно выполнило большое количество необычных поисковых действий в электронной почте, например поиск писем с определённым содержимым через API Microsoft Graph. Это может указывать на попытку взлома вашей организации, например злоумышленники пытаются найти и прочитать определенные сообщения электронной почты из вашей организации через API Graph. 

TP или FP?

  • TP: Если вы можете подтвердить высокий объём необычных действий по поиску и чтению электронной почты через API Graph OAuth-приложением с подозрительной областью действия OAuth и что это приложение получено из неизвестного источника.

    Рекомендуемые действия. Отключение и удаление приложения, сброс пароля и удаление правила папки "Входящие". 

  • FP: если вы можете подтвердить, что приложение осуществляло необычно большое количество операций поиска по электронной почте и чтения через API Graph по законным причинам.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Проверьте области разрешений, предоставленные приложением.
  2. Проверьте все действия, выполненные приложением. 

Приложение выполнило аномальные вызовы к Graph для чтения электронной почты

Серьезность: средний уровень

ИДЕНТИФИКАТОР MITRE: T1114

Это обнаружение определяет случаи, когда бизнес-приложение OAuth получает доступ к необычному и большому объему почтовых папок и сообщений пользователя с помощью API Graph, что может указывать на попытку нарушения безопасности вашей организации.

TP или FP?

  • TP: Если вы можете подтвердить, что необычная активность в Graph была вызвана OAuth-приложением Line of Business (LOB), это указывает на истинное срабатывание.

    Рекомендуемые действия. Временно отключите приложение и сбросьте пароль, а затем снова включите приложение. Следуйте указаниям из руководства о том, как сбросить пароль с помощью Microsoft Entra ID.

  • FP: если вы можете подтвердить, что приложение предназначено для выполнения необычно большого объема вызовов Graph.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Проверьте журнал действий на наличие событий, выполненных этим приложением, чтобы лучше понять другие действия Graph для чтения писем и попытки сбора конфиденциальной информации из писем пользователей.
  2. Отслеживайте неожиданное добавление учетных данных в приложение.

Приложение создало правило для папки "Входящие" и выполнило необычные действия поиска сообщений

Серьезность: средний уровень

Идентификаторы MITRE: T1137, T1114

Это обнаружение определяет, что приложение предоставило согласие на область с высоким уровнем привилегий, создало подозрительное правило для папки "Входящие" и выполнило необычные действия поиска сообщений в почтовых папках пользователей посредством API Graph. Это может указывать на попытку несанкционированного доступа к данным организации, например на попытку злоумышленников найти и собрать определенные сообщения в организации с помощью API Graph.

TP или FP?

  • TP: если вы можете подтвердить факт поиска и сбора определённых электронных писем через API Graph приложением OAuth с высокопривилегированной областью разрешений, и что это приложение получено из неизвестного источника.

    Рекомендуемое действие. Отключите и удалите приложение, сбросьте пароль и удалите правило для папки "Входящие".

  • FP: если вы можете подтвердить, что приложение по законным причинам выполнило поиск и сбор определенных электронных писем через API Microsoft Graph и создало правило для папки «Входящие» для пересылки на новую или личную внешнюю учетную запись электронной почты.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Проверьте все действия, выполненные приложением.
  2. Проверьте области разрешений, предоставленные приложением.
  3. Проверьте любое действие правила для папки «Входящие», созданное приложением.
  4. Проверьте действия поиска сообщений, выполненные приложением.

Приложение выполнило операции поиска в OneDrive и SharePoint и создало правило для папки «Входящие»

Серьезность: средний уровень

Идентификаторы MITRE: T1137, T1213

Это обнаружение определяет, что приложение предоставило согласие на область с высоким уровнем привилегий, создало подозрительное правило для папки "Входящие" и выполнило необычные действия поиска в SharePoint или OneDrive посредством API Graph. Это может указывать на попытку нарушения безопасности организации, например на попытку злоумышленников найти и собрать определенные данные из SharePoint или OneDrive вашей организации с помощью API Graph. 

TP или FP?

  • TP: Если вы можете подтвердить факт поиска и сбора конкретных данных из SharePoint или OneDrive через API Graph OAuth-приложением с высокопривилегированной областью разрешений, и это приложение получено из неизвестного источника. 

    Рекомендуемое действие. Отключите и удалите приложение, сбросьте пароль и удалите правило папки "Входящие". 

  • FP: если вы можете подтвердить, что приложение по законным причинам выполнило поиск и сбор определённых данных в SharePoint или OneDrive через Microsoft API Graph с помощью OAuth-приложения и создало правило для папки "Входящие" для новой или личной внешней учётной записи электронной почты. 

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Проверьте все действия, выполненные приложением. 
  2. Проверьте области разрешений, предоставленные приложением. 
  3. Проверьте любое действие правила для папки «Входящие», созданное приложением. 
  4. Проверьте действия поиска в SharePoint или OneDrive, выполненные приложением.

Приложение выполняет многочисленные поисковые запросы и изменения в OneDrive

Серьезность: средний уровень

Идентификаторы MITRE: T1137, T1213

Это обнаружение определяет приложения OAuth с разрешениями с высоким уровнем привилегий, которые выполняют большое количество поисковых запросов и изменений в OneDrive с помощью API Graph.

TP или FP?

  • TP. Если вы можете убедиться, что большое использование рабочей нагрузки OneDrive через API Graph не ожидается от этого приложения OAuth с высоким уровнем привилегий на чтение и запись в OneDrive, то будет указан истинный положительный результат.

    Рекомендуемое действие: По результатам расследования, если приложение является вредоносным, вы можете отозвать согласия и отключить приложение в арендаторе. Если это скомпрометированное приложение, вы можете отозвать согласие, временно отключить приложение, просмотреть необходимые разрешения, сбросить пароль, а затем снова включить приложение.

  • FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

    Рекомендуемое действие. Устраните оповещение и сообщите о результатах.

Оцените масштаб нарушения безопасности

  1. Проверьте, что приложение получено из надежного источника.
  2. Проверьте, было ли приложение создано или в него были внесены последние изменения.
  3. Просмотрите разрешения, предоставленные приложению и пользователям, которые дали согласие на это приложение.
  4. Проверьте все остальные действия приложения.

Приложение прочитало большой объем важных писем и создало правило для папки "Входящие"

Серьезность: средний уровень

Идентификаторы MITRE: T1137, T1114

Это обнаружение определяет, что приложение предоставило согласие на область с высоким уровнем привилегий, создало подозрительное правило для папки "Входящие" и прочитало большой объем важных писем посредством API Graph. Это может указывать на попытку создания бреши в системе безопасности организации, например на попытку злоумышленников прочитать письма высокой важности от вашей организации посредством API Graph. 

TP или FP?

  • TP: если вы можете подтвердить, что большое количество важных сообщений электронной почты было прочитано через API Graph OAuth-приложением с высокопривилегированной областью разрешений и что это приложение получено из неизвестного источника. 

    Рекомендуемое действие. Отключите и удалите приложение, сбросьте пароль и удалите правило папки "Входящие". 

  • FP: Если вы можете подтвердить, что приложение через API Graph прочитало большое количество важных электронных писем и создало правило для папки «Входящие» для новой или личной внешней учётной записи электронной почты по законным причинам. 

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Проверьте все действия, выполненные приложением. 
  2. Проверьте области разрешений, предоставленные приложением. 
  3. Проверьте любое действие правила для папки «Входящие», созданное приложением. 
  4. Ознакомьтесь со всеми действиями чтения писем высокой важности, выполненными приложением.

Привилегированное приложение выполняло необычные действия в Teams

Серьезность: средний уровень

Это обнаружение идентифицирует приложения, которые согласились с областями OAuth с высоким уровнем привилегий, которые обращались к Microsoft Teams и сделали необычный объем операций чтения или публикации сообщений чата через API Graph. Это может указывать на попытку взлома вашей организации, например злоумышленники пытаются собрать информацию из вашей организации через API Graph.

TP или FP?

  • TP: если вы можете подтвердить необычную активность сообщений чата в Microsoft Teams через Microsoft API Graph со стороны OAuth-приложения с областью действия высокого уровня привилегий, и что это приложение получено из неизвестного источника.

    Рекомендуемое действие: отключение и удаление приложения и сброс пароля

  • FP: если вы можете подтвердить, что необычные действия, выполненные в Microsoft Teams через API Graph, были по уважительным причинам.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Проверьте области разрешений, предоставленные приложением.
  2. Проверьте все действия, выполненные приложением.
  3. Просмотрите действия пользователя, связанные с приложением.

Аномальные действия в OneDrive со стороны приложения, которое только что обновило или добавило учетные данные

Серьезность: средний уровень

Идентификаторы MITRE: T1098.001, T1213

Стороннее облачное приложение выполнило аномальные вызовы к API Graph в OneDrive, в том числе с большим объёмом передачи данных. Обнаруженные машинным обучением, эти необычные вызовы API были сделаны в течение нескольких дней после того, как приложение добавило новые или обновленные существующие сертификаты или секреты. Это приложение может использоваться для утечки данных или других попыток получить доступ к конфиденциальной информации и извлечь её.

TP или FP?

  • TP: если вы можете подтвердить, что необычные действия, например интенсивное использование рабочей нагрузки OneDrive, были инициированы приложением через API Graph.

    Рекомендуемое действие. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.

  • FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий или что приложение предназначено для выполнения необычно большого объема вызовов Graph.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Просмотрите все действия, выполняемые приложением.
  2. Проверьте области разрешений, предоставленные приложением.
  3. Просмотрите действия пользователя, связанные с приложением.

Аномальные действия SharePoint в приложении, которое только что обновило или добавило новые учетные данные

Серьезность: средний уровень

Идентификаторы MITRE: T1098.001, T1213.002

Облачное приложение, не относящееся к Microsoft, выполняло аномальные вызовы к API Graph для SharePoint, в том числе с большим объёмом передаваемых данных. Обнаруженные машинным обучением, эти необычные вызовы API были сделаны в течение нескольких дней после того, как приложение добавило новые или обновленные существующие сертификаты или секреты. Это приложение может использоваться для утечки данных или других попыток получить доступ к конфиденциальной информации и извлечь её.

TP или FP?

  • TP: если вы можете подтвердить, что необычные действия, такие как использование рабочей нагрузки SharePoint в большом объеме, были выполнены приложением через API Graph.

    Рекомендуемое действие. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.

  • FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий или что приложение предназначено для выполнения необычно большого объема вызовов Graph.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Просмотрите все действия, выполняемые приложением.
  2. Проверьте области разрешений, предоставленные приложением.
  3. Просмотрите действия пользователя, связанные с приложением.

Серьезность: средний уровень

Идентификаторы MITRE: T1114

Это обнаружение создает оповещения для приложений OAuth, отличных от Майкрософт, с метаданными, такими как имя, URL-адрес или издатель, которые ранее наблюдались в приложениях с подозрительными действиями, связанными с почтой. Это приложение может быть частью кампании атак и может быть вовлечено в кражу конфиденциальной информации.

TP или FP?

  • TP: если вы можете подтвердить, что приложение создало правила для почтового ящика или выполнило большое число необычных вызовов API Graph в Exchange.

    Рекомендуемое действие:

    • Изучите сведения о регистрации приложения по управлению приложениями и посетите Microsoft Entra ID для получения дополнительных сведений.
    • Обратитесь к пользователям или администраторам, которые предоставили согласие или разрешения для приложения. Проверьте, были ли изменения преднамеренными.
    • Выполните поиск в таблице расширенного поиска CloudAppEvents, чтобы изучить активность приложения и определить, к каким данным приложение обращалось. Проверьте затронутые почтовые ящики и проверьте сообщения, которые могли быть прочитаны или переадресованы самим приложением или созданными им правилами.
    • Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия по сдерживанию. Отключите приложение с помощью управления приложениями или Microsoft Entra ID, чтобы запретить ему доступ к ресурсам. Возможно, существующие политики управления приложениями уже деактивировали приложение.
  • FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий и что приложение имеет законное использование в организации.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Просмотрите все действия, выполняемые приложением.
  2. Просмотрите области, предоставленные приложению.
  3. Просмотрите действия пользователя, связанные с приложением.

Приложение с разрешениями приложения EWS для доступа к многочисленным сообщениям электронной почты

Серьезность: средний уровень

Идентификаторы MITRE: T1114

Это обнаружение создает оповещения для мультитенантных облачных приложений с разрешениями приложений EWS, показывающие значительное увеличение числа вызовов API веб-служб Exchange, характерных для перечисления и сбора сообщений электронной почты. Это приложение может быть вовлечено в доступ к конфиденциальным данным электронной почты и их получение.

TP или FP?

  • TP: если вы можете подтвердить, что приложение получило доступ к конфиденциальным данным электронной почты или выполнило большое количество необычных вызовов к рабочей нагрузке Exchange.

    Рекомендуемое действие:

    • Изучите сведения о регистрации приложения по управлению приложениями и посетите Microsoft Entra ID для получения дополнительных сведений.
    • Обратитесь к пользователям или администраторам, которые предоставили согласие или разрешения для приложения. Проверьте, были ли изменения преднамеренными.
    • Выполните поиск в таблице расширенного поиска CloudAppEvents, чтобы изучить активность приложения и определить, к каким данным приложение обращалось. Проверьте затронутые почтовые ящики и проверьте сообщения, которые могли быть прочитаны или переадресованы самим приложением или созданными им правилами.
    • Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия по сдерживанию. Отключите приложение с помощью управления приложениями или Microsoft Entra ID, чтобы запретить ему доступ к ресурсам. Возможно, существующие политики управления приложениями уже деактивировали приложение.
  • FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий и что приложение имеет законное использование в организации.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Просмотрите все действия, выполняемые приложением.
  2. Просмотрите области, предоставленные приложению.
  3. Просмотрите действия пользователя, связанные с приложением.

Неиспользуемое приложение с новым доступом к API

Серьезность: средний уровень

Идентификаторы MITRE: T1530

Это обнаружение создает оповещения для мультитенантного облачного приложения, которое некоторое время было неактивным и недавно начало выполнять вызовы API. Это приложение может быть скомпрометировано злоумышленником и использоваться для доступа к конфиденциальным данным и получения его.

TP или FP?

  • TP: если вы можете убедиться, что приложение обращается к конфиденциальным данным или выполняет большое количество необычных вызовов к Microsoft Graph, Exchange или Azure Resource Manager рабочим нагрузкам.

    Рекомендуемое действие:

    • Изучите сведения о регистрации приложения по управлению приложениями и посетите Microsoft Entra ID для получения дополнительных сведений.
    • Обратитесь к пользователям или администраторам, которые предоставили согласие или разрешения для приложения. Проверьте, были ли изменения преднамеренными.
    • Выполните поиск в таблице расширенного поиска CloudAppEvents, чтобы изучить активность приложения и определить, к каким данным приложение обращалось. Проверьте затронутые почтовые ящики и проверьте сообщения, которые могли быть прочитаны или переадресованы самим приложением или созданными им правилами.
    • Проверьте, является ли приложение критически важным для вашей организации, прежде чем рассматривать какие-либо действия по сдерживанию. Отключите приложение с помощью управления приложениями или Microsoft Entra ID, чтобы запретить ему доступ к ресурсам. Возможно, существующие политики управления приложениями уже деактивировали приложение.
  • FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий и что приложение имеет законное использование в организации.

    Рекомендуемое действие. Закройте оповещение.

Оцените масштаб нарушения безопасности

  1. Просмотрите все действия, выполняемые приложением.
  2. Просмотрите области, предоставленные приложению.
  3. Просмотрите действия пользователя, связанные с приложением.

Оповещения о влиянии

Следующие оповещения о влиянии указывают на то, что злоумышленник может пытаться управлять, прерывать или уничтожать системы и данные из вашей организации.

Приложение Entra Line-of-Business, вызывающее аномальный всплеск создания виртуальных машин

Серьезность: средний уровень

ИДЕНТИФИКАТОР MITRE: T1496

Это обнаружение выявляет новое одноклиентское OAuth-приложение, которое создает основную часть виртуальных машин Azure в вашем арендаторе с помощью API Azure Resource Manager.

TP или FP?

  • TP: Если вы можете подтвердить, что приложение OAuth было создано недавно и создает большое количество виртуальных машин в вашем арендаторе, то это указывает на истинное срабатывание.

    Рекомендуемые действия. Просмотрите созданные виртуальные машины и все последние изменения, внесенные в приложение. В зависимости от исследования вы можете запретить доступ к этому приложению. Проверьте уровень разрешения, запрашиваемого этим приложением, и пользователей, которые предоставили доступ.

  • FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

    Рекомендуемое действие. Закройте оповещение.

Изучите область нарушения.

  1. Просмотрите недавно созданные приложения и виртуальные машины.
  2. Просмотрите все действия, выполняемые приложением с момента его создания.
  3. Просмотрите области, предоставленные приложением в API Graph и роли, предоставленные ему в вашей подписке.

Было замечено, что приложение OAuth с высокопривилегированными разрешениями в Microsoft Graph инициировало создание виртуальной машины

Серьезность: средний уровень

ИДЕНТИФИКАТОР MITRE: T1496

Это обнаружение выявляет OAuth-приложение, которое создает большое количество виртуальных машин Azure в вашем арендаторе с помощью API Azure Resource Manager, при этом до этой активности оно обладает высокими привилегиями в арендаторе через API Microsoft Graph.

TP или FP?

  • TP: Если вы можете подтвердить, что OAuth-приложение с высокопривилегированными областями действия было создано и создает большое количество виртуальных машин в вашем клиенте, это указывает на истинно положительный результат.

    Рекомендуемые действия. Просмотрите созданные виртуальные машины и все последние изменения, внесенные в приложение. В зависимости от исследования вы можете запретить доступ к этому приложению. Проверьте уровень разрешения, запрашиваемого этим приложением, и пользователей, которые предоставили доступ.

  • FP: если после исследования вы можете подтвердить, что приложение предназначено для законного бизнес-использования в организации.

    Рекомендуемое действие. Закройте оповещение.

Изучите область нарушения.

  1. Просмотрите недавно созданные приложения и виртуальные машины.
  2. Просмотрите все действия, выполняемые приложением с момента его создания.
  3. Просмотрите области, предоставленные приложением в API Graph и роли, предоставленные ему в вашей подписке.

Дальнейшие действия

После изучения оповещений узнайте, как управлять и устранять их: