Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление приложениями предоставляет предустановленные оповещения политик приложений об аномальных действиях. Цель этого руководства — предоставить общие и практические сведения о каждом оповещении, чтобы помочь вам в задачах по исследованию и исправлению.
В этом руководстве содержатся общие сведения об условиях запуска оповещений. Так как предопределенные политики не детерминированы по своей природе, они активируются только при наличии поведения, которое отклоняется от нормы.
Совет
Некоторые оповещения могут находиться в предварительной версии, поэтому регулярно просматривайте обновленные состояния оповещений.
Классификации оповещений системы безопасности
После правильного исследования все оповещения системы управления приложениями можно классифицировать по одному из следующих типов действий:
- True positive (TP) — оповещение о подтвержденном вредоносном действии.
- Доброкачественный истинно положительный результат (B-TP): оповещение о подозрительных, но не вредоносных действиях, таких как тест на проникновение или другое санкционированное подозрительное действие.
- Ложноположительное срабатывание (FP): оповещение о невредоносной активности.
Общие шаги исследования
Используйте следующие общие рекомендации при исследовании любого типа оповещений, чтобы получить более четкое представление о потенциальной угрозе перед применением рекомендуемого действия.
Проверьте уровень серьезности приложения и сравните его с остальными приложениями в вашем арендаторе. Этот обзор поможет вам определить, какие приложения в вашем арендаторе несут более высокий риск.
Если вы обнаружите TP, просмотрите все действия в приложении, чтобы оценить влияние. Например, просмотрите следующие сведения о приложении:
- Области, к которым предоставлен доступ
- Необычное поведение
- IP-адрес и расположение
Просмотр предопределенных оповещений политики приложений
Следующие предопределенные оповещения политики управления приложениями включают рекомендации по расследованию и исправлению.
Увеличение использования данных приложением с высоким уровнем привилегий
Приложение с избыточными привилегиями имеет разрешения, которые превышают необходимые для выполнения его предполагаемой функции, тогда как приложение с высоким уровнем привилегий обладает широкими правами доступа, такими как полный доступ к почтовому ящику или каталогу. Это оповещение обнаруживает необычное увеличение использования данных этими приложениями.
Примечание.
В рамках наших непрерывных усилий по повышению точности оповещений приложений Defender для облака мы отключили эту политику. Эта политика остается видимой на портале Defender в отключенном состоянии. Если вы хотите продолжить использовать эту политику, на портале Defender перейдите на страницу Управление приложениями, а затем страницу Политики . Выберите политику и нажмите кнопку Активировать.
Серьезность: средний уровень
Найдите приложения с расширенными или неиспользуемыми разрешениями, которые демонстрируют резкое увеличение объёма передаваемых данных через API Graph. Необычные изменения в использовании данных могут указывать на компрометацию.
TP или FP?
Чтобы определить, является ли оповещение истинно положительным (TP) или ложноположительным (FP), просмотрите все действия, выполняемые приложением, области, предоставленные приложению, и действия пользователей, связанные с приложением.
TP. Примените это рекомендуемое действие, если вы подтвердили, что увеличение использования данных приложением с высоким уровнем привилегий является нерегулярным или потенциально вредоносным.
Рекомендуемое действие. Обратитесь к пользователям о действиях приложений, которые привели к увеличению использования данных. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.
FP: Примените это рекомендуемое действие, если вы подтвердили, что обнаруженная активность приложения является ожидаемой и используется в организации в законных рабочих целях.
Рекомендуемое действие. Закройте оповещение.
Необычная активность со стороны приложения с согласием приоритетной учетной записи
Приоритетная учетная запись — это важная учетная запись, например учетная запись руководителя или администратора службы, которую вы помечаете в Microsoft Defender for Cloud Apps. Это оповещение срабатывает, когда приложение, на которое приоритетная учетная запись предоставила согласие, проявляет необычную активность.
Примечание.
В рамках наших непрерывных усилий по повышению точности оповещений приложений Defender для облака мы отключили эту политику. Эта политика остается видимой на портале Defender в отключенном состоянии. Если вы хотите продолжить использовать эту политику, на портале Defender перейдите на страницу Управление приложениями, а затем страницу Политики . Выберите политику и нажмите кнопку Активировать.
Серьезность: средний уровень
Найдите необычный рост использования данных или количества ошибок доступа к API Graph, наблюдаемых у приложений, для которых приоритетная учетная запись предоставила согласие.
TP или FP?
Просмотрите все действия, выполняемые приложением, области, предоставленные приложению, и действия пользователей, связанные с приложением.
TP. Примените это рекомендуемое действие, если вы подтвердили, что увеличение использования данных или ошибок доступа к API приложением с согласием от учетной записи приоритета является весьма нерегулярным или потенциально вредоносным.
Рекомендуемое действие. Обратитесь к пользователям приоритетных учетных записей о действиях приложений, которые привели к увеличению использования данных или ошибкам доступа к API. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.
FP: Примените это рекомендуемое действие, если вы подтвердили, что обнаруженная активность приложения является ожидаемой и используется в организации в законных рабочих целях.
Рекомендуемое действие. Закройте оповещение.
Новое приложение с низким уровнем согласия
Серьезность: средний уровень
Запросы на согласие из созданного приложения часто отклонялись пользователями. Пользователи обычно отклоняют запросы на согласие от приложений, которые демонстрируют непредвиденное поведение или поступили из ненадежного источника. Приложения с низким уровнем согласия, скорее всего, будут рискованными или вредоносными.
TP или FP?
Просмотрите все действия, выполняемые приложением, области, предоставленные приложению, и действия пользователей, связанные с приложением.
TP. Примените это рекомендуемое действие, если вы подтвердили, что приложение из неизвестного источника и его действия являются нерегулярными или потенциально вредоносными.
Рекомендуемое действие. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.
FP: примените это рекомендуемое действие, если вы подтвердили, что обнаруженная активность приложения является допустимой.
Рекомендуемое действие. Закройте оповещение.
Всплеск вызовов API Graph к OneDrive
Серьезность: средний уровень
Облачное приложение показало значительный рост количества вызовов API Graph к OneDrive. Это приложение может быть вовлечено в кражу данных или другие попытки получить доступ к конфиденциальным данным и получить их.
TP или FP?
Просмотрите все действия, выполняемые приложением, области, предоставленные приложению, и действия пользователей, связанные с приложением.
TP. Примените это рекомендуемое действие, если вы подтвердили, что нерегулярные и потенциально вредоносные действия привели к обнаружению увеличения использования OneDrive.
Рекомендуемое действие. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.
FP: примените это рекомендуемое действие, если вы подтвердили, что обнаруженная активность приложения является допустимой.
Рекомендуемое действие. Закройте оповещение.
Всплеск вызовов API Graph к SharePoint
Серьезность: средний уровень
В облачном приложении значительно увеличился объем API Graph вызовов к SharePoint. Это приложение может быть вовлечено в кражу данных или другие попытки получить доступ к конфиденциальным данным и получить их.
TP или FP?
Просмотрите все действия, выполняемые приложением, области, предоставленные приложению, и действия пользователей, связанные с приложением.
TP. Примените это рекомендуемое действие, если вы подтвердили, что нерегулярные, потенциально вредоносные действия привели к обнаружению увеличения использования SharePoint.
Рекомендуемое действие. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.
FP: примените это рекомендуемое действие, если вы подтвердили, что обнаруженная активность приложения является допустимой.
Рекомендуемое действие. Закройте оповещение.
Всплеск вызовов API Graph к Exchange
Серьезность: средний уровень
В облачном приложении значительно увеличился объем API Graph вызовов к Exchange. Это приложение может быть вовлечено в кражу данных или другие попытки получить доступ к конфиденциальным данным и получить их.
TP или FP?
Просмотрите все действия, выполняемые приложением, области, предоставленные приложению, и действия пользователей, связанные с приложением.
TP. Примените это рекомендуемое действие, если вы подтвердили, что нерегулярные, потенциально вредоносные действия привели к обнаружению увеличения использования Exchange.
Рекомендуемое действие. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.
FP: примените это рекомендуемое действие, если вы подтвердили, что обнаруженная активность приложения является допустимой.
Рекомендуемое действие. Закройте оповещение.
Подозрительное приложение с доступом к нескольким службам Microsoft 365
Серьезность: средний уровень
Найдите приложения с доступом OAuth к нескольким службам Microsoft 365, которые демонстрируют статистически аномальные действия API Graph после обновления сертификата или секрета. Определив эти приложения и проверив их на предмет компрометации, можно предотвратить боковое перемещение, кражу данных и другие вредоносные действия, которые проходят через облачные папки, электронные письма и другие службы.
TP или FP?
Просмотрите все действия, выполняемые приложением, области, предоставленные приложению, и действия пользователей, связанные с приложением.
TP. Примените это рекомендуемое действие, если вы подтвердили, что обновления сертификатов или секретов приложений и другие действия приложения были весьма нерегулярными или потенциально вредоносными.
Рекомендуемое действие. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.
FP: примените это рекомендуемое действие, если вы подтвердили, что обнаруженная активность приложения является допустимой.
Рекомендуемое действие. Закройте оповещение.
Большой объем действий по созданию правила папки "Входящие" приложением
Серьезность: средний уровень
Приложение выполнило большое количество вызовов API Graph для создания правил для папки "Входящие" Exchange. Это приложение может использоваться для сбора и несанкционированной передачи данных или для других попыток получить доступ к конфиденциальной информации и извлечь ее.
TP или FP?
Просмотрите все действия, выполняемые приложением, области, предоставленные приложению, и действия пользователей, связанные с приложением.
TP. Примените это рекомендуемое действие, если вы подтвердили, что создание правил папки "Входящие" и других действий является весьма нерегулярным или потенциально вредоносным.
Рекомендуемое действие. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.
FP: примените это рекомендуемое действие, если вы подтвердили, что обнаруженная активность приложения является допустимой.
Рекомендуемое действие. Закройте оповещение.
Большой объем действий по поиску электронной почты в приложении
Серьезность: средний уровень
Приложение сделало большое количество API Graph вызовов для поиска содержимого электронной почты Exchange. Это приложение может быть связано со сбором данных или другими попытками получить доступ к конфиденциальной информации или извлечь её.
TP или FP?
Просмотрите все действия, выполняемые приложением, области, предоставленные приложению, и действия пользователей, связанные с приложением.
TP. Примените это рекомендуемое действие, если вы подтвердили, что поиск контента в Exchange и другие действия были весьма нерегулярными или потенциально вредоносными.
Рекомендуемое действие. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.
FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий по поиску почты или что приложение предназначено для выполнения необычных действий по поиску почты через API Graph.
Рекомендуемое действие. Закройте оповещение.
Большой объем действий по отправке электронной почты приложением
Серьезность: средний уровень
Приложение сделало большое количество API Graph вызовов для отправки сообщений электронной почты с помощью Exchange Online. Это приложение может использоваться для сбора и вывода данных или других попыток получить доступ к конфиденциальной информации и извлечь её.
TP или FP?
Просмотрите все действия, выполняемые приложением, области, предоставленные приложению, и действия пользователей, связанные с приложением.
TP. Примените это рекомендуемое действие, если вы подтвердили, что отправка сообщений электронной почты и другие действия были весьма нерегулярными или потенциально вредоносными.
Рекомендуемое действие. Временно отключите приложение, сбросьте пароль, а затем снова включите приложение.
FP: если вы можете подтвердить, что приложение не выполняло никаких необычных действий отправки почты или что приложение предназначено для выполнения необычных действий отправки почты через API Graph.
Рекомендуемое действие. Закройте оповещение.
Доступ к конфиденциальным данным
Примечание.
В рамках наших непрерывных усилий по повышению точности оповещений приложений Defender для облака мы отключили эту политику. Эта политика остается видимой на портале Defender в отключенном состоянии. Если вы хотите продолжить использовать эту политику, на портале Defender перейдите на страницу Управление приложениями, а затем страницу Политики . Выберите политику и нажмите кнопку Активировать.
Серьезность: средний уровень
Найдите приложения, которые обращаются к конфиденциальным данным, определенным определенными конфиденциальными метками.
TP или FP?
Чтобы определить, является ли оповещение истинным положительным (TP) или ложноположительным (FP), просмотрите ресурсы, к которым обращается приложение.
TP. Примените это рекомендуемое действие, если вы подтвердили, что приложение или обнаруженное действие является нерегулярным или потенциально вредоносным.
Рекомендуемое действие: запретить приложению доступ к каким-либо ресурсам, деактивируя его с Microsoft Entra ID.
FP: примените это рекомендуемое действие, если вы подтвердили, что приложение используется в организации на законных основаниях и что обнаруженное действие было ожидаемым.
Рекомендуемое действие. Закройте оповещение.