Investigar alertas de política de aplicativo predefinidos

  • Artigo

A governança de aplicativos fornece alertas de política de aplicativo predefinidos para atividades anômalas. O propósito deste guia é fornecer informações gerais e práticas sobre cada alerta para ajudar com suas tarefas de investigação e correção.

Este guia inclui informações gerais sobre as condições de acionamento dos alertas. Como as políticas predefinidas são não deterministas por natureza, elas só são acionadas quando há um comportamento que se desvia da norma.

Dica

Alguns alertas podem estar em pré-visualização, portanto, revise regularmente os status de alerta atualizados.

Classificações dos alertas de segurança

Após uma investigação adequada, todos os alertas de governança de aplicativos podem ser classificados em um dos seguintes tipos de atividade:

  • Verdadeiro positivo (TP): um alerta sobre uma atividade maliciosa confirmada.
  • Verdadeiro positivo benigno (B-TP): um alerta sobre uma atividade suspeita, mas não maliciosa, como um teste de penetração ou outra ação suspeita autorizada.
  • Falso positivo (FP): um alerta sobre uma atividade não mal-intencionada.

Etapas gerais de investigação

Use as diretrizes gerais a seguir ao investigar qualquer tipo de alerta para obter uma compreensão mais clara da ameaça em potencial antes de aplicar a ação recomendada.

  1. Analise o nível de gravidade do aplicativo e compare-o com o restante dos aplicativos no seu locatário. Essa análise ajuda a identificar quais aplicativos em seu locatário representam maior risco.

  2. Se você identificar um TP, revise todas as atividades do aplicativo para entender o impacto. Por exemplo, reveja as seguintes informações do aplicativo:

    • Escopos com acesso concedido
    • Comportamento incomum
    • Endereço IP e localização

Alertas de política de aplicativo predefinidos

Esta seção fornece inmaneirações sobre cada alerta de política predefinido, juntamente com as etapas para investigação e correção.

Aumento no uso de dados por um aplicativo superprivilegiado ou altamente privilegiado

Gravidade: Média

Encontre aplicativos com permissões poderosas ou não utilizadas que exibem aumentos repentinos no uso de dados por meio da API do Graph. Alterações incomuns no uso de dados podem indicar comprometimento.

TP ou FP?

Para determinar se o alerta é um verdadeiro positivo (TP) ou um falso positivo (FP), revise todas as atividades executadas pelo aplicativo, os escopos concedidos ao aplicativo e a atividade do usuário associada ao aplicativo.

  • TP: Aplique esta ação recomendada se você tiver confirmado que o aumento no uso de dados por um aplicativo com privilégios excessivos ou altamente privilegiados é irregular ou potencialmente malicioso.

    Ação recomendada: entre em contato com os usuários sobre as atividades do aplicativo que causaram o aumento no uso de dados. Desabilitar temporariamente o aplicativo, redefinir a senha e reativar o aplicativo.

  • FP: aplique a ação recomendada se tiver confirmado que a atividade do aplicativo detectada é intencional e tem uso comercial legítimo na organização.

    Ação recomendada: ignorar o alerta.

Gravidade: Média

Encontre aumentos incomuns no uso de dados ou erros de acesso à API do Graph exibidos por aplicativos que receberam consentimento de uma conta prioritária.

TP ou FP?

Revise todas as atividades realizadas pelo aplicativo, escopos concedidos ao aplicativo e atividade do usuário associada ao aplicativo.

  • TP: aplique essa ação recomendada se você tiver confirmado que o aumento no uso de dados ou erros de acesso à API por um aplicativo com consentimento de uma conta prioritária é altamente irregular ou potencialmente mal-intencionado.

    Ação recomendada: entre em contato com os usuários prioritários da conta sobre as atividades do aplicativo que causaram o aumento no uso de dados ou erros de acesso à API. Desabilitar temporariamente o aplicativo, redefinir a senha e reativar o aplicativo.

  • FP: aplique a ação recomendada se tiver confirmado que a atividade do aplicativo detectada é intencional e tem uso comercial legítimo na organização.

    Ação recomendada: ignorar o alerta.

Gravidade: Média

Solicitações de consentimento de um aplicativo recém-criado têm sido rejeitadas com frequência pelos usuários. Os usuários geralmente rejeitam solicitações de consentimento de aplicativos que visualizaram comportamento inesperado ou chegaram de uma fonte não confiável. Aplicativos que têm baixas taxas de consentimento são mais propensos a serem arriscados ou maliciosos.

TP ou FP?

Revise todas as atividades realizadas pelo aplicativo, escopos concedidos ao aplicativo e atividade do usuário associada ao aplicativo.

  • TP: Aplique esta ação recomendada se você tiver confirmado que o aplicativo é de uma fonte desconhecida e suas atividades foram altamente irregulares ou potencialmente maliciosas.

    Ação recomendada: desabilite temporariamente o aplicativo, redefina a senha e reative o aplicativo.

  • FP: aplique essa ação recomendada se você tiver confirmado que a atividade do aplicativo detectada é legítima.

    Ação recomendada: ignorar o alerta.

Pico de chamadas da API do Graph feitas ao OneDrive

Gravidade: Média

Um aplicativo de nuvem demonstrou um aumento significativo nas chamadas da API do Graph para o OneDrive. Esse aplicativo pode estar envolvido na exfiltração de dados ou outras tentativas de acessar e recuperar dados confidenciais.

TP ou FP?

Revise todas as atividades realizadas pelo aplicativo, escopos concedidos ao aplicativo e atividade do usuário associada ao aplicativo.

  • TP: Aplique esta ação recomendada se você tiver confirmado que atividades altamente irregulares e potencialmente mal-intencionadas resultaram no aumento detectado no uso do OneDrive.

    Ação recomendada: desabilite temporariamente o aplicativo, redefina a senha e reative o aplicativo.

  • FP: aplique essa ação recomendada se você tiver confirmado que a atividade do aplicativo detectada é legítima.

    Ação recomendada: ignorar o alerta.

Pico de chamadas da API do Graph feitas ao SharePoint

Gravidade: Média

Um aplicativo de nuvem demonstrou um aumento significativo nas chamadas da API do Graph para o SharePoint. Esse aplicativo pode estar envolvido na exfiltração de dados ou outras tentativas de acessar e recuperar dados confidenciais.

TP ou FP?

Revise todas as atividades realizadas pelo aplicativo, escopos concedidos ao aplicativo e atividade do usuário associada ao aplicativo.

  • TP: Aplique esta ação recomendada se você tiver confirmado que atividades altamente irregulares e potencialmente mal-intencionadas resultaram no aumento detectado no uso do SharePoint.

    Ação recomendada: desabilite temporariamente o aplicativo, redefina a senha e reative o aplicativo.

  • FP: aplique essa ação recomendada se você tiver confirmado que a atividade do aplicativo detectada é legítima.

    Ação recomendada: ignorar o alerta.

Pico nas chamadas da API do Graph feitas ao Exchange

Gravidade: Média

Um aplicativo na nuvem demonstrou um aumento significativo nas chamadas da API do Graph para o Exchange. Esse aplicativo pode estar envolvido na exfiltração de dados ou outras tentativas de acessar e recuperar dados confidenciais.

TP ou FP?

Revise todas as atividades realizadas pelo aplicativo, escopos concedidos ao aplicativo e atividade do usuário associada ao aplicativo.

  • TP: Aplique esta ação recomendada se você tiver confirmado que atividades altamente irregulares e potencialmente mal-intencionadas resultaram no aumento detectado no uso do Exchange.

    Ação recomendada: desabilite temporariamente o aplicativo, redefina a senha e reative o aplicativo.

  • FP: aplique essa ação recomendada se você tiver confirmado que a atividade do aplicativo detectada é legítima.

    Ação recomendada: ignorar o alerta.

Aplicativo suspeito com acesso a vários serviços do Microsoft 365

Gravidade: Média

Encontre aplicativos com acesso OAuth a vários serviços do Microsoft 365 que visualizaram atividade estatisticamente anômala da API do Graph após um certificado ou atualização secreta. Ao identificar esses aplicativos e verificá-los quanto ao comprometimento, é possível evitar movimentos laterais, exfiltração de dados e outras atividades maliciosas que atravessam pastas na nuvem, emails e outros serviços.

TP ou FP?

Revise todas as atividades realizadas pelo aplicativo, escopos concedidos ao aplicativo e atividade do usuário associada ao aplicativo.

  • TP: Aplique esta ação recomendada se você tiver confirmado que as atualizações de certificados ou segredos de aplicativo e outras atividades do aplicativo foram altamente irregulares ou potencialmente maliciosas.

    Ação recomendada: desabilite temporariamente o aplicativo, redefina a senha e reative o aplicativo.

  • FP: aplique essa ação recomendada se você tiver confirmado que a atividade do aplicativo detectada é legítima.

    Ação recomendada: ignorar o alerta.

Alto volume de atividade de criação de regras de caixa de entrada por um aplicativo

Gravidade: Média

Um aplicativo fez um grande número de chamadas da API do Graph para criar regras de caixa de entrada do Exchange. Esse aplicativo pode estar envolvido na coleta e exfiltração de dados ou outras tentativas de acessar e recuperar informações confidenciais.

TP ou FP?

Revise todas as atividades realizadas pelo aplicativo, escopos concedidos ao aplicativo e atividade do usuário associada ao aplicativo.

  • TP: Aplique esta ação recomendada se você tiver confirmado que a criação de regras de caixa de entrada e outras atividades foram altamente irregulares ou potencialmente maliciosas.

    Ação recomendada: desabilite temporariamente o aplicativo, redefina a senha e reative o aplicativo.

  • FP: aplique essa ação recomendada se você tiver confirmado que a atividade do aplicativo detectada é legítima.

    Ação recomendada: ignorar o alerta.

Alto volume de atividade de pesquisa de email por um aplicativo

Gravidade: Média

Um aplicativo fez um grande número de chamadas da API do Graph para pesquisar conteúdo de email do Exchange. Esse aplicativo pode estar envolvido na coleta de dados ou outras tentativas de acessar e recuperar informações confidenciais.

TP ou FP?

Revise todas as atividades realizadas pelo aplicativo, escopos concedidos ao aplicativo e atividade do usuário associada ao aplicativo.

  • TP: Aplique esta ação recomendada se você tiver confirmado que as pesquisas de conteúdo no Exchange e outras atividades foram altamente irregulares ou potencialmente maliciosas.

    Ação recomendada: desabilite temporariamente o aplicativo, redefina a senha e reative o aplicativo.

  • FP: Se você puder confirmar que nenhuma atividade de pesquisa de email incomum foi executada pelo aplicativo ou que o aplicativo se destina a fazer atividades de pesquisa de email incomuns por meio da API do Graph.

    Ação recomendada: ignorar o alerta.

Alto volume de atividade de envio de email por um aplicativo

Gravidade: Média

Um aplicativo fez um grande número de chamadas da API do Graph para enviar mensagens de email usando o Exchange Online. Esse aplicativo pode estar envolvido na coleta e exfiltração de dados ou outras tentativas de acessar e recuperar informações confidenciais.

TP ou FP?

Revise todas as atividades realizadas pelo aplicativo, escopos concedidos ao aplicativo e atividade do usuário associada ao aplicativo.

  • TP: Aplique esta ação recomendada se você tiver confirmado que o envio de mensagens de email e outras atividades foram altamente irregulares ou potencialmente mal-intencionadas.

    Ação recomendada: desabilite temporariamente o aplicativo, redefina a senha e reative o aplicativo.

  • FP: Se você puder confirmar que nenhuma atividade de envio de email incomum foi executada pelo aplicativo ou que o aplicativo se destina a fazer atividades de envio de email incomuns por meio da API do Graph.

    Ação recomendada: ignorar o alerta.

Acesso aos dados confidenciais

Gravidade: Média

Encontre aplicativos que acessam dados confidenciais identificados por rótulos sensíveis específicos.

TP ou FP?

Para determinar se o alerta é um verdadeiro positivo (TP) ou um falso positivo (FP), revise os recursos acessados pelo aplicativo.

  • TP: Aplique esta ação recomendada se você tiver confirmado que o aplicativo ou a atividade detectada é irregular ou potencialmente maliciosa.

    Ação recomendada: Impedir que o aplicativo acesse quaisquer recursos desativando-o do Microsoft Entra ID.

  • FP: aplique essa ação recomendada se tiver confirmado que o aplicativo tem uso comercial legítimo na organização e que a atividade detectada é esperada.

    Ação recomendada: ignorar o alerta.

Próximas etapas

Saiba mais sobre detecção e correção de ameaças de aplicativos