调查预定义的应用策略警报

  • 项目

应用治理为异常活动提供预定义的应用策略警报。 本指南旨在为你提供有关每个警报的一般实用信息,帮助你执行调查和修复任务。

本指南中包括有关触发警报条件的一般信息。 由于预定义的策略本质上是不确定的,只有当行为偏离规范时才会触发。

提示

某些警报可能处于预览状态,因此请定期查看最新的警报状态。

安全警报分类

经过适当的调查后,所有应用治理警报均可归类至以下活动类型之一:

  • “真正 (TP)”:针对已确认的恶意活动的警报。
  • “良性 (B-TP)”:针对可疑但不是恶意的活动的警报,例如渗透测试或其他授权的可疑操作。
  • “误报 (FP)”:针对非恶意活动的警报。

常规调查步骤

在调查任何类型的警报时,使用以下一般准则,以便在采取建议操作之前更清楚地了解潜在威胁。

  1. 查看应用严重性级别,并与租户中的其余应用进行比较。 此查看可帮助你确定租户中的哪些应用会带来更大风险。

  2. 如果确定了 TP,请查看所有应用活动,了解其影响。 例如,可查看以下应用信息:

    • 授予访问权限的范围
    • 异常行为
    • IP 地址和位置

预定义的应用策略警报

本部分提供有关每个预定义策略警报的信息,以及调查和修正步骤。

通过特权过高或高特权应用增加数据使用量

严重性:中等

查找具有强大或未使用权限且通过图形 API 数据使用量突然增加的应用。 数据使用量的异常更改可能表示被盗用。

TP 还是 FP?

若要确定警报是真正 (TP) 还是误报 (FP),请查看应用执行的所有活动、授予应用的范围以及与应用关联的用户活动。

  • TP:如果你已确认过高特权或高特权应用的数据使用量增加不规则或存在潜在恶意,则应用此建议的操作。

    建议的操作:就导致数据使用量增加的应用活动与用户联系。 暂时禁用应用、重置密码,然后重新启用应用。

  • FP:如果你已确认检测到的应用活动是预期的并且组织中具有合法的业务用途,则请应用此建议的操作。

    建议的操作:消除警报。

严重性:中等

发现数据使用量或图形 API 访问错误出现异常增加,这些错误由优先级帐户授予同意的应用显示。

TP 还是 FP?

查看应用执行的所有活动、授予应用的范围以及与应用关联的用户活动。

  • TP:如果你已确认某个应用获得优先级帐户同意后,数据使用量增加是不规则或存在潜在恶意,则应用此建议的操作。

    建议的操作:就导致数据使用量增加或 API 访问错误的应用活动与优先级帐户用户联系。 暂时禁用应用、重置密码,然后重新启用应用。

  • FP:如果你已确认检测到的应用活动是预期的并且组织中具有合法的业务用途,则请应用此建议的操作。

    建议的操作:消除警报。

严重性:中等

用户频繁拒绝来自新创建的应用的同意请求。 用户通常会拒绝来自表现出意外行为或来自不受信任的源的应用的同意请求。 应用同意率较低更有可能有风险或存在恶意。

TP 还是 FP?

查看应用执行的所有活动、授予应用的范围以及与应用关联的用户活动。

  • TP:如果你已确认应用来自未知源且其活动非常不规则或存在潜在恶意,则应用此建议的操作。

    建议的操作:暂时禁用应用、重置密码,然后重新启用应用。

  • FP:如果你已确认检测应用活动合法,则请应用此建议的操作。

    建议的操作:消除警报。

对 OneDrive 进行图形 API 调用的高峰

严重性:中等

云应用显示对 OneDrive 的图形 API 调用显著增加。 此应用可能涉及数据外泄或其他访问和取回敏感数据的尝试。

TP 还是 FP?

查看应用执行的所有活动、授予应用的范围以及与应用关联的用户活动。

  • TP:如果你已确认高度不规则的、潜在的恶意活动导致检测到 OneDrive 使用率增加,则应用此建议的操作。

    建议的操作:暂时禁用应用、重置密码,然后重新启用应用。

  • FP:如果你已确认检测应用活动合法,则请应用此建议的操作。

    建议的操作:消除警报。

对 SharePoint 进行图形 API 调用的高峰

严重性:中等

云应用显示对 SharePoint 的图形 API 调用显著增加。 此应用可能涉及数据外泄或其他访问和取回敏感数据的尝试。

TP 还是 FP?

查看应用执行的所有活动、授予应用的范围以及与应用关联的用户活动。

  • TP:如果你已确认高度不规则的、潜在的恶意活动导致检测到 SharePoint 使用率增加,则应用此建议的操作。

    建议的操作:暂时禁用应用、重置密码,然后重新启用应用。

  • FP:如果你已确认检测应用活动合法,则请应用此建议的操作。

    建议的操作:消除警报。

对 Exchange 进行图形 API 调用的高峰

严重性:中等

云应用显示对 Exchange 的图形 API 调用显著增加。 此应用可能涉及数据外泄或其他访问和取回敏感数据的尝试。

TP 还是 FP?

查看应用执行的所有活动、授予应用的范围以及与应用关联的用户活动。

  • TP:如果你已确认高度不规则的、潜在的恶意活动导致检测到 Exchange 使用率增加,则应用此建议的操作。

    建议的操作:暂时禁用应用、重置密码,然后重新启用应用。

  • FP:如果你已确认检测应用活动合法,则请应用此建议的操作。

    建议的操作:消除警报。

有权访问多个 Microsoft 365 服务的可疑应用

严重性:中等

查找对多个 Microsoft 365 服务具有 OAuth 访问权限且在证书或机密更新后表现出统计异常的图形 API 活动的应用。 通过识别这些应用并检查其是否被盗用,可以阻止横向移动、数据外泄和其他遍历云文件夹、电子邮件和其他服务的恶意活动。

TP 还是 FP?

查看应用执行的所有活动、授予应用的范围以及与应用关联的用户活动。

  • TP:如果你已确认对应用证书或机密和其他应用活动的更新非常不规则或存在潜在恶意,则应用此建议的操作。

    建议的操作:暂时禁用应用、重置密码,然后重新启用应用。

  • FP:如果你已确认检测应用活动合法,则请应用此建议的操作。

    建议的操作:消除警报。

应用进行大量收件箱规则创建活动

严重性:中等

应用进行了大量图形 API 调用,以创建 Exchange 收件箱规则。 此应用可能涉及数据集合和外泄或其他访问和取回敏感信息的尝试。

TP 还是 FP?

查看应用执行的所有活动、授予应用的范围以及与应用关联的用户活动。

  • TP:如果你已确认创建收件箱规则和其他活动非常不规则或存在潜在恶意,则应用此建议的操作。

    建议的操作:暂时禁用应用、重置密码,然后重新启用应用。

  • FP:如果你已确认检测应用活动合法,则请应用此建议的操作。

    建议的操作:消除警报。

应用进行大量电子邮件搜索活动

严重性:中等

应用对搜索 Exchange 电子邮件内容进行了大量图形 API 调用。 此应用可能涉及数据集合或其他访问和取回敏感信息的尝试。

TP 还是 FP?

查看应用执行的所有活动、授予应用的范围以及与应用关联的用户活动。

  • TP:如果你已确认 Exchange 上的内容搜索和其他活动非常不规则或存在潜在恶意,则应用此建议的操作。

    建议的操作:暂时禁用应用、重置密码,然后重新启用应用。

  • FP:如果可以确认应用没有执行异常邮件搜索活动,或者应用打算通过图形 API 执行异常邮件搜素活动。

    建议的操作:消除警报。

应用进行大量电子邮件发送活动

严重性:中等

应用进行了大量图形 API 调用,以使用 Exchange Online 发送电子邮件消息。 此应用可能涉及数据集合和外泄或其他访问和取回敏感信息的尝试。

TP 还是 FP?

查看应用执行的所有活动、授予应用的范围以及与应用关联的用户活动。

  • TP:如果你已确认发送电子邮件消息和其他活动非常不规则或存在潜在恶意,则应用此建议的操作。

    建议的操作:暂时禁用应用、重置密码,然后重新启用应用。

  • FP:如果可以确认应用没有执行异常邮件发送活动,或者应用打算通过图形 API 执行异常邮件发送活动。

    建议的操作:消除警报。

访问敏感数据

严重性:中等

查找访问由特定敏感标签标识的敏感数据的应用。

TP 还是 FP?

若要确定警报是为真正 (TP) 还是误报 (FP),请查看应用访问的资源。

  • TP:如果你已确认应用或检测到的活动不规则或存在潜在恶意,则应用此建议的操作。

    建议的操作:通过从 Microsoft Entra ID 停用应用来阻止应用访问任何资源。

  • FP:如果你已确认应用在组织中具有合法的业务用途且检测的活动是预期的,则请应用此建议的操作。

    建议的操作:消除警报。

后续步骤

了解应用威胁检测和修正