調查威脅偵測警示

  • 發行項

應用程式控管提供惡意活動的安全性偵測和警示。 本文列出每個可協助您調查和補救的警示詳細數據,包括觸發警示的條件。 由於威脅偵測本質上不具決定性,因此只有在有偏離常態的行為時,才會觸發這些偵測。

如需詳細資訊,請參閱 適用於雲端的 Microsoft Defender Apps 中的應用程式控管

注意

應用程式控管威脅偵測是以計算暫時性且可能未儲存之數據的活動為基礎,因此警示可能會提供活動數目或尖峰指示,但不一定是所有相關數據。 特別是針對 OAuth 應用程式圖形 API 活動,租使用者可以使用 Log Analytics 和 Sentinel 來稽核活動本身。

如需詳細資訊,請參閱:

MITRE ATT&CK

為了更輕鬆地對應應用程式控管警示與熟悉的 MITRE ATT&CK 矩陣之間的關聯性,我們已依其對應的 MITRE ATT&CK 策略來分類警示。 此額外參考可讓您更輕鬆地瞭解在觸發應用程式控管警示時,可能正在使用的可疑攻擊技術。

本指南提供下列類別中調查和補救應用程式控管警示的相關信息。

安全性警示分類

經過適當的調查,所有應用程式控管警示都可以分類為下列其中一種活動類型:

  • 真肯定 (TP):已確認惡意活動的警示。
  • 良性真陽性 (B-TP):可疑但非惡意活動的警示,例如滲透測試或其他授權的可疑動作。
  • 誤判 (FP):非惡意活動的警示。

一般調查步驟

在調查任何類型的警示時,請使用下列一般指導方針,在套用建議動作之前,更清楚瞭解潛在威脅。

  • 檢閱應用程式嚴重性層級,並與租使用者中的其餘應用程式進行比較。 此檢閱可協助您識別租使用者中的哪些應用程式造成更大的風險。

  • 如果您識別 TP,請檢閱所有應用程式活動,以了解影響。 例如,檢閱下列應用程式資訊:

    • 授與存取權的範圍
    • 不尋常的行為
    • IP 位址和位置

初始存取警示

本節說明警示,指出惡意應用程式可能嘗試在您的組織中維護其立足點。

應用程式會利用 OAuth 重新導向弱點,重新導向至網路釣魚 URL

嚴重性:中

此偵測會透過 Microsoft Graph API 利用 OAuth 實作中的回應類型參數,識別重新導向至網路釣魚 URL 的 OAuth 應用程式。

TP 或 FP?

  • TP:如果您可以確認 OAuth 應用程式是從未知來源傳遞的,則同意 OAuth 應用程式後回復 URL 的回應類型包含無效的要求,並重新導向至未知或未受信任的回復 URL。

    建議的動作:停用並移除應用程式、重設密碼,以及移除收件匣規則。 

  • FP:如果在調查之後,您可以確認應用程式在組織中具有合法的商務用途。

    建議的動作:關閉警示。

瞭解缺口的範圍

  1. 檢閱應用程式完成的所有活動。 
  2. 檢閱應用程式授與的範圍。 

具有可疑回復 URL 的 OAuth 應用程式

嚴重性:中

此偵測會識別透過 Microsoft Graph API 存取可疑的回復 URL 的 OAuth 應用程式。

TP 或 FP?

  • TP:如果您可以確認 OAuth 應用程式是從未知來源傳遞,並重新導向至可疑的 URL,則會指出真肯定。 可疑的 URL 是 URL 信譽未知、不受信任,或最近註冊網域且應用程式要求適用於高許可權範圍的 URL。

    建議的動作:檢閱應用程式所要求的回復URL、網域和範圍。 根據您的調查,您可以選擇禁止存取此應用程式。 檢閱此應用程式所要求的許可權層級,以及哪些用戶獲授與存取權。

    若要禁止存取應用程式,請移至應用程式控管頁面上應用程式的相關索引標籤。 在您要禁止的應用程式出現的數據列上,選取禁止圖示。 您可以選擇是否要告訴使用者他們已安裝和授權的應用程式已被禁止。 通知可讓使用者知道應用程式將會停用,而且他們無法存取已連線的應用程式。 如果您不想要告知使用者,可在此對話方塊中取消選取 [通知先前授與此遭禁應用程式存取權的使用者]。 我們建議您讓應用程式使用者知道其應用程式即將禁止使用。

  • FP:如果在調查之後,您可以確認應用程式在組織中具有合法的商務用途。

    建議的動作:關閉警示。

瞭解缺口的範圍

  1. 檢閱最近建立的應用程式及其回復 URL。

  2. 檢閱應用程式完成的所有活動。 

  3. 檢閱應用程式授與的範圍。 

嚴重性:低

此偵測會識別最近建立且發現同意率很低的 OAuth 應用程式。 這表示惡意或有風險的應用程式會誘使用戶獲得非法同意授權。

TP 或 FP?

  • TP:如果您能夠確認 OAuth 應用程式是從未知來源傳遞,則會指出真肯定。

    建議的動作:檢閱應用程式的顯示名稱、回復URL和網域。 根據您的調查,您可以選擇禁止存取此應用程式。 檢閱此應用程式所要求的許可權層級,以及哪些使用者已授與存取權。

  • FP:如果在調查之後,您可以確認應用程式在組織中具有合法的商務用途。

    建議的動作:關閉警示。

瞭解缺口的範圍

  1. 檢閱應用程式完成的所有活動。
  2. 如果您懷疑應用程式可疑,建議您調查不同應用程式市集中的應用程式名稱和回復網域。 檢查應用程式市集時,請專注於下列類型的應用程式:
    • 最近建立的應用程式
    • 具有異常顯示名稱的應用程式
    • 具有可疑回復網域的應用程式
  3. 如果您仍然懷疑應用程式可疑,您可以研究應用程式顯示名稱和回復網域。

URL 信譽不良的應用程式

嚴重性:中

此偵測會識別發現 URL 信譽不良的 OAuth 應用程式。

TP 或 FP?

  • TP:如果您能夠確認 OAuth 應用程式是從未知來源傳遞,並重新導向至可疑的 URL,則會指出真正的正數。

    建議的動作:檢閱應用程式所要求的回復URL、網域和範圍。 根據您的調查,您可以選擇禁止存取此應用程式。 檢閱此應用程式所要求的許可權層級,以及哪些使用者已授與存取權。

  • FP:如果在調查之後,您可以確認應用程式在組織中具有合法的商務用途。

    建議的動作:關閉警示。

瞭解缺口的範圍

  1. 檢閱應用程式完成的所有活動。
  2. 如果您懷疑應用程式可疑,建議您調查不同應用程式市集中的應用程式名稱和回復網域。 檢查應用程式市集時,請專注於下列類型的應用程式:
    • 最近建立的應用程式
    • 具有異常顯示名稱的應用程式
    • 具有可疑回復網域的應用程式
  3. 如果您仍然懷疑應用程式可疑,您可以研究應用程式顯示名稱和回復網域。

嚴重性:中

描述:此偵測會識別 OAuth 應用程式,其中包含字元,例如 Unicode 或編碼字元、要求可疑同意範圍,以及透過圖形 API 存取使用者郵件資料夾。 此警示可能表示嘗試將惡意應用程式偽裝成已知且受信任的應用程式,讓敵人可能會誤導使用者同意惡意應用程式。

TP 或 FP?

  • TP:如果您可以確認 OAuth 應用程式已使用從未知來源傳遞的可疑範圍來編碼顯示名稱,則會指出真肯定。

    建議的動作:檢閱此應用程式所要求的許可權層級,以及哪些使用者已授與存取權。 根據您的調查,您可以選擇禁止存取此應用程式。

    若要禁止存取應用程式,請移至應用程式控管頁面上應用程式的相關索引標籤。 在您要禁止的應用程式出現的數據列上,選取禁止圖示。 您可以選擇是否要告訴使用者他們已安裝和授權的應用程式已被禁止。 此通知可讓使用者知道應用程式將被停用,因此他們無法存取連線的應用程式。 如果您不想要告知使用者,可在此對話方塊中取消選取 [通知先前授與此遭禁應用程式存取權的使用者]。 我們建議您讓應用程式使用者知道其應用程式即將禁止使用。

  • FP:如果您要確認應用程式具有編碼的名稱,但在組織中具有合法的商務用途。

    建議的動作:關閉警示。

瞭解缺口的範圍

請遵循如何 調查具風險的 OAuth 應用程式的教學課程。

具有讀取範圍的 OAuth 應用程式具有可疑的回復 URL

嚴重性:中

描述:此偵測會識別只有 Read 範圍的 OAuth 應用程式,例如 User.Read人員。ReadContacts.Read、Mail.ReadContacts.Read。透過圖形 API 將共用重新導向至可疑的回復 URL。 此活動嘗試指出惡意應用程式具有較少的許可權(例如讀取範圍)可能會遭到惡意探索,以執行使用者帳戶偵察。

TP 或 FP?

  • TP:如果您能夠確認具有讀取範圍的 OAuth 應用程式是從未知來源傳遞,並重新導向至可疑的 URL,則會指出真肯定。

    建議的動作:檢閱應用程式所要求的回復URL和範圍。 根據您的調查,您可以選擇禁止存取此應用程式。 檢閱此應用程式所要求的許可權層級,以及哪些使用者已授與存取權。

    若要禁止存取應用程式,請移至應用程式控管頁面上應用程式的相關索引標籤。 在您要禁止的應用程式出現的數據列上,選取禁止圖示。 您可以選擇是否要告訴使用者他們已安裝和授權的應用程式已被禁止。 此通知可讓使用者知道應用程式將被停用,因此他們無法存取連線的應用程式。 如果您不想要告知使用者,可在此對話方塊中取消選取 [通知先前授與此遭禁應用程式存取權的使用者]。 我們建議您讓應用程式使用者知道其應用程式即將禁止使用。

  • B-TP:如果在調查之後,您可以確認應用程式在組織中具有合法的商務用途。

    建議的動作:關閉警示。

瞭解缺口的範圍

  1. 檢閱應用程式完成的所有活動。
  2. 如果您懷疑應用程式可疑,建議您調查不同應用程式市集中的應用程式名稱和回復 URL。 檢查應用程式市集時,請專注於下列類型的應用程式:
    • 最近建立的應用程式。
    • 具有可疑回復 URL 的應用程式
    • 尚未更新的應用程式。 缺少更新可能表示不再支援應用程式。
  3. 如果您仍然懷疑應用程式可疑,您可以在線研究應用程式名稱、發行者名稱和回復URL

在回復網域中具有不尋常的顯示名稱和不尋常的 TLD 的應用程式

嚴重性:中

此偵測會識別具有異常顯示名稱的應用程式,並透過圖形 API 以不尋常的最上層網域 (TLD) 重新導向至可疑的回復網域。 這表示嘗試將惡意或具風險的應用程式偽裝成已知且受信任的應用程式,讓敵人可能會誤導使用者同意其惡意或具風險的應用程式。 

TP 或 FP?

  • TP:如果您能夠確認從未知來源傳遞異常顯示名稱的應用程式,並重新導向至具有異常最上層網域的可疑網域

    建議的動作:檢閱應用程式的顯示名稱和回復網域。 根據您的調查,您可以選擇禁止存取此應用程式。 檢閱此應用程式所要求的許可權層級,以及哪些使用者已授與存取權。

  • FP:如果在調查之後,您可以確認應用程式在組織中具有合法的商務用途。

    建議的動作:關閉警示。

瞭解缺口的範圍

檢閱應用程式完成的所有活動。 如果您懷疑應用程式可疑,建議您調查不同應用程式市集中的應用程式名稱和回復網域。 檢查應用程式市集時,請專注於下列類型的應用程式:

  • 最近建立的應用程式
  • 具有異常顯示名稱的應用程式
  • 具有可疑回復網域的應用程式

如果您仍然懷疑應用程式可疑,您可以研究應用程式顯示名稱和回復網域。

嚴重性:中

此偵測會識別最近在相對新的發行者租使用者中建立且具有下列特性的 OAuth 應用程式:

  • 存取或變更信箱設定的許可權
  • 相對較低的同意率,這可以識別不知情的使用者同意的垃圾或甚至惡意應用程式

TP 或 FP?

  • TP:如果您能夠確認已從未知或外部來源傳遞對應用程式的同意要求,且應用程式在組織中沒有合法的商業用途,則會指出真正的正數。

    建議動作:

    • 請連絡已同意此應用程式的使用者和系統管理員,以確認這是刻意的,而且許可權過高是正常的。
    • 調查應用程式活動,並檢查受影響的帳戶是否有可疑活動。
    • 根據您的調查,停用應用程式,並針對所有受影響的帳戶暫停和重設密碼。
    • 將警示分類為真肯定。

  • FP:如果在調查之後,您可以確認應用程式在組織中具有合法的商務用途。

    建議的動作:將警示分類為誤判,並考慮根據您的警示調查分享意見反應。

瞭解缺口的範圍

檢閱使用者和系統管理員對應用程式的同意授與。 調查應用程式完成的所有活動,特別是存取相關聯使用者和系統管理員帳戶的信箱。 如果您懷疑應用程式可疑,請考慮停用所有受影響帳戶的應用程式和輪替認證。

嚴重性:中

此警示會識別最近在較新的發行者租用戶中註冊的 OAuth 應用程式,並具有變更信箱設定和存取電子郵件的許可權。 它也會驗證應用程式是否有相對較低的全域同意率,並多次呼叫 Microsoft Graph API 來存取同意使用者的電子郵件。 觸發此警示的應用程式可能是不想要或惡意的應用程式,嘗試從不知情的使用者取得同意。

TP 或 FP?

  • TP:如果您能夠確認已從未知或外部來源傳遞對應用程式的同意要求,且應用程式在組織中沒有合法的商業用途,則會指出真正的正數。

    建議動作:

    • 請連絡已同意此應用程式的使用者和系統管理員,以確認這是刻意的,而且許可權過高是正常的。
    • 調查應用程式活動,並檢查受影響的帳戶是否有可疑活動。
    • 根據您的調查,停用應用程式,並針對所有受影響的帳戶暫停和重設密碼。
    • 將警示分類為真肯定。

  • FP:如果在調查之後,您可以確認應用程式在組織中有合法的商業用途,則會指出誤判。

    建議的動作:將警示分類為誤判,並考慮根據您的警示調查分享意見反應。

瞭解缺口的範圍

檢閱使用者和系統管理員對應用程式的同意授與。 調查應用程式完成的所有活動,特別是存取相關聯使用者和系統管理員帳戶的信箱。 如果您懷疑應用程式可疑,請考慮停用所有受影響帳戶的應用程式和輪替認證。

郵件許可權傳送許多電子郵件的可疑應用程式

嚴重性:中

此警示會尋找多租使用者 OAuth 應用程式,這些應用程式已多次呼叫 Microsoft Graph API,以在短時間內傳送電子郵件。 它也會驗證 API 呼叫是否導致錯誤,以及傳送電子郵件失敗的嘗試。 觸發此警示的應用程式可能會主動將垃圾郵件或惡意電子郵件傳送至其他目標。

TP 或 FP?

  • TP:如果您能夠確認已從未知或外部來源傳遞對應用程式的同意要求,且應用程式在組織中沒有合法的商業用途,則會指出真正的正數。

    建議動作:

    • 請連絡已同意此應用程式的使用者和系統管理員,以確認這是刻意的,而且許可權過高是正常的。
    • 調查應用程式活動,並檢查受影響的帳戶是否有可疑活動。
    • 根據您的調查,停用應用程式,並針對所有受影響的帳戶暫停和重設密碼。
    • 將警示分類為真肯定。

  • FP:如果在調查之後,您可以確認應用程式在組織中有合法的商業用途,則會指出誤判。

    建議的動作:將警示分類為誤判,並考慮根據您的警示調查分享意見反應。

瞭解缺口的範圍

檢閱使用者和系統管理員對應用程式的同意授與。 調查應用程式完成的所有活動,特別是存取相關聯使用者和系統管理員帳戶的信箱。 如果您懷疑應用程式可疑,請考慮停用所有受影響帳戶的應用程式和輪替認證。

用來傳送許多電子郵件的可疑 OAuth 應用程式

嚴重性:中

此警示指出 OAuth 應用程式已多次呼叫 Microsoft Graph API,以在短時間內傳送電子郵件。 已知應用程式的發行者租用戶會產生大量 OAuth 應用程式,這些應用程式會進行類似的 Microsoft Graph API 呼叫。 攻擊者可能會主動使用此應用程式將垃圾郵件或惡意電子郵件傳送至其目標。

TP 或 FP?

  • TP:如果您能夠確認已從未知或外部來源傳遞對應用程式的同意要求,且應用程式在組織中沒有合法的商業用途,則會指出真正的正數。

    建議動作:

    • 請連絡已同意此應用程式的使用者和系統管理員,以確認這是刻意的,而且許可權過高是正常的。
    • 調查應用程式活動,並檢查受影響的帳戶是否有可疑活動。
    • 根據您的調查,停用應用程式,並針對所有受影響的帳戶暫停和重設密碼。
    • 將警示分類為真肯定。

  • FP:如果在調查之後,您可以確認應用程式在組織中有合法的商業用途,則會指出誤判。

    建議的動作:將警示分類為誤判,並考慮根據您的警示調查分享意見反應。

瞭解缺口的範圍

檢閱使用者和系統管理員對應用程式的同意授與。 調查應用程式完成的所有活動,特別是存取相關聯使用者和系統管理員帳戶的信箱。 如果您懷疑應用程式可疑,請考慮停用所有受影響帳戶的應用程式和輪替認證。

持續性警示

本節說明警示,指出惡意動作專案可能嘗試在您的組織中維護其立足點。

應用程式在憑證更新或新增新認證后對 Exchange 工作負載發出異常 Graph 呼叫

嚴重性:中

MITRE 識別碼:T1098.001、T1114

此偵測會在企業營運應用程式更新憑證/秘密或新增新認證,並在憑證更新或新增新認證後幾天內,透過機器學習演算法觀察到異常活動或大量使用 Exchange 工作負載時觸發警示。

TP 或 FP?

  • TP:如果您能夠確認 EXCHANGE 工作負載的異常活動/大量使用量是由 LOB 應用程式透過圖形 API 執行

    建議動作:暫時停用應用程式並重設密碼,然後重新啟用應用程式。

  • FP:如果您可以確認 LOB 應用程式或應用程式未執行任何不尋常的活動,則打算執行異常大量的圖形呼叫。

    建議的動作:關閉警示。

瞭解缺口的範圍

  1. 檢閱此應用程式執行的所有活動。
  2. 檢閱應用程式授與的範圍。
  3. 檢閱與此應用程式相關聯的用戶活動。

具有可疑 OAuth 範圍的應用程式已標幟為高風險,機器學習 模型、進行圖表呼叫以讀取電子郵件並建立收件匣規則

嚴重性:中

MITRE 識別碼:T1137.005、T1114

此偵測會識別已標幟為高風險的 OAuth 應用程式,機器學習 模型同意可疑範圍、建立可疑的收件匣規則,然後透過 Graph API 存取使用者郵件資料夾和郵件。 收件匣規則,例如將所有或特定電子郵件轉送至另一個電子郵件帳戶,以及 Graph 呼叫來存取電子郵件並傳送至另一個電子郵件帳戶,可能是嘗試從您的組織外洩資訊。

TP 或 FP?

  • TP:如果您可以確認收件匣規則是由 OAuth 第三方應用程式所建立,且具有從未知來源傳遞的可疑範圍,則會偵測到真陽性。

    建議的動作:停用並移除應用程式、重設密碼,以及移除收件匣規則。

請遵循如何使用 Microsoft Entra ID 重設密碼的教學課程,並遵循如何移除收件匣規則的教學課程。

  • FP:如果您可以確認應用程式已基於合法原因,將收件匣規則建立至新的或個人外部電子郵件帳戶。

    建議的動作:關閉警示。

瞭解缺口的範圍

  1. 檢閱應用程式完成的所有活動。
  2. 檢閱應用程式授與的範圍。
  3. 檢閱應用程式所建立的收件匣規則動作和條件。

具有可疑 OAuth 範圍的應用程式會呼叫圖形來讀取電子郵件並建立收件匣規則

嚴重性:中

MITRE ID's: T1137.005, T1114

此偵測會識別同意可疑範圍的 OAuth 應用程式、建立可疑的收件匣規則,然後透過 Graph API 存取使用者郵件資料夾和郵件。 收件匣規則,例如將所有或特定電子郵件轉送至另一個電子郵件帳戶,以及 Graph 呼叫來存取電子郵件並傳送至另一個電子郵件帳戶,可能是嘗試從您的組織外洩資訊。

TP 或 FP?

  • TP:如果您可以確認收件匣規則是由 OAuth 第三方應用程式所建立,且具有從未知來源傳遞的可疑範圍,則會指出確判為真。

    建議的動作:停用並移除應用程式、重設密碼,以及移除收件匣規則。

    請遵循如何使用 Microsoft Entra ID 重設密碼的教學課程,並遵循如何移除收件匣規則的教學課程。

  • FP:如果您可以確認應用程式已基於合法原因,將收件匣規則建立至新的或個人外部電子郵件帳戶。

    建議的動作:關閉警示。

瞭解缺口的範圍

  1. 檢閱應用程式完成的所有活動。
  2. 檢閱應用程式授與的範圍。
  3. 檢閱應用程式所建立的收件匣規則動作和條件。

從不尋常的位置存取應用程式後憑證更新

嚴重性:低

MITRE 識別碼:T1098

此偵測會在企業營運應用程式更新憑證/秘密,並在憑證更新後的幾天內,從最近未看到或從未存取的異常位置存取應用程式時觸發警示。

TP 或 FP?

  • TP:如果您能夠確認 LOB 應用程式從不尋常的位置存取,並透過圖形 API 執行異常活動。

    建議動作:暫時停用應用程式並重設密碼,然後重新啟用應用程式。

  • FP:如果您能夠確認 LOB 應用程式從不尋常的位置存取是為了合法目的,而且不會執行任何不尋常的活動。

    建議的動作:關閉警示。

瞭解缺口的範圍

  1. 檢閱此應用程式執行的所有活動。
  2. 檢閱應用程式授與的範圍。
  3. 檢閱與此應用程式相關聯的用戶活動。

從異常位置存取的應用程式會在憑證更新後呼叫異常 Graph

嚴重性:中

MITRE 識別碼:T1098

此偵測會在企業營運應用程式更新憑證/秘密,並在憑證更新後的幾天內,從最近或從未存取的異常位置存取應用程式,並使用機器學習演算法透過圖形 API 觀察到異常活動或使用時,就會觸發警示。

TP 或 FP?

  • TP:如果您能夠確認 LOB 應用程式透過圖形 API 從不尋常的位置執行不尋常的活動/使用量。

    建議動作:暫時停用應用程式並重設密碼,然後重新啟用應用程式。

  • FP:如果您能夠確認 LOB 應用程式從不尋常的位置存取是為了合法目的,而且不會執行任何不尋常的活動。

    建議的動作:關閉警示。

瞭解缺口的範圍

  1. 檢閱此應用程式執行的所有活動。
  2. 檢閱應用程式授與的範圍。
  3. 檢閱與此應用程式相關聯的用戶活動。

最近建立的應用程式有大量撤銷的同意

嚴重性:中

MITRE 識別碼:T1566、T1098

數位使用者已撤銷他們最近建立的企業營運(LOB)或第三方應用程式的同意。 此應用程式可能會誘使用戶不小心同意。

TP 或 FP?

  • TP:如果您可以確認 OAuth 應用程式是從未知來源傳遞,且應用程式行為可疑。 

    建議的動作:撤銷授與應用程式的同意,並停用應用程式。 

  • FP:如果在調查之後,您可以確認應用程式在組織中具有合法的商務用途,而且應用程式不會執行任何不尋常的活動。

    建議的動作:關閉警示

瞭解缺口的範圍

  1. 檢閱應用程式執行的所有活動。
  2. 如果您懷疑應用程式可疑,建議您調查不同 App 市集中應用程式的名稱和回復網域。 檢查應用程式市集時,請專注於下列類型的應用程式:
    • 最近建立的應用程式
    • 具有異常顯示名稱的應用程式
    • 具有可疑回復網域的應用程式
  3. 如果您仍然懷疑應用程式可疑,您可以研究應用程式顯示名稱和回復網域。

與已知網路釣魚活動相關聯的應用程式元數據

嚴重性:中

此偵測會產生非 Microsoft OAuth 應用程式的警示,其中包含元數據,例如 名稱URL發行者,先前在與網路釣魚活動相關聯的應用程式中觀察到。 這些應用程式可能是相同營銷活動的一部分,而且可能涉及敏感性資訊的外洩。

TP 或 FP?

  • TP:如果您能夠確認 OAuth 應用程式是從未知來源傳遞,而且正在執行不尋常的活動。

    建議動作:

    • 調查應用程式控管上的應用程式註冊詳細數據,並流覽 Microsoft Entra ID 以取得詳細數據。
    • 請連絡已授與應用程式同意或許可權的用戶或系統管理員。 確認變更是否刻意進行。
    • 搜尋 CloudAppEvents 進階搜捕數據表,以瞭解應用程式活動,並判斷觀察到的行為是否預期。
    • 在考慮任何內含項目動作之前,請先確認應用程式是否對組織至關重要。 使用應用程式控管或 Microsoft Entra 識別碼停用應用程式,以防止它存取資源。 現有的應用程式控管原則可能已經停用應用程式。

  • FP:如果您可以確認應用程式未執行任何不尋常的活動,且應用程式在組織中具有合法的商務用途。

    建議的動作:關閉警示

瞭解缺口的範圍

  1. 檢閱應用程式執行的所有活動。
  2. 檢閱授與應用程式的範圍。
  3. 檢閱與應用程式相關聯的用戶活動。

與先前標示為可疑應用程式相關聯的應用程式元數據

嚴重性:中

此偵測會針對具有元數據的非 Microsoft OAuth 應用程式產生警示,例如 名稱URL發行者,這些應用程式先前因可疑活動而被應用程式控管標幟的應用程式觀察到。 此應用程式可能是攻擊活動的一部分,且可能涉及敏感性資訊的外洩。

TP 或 FP?

  • TP:如果您能夠確認 OAuth 應用程式是從未知來源傳遞,而且正在執行不尋常的活動。

    建議動作:

    • 調查應用程式控管上的應用程式註冊詳細數據,並流覽 Microsoft Entra ID 以取得詳細數據。
    • 請連絡已授與應用程式同意或許可權的用戶或系統管理員。 確認變更是否刻意進行。
    • 搜尋 CloudAppEvents 進階搜捕數據表,以瞭解應用程式活動,並判斷觀察到的行為是否預期。
    • 在考慮任何內含項目動作之前,請先確認應用程式是否對組織至關重要。 使用應用程式控管或 Microsoft Entra 識別碼停用應用程式,以防止它存取資源。 現有的應用程式控管原則可能已經停用應用程式。

  • FP:如果您可以確認應用程式未執行任何不尋常的活動,且應用程式在組織中具有合法的商務用途。

    建議的動作:關閉警示

瞭解缺口的範圍

  1. 檢閱應用程式執行的所有活動。
  2. 檢閱授與應用程式的範圍。
  3. 檢閱與應用程式相關聯的用戶活動。

透過圖形 API 的可疑 OAuth 應用程式電子郵件活動

嚴重性:高

此偵測會產生多租使用者 OAuth 應用程式的警示,這些應用程式是由具有高風險登入的使用者所註冊,該應用程式會呼叫 Microsoft Graph API,以在短時間內執行可疑的電子郵件活動。

此偵測會驗證是否已對建立信箱規則、建立回復電子郵件、轉寄電子郵件、回復或傳送新電子郵件進行 API 呼叫。 觸發此警示的應用程式可能會主動將垃圾郵件或惡意電子郵件傳送至其他目標,或外泄機密數據並清除追蹤以逃避偵測。

TP 或 FP?

  • TP:如果您能夠確認應用程式建立和同意要求是從未知或外部來源傳遞,而且應用程式在組織中沒有合法的商務用途,則會指出真正的正面。

    建議動作:

    • 請連絡已同意此應用程式的使用者和系統管理員,以確認這是刻意的,而且許可權過高是正常的。

    • 調查應用程式活動,並檢查受影響的帳戶是否有可疑活動。

    • 根據您的調查,停用所有受影響帳戶的應用程式並暫停和重設密碼,並移除收件匣規則。

    • 將警示分類為真肯定。

  • FP:如果在調查之後,您可以確認應用程式在組織中有合法的商務用途,則會指出誤判。

    建議動作:

    • 將警示分類為誤判,並考慮根據您的警示調查分享意見反應。

    • 瞭解缺口的範圍:

      檢閱使用者和系統管理員對應用程式的同意授與。 調查應用程式完成的所有活動,特別是存取相關聯使用者和系統管理員帳戶的信箱。 如果您懷疑應用程式可疑,請考慮停用所有受影響帳戶的應用程式和輪替認證。

透過EWS API的可疑 OAuth 應用程式電子郵件活動

嚴重性:高

此偵測會產生多租使用者 OAuth 應用程式的警示,這些應用程式是由具有高風險登入的使用者所註冊,該應用程式會呼叫 Microsoft Exchange Web Services (EWS) API,以在短時間內執行可疑的電子郵件活動。

此偵測會驗證是否已呼叫 API 來更新收件匣規則、移動專案、刪除電子郵件、刪除資料夾或刪除附件。 觸發此警示的應用程式可能會主動外泄或刪除機密數據,並清除追蹤以逃避偵測。

TP 或 FP?

  • TP:如果您能夠確認應用程式建立和同意要求是從未知或外部來源傳遞,而且應用程式在組織中沒有合法的商務用途,則會指出真正的正面。

    建議動作:

    • 請連絡已同意此應用程式的使用者和系統管理員,以確認這是刻意的,而且許可權過高是正常的。

    • 調查應用程式活動,並檢查受影響的帳戶是否有可疑活動。

    • 根據您的調查,停用所有受影響帳戶的應用程式並暫停和重設密碼,並移除收件匣規則。

    • 將警示分類為真肯定。

  • FP:如果在調查之後,您可以確認應用程式在組織中有合法的商業用途,則會指出誤判。

    建議的動作:

    • 將警示分類為誤判,並考慮根據您的警示調查分享意見反應。

    • 瞭解缺口的範圍:

      檢閱使用者和系統管理員對應用程式的同意授與。 調查應用程式完成的所有活動,特別是存取相關聯使用者和系統管理員帳戶的信箱。 如果您懷疑應用程式可疑,請考慮停用所有受影響帳戶的應用程式和輪替認證。

許可權提升警示

具有可疑元數據的 OAuth 應用程式具有 Exchange 許可權

嚴重性:中

MITRE 識別碼:T1078

當具有可疑元數據的企業營運應用程式具有管理 Exchange 許可權的許可權時,就會觸發此警示。

TP 或 FP?

  • TP:如果您能夠確認 OAuth 應用程式是從未知來源傳遞,而且具有可疑的元數據特性,則會指出真肯定。

建議的動作:撤銷授與應用程式的同意,並停用應用程式。

FP:如果在調查之後,您可以確認應用程式在組織中具有合法的商務用途。

建議的動作:關閉警示

瞭解缺口的範圍

  1. 檢閱應用程式完成的所有活動。
  2. 檢閱應用程式授與的範圍。
  3. 檢閱與應用程式相關聯的用戶活動。

防禦逃避警示

嚴重性:中

非 Microsoft 雲端應用程式會使用機器學習演算法所找到的標誌,類似於 Microsoft 標誌。 這可以是模擬 Microsoft 軟體產品並顯示為合法的嘗試。

注意

租用戶系統管理員必須透過快顯提供同意,才能在目前的合規性界限外傳送必要的數據,並選取 Microsoft 內的合作夥伴小組,才能針對企業營運應用程式啟用此威脅偵測。

TP 或 FP?

  • TP:如果您可以確認應用程式標誌是 Microsoft 標誌的仿製,且應用程式行為可疑。 

    建議的動作:撤銷授與應用程式的同意,並停用應用程式。

  • FP:如果您可以確認應用程式標誌不是 Microsoft 標誌的模仿,或應用程式未執行任何不尋常的活動。 

    建議的動作:關閉警示

瞭解缺口的範圍

  1. 檢閱應用程式執行的所有活動。
  2. 檢閱授與應用程式的範圍。
  3. 檢閱與應用程式相關聯的用戶活動。

應用程式與錯字網域相關聯

嚴重性:中

此偵測會產生非 Microsoft OAuth 應用程式的警示,其中包含發行者網域或重新導向 URL,其中包含錯字版本的 Microsoft 品牌名稱。 當使用者不小心輸入 URL 時,通常會使用錯字來擷取網站流量,但也可以用來模擬熱門的軟體產品和服務。

TP 或 FP?

  • TP:如果您可以確認應用程式的發行者網域或重新導向 URL 已錯字,且與應用程式的真實身分識別無關。

    建議動作:

    • 調查應用程式控管上的應用程式註冊詳細數據,並流覽 Microsoft Entra ID 以取得詳細數據。
    • 檢查應用程式是否有其他詐騙或仿真的跡象,以及任何可疑的活動。
    • 在考慮任何內含項目動作之前,請先確認應用程式是否對組織至關重要。 使用應用程式控管停用應用程式,以防止它存取資源。 現有的應用程式控管原則可能已經停用應用程式。

  • FP:如果您可以確認應用程式的發行者網域和重新導向 URL 是合法的。 

    建議的動作:將警示分類為誤判,並考慮根據您的警示調查分享意見反應。

瞭解缺口的範圍

  1. 檢閱應用程式執行的所有活動。
  2. 檢閱授與應用程式的範圍。
  3. 檢閱與應用程式相關聯的用戶活動。

認證存取

本節描述警示,指出惡意執行者可能嘗試讀取機密認證數據,並包含竊取貴組織中帳戶名稱、秘密、令牌、憑證和密碼等認證的技術。

應用程式起始多個失敗的 KeyVault 讀取活動,但未成功

嚴重性:中

MITRE 識別碼:T1078.004

此偵測會識別租用戶中觀察到在短時間內使用 Azure Resource Manager API 對 KeyVault 進行多個讀取動作呼叫的應用程式,且只會失敗且未完成任何成功的讀取活動。

TP 或 FP?

  • TP:如果應用程式未知或未使用,則指定的活動可能可疑。 驗證正在使用的 Azure 資源並驗證租使用者中的應用程式使用之後,指定的活動可能會要求停用應用程式。 這通常是針對 KeyVault 資源的可疑列舉活動的證據,以取得橫向移動或許可權提升的認證存取權。

    建議的動作:檢閱應用程式所存取或建立的 Azure 資源,以及對應用程式所做的任何最近變更。 根據您的調查,選擇是否要禁止存取此應用程式。 檢閱此應用程式所要求的許可權等級,以及哪些使用者已授與存取權。

  • FP:如果在調查之後,您可以確認應用程式在組織中具有合法的商務用途。

    建議的動作:關閉警示。

瞭解缺口的範圍

  1. 檢閱應用程式的存取和活動。
  2. 檢閱應用程式自建立後完成的所有活動。
  3. 檢閱圖形 API 中應用程式授與的範圍,以及訂用帳戶中授與的角色。
  4. 檢閱活動之前可能已存取應用程式的任何使用者。

探索警示

應用程式執行磁碟驅動器列舉

嚴重性:中

MITRE 識別碼:T1087

此偵測會識別使用圖形 API 在 OneDrive 檔案上執行列舉 機器學習 模型偵測到的 OAuth 應用程式。

TP 或 FP?

  • TP:如果您能夠確認 OneDrive 的異常活動/使用量是由 LOB 應用程式透過圖形 API 執行。

    建議的動作:停用並移除應用程式並重設密碼。

  • FP:如果您可以確認應用程式未執行任何不尋常的活動。

    建議的動作:關閉警示。

瞭解缺口的範圍

  1. 檢閱此應用程式執行的所有活動。
  2. 檢閱應用程式授與的範圍。
  3. 檢閱與此應用程式相關聯的用戶活動。

使用 Microsoft Graph PowerShell 執行的可疑列舉活動

嚴重性:中

MITRE 識別碼:T1087

此偵測會識別透過 Microsoft Graph PowerShell 應用程式在短時間內執行的大量可疑列舉活動。

TP 或 FP?

  • TP:如果您能夠確認 Microsoft Graph PowerShell 應用程式已執行可疑/不尋常的列舉活動。

    建議的動作:停用並移除應用程式並重設密碼。

  • FP:如果您可以確認應用程式未執行任何不尋常的活動。

    建議的動作:關閉警示。

瞭解缺口的範圍

  1. 檢閱此應用程式執行的所有活動。
  2. 檢閱與此應用程式相關聯的用戶活動。

最近建立的多租使用者應用程式會經常列舉用戶資訊

嚴重性:中

MITRE 識別碼:T1087

此警示會尋找最近在較新的發行者租用戶中註冊的 OAuth 應用程式,並具有變更信箱設定和存取電子郵件的許可權。 它會驗證應用程式是否已對要求使用者目錄資訊的 Microsoft Graph API 進行多次呼叫。 觸發此警示的應用程式可能會吸引使用者授與同意,讓他們能夠存取組織數據。

TP 或 FP?

  • TP:如果您能夠確認已從未知或外部來源傳遞對應用程式的同意要求,且應用程式在組織中沒有合法的商業用途,則會指出真正的正數。

    建議動作:

    • 請連絡已同意此應用程式的使用者和系統管理員,以確認這是刻意的,而且許可權過高是正常的。
    • 調查應用程式活動,並檢查受影響的帳戶是否有可疑活動。
    • 根據您的調查,停用應用程式,並針對所有受影響的帳戶暫停和重設密碼。
    • 將警示分類為真肯定。

  • FP:如果在調查之後,您可以確認應用程式在組織中有合法的商業用途,則會指出誤判。

    建議的動作:將警示分類為誤判,並考慮根據您的警示調查分享意見反應。

瞭解缺口的範圍

檢閱使用者和系統管理員對應用程式的同意授與。 調查應用程式完成的所有活動,特別是使用者目錄資訊的列舉。 如果您懷疑應用程式可疑,請考慮停用所有受影響帳戶的應用程式和輪替認證。

外洩警示

本節說明警示,指出惡意執行者可能會嘗試從您的組織竊取其目標感興趣的數據。

使用異常使用者代理程式的 OAuth 應用程式

嚴重性:低

MITRE 識別碼:T1567

此偵測會識別使用不尋常的使用者代理程式來存取圖形 API 的 OAuth 應用程式。

TP 或 FP?

  • TP:如果您能夠確認 OAuth 應用程式最近已開始使用先前未使用的新使用者代理程式,且此變更非預期,則會指出真正的正數。

    建議的動作:檢閱所使用的使用者代理程式,以及對應用程式所做的任何最近變更。 根據您的調查,您可以選擇禁止存取此應用程式。 檢閱此應用程式所要求的許可權層級,以及哪些使用者已授與存取權。

  • FP:如果在調查之後,您可以確認應用程式在組織中具有合法的商務用途。

    建議的動作:關閉警示。

瞭解缺口的範圍

  1. 檢閱最近建立的應用程式,以及所使用的使用者代理程式。
  2. 檢閱應用程式完成的所有活動。 
  3. 檢閱應用程式授與的範圍。 

具有異常使用者代理程式的應用程式透過 Exchange Web 服務存取電子郵件數據

嚴重性:高

MITRE 識別碼:T1114、T1567

此偵測會識別 OAuth 應用程式,該應用程式會使用不尋常的使用者代理程式,使用 Exchange Web 服務 API 存取電子郵件數據。

TP 或 FP?

  • TP:如果您能夠確認 OAuth 應用程式不會預期變更它用來向 Exchange Web 服務 API 提出要求的使用者代理程式,則會指出真正的正數。

    建議的動作:將警示分類為 TP。 根據調查,如果應用程式是惡意的,您可以撤銷同意並停用租使用者中的應用程式。 如果是遭入侵的應用程式,您可以撤銷同意、暫時停用應用程式、檢閱許可權、重設秘密和憑證,然後重新啟用應用程式。

  • FP:如果在調查之後,您可以確認應用程式所使用的使用者代理程式在組織中具有合法的商務用途。

    建議的動作:將警示分類為 FP。 此外,請考慮根據您的警示調查分享意見反應。

瞭解缺口的範圍

  1. 檢閱應用程式是否新建立,或已對它進行任何最近的變更。
  2. 檢閱授與應用程式的許可權,以及已同意應用程式的使用者。
  3. 檢閱應用程式完成的所有活動。

橫向移動警示

本節說明警示,指出惡意執行者可能嘗試橫向移動不同資源,同時透過多個系統和帳戶進行樞紐分析,以在組織中取得更多控制權。

休眠 OAuth 應用程式主要使用 MS Graph 或 Exchange Web 服務最近發現存取 ARM 工作負載

嚴重性:中

MITRE 識別碼:T1078.004

此偵測會識別租使用者中的應用程式,該應用程式在長時間的休眠活動之後,第一次開始存取 Azure Resource Manager API。 先前,此應用程式大多使用 MS Graph 或 Exchange Web 服務。

TP 或 FP?

  • TP:如果應用程式未知或未使用,則指定的活動可能可疑,而且可能需要停用應用程式、確認正在使用的 Azure 資源,以及驗證租使用者中的應用程式使用量。

    建議的動作

    1. 檢閱應用程式存取或建立的 Azure 資源,以及對應用程式所做的任何最近變更。
    2. 檢閱此應用程式所要求的許可權層級,以及哪些使用者已授與存取權。
    3. 根據您的調查,選擇是否要禁止存取此應用程式。

  • FP:如果在調查之後,您可以確認應用程式在組織中具有合法的商務用途。

    建議的動作:關閉警示。

瞭解缺口的範圍

  1. 檢閱應用程式的存取和活動。
  2. 檢閱應用程式自建立後完成的所有活動。
  3. 檢閱圖形 API 中應用程式授與的範圍,以及訂用帳戶中授與的角色。
  4. 檢閱活動之前可能已存取應用程式的任何使用者。

收集警示

本節描述警示,指出惡意執行者可能嘗試從您的組織收集其目標感興趣的數據。

應用程式進行了不尋常的電子郵件搜尋活動

嚴重性:中

MITRE 識別碼:T1114

此偵測會識別應用程式何時同意可疑的 OAuth 範圍,並進行大量不尋常的電子郵件搜尋活動,例如透過圖形 API 搜尋特定內容。 這表示貴組織嘗試遭到入侵,例如攻擊者嘗試透過圖形 API 搜尋和讀取組織的特定電子郵件。 

TP 或 FP?

  • TP:如果您可以透過具有可疑 OAuth 範圍的 OAuth 應用程式確認大量不尋常的電子郵件搜尋和讀取活動,且應用程式是從未知來源傳遞。

    建議的動作:停用並移除應用程式、重設密碼,以及移除收件匣規則。 

  • FP:如果您可以確認應用程式已執行大量不尋常的電子郵件搜尋,並基於合法原因讀取圖形 API。

    建議的動作:關閉警示。

瞭解缺口的範圍

  1. 檢閱應用程式授與的範圍。
  2. 檢閱應用程式完成的所有活動。 

應用程式發出異常 Graph 呼叫以讀取電子郵件

嚴重性:中

MITRE 識別碼:T1114

此偵測可識別企業營運 (LOB) OAuth 應用程式何時透過圖形 API 存取異常且大量的使用者郵件資料夾和訊息,這可能表示貴組織嘗試遭到入侵。

TP 或 FP?

  • TP:如果您可以確認非同尋常的圖表活動是由企業營運 (LOB) OAuth 應用程式所執行,則會指出真正的正數。

    建議的動作:暫時停用應用程式並重設密碼,然後重新啟用應用程式。 請遵循如何使用 Microsoft Entra ID 重設密碼的教學課程。

  • FP:如果您可以確認應用程式的目的是要執行異常大量的圖形呼叫。

    建議的動作:關閉警示。

瞭解缺口的範圍

  1. 檢閱此應用程式所執行事件的活動記錄,以深入瞭解其他 Graph 活動,以讀取電子郵件,並嘗試收集使用者的敏感性電子郵件資訊。
  2. 監視將非預期的認證新增至應用程式。

應用程式會建立收件匣規則,並建立不尋常的電子郵件搜尋活動

嚴重性:中

MITRE 識別碼:T1137、T1114

此偵測會識別應用程式同意高許可權範圍、建立可疑的收件匣規則,以及透過 Graph API 在使用者郵件資料夾中進行不尋常的電子郵件搜尋活動。 這表示貴組織嘗試遭到入侵,例如嘗試透過圖形 API 搜尋及收集組織特定電子郵件的敵人。

TP 或 FP?

  • TP:如果您能夠透過具有高許可權範圍的 OAuth 應用程式,確認透過 Graph API 完成的任何特定電子郵件搜尋和收集,而且應用程式會從未知的來源傳遞。

    建議的動作:停用並移除應用程式、重設密碼,以及移除收件匣規則。

  • FP:如果您能夠確認應用程式已透過 Graph API 執行特定的電子郵件搜尋和收集,並基於合法理由,將收件匣規則建立至新的或個人外部電子郵件帳戶。

    建議的動作:關閉警示。

瞭解缺口的範圍

  1. 檢閱應用程式完成的所有活動。
  2. 檢閱應用程式授與的範圍。
  3. 檢閱應用程式所建立的任何收件匣規則動作。
  4. 檢閱應用程式完成的任何電子郵件搜尋活動。

應用程式已建立 OneDrive /SharePoint 搜尋活動,並建立收件匣規則

嚴重性:中

MITRE ID's: T1137, T1213

此偵測會識別應用程式同意高許可權範圍、建立可疑的收件匣規則,以及透過圖形 API 進行不尋常的 SharePoint 或 OneDrive 搜尋活動。 這表示貴組織嘗試遭到入侵,例如嘗試透過圖形 API 從您的組織搜尋及收集特定數據的對手。 

TP 或 FP?

  • TP:如果您能夠透過具有高許可權範圍的 OAuth 應用程式透過圖形 API 確認 SharePoint 或 OneDrive 搜尋和收集的任何特定數據,而且應用程式會從未知的來源傳遞。 

    建議的動作:停用並移除應用程式、重設密碼,以及移除收件匣規則。 

  • FP:如果您能夠確認應用程式已透過 OAuth 應用程式透過 Graph API 執行 SharePoint 或 OneDrive 搜尋和收集的特定數據,並基於合法理由建立收件匣規則給新的或個人外部電子郵件帳戶。 

    建議的動作:關閉警示

瞭解缺口的範圍

  1. 檢閱應用程式完成的所有活動。 
  2. 檢閱應用程式授與的範圍。 
  3. 檢閱應用程式所建立的任何收件匣規則動作。 
  4. 檢閱應用程式完成的任何 SharePoint 或 OneDrive 搜尋活動。

應用程式在 OneDrive 中進行了許多搜尋和編輯

嚴重性:中

MITRE 識別碼:T1137、T1213

此偵測會識別具有高許可權許可權的 OAuth 應用程式,這些應用程式會使用圖形 API 在 OneDrive 中執行大量搜尋和編輯。

TP 或 FP?

  • TP:如果您能夠確認此 OAuth 應用程式無法透過圖形 API 使用高使用量 OneDrive 工作負載,且具有讀取和寫入 OneDrive 的高許可權許可權,則會指出真正的正數。

    建議的動作:根據調查,如果應用程式是惡意的,您可以撤銷同意並停用租使用者中的應用程式。 如果是遭入侵的應用程式,您可以撤銷同意、暫時停用應用程式、檢閱必要的許可權、重設密碼,然後重新啟用應用程式。

  • FP:如果在調查之後,您可以確認應用程式在組織中具有合法的商務用途。

    建議的動作:解決警示並回報您的結果。

瞭解缺口的範圍

  1. 確認應用程式是否來自可靠的來源。
  2. 確認應用程式是否已新建立,或已對它進行任何最近的變更。
  3. 檢閱授與應用程式的許可權,以及已同意應用程式的使用者。
  4. 調查所有其他應用程式活動。

應用程式讓大量重要性郵件讀取和建立收件匣規則

嚴重性:中

MITRE 識別碼:T1137、T1114

此偵測會識別應用程式同意高許可權範圍、建立可疑的收件匣規則,並透過 Graph API 進行大量重要的郵件讀取活動。 這表示貴組織嘗試遭到入侵,例如嘗試透過圖形 API 從貴組織讀取高重要性電子郵件的敵人。 

TP 或 FP?

  • TP:如果您能夠確認具有高許可權範圍的 OAuth 應用程式可透過 Graph API 讀取大量重要電子郵件,而且應用程式會從未知的來源傳遞。 

    建議的動作:停用並移除應用程式、重設密碼,以及移除收件匣規則。 

  • FP:如果您能夠確認應用程式已執行大量重要電子郵件,並透過圖形 API 讀取,並基於合法理由,為新的或個人外部電子郵件帳戶建立收件匣規則。 

    建議的動作:關閉警示

瞭解缺口的範圍

  1. 檢閱應用程式完成的所有活動。 
  2. 檢閱應用程式授與的範圍。 
  3. 檢閱應用程式所建立的任何收件匣規則動作。 
  4. 檢閱應用程式所完成的任何重要電子郵件讀取活動。

特殊許可權應用程式在Teams中執行異常活動

嚴重性:中

此偵測會識別同意高許可權 OAuth 範圍、存取 Microsoft Teams 的應用程式,並透過 Graph API 進行異常大量讀取或張貼聊天訊息活動。 這表示嘗試違反組織,例如攻擊者嘗試透過圖形 API 從組織收集資訊。

TP 或 FP?

  • TP:如果您能夠透過具有高許可權範圍的 OAuth 應用程式,透過 Graph API 確認 Microsoft Teams 中的異常聊天訊息活動,且應用程式會從未知的來源傳遞。

    建議的動作:停用並移除應用程式並重設密碼

  • FP:如果您能夠確認透過 Graph API 在 Microsoft Teams 中執行的異常活動是出於合法原因。

    建議的動作:關閉警示

瞭解缺口的範圍

  1. 檢閱應用程式授與的範圍。
  2. 檢閱應用程式完成的所有活動。
  3. 檢閱與應用程式相關聯的用戶活動。

僅更新或新增新認證的應用程式異常 OneDrive 活動

嚴重性:中

MITRE 識別碼:T1098.001、T1213

非 Microsoft 雲端應用程式對 OneDrive 進行異常圖形 API 呼叫,包括大量數據使用量。 機器學習服務偵測到這些不尋常的 API 呼叫是在應用程式新增或更新現有憑證/秘密之後幾天內進行的。 此應用程式可能涉及數據外泄或其他嘗試存取和擷取敏感性資訊。

TP 或 FP?

  • TP:如果您可以確認異常活動,例如大量使用 OneDrive 工作負載,是透過圖形 API 由應用程式執行。

    建議的動作:暫時停用應用程式、重設密碼,然後重新啟用應用程式。

  • FP:如果您可以確認應用程式未執行任何不尋常的活動,或應用程式的目的是要進行異常大量的 Graph 呼叫。

    建議的動作:關閉警示

瞭解缺口的範圍

  1. 檢閱應用程式執行的所有活動。
  2. 檢閱應用程式授與的範圍。
  3. 檢閱與應用程式相關聯的用戶活動。

僅更新或新增新認證的應用程式異常 SharePoint 活動

嚴重性:中

MITRE 識別碼:T1098.001、T1213.002

非 Microsoft 雲端應用程式對 SharePoint 進行異常圖形 API 呼叫,包括大量數據使用量。 機器學習服務偵測到這些不尋常的 API 呼叫是在應用程式新增或更新現有憑證/秘密之後幾天內進行的。 此應用程式可能涉及數據外泄或其他嘗試存取和擷取敏感性資訊。

TP 或 FP?

  • TP:如果您可以確認應用程式透過圖形 API 執行異常活動,例如大量使用 SharePoint 工作負載。

    建議的動作:暫時停用應用程式、重設密碼,然後重新啟用應用程式。

  • FP:如果您可以確認應用程式未執行任何不尋常的活動,或應用程式的目的是要進行異常大量的 Graph 呼叫。

    建議的動作:關閉警示

瞭解缺口的範圍

  1. 檢閱應用程式執行的所有活動。
  2. 檢閱應用程式授與的範圍。
  3. 檢閱與應用程式相關聯的用戶活動。

嚴重性:中

MITRE 識別碼:T1114

此偵測會針對具有元數據的非 Microsoft OAuth 應用程式產生警示,例如 名稱URL發行者,這些應用程式先前在具有可疑郵件相關活動的應用程式中觀察到。 此應用程式可能是攻擊活動的一部分,且可能涉及敏感性資訊的外洩。

TP 或 FP?

  • TP:如果您可以確認應用程式已建立信箱規則,或對 Exchange 工作負載進行大量不尋常的圖形 API 呼叫。

    建議動作:

    • 調查應用程式控管上的應用程式註冊詳細數據,並流覽 Microsoft Entra ID 以取得詳細數據。
    • 請連絡已授與應用程式同意或許可權的用戶或系統管理員。 確認變更是否刻意進行。
    • 搜尋 CloudAppEvents 進階搜捕數據表,以瞭解應用程式活動,並識別應用程式存取的數據。 檢查受影響的信箱,並檢閱應用程式本身可能已讀取或轉寄的郵件,或已建立的規則。
    • 在考慮任何內含項目動作之前,請先確認應用程式是否對組織至關重要。 使用應用程式控管或 Microsoft Entra 識別碼停用應用程式,以防止它存取資源。 現有的應用程式控管原則可能已經停用應用程式。

  • FP:如果您可以確認應用程式未執行任何不尋常的活動,且應用程式在組織中具有合法的商務用途。

    建議的動作:關閉警示

瞭解缺口的範圍

  1. 檢閱應用程式執行的所有活動。
  2. 檢閱授與應用程式的範圍。
  3. 檢閱與應用程式相關聯的用戶活動。

具有 EWS 應用程式許可權的應用程式,可存取許多電子郵件

嚴重性:中

MITRE 識別碼:T1114

此偵測會針對具有 EWS 應用程式許可權的多租使用者雲端應用程式產生警示,其中顯示 Exchange Web 服務 API 的呼叫大幅增加,這些呼叫是電子郵件列舉和集合特有的。 此應用程式可能涉及存取和擷取敏感數據。

TP 或 FP?

  • TP:如果您可以確認應用程式已存取敏感數據,或對 Exchange 工作負載進行大量不尋常的呼叫。

    建議動作:

    • 調查應用程式控管上的應用程式註冊詳細數據,並流覽 Microsoft Entra ID 以取得詳細數據。
    • 請連絡已授與應用程式同意或許可權的用戶或系統管理員。 確認變更是否刻意進行。
    • 搜尋 CloudAppEvents 進階搜捕數據表,以瞭解應用程式活動,並識別應用程式存取的數據。 檢查受影響的信箱,並檢閱應用程式本身可能已讀取或轉寄的郵件,或已建立的規則。
    • 在考慮任何內含項目動作之前,請先確認應用程式是否對組織至關重要。 使用應用程式控管或 Microsoft Entra 識別碼停用應用程式,以防止它存取資源。 現有的應用程式控管原則可能已經停用應用程式。

  • FP:如果您可以確認應用程式未執行任何不尋常的活動,且應用程式在組織中具有合法的商務用途。

    建議的動作:關閉警示

瞭解缺口的範圍

  1. 檢閱應用程式執行的所有活動。
  2. 檢閱授與應用程式的範圍。
  3. 檢閱與應用程式相關聯的用戶活動。

未使用的應用程式新存取 API

嚴重性:中

MITRE 識別碼:T1530

此偵測會產生多租使用者雲端應用程式的警示,該應用程式一段時間一直處於非使用中狀態,且最近已開始進行 API 呼叫。 此應用程式可能會遭到攻擊者入侵,並用來存取和擷取敏感數據。

TP 或 FP?

  • TP:如果您可以確認應用程式已存取敏感數據,或對 Microsoft Graph、Exchange 或 Azure Resource Manager 工作負載進行大量異常呼叫。

    建議動作:

    • 調查應用程式控管上的應用程式註冊詳細數據,並流覽 Microsoft Entra ID 以取得詳細數據。
    • 請連絡已授與應用程式同意或許可權的用戶或系統管理員。 確認變更是否刻意進行。
    • 搜尋 CloudAppEvents 進階搜捕數據表,以瞭解應用程式活動,並識別應用程式存取的數據。 檢查受影響的信箱,並檢閱應用程式本身可能已讀取或轉寄的郵件,或已建立的規則。
    • 在考慮任何內含項目動作之前,請先確認應用程式是否對組織至關重要。 使用應用程式控管或 Microsoft Entra 識別碼停用應用程式,以防止它存取資源。 現有的應用程式控管原則可能已經停用應用程式。

  • FP:如果您可以確認應用程式未執行任何不尋常的活動,且應用程式在組織中具有合法的商務用途。

    建議的動作:關閉警示

瞭解缺口的範圍

  1. 檢閱應用程式執行的所有活動。
  2. 檢閱授與應用程式的範圍。
  3. 檢閱與應用程式相關聯的用戶活動。

影響警示

本節描述警示,指出惡意執行者可能嘗試操作、中斷或終結您組織的系統和數據。

Entra 企業營運應用程式起始虛擬機建立異常尖峰

嚴重性:中

MITRE 識別碼:T1496

此偵測會識別使用 Azure Resource Manager API 在租使用者中建立大量 Azure 虛擬機器 的單一租使用者新 OAuth 應用程式。

TP 或 FP?

  • TP:如果您能夠確認最近已建立 OAuth 應用程式,而且正在租使用者中建立大量 虛擬機器,則會指出真肯定。

    建議的動作:檢閱已建立的虛擬機,以及對應用程式所做的任何最近變更。 根據您的調查,您可以選擇禁止存取此應用程式。 檢閱此應用程式所要求的許可權層級,以及哪些使用者已授與存取權。

  • FP:如果在調查之後,您可以確認應用程式在組織中具有合法的商務用途。

    建議的動作:關閉警示。

瞭解缺口的範圍:

  1. 檢閱最近建立的應用程式和建立的 VM。
  2. 檢閱應用程式自建立後完成的所有活動。
  3. 在圖形 API 中檢閱應用程式授與的範圍,以及訂用帳戶中授與的角色。

觀察到在 Microsoft Graph 中具有高範圍許可權的 OAuth 應用程式起始虛擬機建立

嚴重性:中

MITRE 識別碼:T1496

此偵測會識別 OAuth 應用程式,該應用程式會使用 Azure Resource Manager API 在租使用者中建立大量 Azure 虛擬機器,同時在活動之前透過 MS Graph API 在租用戶中擁有高許可權。

TP 或 FP?

  • TP:如果您能夠確認已建立具有高許可權範圍的 OAuth 應用程式,並在您的租使用者中建立大量 虛擬機器,則會指出真正的正數。

    建議的動作:檢閱已建立的虛擬機,以及對應用程式所做的任何最近變更。 根據您的調查,您可以選擇禁止存取此應用程式。 檢閱此應用程式所要求的許可權層級,以及哪些使用者已授與存取權。

  • FP:如果在調查之後,您可以確認應用程式在組織中具有合法的商務用途。

    建議的動作:關閉警示。

瞭解缺口的範圍:

  1. 檢閱最近建立的應用程式和建立的 VM。
  2. 檢閱應用程式自建立後完成的所有活動。
  3. 在圖形 API 中檢閱應用程式授與的範圍,以及訂用帳戶中授與的角色。

下一步

管理應用程式控管警示