Condividi tramite

Analizzare gli avvisi di rilevamento delle minacce per la governance delle app

  • Articolo

La governance delle app fornisce avvisi e rilevamenti di sicurezza per le attività dannose. Questo articolo elenca i dettagli per ogni avviso che possono facilitare l'analisi e la correzione, incluse le condizioni per l'attivazione degli avvisi. Poiché i rilevamenti delle minacce non sono deterministici per natura, vengono attivati solo quando è presente un comportamento che si discosta dalla norma.

Per altre informazioni, vedere Governance delle app in Microsoft Defender for Cloud Apps

Nota

I rilevamenti delle minacce per la governance delle app si basano sul conteggio delle attività sui dati temporanei e che potrebbero non essere archiviati, pertanto gli avvisi possono fornire il numero di attività o le indicazioni di picchi, ma non necessariamente tutti i dati pertinenti. In particolare per le app OAuth API Graph attività, le attività stesse possono essere controllate dal tenant usando Log Analytics e Sentinel.

Per ulteriori informazioni, vedere:

Passaggi generali dell'indagine

Per individuare gli avvisi specificamente correlati alla governance delle app, passare alla pagina Avvisi del portale XDR. Nell'elenco degli avvisi usare il campo "Origini servizio/rilevamento" per filtrare gli avvisi. Impostare il valore di questo campo su "Governance app" per visualizzare tutti gli avvisi generati dalla governance delle app.

Linee guida generali

È consigliabile usare le seguenti linee guida generali durante l'analisi dei tipi di avviso per avere una maggiore comprensione della potenziale minaccia prima di applicare l'azione consigliata.

  • Esaminare il livello di gravità dell'app e confrontarlo con il resto delle app nel tenant. Questa revisione consente di identificare le app nel tenant che rappresentano il rischio maggiore.

  • Se viene identificato un TP, esaminare tutte le attività dell'app per comprendere l'impatto. Ad esempio, esaminare le informazioni seguenti sull'app:

    • Ambiti a cui è stato concesso l'accesso
    • Comportamento insolito
    • Indirizzo IP e posizione

Classificazioni degli avvisi di sicurezza

Dopo un'adeguata indagine, tutti gli avvisi di governance delle app possono essere classificati in base a uno dei seguenti tipi di attività:

  • Vero positivo (TP):avviso su un'attività dannosa confermata.
  • Vero positivo (B-TP) non dannoso: avviso su attività sospette ma non dannose, ad esempio un test di penetrazione o altre azioni sospette autorizzate.
  • Falso positivo (FP):avviso su un'attività non dannosa.

MITRE ATT&CK

Per semplificare il mapping della relazione tra gli avvisi di governance delle app e la matrice familiare MITRE ATT&CK, gli avvisi sono stati classificati in base alla tattica MITRE ATT&CK corrispondente. Questo riferimento aggiuntivo semplifica la comprensione della tecnica di sospetto attacco potenzialmente in uso quando viene attivato un avviso di governance delle app.

Questa guida fornisce informazioni sull'analisi e sulla correzione degli avvisi di governance delle app nelle categorie seguenti.

Avvisi di accesso iniziale

Questa sezione descrive gli avvisi che indicano che un'app dannosa potrebbe tentare di mantenere il controllo nell'organizzazione.

Reindirizzamento dell'app all'URL di phishing sfruttando la vulnerabilità di reindirizzamento OAuth

Gravità: media

Questo rilevamento identifica le app OAuth che reindirizzano agli URL di phishing sfruttando il parametro del tipo di risposta nell'implementazione OAuth tramite microsoft API Graph.

TP o FP?

  • TP: se è possibile confermare che l'app OAuth è stata recapitata da un'origine sconosciuta, il tipo di risposta dell'URL di risposta dopo il consenso all'app OAuth contiene una richiesta non valida e reindirizza a un URL di risposta sconosciuto o non attendibile.

    Azione consigliata: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola Posta in arrivo. 

  • FP: se dopo un'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app. 
  2. Esaminare gli ambiti concessi dall'app. 

App OAuth con URL di risposta sospetto

Gravità: media

Questo rilevamento identifica un'app OAuth a cui è stato eseguito l'accesso a un URL di risposta sospetto tramite microsoft API Graph.

TP o FP?

  • TP: se è possibile confermare che l'app OAuth viene recapitata da un'origine sconosciuta e reindirizza a un URL sospetto, viene indicato un vero positivo. Un URL sospetto è un URL in cui la reputazione dell'URL è sconosciuta, non attendibile o il cui dominio è stato registrato di recente e la richiesta dell'app è per un ambito con privilegi elevati.

    Azione consigliata: esaminare l'URL di risposta, i domini e gli ambiti richiesti dall'app. In base alla tua indagine, puoi scegliere di vietare l'accesso a questa app. Esaminare il livello di autorizzazione richiesto da questa app e gli utenti a cui viene concesso l'accesso.

    Per vietare l'accesso all'app, passare alla scheda pertinente per l'app nella pagina Governance dell'app. Nella riga in cui viene visualizzata l'app da vietare selezionare l'icona di divieto. È possibile scegliere di indicare agli utenti che l'app che hanno installato e autorizzato è stata esclusa. La notifica informa gli utenti che l'app verrà disabilitata e non avrà accesso all'app connessa. Se non si vuole che lo sappiano, deselezionare Notifica agli utenti che hanno concesso l'accesso a questa app esclusa nella finestra di dialogo. È consigliabile informare gli utenti che l'app verrà presto bloccata e non sarà più possibile usarla.

  • FP: se dopo un'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

  1. Esaminare le app create di recente e i relativi URL di risposta.

  2. Esaminare tutte le attività eseguite dall'app. 

  3. Esaminare gli ambiti concessi dall'app. 

Gravità: bassa

Questo rilevamento identifica un'app OAuth creata di recente e con un basso tasso di consenso. Ciò può indicare un'app dannosa o rischiosa che attira gli utenti in concessioni di consenso illecite.

TP o FP?

  • TP: se è possibile confermare che l'app OAuth con ambito di lettura viene recapitata da un'origine sconosciuta, viene indicato un vero positivo.

    Azione consigliata: esaminare il nome visualizzato, i domini e gli URL di risposta dell'app. In base all'indagine, è possibile scegliere di escludere l'accesso a questa app. Esaminare il livello di autorizzazione richiesto dall'app e quali utenti hanno concesso l'accesso.

  • FP: se dopo un'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Se si hanno dubbi che un'app sia sospetta, è consigliabile analizzare il nome e l'URL di risposta dell'app in diversi app store. Quando si controllano gli app store, concentrarsi sui tipi di app seguenti:
    • App create di recente.
    • App con nome visualizzato insolito
    • App con un dominio di risposta sospetto
  3. Se si hanno ancora dubbi che un'app sia sospetta, è possibile cercare il nome dell'app e il dominio di risposta.

App con reputazione di URL non valida

Gravità: media

Questo rilevamento identifica un'app OAuth che ha rilevato una reputazione URL non buona.

TP o FP?

  • TP: se è possibile confermare che l'app OAuth con ambito di lettura viene recapitata da un'origine sconosciuta e reindirizza a un URL sospetto, viene indicato un vero positivo.

    Azione consigliata: esaminare gli URL, i domini e gli ambiti richiesti dall'app. In base all'indagine, è possibile scegliere di escludere l'accesso a questa app. Esaminare il livello di autorizzazione richiesto dall'app e quali utenti hanno concesso l'accesso.

  • FP: se dopo un'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Se si hanno dubbi che un'app sia sospetta, è consigliabile analizzare il nome e l'URL di risposta dell'app in diversi app store. Quando si controllano gli app store, concentrarsi sui tipi di app seguenti:
    • App create di recente.
    • App con nome visualizzato insolito
    • App con un dominio di risposta sospetto
  3. Se si hanno ancora dubbi che un'app sia sospetta, è possibile cercare il nome dell'app e il dominio di risposta.

Gravità: media

Descrizione: questo rilevamento identifica le app OAuth con caratteri, ad esempio caratteri Unicode o codificati, richiesti per gli ambiti di consenso sospetti e che hanno eseguito l'accesso alle cartelle di posta elettronica degli utenti tramite l'API Graph. Questo avviso può indicare un tentativo di mimetizzare un'app dannosa come app nota e attendibile, in modo che gli antagonisti possano indurre gli utenti a fornire il consenso all'app dannosa.

TP o FP?

  • TP: se è possibile confermare che l'app OAuth ha codificato il nome visualizzato con gli ambiti sospetti recapitati da un'origine sconosciuta, viene indicato un vero positivo.

    Azione consigliata: esaminare il livello di autorizzazione richiesto dall'app e quali utenti hanno concesso l'accesso. In base all'indagine, è possibile scegliere di escludere l'accesso a questa app.

    Per vietare l'accesso all'app, passare alla scheda pertinente per l'app nella pagina Governance dell'app. Nella riga in cui viene visualizzata l'app da vietare selezionare l'icona di divieto. È possibile scegliere di indicare agli utenti che l'app che hanno installato e autorizzato è stata esclusa. La notifica informa gli utenti che l'app verrà disabilitata e non avrà accesso all'app connessa. Se non si vuole che lo sappiano, deselezionare Notifica agli utenti che hanno concesso l'accesso a questa app esclusa nella finestra di dialogo. È consigliabile informare gli utenti che l'app verrà presto bloccata e non sarà più possibile usarla.

  • FP: se vuoi confermare che l'app ha un nome codificato ma ha un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

Seguire l'esercitazione Analizzare le app OAuth rischiose.

L'app OAuth con ambiti di lettura ha un URL di risposta sospetto

Gravità: media

Descrizione: questo rilevamento identifica un'app OAuth con solo ambiti di lettura, ad esempio User.Read, Persone. Read, Contacts.Read, Mail.Read, Contacts.Read. Reindirizzamenti condivisi all'URL di risposta sospetto tramite API Graph. Questa attività tenta di indicare che l'app dannosa con autorizzazioni con privilegi inferiori (come gli ambiti di lettura) potrebbe essere sfruttata per condurre una ricognizione degli account utente.

TP o FP?

  • TP: se è possibile confermare che l'app OAuth con ambito di lettura viene recapitata da un'origine sconosciuta e reindirizza a un URL sospetto, viene indicato un vero positivo.

    Azione consigliata: esaminare l'URL di risposta e gli ambiti richiesti dall'app. In base all'indagine, è possibile scegliere di escludere l'accesso a questa app. Esaminare il livello di autorizzazione richiesto dall'app e quali utenti hanno concesso l'accesso.

    Per vietare l'accesso all'app, passare alla scheda pertinente per l'app nella pagina Governance dell'app. Nella riga in cui viene visualizzata l'app da vietare selezionare l'icona di divieto. È possibile scegliere di indicare agli utenti che l'app che hanno installato e autorizzato è stata esclusa. La notifica informa gli utenti che l'app verrà disabilitata e non avrà accesso all'app connessa. Se non si vuole che lo sappiano, deselezionare Notifica agli utenti che hanno concesso l'accesso a questa app esclusa nella finestra di dialogo. È consigliabile informare gli utenti che l'app verrà presto bloccata e non sarà più possibile usarla.

  • B-TP: se dopo un'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Se si hanno dubbi che un'app sia sospetta, è consigliabile analizzare il nome e l'URL di risposta dell'app in diversi app store. Quando si controllano gli app store, concentrarsi sui tipi di app seguenti:
    • App create di recente.
    • App con un URL di risposta sospetto
    • App che non sono state aggiornate di recente. La mancanza di aggiornamenti potrebbe indicare che l'app non è più supportata.
  3. Se si hanno dubbi che un'app sia sospetta, è possibile cercare il nome dell'app, il nome dell'editore e l'URL di risposta online

App con nome visualizzato insolito e TLD insolito nel dominio di risposta

Gravità: media

Questo rilevamento identifica l'app con un nome visualizzato insolito e reindirizza a un dominio di risposta sospetto con un dominio di primo livello (TLD) insolito tramite API Graph. Questo può indicare un tentativo di camuffare un'app dannosa o rischiosa come app nota e attendibile in modo che gli avversari possano indurre in errore gli utenti a fornire il consenso alla propria app dannosa o rischiosa. 

TP o FP?

  • TP: se è possibile confermare che l'app OAuth con nome visualizzato insolito viene recapitata da un'origine sconosciuta e reindirizza a un URL sospetto con un dominio di primo livello insolito.

    Azione consigliata: esaminare il nome visualizzato e il dominio di risposta dell'app. In base all'indagine, è possibile scegliere di escludere l'accesso a questa app. Esaminare il livello di autorizzazione richiesto dall'app e quali utenti hanno concesso l'accesso.

  • FP: se dopo un'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

Esaminare tutte le attività eseguite dall'app. Se si hanno dubbi che un'app sia sospetta, è consigliabile analizzare il nome e l'URL di risposta dell'app in diversi app store. Quando si controllano gli app store, concentrarsi sui tipi di app seguenti:

  • App create di recente.
  • App con nome visualizzato insolito
  • App con un dominio di risposta sospetto

Se si hanno ancora dubbi che un'app sia sospetta, è possibile cercare il nome dell'app e il dominio di risposta.

Gravità: media

Questo rilevamento identifica le app OAuth create di recente nei tenant di pubblicazione relativamente nuovi con le caratteristiche seguenti:

  • Autorizzazioni per accedere o modificare le impostazioni della cassetta postale
  • Percentuale di consenso relativamente bassa, che può identificare app indesiderate o addirittura dannose che tentano di ottenere il consenso da utenti ignari

TP o FP?

  • TP: se si è in grado di confermare che la richiesta di consenso all'app è stata recapitata da un'origine sconosciuta o esterna e l'app non ha un uso aziendale legittimo nell'organizzazione, viene indicato un vero positivo.

    Azione consigliata:

    • Contattare gli utenti e gli amministratori che hanno concesso il consenso a questa app per confermare che si tratta di un'operazione intenzionale e che i privilegi eccessivi sono normali.
    • Analizzare l'attività dell'app e verificare la presenza di attività sospette sugli account interessati.
    • In base all'indagine, disabilitare l'app e sospendere e reimpostare le password per tutti gli account interessati.
    • Classificare l'avviso come un vero positivo.

  • FP: se dopo un'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: classificare l'avviso come falso positivo e prendere in considerazione la condivisione del feedback in base all'analisi dell'avviso.

Informazioni sull'ambito della violazione

Esaminare le concessioni di consenso all'applicazione effettuate da utenti e amministratori. Analizzare tutte le attività eseguite dall'app, in particolare l'accesso alla cassetta postale degli utenti associati e degli account amministratore. Se si sospetta che l'app sia sospetta, è consigliabile disabilitare l'applicazione e ruotare le credenziali di tutti gli account interessati.

Gravità: media

Questo avviso identifica le app OAuth registrate di recente in un tenant di pubblicazione relativamente nuovo con le autorizzazioni per modificare le impostazioni delle cassette postali e accedere ai messaggi di posta elettronica. Verifica anche se l'app ha una percentuale di consenso globale relativamente bassa e effettua numerose chiamate a Microsoft API Graph per accedere ai messaggi di posta elettronica degli utenti autorizzati. Le app che attivano questo avviso potrebbero essere app indesiderate o dannose che tentano di ottenere il consenso da utenti ignari.

TP o FP?

  • TP: se si è in grado di confermare che la richiesta di consenso all'app è stata recapitata da un'origine sconosciuta o esterna e l'app non ha un uso aziendale legittimo nell'organizzazione, viene indicato un vero positivo.

    Azione consigliata:

    • Contattare gli utenti e gli amministratori che hanno concesso il consenso a questa app per confermare che si tratta di un'operazione intenzionale e che i privilegi eccessivi sono normali.
    • Analizzare l'attività dell'app e verificare la presenza di attività sospette sugli account interessati.
    • In base all'indagine, disabilitare l'app e sospendere e reimpostare le password per tutti gli account interessati.
    • Classificare l'avviso come un vero positivo.

  • FP: se dopo l'indagine, è possibile confermare che l'app ha un uso aziendale legittimo nell'organizzazione, viene indicato un falso positivo.

    Azione consigliata: classificare l'avviso come falso positivo e prendere in considerazione la condivisione del feedback in base all'analisi dell'avviso.

Informazioni sull'ambito della violazione

Esaminare le concessioni di consenso all'applicazione effettuate da utenti e amministratori. Analizzare tutte le attività eseguite dall'app, in particolare l'accesso alle cassette postali degli utenti associati e degli account amministratore. Se si sospetta che l'app sia sospetta, è consigliabile disabilitare l'applicazione e ruotare le credenziali di tutti gli account interessati.

App sospetta con autorizzazioni di posta elettronica che inviano numerosi messaggi di posta elettronica

Gravità: media

Questo avviso trova le app OAuth multi-tenant che hanno effettuato numerose chiamate a Microsoft API Graph per inviare messaggi di posta elettronica in un breve periodo di tempo. Verifica anche se le chiamate API hanno generato errori e tentativi non riusciti di inviare messaggi di posta elettronica. Le app che attivano questo avviso potrebbero inviare attivamente posta indesiderata o messaggi di posta elettronica dannosi ad altre destinazioni.

TP o FP?

  • TP: se si è in grado di confermare che la richiesta di consenso all'app è stata recapitata da un'origine sconosciuta o esterna e l'app non ha un uso aziendale legittimo nell'organizzazione, viene indicato un vero positivo.

    Azione consigliata:

    • Contattare gli utenti e gli amministratori che hanno concesso il consenso a questa app per confermare che si tratta di un'operazione intenzionale e che i privilegi eccessivi sono normali.
    • Analizzare l'attività dell'app e verificare la presenza di attività sospette sugli account interessati.
    • In base all'indagine, disabilitare l'app e sospendere e reimpostare le password per tutti gli account interessati.
    • Classificare l'avviso come un vero positivo.

  • FP: se dopo l'indagine, è possibile confermare che l'app ha un uso aziendale legittimo nell'organizzazione, viene indicato un falso positivo.

    Azione consigliata: classificare l'avviso come falso positivo e prendere in considerazione la condivisione del feedback in base all'analisi dell'avviso.

Informazioni sull'ambito della violazione

Esaminare le concessioni di consenso all'applicazione effettuate da utenti e amministratori. Analizzare tutte le attività eseguite dall'app, in particolare l'accesso alla cassetta postale degli utenti associati e degli account amministratore. Se si sospetta che l'app sia sospetta, è consigliabile disabilitare l'applicazione e ruotare le credenziali di tutti gli account interessati.

App OAuth sospetta usata per inviare numerosi messaggi di posta elettronica

Gravità: media

Questo avviso indica un'app OAuth che ha effettuato numerose chiamate a Microsoft API Graph per inviare messaggi di posta elettronica entro un breve periodo di tempo. È noto che il tenant dell'editore dell'app genera un volume elevato di app OAuth che effettuano chiamate microsoft API Graph simili. Un utente malintenzionato potrebbe usare attivamente questa app per inviare posta indesiderata o messaggi di posta elettronica dannosi ai propri obiettivi.

TP o FP?

  • TP: se si è in grado di confermare che la richiesta di consenso all'app è stata recapitata da un'origine sconosciuta o esterna e l'app non ha un uso aziendale legittimo nell'organizzazione, viene indicato un vero positivo.

    Azione consigliata:

    • Contattare gli utenti e gli amministratori che hanno concesso il consenso a questa app per confermare che si tratta di un'operazione intenzionale e che i privilegi eccessivi sono normali.
    • Analizzare l'attività dell'app e verificare la presenza di attività sospette sugli account interessati.
    • In base all'indagine, disabilitare l'app e sospendere e reimpostare le password per tutti gli account interessati.
    • Classificare l'avviso come un vero positivo.

  • FP: se dopo l'indagine, è possibile confermare che l'app ha un uso aziendale legittimo nell'organizzazione, viene indicato un falso positivo.

    Azione consigliata: classificare l'avviso come falso positivo e prendere in considerazione la condivisione del feedback in base all'analisi dell'avviso.

Informazioni sull'ambito della violazione

Esaminare le concessioni di consenso all'applicazione effettuate da utenti e amministratori. Analizzare tutte le attività eseguite dall'app, in particolare l'accesso alla cassetta postale degli utenti associati e degli account amministratore. Se si sospetta che l'app sia sospetta, è consigliabile disabilitare l'applicazione e ruotare le credenziali di tutti gli account interessati.

Avvisi di persistenza

Questa sezione descrive gli avvisi che indicano che un antagonista potrebbe tentare di mantenere il controllo nell'organizzazione.

L’app ha effettuato chiamate Graph anomale in relazione al carico di lavoro Exchange dopo l'aggiornamento del certificato o l'aggiunta di nuove credenziali

Gravità: media

MITRE ID: T1098.001, T1114

Questo rilevamento attiva un avviso quando un'app Line of Business (LOB) aggiorna certificati/segreti o aggiunge nuove credenziali e dopo pochi giorni l'aggiornamento o l'aggiunta di nuove credenziali, vengono osservate attività insolite o l’utilizzo di volumi elevati per il carico di lavoro di Exchange tramite l'API di Graph utilizzando l'algoritmo machine learning.

TP o FP?

  • TP: se si è in grado di confermare che sono stati eseguiti attività insolite/utilizzo elevato del volume per il carico di lavoro di Exchange dall'app LOB tramite API Graph

    Azione consigliata: disabilitare temporaneamente l'app, reimpostare la password e riabilitare l'app.

  • FP: se è possibile confermare che non sono state eseguite attività insolite dall'app LOB o che l’app non è destinata a eseguire un volume insolitamente elevato di chiamate Graph.

    Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi dall'app.
  3. Esaminare l'attività utente associata all'app.

L'app con ambito OAuth sospetto è stata contrassegnata ad alto rischio da un modello Machine Learning, ha effettuato chiamate Graph per leggere la posta elettronica e ha creato la regola Posta in arrivo

Gravità: media

ID MITRE: T1137.005, T1114

Questo rilevamento identifica un'app OAuth contrassegnata come ad alto rischio dal modello di Machine Learning che ha acconsentito a ambiti sospetti, crea una regola di posta in arrivo sospetta e quindi accede agli utenti tramite le cartelle di posta elettronica e i messaggi tramite il API Graph. Le regole Posta in arrivo, ad esempio l'inoltro di tutte o specifiche e-mail a un altro account di posta elettronica, e le chiamate Graph per accedere alle e-mail e inviarle a un altro account di posta elettronica, possono essere un tentativo di esfiltrare le informazioni dall'organizzazione.

TP o FP?

  • TP: se è possibile confermare che la regola della posta in arrivo è stata creata da un'app di terze parti OAuth con ambiti sospetti recapitati da un'origine sconosciuta, viene rilevato un vero positivo.

    Azione consigliata: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola Posta in arrivo.

Seguire l'esercitazione su come reimpostare una password usando Microsoft Entra ID e seguire l'esercitazione su come rimuovere la regola della posta in arrivo.

  • FP: se è possibile confermare che l'app ha creato una regola di posta in arrivo per un account di posta elettronica esterno nuovo o personale per motivi legittimi.

    Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi dall'app.
  3. Esaminare l'azione e la condizione della regola Posta in arrivo creata dall'app.

L'app con ambito OAuth sospetto ha eseguito chiamate a grafici per leggere la posta elettronica e ha creato la regola della posta in arrivo

Gravità: media

ID MITRE: T1137.005, T1114

Questo rilevamento identifica un'app OAuth che ha acconsentito a ambiti sospetti, crea una regola Posta in arrivo sospetta e accede alle cartelle di posta e ai messaggi degli utenti tramite l'API Graph. Le regole Posta in arrivo, ad esempio l'inoltro di tutte o specifiche e-mail a un altro account di posta elettronica, e le chiamate Graph per accedere alle e-mail e inviarle a un altro account di posta elettronica, possono essere un tentativo di esfiltrare le informazioni dall'organizzazione.

TP o FP?

  • TP: se è possibile confermare che la regola Posta in arrivo è stata creata da un'app di terze parti OAuth con ambiti sospetti recapitati da un'origine sconosciuta, viene indicato un vero positivo.

    Azione consigliata: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola Posta in arrivo.

    Seguire l'esercitazione su come reimpostare una password usando Microsoft Entra ID e seguire l'esercitazione su come rimuovere la regola della posta in arrivo.

  • FP: se è possibile confermare che l'app ha creato una regola di posta in arrivo per un account di posta elettronica esterno nuovo o personale per motivi legittimi.

    Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi dall'app.
  3. Esaminare l'azione e la condizione della regola Posta in arrivo creata dall'app.

App a cui si accede da una posizione insolita dopo l'aggiornamento del certificato

Gravità: bassa

ID MITRE: T1098

Questo rilevamento attiva un avviso quando un'app Line of Business (LOB) è stata aggiornata il certificato/segreto e entro pochi giorni dopo l'aggiornamento del certificato, l'app è accessibile da una posizione insolita che non è stata vista di recente o non è mai stata accessibile in passato.

TP o FP?

  • TP: se è possibile confermare che l'app LOB ha eseguito l'accesso da una posizione insolita ed ha eseguito attività insolite tramite API Graph.

    Azione consigliata: disabilitare temporaneamente l'app, reimpostare la password e riabilitare l'app.

  • TP: se è possibile confermare che l'app LOB ha eseguito l'accesso da una posizione insolita per scopi legittimi e non sono state eseguite attività insolite.

    Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi dall'app.
  3. Esaminare l'attività utente associata all'app.

App a cui si è eseguito l'accesso da una posizione insolita hanno eseguito chiamate Graph anomale dopo l'aggiornamento del certificato digitale

Gravità: media

ID MITRE: T1098

Questo rilevamento attiva un avviso quando un'app Line of Business (LOB) ha aggiornato il certificato/segreto e, entro pochi giorni dall'aggiornamento del certificato, si accede all'app da una posizione insolita che non è stata vista di recente o non è mai stata accessibile in passato e ha osservato attività insolite o utilizzo tramite API Graph usando l'algoritmo di Machine Learning.

TP o FP?

  • TP: se è possibile confermare che le attività/uso insolite è stato eseguito dall'app LOB tramite API Graph da una posizione insolita.

    Azione consigliata: disabilitare temporaneamente l'app, reimpostare la password e riabilitare l'app.

  • TP: se è possibile confermare che l'app LOB ha eseguito l'accesso da una posizione insolita per scopi legittimi e non sono state eseguite attività insolite.

    Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi dall'app.
  3. Esaminare l'attività utente associata all'app.

L'app creata di recente ha un volume elevato di consensi revocati

Gravità: media

ID MITRE: T1566, T1098

Diversi utenti hanno revocato il consenso a questa app line-of-business (LOB) o di terze parti creata di recente. Questa app potrebbe aver attirato gli utenti a darle il consenso inavvertitamente.

TP o FP?

  • TP: se è possibile confermare che l'app OAuth viene recapitata da un'origine sconosciuta e il comportamento dell'app è sospetto. 

    Azione consigliata: revocare i consensi concessi all'app e disabilitare l'app. 

  • FP: se dopo l'indagine, è possibile confermare che l'app ha un uso aziendale legittimo nell'organizzazione e che non sono state eseguite attività insolite dall'app.

    Azione consigliata: ignorare l'avviso

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Se si sospetta che un'app sia sospetta, è consigliabile analizzare il nome e il dominio di risposta dell'app in diversi app store. Quando si controllano gli app store, concentrarsi sui tipi di app seguenti:
    • App create di recente.
    • App con un nome visualizzato insolito
    • App con un dominio di risposta sospetto
  3. Se si hanno ancora dubbi che un'app sia sospetta, è possibile cercare il nome dell'app e il dominio di risposta.

Metadati dell'app associati a una campagna di phishing nota

Gravità: media

Questo rilevamento genera avvisi per le app OAuth non Microsoft con metadati, ad esempio nome, URL o editore, che erano stati osservati in precedenza nelle app associate a una campagna di phishing. Queste app potrebbero far parte della stessa campagna e potrebbero essere coinvolte nell'esfiltrazione di informazioni sensibili.

TP o FP?

  • TP: se si è in grado di confermare che l'app OAuth viene recapitata da un'origine sconosciuta ed esegue attività insolite.

    Azione consigliata:

    • Esaminare i dettagli di registrazione dell'app sulla governance dell'app e visitare Microsoft Entra ID per altri dettagli.
    • Contattare gli utenti o gli amministratori che hanno concesso il consenso o le autorizzazioni all'app. Verificare se le modifiche sono state intenzionali.
    • Cercare la tabella di ricerca avanzata CloudAppEvents per comprendere l'attività dell'app e determinare se è previsto il comportamento osservato.
    • Verificare se l'app è fondamentale per l'organizzazione prima di prendere in considerazione eventuali azioni di contenimento. Disattivare l'app usando la governance dell'app o Microsoft Entra ID per impedirne l'accesso alle risorse. I criteri di governance delle app esistenti potrebbero aver già disattivato l'app.

  • FP: se è possibile confermare che non sono state eseguite attività insolite dall'app e che l'app ha un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi all'app.
  3. Esaminare l'attività utente associata all'app.

Metadati dell'app associati ad app sospette contrassegnate in precedenza

Gravità: media

Questo rilevamento genera avvisi per le app OAuth non Microsoft con metadati, ad esempio nome, URL o editore, che erano stati osservati in precedenza nelle app contrassegnate dalla governance delle app a causa di attività sospette. Questa app potrebbe far parte di una campagna di attacco e potrebbe essere coinvolta nell'esfiltrazione di informazioni sensibili.

TP o FP?

  • TP: se si è in grado di confermare che l'app OAuth viene recapitata da un'origine sconosciuta ed esegue attività insolite.

    Azione consigliata:

    • Esaminare i dettagli di registrazione dell'app sulla governance dell'app e visitare Microsoft Entra ID per altri dettagli.
    • Contattare gli utenti o gli amministratori che hanno concesso il consenso o le autorizzazioni all'app. Verificare se le modifiche sono state intenzionali.
    • Cercare la tabella di ricerca avanzata CloudAppEvents per comprendere l'attività dell'app e determinare se è previsto il comportamento osservato.
    • Verificare se l'app è fondamentale per l'organizzazione prima di prendere in considerazione eventuali azioni di contenimento. Disattivare l'app usando la governance dell'app o Microsoft Entra ID per impedirne l'accesso alle risorse. I criteri di governance delle app esistenti potrebbero aver già disattivato l'app.

  • FP: se è possibile confermare che non sono state eseguite attività insolite dall'app e che l'app ha un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi all'app.
  3. Esaminare l'attività utente associata all'app.

Attività di posta elettronica sospetta dell'app OAuth tramite API Graph

Gravità: Alta

Questo rilevamento genera avvisi per le app OAuth multi-tenant, registrate da utenti con accesso ad alto rischio, che hanno effettuato chiamate a Microsoft API Graph per eseguire attività di posta elettronica sospette entro un breve periodo di tempo.

Questo rilevamento verifica se sono state effettuate chiamate API per la creazione di regole della cassetta postale, la creazione di messaggi di posta elettronica di risposta, l'inoltro di posta elettronica, la risposta o l'invio di nuovi messaggi di posta elettronica. Le app che attivano questo avviso potrebbero inviare attivamente posta indesiderata o messaggi di posta elettronica dannosi ad altre destinazioni o esfiltrare dati riservati e cancellare tracce per eludere il rilevamento.

TP o FP?

  • TP: se si è in grado di confermare che la richiesta di creazione e consenso dell'app è stata recapitata da un'origine sconosciuta o esterna e l'app non ha un uso aziendale legittimo nell'organizzazione, viene indicato un vero positivo.

    Azione consigliata:

    • Contattare gli utenti e gli amministratori che hanno concesso il consenso a questa app per confermare che si tratta di un'operazione intenzionale e che i privilegi eccessivi sono normali.

    • Analizzare l'attività dell'app e verificare la presenza di attività sospette sugli account interessati.

    • In base all'indagine, disabilitare l'app e sospendere e reimpostare le password per tutti gli account interessati e rimuovere la regola della posta in arrivo.

    • Classificare l'avviso come un vero positivo.

  • FP: se, dopo l'indagine, è possibile confermare che l'app ha un uso aziendale legittimo nell'organizzazione, viene indicato un falso positivo.

    Azione consigliata:

    • Classificare l'avviso come falso positivo e prendere in considerazione la condivisione del feedback in base all'analisi dell'avviso.

    • Comprendere l'ambito della violazione:

      Esaminare le concessioni di consenso all'applicazione effettuate da utenti e amministratori. Analizzare tutte le attività eseguite dall'app, in particolare l'accesso alla cassetta postale degli utenti associati e degli account amministratore. Se si sospetta che l'app sia sospetta, è consigliabile disabilitare l'applicazione e ruotare le credenziali di tutti gli account interessati.

Attività di posta elettronica sospetta dell'app OAuth tramite l'API EWS

Gravità: Alta

Questo rilevamento genera avvisi per le app OAuth multi-tenant, registrate da utenti con un accesso ad alto rischio, che hanno effettuato chiamate all'API dei servizi Web di Microsoft Exchange (EWS) per eseguire attività di posta elettronica sospette entro un breve periodo di tempo.

Questo rilevamento verifica se sono state effettuate chiamate API per aggiornare le regole della posta in arrivo, spostare elementi, eliminare messaggi di posta elettronica, eliminare una cartella o eliminare gli allegati. Le app che attivano questo avviso potrebbero esfiltrare o eliminare attivamente dati riservati e cancellare le tracce per eludere il rilevamento.

TP o FP?

  • TP: se si è in grado di confermare che la richiesta di creazione e consenso dell'app è stata recapitata da un'origine sconosciuta o esterna e l'app non ha un uso aziendale legittimo nell'organizzazione, viene indicato un vero positivo.

    Azione consigliata:

    • Contattare gli utenti e gli amministratori che hanno concesso il consenso a questa app per confermare che si tratta di un'operazione intenzionale e che i privilegi eccessivi sono normali.

    • Analizzare l'attività dell'app e verificare la presenza di attività sospette sugli account interessati.

    • In base all'indagine, disabilitare l'app e sospendere e reimpostare le password per tutti gli account interessati e rimuovere la regola della posta in arrivo.

    • Classificare l'avviso come un vero positivo.

  • FP: se dopo l'indagine, è possibile confermare che l'app ha un uso aziendale legittimo nell'organizzazione, viene indicato un falso positivo.

    Azione consigliata:

    • Classificare l'avviso come falso positivo e prendere in considerazione la condivisione del feedback in base all'analisi dell'avviso.

    • Comprendere l'ambito della violazione:

      Esaminare le concessioni di consenso all'applicazione effettuate da utenti e amministratori. Analizzare tutte le attività eseguite dall'app, in particolare l'accesso alla cassetta postale degli utenti associati e degli account amministratore. Se si sospetta che l'app sia sospetta, è consigliabile disabilitare l'applicazione e ruotare le credenziali di tutti gli account interessati.

Avvisi di escalation dei privilegi

L'app OAuth con metadati sospetti dispone dell'autorizzazione exchange

Gravità: media

ID MITRE: T1078

Questo avviso viene attivato quando un'app line-of-business con metadati sospetti ha il privilegio di gestire l'autorizzazione su Exchange.

TP o FP?

  • TP: se si è in grado di confermare che l'app OAuth viene recapitata da un'origine sconosciuta e presenta caratteristiche di metadati sospette, viene indicato un vero positivo.

Azione consigliata: revocare i consensi concessi all'app e disabilitare l'app.

FP: se dopo un'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

Azione consigliata: ignorare l'avviso

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi dall'app.
  3. Esaminare l'attività utente associata all'app.

Avvisi di evasione della difesa

Gravità: media

Un'app cloud non Microsoft usa un logo trovato da un algoritmo di Machine Learning simile a un logo Microsoft. Può trattarsi di un tentativo di rappresentare i prodotti software Microsoft e sembrare legittimi.

Nota

Gli amministratori tenant dovranno fornire il consenso tramite popup per inviare i dati necessari al di fuori del limite di conformità corrente e selezionare i team partner all'interno di Microsoft per abilitare il rilevamento delle minacce per le app line-of-business.

TP o FP?

  • TP: se è possibile confermare che il logo dell'app è un'imitazione di un logo Microsoft e il comportamento dell'app è sospetto. 

    Azione consigliata: revocare i consensi concessi all'app e disabilitare l'app.

  • FP: se puoi confermare che il logo dell'app non è un'imitazione di un logo Microsoft o non sono state eseguite attività insolite dall'app. 

    Azione consigliata: ignorare l'avviso

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi all'app.
  3. Esaminare l'attività utente associata all'app.

L'app è associata a un dominio di tipo typosquatted

Gravità: media

Questo rilevamento genera avvisi per le app OAuth non Microsoft con domini di pubblicazione o URL di reindirizzamento che contengono versioni tipposquat dei nomi dei marchi Microsoft. Typosquatting viene in genere usato per acquisire il traffico verso i siti ogni volta che gli utenti digitano erroneamente gli URL, ma possono anche essere usati per rappresentare i prodotti software e i servizi più diffusi.

TP o FP?

  • TP: se è possibile verificare che il dominio del server di pubblicazione o l'URL di reindirizzamento dell'app sia digitato e non sia correlato alla vera identità dell'app.

    Azione consigliata:

    • Esaminare i dettagli di registrazione dell'app sulla governance dell'app e visitare Microsoft Entra ID per altri dettagli.
    • Controllare l'app per altri segni di spoofing o rappresentazione e per eventuali attività sospette.
    • Verificare se l'app è fondamentale per l'organizzazione prima di prendere in considerazione eventuali azioni di contenimento. Disattivare l'app usando la governance dell'app per impedirne l'accesso alle risorse. I criteri di governance delle app esistenti potrebbero aver già disattivato l'app.

  • FP: se è possibile verificare che il dominio del server di pubblicazione e l'URL di reindirizzamento dell'app siano legittimi. 

    Azione consigliata: classificare l'avviso come falso positivo e prendere in considerazione la condivisione del feedback in base all'analisi dell'avviso.

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi all'app.
  3. Esaminare l'attività utente associata all'app.

Accesso alle credenziali

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di leggere i dati delle credenziali sensibili ed è costituito da tecniche per rubare credenziali come nomi di account, segreti, token, certificati e password nell'organizzazione.

L'applicazione avvia più attività di lettura KeyVault non riuscite senza esito positivo

Gravità: media

ID MITRE: T1078.004

Questo rilevamento identifica un'applicazione nel tenant che è stata osservata effettuare più chiamate di azione di lettura a KeyVault usando l'API Resource Manager di Azure in un breve intervallo, con solo errori e nessuna attività di lettura completata correttamente.

TP o FP?

  • TP: se l'app è sconosciuta o non viene usata, l'attività specificata è potenzialmente sospetta. Dopo aver verificato la risorsa di Azure usata e aver convalidato l'uso dell'app nel tenant, l'attività specificata potrebbe richiedere la disabilitazione dell'app. Questa è in genere la prova di una sospetta attività di enumerazione sulla risorsa KeyVault per ottenere l'accesso alle credenziali per lo spostamento laterale o l'escalation dei privilegi.

    Azioni consigliate: esaminare le risorse di Azure accessibili o create dall'applicazione e le modifiche recenti apportate all'applicazione. In base alla tua indagine, scegli se vuoi vietare l'accesso a questa app. Esaminare il livello di autorizzazione richiesto dall'app e quali utenti hanno concesso l'accesso.

  • FP: se, dopo l'indagine, è possibile confermare che l'app ha un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

  1. Esaminare l'accesso e l'attività dell'app.
  2. Esaminare tutte le attività eseguite dall'app dopo la creazione.
  3. Esaminare gli ambiti concessi dall'app in API Graph e il ruolo concesso nella sottoscrizione.
  4. Esaminare tutti gli utenti che potrebbero aver eseguito l'accesso all'app prima dell'attività.

Avvisi di individuazione

Enumerazione dell'unità eseguita dall'app

Gravità: media

MITRE ID: T1087

Questo rilevamento identifica un'app OAuth rilevata dal modello Machine Learning che esegue l'enumerazione OneDrive file usando l'API Graph.

TP o FP?

  • TP: se si è in grado di confermare che l'app LOB ha eseguito attività o utilizzi insoliti in OneDrive tramite API Graph.

    Azione consigliata: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola Posta in arrivo.

  • FP: se è possibile confermare che l'app non ha eseguito attività insolite.

    Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi dall'app.
  3. Esaminare l'attività utente associata all'app.

Attività di enumerazione sospette eseguite con Microsoft Graph PowerShell

Gravità: media

MITRE ID: T1087

Questo rilevamento identifica un volume elevato di attività di enumerazione sospette eseguite in un breve intervallo di tempo tramite un'applicazione PowerShell di Microsoft Graph .

TP o FP?

  • TP: se si è in grado di confermare che le attività di enumerazione sospette/insolite sono state eseguite dall'applicazione PowerShell di Microsoft Graph.

    Azione consigliata:disabilitare e rimuovere l'applicazione e reimpostare la password.

  • FP: se puoi confermare che non sono state eseguite attività insolite dall'applicazione.

    Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

  1. Esamina tutte le attività eseguite dall'applicazione.
  2. Esamina l'attività utente associata all'applicazione.

L'applicazione multi-tenant creata di recente enumera frequentemente le informazioni degli utenti

Gravità: media

MITRE ID: T1087

Questo avviso trova le app OAuth registrate di recente in un tenant di pubblicazione relativamente nuovo con le autorizzazioni per modificare le impostazioni delle cassette postali e accedere ai messaggi di posta elettronica. Verifica se l'app ha effettuato numerose chiamate a Microsoft API Graph richiede informazioni sulla directory utente. Le app che attivano questo avviso potrebbero attirare gli utenti a concedere il consenso in modo che possano accedere ai dati dell'organizzazione.

TP o FP?

  • TP: se si è in grado di confermare che la richiesta di consenso all'app è stata recapitata da un'origine sconosciuta o esterna e l'app non ha un uso aziendale legittimo nell'organizzazione, viene indicato un vero positivo.

    Azione consigliata:

    • Contattare gli utenti e gli amministratori che hanno concesso il consenso a questa app per confermare che si tratta di un'operazione intenzionale e che i privilegi eccessivi sono normali.
    • Analizzare l'attività dell'app e verificare la presenza di attività sospette sugli account interessati.
    • In base all'indagine, disabilitare l'app e sospendere e reimpostare le password per tutti gli account interessati.
    • Classificare l'avviso come un vero positivo.

  • FP: se dopo l'indagine, è possibile confermare che l'app ha un uso aziendale legittimo nell'organizzazione, viene indicato un falso positivo.

    Azione consigliata: classificare l'avviso come falso positivo e prendere in considerazione la condivisione del feedback in base all'analisi dell'avviso.

Informazioni sull'ambito della violazione

Esaminare le concessioni di consenso all'applicazione effettuate da utenti e amministratori. Analizzare tutte le attività eseguite dall'app, in particolare l'enumerazione delle informazioni sulla directory utente. Se si sospetta che l'app sia sospetta, è consigliabile disabilitare l'applicazione e ruotare le credenziali di tutti gli account interessati.

Avvisi di esfiltrazione

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di rubare dati di interesse al proprio obiettivo dall'organizzazione.

App OAuth con agente utente insolito

Gravità: bassa

ID MITRE: T1567

Questo rilevamento identifica un'applicazione OAuth che usa un agente utente insolito per accedere alla API Graph.

TP o FP?

  • TP: se si è in grado di confermare che l'app OAuth ha recentemente iniziato a usare un nuovo agente utente non usato in precedenza e questa modifica è imprevista, viene indicato un vero positivo.

    Azioni consigliate: esaminare gli agenti utente usati e le modifiche recenti apportate all'applicazione. In base alla tua indagine, puoi scegliere di vietare l'accesso a questa app. Esaminare il livello di autorizzazione richiesto dall'app e quali utenti hanno concesso l'accesso.

  • FP: se dopo un'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

  1. Esaminare le app create di recente e gli agenti utente usati.
  2. Esaminare tutte le attività eseguite dall'app. 
  3. Esaminare gli ambiti concessi dall'app. 

App con un agente utente insolito a cui si accede ai dati di posta elettronica tramite Servizi Web Exchange

Gravità: Alta

ID MITRE: T1114, T1567

Questo rilevamento identifica un'app OAuth che ha usato un agente utente insolito per accedere ai dati di posta elettronica tramite l'API dei servizi Web exchange.

TP o FP?

  • TP: se si è in grado di confermare che l'applicazione OAuth non deve modificare l'agente utente usato per effettuare richieste all'API di Servizi Web Exchange, viene indicato un vero positivo.

    Azioni consigliate: classificare l'avviso come TP. In base all'indagine, se l'app è dannosa, è possibile revocare i consensi e disabilitare l'app nel tenant. Se si tratta di un'app compromessa, è possibile revocare i consensi, disabilitare temporaneamente l'app, esaminare le autorizzazioni, reimpostare il segreto e il certificato e quindi riabilitare l'app.

  • FP: se dopo l'indagine, è possibile verificare che l'agente utente usato dall'applicazione abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: classificare l'avviso come FP. Valutare anche la possibilità di condividere commenti e suggerimenti in base all'analisi dell'avviso.

Informazioni sull'ambito della violazione

  1. Verificare se l'applicazione è stata appena creata o se sono state apportate modifiche recenti.
  2. Esaminare le autorizzazioni concesse all'applicazione e agli utenti che hanno acconsentito all'applicazione.
  3. Esaminare tutte le attività eseguite dall'app.

Avvisi di spostamento laterale

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di spostarsi lateralmente all'interno di risorse diverse, passando attraverso più sistemi e account per ottenere un maggiore controllo nell'organizzazione.

L'app OAuth inattiva che usa prevalentemente MS Graph o Exchange Web Services è stata recentemente vista come l'accesso ai carichi di lavoro arm

Gravità: media

ID MITRE: T1078.004

Questo rilevamento identifica un'applicazione nel tenant che, dopo un lungo intervallo di attività inattive, ha iniziato ad accedere per la prima volta all'API Resource Manager di Azure. In precedenza, questa applicazione usava principalmente MS Graph o il servizio Web Exchange.

TP o FP?

  • TP: se l'app è sconosciuta o non viene usata, l'attività specificata è potenzialmente sospetta e può richiedere la disabilitazione dell'app, dopo aver verificato la risorsa di Azure usata e aver convalidato l'utilizzo dell'app nel tenant.

    Azioni consigliate:

    1. Esaminare le risorse di Azure accessibili o create dall'applicazione e le modifiche recenti apportate all'applicazione.
    2. Esaminare il livello di autorizzazione richiesto dall'app e quali utenti hanno concesso l'accesso.
    3. In base alla tua indagine, scegli se vuoi vietare l'accesso a questa app.

  • FP: se, dopo l'indagine, è possibile confermare che l'app ha un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

  1. Esaminare l'accesso e l'attività dell'app.
  2. Esaminare tutte le attività eseguite dall'app dopo la creazione.
  3. Esaminare gli ambiti concessi dall'app in API Graph e il ruolo concesso nella sottoscrizione.
  4. Esaminare tutti gli utenti che potrebbero aver eseguito l'accesso all'app prima dell'attività.

Avvisi di raccolta

Questa sezione descrive gli avvisi che indicano che un antagonista potrebbe tentare di raccogliere dati di interesse dall'organizzazione per i propri obiettivi.

L'app ha eseguito attività insolite di ricerca tramite posta elettronica

Gravità: media

ID MITRE: T1114

Questo rilevamento identifica quando un'app ha acconsentito all'ambito OAuth sospetto e ha creato un volume elevato di attività di ricerca di posta elettronica insolite, ad esempio la ricerca di contenuti specifici tramite il API Graph. Ciò può indicare un tentativo di violazione dell'organizzazione, ad esempio gli avversari che tentano di cercare e leggere messaggi di posta elettronica specifici dall'organizzazione tramite API Graph. 

TP o FP?

  • TP: se è possibile confermare un volume elevato di ricerche di posta elettronica insolite e leggere le attività tramite il API Graph da un'app OAuth con un ambito OAuth sospetto e che l'app viene recapitata da un'origine sconosciuta.

    Azioni consigliate: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola della posta in arrivo. 

  • FP: se è possibile confermare che l'app ha eseguito un volume elevato di ricerche insolite e di posta elettronica e leggere API Graph per motivi legittimi.

    Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

  1. Esaminare gli ambiti concessi dall'app.
  2. Esaminare tutte le attività eseguite dall'app. 

L'app ha effettuato chiamate anomale a Graph per leggere le e-mail.

Gravità: media

ID MITRE: T1114

Questo rilevamento identifica quando l'app OAuth Line of Business (LOB) accede a un volume insolito e elevato di cartelle ed e-mail dell'utente tramite l'API Graph, che può indicare un tentativo di violazione dell'organizzazione.

TP o FP?

  • TP: se è possibile confermare che l'attività insolita del grafico è stata eseguita dall'app OAuth Line of Business (LOB), viene indicato un vero positivo.

    Azioni consigliate: disabilitare temporaneamente l'app e reimpostare la password e quindi riabilitare l'app. Seguire l'esercitazione su come reimpostare una password usando Microsoft Entra ID.

  • FP: se è possibile confermare che l'app ha lo scopo di eseguire un volume elevato di chiamate Graph.

    Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

  1. Esaminare il log attività per gli eventi eseguiti da questa app in modo comprendere meglio le altre attività di Graph per leggere le e-mail e tentare di raccogliere informazioni riservate sugli utenti.
  2. Monitorare l'aggiunta di credenziali impreviste all'app.

L'app crea una regola Posta in arrivo e ha eseguito attività insolite di ricerca tramite posta elettronica

Gravità: media

ID MITRE: T1137, T1114

Questo rilevamento identifica app che hanno dato il consenso in ambiti con privilegi elevati, hanno creato una regola Posta in arrivo sospetta e hanno eseguito attività insolite di ricerca tramite posta elettronica nelle cartelle di posta degli utenti tramite API Graph. Ciò può indicare un tentativo di violazione dell'organizzazione, ad esempio gli avversari tentano di cercare e raccogliere messaggi di posta elettronica specifici dell'organizzazione tramite API Graph.

TP o FP?

  • TP: se è possibile confermare la ricerca e la raccolta di messaggi di posta elettronica specifici eseguite tramite API Graph da un'app OAuth con ambito con privilegi elevati e l'app è fornita da un'origine sconosciuta.

    Azione consigliata: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola Posta in arrivo.

  • FP: se è possibile confermare che l'app ha eseguito ricerche e raccolte di posta elettronica specifiche tramite API Graph e ha creato una regola Posta in arrivo in un account di posta elettronica esterni nuovi o personali per motivi legittimi.

    Azione consigliata: ignorare l'avviso.

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi dall'app.
  3. Esaminare l'azione della regola Posta in arrivo creata dall'app.
  4. Esaminare tutte le attività di ricerca tramite posta elettronica eseguite dall'app.

Attività di ricerca di OneDrive/SharePoint create dall'app e regola di posta in arrivo creata

Gravità: media

ID MITRE: T1137, T1213

Questo rilevamento identifica app che hanno dato il consenso in ambiti con privilegi elevati, hanno creato una regola Posta in arrivo sospetta e hanno eseguito attività insolite di ricerca in SharePoint o OneDrive tramite API Graph. Ciò può indicare un tentativo di violazione dell'organizzazione, ad esempio gli avversari tentano di cercare e raccogliere dati specifici da SharePoint o OneDrive dell'organizzazione tramite API Graph. 

TP o FP?

  • TP: se si è in grado di confermare i dati specifici della ricerca e della raccolta di SharePoint o OneDrive eseguiti tramite API Graph da un'app OAuth con ambito con privilegi elevati e l'app viene recapitata da un'origine sconosciuta. 

    Azione consigliata: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola della posta in arrivo. 

  • FP: se si è in grado di confermare che l'app ha eseguito dati specifici dalla ricerca e dalla raccolta di SharePoint o OneDrive tramite API Graph da un'app OAuth e ha creato una regola di posta in arrivo in un account di posta elettronica esterno nuovo o personale per motivi legittimi. 

    Azione consigliata: ignorare l'avviso

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app. 
  2. Esaminare gli ambiti concessi dall'app. 
  3. Esaminare l'azione della regola Posta in arrivo creata dall'app. 
  4. Esaminare tutte le attività di ricerca di SharePoint o OneDrive eseguite dall'app.

L'app ha eseguito numerose ricerche e modifiche in OneDrive

Gravità: media

ID MITRE: T1137, T1213

Questo rilevamento identifica le app OAuth con autorizzazioni con privilegi elevati che eseguono un numero elevato di ricerche e modifiche in OneDrive usando API Graph.

TP o FP?

  • TP: se si è in grado di confermare che non è previsto un utilizzo elevato del carico di lavoro di OneDrive tramite API Graph da questa applicazione OAuth con autorizzazioni con privilegi elevati per la lettura e la scrittura in OneDrive, viene indicato un vero positivo.

    Azione consigliata: in base all'indagine, se l'applicazione è dannosa, è possibile revocare i consensi e disabilitare l'applicazione nel tenant. Se si tratta di un'applicazione compromessa, è possibile revocare i consensi, disabilitare temporaneamente l'app, esaminare le autorizzazioni necessarie, reimpostare la password e quindi riabilitare l'app.

  • FP: se dopo un'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: risolvere l'avviso e segnalare i risultati.

Informazioni sull'ambito della violazione

  1. Verificare se l'app proviene da un'origine affidabile.
  2. Verificare se l'applicazione è stata appena creata o se sono state apportate modifiche recenti.
  3. Esaminare le autorizzazioni concesse all'applicazione e agli utenti che hanno acconsentito all'applicazione.
  4. Analizzare tutte le altre attività dell'app.

L'app ha eseguito la lettura di un elevato volume di posta importante e ha creato una regola Posta in arrivo

Gravità: media

ID MITRE: T1137, T1114

Questo rilevamento identifica che un'app ha dato il consento in un ambito con privilegi elevati, ha creato una regola Posta in arrivo sospetta e ha eseguito attività di lettura di un elevato volume di posta importante tramite API Graph. Ciò può indicare un tentativo di violazione dell'organizzazione, ad esempio gli avversari tentano di leggere messaggi di posta elettronica con priorità alta dell'organizzazione tramite API Graph. 

TP o FP?

  • TP: se si è in grado di confermare che un volume elevato di messaggi di posta elettronica importanti viene letto API Graph da un'app OAuth con ambito con privilegi elevati e l'app viene recapitata da un'origine sconosciuta. 

    Azione consigliata: disabilitare e rimuovere l'app, reimpostare la password e rimuovere la regola della posta in arrivo. 

  • FP: se si è in grado di confermare che l'app ha eseguito un volume elevato di importanti messaggi di posta elettronica letti tramite API Graph e creato una regola di posta in arrivo in un account di posta elettronica esterno nuovo o personale per motivi legittimi. 

    Azione consigliata: ignorare l'avviso

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app. 
  2. Esaminare gli ambiti concessi dall'app. 
  3. Esaminare l'azione della regola Posta in arrivo creata dall'app. 
  4. Esaminare qualsiasi attività di lettura di posta elettronica con priorità alta eseguita dall'app.

L'app con privilegi ha eseguito attività insolite in Teams

Gravità: media

Questo rilevamento identifica le app concesse agli ambiti OAuth con privilegi elevati, che hanno eseguito l'accesso a Microsoft Teams e hanno creato un volume insolito di attività di lettura o post-chat tramite API Graph. Ciò può indicare un tentativo di violazione dell'organizzazione, ad esempio gli avversari che tentano di raccogliere informazioni dall'organizzazione tramite API Graph.

TP o FP?

  • TP: se si è in grado di confermare che le attività insolite dei messaggi di chat in Microsoft Teams tramite API Graph da un'app OAuth con un ambito con privilegi elevati e l'app viene recapitata da un'origine sconosciuta.

    Azione consigliata: disabilitare e rimuovere l'app e reimpostare la password

  • FP: se si è in grado di confermare che le attività insolite eseguite in Microsoft Teams tramite API Graph sono state per motivi legittimi.

    Azione consigliata: ignorare l'avviso

Informazioni sull'ambito della violazione

  1. Esaminare gli ambiti concessi dall'app.
  2. Esaminare tutte le attività eseguite dall'app.
  3. Esaminare l'attività utente associata all'app.

Attività di OneDrive anomala da parte dell'app che ha appena aggiornato o aggiunto nuove credenziali

Gravità: media

ID MITRE: T1098.001, T1213

Un'app cloud non Microsoft ha eseguito chiamate anomale API Graph a OneDrive, incluso l'utilizzo di dati con volumi elevati. Rilevate da Machine Learning, queste insolite chiamate API sono state effettuate entro pochi giorni dall'aggiunta di certificati/segreti esistenti nuovi o aggiornati dall'app. Questa app potrebbe essere coinvolta nell'esfiltrazione dei dati o in altri tentativi di accesso e recupero di informazioni riservate.

TP o FP?

  • TP: se è possibile verificare che le attività insolite, ad esempio l'utilizzo di volumi elevati del carico di lavoro di OneDrive, siano state eseguite dall'app tramite API Graph.

    Azione consigliata: disabilitare temporaneamente l'app, reimpostare la password e quindi riabilitare l'app.

  • FP: se è possibile confermare che l'app non ha eseguito attività insolite o che l'app ha lo scopo di eseguire un volume insolitamente elevato di chiamate Graph.

    Azione consigliata: ignorare l'avviso

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi dall'app.
  3. Esaminare l'attività utente associata all'app.

Attività di SharePoint anomala da parte dell'app che ha appena aggiornato o aggiunto nuove credenziali

Gravità: media

ID MITRE: T1098.001, T1213.002

Un'app cloud non Microsoft ha eseguito chiamate anomale API Graph a SharePoint, incluso l'utilizzo di dati con volumi elevati. Rilevate da Machine Learning, queste insolite chiamate API sono state effettuate entro pochi giorni dall'aggiunta di certificati/segreti esistenti nuovi o aggiornati dall'app. Questa app potrebbe essere coinvolta nell'esfiltrazione dei dati o in altri tentativi di accesso e recupero di informazioni riservate.

TP o FP?

  • TP: se è possibile verificare che le attività insolite, ad esempio l'utilizzo di volumi elevati del carico di lavoro di SharePoint, siano state eseguite dall'app tramite API Graph.

    Azione consigliata: disabilitare temporaneamente l'app, reimpostare la password e quindi riabilitare l'app.

  • FP: se è possibile confermare che l'app non ha eseguito attività insolite o che l'app ha lo scopo di eseguire un volume insolitamente elevato di chiamate Graph.

    Azione consigliata: ignorare l'avviso

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi dall'app.
  3. Esaminare l'attività utente associata all'app.

Gravità: media

ID MITRE: T1114

Questo rilevamento genera avvisi per le app OAuth non Microsoft con metadati, ad esempio nome, URL o editore, che erano stati osservati in precedenza nelle app con attività sospette correlate alla posta elettronica. Questa app potrebbe far parte di una campagna di attacco e potrebbe essere coinvolta nell'esfiltrazione di informazioni sensibili.

TP o FP?

  • TP: se è possibile confermare che l'app ha creato regole cassetta postale o ha effettuato un numero elevato di chiamate API Graph insolite al carico di lavoro di Exchange.

    Azione consigliata:

    • Esaminare i dettagli di registrazione dell'app sulla governance dell'app e visitare Microsoft Entra ID per altri dettagli.
    • Contattare gli utenti o gli amministratori che hanno concesso il consenso o le autorizzazioni all'app. Verificare se le modifiche sono state intenzionali.
    • Cercare la tabella di ricerca avanzata CloudAppEvents per comprendere l'attività dell'app e identificare i dati a cui accede l'app. Controllare le cassette postali interessate ed esaminare i messaggi che potrebbero essere stati letti o inoltrati dall'app stessa o dalle regole create.
    • Verificare se l'app è fondamentale per l'organizzazione prima di prendere in considerazione eventuali azioni di contenimento. Disattivare l'app usando la governance dell'app o Microsoft Entra ID per impedirne l'accesso alle risorse. I criteri di governance delle app esistenti potrebbero aver già disattivato l'app.

  • FP: se è possibile confermare che non sono state eseguite attività insolite dall'app e che l'app ha un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi all'app.
  3. Esaminare l'attività utente associata all'app.

App con autorizzazioni dell'applicazione EWS che accedono a numerosi messaggi di posta elettronica

Gravità: media

ID MITRE: T1114

Questo rilevamento genera avvisi per le app cloud multi-tenant con autorizzazioni dell'applicazione EWS che mostrano un aumento significativo delle chiamate all'API di Servizi Web Exchange specifiche per l'enumerazione e la raccolta della posta elettronica. Questa app potrebbe essere coinvolta nell'accesso e nel recupero di dati di posta elettronica sensibili.

TP o FP?

  • TP: se è possibile verificare che l'app abbia eseguito l'accesso ai dati di posta elettronica sensibili o abbia effettuato un numero elevato di chiamate insolite al carico di lavoro di Exchange.

    Azione consigliata:

    • Esaminare i dettagli di registrazione dell'app sulla governance dell'app e visitare Microsoft Entra ID per altri dettagli.
    • Contattare gli utenti o gli amministratori che hanno concesso il consenso o le autorizzazioni all'app. Verificare se le modifiche sono state intenzionali.
    • Cercare la tabella di ricerca avanzata CloudAppEvents per comprendere l'attività dell'app e identificare i dati a cui accede l'app. Controllare le cassette postali interessate ed esaminare i messaggi che potrebbero essere stati letti o inoltrati dall'app stessa o dalle regole create.
    • Verificare se l'app è fondamentale per l'organizzazione prima di prendere in considerazione eventuali azioni di contenimento. Disattivare l'app usando la governance dell'app o Microsoft Entra ID per impedirne l'accesso alle risorse. I criteri di governance delle app esistenti potrebbero aver già disattivato l'app.

  • FP: se è possibile confermare che non sono state eseguite attività insolite dall'app e che l'app ha un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi all'app.
  3. Esaminare l'attività utente associata all'app.

App inutilizzata che accede alle API

Gravità: media

ID MITRE: T1530

Questo rilevamento genera avvisi per un'app cloud multi-tenant che è rimasta inattiva per un po' e ha recentemente iniziato a effettuare chiamate API. Questa app può essere compromessa da un utente malintenzionato e usata per accedere e recuperare dati sensibili.

TP o FP?

  • TP: se è possibile confermare che l'app ha eseguito l'accesso ai dati sensibili o ha effettuato un numero elevato di chiamate insolite ai carichi di lavoro di Microsoft Graph, Exchange o Azure Resource Manager.

    Azione consigliata:

    • Esaminare i dettagli di registrazione dell'app sulla governance dell'app e visitare Microsoft Entra ID per altri dettagli.
    • Contattare gli utenti o gli amministratori che hanno concesso il consenso o le autorizzazioni all'app. Verificare se le modifiche sono state intenzionali.
    • Cercare la tabella di ricerca avanzata CloudAppEvents per comprendere l'attività dell'app e identificare i dati a cui accede l'app. Controllare le cassette postali interessate ed esaminare i messaggi che potrebbero essere stati letti o inoltrati dall'app stessa o dalle regole create.
    • Verificare se l'app è fondamentale per l'organizzazione prima di prendere in considerazione eventuali azioni di contenimento. Disattivare l'app usando la governance dell'app o Microsoft Entra ID per impedirne l'accesso alle risorse. I criteri di governance delle app esistenti potrebbero aver già disattivato l'app.

  • FP: se è possibile confermare che non sono state eseguite attività insolite dall'app e che l'app ha un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso

Informazioni sull'ambito della violazione

  1. Esaminare tutte le attività eseguite dall'app.
  2. Esaminare gli ambiti concessi all'app.
  3. Esaminare l'attività utente associata all'app.

Avvisi di impatto

Questa sezione descrive gli avvisi che indicano che un attore malintenzionato potrebbe tentare di manipolare, interrompere o distruggere i sistemi e i dati dell'organizzazione.

L'app Line-of-Business Entra avvia un picco anomalo nella creazione di macchine virtuali

Gravità: media

ID MITRE: T1496

Questo rilevamento identifica una nuova applicazione OAuth a tenant singolo che crea la maggior parte dei Macchine virtuali di Azure nel tenant usando l'API Resource Manager di Azure.

TP o FP?

  • TP: se si è in grado di confermare che l'app OAuth è stata creata di recente e sta creando un numero elevato di Macchine virtuali nel tenant, viene indicato un vero positivo.

    Azioni consigliate: esaminare le macchine virtuali create e le modifiche recenti apportate all'applicazione. In base alla tua indagine, puoi scegliere di vietare l'accesso a questa app. Esaminare il livello di autorizzazione richiesto dall'app e quali utenti hanno concesso l'accesso.

  • FP: se dopo un'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione:

  1. Esaminare le app create di recente e le macchine virtuali create.
  2. Esaminare tutte le attività eseguite dall'app dopo la creazione.
  3. Esaminare gli ambiti concessi dall'app in API Graph e ruolo concesso nella sottoscrizione.

L'app OAuth con privilegi di ambito elevato in Microsoft Graph è stata osservata come l'avvio della creazione di macchine virtuali

Gravità: media

ID MITRE: T1496

Questo rilevamento identifica l'applicazione OAuth che crea la maggior parte dei Macchine virtuali di Azure nel tenant usando l'API Resource Manager di Azure, con privilegi elevati nel tenant tramite MS API Graph prima dell'attività.

TP o FP?

  • TP: se si è in grado di confermare che l'app OAuth con ambiti con privilegi elevati è stata creata e sta creando un numero elevato di Macchine virtuali nel tenant, viene indicato un vero positivo.

    Azioni consigliate: esaminare le macchine virtuali create e le modifiche recenti apportate all'applicazione. In base alla tua indagine, puoi scegliere di vietare l'accesso a questa app. Esaminare il livello di autorizzazione richiesto dall'app e quali utenti hanno concesso l'accesso.

  • FP: se dopo un'indagine, è possibile verificare che l'app abbia un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Comprendere l'ambito della violazione:

  1. Esaminare le app create di recente e le macchine virtuali create.
  2. Esaminare tutte le attività eseguite dall'app dopo la creazione.
  3. Esaminare gli ambiti concessi dall'app in API Graph e ruolo concesso nella sottoscrizione.

Passaggi successivi

Gestire gli avvisi di governance delle app