Condividi tramite

Analizzare gli avvisi dei criteri delle app predefiniti

  • Articolo

La governance delle app fornisce avvisi predefiniti per i criteri delle app per le attività anomale. Lo scopo di questa guida è fornire informazioni generali e pratiche su ciascun avviso, in modo da facilitare le attività di indagine e correzione.

In questa guida sono incluse informazioni generali sulle condizioni per l'attivazione degli avvisi. Poiché i criteri predefiniti sono non deterministici per natura, vengono attivati solo quando esiste un comportamento che si discosta dalla norma.

Consiglio

Alcuni avvisi potrebbero essere in anteprima, quindi esaminare regolarmente gli stati degli avvisi aggiornati.

Classificazioni degli avvisi di sicurezza

Dopo un'indagine appropriata, tutti gli avvisi di governance delle app possono essere classificati in uno dei tipi di attività seguenti:

  • Vero positivo (TP):avviso su un'attività dannosa confermata.
  • Vero positivo (B-TP) non dannoso: avviso su attività sospette ma non dannose, ad esempio un test di penetrazione o altre azioni sospette autorizzate.
  • Falso positivo (FP):avviso su un'attività non dannosa.

Passaggi generali dell'indagine

È consigliabile usare le seguenti linee guida generali durante l'analisi dei tipi di avviso per avere una maggiore comprensione della potenziale minaccia prima di applicare l'azione consigliata.

  1. Esaminare il livello di gravità dell'app e confrontarlo con il resto delle app nel tenant. Questa revisione consente di identificare le app nel tenant che rappresentano un rischio maggiore.

  2. Se si identifica un TP, esaminare tutte le attività dell'app per comprendere l'impatto. Ad esempio, esaminare le informazioni seguenti sull'app:

    • Ambiti a cui è stato concesso l'accesso
    • Comportamento insolito
    • Indirizzo IP e posizione

Avvisi predefiniti dei criteri dell'app

In questa sezione vengono fornite informazioni su ogni avviso di criteri predefinito, oltre ai passaggi per l'analisi e la correzione.

Aumento dell'utilizzo dei dati da parte di un'app con privilegi elevati o con privilegi elevati

Gravità: media

Trovare app con autorizzazioni potenti o inutilizzate che presentano un aumento improvviso dell'utilizzo dei dati tramite API Graph. Modifiche insolite nell'utilizzo dei dati potrebbero indicare una compromissione.

TP o FP?

Per determinare se l'avviso è un vero positivo (TP) o un falso positivo (FP), esaminare tutte le attività eseguite dall'app, gli ambiti concessi all'app e l'attività utente associata all'app.

  • TP: applicare questa azione consigliata se è stato confermato che l'aumento dell'utilizzo dei dati da parte di un'app con privilegi elevati o con privilegi elevati è irregolare o potenzialmente dannoso.

    Azione consigliata: contattare gli utenti sulle attività dell'app che hanno causato l'aumento dell'utilizzo dei dati. Disabilitare temporaneamente l'app, reimpostare la password e quindi riabilitare l'app.

  • FP: applicare questa azione consigliata se è stato confermato che l'attività dell'app rilevata è prevista e ha un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Gravità: media

Trovare aumenti insoliti nell'utilizzo dei dati o API Graph errori di accesso riscontrati dalle app a cui è stato dato il consenso da un account prioritario.

TP o FP?

Esaminare tutte le attività eseguite dall'app, gli ambiti concessi all'app e l'attività utente associata all'app.

  • TP: applicare questa azione consigliata se è stato confermato che l'aumento degli errori di utilizzo dei dati o di accesso alle API da parte di un'app con il consenso di un account prioritario è altamente irregolare o potenzialmente dannoso.

    Azione consigliata: contattare gli utenti dell'account con priorità sulle attività dell'app che hanno causato l'aumento dell'utilizzo dei dati o degli errori di accesso alle API. Disabilitare temporaneamente l'app, reimpostare la password e quindi riabilitare l'app.

  • FP: applicare questa azione consigliata se è stato confermato che l'attività dell'app rilevata è prevista e ha un uso aziendale legittimo nell'organizzazione.

    Azione consigliata: ignorare l'avviso.

Gravità: media

Le richieste di consenso da un'app appena creata sono state rifiutate frequentemente dagli utenti. Gli utenti in genere rifiutano le richieste di consenso da app che hanno mostrato un comportamento imprevisto o arrivano da un'origine non attendibile. Le app con tassi di consenso bassi hanno maggiori probabilità di essere rischiose o dannose.

TP o FP?

Esaminare tutte le attività eseguite dall'app, gli ambiti concessi all'app e l'attività utente associata all'app.

  • TP: applicare questa azione consigliata se è stato confermato che l'app proviene da un'origine sconosciuta e le sue attività sono state altamente irregolari o potenzialmente dannose.

    Azione consigliata: disabilitare temporaneamente l'app, reimpostare la password e quindi riabilitare l'app.

  • FP: applica questa azione consigliata se hai confermato che l'attività dell'app rilevata è legittima.

    Azione consigliata: ignorare l'avviso.

Picco nelle chiamate API Graph effettuate a OneDrive

Gravità: media

Un'app cloud ha mostrato un aumento significativo delle chiamate API Graph a OneDrive. Questa app potrebbe essere coinvolta nell'esfiltrazione dei dati o in altri tentativi di accesso e recupero dei dati sensibili.

TP o FP?

Esaminare tutte le attività eseguite dall'app, gli ambiti concessi all'app e l'attività utente associata all'app.

  • TP: applicare questa azione consigliata se è stato confermato che le attività altamente irregolari e potenzialmente dannose hanno causato l'aumento rilevato dell'utilizzo di OneDrive.

    Azione consigliata: disabilitare temporaneamente l'app, reimpostare la password e quindi riabilitare l'app.

  • FP: applica questa azione consigliata se hai confermato che l'attività dell'app rilevata è legittima.

    Azione consigliata: ignorare l'avviso.

Picco nelle chiamate API Graph effettuate a SharePoint

Gravità: media

Un'app cloud ha mostrato un aumento significativo delle chiamate API Graph a SharePoint. Questa app potrebbe essere coinvolta nell'esfiltrazione dei dati o in altri tentativi di accesso e recupero dei dati sensibili.

TP o FP?

Esaminare tutte le attività eseguite dall'app, gli ambiti concessi all'app e l'attività utente associata all'app.

  • TP: applicare questa azione consigliata se è stato confermato che le attività altamente irregolari e potenzialmente dannose hanno causato l'aumento rilevato dell'utilizzo di SharePoint.

    Azione consigliata: disabilitare temporaneamente l'app, reimpostare la password e quindi riabilitare l'app.

  • FP: applica questa azione consigliata se hai confermato che l'attività dell'app rilevata è legittima.

    Azione consigliata: ignorare l'avviso.

Picco nelle chiamate API Graph effettuate a Exchange

Gravità: media

Un'app cloud ha mostrato un aumento significativo delle chiamate API Graph a Exchange. Questa app potrebbe essere coinvolta nell'esfiltrazione dei dati o in altri tentativi di accesso e recupero dei dati sensibili.

TP o FP?

Esaminare tutte le attività eseguite dall'app, gli ambiti concessi all'app e l'attività utente associata all'app.

  • TP: applicare questa azione consigliata se è stato confermato che le attività altamente irregolari e potenzialmente dannose hanno comportato l'aumento rilevato dell'utilizzo di Exchange.

    Azione consigliata: disabilitare temporaneamente l'app, reimpostare la password e quindi riabilitare l'app.

  • FP: applica questa azione consigliata se hai confermato che l'attività dell'app rilevata è legittima.

    Azione consigliata: ignorare l'avviso.

App sospetta con accesso a più servizi di Microsoft 365

Gravità: media

Trovare app con accesso OAuth a più servizi di Microsoft 365 che hanno mostrato un'attività di API Graph statisticamente anomala a seguito di un aggiornamento di certificati o segreti. Identificando queste app e verificando la presenza di compromissioni, è possibile impedire lo spostamento laterale, l'esfiltrazione dei dati e altre attività dannose che attraversano cartelle cloud, messaggi di posta elettronica e altri servizi.

TP o FP?

Esaminare tutte le attività eseguite dall'app, gli ambiti concessi all'app e l'attività utente associata all'app.

  • TP: applicare questa azione consigliata se è stato confermato che gli aggiornamenti ai certificati o ai segreti dell'app e ad altre attività dell'app sono stati altamente irregolari o potenzialmente dannosi.

    Azione consigliata: disabilitare temporaneamente l'app, reimpostare la password e quindi riabilitare l'app.

  • FP: applica questa azione consigliata se hai confermato che l'attività dell'app rilevata è legittima.

    Azione consigliata: ignorare l'avviso.

Volume elevato di attività di creazione di regole di posta in arrivo da parte di un'app

Gravità: media

Un'app ha effettuato un numero elevato di chiamate API Graph per creare regole di posta in arrivo di Exchange. Questa app potrebbe essere coinvolta nella raccolta e nell'esfiltrazione dei dati o in altri tentativi di accesso e recupero di informazioni riservate.

TP o FP?

Esaminare tutte le attività eseguite dall'app, gli ambiti concessi all'app e l'attività utente associata all'app.

  • TP: applicare questa azione consigliata se è stato confermato che la creazione di regole di posta in arrivo e di altre attività è stata altamente irregolare o potenzialmente dannosa.

    Azione consigliata: disabilitare temporaneamente l'app, reimpostare la password e quindi riabilitare l'app.

  • FP: applica questa azione consigliata se hai confermato che l'attività dell'app rilevata è legittima.

    Azione consigliata: ignorare l'avviso.

Volume elevato di attività di ricerca tramite posta elettronica da parte di un'app

Gravità: media

Un'app ha effettuato un numero elevato di chiamate API Graph per eseguire ricerche nel contenuto della posta elettronica di Exchange. Questa app potrebbe essere coinvolta nella raccolta dati o in altri tentativi di accesso e recupero di informazioni riservate.

TP o FP?

Esaminare tutte le attività eseguite dall'app, gli ambiti concessi all'app e l'attività utente associata all'app.

  • TP: applicare questa azione consigliata se è stato confermato che le ricerche di contenuto in Exchange e in altre attività sono state altamente irregolari o potenzialmente dannose.

    Azione consigliata: disabilitare temporaneamente l'app, reimpostare la password e quindi riabilitare l'app.

  • FP: se è possibile confermare che non sono state eseguite attività insolite di ricerca di posta elettronica dall'app o che l'app è destinata a eseguire attività di ricerca di posta insolite tramite API Graph.

    Azione consigliata: ignorare l'avviso.

Volume elevato di attività di invio di posta elettronica da parte di un'app

Gravità: media

Un'app ha effettuato un numero elevato di chiamate API Graph per inviare messaggi di posta elettronica usando Exchange Online. Questa app potrebbe essere coinvolta nella raccolta e nell'esfiltrazione dei dati o in altri tentativi di accesso e recupero di informazioni riservate.

TP o FP?

Esaminare tutte le attività eseguite dall'app, gli ambiti concessi all'app e l'attività utente associata all'app.

  • TP: applicare questa azione consigliata se è stato confermato che l'invio di messaggi di posta elettronica e altre attività è stato altamente irregolare o potenzialmente dannoso.

    Azione consigliata: disabilitare temporaneamente l'app, reimpostare la password e quindi riabilitare l'app.

  • FP: se è possibile confermare che non sono state eseguite attività insolite di invio di posta elettronica dall'app o che l'app ha lo scopo di eseguire attività insolite di invio di posta tramite API Graph.

    Azione consigliata: ignorare l'avviso.

Accesso ai dati sensibili

Gravità: media

Trovare le app che accedono ai dati sensibili identificati da etichette sensibili specifiche.

TP o FP?

Per determinare se l'avviso è un vero positivo (TP) o un falso positivo (FP), esaminare le risorse a cui accede l'app.

  • TP: applicare questa azione consigliata se è stato confermato che l'app o l'attività rilevata è irregolare o potenzialmente dannosa.

    Azione consigliata: impedire all'app di accedere a qualsiasi risorsa disattivandola da Microsoft Entra ID.

  • FP: applicare questa azione consigliata se è stato confermato che l'app ha un uso aziendale legittimo nell'organizzazione e l'attività rilevata era prevista.

    Azione consigliata: ignorare l'avviso.

Passaggi successivi

Informazioni sul rilevamento e la correzione delle minacce di app