次の方法で共有

アプリ ガバナンスの脅威検出アラートを調査する

  • [アーティクル]

アプリ ガバナンスは、悪意のあるアクティビティに対するセキュリティ検出とアラートを提供します。 この記事では、アラートをトリガーする条件など、調査と修復に役立つ各アラートの詳細を示します。 脅威検出は本質的に非決定的であるため、標準から逸脱した動作がある場合にのみトリガーされます。

詳細については、「Microsoft Defender for Cloud Appsのアプリ ガバナンス」を参照してください。

注:

アプリ ガバナンスの脅威検出は、一時的なデータに対するアクティビティのカウントに基づいており、保存されない可能性があるため、アラートはアクティビティの数やスパイクの兆候を提供する可能性がありますが、必ずしもすべての関連データを提供するとは限りません。 特に OAuth アプリGraph APIアクティビティの場合、アクティビティ自体は、Log Analytics と Sentinelを使用してテナントによって監査できます。

詳細については、次のトピックを参照してください。

一般的な調査手順

アプリ ガバナンスに特に関連するアラートを見つけるには、XDR ポータルの [アラート] ページに移動します。 アラートの一覧で、[サービス/検出ソース] フィールドを使用してアラートをフィルター処理します。 アプリ ガバナンスによって生成されたすべてのアラートを表示するには、このフィールドの値を "アプリ ガバナンス" に設定します。

一般的なガイドライン

推奨アクションを適用する前に、潜在的な脅威をより明確に理解するためにアラートの種類を調査するとき、次の一般的なガイドラインを使用します。

  • アプリの重大度レベルを確認し、テナント内の他のアプリと比較します。 このレビューは、テナント内のどのアプリがより大きなリスクをもたらすかを特定するのに役立ちます。

  • TP を識別する場合は、アプリのすべてのアクティビティを確認して、その影響について理解を深めます。 たとえば、次のアプリ情報を確認します。

    • 付与されているアクセス権のスコープ
    • 異常な動作
    • IP アドレスと場所

セキュリティ アラートの分類

適切な調査に従って、すべての アプリ ガバナンス アラートは、次のアクティビティの種類のいずれかとして分類することができます。

  • 真陽性 (TP): 確認された悪意のあるアクティビティに関するアラート。
  • 問題のない真陽性 (B-TP): 侵入テストやその他の承認された疑わしいアクションなど、疑わしいが悪意のないアクティビティに関するアラート。
  • 誤検知 (FP): 悪意のないアクティビティに関するアラート。

MITRE ATT&CK

アプリ ガバナンス アラートとよく知られた MITRE ATT&CK マトリックスとの間の関係を簡単にマップできるよう、MITRE ATT&CK の対応する方策ごとにアラートを分類しました。 この追加リファレンスにより、アプリ ガバナンス アラートがトリガーされたときに使用される可能性がある攻撃の可能性がある手法を簡単に理解できます。

このガイドでは、次のカテゴリの アプリ ガバナンス アラートの調査と修復に関する情報を提供します。

初期アクセス アラート

このセクションでは、悪意のあるアプリが組織への足掛かりを得ようとしている可能性があることを示すアラートについて説明します。

OAuth リダイレクトの脆弱性を悪用してアプリをフィッシング URL にリダイレクトする

重要度: 中

この検出は、Microsoft Graph APIを介して OAuth 実装の応答型パラメーターを利用して、フィッシング URL にリダイレクトする OAuth アプリを識別します。

TP または FP?

  • TP: OAuth アプリが不明なソースから配信されたことを確認できる場合、OAuth アプリに同意した後の応答 URL の応答の種類に無効な要求が含まれ、不明または信頼されていない応答 URL にリダイレクトされます。

    推奨されるアクション: アプリを無効にして削除し、パスワードをリセットして、受信トレイ ルールを削除します。 

  • FP: 調査の後、アプリに組織での正当なビジネス上の用途があることを確認できた場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. アプリによって実行されるすべてのアクティビティを確認します。 
  2. アプリによって付与されたスコープを確認します。 

不審な応答 URL を持つ OAuth アプリ

重要度: 中

この検出は、Microsoft Graph APIを介して不審な応答 URL にアクセスした OAuth アプリを識別します。

TP または FP?

  • TP: OAuth アプリが不明なソースから配信され、不審な URL にリダイレクトされることを確認できる場合は、真陽性が示されます。 疑わしい URL は、URL の評判が不明であるか、信頼されていないか、ドメインが最近登録され、アプリ要求が高い特権スコープ用である URL です。

    推奨されるアクション: アプリによって要求された応答 URL、ドメイン、スコープを確認します。 調査に基づいて、このアプリへのアクセスを禁止することができます。 このアプリによって要求されたアクセス許可のレベルと、アクセス権が付与されているユーザーを確認します。

    アプリへのアクセスを禁止するには、[アプリ ガバナンス ] ページでアプリの関連タブに移動します。 禁止するアプリが表示される行で、禁止アイコンを選択します。 自分がインストールして承認したアプリが禁止されたことをユーザーに通知するかどうかを選択できます。 通知を使用すると、ユーザーはアプリが無効になり、接続されているアプリにアクセスできなくなります。 ユーザーに知られたくない場合は、ダイアログで [ この禁止アプリへのアクセスを許可したユーザーに通知 する] をオフにします。 アプリが使用禁止になることをアプリのユーザーに知らせることをお勧めします。

  • FP: 調査の後、アプリに組織での正当なビジネス上の用途があることを確認できた場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. 最近作成されたアプリとその応答 URL を確認します。

  2. アプリによって実行されるすべてのアクティビティを確認します。 

  3. アプリによって付与されたスコープを確認します。 

重要度: 低

この検出は、最近作成され、同意率が低い OAuth アプリを識別します。 これは、悪意のあるアプリや危険なアプリが、不正な同意許可でユーザーを誘い込む可能性があります。

TP または FP?

  • TP: OAuth アプリが不明なソースから配信されていることを確認できる場合、真陽性が示されます。

    推奨されるアクション: アプリの表示名、応答 URL、およびドメインを確認します。 調査に基づいて、このアプリへのアクセスの禁止を選択できます。 このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。

  • FP: 調査の後、アプリに組織での正当なビジネス上の用途があることを確認できた場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. アプリによって実行されるすべてのアクティビティを確認します。
  2. アプリが疑わしいと思われる場合は、別のアプリ ストアでそのアプリの名前と応答ドメインを調査することをお勧めします。 アプリ ストアを確認するときは、次の種類のアプリに注目します。
    • 最近作成されたアプリ
    • 通常と異なる表示名を持つアプリ
    • 疑わしい応答ドメインを持つアプリ。
  3. アプリがまだ疑わしいと思われる場合は、そのアプリの表示名および応答ドメインをオンラインで調べることができます。

URL の評判が悪いアプリ

重要度: 中

この検出は、URL 評価が低いことが判明した OAuth アプリを識別します。

TP または FP?

  • TP: OAuth アプリが不明なソースから配信されており、疑わしい URL にリダイレクトすることを確認できる場合、真陽性が示されます。

    推奨されるアクション: 応答 URL、ドメイン、およびアプリによって要求されたスコープを確認します。 調査に基づいて、このアプリへのアクセスの禁止を選択できます。 このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。

  • FP: 調査の後、アプリに組織での正当なビジネス上の用途があることを確認できた場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. アプリによって実行されるすべてのアクティビティを確認します。
  2. アプリが疑わしいと思われる場合は、別のアプリ ストアでそのアプリの名前と応答ドメインを調査することをお勧めします。 アプリ ストアを確認するときは、次の種類のアプリに注目します。
    • 最近作成されたアプリ
    • 通常と異なる表示名を持つアプリ
    • 疑わしい応答ドメインを持つアプリ。
  3. アプリがまだ疑わしいと思われる場合は、そのアプリの表示名および応答ドメインをオンラインで調べることができます。

重要度: 中

説明: この検出により、疑わしいコンテンツ スコープに要求され、Graph API を介してユーザーのメール フォルダーにアクセスした、Unicode またはエンコードされた文字などが使用されている OAuth アプリが示されます。 このアラートは、攻撃者がユーザーに誤解を与えて悪意のあるアプリに同意させることができるように、悪意のあるアプリを既知の信頼できるアプリとしてカモフラージュさせようとしていることを示す可能性があります。

TP または FP?

  • TP: OAuth アプリが不明なソースから配信された疑わしいスコープで表示名をエンコードしたことを確認できる場合、真陽性が示されます。

    推奨されるアクション: このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。 調査に基づいて、このアプリへのアクセスの禁止を選択できます。

    アプリへのアクセスを禁止するには、[アプリ ガバナンス ] ページでアプリの関連タブに移動します。 禁止するアプリが表示される行で、禁止アイコンを選択します。 自分がインストールして承認したアプリが禁止されたことをユーザーに通知するかどうかを選択できます。 通知を使用すると、ユーザーはアプリが無効になり、接続されているアプリにアクセスできないことを知ることができます。 ユーザーに知られたくない場合は、ダイアログで [この禁止アプリへのアクセスを許可したユーザーに通知する] をオフにします。 アプリが使用禁止になることをアプリのユーザーに知らせることをお勧めします。

  • FP: アプリにエンコードされた名前が付いているが、organizationで正当なビジネス上の使用があることを確認する場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

危険な OAuth アプリを調査する方法についてのチュートリアルに従います。

読み取りスコープを持つ OAuth アプリに不審な応答 URL がある

重要度: 中

説明: この検出は、User.Read、People などの読み取りスコープのみを持つ OAuth アプリを識別します。読み取りContacts.ReadMail.ReadContacts.Read。共有は、Graph APIを介して不審な応答 URL にリダイレクトします。 このアクティビティは、特権の少ないアクセス許可 (読み取りスコープなど) を持つ悪意のあるアプリがユーザー アカウントの偵察に悪用できることを示すことを試みます。

TP または FP?

  • TP: 読み取りスコープを持つ OAuth アプリが不明なソースから配信されており、疑わしい URL にリダイレクトすることを確認できる場合、真陽性が示されます。

    推奨されるアクション: 応答 URL と、アプリによって要求されたスコープを確認します。 調査に基づいて、このアプリへのアクセスの禁止を選択できます。 このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。

    アプリへのアクセスを禁止するには、[アプリ ガバナンス ] ページでアプリの関連タブに移動します。 禁止するアプリが表示される行で、禁止アイコンを選択します。 自分がインストールして承認したアプリが禁止されたことをユーザーに通知するかどうかを選択できます。 通知を使用すると、ユーザーはアプリが無効になり、接続されているアプリにアクセスできないことを知ることができます。 ユーザーに知られたくない場合は、ダイアログで [この禁止アプリへのアクセスを許可したユーザーに通知する] をオフにします。 アプリが使用禁止になることをアプリのユーザーに知らせることをお勧めします。

  • B-TP: 調査の後、アプリに組織での正当なビジネス上の用途があることを確認できた場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. アプリによって実行されるすべてのアクティビティを確認します。
  2. アプリが疑わしいと思われる場合は、別のアプリ ストアでそのアプリの名前と応答 URL を調査することをお勧めします。 アプリ ストアを確認するときは、次の種類のアプリに注目します。
    • 最近作成されたアプリ。
    • 疑わしい応答 URL を持つアプリ。
    • 最近更新されていないアプリ。 更新されていない場合、アプリがもうサポートされていないことを示している可能性があります。
  3. アプリがまだ疑わしいと思われる場合は、そのアプリの名前、発行元の名前、および応答 URL をオンラインで調べることができます

応答ドメインで通常とは異なる表示名と異常な TLD を持つアプリ

重要度: 中

この検出は、通常とは異なる表示名を持つアプリを識別し、Graph APIを介して異常な最上位ドメイン (TLD) を持つ不審な応答ドメインにリダイレクトします。 これは、悪意のあるアプリや危険なアプリを既知の信頼できるアプリとして偽装しようとして、敵対者がユーザーに悪意のあるアプリや危険なアプリへの同意を誤解させる可能性があることを示している可能性があります。 

TP または FP?

  • TP: 通常と異なる表示名を持つアプリが不明なソースから配信されており、通常と異なるトップレベル ドメインを持つ疑わしいドメインにリダイレクトします

    推奨されるアクション: アプリの表示名と応答ドメインを確認します。 調査に基づいて、このアプリへのアクセスの禁止を選択できます。 このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。

  • FP: 調査の後、アプリに組織での正当なビジネス上の用途があることを確認できた場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

アプリによって実行されるすべてのアクティビティを確認します。 アプリが疑わしいと思われる場合は、別のアプリ ストアでそのアプリの名前と応答ドメインを調査することをお勧めします。 アプリ ストアを確認するときは、次の種類のアプリに注目します。

  • 最近作成されたアプリ
  • 通常と異なる表示名を持つアプリ
  • 疑わしい応答ドメインを持つアプリ。

アプリがまだ疑わしいと思われる場合は、そのアプリの表示名および応答ドメインをオンラインで調べることができます。

重要度: 中

この検出により、比較的新しいパブリッシャー テナントで最近作成された OAuth アプリが次の特性で識別されます。

  • メールボックスの設定にアクセスまたは変更するためのアクセス許可
  • 比較的低い同意率。これは、疑いのないユーザーから同意を得ようとする望ましくないアプリや悪意のあるアプリを特定する可能性があります

TP または FP?

  • TP: アプリへの同意要求が不明なソースまたは外部ソースから配信され、アプリがorganizationで正当なビジネス用途を持っていないことを確認できる場合は、真正が示されます。

    推奨されるアクション:

    • このアプリに同意を与えたユーザーと管理者に連絡して、これが意図的であり、過剰な特権が正常であることを確認してください。
    • アプリのアクティビティを調査し、影響を受けるアカウントチェック不審なアクティビティについて調べます。
    • 調査に基づいて、アプリを無効にし、影響を受けるすべてのアカウントのパスワードを一時停止およびリセットします。
    • アラートを真陽性として分類します。

  • FP: 調査の後、アプリに組織での正当なビジネス上の用途があることを確認できた場合。

    推奨されるアクション: アラートを誤検知として分類し、アラートの調査に基づいてフィードバックを共有することを検討します。

攻撃対象を理解する

ユーザーと管理者によって行われたアプリケーションに対する同意許可を確認します。 アプリによって実行されたすべてのアクティビティ 、特に関連付けられているユーザーと管理者アカウントのメールボックスへのアクセスを調査します。 アプリが疑わしいと思われる場合は、アプリケーションを無効にし、影響を受けるすべてのアカウントの資格情報をローテーションすることを検討してください。

重要度: 中

このアラートは、比較的新しい発行元テナントに最近登録された OAuth アプリを識別し、メールボックスの設定を変更し、電子メールにアクセスするアクセス許可を持ちます。 また、アプリのグローバル同意率が比較的低いかどうかも確認し、同意したユーザーの電子メールにアクセスするために Microsoft Graph APIに対して多数の呼び出しを行います。 このアラートをトリガーするアプリは、疑いのないユーザーから同意を得ようとしている不要なアプリや悪意のあるアプリである可能性があります。

TP または FP?

  • TP: アプリへの同意要求が不明なソースまたは外部ソースから配信され、アプリがorganizationで正当なビジネス用途を持っていないことを確認できる場合は、真正が示されます。

    推奨されるアクション:

    • このアプリに同意を与えたユーザーと管理者に連絡して、これが意図的であり、過剰な特権が正常であることを確認してください。
    • アプリのアクティビティを調査し、影響を受けるアカウントチェック不審なアクティビティについて調べます。
    • 調査に基づいて、アプリを無効にし、影響を受けるすべてのアカウントのパスワードを一時停止およびリセットします。
    • アラートを真陽性として分類します。

  • FP: 調査後に、アプリがorganizationで正当なビジネス用途を使用していることを確認できる場合は、誤検知が示されます。

    推奨されるアクション: アラートを誤検知として分類し、アラートの調査に基づいてフィードバックを共有することを検討します。

攻撃対象を理解する

ユーザーと管理者によって行われたアプリケーションに対する同意許可を確認します。 アプリによって実行されたすべてのアクティビティ 、特に関連付けられているユーザーと管理者アカウントのメールボックスへのアクセスを調査します。 アプリが疑わしいと思われる場合は、アプリケーションを無効にし、影響を受けるすべてのアカウントの資格情報をローテーションすることを検討してください。

多数のメールを送信するメールアクセス許可を持つ不審なアプリ

重要度: 中

このアラートは、短時間で電子メールを送信するために Microsoft Graph APIに多数の呼び出しを行ったマルチテナント OAuth アプリを検出します。 また、API 呼び出しによってエラーが発生し、電子メールの送信が失敗したかどうかを確認します。 このアラートをトリガーするアプリは、スパムや悪意のあるメールを他のターゲットに積極的に送信している可能性があります。

TP または FP?

  • TP: アプリへの同意要求が不明なソースまたは外部ソースから配信され、アプリがorganizationで正当なビジネス用途を持っていないことを確認できる場合は、真正が示されます。

    推奨されるアクション:

    • このアプリに同意を与えたユーザーと管理者に連絡して、これが意図的であり、過剰な特権が正常であることを確認してください。
    • アプリのアクティビティを調査し、影響を受けるアカウントチェック不審なアクティビティについて調べます。
    • 調査に基づいて、アプリを無効にし、影響を受けるすべてのアカウントのパスワードを一時停止およびリセットします。
    • アラートを真陽性として分類します。

  • FP: 調査後に、アプリがorganizationで正当なビジネス用途を使用していることを確認できる場合は、誤検知が示されます。

    推奨されるアクション: アラートを誤検知として分類し、アラートの調査に基づいてフィードバックを共有することを検討します。

攻撃対象を理解する

ユーザーと管理者によって行われたアプリケーションに対する同意許可を確認します。 アプリによって実行されたすべてのアクティビティ 、特に関連付けられているユーザーと管理者アカウントのメールボックスへのアクセスを調査します。 アプリが疑わしいと思われる場合は、アプリケーションを無効にし、影響を受けるすべてのアカウントの資格情報をローテーションすることを検討してください。

多数のメールを送信するために使用される不審な OAuth アプリ

重要度: 中

このアラートは、短時間で電子メールを送信するために Microsoft Graph APIに多数の呼び出しを行った OAuth アプリを示します。 アプリの発行元テナントは、同様の Microsoft Graph API呼び出しを行う大量の OAuth アプリを生成することが知られています。 攻撃者がこのアプリを積極的に使用して、スパムや悪意のあるメールをターゲットに送信している可能性があります。

TP または FP?

  • TP: アプリへの同意要求が不明なソースまたは外部ソースから配信され、アプリがorganizationで正当なビジネス用途を持っていないことを確認できる場合は、真正が示されます。

    推奨されるアクション:

    • このアプリに同意を与えたユーザーと管理者に連絡して、これが意図的であり、過剰な特権が正常であることを確認してください。
    • アプリのアクティビティを調査し、影響を受けるアカウントチェック不審なアクティビティについて調べます。
    • 調査に基づいて、アプリを無効にし、影響を受けるすべてのアカウントのパスワードを一時停止およびリセットします。
    • アラートを真陽性として分類します。

  • FP: 調査後に、アプリがorganizationで正当なビジネス用途を使用していることを確認できる場合は、誤検知が示されます。

    推奨されるアクション: アラートを誤検知として分類し、アラートの調査に基づいてフィードバックを共有することを検討します。

攻撃対象を理解する

ユーザーと管理者によって行われたアプリケーションに対する同意許可を確認します。 アプリによって実行されたすべてのアクティビティ 、特に関連付けられているユーザーと管理者アカウントのメールボックスへのアクセスを調査します。 アプリが疑わしいと思われる場合は、アプリケーションを無効にし、影響を受けるすべてのアカウントの資格情報をローテーションすることを検討してください。

永続性アラート

このセクションでは、悪意のあるアクターが組織への足掛かりを維持しようとしている可能性があることを示すアラートについて説明します。

証明書の更新または新しい資格情報の追加後に、アプリが Exchange ワークロードに通常と異なるグラフ呼び出しを行う

重要度: 中

MITRE ID: T1098.001、T1114

この検知機能は、基幹業務 (LOB) アプリの証明書や秘密情報が更新され、証明書の更新または資格情報の追加後数日以内に、、機械学習アルゴリズムを使用して Graph API 経由で Exchange ワークロードに対する通常と異なるアクティビティや大量の使用状況が観測された場合に警告を発します。

TP または FP?

  • TP: 基幹業務アプリが、Graph API 経由で Exchange ワークロードに対する通常と異なるアクティビティまたは大量の使用を実行したことが確認できた場合

    推奨されるアクション: アプリを一時的に無効にし、パスワードをリセットしてからアプリを再度有効にします。

  • FP: 期間業務で通常と異なるアクティビティが行われていない場合、またはアプリが通常と異なる大量のグラフ呼び出しを行うことを意図していることが確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. このアプリで実行されるすべてのアクティビティを確認します。
  2. アプリによって付与されたスコープを確認します。
  3. このアプリに関連するユーザー アクティビティを確認します。

疑わしい OAuth スコープを持つアプリは、機械学習モデルによって高リスクとフラグが設定され、メールの読み取りと受信トレイ ルールの作成のため、グラフ呼び出しを行いました

重要度: 中

MITRE ID: T1137.005、T1114

この検出は、疑わしいスコープに同意し、疑わしい受信トレイ ルールを作成し、Graph APIを介してユーザーのメール フォルダーとメッセージにアクセスした、Machine Learning モデルによって高リスクのフラグが設定された OAuth アプリを識別します。 すべてまたは特定のメールを別のメール アカウントに転送し、Graph がメールにアクセスして別のメール アカウントに送信するために呼び出すなどの受信トレイ ルールは、組織から情報を抽出する試みである可能性があります。

TP または FP?

  • TP: 受信トレイ ルールが OAuth のサードパーティ製のアプリによって作成され、疑わしいスコープが不明なソースから配信されていることを確認できる場合、真陽性が検出されます。

    推奨されるアクション: アプリを無効にして削除し、パスワードをリセットして、受信トレイ ルールを削除します。

Microsoft Entra IDを使用してパスワードをリセットする方法に関するチュートリアルに従い、受信トレイルールを削除する方法に関するチュートリアルに従ってください。

  • FP: アプリが正当な理由で新規または個人の外部メール アカウントに受信トレイ ルールを作成したことを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. アプリによって実行されるすべてのアクティビティを確認します。
  2. アプリによって付与されたスコープを確認します。
  3. アプリによって作成された受信トレイ ルール アクションと条件を確認します。

疑わしい OAuth スコープを持つアプリは、電子メールを読み取り、受信トレイ ルールを作成するためのグラフ呼び出しを行いました

重要度: 中

MITRE ID: T1137.005、T1114

この検出により、疑わしいスコープに同意し、疑わしい受信トレイ ルールを作成して、Graph API を介してユーザーのメール フォルダーおよびメッセージにアクセスした OAuth アプリが示されます。 すべてまたは特定のメールを別のメール アカウントに転送し、Graph がメールにアクセスして別のメール アカウントに送信するために呼び出すなどの受信トレイ ルールは、組織から情報を抽出する試みである可能性があります。

TP または FP?

  • TP: 受信トレイ ルールが OAuth のサードパーティ製のアプリによって作成され、疑わしいスコープが不明なソースから配信されていることを確認できる場合、真陽性が示されます。

    推奨されるアクション: アプリを無効にして削除し、パスワードをリセットして、受信トレイ ルールを削除します。

    Microsoft Entra IDを使用してパスワードをリセットする方法に関するチュートリアルに従い、受信トレイルールを削除する方法に関するチュートリアルに従ってください。

  • FP: アプリが正当な理由で新規または個人の外部メール アカウントに受信トレイ ルールを作成したことを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. アプリによって実行されるすべてのアクティビティを確認します。
  2. アプリによって付与されたスコープを確認します。
  3. アプリによって作成された受信トレイ ルール アクションと条件を確認します。

証明書の更新後、通常と異なる場所からアプリへのアクセスがある

重要度: 低

MITRE ID: T1098

この検出は、基幹業務 (LOB) アプリが証明書/シークレットを更新したときにアラートをトリガーし、証明書の更新後数日以内に、最近見られなかった、または過去にアクセスしなかった異常な場所からアプリにアクセスします。

TP または FP?

  • TP: 基幹業務アプリが通常と異なる場所からアクセスし、Graph API 経由で通常と異なるアクティビティを実行したことが確認できた場合。

    推奨されるアクション: アプリを一時的に無効にし、パスワードをリセットしてからアプリを再度有効にします。

  • FP: 基幹業務アプリが通常と異なる場所から正当な目的でアクセスし、通常と異なるアクティビティを実行していないことが確認できた場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. このアプリで実行されるすべてのアクティビティを確認します。
  2. アプリによって付与されたスコープを確認します。
  3. このアプリに関連するユーザー アクティビティを確認します。

通常と異なる場所からアクセスしたアプリで、証明書の更新後に異常な Graph 呼び出しがある

重要度: 中

MITRE ID: T1098

この検出は、基幹業務 (LOB) アプリが証明書/シークレットを更新したときにアラートをトリガーし、数日以内に証明書の更新後、最近見られなかったか、過去にアクセスしなかった異常な場所からアプリにアクセスされ、機械学習アルゴリズムを使用してGraph APIを通じて異常なアクティビティや使用状況を観察します。

TP または FP?

  • TP: 基幹業務アプリが、通常と異なる場所から Graph API 経由で通常と異なるアクティビティまたは使用を実行したことが確認できた場合。

    推奨されるアクション: アプリを一時的に無効にし、パスワードをリセットしてからアプリを再度有効にします。

  • FP: 基幹業務アプリが通常と異なる場所から正当な目的でアクセスし、通常と異なるアクティビティを実行していないことが確認できた場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. このアプリで実行されるすべてのアクティビティを確認します。
  2. アプリによって付与されたスコープを確認します。
  3. このアプリに関連するユーザー アクティビティを確認します。

最近作成されたアプリには、取り消された同意が大量に含まれています

重要度: 中

MITRE ID: T1566, T1098

最近作成された基幹業務 (LOB) アプリまたはサード パーティ 製アプリに対する同意を取り消したユーザーがいます。 このアプリは、ユーザーに誤って同意を与えることに誘い込んだ可能性があります。

TP または FP?

  • TP: OAuth アプリが不明なソースから配信され、アプリの動作が疑わしいことを確認できる場合。 

    推奨されるアクション: アプリに付与された同意を取り消し、アプリを無効にします。 

  • FP: 調査後に、アプリがorganizationで正当なビジネス上の使用を行っており、アプリによって通常とは異なるアクティビティが実行されなかったことを確認できます。

    推奨されるアクション: アラートを無視する

攻撃対象を理解する

  1. アプリによって実行されたすべてのアクティビティを確認します。
  2. アプリが疑わしいと思われる場合は、別のアプリ ストア内のアプリの名前と応答ドメインを調査することをお勧めします。 アプリ ストアを確認するときは、次の種類のアプリに注目します。
    • 最近作成されたアプリ
    • 通常とは異なる表示名のアプリ
    • 疑わしい応答ドメインを持つアプリ。
  3. アプリがまだ疑わしいと思われる場合は、そのアプリの表示名および応答ドメインをオンラインで調べることができます。

既知のフィッシング キャンペーンに関連付けられているアプリ メタデータ

重要度: 中

この検出により、フィッシング キャンペーンに関連付けられたアプリで以前に観察されていた 、名前URL発行元などのメタデータを含む Microsoft 以外の OAuth アプリに対するアラートが生成されます。 これらのアプリは、同じキャンペーンの一部であり、機密情報の流出に関与している可能性があります。

TP または FP?

  • TP: OAuth アプリが不明なソースから配信され、通常とは異なるアクティビティを実行していることを確認できる場合。

    推奨されるアクション:

    • アプリ ガバナンスに関するアプリの登録の詳細を調査し、詳細についてはMicrosoft Entra IDにアクセスしてください。
    • アプリに同意またはアクセス許可を付与したユーザーまたは管理者に問い合わせてください。 変更が意図的に行われたかどうかを確認します。
    • CloudAppEvents Advanced ハンティング テーブルを検索して、アプリのアクティビティを理解し、観察された動作が予想されるかどうかを判断します。
    • 包含アクションを検討する前に、アプリがorganizationにとって重要であるかどうかを確認します。 アプリ ガバナンスまたはMicrosoft Entra IDを使用してアプリを非アクティブ化して、リソースにアクセスできないようにします。 既存のアプリ ガバナンス ポリシーによって、アプリが既に非アクティブ化されている可能性があります。

  • FP: アプリによって通常とは異なるアクティビティが実行されなかったことが確認でき、アプリがorganizationで正当なビジネス上の使用を行っていることを確認できる場合。

    推奨されるアクション: アラートを無視する

攻撃対象を理解する

  1. アプリによって実行されたすべてのアクティビティを確認します。
  2. アプリに付与されたスコープを確認します。
  3. アプリに関連付けられているユーザー アクティビティを確認します。

以前にフラグが設定された不審なアプリに関連付けられているアプリ メタデータ

重要度: 中

この検出により、不審なアクティビティが原因でアプリ ガバナンスによってフラグが設定されたアプリで以前に観察されていた、 名前URL発行元などのメタデータを含む Microsoft 以外の OAuth アプリに対するアラートが生成されます。 このアプリは攻撃キャンペーンの一部であり、機密情報の流出に関与している可能性があります。

TP または FP?

  • TP: OAuth アプリが不明なソースから配信され、通常とは異なるアクティビティを実行していることを確認できる場合。

    推奨されるアクション:

    • アプリ ガバナンスに関するアプリの登録の詳細を調査し、詳細についてはMicrosoft Entra IDにアクセスしてください。
    • アプリに同意またはアクセス許可を付与したユーザーまたは管理者に問い合わせてください。 変更が意図的に行われたかどうかを確認します。
    • CloudAppEvents Advanced ハンティング テーブルを検索して、アプリのアクティビティを理解し、観察された動作が予想されるかどうかを判断します。
    • 包含アクションを検討する前に、アプリがorganizationにとって重要であるかどうかを確認します。 アプリ ガバナンスまたはMicrosoft Entra IDを使用してアプリを非アクティブ化して、リソースにアクセスできないようにします。 既存のアプリ ガバナンス ポリシーによって、アプリが既に非アクティブ化されている可能性があります。

  • FP: アプリによって通常とは異なるアクティビティが実行されなかったことが確認でき、アプリがorganizationで正当なビジネス上の使用を行っていることを確認できる場合。

    推奨されるアクション: アラートを無視する

攻撃対象を理解する

  1. アプリによって実行されたすべてのアクティビティを確認します。
  2. アプリに付与されたスコープを確認します。
  3. アプリに関連付けられているユーザー アクティビティを確認します。

Graph APIを介した不審な OAuth アプリの電子メール アクティビティ

重大度: 高

この検出により、リスクの高いサインインを持つユーザーによって登録されたマルチテナント OAuth アプリに対してアラートが生成され、短時間で不審な電子メール アクティビティを実行するために Microsoft Graph APIを呼び出しました。

この検出により、メールボックス ルールの作成、返信メールの作成、電子メールの転送、返信、または新しいメールの送信のために API 呼び出しが行われたかどうかを確認します。 このアラートをトリガーするアプリは、スパムや悪意のあるメールを他のターゲットに積極的に送信したり、機密データやクリア トラックを流出させたりして検出を回避している可能性があります。

TP または FP?

  • TP: アプリの作成と同意要求が不明なソースまたは外部ソースから配信され、アプリがorganizationで正当なビジネス用途を持っていないことを確認できる場合は、真正が示されます。

    推奨されるアクション:

    • このアプリに同意を与えたユーザーと管理者に連絡して、これが意図的であり、過剰な特権が正常であることを確認してください。

    • アプリのアクティビティを調査し、影響を受けるアカウントチェック不審なアクティビティについて調べます。

    • 調査に基づいて、アプリを無効にし、影響を受けるすべてのアカウントのパスワードを一時停止およびリセットし、受信トレイルールを削除します。

    • アラートを真陽性として分類します。

  • FP: 調査後に、アプリがorganizationで正当なビジネス用途を使用していることを確認できる場合は、誤検知が示されます。

    推奨されるアクション:

    • アラートを誤検知として分類し、アラートの調査に基づいてフィードバックを共有することを検討します。

    • 侵害の範囲を理解します。

      ユーザーと管理者によって行われたアプリケーションに対する同意許可を確認します。 アプリによって実行されたすべてのアクティビティ 、特に関連付けられているユーザーと管理者アカウントのメールボックスへのアクセスを調査します。 アプリが疑わしいと思われる場合は、アプリケーションを無効にし、影響を受けるすべてのアカウントの資格情報をローテーションすることを検討してください。

EWS API を使用した不審な OAuth アプリの電子メール アクティビティ

重大度: 高

この検出により、リスクの高いサインインでユーザーによって登録されたマルチテナント OAuth アプリに対してアラートが生成されます。これにより、Microsoft Exchange Web Services (EWS) API を呼び出して、疑わしい電子メール アクティビティを短時間で実行しました。

この検出は、受信トレイルールの更新、アイテムの移動、メールの削除、フォルダーの削除、添付ファイルの削除を行うために API 呼び出しが行われたかどうかを確認します。 このアラートをトリガーするアプリは、機密データを積極的に取り除いたり削除したり、追跡をクリアして検出を回避したりする可能性があります。

TP または FP?

  • TP: アプリの作成と同意要求が不明なソースまたは外部ソースから配信され、アプリがorganizationで正当なビジネス用途を持っていないことを確認できる場合は、真正が示されます。

    推奨されるアクション:

    • このアプリに同意を与えたユーザーと管理者に連絡して、これが意図的であり、過剰な特権が正常であることを確認してください。

    • アプリのアクティビティを調査し、影響を受けるアカウントチェック不審なアクティビティについて調べます。

    • 調査に基づいて、アプリを無効にし、影響を受けるすべてのアカウントのパスワードを一時停止およびリセットし、受信トレイルールを削除します。

    • アラートを真陽性として分類します。

  • FP: 調査後に、アプリがorganizationで正当なビジネス用途を使用していることを確認できる場合は、誤検知が示されます。

    推奨されるアクション:

    • アラートを誤検知として分類し、アラートの調査に基づいてフィードバックを共有することを検討します。

    • 侵害の範囲を理解します。

      ユーザーと管理者によって行われたアプリケーションに対する同意許可を確認します。 アプリによって実行されたすべてのアクティビティ 、特に関連付けられているユーザーと管理者アカウントのメールボックスへのアクセスを調査します。 アプリが疑わしいと思われる場合は、アプリケーションを無効にし、影響を受けるすべてのアカウントの資格情報をローテーションすることを検討してください。

特権エスカレーション アラート

疑わしいメタデータを持つ OAuth アプリに Exchange アクセス許可がある

重要度: 中

MITRE ID: T1078

このアラートは、疑わしいメタデータを持つ基幹業務アプリが Exchange に対するアクセス許可を管理する権限を持っている場合にトリガーされます。

TP または FP?

  • TP: OAuth アプリが不明なソースから配信され、疑わしいメタデータ特性を持っていることを確認できる場合は、真陽性が示されます。

推奨されるアクション: アプリに付与された同意を取り消し、アプリを無効にします。

FP: 調査の後、アプリに組織での正当なビジネス上の用途があることを確認できた場合。

推奨されるアクション: アラートを無視する

攻撃対象を理解する

  1. アプリによって実行されるすべてのアクティビティを確認します。
  2. アプリによって付与されたスコープを確認します。
  3. アプリに関連付けられているユーザー アクティビティを確認します。

防御回避アラート

重要度: 中

Microsoft 以外のクラウド アプリでは、機械学習アルゴリズムによって検出されたロゴが Microsoft ロゴに似ています。 これは、Microsoft ソフトウェア製品を偽装し、正当と見なされる試みである可能性があります。

注:

テナント管理者は、現在のコンプライアンス境界の外に必要なデータを送信し、基幹業務アプリでこの脅威検出を有効にするために Microsoft 内のパートナー チームを選択するために、ポップアップを介して同意を提供する必要があります。

TP または FP?

  • TP: アプリ ロゴが Microsoft ロゴの模倣であり、アプリの動作が疑わしいことを確認できる場合。 

    推奨されるアクション: アプリに付与された同意を取り消し、アプリを無効にします。

  • FP: アプリのロゴが Microsoft ロゴの模倣ではないか、アプリによって通常とは異なるアクティビティが実行されなかったことを確認できる場合。 

    推奨されるアクション: アラートを無視する

攻撃対象を理解する

  1. アプリによって実行されたすべてのアクティビティを確認します。
  2. アプリに付与されたスコープを確認します。
  3. アプリに関連付けられているユーザー アクティビティを確認します。

アプリが入力ミスドメインに関連付けられている

重要度: 中

この検出により、発行元ドメインを持つ Microsoft 以外の OAuth アプリに対するアラートが生成されるか、Microsoft ブランド名の誤ったバージョンを含むリダイレクト URL が生成されます。 通常、入力ミスは、ユーザーが誤って URL を入力したときに、サイトへのトラフィックをキャプチャするために使用されますが、一般的なソフトウェア製品やサービスの偽装にも使用できます。

TP または FP?

  • TP: アプリの発行元ドメインまたはリダイレクト URL が入力ミスで、アプリの真の ID に関連していないことを確認できる場合。

    推奨されるアクション:

    • アプリ ガバナンスに関するアプリの登録の詳細を調査し、詳細についてはMicrosoft Entra IDにアクセスしてください。
    • アプリで、なりすましや偽装の他の兆候や不審なアクティビティがないか確認します。
    • 包含アクションを検討する前に、アプリがorganizationにとって重要であるかどうかを確認します。 アプリ ガバナンスを使用してアプリを非アクティブ化して、リソースにアクセスできないようにします。 既存のアプリ ガバナンス ポリシーによって、アプリが既に非アクティブ化されている可能性があります。

  • FP: アプリの発行元ドメインとリダイレクト URL が正当であることを確認できる場合。 

    推奨されるアクション: アラートを誤検知として分類し、アラートの調査に基づいてフィードバックを共有することを検討します。

攻撃対象を理解する

  1. アプリによって実行されたすべてのアクティビティを確認します。
  2. アプリに付与されたスコープを確認します。
  3. アプリに関連付けられているユーザー アクティビティを確認します。

資格情報アクセス

このセクションでは、悪意のあるアクターが機密性の高い資格情報データを読み取ろうとしている可能性があることを示すアラートについて説明し、アカウント名、シークレット、トークン、証明書、パスワードなどの資格情報をorganizationで盗む手法で構成されます。

成功しない複数の失敗した KeyVault 読み取りアクティビティを開始するアプリケーション

重要度: 中

MITRE ID: T1078.004

この検出は、Azure Resource Manager API を使用して KeyVault に対して短時間で複数の読み取りアクション呼び出しを行い、エラーのみが発生し、正常な読み取りアクティビティが完了しなかったテナント内のアプリケーションを識別します。

TP または FP?

  • TP: アプリが不明であるか、使用されていない場合、特定のアクティビティが疑わしい可能性があります。 テナントで使用されている Azure リソースを確認し、アプリの使用を検証した後、特定のアクティビティでアプリを無効にする必要がある場合があります。 これは通常、横移動または特権エスカレーションの資格情報へのアクセスを取得するために、KeyVault リソースに対して列挙アクティビティが疑われる証拠です。

    推奨されるアクション: アプリケーションによってアクセスまたは作成された Azure リソースと、アプリケーションに加えられた最近の変更を確認します。 調査に基づいて、このアプリへのアクセスを禁止するかどうかを選択します。 このアプリによって要求されたアクセス許可レベルと、アクセス権を付与したユーザーを確認します。

  • FP: 調査後に、アプリがorganizationで正当なビジネス上の使用を行っていることを確認できます。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. アプリのアクセスとアクティビティを確認します。
  2. アプリの作成以降にアプリによって行われたすべてのアクティビティを確認します。
  3. Graph APIでアプリによって付与されたスコープと、サブスクリプションで付与されたロールを確認します。
  4. アクティビティの前にアプリにアクセスした可能性があるユーザーを確認します。

検出アラート

アプリで実行されたドライブ列挙

重要度: 中

MITRE ID: T1087

この検出では、Graph API を使用して OneDrive ファイルの列挙を実行する機械学習モデルによって検出された OAuth アプリを特定します。

TP または FP?

  • TP: 基幹業務アプリが、Graph API 経由で OneDrive に対して通常と異なるアクティビティまたは使用を実行したことが確認できた場合。

    推奨されるアクション: アプリを無効にして削除し、パスワードをリセットします。

  • FP: アプリで通常と異なるアクティビティが実行されていないことが確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. このアプリで実行されるすべてのアクティビティを確認します。
  2. アプリによって付与されたスコープを確認します。
  3. このアプリに関連するユーザー アクティビティを確認します。

Microsoft Graph PowerShell を使用して実行される疑わしい列挙アクティビティ

重要度: 中

MITRE ID: T1087

この検出により、 Microsoft Graph PowerShell アプリケーションを通じて短時間で実行される大量の疑わしい列挙アクティビティが識別されます。

TP または FP?

  • TP: 疑わしい/異常な列挙アクティビティが Microsoft Graph PowerShell アプリケーションによって実行されたことを確認できる場合。

    推奨されるアクション: アプリを無効にして削除し、パスワードをリセットします。

  • FP: アプリで通常と異なるアクティビティが実行されていないことが確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. このアプリで実行されるすべてのアクティビティを確認します。
  2. このアプリに関連するユーザー アクティビティを確認します。

最近作成されたマルチテナント アプリケーションは、ユーザー情報を頻繁に列挙します

重要度: 中

MITRE ID: T1087

このアラートは、メールボックスの設定を変更し、電子メールにアクセスするためのアクセス許可を持つ比較的新しい発行元テナントに最近登録された OAuth アプリを検出します。 アプリがユーザー ディレクトリ情報を要求する Microsoft Graph APIに対して多数の呼び出しを行ったかどうかを確認します。 このアラートをトリガーするアプリは、ユーザーが組織のデータにアクセスできるように同意を付与するようにユーザーを引き付ける可能性があります。

TP または FP?

  • TP: アプリへの同意要求が不明なソースまたは外部ソースから配信され、アプリがorganizationで正当なビジネス用途を持っていないことを確認できる場合は、真正が示されます。

    推奨されるアクション:

    • このアプリに同意を与えたユーザーと管理者に連絡して、これが意図的であり、過剰な特権が正常であることを確認してください。
    • アプリのアクティビティを調査し、影響を受けるアカウントチェック不審なアクティビティについて調べます。
    • 調査に基づいて、アプリを無効にし、影響を受けるすべてのアカウントのパスワードを一時停止およびリセットします。
    • アラートを真陽性として分類します。

  • FP: 調査後に、アプリがorganizationで正当なビジネス用途を使用していることを確認できる場合は、誤検知が示されます。

    推奨されるアクション: アラートを誤検知として分類し、アラートの調査に基づいてフィードバックを共有することを検討します。

攻撃対象を理解する

ユーザーと管理者によって行われたアプリケーションに対する同意許可を確認します。 アプリによって実行されるすべてのアクティビティ (特にユーザー ディレクトリ情報の列挙) を調査します。 アプリが疑わしいと思われる場合は、アプリケーションを無効にし、影響を受けるすべてのアカウントの資格情報をローテーションすることを検討してください。

流出アラート

このセクションでは、悪意のあるアクターがorganizationから目的のデータを盗もうとしていることを示すアラートについて説明します。

通常とは異なるユーザー エージェントを使用した OAuth アプリ

重要度: 低

MITRE ID: T1567

この検出は、通常とは異なるユーザー エージェントを使用してGraph APIにアクセスしている OAuth アプリケーションを識別します。

TP または FP?

  • TP: OAuth アプリが、以前に使用していなかった新しいユーザー エージェントの使用を最近開始したことを確認でき、この変更が予期しない場合は、真正が示されます。

    推奨されるアクション: 使用されているユーザー エージェントと、アプリケーションに加えられた最近の変更を確認します。 調査に基づいて、このアプリへのアクセスを禁止することができます。 このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。

  • FP: 調査の後、アプリに組織での正当なビジネス上の用途があることを確認できた場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. 最近作成されたアプリと、使用されているユーザー エージェントを確認します。
  2. アプリによって実行されるすべてのアクティビティを確認します。 
  3. アプリによって付与されたスコープを確認します。 

Exchange Web サービスを介して通常とは異なるユーザー エージェントが電子メール データにアクセスしたアプリ

重大度: 高

MITRE ID: T1114、T1567

この検出は、Exchange Web サービス API を使用して通常とは異なるユーザー エージェントを使用して電子メール データにアクセスした OAuth アプリを識別します。

TP または FP?

  • TP: OAuth アプリケーションが、Exchange Web Services API への要求を行うために使用するユーザー エージェントを変更することが想定されていないことを確認できる場合は、真正が示されます。

    推奨されるアクション: アラートを TP として分類します。 調査に基づいて、アプリが悪意のある場合は、同意を取り消し、テナントでアプリを無効にすることができます。 侵害されたアプリの場合は、同意を取り消し、アプリを一時的に無効にし、アクセス許可を確認し、シークレットと証明書をリセットしてから、アプリを再度有効にすることができます。

  • FP: 調査後に、アプリケーションで使用されるユーザー エージェントが、organizationで正当なビジネス用途を使用していることを確認できます。

    推奨されるアクション: アラートを FP として分類します。 また、アラートの調査に基づいてフィードバックを共有することを検討してください。

攻撃対象を理解する

  1. アプリケーションが新しく作成されたか、最近変更が加えられたかどうかを確認します。
  2. アプリケーションに付与されたアクセス許可と、アプリケーションに同意したユーザーを確認します。
  3. アプリによって実行されるすべてのアクティビティを確認します。

横移動アラート

このセクションでは、悪意のあるアクターが、複数のシステムとアカウントをピボットしてorganizationをより詳細に制御しながら、異なるリソース内を横方向に移動しようとしている可能性があることを示すアラートについて説明します。

休止中の OAuth アプリは、主に MS Graph または Exchange Web Services を使用して ARM ワークロードにアクセスしているのが最近見られました

重要度: 中

MITRE ID: T1078.004

この検出は、休止状態のアクティビティが長時間続いた後に、初めて Azure Resource Manager API へのアクセスを開始したテナント内のアプリケーションを識別します。 以前は、このアプリケーションは主に MS Graph または Exchange Web サービスを使用していました。

TP または FP?

  • TP: アプリが不明であるか、使用されていない場合、特定のアクティビティが疑わしい可能性があり、使用されている Azure リソースを確認し、テナント内のアプリの使用状況を検証した後、アプリを無効にする必要がある場合があります。

    推奨されるアクション:

    1. アプリケーションによってアクセスまたは作成された Azure リソースと、アプリケーションに加えられた最近の変更を確認します。
    2. このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。
    3. 調査に基づいて、このアプリへのアクセスを禁止するかどうかを選択します。

  • FP: 調査後に、アプリがorganizationで正当なビジネス上の使用を行っていることを確認できます。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. アプリのアクセスとアクティビティを確認します。
  2. アプリの作成以降にアプリによって行われたすべてのアクティビティを確認します。
  3. Graph APIでアプリによって付与されたスコープと、サブスクリプションで付与されたロールを確認します。
  4. アクティビティの前にアプリにアクセスした可能性があるユーザーを確認します。

コレクションのアラート

このセクションでは、悪意のあるアクターが目標に対して関心のあるデータを組織から収集しようとしている可能性があることを示すアラートについて説明します。

アプリが作成した通常とは異なるメール検索アクティビティ

重要度: 中

MITRE ID: T1114

この検出は、アプリが疑わしい OAuth スコープに同意し、Graph APIを介した特定のコンテンツの電子メール検索など、大量の異常な電子メール検索アクティビティを行ったタイミングを識別します。 これは、敵対者がGraph APIを介してorganizationから特定の電子メールを検索および読み取ろうとするなど、organizationの侵害が試行されたことを示している可能性があります。 

TP または FP?

  • TP: 不審な OAuth スコープを持つ OAuth アプリによってGraph APIを介して大量の異常な電子メール検索と読み取りアクティビティを確認でき、アプリが不明なソースから配信されていることを確認できる場合。

    推奨されるアクション: アプリを無効にして削除し、パスワードをリセットし、受信トレイルールを削除します。 

  • FP: アプリが大量の異常なメール検索を実行し、正当な理由でGraph APIを読み取ったかどうかを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. アプリによって付与されたスコープを確認します。
  2. アプリによって実行されるすべてのアクティビティを確認します。 

アプリがメールを読み取るための匿名の Graph 呼び出しを実行した

重要度: 中

MITRE ID: T1114

この検出により、基幹業務 (LOB) OAuth アプリが、Graph API を通してユーザーの異常な、および大量のメール フォルダおよびメッセージにアクセスしたことが示されます。これは、組織のへの侵害が試行されたことを示す可能性があります。

TP または FP?

  • TP: Graph による異常なアクティビティが基幹業務 (LOB) OAuth アプリによって実行されたことを確認できる場合、真陽性が示されます。

    推奨されるアクション: アプリを一時的に無効にし、パスワードをリセットしてから、アプリを再度有効にします。 Microsoft Entra IDを使用してパスワードをリセットする方法に関するチュートリアルに従ってください。

  • FP: アプリが異常に多い量の Graph 呼び出しを行うよう意図されていることを確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. メールを読み取り、ユーザーのメールに関する機密情報の収集を試行するための Graph のその他のアクティビティをさらに理解するには、このアプリによって実行されたイベントのアクティビティ ログを確認します。
  2. 予期しない資格情報がアプリに追加されないか監視します。

アプリが受信トレイ ルールを作成し、通常と異なるメール検索アクティビティを行いました。

重要度: 中

MITRE ID: T1137、T1114

この検出により、アプリが高い権限を持つスコープに同意していること、疑わしい受信トレイ ルールを作成していること、Graph API 経由でユーザーのメール フォルダーで通常と異なるメール検索アクティビティを行っていることを特定します。 これは、攻撃者が Graph API 経由で組織からの特定のメールを検索し、収集しようとするなど、組織への侵入を試みていることを示している可能性があります。

TP または FP?

  • TP: 高い権限を持つスコープを持つ OAuth アプリによって Graph API 経由で行われた特定のメールの検索と収集が確認でき、そのアプリが未知のソースから配信されている場合。

    推奨されるアクション: アプリを無効にして削除し、パスワードをリセットして、受信トレイ ルールを削除します。

  • FP: アプリが Graph API 経由で特定のメールの検索と収集を実行し、正当な理由で新規または個人の外部メール アカウントへの受信トレイ ルールを作成したことが確認できる場合。

    推奨されるアクション: アラートを無視します。

攻撃対象を理解する

  1. アプリによって実行されるすべてのアクティビティを確認します。
  2. アプリによって付与されたスコープを確認します。
  3. アプリによって作成された任意の受信トレイ ルール アクションを確認します。
  4. アプリが実行する任意のメール検索アクティビティを確認します。

アプリは OneDrive/SharePoint 検索アクティビティを作成し、受信トレイ ルールを作成しました

重要度: 中

MITRE ID の: T1137、T1213

この検出により、アプリが高い権限を持つスコープに同意していること、疑わしい受信トレイ ルールを作成していること、Graph API 経由で、通常と異なる SharePoint または OneDrive の検索アクティビティを実行したことが特定されます。 これは、攻撃者が Graph API 経由で組織から SharePoint または OneDrive の特定のデータを検索し、収集しようとするなど、組織への侵入を試みていることを示している可能性があります。 

TP または FP?

  • TP: 高い特権スコープを持つ OAuth アプリによってGraph APIを介して行われた SharePoint または OneDrive の検索と収集から特定のデータを確認できる場合、アプリは不明なソースから配信されます。 

    推奨されるアクション: アプリを無効にして削除し、パスワードをリセットし、受信トレイルールを削除します。 

  • FP: アプリが OAuth アプリによってGraph APIを介して SharePoint または OneDrive の検索と収集から特定のデータを実行し、正当な理由で新しいまたは個人用の外部メール アカウントに受信トレイ ルールを作成したことを確認できる場合。 

    推奨されるアクション: アラートを無視する

攻撃対象を理解する

  1. アプリによって実行されるすべてのアクティビティを確認します。 
  2. アプリによって付与されたスコープを確認します。 
  3. アプリによって作成された任意の受信トレイ ルール アクションを確認します。 
  4. アプリによって実行された SharePoint または OneDrive の検索アクティビティを確認します。

OneDrive で多数の検索と編集を行ったアプリ

重要度: 中

MITRE ID: T1137、T1213

この検出は、Graph APIを使用して OneDrive で多数の検索と編集を実行する高い権限を持つ OAuth アプリを識別します。

TP または FP?

  • TP: OneDrive に対する読み取りと書き込みの高い権限を持つこの OAuth アプリケーションから、Graph APIを介した OneDrive ワークロードの使用率が高いことが想定されていないことを確認できる場合は、真正が示されます。

    推奨されるアクション: 調査に基づいて、アプリケーションが悪意のある場合は、同意を取り消し、テナント内のアプリケーションを無効にすることができます。 侵害されたアプリケーションの場合は、同意を取り消し、アプリを一時的に無効にし、必要なアクセス許可を確認し、パスワードをリセットしてから、アプリを再度有効にすることができます。

  • FP: 調査の後、アプリに組織での正当なビジネス上の用途があることを確認できた場合。

    推奨されるアクション: アラートを解決し、結果を報告します。

攻撃対象を理解する

  1. アプリが信頼できるソースから提供されているかどうかを確認します。
  2. アプリケーションが新しく作成されたか、最近変更が加えられたかどうかを確認します。
  3. アプリケーションに付与されたアクセス許可と、アプリケーションに同意したユーザーを確認します。
  4. 他のすべてのアプリ アクティビティを調査します。

アプリで大量の重要なメールの読み取りと受信トレイ ルールの作成を行いました

重要度: 中

MITRE ID: T1137、T1114

この検出は、アプリが高い特権スコープに同意し、疑わしい受信トレイ ルールを作成し、Graph APIを介して大量の重要なメールの読み取りアクティビティを行っていることを識別します。 これは、攻撃者が Graph API 経由で組織からの重要なメールを読み取ろうとするなど、組織への侵入を試みていることを示している可能性があります。 

TP または FP?

  • TP: 高い特権スコープを持つ OAuth アプリによってGraph APIを通じて大量の重要な電子メールが読み取られ、アプリが不明なソースから配信されていることを確認できる場合。 

    推奨されるアクション: アプリを無効にして削除し、パスワードをリセットし、受信トレイルールを削除します。 

  • FP: アプリがGraph APIを通じて大量の重要な電子メールの読み取りを実行し、正当な理由で新しいまたは個人用の外部メール アカウントに受信トレイ ルールを作成したことを確認できる場合。 

    推奨されるアクション: アラートを無視する

攻撃対象を理解する

  1. アプリによって実行されるすべてのアクティビティを確認します。 
  2. アプリによって付与されたスコープを確認します。 
  3. アプリによって作成された任意の受信トレイ ルール アクションを確認します。 
  4. アプリによって行われた重要なメールの読み取りアクティビティを確認します。

特権アプリが Teams で通常とは異なるアクティビティを実行した

重要度: 中

この検出により、高い特権の OAuth スコープに同意し、Microsoft Teamsにアクセスし、Graph APIを介して異常な量の読み取りまたは投稿のチャット メッセージ アクティビティを行ったアプリが識別されます。 これは、敵対者がGraph APIを介してorganizationから情報を収集しようとするなど、organizationの侵害が試行されたことを示している可能性があります。

TP または FP?

  • TP: 高い特権スコープを持つ OAuth アプリによるGraph APIを通じて、Microsoft Teams内の異常なチャット メッセージ アクティビティが不明なソースから配信されていることを確認できる場合。

    推奨されるアクション: アプリを無効にして削除し、パスワードをリセットする

  • FP: Graph APIを通じてMicrosoft Teamsで実行された異常なアクティビティが正当な理由で行われたかどうかを確認できる場合。

    推奨されるアクション: アラートを無視する

攻撃対象を理解する

  1. アプリによって付与されたスコープを確認します。
  2. アプリによって実行されるすべてのアクティビティを確認します。
  3. アプリに関連付けられているユーザー アクティビティを確認します。

新しい資格情報を更新または追加したアプリ別の異常な OneDrive アクティビティ

重要度: 中

MITRE ID: T1098.001,T1213

Microsoft 以外のクラウド アプリは、大量のデータ使用量など、OneDrive への異常なGraph API呼び出しを行いました。 機械学習によって検出されたこれらの通常とは異なる API 呼び出しは、アプリが新規または更新された既存の証明書/シークレットを追加した数日後に行われました。 このアプリは、データ流出やその他の機密情報へのアクセスや取得の試みに関与している可能性があります。

TP または FP?

  • TP: OneDrive ワークロードの大量使用など、異常なアクティビティがアプリによって実行されたことを確認できる場合は、Graph API。

    推奨されるアクション: アプリを一時的に無効にし、パスワードをリセットしてから、アプリを再度有効にします。

  • FP: アプリによって異常なアクティビティが実行されなかったか、アプリが異常に大量の Graph 呼び出しを行う目的であることを確認できる場合。

    推奨されるアクション: アラートを無視する

攻撃対象を理解する

  1. アプリによって実行されたすべてのアクティビティを確認します。
  2. アプリによって付与されたスコープを確認します。
  3. アプリに関連付けられているユーザー アクティビティを確認します。

新しい資格情報を更新または追加したアプリ別の異常な SharePoint アクティビティ

重要度: 中

MITRE ID: T1098.001、T1213.002

Microsoft 以外のクラウド アプリは、大量のデータ使用量など、SharePoint への異常なGraph API呼び出しを行いました。 機械学習によって検出されたこれらの通常とは異なる API 呼び出しは、アプリが新規または更新された既存の証明書/シークレットを追加した数日後に行われました。 このアプリは、データ流出やその他の機密情報へのアクセスや取得の試みに関与している可能性があります。

TP または FP?

  • TP: SharePoint ワークロードの大量使用など、異常なアクティビティがアプリによって実行されたことを確認できる場合は、Graph API。

    推奨されるアクション: アプリを一時的に無効にし、パスワードをリセットしてから、アプリを再度有効にします。

  • FP: アプリによって異常なアクティビティが実行されなかったか、アプリが異常に大量の Graph 呼び出しを行う目的であることを確認できる場合。

    推奨されるアクション: アラートを無視する

攻撃対象を理解する

  1. アプリによって実行されたすべてのアクティビティを確認します。
  2. アプリによって付与されたスコープを確認します。
  3. アプリに関連付けられているユーザー アクティビティを確認します。

重要度: 中

MITRE ID: T1114

この検出により、名前、URL発行元などのメタデータを含む Microsoft 以外の OAuth アプリのアラートが生成されます。これは、疑わしいメール関連のアクティビティを持つアプリで以前に観察されていました。 このアプリは攻撃キャンペーンの一部であり、機密情報の流出に関与している可能性があります。

TP または FP?

  • TP: アプリでメールボックス ルールが作成されているか、Exchange ワークロードに対して多数の異常なGraph API呼び出しが行われたかどうかを確認できる場合。

    推奨されるアクション:

    • アプリ ガバナンスに関するアプリの登録の詳細を調査し、詳細についてはMicrosoft Entra IDにアクセスしてください。
    • アプリに同意またはアクセス許可を付与したユーザーまたは管理者に問い合わせてください。 変更が意図的に行われたかどうかを確認します。
    • CloudAppEvents Advanced ハンティング テーブルを検索して、アプリのアクティビティを理解し、アプリによってアクセスされるデータを特定します。 影響を受けるメールボックスを確認し、アプリ自体またはアプリが作成したルールによって読み取られたり転送されたりした可能性があるメッセージを確認します。
    • 包含アクションを検討する前に、アプリがorganizationにとって重要であるかどうかを確認します。 アプリ ガバナンスまたはMicrosoft Entra IDを使用してアプリを非アクティブ化して、リソースにアクセスできないようにします。 既存のアプリ ガバナンス ポリシーによって、アプリが既に非アクティブ化されている可能性があります。

  • FP: アプリによって通常とは異なるアクティビティが実行されなかったことが確認でき、アプリがorganizationで正当なビジネス上の使用を行っていることを確認できる場合。

    推奨されるアクション: アラートを無視する

攻撃対象を理解する

  1. アプリによって実行されたすべてのアクティビティを確認します。
  2. アプリに付与されたスコープを確認します。
  3. アプリに関連付けられているユーザー アクティビティを確認します。

EWS アプリケーションのアクセス許可が多数の電子メールにアクセスするアプリ

重要度: 中

MITRE ID: T1114

この検出により、EWS アプリケーションのアクセス許可を持つマルチテナント クラウド アプリに対するアラートが生成され、電子メールの列挙とコレクションに固有の Exchange Web サービス API への呼び出しが大幅に増加します。 このアプリは、機密メール データへのアクセスと取得に関与している可能性があります。

TP または FP?

  • TP: アプリが機密メール データにアクセスしたか、Exchange ワークロードに対して多数の異常な呼び出しを行っていることを確認できる場合。

    推奨されるアクション:

    • アプリ ガバナンスに関するアプリの登録の詳細を調査し、詳細についてはMicrosoft Entra IDにアクセスしてください。
    • アプリに同意またはアクセス許可を付与したユーザーまたは管理者に問い合わせてください。 変更が意図的に行われたかどうかを確認します。
    • CloudAppEvents Advanced ハンティング テーブルを検索して、アプリのアクティビティを理解し、アプリによってアクセスされるデータを特定します。 影響を受けるメールボックスを確認し、アプリ自体またはアプリが作成したルールによって読み取られたり転送されたりした可能性があるメッセージを確認します。
    • 包含アクションを検討する前に、アプリがorganizationにとって重要であるかどうかを確認します。 アプリ ガバナンスまたはMicrosoft Entra IDを使用してアプリを非アクティブ化して、リソースにアクセスできないようにします。 既存のアプリ ガバナンス ポリシーによって、アプリが既に非アクティブ化されている可能性があります。

  • FP: アプリによって通常とは異なるアクティビティが実行されなかったことが確認でき、アプリがorganizationで正当なビジネス上の使用を行っていることを確認できる場合。

    推奨されるアクション: アラートを無視する

攻撃対象を理解する

  1. アプリによって実行されたすべてのアクティビティを確認します。
  2. アプリに付与されたスコープを確認します。
  3. アプリに関連付けられているユーザー アクティビティを確認します。

未使用のアプリが新しく API にアクセスする

重要度: 中

MITRE ID: T1530

この検出により、しばらくの間非アクティブになり、最近 API 呼び出しが開始されたマルチテナント クラウド アプリに対するアラートが生成されます。 このアプリは、攻撃者によって侵害され、機密データへのアクセスと取得に使用される可能性があります。

TP または FP?

  • TP: アプリが機密データにアクセスしたか、Microsoft Graph、Exchange、または Azure Resource Manager ワークロードに対して多数の異常な呼び出しを行ったかどうかを確認できる場合。

    推奨されるアクション:

    • アプリ ガバナンスに関するアプリの登録の詳細を調査し、詳細についてはMicrosoft Entra IDにアクセスしてください。
    • アプリに同意またはアクセス許可を付与したユーザーまたは管理者に問い合わせてください。 変更が意図的に行われたかどうかを確認します。
    • CloudAppEvents Advanced ハンティング テーブルを検索して、アプリのアクティビティを理解し、アプリによってアクセスされるデータを特定します。 影響を受けるメールボックスを確認し、アプリ自体またはアプリが作成したルールによって読み取られたり転送されたりした可能性があるメッセージを確認します。
    • 包含アクションを検討する前に、アプリがorganizationにとって重要であるかどうかを確認します。 アプリ ガバナンスまたはMicrosoft Entra IDを使用してアプリを非アクティブ化して、リソースにアクセスできないようにします。 既存のアプリ ガバナンス ポリシーによって、アプリが既に非アクティブ化されている可能性があります。

  • FP: アプリによって通常とは異なるアクティビティが実行されなかったことが確認でき、アプリがorganizationで正当なビジネス上の使用を行っていることを確認できる場合。

    推奨されるアクション: アラートを無視する

攻撃対象を理解する

  1. アプリによって実行されたすべてのアクティビティを確認します。
  2. アプリに付与されたスコープを確認します。
  3. アプリに関連付けられているユーザー アクティビティを確認します。

影響アラート

このセクションでは、悪意のあるアクターが、organizationからシステムとデータを操作、中断、または破棄しようとしている可能性があることを示すアラートについて説明します。

仮想マシンの作成で異常なスパイクを開始する Entra 基幹業務アプリ

重要度: 中

MITRE ID: T1496

この検出により、Azure Resource Manager API を使用してテナントに Azure Virtual Machinesの大部分を作成している単一のテナントの新しい OAuth アプリケーションが識別されます。

TP または FP?

  • TP: OAuth アプリが最近作成され、テナントに多数のVirtual Machinesが作成されていることを確認できる場合は、真陽性が示されます。

    推奨されるアクション: 作成された仮想マシンと、アプリケーションに加えられた最近の変更を確認します。 調査に基づいて、このアプリへのアクセスを禁止することができます。 このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。

  • FP: 調査の後、アプリに組織での正当なビジネス上の用途があることを確認できた場合。

    推奨されるアクション: アラートを無視します。

侵害の範囲を理解します

  1. 最近作成されたアプリと作成された VM を確認します。
  2. アプリの作成以降にアプリによって行われたすべてのアクティビティを確認します。
  3. Graph APIでアプリによって付与されたスコープと、サブスクリプションで付与されたロールを確認します。

Microsoft Graph の高いスコープ特権を持つ OAuth アプリが、仮想マシンの作成を開始しているのを確認しました

重要度: 中

MITRE ID: T1496

この検出により、アクティビティの前に MS Graph API 経由でテナントで高い特権を持ちながら、Azure Resource Manager API を使用してテナントに Azure Virtual Machinesの大部分を作成する OAuth アプリケーションが識別されます。

TP または FP?

  • TP: 高い特権スコープを持つ OAuth アプリが作成され、テナントに多数のVirtual Machinesが作成されていることを確認できる場合は、真正が示されます。

    推奨されるアクション: 作成された仮想マシンと、アプリケーションに加えられた最近の変更を確認します。 調査に基づいて、このアプリへのアクセスを禁止することができます。 このアプリによって要求されたアクセス許可のレベルと、アクセスを許可したユーザーを確認します。

  • FP: 調査の後、アプリに組織での正当なビジネス上の用途があることを確認できた場合。

    推奨されるアクション: アラートを無視します。

侵害の範囲を理解します

  1. 最近作成されたアプリと作成された VM を確認します。
  2. アプリの作成以降にアプリによって行われたすべてのアクティビティを確認します。
  3. Graph APIでアプリによって付与されたスコープと、サブスクリプションで付与されたロールを確認します。

次の手順

アプリ ガバナンス アラートを管理する