次の方法で共有

定義済みのアプリ ポリシー アラートを調査する

アプリ ガバナンスは、異常なアクティビティに対して定義済みのアプリ ポリシー アラートを提供します。 このガイドの目的は、調査と修復のタスクを支援するために、各アラートについての一般的で実用的な情報を提供することです。

このガイドに記載されているのは、アラートがトリガーされる条件に関する一般的な情報です。 定義済みのポリシーは本質的に非決定的であるため、標準から逸脱した動作がある場合にのみトリガーされます。

ヒント

一部のアラートはプレビュー段階にある可能性があるため、更新されたアラートの状態を定期的に確認します。

セキュリティ アラートの分類

適切な調査の後、すべてのアプリ ガバナンス アラートを次のいずれかのアクティビティの種類に分類できます。

  • 真陽性 (TP): 確認された悪意のあるアクティビティに関するアラート。
  • 問題のない真陽性 (B-TP): 侵入テストやその他の承認された疑わしいアクションなど、疑わしいが悪意のないアクティビティに関するアラート。
  • 誤検知 (FP): 非マルウェアアクティビティに関するアラート。

一般的な調査手順

推奨アクションを適用する前に、潜在的な脅威をより明確に理解するためにアラートの種類を調査するとき、次の一般的なガイドラインを使用します。

  1. アプリの重大度レベルを確認し、テナント内の他のアプリと比較します。 このレビューは、テナント内のどのアプリがより大きなリスクをもたらすかを特定するのに役立ちます。

  2. TP を特定する場合は、すべてのアプリ アクティビティを確認して、影響について理解を深めます。 たとえば、次のアプリ情報を確認します。

    • 付与されているアクセス権のスコープ
    • 異常な動作
    • IP アドレスと場所

定義済みのアプリ ポリシー アラート

このセクションでは、定義済みの各ポリシー アラートに関する情報と、調査と修復の手順について説明します。

特権が高いアプリまたは特権が高いアプリによるデータ使用量の増加

注:

Defender for Cloud アプリのアラートの精度を向上させるための継続的な取り組みの一環として、このポリシーを無効にしました。 このポリシーは、無効な状態で Defender ポータルに表示されます。 このポリシーを引き続き使用する場合は、Defender ポータルで [アプリ ガバナンス] に移動し、[ ポリシー] ページに移動します。 ポリシーを選択し、[ アクティブ化] を選択します。

重要度: 中

Graph APIによるデータ使用量の急激な増加を示す強力なアクセス許可または未使用のアクセス許可を持つアプリを見つけます。 データ使用量の異常な変更は、侵害を示している可能性があります。

TP または FP?

アラートが真陽性 (TP) または誤検知 (FP) であるかどうかを判断するには、アプリによって実行されたすべてのアクティビティ、アプリに付与されたスコープ、アプリに関連付けられているユーザー アクティビティを確認します。

  • TP: 特権が高いアプリまたは特権の高いアプリによるデータ使用量の増加が不規則または悪意のある可能性があることを確認した場合は、この推奨されるアクションを適用します。

    推奨されるアクション: データ使用量の増加の原因となったアプリ アクティビティについてユーザーに問い合わせてください。 アプリを一時的に無効にし、パスワードをリセットしてから、アプリを再度有効にします。

  • FP: 検出されたアプリ アクティビティが意図されていて、organizationで正当なビジネス上の使用があることを確認した場合は、この推奨アクションを適用します。

    推奨されるアクション: アラートを無視します。

注:

Defender for Cloud アプリのアラートの精度を向上させるための継続的な取り組みの一環として、このポリシーを無効にしました。 このポリシーは、無効な状態で Defender ポータルに表示されます。 このポリシーを引き続き使用する場合は、Defender ポータルで [アプリ ガバナンス] に移動し、[ ポリシー] ページに移動します。 ポリシーを選択し、[ アクティブ化] を選択します。

重要度: 中

優先アカウントから同意を得たアプリによって表示されるデータ使用量またはGraph APIアクセス エラーの異常な増加を見つけます。

TP または FP?

アプリによって実行されたすべてのアクティビティ、アプリに付与されたスコープ、アプリに関連付けられているユーザー アクティビティを確認します。

  • TP: 優先度アカウントからの同意を得たアプリによるデータ使用量または API アクセス エラーの増加が非常に不規則または悪意のある可能性があることを確認した場合は、この推奨アクションを適用します。

    推奨されるアクション: データ使用量または API アクセス エラーの増加の原因となったアプリ アクティビティについて、優先度アカウントのユーザーに問い合わせてください。 アプリを一時的に無効にし、パスワードをリセットしてから、アプリを再度有効にします。

  • FP: 検出されたアプリ アクティビティが意図されていて、organizationで正当なビジネス上の使用があることを確認した場合は、この推奨アクションを適用します。

    推奨されるアクション: アラートを無視します。

重要度: 中

新しく作成されたアプリからの同意要求は、ユーザーによって頻繁に拒否されました。 ユーザーは通常、予期しない動作を示すか、信頼されていないソースから到着したアプリからの同意要求を拒否します。 同意率が低いアプリは、危険または悪意のある可能性が高くなります。

TP または FP?

アプリによって実行されたすべてのアクティビティ、アプリに付与されたスコープ、アプリに関連付けられているユーザー アクティビティを確認します。

  • TP: アプリが不明なソースからのものであり、そのアクティビティが非常に不規則または悪意のある可能性があることを確認した場合は、この推奨アクションを適用します。

    推奨されるアクション: アプリを一時的に無効にし、パスワードをリセットしてから、アプリを再度有効にします。

  • FP: 検出されたアプリ アクティビティが正当であることを確認した場合は、この推奨アクションを適用します。

    推奨されるアクション: アラートを無視します。

OneDrive へのGraph API呼び出しの急増

重要度: 中

クラウド アプリでは、OneDrive へのGraph API呼び出しが大幅に増加しました。 このアプリは、データ流出やその他の機密データへのアクセスや取得の試みに関与している可能性があります。

TP または FP?

アプリによって実行されたすべてのアクティビティ、アプリに付与されたスコープ、アプリに関連付けられているユーザー アクティビティを確認します。

  • TP: 非常に不規則で悪意のある可能性のあるアクティビティによって OneDrive の使用量が検出され増加したことを確認した場合は、この推奨されるアクションを適用します。

    推奨されるアクション: アプリを一時的に無効にし、パスワードをリセットしてから、アプリを再度有効にします。

  • FP: 検出されたアプリ アクティビティが正当であることを確認した場合は、この推奨アクションを適用します。

    推奨されるアクション: アラートを無視します。

SharePoint へのGraph API呼び出しの急増

重要度: 中

クラウド アプリでは、SharePoint へのGraph API呼び出しが大幅に増加しました。 このアプリは、データ流出やその他の機密データへのアクセスや取得の試みに関与している可能性があります。

TP または FP?

アプリによって実行されたすべてのアクティビティ、アプリに付与されたスコープ、アプリに関連付けられているユーザー アクティビティを確認します。

  • TP: 非常に不規則で悪意のある可能性のあるアクティビティによって SharePoint の使用量が検出され増加したことを確認した場合は、この推奨アクションを適用します。

    推奨されるアクション: アプリを一時的に無効にし、パスワードをリセットしてから、アプリを再度有効にします。

  • FP: 検出されたアプリ アクティビティが正当であることを確認した場合は、この推奨アクションを適用します。

    推奨されるアクション: アラートを無視します。

Exchange へのGraph API呼び出しの急増

重要度: 中

クラウド アプリでは、Exchange へのGraph API呼び出しが大幅に増加しました。 このアプリは、データ流出やその他の機密データへのアクセスや取得の試みに関与している可能性があります。

TP または FP?

アプリによって実行されたすべてのアクティビティ、アプリに付与されたスコープ、アプリに関連付けられているユーザー アクティビティを確認します。

  • TP: 非常に不規則で悪意のある可能性のあるアクティビティによって Exchange 使用率が増加したことを確認した場合は、この推奨されるアクションを適用します。

    推奨されるアクション: アプリを一時的に無効にし、パスワードをリセットしてから、アプリを再度有効にします。

  • FP: 検出されたアプリ アクティビティが正当であることを確認した場合は、この推奨アクションを適用します。

    推奨されるアクション: アラートを無視します。

複数の Microsoft 365 サービスにアクセスできる不審なアプリ

重要度: 中

証明書またはシークレットの更新後に統計的に異常なGraph APIアクティビティを示した複数の Microsoft 365 サービスへの OAuth アクセス権を持つアプリを検索します。 これらのアプリを特定し、侵害がないか確認することで、横移動、データ流出、およびクラウド フォルダー、電子メール、およびその他のサービスを走査するその他の悪意のあるアクティビティを防ぐことができます。

TP または FP?

アプリによって実行されたすべてのアクティビティ、アプリに付与されたスコープ、アプリに関連付けられているユーザー アクティビティを確認します。

  • TP: アプリ証明書やシークレット、その他のアプリ アクティビティの更新が非常に不規則または悪意のある可能性があることを確認した場合は、この推奨アクションを適用します。

    推奨されるアクション: アプリを一時的に無効にし、パスワードをリセットしてから、アプリを再度有効にします。

  • FP: 検出されたアプリ アクティビティが正当であることを確認した場合は、この推奨アクションを適用します。

    推奨されるアクション: アラートを無視します。

アプリによる大量の受信トレイ ルール作成アクティビティ

重要度: 中

アプリは、Exchange 受信トレイ ルールを作成するために多数のGraph API呼び出しを行いました。 このアプリは、データ収集や流出、または機密情報へのアクセスや取得の他の試みに関与している可能性があります。

TP または FP?

アプリによって実行されたすべてのアクティビティ、アプリに付与されたスコープ、アプリに関連付けられているユーザー アクティビティを確認します。

  • TP: 受信トレイ ルールやその他のアクティビティの作成が非常に不規則または悪意のある可能性があることを確認した場合は、この推奨アクションを適用します。

    推奨されるアクション: アプリを一時的に無効にし、パスワードをリセットしてから、アプリを再度有効にします。

  • FP: 検出されたアプリ アクティビティが正当であることを確認した場合は、この推奨アクションを適用します。

    推奨されるアクション: アラートを無視します。

アプリによる大量の電子メール検索アクティビティ

重要度: 中

アプリが Exchange メール コンテンツを検索するために多数のGraph API呼び出しを行いました。 このアプリは、データ収集やその他の機密情報へのアクセスや取得の試行に関与している可能性があります。

TP または FP?

アプリによって実行されたすべてのアクティビティ、アプリに付与されたスコープ、アプリに関連付けられているユーザー アクティビティを確認します。

  • TP: Exchange やその他のアクティビティでのコンテンツ検索が非常に不規則または悪意のある可能性があることを確認した場合は、この推奨アクションを適用します。

    推奨されるアクション: アプリを一時的に無効にし、パスワードをリセットしてから、アプリを再度有効にします。

  • FP: アプリによって通常とは異なるメール検索アクティビティが実行されなかったか、アプリがGraph APIを介して通常とは異なるメール検索アクティビティを作成することを目的としていることを確認できる場合。

    推奨されるアクション: アラートを無視します。

アプリによる大量の電子メール送信アクティビティ

重要度: 中

アプリは、Exchange Onlineを使用して電子メール メッセージを送信するために多数のGraph API呼び出しを行いました。 このアプリは、データ収集や流出、または機密情報へのアクセスや取得の他の試みに関与している可能性があります。

TP または FP?

アプリによって実行されたすべてのアクティビティ、アプリに付与されたスコープ、アプリに関連付けられているユーザー アクティビティを確認します。

  • TP: 電子メール メッセージやその他のアクティビティの送信が非常に不規則または悪意のある可能性があることを確認した場合は、この推奨されるアクションを適用します。

    推奨されるアクション: アプリを一時的に無効にし、パスワードをリセットしてから、アプリを再度有効にします。

  • FP: アプリによって通常とは異なるメール送信アクティビティが実行されなかったか、アプリがGraph APIを介して通常とは異なるメール送信アクティビティを作成することを目的としていることを確認できる場合。

    推奨されるアクション: アラートを無視します。

機密データへのアクセス

注:

Defender for Cloud アプリのアラートの精度を向上させるための継続的な取り組みの一環として、このポリシーを無効にしました。 このポリシーは、無効な状態で Defender ポータルに表示されます。 このポリシーを引き続き使用する場合は、Defender ポータルで [アプリ ガバナンス] に移動し、[ ポリシー] ページに移動します。 ポリシーを選択し、[ アクティブ化] を選択します。

重要度: 中

特定の機密性の高いラベルによって識別される機密データにアクセスするアプリを検索します。

TP または FP?

アラートが真陽性 (TP) か誤検知 (FP) かを判断するには、アプリによってアクセスされたリソースを確認します。

  • TP: アプリまたは検出されたアクティビティが不規則または悪意のある可能性があることを確認した場合は、この推奨アクションを適用します。

    推奨されるアクション: Microsoft Entra IDから非アクティブ化することで、アプリがリソースにアクセスできないようにします。

  • FP: アプリがorganizationで正当なビジネス用途を持ち、検出されたアクティビティが予想されたことを確認した場合は、この推奨アクションを適用します。

    推奨されるアクション: アラートを無視します。

次の手順

アプリの脅威の検出と修復に関する詳細情報