Detectie en Reactie op Potentieel Schadelijke [CHK-1176]
Deze check controleert op de aanwezigheid van applicaties die bekend staan om gebruikt te worden door cybercriminelen.
Rationale
Geregistreerde Applicaties in de Microsoft365 geven een relatief onopvallende manier voor aanvallers om lange tijd toegang te houden tot de omgeving. Uit onderzoeken naar cyberincidenten zoals Business Email Compromise (ofwel CEO-/Betaalfraude) blijken dergelijke apps populair te zijn en dus ook vaak terug te komen in modus operandi van cybercriminelen.
Fix
Een geautomatiseerde fix is beschikbaar via Attic. Deze zal via een ticket in Attic worden aangeboden waarna u kunt accepteren.
Manuele stappen:
- Controleer of het gebruik van de app door de gebruiker in kwestie legitiem is.
- Zo niet: beschouw het account als gecompromitteerd, trek alle sessies in, disable het en voer onderzoek uit naar potentieel misbruik alvorens het weer vrij te geven.
- Zo wel: voeg de app toe aan genegeerde apps in de Attic configuratie zodat wij niet opnieuw alarm slaan.
Impact
Het verwijderen van ongeautoriseerde apps en het informeren van gebruikers over de risico's van niet-goedgekeurde apps vermindert het beveiligingsrisico.
Meer informatie
- Github repository van Huntress.
- Huntress Labs Rogue Apps.