MS-102 GĐ6 Module 43

Threat Intelligence & Cloud Apps

Threat Intelligence (MSTIC, Threat Trackers, Campaign Views), Microsoft Defender for Cloud Apps (MDCA) tenant-level governance và App Governance add-on.

Tình huống – VinaCorp

SOC phát hiện campaign phishing nhắm vào ngành tài chính Việt Nam. Đồng thời, MDCA báo user đang upload dữ liệu hàng loạt lên personal Dropbox. IT cần: track campaign TI, tạo policy alert mass download/upload, audit OAuth apps.

Threat Intelligence – MSTIC

Microsoft Threat Intelligence Center (MSTIC) cung cấp TI feeds được tích hợp trực tiếp vào M365 Defender. Không cần cấu hình thêm — tự động cập nhật.

TI Feature	Mô tả	Truy cập tại
Threat analytics	Báo cáo chi tiết về active threats, MITRE ATT&CK mapping	security.microsoft.com → Threat analytics
Threat Trackers	Track các campaign đang diễn ra — noteworthy, saved, tracked queries	security.microsoft.com → Threat trackers
Campaign views	Visualize toàn bộ phishing/malware campaign theo timeline	security.microsoft.com → Campaigns
Indicators (TI)	Block/allow IP, URL, file hash từ TI feeds	security.microsoft.com → Indicators
Threat Intel Profile	Actor profiles (APT groups, cybercriminal groups)	Threat analytics → Threat actors

Lab A – Block Malicious IP/Domain via Indicator

# Thêm malicious domain vào block list (Threat Intelligence Indicator)
Connect-MgGraph -Scopes "ThreatIndicators.ReadWrite.OwnedBy"

$indicator = @{
    Action = "block"
    ActivityGroupNames = @("FIN7-VN-Campaign")
    Description = "Phishing domain targeting Vietnam finance sector"
    ExpirationDateTime = (Get-Date).AddDays(90).ToString("o")
    IndicatorType = "DomainName"
    DomainName = "vinacorp-login.malicious.xyz"
    Severity = 5
    TlpLevel = "white"
    TargetProduct = "Microsoft Defender ATP"
}
New-MgSecurityTiIndicator -BodyParameter $indicator
Write-Host "Malicious domain blocked via TI Indicator"

Malicious domain blocked: vinacorp-login.malicious.xyz Action: block | Expires: 2026-07-19 TI Indicator ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

MDCA Tenant-Level Governance

Defender for Cloud Apps (MDCA) cung cấp CASB tại tenant level: Shadow IT discovery, Activity policies, File policies và OAuth app governance.

Tính năng	Mô tả
Shadow IT Discovery	Phân tích traffic để tìm SaaS apps không được approved
App Catalog	>31.000 apps được đánh giá rủi ro (0-10)
Conditional Access App Control	Kiểm soát session cho unmanaged devices (download/upload/copy)
Activity Policy	Alert khi phát hiện hành vi bất thường (mass download, login từ nước ngoài)
File Policy	Scan files trên SharePoint/OneDrive cho DLP violations
OAuth App Governance	Audit và revoke OAuth apps có permission cao

Lab B – Tạo Activity Policy: Mass Upload Alert

Portal: security.microsoft.com → Cloud apps → Policies → Policy management → Create policy → Activity policy

1Policy name: "Alert: Mass Upload to Personal Storage"

2Filters: App category = Cloud storage → App not in = SharePoint, OneDrive

3Activity type: Upload file

4Repeated activity: 10 activities within 5 minutes by same user

5Actions: Alert (email to admin) + Suspend user (governance action)

6Severity: High → Create

PowerShell: Xem Cloud App Activity Alerts

Connect-MgGraph -Scopes "SecurityAlert.Read.All"

# Xem cloud app alerts
Get-MgSecurityAlert -Filter "category eq 'CloudAppSecurity'" -Top 20 |
    Select-Object Id, Title, Severity, Status, CreatedDateTime,
        @{N='User';E={$_.UserStates[0].UserPrincipalName}} |
    Format-Table -AutoSize

Id Title Severity Status User -- ----- -------- ------ ---- aaa-111 Alert: Mass Upload to Personal Storage High New [email protected] bbb-222 Impossible travel activity Medium New [email protected]

Lab C – OAuth App Audit & Revoke

security.microsoft.com → Cloud apps → OAuth apps

1OAuth apps → Filter: Permission level = High → xem apps có permission đọc mail, contacts, files

2Sort by Community use = Rare → ưu tiên investigate apps ít người dùng

3Click app nghi ngờ → Mark as malicious → Revoke

Connect-MgGraph -Scopes "Application.ReadWrite.All","AppRoleAssignment.ReadWrite.All"

# Lấy danh sách OAuth apps (Service Principals) với permission cao
$riskyApps = Get-MgServicePrincipal -All |
    Where-Object {$_.AppRoles.Count -gt 0 -and $_.SignInAudience -ne "AzureADMyOrg"} |
    Select-Object DisplayName, AppId, SignInAudience

# Revoke tất cả grant permissions của app nghi ngờ
$appId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$sp = Get-MgServicePrincipal -Filter "appId eq '$appId'"

# Xóa OAuth grants
Get-MgOauth2PermissionGrant -Filter "clientId eq '$($sp.Id)'" |
    ForEach-Object { Remove-MgOauth2PermissionGrant -OAuth2PermissionGrantId $_.Id }

Write-Host "OAuth permissions revoked for app: $($sp.DisplayName)"

OAuth permissions revoked for app: SuspiciousExcelAddin All user consent grants removed (47 users affected)

Tổng kết M43

Kiến thức cốt lõi

✅ MSTIC TI tự động — không cần cấu hình thủ công TI feeds
✅ TI Indicators: block IP/domain/file hash trong MDE
✅ MDCA Activity Policy: alert + governance action tự động
✅ OAuth app với Community use = Rare → ưu tiên investigate
✅ Revoke OAuth grant xóa permission toàn bộ user trong tenant

Lab đã thực hành

🔬 Lab A: Block malicious domain bằng TI Indicator Graph API
🔬 Lab B: Activity Policy mass upload alert + suspend user
🔬 Lab C: OAuth app audit + revoke permission hàng loạt

M42 M44: Purview Overview