ANOMALY DETECTION IN AN APPLICATION WITH DELEGATE AUTHORIZATION

Aspects of the technology described herein detect potential security breaches in delegate applications by monitoring communications received from a delegate application. Anomalies in the delegate application communications can indicate that the delegate application has been breached and is now being controlled by an entity other than an authorized entity. An anomaly may be a new or unusual attribute value within the delegate-application's communication. Initially, the anomaly detection system may build a baseline of attribute values for a single delegate application within a single tenant and separate baseline for the tenant. If the attribute value is anomalous to both the application-specific baseline and the tenant-specific baseline then the message may be designated as anomalous. Mitigation can then be undertaken. Selon des aspects de l'invention, la technologie permet de détecter des brèches de sécurité potentielles dans des applications déléguées par surveillance des communications reçues d'une application déléguée. Des anomalies dans les communications d'application déléguée peuvent indiquer que l'application déléguée a fait l'objet d'une brèche et est désormais commandée par une entité autre qu'une entité autorisée. Une anomalie peut être une valeur d'attribut nouvelle ou inhabituelle dans la communication de l'application déléguée. Initialement, le système de détection d'anomalie peut construire une référence de valeurs d'attribut pour une seule application déléguée dans un seul locataire et une référence distincte pour le locataire. Si la valeur d'attribut est anormale au regard de la référence spécifique à l'application et de la référence spécifique à un locataire, alors le message peut être désigné comme anormal. Une neutralisation peut alors être entreprise.