Referenční informace k obsahu zabezpečení pro Microsoft Power Platform a Microsoft Dynamics 365 Customer Engagement
Tento článek podrobně popisuje obsah zabezpečení dostupný pro řešení Microsoft Sentinel pro Power Platform. Další informace o tomto řešení najdete v tématu Řešení Microsoft Sentinel pro Microsoft Power Platform a Microsoft Dynamics 365 Customer Engagement – přehled.
Důležité
- Řešení Microsoft Sentinel pro Power Platform je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
- Řešení je prémiová nabídka. Informace o cenách budou k dispozici dříve, než bude řešení obecně dostupné.
- Zadejte zpětnou vazbu k tomuto řešení dokončením tohoto průzkumu: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Integrovaná analytická pravidla
Při instalaci řešení pro Power Platform jsou zahrnuta následující analytická pravidla. Uvedené zdroje dat zahrnují název a tabulku datového konektoru v Log Analytics.
Pravidla dataverse
| Název pravidla | Popis | Zdrojová akce | Taktika |
|---|---|---|---|
| Dataverse – Neobvyklá aktivita uživatele aplikace | Identifikuje anomálie ve vzorech aktivit uživatelů aplikace Dataverse (neinteraktivní) na základě aktivity, která spadá mimo normální způsob použití. | Neobvyklá aktivita uživatelů S2S v Dynamics 365 / Dataverse Zdroje dat: – Dataverse DataverseActivity |
CredentialAccess, spouštění, trvalost |
| Dataverse – Odstranění dat protokolu auditu | Identifikuje aktivitu odstranění dat protokolu auditu v Dataverse. | Odstranění protokolů auditu služby Dataverse Zdroje dat: – Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse – Protokolování auditu je zakázané | Identifikuje změnu v konfiguraci auditu systému, kdy je protokolování auditu vypnuté. | Globální auditování nebo auditování na úrovni entit je zakázané. Zdroje dat: – Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse – Opětovné přiřazení nebo sdílení hromadného vlastnictví záznamu | Identifikuje změny v vlastnictví jednotlivých záznamů, včetně následujících: – Sdílení záznamů s ostatními uživateli nebo týmy – Přiřazení vlastnictví, které překračuje předdefinovanou prahovou hodnotu. |
Mnoho událostí vlastnictví záznamů a sdílení záznamů generovaných v okně detekce Zdroje dat: – Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse – Spustitelný soubor nahraný na web správy dokumentů SharePointu | Identifikuje spustitelné soubory a skripty nahrané na sharepointové weby používané ke správě dokumentů Dynamics a obchází omezení nativních přípon souborů v Dataverse. | Nahrání spustitelných souborů ve správě dokumentů Dataverse Zdroje dat: – Office365 OfficeActivity (SharePoint) |
Provádění, trvalost |
| Dataverse – Export aktivity od ukončeného nebo oznámeného zaměstnance | Identifikuje aktivitu exportu Dataverse aktivovanou ukončením zaměstnanců nebo zaměstnanci, kteří chtějí opustit organizaci. | Události exportu dat přidružené k uživatelům v šabloně seznamu ke zhlédnutí TerminatedEmployees . Zdroje dat: – Dataverse DataverseActivity |
Exfiltrace |
| Dataverse – exfiltrace uživatelů typu host po poškození ochrany Power Platform | Identifikuje řetězec událostí, které začínají zakázáním izolace tenanta Power Platform a odebráním skupiny zabezpečení přístupu prostředí. Tyto události korelují s upozorněními exfiltrace Dataverse souvisejícími s ovlivněným prostředím a nedávno vytvořenými uživateli typu host microsoft Entra. Před povolením tohoto pravidla aktivujte další analytická pravidla Dataverse pomocí taktiky Exfiltration MITRE. |
Jako nedávno vytvořený uživatel typu host aktivujte upozornění exfiltrace Dataverse po zakázání kontrolních mechanismů zabezpečení Power Platform. Zdroje dat: – PowerPlatformAdmin PowerPlatformAdminActivity– Dataverse DataverseActivity |
Obrana před únikem |
| Dataverse – Manipulace se zabezpečením hierarchie | Identifikuje podezřelé chování v zabezpečení hierarchie. | Změny vlastností zabezpečení, mezi které patří: – Zabezpečení hierarchie je zakázané. - Uživatel se přiřadí jako manažer. – Uživatel se přiřadí k monitorované pozici (nastavená v KQL). Zdroje dat: – Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse – aktivita instance Honeypotu | Identifikuje aktivity v předdefinované instanci Honeypot Dataverse. Upozornění buď při zjištění přihlášení k Honeypotu, nebo při monitorování tabulek Dataverse v Honeypotu jsou přístupné. |
Přihlášení a přístup k datům v určené instanci Honeypot Dataverse v Power Platform s povoleným auditováním Zdroje dat: – Dataverse DataverseActivity |
Zjišťování, exfiltrace |
| Dataverse – Přihlášení citlivým privilegovaným uživatelem | Identifikuje přihlášení k Dataverse a Dynamics 365 citlivými uživateli. | Přihlaste se uživateli přidanými do seznamu ke zhlédnutí VIPUsers na základě značek nastavených v rámci KQL. Zdroje dat: – Dataverse DataverseActivity |
InitialAccess, CredentialAccess, PrivilegeEscalation |
| Dataverse – Přihlášení z IP adresy v seznamu blokovaných adres | Identifikuje přihlašovací aktivitu Služby Dataverse z adres IPv4, které jsou na předdefinovaném seznamu blokovaných adres. | Přihlaste se uživatelem s IP adresou, která je součástí blokovaného rozsahu sítě. Blokované rozsahy sítě se udržují v šabloně seznamu ke zhlédnutí NetworkAddresses . Zdroje dat: – Dataverse DataverseActivity |
InitialAccess |
| Dataverse – Přihlášení z IP adresy není v seznamu povolených | Identifikuje přihlášení z adres IPv4, které neodpovídají podsítím IPv4 udržovaným na seznamu povolených adres. | Přihlaste se uživatelem s IP adresou, která není součástí povoleného rozsahu sítě. Blokované rozsahy sítě se udržují v šabloně seznamu ke zhlédnutí NetworkAddresses . Zdroje dat: – Dataverse DataverseActivity |
InitialAccess |
| Dataverse – Malware nalezený na webu správy dokumentů SharePointu | Identifikuje malware nahraný prostřednictvím správy dokumentů Dynamics 365 nebo přímo na SharePointu, který ovlivňuje dataverse přidružené sharepointové weby. | Škodlivý soubor na sharepointovém webu propojeném s Dataverse Zdroje dat: – Dataverse DataverseActivity– Office365 OfficeActivity (SharePoint) |
Provádění |
| Dataverse – hromadné odstranění záznamů | Identifikuje operace odstranění záznamů ve velkém měřítku na základě předdefinované prahové hodnoty. Detekuje také naplánované úlohy hromadného odstranění. |
Odstranění záznamů překračujících prahovou hodnotu definovanou v KQL Zdroje dat: – Dataverse DataverseActivity |
Dopad |
| Dataverse – hromadné stahování ze správy dokumentů SharePointu | Identifikuje hromadné stahování souborů za poslední hodinu ze sharepointových webů nakonfigurovaných pro správu dokumentů v Dynamics 365. | Hromadné stahování překračující prahovou hodnotu definovanou v KQL. Toto analytické pravidlo používá ke zjištění sharepointových webů používaných ke správě dokumentů seznam ke zhlédnutí konfigurace MSBizApps-Configuration . Zdroje dat: – Office365 OfficeActivity (SharePoint) |
Exfiltrace |
| Dataverse – hromadný export záznamů do Excelu | Identifikuje uživatele exportující velký počet záznamů z Dynamics 365 do Excelu, kde počet exportovaných záznamů je výrazně větší než jakákoli jiná nedávná aktivita daného uživatele. Velké exporty uživatelů bez nedávné aktivity se identifikují pomocí předdefinované prahové hodnoty. |
Umožňuje exportovat mnoho záznamů z Dataverse do Excelu. Zdroje dat: – Dataverse DataverseActivity |
Exfiltrace |
| Dataverse – aktualizace hromadných záznamů | Detekuje změny hromadné aktualizace záznamů v Dataverse a Dynamics 365, které překračují předdefinovanou prahovou hodnotu. | Hromadná aktualizace záznamů překračuje prahovou hodnotu definovanou v KQL. Zdroje dat: – Dataverse DataverseActivity |
Dopad |
| Dataverse – Typ aktivity uživatele aplikace New Dataverse | Identifikuje nové nebo dříve neznámé typy aktivit přidružené k aplikaci Dataverse (neinteraktivní). | Nové typy aktivit uživatelů S2S Zdroje dat: – Dataverse DataverseActivity |
CredentialAccess, spuštění, oprávnění |
| Dataverse – nový neinteraktivní přístup udělený identitou | Identifikuje udělení přístupu na úrovni rozhraní API prostřednictvím delegovaných oprávnění aplikace Microsoft Entra nebo přímým přiřazením v rámci služby Dataverse jako uživatel aplikace. | Oprávnění Dataverse přidaná k neinteraktivnímu uživateli Zdroje dat: – Dataverse DataverseActivity,– AzureActiveDirectory AuditLogs |
Trvalost, LateralMovement, PrivilegeEscalation |
| Dataverse – nové přihlášení z neautorizované domény | Identifikuje přihlašovací aktivitu Služby Dataverse pocházející od uživatelů s příponami UPN, které se v posledních 14 dnech nezoznačily a nejsou přítomné na předdefinovaném seznamu autorizovaných domén. Běžní interní uživatelé systému Power Platform jsou ve výchozím nastavení vyloučeni. |
Přihlaste se externím uživatelem z neautorizované přípony domény. Zdroje dat: – Dataverse DataverseActivity |
InitialAccess |
| Dataverse – typ nového uživatelského agenta, který se předtím nepoužíval | Identifikuje uživatele, kteří přistupují k Dataverse z uživatelského agenta, který se během posledních 14 dnů nezoznal v žádné instanci Dataverse. | Aktivita v Dataverse z nového uživatelského agenta Zdroje dat: – Dataverse DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse – Nový typ uživatelského agenta, který nebyl použit s Office 365 | Identifikuje uživatele, kteří přistupují k Dynamics pomocí uživatelského agenta, který se během posledních 14 dnů nezoznal v žádných úlohách Office 365. | Aktivita v Dataverse z nového uživatelského agenta Zdroje dat: – Dataverse DataverseActivity |
InitialAccess |
| Dataverse – změněné nastavení organizace | Identifikuje změny provedené na úrovni organizace v prostředí Dataverse. | Vlastnost na úrovni organizace upravená v Dataverse Zdroje dat: – Dataverse DataverseActivity |
Uchování |
| Dataverse – Odebrání blokovaných přípon souborů | Identifikuje úpravy blokovaných přípon souborů prostředí a extrahuje odebranou příponu. | Odebrání blokovaných přípon souborů ve vlastnostech Dataverse Zdroje dat: – Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse – Přidání nebo aktualizace webu správy dokumentů SharePointu | Identifikuje úpravy integrace správy dokumentů SharePointu. Správa dokumentů umožňuje ukládání dat umístěných externě do služby Dataverse. Zkombinujte toto analytické pravidlo s dataverse: Přidejte sharepointové weby do playbooku ke zhlédnutí , aby se automaticky aktualizoval seznam ke zhlédnutí Dataverse-SharePointSites . Tento seznam ke zhlédnutí lze použít ke korelaci událostí mezi Dataverse a SharePointem při použití datového konektoru Office 365. |
Mapování sharepointového webu přidaného ve správě dokumentů Zdroje dat: – Dataverse DataverseActivity |
Exfiltrace |
| Dataverse – Podezřelé úpravy rolí zabezpečení | Identifikuje neobvyklý vzor událostí, kdy se vytvoří nová role, po níž tvůrce přidá členy do role a později odebere člena nebo odstraní roli po krátkém časovém období. | Změny rolí zabezpečení a přiřazení rolí Zdroje dat: – Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse – podezřelé použití koncového bodu TDS | Identifikuje dotazy založené na protokolu TDS (Tabular Data Stream), kde zdrojový uživatel nebo IP adresa obsahuje nedávné výstrahy zabezpečení a protokol TDS se v cílovém prostředí dříve nepoužíval. | Náhlé použití koncového bodu TDS v korelaci s výstrahami zabezpečení Zdroje dat: – Dataverse DataverseActivity– AzureActiveDirectoryIdentityProtection SecurityAlert |
Exfiltrace, InitialAccess |
| Dataverse – podezřelé použití webového rozhraní API | Identifikuje přihlášení napříč několika prostředími Dataverse, která porušují předdefinovanou prahovou hodnotu a pocházejí od uživatele s IP adresou, která byla použita k přihlášení k dobře známé registraci aplikace Microsoft Entra. | Přihlaste se pomocí WebAPI ve více prostředích pomocí dobře známého ID veřejné aplikace. Zdroje dat: – Dataverse DataverseActivity– AzureActiveDirectory SigninLogs |
Provádění, Exfiltrace, Rekognoskace, Zjišťování |
| Dataverse – IP adresa MAP TI na dataverseActivity | Identifikuje shodu ve funkci DataverseActivity z jakékoli IP adresy IOC z analýzy hrozeb služby Microsoft Sentinel. | Aktivita Dataverse s IP odpovídajícími IOC Zdroje dat: – Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, LateralMovement, Discovery |
| Dataverse – ADRESA URL mapy TI na DataverseActivity | Identifikuje shodu ve funkci DataverseActivity z jakékoli adresy URL IOC z analýzy hrozeb Microsoft Sentinelu. | Aktivita Dataverse s adresou URL odpovídající IOC Zdroje dat: – Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, Execution, Persistence |
| Dataverse – Ukončení exfiltrace zaměstnanců e-mailem | Identifikuje exfiltraci Dataverse prostřednictvím e-mailu ukončenými zaměstnanci. | E-maily odeslané do nedůvěryhodných domén příjemců následující výstrahy zabezpečení korelují s uživateli na seznamu ke zhlédnutí TerminatedEmployees . Zdroje dat: MicrosoftThreatProtection EmailEventsIdentityInfo– AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
Exfiltrace |
| Dataverse – Ukončení exfiltrace zaměstnance na usb disk | Identifikuje soubory stažené z Dataverse odchodem nebo ukončením zaměstnanců a zkopíruje se do připojených jednotek USB. | Soubory pocházející z Dataverse zkopírované do USB uživatelem na seznamu ke zhlédnutí TerminatedEmployeees . Zdroje dat: – Dataverse DataverseActivity– MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Exfiltrace |
| Dataverse – Neobvyklá přihlašovací ochrana po zakázání ochrany vazby souborů cookie na základě IP adres | Identifikuje dříve nezoznanou IP adresu a uživatelské agenty v instanci Dataverse po zakázání ochrany vazby souborů cookie. Další informace najdete v tématu Ochrana relací Dataverse pomocí vazby souborů cookie PROTOKOLU IP. |
Nová přihlašovací aktivita. Zdroje dat: – Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse – Hromadné načítání uživatelů mimo normální aktivitu | Identifikuje uživatele, kteří z Dataverse načítají mnohem více záznamů, než mají za poslední dva týdny. | Uživatel načte mnoho záznamů z Dataverse a včetně prahové hodnoty definované KQL. Zdroje dat: – Dataverse DataverseActivity |
Exfiltrace |
Pravidla Power Apps
| Název pravidla | Popis | Zdrojová akce | Taktika |
|---|---|---|---|
| Power Apps – Aktivita aplikace z neautorizované geografické oblasti | Identifikuje aktivitu Power Apps z geografických oblastí v předdefinovaném seznamu neautorizovaných geografických oblastí. Tato detekce získá seznam kódů zemí ISO 3166-1 alfa-2 z ISO Online Browsing Platform (OBP). Tato detekce používá protokoly ingestované z ID Microsoft Entra a vyžaduje, abyste povolili také datový konektor Microsoft Entra ID. |
Spuštění aktivity v Power Appu z geografické oblasti, která je na seznamu kódů neautorizovaných zemí Zdroje dat: – Aktivita správce Microsoft Power Platform (Preview) PowerPlatformAdminActivity– Microsoft Entra ID SigninLogs |
Počáteční přístup |
| Power Apps – Odstraněno více aplikací | Identifikuje hromadnou aktivitu odstranění, ve které se odstraní více aplikací, které odpovídají předdefinované prahové hodnotě celkového počtu odstraněných aplikací nebo událostí odstraněných aplikací napříč několika prostředími Power Platform. | Odstraňte mnoho Power Apps z Centra pro správu Power Platform. Zdroje dat: – Aktivita správce Microsoft Power Platform (Preview) PowerPlatformAdminActivity |
Dopad |
| Power Apps – Zničení dat po publikování nové aplikace | Identifikuje řetěz událostí při vytvoření nebo publikování nové aplikace a následuje do 1 hodiny hromadnou aktualizací nebo odstraněním události v Dataverse. | Během 1 hodiny od vytvoření nebo publikování aplikace Power Apps odstraňte v Power Apps mnoho záznamů. Pokud je vydavatel aplikace v seznamu uživatelů v šabloně seznamu ke zhlédnutí TerminatedEmployees , je vyvolána závažnost incidentu. Zdroje dat: – Aktivita správce Microsoft Power Platform (Preview) PowerPlatformAdminActivity– Microsoft Dataverse (Preview) DataverseActivity |
Dopad |
| Power Apps – Více uživatelů, kteří po spuštění nové aplikace přistupují ke škodlivému odkazu | Identifikuje řetěz událostí při vytvoření nové aplikace Power App a následuje za ním tyto události: – Aplikaci spustí více uživatelů v okně detekce. – Více uživatelů otevře stejnou škodlivou adresu URL. Tato detekce křížová korelace protokolů spuštění Power Apps s událostmi výběru škodlivé adresy URL z některého z následujících zdrojů: – Datový konektor Microsoft 365 Defender nebo – Indikátory škodlivých adres URL pro ohrožení zabezpečení (IOC) v analýze hrozeb Microsoft Sentinelu s analyzátorem normalizace webové relace Advanced Security Information Model (ASIM). Tato detekce získá jedinečný počet uživatelů, kteří spustí nebo vyberou škodlivý odkaz vytvořením dotazu. |
Několik uživatelů spustí novou aplikaci PowerApp a otevře známou škodlivou adresu URL z aplikace. Zdroje dat: – Aktivita správce Microsoft Power Platform (Preview) PowerPlatformAdminActivity– Analýza hrozeb ThreatIntelligenceIndicator– Microsoft Defender XDR UrlClickEvents |
Počáteční přístup |
| Power Apps – Hromadné sdílení Power Apps s nově vytvořenými uživateli typu host | Identifikuje neobvyklé hromadné sdílení Power Apps s nově vytvořenými uživateli typu host Microsoft Entra. Neobvyklé hromadné sdílení vychází z předdefinované prahové hodnoty v dotazu. | Sdílejte aplikaci s více externími uživateli. Zdroje dat: – Aktivita správce Microsoft Power Platform (Preview) PowerPlatformAdminActivity– Microsoft Entra IDAuditLogs |
Vývoj prostředků, Počáteční přístup, Laterální pohyb |
Pravidla Power Automate
| Název pravidla | Popis | Zdrojová akce | Taktika |
|---|---|---|---|
| Power Automate – Aktivita toku odcházejícího zaměstnance | Identifikuje instance, ve kterých zaměstnanec, který byl upozorněn nebo je již ukončen, a je na seznamu ke zhlédnutí ukončených zaměstnanců , vytvoří nebo upraví tok Power Automate. | Uživatel definovaný v seznamu ke zhlédnutí TerminatedEmployees vytvoří nebo aktualizuje tok Power Automate. Zdroje dat: Microsoft Power Automate (Preview) PowerAutomateActivitySeznam ke zhlédnutí ukončených úkolů |
Exfiltrace, dopad |
| Power Automate – Neobvyklé hromadné odstranění prostředků toku | Identifikuje hromadné odstranění toků Power Automate, které překračují předdefinovanou prahovou hodnotu definovanou v dotazu, a odchyluje se od vzorů aktivit pozorovaných za posledních 14 dnů. | Hromadné odstranění toků Power Automate Zdroje dat: - PowerAutomate PowerAutomateActivity |
Dopad Obrana před únikem |
Pravidla Power Platform
| Název pravidla | Popis | Zdrojová akce | Taktika |
|---|---|---|---|
| Power Platform – Konektor přidaný do citlivého prostředí | Identifikuje vytváření nových konektorů rozhraní API v Rámci Power Platform, konkrétně zaměřeného na předdefinovaný seznam citlivých prostředí. | Přidejte nový konektor Power Platform v citlivém prostředí Power Platform. Zdroje dat: – Aktivita správce Microsoft Power Platform (Preview) PowerPlatformAdminActivity |
Spuštění, exfiltrace |
| Power Platform – Aktualizované nebo odebrané zásady ochrany před únikem informací | Identifikuje změny zásad ochrany před únikem informací, konkrétně zásady, které se aktualizují nebo odeberou. | Aktualizace nebo odebrání zásad ochrany před únikem informací v Power Platform v prostředí Power Platform Zdroje dat: Aktivita správy platformy Microsoft Power Platform (Preview) PowerPlatformAdminActivity |
Obrana před únikem |
| Power Platform – Potenciálně ohrožený přístup uživatelů ke službám Power Platform | Identifikuje uživatelské účty označené rizikem v Microsoft Entra ID Protection a koreluje tyto uživatele s přihlašovací aktivitou v Power Platform, včetně Power Apps, Power Automate a Centra pro správu Power Platform. | Uživatel s rizikovými signály přistupuje k portálům Power Platform. Zdroje dat: – Microsoft Entra ID SigninLogs |
Počáteční přístup, laterální pohyb |
| Power Platform – Účet přidaný do privilegovaných rolí Microsoft Entra | Identifikuje změny následujících rolí privilegovaných adresářů, které mají vliv na Power Platform: – Správci Dynamics 365 – Správci Power Platform – Správci prostředků infrastruktury |
Zdroje dat: AzureActiveDirectory AuditLogs |
PrivilegeEscalation |
Proaktivní dotazy
Řešení zahrnuje dotazy proaktivního vyhledávání, které můžou analytici použít k proaktivnímu vyhledávání škodlivých nebo podezřelých aktivit v prostředích Dynamics 365 a Power Platform.
| Název pravidla | Popis | Zdroj dat | Taktika |
|---|---|---|---|
| Dataverse – aktivita po upozorněních Microsoft Entra | Tento dotaz proaktivního vyhledávání vyhledá uživatele, kteří provádějí aktivitu Dataverse nebo Dynamics 365 krátce po upozornění microsoft Entra ID Protection pro tohoto uživatele. Dotaz hledá pouze uživatele, kteří předtím neviděli nebo neprovádí aktivitu Dynamics, která nebyla dříve zobrazena. |
– Dataverse DataverseActivity– AzureActiveDirectoryIdentityProtection SecurityAlert |
InitialAccess |
| Dataverse – aktivita po neúspěšných přihlášeních | Tento dotaz proaktivního vyhledávání hledá uživatele provádějící aktivity Dataverse nebo Dynamics 365 krátce po mnoha neúspěšných přihlášeních. Tento dotaz použijte k vyhledávání potenciální aktivity útoku hrubou silou. Upravte prahovou hodnotu na základě falešně pozitivní míry. |
– DataverseDataverseActivity– AzureActiveDirectory SigninLogs |
InitialAccess |
| Dataverse – aktivita exportu dat mezi prostředími | Vyhledá aktivitu exportu dat napříč předem určeným počtem instancí Dataverse. Aktivita exportu dat napříč několika prostředími může znamenat podezřelou aktivitu, protože uživatelé obvykle pracují jenom v několika prostředích. |
– DataverseDataverseActivity |
Exfiltrace, kolekce |
| Dataverse – export Dataverse zkopírovaný do zařízení USB | Používá data z XDR v programu Microsoft Defender k detekci souborů stažených z instance Dataverse a zkopírování na jednotku USB. | – DataverseDataverseActivity– MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Exfiltrace |
| Dataverse – Obecná klientská aplikace používaná pro přístup k produkčním prostředím | Zjistí použití integrované ukázkové aplikace Dynamics 365 pro přístup k produkčním prostředím. Tato obecná aplikace nemůže být omezena autorizačními ovládacími prvky Microsoft Entra ID a může být zneužita k získání neoprávněného přístupu prostřednictvím webového rozhraní API. |
– DataverseDataverseActivity– AzureActiveDirectory SigninLogs |
Provádění |
| Dataverse – Aktivita správy identit mimo členství v privilegovaných rolích adresáře | Detekuje události správy identit v Dataverse nebo Dynamics 365 vytvořené účty, které nejsou členy následujících privilegovaných rolí adresáře: Dynamics 365 Admins, Power Platform Admins nebo Global Admins. | – DataverseDataverseActivity- UEBA IdentityInfo |
PrivilegeEscalation |
| Dataverse – Změny správy identit bez vícefaktorového ověřování | Používá se k zobrazení operací správy privilegovaných identit v Dataverse vytvořených účty, které se přihlásily bez použití vícefaktorového ověřování. | – DataverseDataverseActivity– AzureActiveDirectory SigninLogs, DataverseActivity |
InitialAccess |
| Power Apps – Neobvyklé hromadné sdílení Power Appu s nově vytvořenými uživateli typu host | Dotaz detekuje neobvyklé pokusy o hromadné sdílení aplikace Power App s nově vytvořenými uživateli typu host. | Zdroje dat: PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess, LateralMovement, ResourceDevelopment |
Playbooky
Toto řešení obsahuje playbooky, které je možné použít k automatizaci reakce zabezpečení na incidenty a výstrahy v Microsoft Sentinelu.
| Název playbooku | Popis |
|---|---|
| Pracovní postup zabezpečení: Ověření výstrah u vlastníků úloh | Tento playbook může snížit zatížení SOC tím, že přesměruje ověření upozornění správcům IT na konkrétní analytická pravidla. Aktivuje se, když se vygeneruje upozornění služby Microsoft Sentinel, vytvoří v kanálu Microsoft Teams vlastníka úlohy zprávu (a přidružený e-mail s oznámením), která obsahuje podrobnosti o upozornění. Pokud vlastník úlohy odpoví, že aktivita není oprávněná, výstraha se převede na incident v Microsoft Sentinelu, aby soC zpracovával. |
| Dataverse: Odeslání oznámení správci | Tento playbook se dá aktivovat při vyvolání incidentu Microsoft Sentinelu a automaticky odešle e-mailové oznámení správci ovlivněných entit uživatelů. Playbook je možné nakonfigurovat tak, aby odesílal manažera Dynamics 365 nebo pomocí správce v Office 365. |
| Dataverse: Přidání uživatele do seznamu blokovaných položek (trigger incidentu) | Tento playbook se dá aktivovat při vyvolání incidentu Microsoft Sentinelu a automaticky přidá ovlivněné entity uživatelů do předem definované skupiny Microsoft Entra, což má za následek blokovaný přístup. Skupina Microsoft Entra se používá s podmíněným přístupem k blokování přihlášení k Dataverse. |
| Dataverse: Přidání uživatele do seznamu blokovaných pomocí pracovního postupu schválení Outlooku | Tento playbook se dá aktivovat při vyvolání incidentu Microsoft Sentinelu a automaticky přidá ovlivněné entity uživatelů do předem definované skupiny Microsoft Entra pomocí pracovního postupu schválení založeného na Outlooku, což vede k zablokování přístupu. Skupina Microsoft Entra se používá s podmíněným přístupem k blokování přihlášení k Dataverse. |
| Dataverse: Přidání uživatele do seznamu blokovaných pomocí pracovního postupu schválení Teams | Tento playbook se dá aktivovat při vyvolání incidentu Microsoft Sentinelu a automaticky přidá ovlivněné entity uživatelů do předem definované skupiny Microsoft Entra pomocí pracovního postupu schválení adaptivní karty Teams, což vede k zablokování přístupu. Skupina Microsoft Entra se používá s podmíněným přístupem k blokování přihlášení k Dataverse. |
| Dataverse: Přidání uživatele do seznamu blokovaných položek (trigger upozornění) | Tento playbook se dá aktivovat na vyžádání při vyvolání výstrahy služby Microsoft Sentinel, což analytiku umožní přidat do předem definované skupiny Microsoft Entra ovlivněné entity uživatelů, což vede k zablokování přístupu. Skupina Microsoft Entra se používá s podmíněným přístupem k blokování přihlášení k Dataverse. |
| Dataverse: Odebrání uživatele ze seznamu blokovaných položek | Tento playbook se dá aktivovat na vyžádání při vyvolání výstrahy služby Microsoft Sentinel, což analytiku umožňuje odebrat ovlivněné entity uživatelů z předem definované skupiny Microsoft Entra, která se používá k blokování přístupu. Skupina Microsoft Entra se používá s podmíněným přístupem k blokování přihlášení k Dataverse. |
| Dataverse: Přidání sharepointových webů do seznamu ke zhlédnutí | Tento playbook slouží k přidání nových nebo aktualizovaných webů správy dokumentů SharePointu do seznamu ke zhlédnutí konfigurace. V kombinaci s naplánovaným analytickým pravidlem monitorováním protokolu aktivit Dataverse se tento playbook aktivuje při přidání nového mapování webu správy dokumentů SharePointu. Web se přidá do seznamu ke zhlédnutí, aby se rozšířilo pokrytí monitorování. |
Workbooks
Sešity Microsoft Sentinelu jsou přizpůsobitelné interaktivní řídicí panely v rámci Microsoft Sentinelu, které usnadňují efektivní vizualizaci, analýzu a šetření dat zabezpečení analytiků. Toto řešení zahrnuje sešit Aktivity Dynamics 365, který představuje vizuální znázornění aktivity v Microsoft Dynamics 365 Customer Engagement / Dataverse, včetně statistik načítání záznamů a grafu anomálií.
Seznamy ke zhlédnutí
Toto řešení zahrnuje seznam ke zhlédnutí MSBizApps-Configuration a vyžaduje, aby uživatelé vytvořili další seznamy ke zhlédnutí na základě následujících šablon seznamu ke zhlédnutí:
- VipUsers
- NetworkAddresses
- TerminatedEmployees
Další informace najdete v tématu Seznamy ke zhlédnutí v Microsoft Sentinelu a vytváření seznamů ke zhlédnutí.
Předdefinované analyzátory
Řešení obsahuje analyzátory, které se používají pro přístup k datům z nezpracovaných tabulek dat. Analyzátory zajišťují, aby byla vrácena správná data s konzistentním schématem. Doporučujeme používat analyzátory místo přímého dotazování na seznamy ke zhlédnutí.
| Syntaktický analyzátor | Vrácená data | Dotazovaná tabulka |
|---|---|---|
| MSBizAppsOrgSettings | Seznam dostupných nastavení pro celou organizaci dostupných v Dynamics 365 Customer Engagement / Dataverse | Není k dispozici |
| MSBizAppsVIPUsers | Analyzátor pro seznam ke zhlédnutí VIPUsers | VIPUsers ze šablony seznamu ke zhlédnutí |
| MSBizAppsNetworkAddresses | Analyzátor pro seznam ke zhlédnutí NetworkAddresses | NetworkAddresses ze šablony seznamu ke zhlédnutí |
| MSBizAppsTerminatedEmployees | Analyzátor pro seznam ke zhlédnutí TerminatedEmployees | TerminatedEmployees ze šablony seznamu ke zhlédnutí |
| Weby DataverseSharePointSites | Sharepointové weby používané ve správě dokumentů služby Dataverse | MSBizApps-Configuration seznam ke zhlédnutí filtrovaný podle kategorie SharePoint |