Referenz zu Sicherheitsinhalten für Microsoft Power Platform und Microsoft Dynamics 365 Customer Engagement
In diesem Artikel werden die sicherheitsbezogenen Inhalte für die Microsoft Sentinel-Lösung für Power Platform detailliert beschrieben. Weitere Informationen zu dieser Lösung finden Sie unter Übersicht über die Microsoft Sentinel-Lösung für Microsoft Power Platform und Microsoft Dynamics 365 Customer Engagement.
Wichtig
- Die Microsoft Sentinel-Lösung für Power Platform befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
- Die Lösung ist ein Premium-Angebot. Preisinformationen werden zur Verfügung gestellt, bevor die Lösung allgemein verfügbar wird.
- Geben Sie Feedback zu dieser Lösung, indem Sie diese Umfrage beantworten: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Integrierte Analyseregeln
Die folgenden Analyseregeln sind enthalten, wenn Sie die Lösung für Power Platform installieren. Die aufgeführten Datenquellen enthalten den Namen und die Tabelle des Datenconnectors in Log Analytics.
Dataverse-Regeln
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| Dataverse – Anomale Anwendungsbenutzeraktivität | Identifiziert Anomalien in Aktivitätsmustern von Dataverse-Anwendungsbenutzer*innen (nicht interaktiv), basierend auf Aktivitäten, die außerhalb des normalen Verwendungsmusters fallen. | Ungewöhnliche S2S-Benutzeraktivitäten in Dynamics 365 / Dataverse. Datenquellen: - Dataverse DataverseActivity |
CredentialAccess, Ausführung, Persistenz |
| Dataverse – Löschen von Überwachungsprotokolldaten | Identifiziert Löschaktivität von Überwachungsprotokolldaten in Dataverse. | Löschen von Dataverse-Überwachungsprotokollen. Datenquellen: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse – Überwachungsprotokollierung deaktiviert | Identifiziert eine Änderung der Systemüberwachungskonfiguration, bei der die Überwachungsprotokollierung deaktiviert ist. | Die Überwachung auf Gobal- oder Entitätsebene ist deaktiviert. Datenquellen: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse – Erneute Zuweisung oder Freigabe von Massendatensatzbesitz | Identifiziert Änderungen des Besitzes einzelner Datensätze, einschließlich: – Aufzeichnen der Freigabe für andere Benutzer*innen/Teams – Besitzzuweisungen, die einen vordefinierten Schwellenwert überschreiten. |
Viele Datensatzbesitz- und Datensatzfreigabeereignisse wurden im Erkennungsfenster generiert. Datenquellen: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse – Ausführbare Datei hochgeladen auf die SharePoint-Dokumentenverwaltungswebsite | Identifiziert ausführbare Dateien und Skripts, die auf SharePoint-Websites hochgeladen werden, die für die Dynamics-Dokumentenverwaltung verwendet werden, und um native Dateierweiterungseinschränkungen in Dataverse zu umgehen. | Hochladen von ausführbaren Dateien in der Dataverse-Dokumentenverwaltung. Datenquellen: – Office365 OfficeActivity (SharePoint) |
Ausführung, Persistenz |
| Dataverse – Exportaktivität von entlassenen oder ausscheidende Mitarbeitenden | Identifiziert Dataverse-Exportaktivität, die durch entlassene Mitarbeitende oder Mitarbeitende, die kurz davor sind das Unternehmen zu verlassen, ausgelöst wurde. | Datenexportereignisse, die Benutzer*innen in der Watchlist-Vorlage TerminatedEmployees zugeordnet sind. Datenquellen: - Dataverse DataverseActivity |
Exfiltration |
| Dataverse – Exfiltration von Gastbenutzern nach Beeinträchtigung des Power Platform-Schutzes | Identifiziert eine Folge von Ereignissen, die mit dem Deaktivieren der Power Platform-Mandantenisolierung und dem Entfernen der Zugriffssicherheitsgruppe einer Umgebung beginnt. Diese Ereignisse werden mit Dataverse-Exfiltrationswarnungen im Zusammenhang mit der betroffenen Umgebung und kürzlich erstellten Microsoft Entra-Gastbenutzern korreliert. Aktivieren Sie andere Dataverse-Analyseregeln mit der MITRE-Taktik Exfiltration, bevor Sie diese Regel aktivieren. |
Als kürzlich erstellter Gastbenutzer lösen Sie Dataverse-Exfiltrationswarnungen aus, nachdem die Power Platform-Sicherheitskontrollen deaktiviert wurden. Datenquellen: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity |
Umgehen von Verteidigungsmaßnahmen |
| Dataverse – Hierarchiesicherheitsmanipulation | Identifiziert verdächtige Verhaltensweisen in Hierarchiesicherheit. | Änderungen an Sicherheitseigenschaften, einschließlich: – Hierarchiesicherheit deaktiviert. – Benutzer*in weist sich selbst als Manager*in zu. - Benutzer*in weist sich selbst einer überwachten Position zu (in KQL festgelegt). Datenquellen: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse – Honeypot-Instanzaktivität | Identifiziert Aktivitäten in einer vordefinierten Honeypot-Dataverse-Instanz. Benachrichtigt entweder, wenn eine Anmeldung beim Honeypot erkannt wird oder wenn auf überwachte Dataverse-Tabellen im Honeypot zugegriffen wird. |
Melden Sie sich in einer designierten Honeypot-Dataverse-Instanz in Power Platform mit aktivierter Überwachung an und greifen Sie auf Daten zu. Datenquellen: - Dataverse DataverseActivity |
Ermittlung, Exfiltration |
| Dataverse – Anmeldung durch vertrauliche privilegierte Benutzer*innen | Identifiziert Dataverse- und Dynamics 365-Anmeldungen durch vertrauliche Benutzer*innen. | Anmeldungen von Benutzer*innen, die auf der Watchlist VIPUsers basierend auf Kategorien hinzugefügt wurden, die in KQL festgelegt sind. Datenquellen: - Dataverse DataverseActivity |
InitialAccess, CredentialAccess, PrivilegeEscalation |
| Dataverse – Anmeldung von IP in der Sperrliste | Identifiziert Dataverse-Anmeldeaktivität von IPv4-Adressen, die sich auf einer vordefinierten Sperrliste befinden. | Anmeldungen von Benutzer*innen mit einer IP-Adresse, die Teil eines blockierten Netzwerkbereichs ist. Blockierte Netzwerkbereiche werden in der Watchlist-Vorlage NetworkAddresses verwaltet. Datenquellen: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse – Anmeldung von IP, die nicht in der Zulassungsliste ist | Identifiziert Anmeldungen von IPv4-Adressen, die nicht mit IPv4-Subnetzen übereinstimmen, die in einer Zulassungsliste verwaltet werden. | Anmeldungen von Benutzer*innen mit einer IP-Adresse, die nicht Teil eines zulässigen Netzwerkbereichs ist. Blockierte Netzwerkbereiche werden in der Watchlist-Vorlage NetworkAddresses verwaltet. Datenquellen: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse – Schadsoftware auf SharePoint-Dokumentenverwaltungswebsite gefunden | Identifiziert Schadsoftware, die über die Dynamics 365-Dokumentenverwaltung oder direkt in SharePoint hochgeladen wurde, was sich auf die zugeordneten SharePoint-Websites von Dataverse auswirkt. | Schädliche Datei auf SharePoint-Website, die mit Dataverse verknüpft ist. Datenquellen: - Dataverse DataverseActivity– Office365 OfficeActivity (SharePoint) |
Ausführung |
| Dataverse – Massenlöschung von Datensätzen | Identifiziert Vorgänge zum Löschen großer Datensätze basierend auf einem vordefinierten Schwellenwert. Erkennt auch geplante Massenlöschungsaufträge. |
Löschen von Datensätzen, die den in KQL definierten Schwellenwert überschreiten. Datenquellen: - Dataverse DataverseActivity |
Auswirkung |
| Dataverse – Massendownload aus der SharePoint-Dokumentenverwaltung | Identifiziert den Massendownload in der letzten Stunde von Dateien von SharePoint-Websites, die für die Dokumentenverwaltung in Dynamics 365 konfiguriert sind. | Massendownload, der den in KQL definierten Schwellenwert überschreiten. Diese Analyseregel verwendet die Watchlist MSBizApps-Configuration, um SharePoint-Websites zu identifizieren, die für die Dokumentenverwaltung verwendet werden. Datenquellen: – Office365 OfficeActivity (SharePoint) |
Exfiltration |
| Dataverse – Massenexport von Datensätzen nach Excel | Identifiziert Benutzer*innen, die eine große Anzahl von Datensätzen aus Dynamics 365 nach Excel exportieren, wobei die Anzahl der exportierten Datensätze wesentlich mehr als alle anderen letzten Aktivitäten dieser Benutzer*innen ist. Große Exporte von Benutzern ohne aktuelle Aktivitäten werden mithilfe eines vordefinierten Schwellenwerts identifiziert. |
Exportieren Sie viele Datensätze aus Dataverse nach Excel. Datenquellen: - Dataverse DataverseActivity |
Exfiltration |
| Dataverse – Massendatensatzupdates | Erkennt Änderungen von Massendatensatzupdates in Dataverse und Dynamics 365, die einen vordefinierten Schwellenwert überschreiten. | Das Massenupdate von Datensätzen überschreitet den in KQL definierten Schwellenwert. Datenquellen: - Dataverse DataverseActivity |
Auswirkung |
| Dataverse – Neuer Aktivitätstyp für Dataverse-Anwendungsbenutzer*innen | Identifiziert neue oder zuvor nicht angezeigte Aktivitätstypen, die einer Dataverse-Anwendung (nicht interaktiv) zugeordnet sind. | Neue S2S-Benutzeraktivitätstypen. Datenquellen: - Dataverse DataverseActivity |
CredentialAccess, Ausführung, PrivilegeEscalation |
| Dataverse – Neue nicht interaktive Identität, der Zugriff gewährt wurde | Identifiziert Zugriffsautorisierungen auf API-Ebene, entweder über die delegierten Berechtigungen einer Microsoft Entra-Anwendung oder durch direkte Zuweisung innerhalb von Dataverse als Anwendungsbenutzer*in. | Dataverse-Berechtigungen, die nicht interaktiven Benutzer*innen hinzugefügt wurden. Datenquellen: - Dataverse DataverseActivity,– AzureActiveDirectory AuditLogs |
Persistenz, LateralMovement, PrivilegeEscalation |
| Dataverse – Neue Anmeldung aus einer nicht autorisierten Domäne | Identifiziert Dataverse-Anmeldeaktivitäten, die von Benutzer*innen mit UPN-Suffixen stammen, die in den letzten 14 Tagen noch nicht angezeigt wurden und nicht in einer vordefinierten Liste autorisierter Domänen vorhanden sind. Allgemeine interne Power Platform-Systembenutzer*innen werden standardmäßig ausgeschlossen. |
Anmeldungen externer Benutzer*innen von einem nicht autorisierten Domänensuffix. Datenquellen: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse – Neuer Benutzer-Agent-Typ, der noch nicht verwendet wurde | Identifiziert Benutzer*innen, die auf Dataverse von einem Benutzer-Agent zugreifen, der in den letzten 14 Tagen in keiner Dataverse-Instanz angezeigt wurde. | Aktivität in Dataverse von einem neuen Benutzer-Agent. Datenquellen: - Dataverse DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse – Neuer Benutzer-Agent-Typ, der nicht mit Office 365 verwendet wurde | Identifiziert Benutzer*innen, die auf Dynamics mit einem Benutzer-Agent zugreifen, der in den letzten 14 Tagen in keinem Office 365-Workload angezeigt wurde. | Aktivität in Dataverse von einem neuen Benutzer-Agent. Datenquellen: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse – Geänderte Organisationseinstellungen | Identifiziert Änderungen, die auf Organisationsebene in der Dataverse-Umgebung vorgenommen wurden. | Eigenschaft auf Organisationsebene in Dataverse geändert. Datenquellen: - Dataverse DataverseActivity |
Persistenz |
| Dataverse – Entfernen blockierter Dateierweiterungen | Identifiziert Änderungen an den blockierten Dateierweiterungen einer Umgebung und extrahiert die entfernte Erweiterung. | Entfernen von blockierten Dateierweiterungen in Dataverse-Eigenschaften. Datenquellen: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse – SharePoint-Dokumentenverwaltungswebsite hinzugefügt oder aktualisiert | Identifiziert Änderungen der SharePoint-Dokumentenverwaltungsintegration. Die Dokumentenverwaltung ermöglicht die Speicherung von Daten, die sich extern auf Dataverse befinden. Kombinieren Sie diese Analyseregel mit dem Playbook Dataverse: Hinzufügen von SharePoint-Websites zu Watchlist, um die Watchlist Dataverse-SharePointSites automatisch zu aktualisieren. Diese Watchlist kann verwendet werden, um Ereignisse zwischen Dataverse und SharePoint bei Verwendung des Office 365-Datenconnectors zu korrelieren. |
SharePoint-Websitezuordnung, die in der Dokumentenverwaltung hinzugefügt wurde. Datenquellen: - Dataverse DataverseActivity |
Exfiltration |
| Dataverse – Verdächtige Sicherheitsrollenänderungen | Identifiziert ein ungewöhnliches Ereignismuster, bei dem eine neue Rolle erstellt wird und von Ersteller*in Mitglieder zur Rolle hinzufügt werden, nur um später das Mitglied wieder zu entfernen oder die Rolle nach einem kurzen Zeitraum zu löschen. | Änderungen an Sicherheitsrollen und Rollenzuweisungen. Datenquellen: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse – Verdächtige Verwendung des TDS-Endpunkts | Identifiziert protokollbasierte Dataverse-TDS-(Tabular Data Stream-)Abfragen, in denen die Quellbenutzer*innen oder IP-Adressen kürzlich Sicherheitswarnungen erhalten hatten und das TDS-Protokoll zuvor nicht in der Zielumgebung verwendet worden war. | Plötzliche Verwendung des TDS-Endpunkts in Korrelation mit Sicherheitswarnungen. Datenquellen: - Dataverse DataverseActivity– AzureActiveDirectoryIdentityProtection SecurityAlert |
Exfiltration, InitialAccess |
| Dataverse – Verdächtige Verwendung der Web-API | Identifiziert Anmeldungen in mehreren Dataverse-Umgebungen, die einen vordefinierten Schwellenwert verletzen und von Benutzer*innen mit einer IP-Adresse stammen, die zum Anmelden bei einer bekannten Microsoft Entra-App-Registrierung verwendet wurde. | Anmeldungen mithilfe der WebAPI über mehrere Umgebungen hinweg mit einer bekannten öffentlichen Anwendungs-ID. Datenquellen: - Dataverse DataverseActivity– AzureActiveDirectory SigninLogs |
Ausführung, Exfiltration, Aufklärung, Ermittlung |
| Dataverse – TI-Zuordnung von IP zu DataverseActivity | Identifiziert eine Übereinstimmung in DataverseActivity von jedem IP-IOC von Microsoft Sentinel Threat Intelligence. | Dataverse-Aktivität mit IOC, der mit IP übereinstimmt. Datenquellen: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, LateralMovement, Ermittlung |
| Dataverse – TI-Zuordnung von URL zu DataverseActivity | Identifiziert eine Übereinstimmung in DataverseActivity von jedem URL-IOC von Microsoft Sentinel Threat Intelligence. | Dataverse-Aktivität mit IOC, der mit URL übereinstimmt. Datenquellen: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, Ausführung, Persistenz |
| Dataverse – Exfiltration von entlassenen Mitarbeitenden über E-Mails | Identifiziert Dataverse-Exfiltration per E-Mail durch entlassene Mitarbeitende. | E-Mails, die nach Sicherheitswarnungen, die mit Benutzer*innen in der Watchlist TerminatedEmployees korrelieren, an nicht vertrauenswürdige Empfangsdomänen gesendet wurden. Datenquellen: MicrosoftThreatProtection EmailEventsIdentityInfo– AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
Exfiltration |
| Dataverse – Exfiltration von entlassenen Mitarbeitenden an USB-Laufwerk | Identifiziert Dateien, die von ausscheidenden oder entlassenen Mitarbeitenden von Dataverse heruntergeladen und auf USB-eingebundene Laufwerke kopiert wurden. | Dateien, die von Dataverse stammen und von Benutzer*innen auf der Watchlist TerminatedEmployees auf USB kopiert wurden. Datenquellen: - Dataverse DataverseActivity– MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Exfiltration |
| Dataverse – Ungewöhnliche Anmeldung nach deaktiviertem IP-adressbasierten Cookie-Bindungsschutz | Identifiziert zuvor nicht angezeigte IP- und Benutzer-Agents in einer Dataverse-Instanz nach der Deaktivierung des Cookie-Bindungsschutzes. Weitere Informationen finden Sie unter Schützen von Dataverse-Sitzungen mit IP-Cookiebindung. |
Neue Anmeldeaktivität. Datenquellen: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse – Massenabruf von Benutzern außerhalb normaler Aktivitäten | Identifiziert Benutzer*innen, die erheblich mehr Datensätze aus Dataverse abrufen als in den letzten zwei Wochen. | Benutzer*innen rufen viele Datensätze aus Dataverse ab, einschließlich der KQL-definierten Schwellenwerte. Datenquellen: - Dataverse DataverseActivity |
Exfiltration |
Power Apps-Regeln
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| Power Apps – App-Aktivität von nicht autorisiertem geografischem Standort | Identifiziert Power Apps-Aktivitäten aus geografischen Regionen in einer vordefinierten Liste nicht autorisierter geografischer Regionen. Diese Erkennung ruft die Liste der ISO-3166-1-Alpha-2-Landesvorwahlen der ISO Online Browsing Platform (OBP) ab. Diese Erkennung verwendet Protokolle von Microsoft Entra ID und erfordert, dass Sie auch den Microsoft Entra ID-Datenconnector aktivieren. |
Führen Sie eine Aktivität in einer Power App aus einer geografischen Region aus, die sich in der Liste der nicht autorisierten Landesvorwahlen befindet. Datenquellen: - Microsoft Power Platform-Administratoraktivität (Vorschau) PowerPlatformAdminActivity– Microsoft Entra ID SigninLogs |
Erstzugriff |
| Power Apps – Mehrere Apps gelöscht | Identifiziert Massenlöschaktivitäten, bei denen mehrere Power Apps gelöscht werden, die einem vordefinierten Schwellenwert für insgesamt gelöschte Apps oder für von Apps gelöschte Ereignisse in mehreren Power Platform-Umgebungen entsprechen. | Löschen Sie viele Power Apps aus dem Power Platform Admin Center. Datenquellen: - Microsoft Power Platform-Administratoraktivität (Vorschau) PowerPlatformAdminActivity |
Auswirkung |
| Power Apps – Datenvernichtung nach der Veröffentlichung einer neuen App | Identifiziert eine Kette von Ereignissen, wenn eine neue App erstellt oder veröffentlicht wird und wenn innerhalb von einer Stunde ein Massenupdate- oder -löschereignis in Dataverse folgt. | Löschen Sie viele Datensätzen in Power Apps innerhalb von 1 Stunde nach der Erstellung oder Veröffentlichung von Power Apps. Wenn sich der App-Herausgeber in der Liste der Benutzer in der Watchlist-Vorlage TerminatedEmployees befindet, wird der Schweregrad des Vorfalls ausgelöst. Datenquellen: - Microsoft Power Platform-Administratoraktivität (Vorschau) PowerPlatformAdminActivity- Microsoft Dataverse (Vorschau) DataverseActivity |
Auswirkung |
| Power Apps – Mehrere Benutzer*innen greifen nach dem Starten einer neuen App auf einen schädlichen Link zu | Identifiziert eine Kette von Ereignissen, wenn eine neue Power App erstellt wird und diese Ereignisse folgen: - Mehrere Benutzer starten die App im Erkennungsfenster. - Mehrere Benutzer öffnen dieselbe schädliche URL. Diese Erkennung korreliert Power Apps-Ausführungsprotokolle übergreifend mit Auswahlereignissen schädlicher URLs von einer der folgenden Quellen: - Microsoft 365 Defender-Datenconnector oder - Kompromittierungsindikatoren für schädliche URLs in Microsoft Sentinel Threat Intelligence mit dem Normalisierungsparser für ASIM-Websitzungen (Advanced Security Information Model). Diese Erkennung ruft die unterschiedliche Anzahl von Benutzer*innen ab, die den schädlichen Link starten oder auswählen, indem eine Abfrage erstellt wird. |
Mehrere Benutzer starten eine neue PowerApp und öffnen eine bekannte schädliche URL in der App. Datenquellen: - Microsoft Power Platform-Administratoraktivität (Vorschau) PowerPlatformAdminActivity- Threat Intelligence ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
Erstzugriff |
| Power Apps – Massenfreigabe von Power Apps für neu erstellte Gastbenutzer | Identifiziert ungewöhnliche Massenfreigaben von Power Apps für neu erstellte Microsoft Entra-Gastbenutzer. Ungewöhnliche Massenfreigabe basiert auf einem vordefinierten Schwellenwert in der Abfrage. | Geben Sie eine App für mehrere externe Benutzer frei. Datenquellen: - Microsoft Power Platform-Administratoraktivität (Vorschau) PowerPlatformAdminActivity– Microsoft Entra IDAuditLogs |
Ressourcenentwicklung, Erstzugriff, Laterale Bewegung |
Power Automate-Regeln
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| Power Automate – Flow-Aktivität ausscheidender Mitarbeitender | Identifiziert Instanzen, bei denen ein Mitarbeiter, der benachrichtigt oder bereits beendet wurde und sich in der Watchlist Ausgeschiedene Mitarbeiter befindet, einen Power Automate-Flow erstellt oder ändert. | Die in der Watchlist TerminatedEmployees definierten Benutzer*innen erstellen oder aktualisieren einen Power Automate-Flow. Datenquellen: Microsoft Power Automate (Vorschau) PowerAutomateActivityWatchlist TerminatedEmployees |
Exfiltration, Auswirkung |
| Power Automate – ungewöhnliche Massenlöschung von Flow-Ressourcen | Identifiziert das Massenlöschen von Power Automate-Flows, die einen vordefinierten Schwellenwert überschreiten, der in der Abfrage definiert ist, und die von Aktivitätsmustern abweichen, die in den letzten 14 Tagen beobachtet wurden. | Massenlöschung von Power Automate-Flows. Datenquellen: - PowerAutomate PowerAutomateActivity |
Auswirkung, Umgehen von Verteidigungsmaßnahmen |
Power Platform-Regeln
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| Power Platform – Connector zu einer vertraulichen Umgebung hinzugefügt | Identifiziert die Erstellung neuer API-Connectors in Power Platform, insbesondere für eine vordefinierte Liste vertraulicher Umgebungen. | Fügen Sie einen neuen Power Platform-Connector in einer vertraulichen Power Platform-Umgebung hinzu. Datenquellen: - Microsoft Power Platform-Administratoraktivität (Vorschau) PowerPlatformAdminActivity |
Ausführung, Exfiltration |
| Power Platform – DLP-Richtlinie aktualisiert oder entfernt | Identifiziert Änderungen an der Richtlinie zum Verhindern von Datenverlust, insbesondere Richtlinien, die aktualisiert oder entfernt werden. | Aktualisieren oder entfernen Sie eine Power Platform-Richtlinie zum Verhindern von Datenverlusten in der Power Platform-Umgebung. Datenquellen: Microsoft Power Platform Admin Activity (Vorschau) PowerPlatformAdminActivity |
Umgehen von Verteidigungsmaßnahmen |
| Power Platform – Möglicherweise kompromittierter Benutzer greift auf Power Platform-Dienste zu | Identifiziert Benutzerkonten, die in Microsoft Entra ID Protection als gefährdet gekennzeichnet sind, und korreliert diese Benutzer*innen mit Anmeldeaktivitäten in Power Platform, einschließlich Power Apps, Power Automate und Power Platform Admin Center. | Der Benutzer mit Risikosignalen greift auf Power Platform-Portale zu. Datenquellen: – Microsoft Entra ID SigninLogs |
Erstzugriff, Lateral Movement |
| Power Platform – Konto zu privilegierten Microsoft Entra-Rollen hinzugefügt | Identifiziert Änderungen an den folgenden privilegierten Verzeichnisrollen, die sich auf Power Platform auswirken: – Dynamics 365 Admins – Power Platform Admins – Fabric Admins |
Datenquellen: AzureActiveDirectory AuditLogs |
PrivilegeEscalation |
Hunting-Abfragen
Die Lösung umfasst Bedrohungssuchabfragen, die von Analyst*innen verwendet werden können, um schädliche oder verdächtige Aktivitäten in den Dynamics 365- und Power Platform-Umgebungen proaktiv zu suchen.
| Regelname | Beschreibung | Data source | Taktik |
|---|---|---|---|
| Dataverse – Aktivität nach Microsoft Entra-Warnungen | Diese Bedrohungssuchabfrage sucht nach Benutzer*innen, die kurz nach einer Microsoft Entra ID Protection-Warnung für diese Benutzer*innen Dataverse-/Dynamics 365-Aktivitäten durchführen. Die Abfrage sucht nur nach Benutzer*innen, die zuvor nicht angezeigt wurden, oder nach Dynamics-Aktivitäten, die zuvor nicht angezeigt wurden. |
- Dataverse DataverseActivity– AzureActiveDirectoryIdentityProtection SecurityAlert |
InitialAccess |
| Dataverse – Aktivität nach fehlgeschlagenen Anmeldungen | Diese Bedrohungssuchabfrage sucht nach Benutzer*innen, die kurz nach vielen fehlgeschlagenen Anmeldungen Dataverse-/Dynamics 365-Aktivitäten durchführen. Verwenden Sie diese Abfrage, um nach potenziellen Aktivitäten nach Brute-Force-Angriffen zu suchen. Passen Sie die Schwellenwertzahl basierend auf der Rate der False Positives an. |
- DataverseDataverseActivity– AzureActiveDirectory SigninLogs |
InitialAccess |
| Dataverse – Umgebungsübergreifende Datenexportaktivität | Sucht nach Datenexportaktivitäten in einer vordefinierten Anzahl von Dataverse-Instanzen. Datenexportaktivitäten können in mehreren Umgebungen auf verdächtige Aktivitäten hinweisen, da Benutzer*innen in der Regel nur in einigen Umgebungen arbeiten. |
- DataverseDataverseActivity |
Exfiltration, Sammlung |
| Dataverse – Dataverse-Export auf USB-Geräte kopiert | Verwendet Daten von Microsoft Defender XDR, um Dateien zu erkennen, die von einer Dataverse-Instanz heruntergeladen und auf ein USB-Laufwerk kopiert wurden. | - DataverseDataverseActivity– MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Exfiltration |
| Dataverse – Generische Client-App für den Zugriff auf Produktionsumgebungen | Erkennt die Verwendung der integrierten „Dynamics 365-Beispielanwendung“ für den Zugriff auf Produktionsumgebungen. Diese generische App kann nicht durch Microsoft Entra ID-Autorisierungssteuerelemente eingeschränkt werden und kann missbraucht werden, um nicht autorisierten Zugriff über die Web-API zu erhalten. |
- DataverseDataverseActivity– AzureActiveDirectory SigninLogs |
Ausführung |
| Dataverse – Identitätsverwaltungsaktivitäten außerhalb der Mitgliedschaft privilegierter Verzeichnisrollen | Erkennt Identitätsverwaltungsereignisse in Dataverse/Dynamics 365 von Konten, die keine Mitglieder der folgenden privilegierten Verzeichnisrollen sind: Dynamics 365-Admins, Power Platform-Admins oder globale Admins | - DataverseDataverseActivity– UEBA IdentityInfo |
PrivilegeEscalation |
| Dataverse – Identitätsverwaltungsänderungen ohne MFA | Wird verwendet, um privilegierte Identitätsadministrationsvorgänge in Dataverse von Konten anzuzeigen, die ohne MFA angemeldet sind. | - DataverseDataverseActivity– AzureActiveDirectory SigninLogs, DataverseActivity |
InitialAccess |
| Power Apps – Anomale Massenfreigabe von Power Apps für neu erstellte Gastbenutzer*innen | Die Abfrage erkennt anomale Versuche, Massenfreigabe einer Power App für neu erstellte Gastbenutzer*innen durchzuführen. | Datenquellen: PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess, LateralMovement, ResourceDevelopment |
Playbooks
Diese Lösung enthält Playbooks, die verwendet werden können, um die Sicherheitsreaktion auf Vorfälle und Warnungen in Microsoft Sentinel zu automatisieren.
| Playbook-Name | Beschreibung |
|---|---|
| Sicherheitsworkflow: Warnungsüberprüfung mit Workloadbesitzer*innen | Dieses Playbook kann die Belastung des SOC verringern, indem die Warnungsüberprüfung für bestimmte Analyseregeln an IT-Administrator*innen abgeladen wird. Es wird ausgelöst, wenn eine Microsoft Sentinel-Warnung generiert wird, und erstellt eine Nachricht (und zugehörige Benachrichtigungs-E-Mail) im Microsoft Teams-Kanal der Workloadbesitzer*innen, die Details der Warnung enthält. Wenn Workloadbesitzer*innen antworten, dass die Aktivität nicht autorisiert ist, wird die Warnung in Microsoft Sentinel für die SOC in einen Vorfall konvertiert. |
| Dataverse: Senden einer Benachrichtigung an Manager*in | Dieses Playbook kann ausgelöst werden, wenn ein Microsoft Sentinel-Vorfall ausgelöst wird. Es sendet automatisch eine E-Mail-Benachrichtigung an die Manager*innen der betroffenen Benutzerentitäten. Das Playbook kann so konfiguriert werden, dass es entweder an Dynamics 365-Manager*innen oder Manager*innen in Office 365 sendet. |
| Dataverse: Hinzufügen von Benutzer*innen zur Sperrliste (Vorfalltrigger) | Dieses Playbook kann ausgelöst werden, wenn ein Microsoft Sentinel-Vorfall ausgelöst wird. Betroffene Benutzerentitäten werden automatisch zu einer vordefinierten Microsoft Entra-Gruppe hinzugefügt, was zu blockiertem Zugriff führt. Die Microsoft Entra-Gruppe wird mit Conditional Access verwendet, um die Anmeldung bei Dataverse zu blockieren. |
| Dataverse: Hinzufügen von Benutzer*innen zur Sperrliste mithilfe des Outlook-Genehmigungsworkflows | Dieses Playbook kann ausgelöst werden, wenn ein Microsoft Sentinel-Vorfall ausgelöst wird. Betroffene Benutzerentitäten werden über einen Outlook-basierter Genehmigungsworkflow automatisch einer vordefinierten Microsoft Entra-Gruppe hinzugefügt, was zu blockiertem Zugriff führt. Die Microsoft Entra-Gruppe wird mit Conditional Access verwendet, um die Anmeldung bei Dataverse zu blockieren. |
| Dataverse: Hinzufügen von Benutzer*innen zur Sperrliste mithilfe des Teams-Genehmigungsworkflows | Dieses Playbook kann ausgelöst werden, wenn ein Microsoft Sentinel-Vorfall ausgelöst wird. Betroffene Benutzerentitäten werden über einen Genehmigungsworkflow von Teams Adaptive Karten automatisch einer vordefinierten Microsoft Entra-Gruppe hinzugefügt, was zu blockiertem Zugriff führt. Die Microsoft Entra-Gruppe wird mit Conditional Access verwendet, um die Anmeldung bei Dataverse zu blockieren. |
| Dataverse: Hinzufügen von Benutzer*innen zur Sperrliste (Warnungstrigger) | Dieses Playbook kann bei Bedarf ausgelöst werden, wenn eine Microsoft Sentinel-Warnung ausgelöst wird, sodass Analyst*innen betroffene Benutzerentitäten zu einer vordefinierten Microsoft Entra-Gruppe hinzufügen können, was zu blockiertem Zugriff führt. Die Microsoft Entra-Gruppe wird mit Conditional Access verwendet, um die Anmeldung bei Dataverse zu blockieren. |
| Dataverse: Entfernen von Benutzer *innen aus der Sperrliste | Dieses Playbook kann bei Bedarf ausgelöst werden, wenn eine Microsoft Sentinel-Warnung ausgelöst wird, sodass Analyst*innen betroffene Benutzerentitäten von einer vordefinierten Microsoft Entra-Gruppe entfernen können, die Zugriff blockierte. Die Microsoft Entra-Gruppe wird mit Conditional Access verwendet, um die Anmeldung bei Dataverse zu blockieren. |
| Dataverse: Hinzufügen von SharePoint-Websites zur Watchlist | Dieses Playbook wird verwendet, um der Konfigurations-Watchlist neue oder aktualisierte SharePoint-Dokumentenverwaltungswebsites hinzuzufügen. In Kombination mit einer geplanten Analyseregel zur Überwachung des Dataverse-Aktivitätsprotokolls wird dieses Playbook ausgelöst, wenn eine neue Websitezuordnung der SharePoint-Dokumentenverwaltung hinzugefügt wird. Die Website wird einer Watchlist hinzugefügt, um die Überwachungsabdeckung zu erweitern. |
Arbeitsmappen
Microsoft Sentinel-Arbeitsmappen sind anpassbare, interaktive Dashboards in Microsoft Sentinel, die die effiziente Visualisierung, Analyse und Untersuchung von Sicherheitsdaten durch Analyst*innen erleichtern. Diese Lösung enthält die Arbeitsmappe Dynamics 365 Activity, die eine visuelle Darstellung von Aktivitäten in Microsoft Dynamics 365 Customer Engagement / Dataverse darstellt, einschließlich Datensatzabrufstatistiken und einem Anomaliediagramm.
Watchlists
Diese Lösung enthält die Watchlist MSBizApps-Configuration und erfordert, dass Benutzer*innen zusätzliche Watchlists basierend auf den folgenden Watchlist-Vorlagen erstellen:
- VIPUsers
- NetworkAddresses
- TerminatedEmployees
Weitere Informationen finden Sie unter Watchlists in Microsoft Sentinel und Erstellen von Watchlists.
Integrierte Parser
Die Lösung enthält Parser, die für den Zugriff auf Daten aus den Rohdatentabellen verwendet werden. Parser stellen sicher, dass die richtigen Daten mit einem einheitlichen Schema zurückgegeben werden. Es wird empfohlen, die Parser zu verwenden, anstatt die Watchlists direkt abzufragen.
| Parser | Zurückgegebene Daten | Abgefragte Tabelle |
|---|---|---|
| MSBizAppsOrgSettings | Liste der verfügbaren organisationsweiten Einstellungen in Dynamics 365 Customer Engagement / Dataverse | Nicht zutreffend |
| MSBizAppsVIPUsers | Parser für die Watchlist VIPUsers | VIPUsers von Watchlistvorlage |
| MSBizAppsNetworkAddresses | Parser für die Watchlist NetworkAddresses | NetworkAddresses von Watchlistvorlage |
| MSBizAppsTerminatedEmployees | Parser für die Watchlist TerminatedEmployees | TerminatedEmployees von Watchlistvorlage |
| DataverseSharePointSites | SharePoint-Websites, die in der Dataverse-Dokumentenverwaltung verwendet werden | Watchlist MSBizApps-Configuration gefiltert nach Kategorie „SharePoint“ |
Weitere Informationen finden Sie unter Sofort einsatzbereite Erkennung von Bedrohungen.