Referenz zu Sicherheitsinhalten für Dynamics 365 Finance and Operations
In diesem Artikel werden die sicherheitsbezogenen Inhalte für die Microsoft Sentinel-Lösung für Dynamics 365 Finance and Operations detailliert beschrieben.
Wichtig
- Die Microsoft Sentinel-Lösung für Dynamics 365 for Finance and Operations befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
- Die Lösung ist ein Premium-Angebot. Preisinformationen werden zur Verfügung gestellt, bevor die Lösung allgemein verfügbar wird.
Erfahren Sie mehr über die Lösung.
Integrierte Analyseregeln
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| F&O – Nicht interaktives Konto, das einem selbst- oder vertraulichen privilegierten Benutzer zugeordnet ist | Identifiziert Änderungen an Microsoft Entra-Client-Apps, die für Finance & Operations registriert sind, insbesondere in folgenden Fällen: – Ein neuer Client wird einer vordefinierten Liste vertraulicher privilegierter Benutzerkonten zugeordnet oder – Wenn ein Benutzer eine Client-App mit einem eigenen Konto verknüpft. |
Zuordnungsänderungen im Finance and Operations-Portal unter Module > Systemverwaltung > Microsoft Entra-Anwendungen. Datenquelle: FinanceOperationsActivity_CL |
Credential Access, Persistenz, Privilege Escalation |
| F&O – Massenaktualisierung oder Löschung von Benutzerkontendatensätzen | Identifiziert große Lösch- oder Aktualisierungsvorgänge für Finance and Operations-Benutzerdatensätze basierend auf vordefinierten Schwellenwerten. Standardschwellenwert für Aktualisierung: 50 Standardschwellenwert für Löschung: 10 |
Löschungen oder Änderungen im Finance- and Operations-Portal unter Module > Systemverwaltungsbenutzer > Datenquelle: FinanceOperationsActivity_CL |
Auswirkung |
| F&O – Änderung des Bankkontos nach der Neuzuweisung des Netzwerkalias | Identifiziert Aktualisierungen der Bankkontonummer durch ein Benutzerkonto, dessen Alias kürzlich in einen neuen Wert geändert wurde. | Änderungen der Bankkontonummer im Finance and Operations-Portal unter Arbeitsbereiche > Bankverwaltung > Alle Bankkonten korrelierten mit einer relevanten Änderung des Benutzerkontos zur Aliaszuordnung. Datenquelle: FinanceOperationsActivity_CL |
Zugriff auf Anmeldeinformationen, Lateral Movement, Rechteausweitung |
| F&O – Wiederherstellen von Änderungen an Bankkontonummern | Identifiziert Änderungen an Bankkontonummern in Finance & Operations, wobei eine Bankkontonummer geändert wird, anschließend aber später wieder zurückgesetzt wurde. | Änderungen in der Bankkontonummer im Finance and Operations-Portal unter Arbeitsbereiche > Bankverwaltung > Alle Bankkonten. Datenquelle: FinanceOperationsActivity_CL |
Auswirkung |
| F&O – Ungewöhnliche Anmeldeaktivitäten mit single factor authentication | Identifiziert erfolgreiche Anmeldeereignisse bei Finance & Operations and Lifecycle Services mithilfe der Single-Factor/Password-Authentifizierung. Anmeldeereignisse von Mandanten, die keine MFA verwenden, von einem vertrauenswürdigen Microsoft Entra ID-Netzwerkstandort oder von geografischen Standorten, die in den letzten 14 Tagen angezeigt werden, werden ausgeschlossen. Diese Erkennung verwendet Protokolle, die von der Microsoft Entra-ID aufgenommen werden, und Sie müssen den Microsoft Entra-Datenconnector aktivieren. |
Anmeldungen bei der überwachten Finanz- und Betriebsumgebung. Datenquelle: Signinlogs |
Zugriff auf Anmeldeinformationen, Erstzugriff |
Zugehöriger Inhalt
In diesem Artikel haben Sie mehr über die sicherheitsbezogenen Inhalte erfahren, die mit der Microsoft Sentinel-Lösung für Dynamics 365 Finance and Operations bereitgestellt werden.