Solución Microsoft Sentinel para Microsoft Power Platform: referencia de contenido de seguridad
En este artículo se detalla el contenido de seguridad disponible para la solución Microsoft Sentinel para Power Platform. Para obtener más información sobre esta solución, consulte solución de Microsoft Sentinel para información general de Microsoft Power Platform.
Importante
- La solución Microsoft Sentinel para Power Platform se encuentra actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
- La solución es una oferta premium. La información de precios estará disponible antes de que la solución esté disponible con carácter general.
- Proporcione comentarios para esta solución completando esta encuesta: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Reglas de análisis integradas
Las siguientes reglas analíticas se incluyen al instalar la solución para Power Platform. Los orígenes de datos enumerados incluyen el nombre del conector de datos y la tabla de Log Analytics. Para evitar que falten datos en los orígenes de inventario, se recomienda no cambiar el período de búsqueda predeterminado definido en las plantillas de reglas analíticas.
| Nombre de la regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| PowerApps: actividad de la aplicación desde una ubicación geográfica no autorizada | Identifica la actividad de Power Apps de países o regiones en una lista predefinida de países o regiones no autorizados. Obtenga la lista de códigos de país ISO 3166-1 alfa-2 de ISO Online Browsing Platform (OBP). Esta detección usa registros ingeridos desde Microsoft Entra ID y requiere que también habilite el conector de datos de Microsoft Entra ID. |
Ejecute una actividad en Power App desde un país o región que se encuentra en la lista de códigos de país no autorizado. Orígenes de datos: - Inventario de Power Platform (con Azure Functions) InventoryAppsInventoryEnvironments- Actividad de administración de Microsoft Power Platform (versión preliminar) PowerPlatformAdminActivity- Microsoft Entra ID SigninLogs |
Acceso inicial |
| PowerApps: varias aplicaciones eliminadas | Identifica la actividad de eliminación masiva en la que se eliminan varias aplicaciones de Power Apps, que coinciden con un umbral predefinido de los eventos de eliminación total de aplicaciones o aplicaciones eliminadas en varios entornos de Power Platform. | Elimine muchas aplicaciones de Power Apps desde el Centro de administración de Power Platform. Orígenes de datos: - Inventario de Power Platform (con Azure Functions) InventoryAppsInventoryEnvironments- Actividad de administración de Microsoft Power Platform (versión preliminar) PowerPlatformAdminActivity |
Impacto |
| PowerApps: destrucción de datos después de la publicación de una nueva aplicación | Identifica una cadena de eventos cuando se crea o publica una nueva aplicación y se sigue en un plazo de 1 hora mediante eventos de actualización masiva o eliminación en Dataverse. Si el publicador de aplicaciones está en la lista de usuarios de la plantilla de lista de control TerminatedEmployees, se aumenta la gravedad del incidente. | Elimine una serie de registros en Power Apps en un plazo de 1 hora a partir de la creación o publicación de Power App. Orígenes de datos: - Inventario de Power Platform (con Azure Functions) InventoryAppsInventoryEnvironments- Actividad de administración de Microsoft Power Platform (versión preliminar) PowerPlatformAdminActivity- Microsoft Dataverse (versión preliminar) DataverseActivity |
Impacto |
| PowerApps: varios usuarios que acceden a un vínculo malintencionado después de iniciar una nueva aplicación | Identifica una cadena de eventos cuando se crea una nueva aplicación de Power Apps y va seguida de estos eventos: - Varios usuarios inician la aplicación dentro de la ventana de detección. - Varios usuarios abren la misma dirección URL malintencionada. Esta detección cruzada correlaciona los registros de ejecución de Power Apps con eventos de clic de direcciones URL malintencionadas de cualquiera de los orígenes siguientes: - El conector de datos de Microsoft 365 Defender o - Indicadores de dirección URL malintencionadas de riesgo (IOC) en inteligencia sobre amenazas de Microsoft Sentinel con el analizador de normalización de sesión web del Modelo de información de seguridad avanzada (ASIM). Obtenga el número distinto de usuarios que inician o hacen clic en el vínculo malintencionado mediante la creación de una consulta. |
Varios usuarios inician una nueva PowerApp y abren una dirección URL malintencionada conocida desde la aplicación. Orígenes de datos: - Inventario de Power Platform (con Azure Functions) InventoryAppsInventoryEnvironments- Actividad de administración de Microsoft Power Platform (versión preliminar) PowerPlatformAdminActivity- Inteligencia sobre amenazas ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
Acceso inicial |
| PowerAutomate: actividad de flujo de empleados que sale | Identifica instancias en las que un empleado que ha sido notificado o ya ha terminado, y está en la lista de control de empleados con el contrato finalizado, crea o modifica un flujo de Power Automate. | El usuario definido en la lista de control de empleados con el contrato finalizado crea o actualiza un flujo de Power Automate. Orígenes de datos: Microsoft Power Automate (versión preliminar) PowerAutomateActivity- Inventario de Power Platform (con Azure Functions) InventoryFlowsInventoryEnvironmentsLista de control de empleados con el contrato finalizado |
Filtración, impacto |
| PowerPlatform: conector agregado a un entorno confidencial | Identifica la creación de nuevos conectores de API en Power Platform, específicamente destinados a una lista predefinida de entornos confidenciales. | Agregue un nuevo conector de Power Platform en un entorno confidencial de Power Platform. Orígenes de datos: - Actividad de administración de Microsoft Power Platform (versión preliminar) PowerPlatformAdminActivity- Inventario de Power Platform (con Azure Functions) InventoryAppsInventoryEnvironmentsInventoryAppsConnections |
Ejecución, filtración |
| PowerPlatform: directiva DLP actualizada o eliminada | Identifica los cambios en la directiva de prevención de pérdida de datos, específicamente las directivas que se actualizan o quitan. | Actualice o quite una directiva de prevención de pérdida de datos de Power Platform en el entorno de Power Platform. Orígenes de datos: Actividad de administración de Microsoft Power Platform (versión preliminar) PowerPlatformAdminActivity |
Evasión defensiva |
| Dataverse: filtración de usuarios invitados después de la deficiencia de defensa de Power Platform | Identifica una cadena de eventos a partir de la deshabilitación del aislamiento de inquilinos de Power Platform y la eliminación del grupo de seguridad de acceso de un entorno. Estos eventos se correlacionan con las alertas de filtración de Dataverse asociadas al entorno afectado y a los usuarios invitados de Microsoft Entra creados recientemente. Active otras reglas de análisis de Dataverse con la táctica de MITRE "Filtración" antes de habilitar esta regla. |
Como usuario invitado creado recientemente, desencadene alertas de filtración de Dataverse después de deshabilitar los controles de seguridad de Power Platform. Orígenes de datos: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity- Inventario de Power Platform (con Azure Functions) InventoryEnvironments |
Evasión defensiva |
| Dataverse: exportación masiva de registros a Excel | Identifica a los usuarios que exportan una gran cantidad de registros de Dynamics 365 a Excel. La cantidad de registros exportados es significativamente más que cualquier otra actividad reciente de ese usuario. Las exportaciones grandes de usuarios sin actividad reciente se identifican mediante un umbral predefinido. | Exporte muchos registros de Dataverse a Excel. Orígenes de datos: - Dataverse DataverseActivity- Inventario de Power Platform (con Azure Functions) InventoryEnvironments |
Exfiltración |
| Dataverse: recuperación masiva de usuarios fuera de la actividad normal | Identifica a los usuarios que recuperan significativamente más registros de Dataverse de los que tienen en las últimas 2 semanas. | El usuario exporta muchos registros de Dataverse a Excel Orígenes de datos: - Dataverse DataverseActivity- Inventario de Power Platform (con Azure Functions) InventoryEnvironments |
Exfiltración |
| Power Apps: uso compartido masivo de Power Apps a usuarios invitados recién creados | Identifica el uso compartido masivo inusual de Power Apps para los usuarios invitados recién creados de Microsoft Entra. El uso compartido masivo inusual se basa en un umbral predefinido en la consulta. | Comparta una aplicación con varios usuarios externos. Orígenes de datos: - Actividad de administración de Microsoft Power Platform (versión preliminar) PowerPlatformAdminActivity- Inventario de Power Platform (con Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Entra ID AuditLogs |
Desarrollo de recursos, Acceso inicial, Movimiento lateral |
| Power Automate: eliminación masiva inusual de recursos de flujo | Identifica la eliminación masiva de flujos de Power Automate que superan un umbral predefinido definido en la consulta y se desvía de los patrones de actividad observados en los últimos 14 días. | Eliminación masiva de flujos de Power Automate. Orígenes de datos: - PowerAutomate PowerAutomateActivity |
Impacto, Evasión defensiva |
| Power Platform: el usuario en peligro potencial accede a los servicios de Power Platform | Identifica las cuentas de usuario marcadas en riesgo en Microsoft Entra Identity Protection y correlaciona a estos usuarios con la actividad de inicio de sesión en Power Platform, incluidos Power Apps, Power Automate y El Centro de administración de Power Platform. | El usuario con señales de riesgo accede a los portales de Power Platform. Orígenes de datos: - Microsoft Entra ID SigninLogs |
Acceso inicial y desplazamiento lateral |
Analizadores integrados
La solución incluye analizadores que se usan para acceder a los datos de las tablas de datos sin procesar. Los analizadores garantizan que los datos correctos se devuelvan con un esquema coherente. Se recomienda usar los analizadores en lugar de consultar directamente las tablas de inventario y las listas de control. Los analizadores relacionados con el inventario de Power Platform devuelven datos de los últimos 7 días.
| Analizador | Datos devueltos | Tabla consultada |
|---|---|---|
InventoryApps |
Inventario de Power Apps | PowerApps_CL |
InventoryAppsConnections |
Conexiones de inventario de conexiones de Power Apps | PowerAppsConnections_CL |
InventoryEnvironments |
Inventario de entornos de Power Platform | PowerPlatrformEnvironments_CL |
InventoryFlows |
Inventario de flujos de Power Automate | PowerAutomateFlows_CL |
MSBizAppsTerminatedEmployees |
Lista de control de empleados con el contrato finalizado (de la plantilla de lista de reproducción) | TerminatedEmployees |
GetPowerAppsEventDetails |
Devuelve detalles de eventos analizados para Power Apps o Conexiones | PowerPlatformAdminActivity |
Para más información sobre reglas analíticas, consulte Detección de amenazas integrada.