Referencia de contenido de seguridad para Microsoft Power Platform y Microsoft Dynamics 365 Customer Engagement
En este artículo se detalla el contenido de seguridad disponible para la solución Microsoft Sentinel para Power Platform. Para más información sobre esta solución, consulte Información general sobre la solución Microsoft Sentinel para Microsoft Power Platform y Microsoft Dynamics 365 Customer Engagement.
Importante
- La solución Microsoft Sentinel para Power Platform se encuentra actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
- La solución es una oferta premium. La información de precios estará disponible antes de que la solución esté disponible con carácter general.
- Proporcione comentarios para esta solución completando esta encuesta: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Reglas de análisis integradas
Las siguientes reglas analíticas se incluyen al instalar la solución para Power Platform. Los orígenes de datos enumerados incluyen el nombre del conector de datos y la tabla de Log Analytics.
Reglas de Dataverse
| Nombre de la regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| Dataverse: actividad anómala del usuario de la aplicación | Identifica anomalías en los patrones de actividad de los usuarios de aplicaciones de Dataverse (no interactivas), en función de la actividad que se encuentra fuera del patrón de uso normal. | Actividad de usuario inusual de S2S en Dynamics 365 /Dataverse. Orígenes de datos: - Dataverse DataverseActivity |
CredentialAccess, Execution, Persistence |
| Dataverse: eliminación de datos de registro de auditoría | Identifica la actividad de eliminación de datos del registro de auditoría en Dataverse. | Eliminación de los registros de auditoría de Dataverse. Orígenes de datos: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse: registro de auditoría deshabilitado | Identifica un cambio en la configuración de auditoría del sistema en la que se desactiva el registro de auditoría. | Auditoría global o de nivel de entidad deshabilitada. Orígenes de datos: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse: reasignación o uso compartido de la propiedad del registro masivo | Identifica los cambios en la propiedad de los registros individuales, entre los que se incluyen: - Uso compartido de registros con otros usuarios o equipos - Reasignaciones de propiedad que superan un umbral predefinido. |
Muchos eventos de propiedad de registros y uso compartido de registros generados dentro de la ventana de detección. Orígenes de datos: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse: ejecutable cargado en el sitio de administración de documentos de SharePoint | Identifica los archivos ejecutables y los scripts que se cargan en sitios de SharePoint usados para la administración de documentos de Dynamics, evitando las restricciones de extensión de archivo nativas en Dataverse. | Carga de archivos ejecutables en la administración de documentos de Dataverse. Orígenes de datos: - Office365 OfficeActivity (SharePoint) |
Execution, Persistence |
| Dataverse: exportación de la actividad de un empleado despedido o notificado | Identifica la actividad de exportación de Dataverse desencadenada por empleados despedidos o empleados a punto de abandonar la organización. | Eventos de exportación de datos asociados a los usuarios de la plantilla de lista de seguimiento TerminatedEmployees. Orígenes de datos: - Dataverse DataverseActivity |
Exfiltración |
| Dataverse: filtración de usuarios invitados después de la deficiencia de defensa de Power Platform | Identifica una cadena de eventos que comienza con la deshabilitación del aislamiento de inquilinos de Power Platform y la eliminación del grupo de seguridad de acceso a un entorno. Estos eventos se correlacionan con las alertas de filtración de Dataverse asociadas al entorno afectado y a los usuarios invitados de Microsoft Entra creados recientemente. Active otras reglas de análisis de Dataverse con la táctica MITRE de Exfiltración antes de habilitar esta regla. |
Como usuario invitado creado recientemente, desencadene alertas de filtración de Dataverse después de deshabilitar los controles de seguridad de Power Platform. Orígenes de datos: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity |
Evasión defensiva |
| Dataverse: manipulación de seguridad de jerarquía | Identifica comportamientos sospechosos en la seguridad de la jerarquía. | Cambios en las propiedades de seguridad, entre las que se incluyen: - Seguridad de jerarquía deshabilitada. - El usuario se asigna como administrador. - El usuario se asigna a una posición supervisada (establecida en KQL). Orígenes de datos: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse: actividad de instancia de Honeypot | Identifica las actividades en una instancia predefinida de Honeypot Dataverse. Alerta cuando se detecta un inicio de sesión en Honeypot o cuando se accede a las tablas de Dataverse supervisadas en Honeypot. |
Inicie sesión y acceda a los datos en una instancia designada de Honeypot Dataverse en Power Platform con la auditoría habilitada. Orígenes de datos: - Dataverse DataverseActivity |
Discovery, Exfiltration |
| Dataverse: inicio de sesión mediante un usuario con privilegios confidenciales | Identifica los inicios de sesión de Dataverse y Dynamics 365 por parte de los usuarios confidenciales. | Inicio de sesión de usuarios agregados en la lista de seguimiento VIPUsers en función de las etiquetas establecidas en KQL. Orígenes de datos: - Dataverse DataverseActivity |
InitialAccess, CredentialAccess, PrivilegeEscalation |
| Dataverse: inicio de sesión desde IP en la lista de bloqueados | Identifica la actividad de inicio de sesión de Dataverse de direcciones IPv4 que se encuentran en una lista de bloqueados predefinida. | Inicio de sesión por parte de un usuario con una dirección IP que forma parte de un intervalo IP bloqueado. Los intervalos de red bloqueados se mantienen en la plantilla de lista de seguimiento NetworkAddresses. Orígenes de datos: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse: inicio de sesión desde la dirección IP que no está en la lista de permitidos | Identifica inicios de sesión de direcciones IPv4 que no coinciden con subredes IPv4 mantenidas en una lista de permitidos. | Inicio de sesión de un usuario con una dirección IP que no forma parte de un intervalo de red permitido. Los intervalos de red bloqueados se mantienen en la plantilla de lista de seguimiento NetworkAddresses. Orígenes de datos: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse: malware encontrado en el sitio de administración de documentos de SharePoint | Identifica el malware cargado a través de la administración de documentos de Dynamics 365 o directamente en SharePoint, lo que afecta a los sitios de SharePoint asociados a Dataverse. | Archivo malintencionado en el sitio de SharePoint vinculado a Dataverse. Orígenes de datos: - Dataverse DataverseActivity- Office365 OfficeActivity (SharePoint) |
Ejecución |
| Dataverse: eliminación masiva de registros | Identifica las operaciones de eliminación de registros a gran escala en función de un umbral predefinido. También detecta trabajos de eliminación masiva programados. |
Eliminación de registros que superan el umbral definido en KQL. Orígenes de datos: - Dataverse DataverseActivity |
Impacto |
| Dataverse: descarga masiva de la administración de documentos de SharePoint | Identifica la descarga masiva en la última hora de archivos de sitios de SharePoint configurados para la administración de documentos en Dynamics 365. | Descarga masiva que supera el umbral definido en KQL. Esta regla de análisis utiliza la lista de seguimiento MSBizApps-Configuration para identificar los sitios de SharePoint utilizados para la administración de documentos. Orígenes de datos: - Office365 OfficeActivity (SharePoint) |
Exfiltración |
| Dataverse: exportación masiva de registros a Excel | Identifica a los usuarios que exportan un gran número de registros de Dynamics 365 a Excel, donde el número de registros exportados es significativamente mayor que cualquier otra actividad reciente por ese usuario. Las exportaciones grandes de usuarios sin actividad reciente se identifican mediante un umbral predefinido. |
Exporte muchos registros de Dataverse a Excel. Orígenes de datos: - Dataverse DataverseActivity |
Exfiltración |
| Dataverse: actualizaciones de registros masivos | Detecta cambios de actualización de registros masivos en Dataverse y Dynamics 365, superando un umbral predefinido. | La actualización masiva de registros supera el umbral definido en KQL. Orígenes de datos: - Dataverse DataverseActivity |
Impacto |
| Dataverse: nuevo tipo de actividad de usuario de aplicación de Dataverse | Identifica los tipos de actividad nuevos o no vistos previamente asociados a un usuario de aplicación de Dataverse (no interactivo). | Nuevos tipos de actividad de usuario de S2S. Orígenes de datos: - Dataverse DataverseActivity |
CredentialAccess, Execution, PrivilegeEscalation |
| Dataverse: nueva identidad no interactiva a la que se ha concedido acceso | Identifica las concesiones de acceso de nivel de API, ya sea a través de los permisos delegados de una aplicación de Microsoft Entra o mediante la asignación directa dentro de Dataverse como usuario de la aplicación. | Permisos de Dataverse agregados al usuario no interactivo. Orígenes de datos: - Dataverse DataverseActivity,- AzureActiveDirectory AuditLogs |
Persistence, LateralMovement, PrivilegeEscalation |
| Dataverse: nuevo inicio de sesión desde un dominio no autorizado | Identifica la actividad de inicio de sesión de Dataverse que se origina en usuarios con sufijos UPN que no se han visto anteriormente en los últimos 14 días y no están presentes en una lista predefinida de dominios autorizados. Los usuarios comunes internos del sistema de Power Platform se excluyen de forma predeterminada. |
Inicio de sesión por usuario externo desde un sufijo de dominio no autorizado. Orígenes de datos: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse: nuevo tipo de agente de usuario que no se usó antes | Identifica a los usuarios que acceden a Dataverse desde un agente de usuario que no se ha visto en ninguna instancia de Dataverse en los últimos 14 días. | Actividad en Dataverse desde un nuevo agente de usuario. Orígenes de datos: - Dataverse DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse: nuevo tipo de agente de usuario que no se usó con Office 365 | Identifica a los usuarios que acceden a Dynamics con un agente de usuario que no se ha visto en ninguna carga de trabajo de Office 365 en los últimos 14 días. | Actividad en Dataverse desde un nuevo agente de usuario. Orígenes de datos: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse: configuración de la organización modificada | Identifica los cambios realizados en el nivel de organización en el entorno de Dataverse. | Propiedad de nivel de organización modificada en Dataverse. Orígenes de datos: - Dataverse DataverseActivity |
Persistencia |
| Dataverse: eliminación de extensiones de archivo bloqueadas | Identifica las modificaciones en las extensiones de archivo bloqueadas de un entorno y extrae la extensión eliminada. | Eliminación de extensiones de archivo bloqueadas en las propiedades de Dataverse. Orígenes de datos: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse: sitio de administración de documentos de SharePoint agregado o actualizado | Identifica las modificaciones de la integración de administración de documentos de SharePoint. La administración de documentos permite el almacenamiento de datos ubicados externamente en Dataverse. Combine esta regla de análisis con la de Dataverse: agregar sitios de SharePoint a la lista de seguimiento para actualizar automáticamente la lista de seguimiento Dataverse-SharePointSites. Esta lista de reproducción se puede usar para correlacionar eventos entre Dataverse y SharePoint cuando se usa el conector de datos de Office 365. |
Asignación de sitio de SharePoint agregada en Administración de documentos. Orígenes de datos: - Dataverse DataverseActivity |
Exfiltración |
| Dataverse: modificaciones sospechosas del rol de seguridad | Identifica un patrón inusual de eventos en los que se crea un nuevo rol, seguido de que el creador agrega miembros al rol y, posteriormente, quita el miembro o elimina el rol después de un breve período de tiempo. | Cambios en los roles de seguridad y las asignaciones de roles. Orígenes de datos: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse: uso sospechoso del punto de conexión de TDS | Identifica las consultas basadas en protocolos de Dataverse TDS (flujo de datos tabulares), donde el usuario de origen o la dirección IP tiene alertas de seguridad recientes y el protocolo TDS no se ha usado anteriormente en el entorno de destino. | Uso repentino del punto de conexión de TDS en correlación con las alertas de seguridad. Orígenes de datos: - Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
Exfiltration, InitialAccess |
| Dataverse: uso sospechoso de la API web | Identifica los inicios de sesión en varios entornos de Dataverse que infringen un umbral predefinido y se originan en un usuario con una dirección IP que se usó para iniciar sesión en un registro conocido de aplicaciones de Microsoft Entra. | Inicio de sesión mediante WebAPI en varios entornos usando un id. de aplicación público y conocido. Orígenes de datos: - Dataverse DataverseActivity- AzureActiveDirectory SigninLogs |
Execution, Exfiltration, Reconnaissance, Discovery |
| Dataverse: IP de asignación de TI a DataverseActivity | Identifica una coincidencia en DataverseActivity de cualquier IOC de IP de Inteligencia sobre amenazas de Microsoft Sentinel. | Actividad de Dataverse con IOC coincidente con IP. Orígenes de datos: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, LateralMovement, Discovery |
| Dataverse: URL de asignación de TI a DataverseActivity | Identifica una coincidencia en DataverseActivity de cualquier IOC de URL de Inteligencia sobre amenazas de Microsoft Sentinel. | Actividad de Dataverse con IOC coincidente con URL. Orígenes de datos: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, Execution, Persistence |
| Dataverse: filtración de empleados despedidos por correo electrónico | Identifica la filtración de Dataverse por correo electrónico por parte de empleados despedidos. | Correos electrónicos enviados a dominios de destinatarios que no son de confianza siguiendo las alertas de seguridad correlacionadas con los usuarios en la lista de seguimiento de TerminatedEmployees. Orígenes de datos: MicrosoftThreatProtection EmailEventsIdentityInfo- AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
Exfiltración |
| Dataverse: filtración de empleados despedidos por unidad USB | Identifica los archivos descargados de Dataverse por los empleados que se marchan o que son despedidos, y que se copian en unidades USB montadas. | Archivos que se originan en Dataverse copiados en USB por un usuario en la lista de reproducción TerminatedEmployees. Orígenes de datos: - Dataverse DataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Exfiltración |
| Dataverse: inicio de sesión inusual después de la protección de enlace de cookies basada en direcciones IP deshabilitadas | Identifica la dirección IP y los agentes de usuario no vistos anteriormente en una instancia de Dataverse después de deshabilitar la protección de enlaces de cookies. Para más información, consulte Protección de las sesiones de Dataverse con el enlace de cookies IP. |
Nueva actividad de inicio de sesión. Orígenes de datos: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse: recuperación masiva de usuarios fuera de la actividad normal | Identifica a los usuarios que recuperan significativamente más registros de Dataverse de los que tienen en las últimas dos semanas. | El usuario recupera muchos registros de Dataverse e incluye el umbral definido por KQL. Orígenes de datos: - Dataverse DataverseActivity |
Exfiltración |
Reglas de Power Apps
| Nombre de la regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| Power Apps: actividad de la aplicación desde una ubicación geográfica no autorizada | Identifica la actividad de Power Apps de regiones geográficas en una lista predefinida de regiones geográficas no autorizadas. Esta detección obtiene la lista de códigos de país ISO 3166-1 alfa-2 de ISO Online Browsing Platform (OBP). Esta detección usa registros ingeridos desde Microsoft Entra ID y requiere que también habilite el conector de datos de Microsoft Entra ID. |
Ejecute una actividad en una Power App desde una región geográfica que esté en la lista de códigos de países no autorizados. Orígenes de datos: - Actividad de administración de Microsoft Power Platform (versión preliminar) PowerPlatformAdminActivity- Microsoft Entra ID SigninLogs |
Acceso inicial |
| Power Apps: varias aplicaciones eliminadas | Identifica la actividad de eliminación masiva en la que se eliminan varias aplicaciones de Power Apps, que coinciden con un umbral predefinido de los eventos de eliminación total de aplicaciones o aplicaciones eliminadas en varios entornos de Power Platform. | Elimine muchas aplicaciones de Power Apps desde el Centro de administración de Power Platform. Orígenes de datos: - Actividad de administración de Microsoft Power Platform (versión preliminar) PowerPlatformAdminActivity |
Impacto |
| Power Apps: destrucción de datos después de la publicación de una nueva aplicación | Identifica una cadena de eventos cuando se crea o publica una nueva aplicación y se sigue en un plazo de 1 hora mediante eventos de actualización masiva o eliminación en Dataverse. | Elimine una serie de registros en Power Apps en un plazo de 1 hora a partir de la creación o publicación de Power App. Si el publicador de aplicaciones está en la lista de usuarios de la plantilla de lista de control TerminatedEmployees, se aumenta la gravedad del incidente. Orígenes de datos: - Actividad de administración de Microsoft Power Platform (versión preliminar) PowerPlatformAdminActivity- Microsoft Dataverse (versión preliminar) DataverseActivity |
Impacto |
| Power Apps: varios usuarios que acceden a un vínculo malintencionado después de iniciar una nueva aplicación | Identifica una cadena de eventos cuando se crea una nueva aplicación de Power Apps y va seguida de estos eventos: - Varios usuarios inician la aplicación dentro de la ventana de detección. - Varios usuarios abren la misma dirección URL malintencionada. Esta detección cruzada correlaciona los registros de ejecución de Power Apps con eventos de selección de direcciones URL malintencionadas de cualquiera de los orígenes siguientes: - El conector de datos de Microsoft 365 Defender o - Indicadores de dirección URL malintencionadas de riesgo (IOC) en inteligencia sobre amenazas de Microsoft Sentinel con el analizador de normalización de sesión web del Modelo de información de seguridad avanzada (ASIM). Esta detección obtiene el número distinto de usuarios que inician o seleccionan el vínculo malintencionado mediante la creación de una consulta. |
Varios usuarios inician una nueva PowerApp y abren una dirección URL malintencionada conocida desde la aplicación. Orígenes de datos: - Actividad de administración de Microsoft Power Platform (versión preliminar) PowerPlatformAdminActivity- Inteligencia sobre amenazas ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
Acceso inicial |
| Power Apps: uso compartido masivo de Power Apps a usuarios invitados recién creados | Identifica el uso compartido masivo inusual de Power Apps para los usuarios invitados recién creados de Microsoft Entra. El uso compartido masivo inusual se basa en un umbral predefinido en la consulta. | Comparta una aplicación con varios usuarios externos. Orígenes de datos: - Actividad de administración de Microsoft Power Platform (versión preliminar) PowerPlatformAdminActivity: Microsoft Entra IDAuditLogs |
Desarrollo de recursos, Acceso inicial, Movimiento lateral |
Reglas de Power Automate
| Nombre de la regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| Power Automate: actividad de flujo de empleados que sale | Identifica instancias en las que un empleado que ha sido notificado o ya ha terminado, y está en la lista de control de empleados con el contrato finalizado, crea o modifica un flujo de Power Automate. | Un usuario definido en la lista de seguimiento TerminatedEmployees crea o actualiza un flujo de Power Automate. Orígenes de datos: Microsoft Power Automate (versión preliminar) PowerAutomateActivityLista de seguimiento TerminatedEmployees |
Filtración, impacto |
| Power Automate: eliminación masiva inusual de recursos de flujo | Identifica la eliminación masiva de flujos de Power Automate que superan un umbral predefinido definido en la consulta y se desvía de los patrones de actividad observados en los últimos 14 días. | Eliminación masiva de flujos de Power Automate. Orígenes de datos: - PowerAutomate PowerAutomateActivity |
Impacto, Evasión defensiva |
Reglas de Power Platform
| Nombre de la regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| Power Platform: conector agregado a un entorno confidencial | Identifica la creación de nuevos conectores de API en Power Platform, específicamente destinados a una lista predefinida de entornos confidenciales. | Agregue un nuevo conector de Power Platform en un entorno confidencial de Power Platform. Orígenes de datos: - Actividad de administración de Microsoft Power Platform (versión preliminar) PowerPlatformAdminActivity |
Ejecución, filtración |
| Power Platform: directiva DLP actualizada o eliminada | Identifica los cambios en la directiva de prevención de pérdida de datos, específicamente las directivas que se actualizan o quitan. | Actualice o quite una directiva de prevención de pérdida de datos de Power Platform en el entorno de Power Platform. Orígenes de datos: Actividad de administración de Microsoft Power Platform (versión preliminar) PowerPlatformAdminActivity |
Evasión defensiva |
| Power Platform: el usuario en peligro potencial accede a los servicios de Power Platform | Identifica las cuentas de usuario marcadas en riesgo en Protección de Microsoft Entra ID y correlaciona a estos usuarios con la actividad de inicio de sesión en Power Platform, incluidos Power Apps, Power Automate y el Centro de administración de Power Platform. | El usuario con señales de riesgo accede a los portales de Power Platform. Orígenes de datos: - Microsoft Entra ID SigninLogs |
Acceso inicial y desplazamiento lateral |
| Power Platform: cuenta agregada a roles con privilegios de Microsoft Entra | Identifica los cambios en los siguientes roles de directorio con privilegios que afectan a Power Platform: - Administradores de Dynamics 365: administradores de Power Platform: administradores de Fabric |
Orígenes de datos: AzureActiveDirectory AuditLogs |
PrivilegeEscalation |
Consultas de búsqueda
La solución incluye consultas de búsqueda que pueden usar los analistas para buscar de forma proactiva actividades malintencionadas o sospechosas en los entornos de Dynamics 365 y Power Platform.
| Nombre de la regla | Descripción | Origen de datos | Tácticas |
|---|---|---|---|
| Dataverse: actividad después de alertas de Microsoft Entra | Esta consulta de búsqueda busca a los usuarios que realizan actividades de Dataverse/Dynamics 365 poco después de una alerta de Protección de Microsoft Entra ID para ese usuario. La consulta solo busca a los usuarios que no se han visto antes o que realicen actividades de Dynamics que no se han visto anteriormente. |
- Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
InitialAccess |
| Dataverse: actividad después de inicios de sesión fallidos | Esta consulta de búsqueda busca a los usuarios que realizan actividades de Dataverse/Dynamics 365 poco después de muchos inicios de sesión fallidos. Use esta consulta para buscar posibles actividades posteriores a la fuerza bruta. Ajuste la cifra del umbral en función de la tasa de falsos positivos. |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
InitialAccess |
| Dataverse: actividad de exportación de datos entre entornos | Busca la actividad de exportación de datos en un número predeterminado de instancias de Dataverse. La actividad de exportación de datos en varios entornos podría indicar actividad sospechosa, ya que los usuarios suelen trabajar solo en algunos entornos. |
- DataverseDataverseActivity |
Exfiltration, Collection |
| Dataverse: exportación de Dataverse copiada a dispositivos USB | Usa datos de Microsoft Defender XDR para detectar archivos descargados de una instancia de Dataverse y copiados en una unidad USB. | - DataverseDataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Exfiltración |
| Dataverse: aplicación cliente genérica que se usa para acceder a entornos de producción | Detecta el uso de la aplicación de ejemplo de Dynamics 365 integrada para acceder a entornos de producción. Los controles de autorización de Microsoft Entra ID no pueden restringir esta aplicación genérica y se puede abusar de ella para obtener acceso no autorizado a través de la API web. |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
Ejecución |
| Dataverse: actividad de administración de identidades fuera de la pertenencia a roles de directorio con privilegios | Detecta eventos de administración de identidades en Dataverse/Dynamics 365 creados por cuentas que no son miembros de los siguientes roles de directorio con privilegios: Administradores de Dynamics 365, Administradores de Power Platform o Administradores globales | - DataverseDataverseActivity- UEBA IdentityInfo |
PrivilegeEscalation |
| Dataverse: cambios de administración de identidades sin MFA | Se usa para mostrar las operaciones de administración de identidades con privilegios en Dataverse realizadas por cuentas que iniciaron sesión sin usar MFA. | - DataverseDataverseActivity- AzureActiveDirectory SigninLogs, DataverseActivity |
InitialAccess |
| Power Apps: uso compartido masivo anómalo de Power App con usuarios invitados recién creados | La consulta detecta intentos anómalos de realizar el uso compartido masivo de una Power App con usuarios invitados recién creados. | Orígenes de datos: PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess, LateralMovement, ResourceDevelopment |
Playbooks
Esta solución contiene cuadernos de estrategias que se pueden usar para automatizar la respuesta de seguridad a incidentes y alertas en Microsoft Sentinel.
| Nombre del cuaderno de estrategias | Descripción |
|---|---|
| Flujo de trabajo de seguridad: comprobación de alertas con propietarios de cargas de trabajo | Este cuaderno de estrategias puede reducir la carga del SOC descargando la comprobación de alertas a los administradores de TI para reglas de análisis específicas. Se desencadena cuando se genera una alerta de Microsoft Sentinel, crea un mensaje (y un correo electrónico de notificación asociado) en el canal de Microsoft Teams del propietario de la carga de trabajo que contiene detalles de la alerta. Si el propietario de la carga de trabajo responde que la actividad no está autorizada, la alerta se convertirá en un incidente de Microsoft Sentinel para que el SOC lo controle. |
| Dataverse: envío de notificaciones al administrador | Este cuaderno de estrategias se puede desencadenar cuando se genera un incidente de Microsoft Sentinel y enviará automáticamente una notificación por correo electrónico al administrador de las entidades de usuario afectadas. El cuaderno de estrategias se puede configurar para enviarlo al administrador de Dynamics 365 o mediante el administrador de Office 365. |
| Dataverse: agregar usuario a la lista de bloqueados (desencadenador de incidentes) | Este cuaderno de estrategias se puede desencadenar cuando se genera un incidente de Microsoft Sentinel y agregará automáticamente entidades de usuario afectadas a un grupo predefinido de Microsoft Entra, lo que da lugar a un acceso bloqueado. El grupo de Microsoft Entra se usa con el Acceso condicional para bloquear el inicio de sesión en Dataverse. |
| Dataverse: agregar usuario a la lista de bloqueados mediante el flujo de trabajo de aprobación de Outlook | Este cuaderno de estrategias se puede desencadenar cuando se genera un incidente de Microsoft Sentinel y agregará automáticamente entidades de usuario afectadas a un grupo predefinido de Microsoft Entra, mediante un flujo de trabajo de aprobación basado en Outlook, lo que da lugar a un acceso bloqueado. El grupo de Microsoft Entra se usa con el Acceso condicional para bloquear el inicio de sesión en Dataverse. |
| Dataverse: agregar usuario a la lista de bloqueados mediante el flujo de trabajo de aprobación de Teams | Este cuaderno de estrategias se puede desencadenar cuando se genera un incidente de Microsoft Sentinel y agregará automáticamente entidades de usuario afectadas a un grupo predefinido de Microsoft Entra, mediante un flujo de trabajo de aprobación de tarjetas adaptables de Teams, lo que da como resultado un acceso bloqueado. El grupo de Microsoft Entra se usa con el Acceso condicional para bloquear el inicio de sesión en Dataverse. |
| Dataverse: agregar usuario a la lista de bloqueados (desencadenador de alertas) | Este cuaderno de estrategias puede desencadenarse a petición cuando se produce una alerta de Microsoft Sentinel, lo que permite al analista agregar las entidades de usuarios afectadas a un grupo predefinido de Microsoft Entra, lo que da como resultado un acceso bloqueado. El grupo de Microsoft Entra se usa con el Acceso condicional para bloquear el inicio de sesión en Dataverse. |
| Dataverse: eliminación de usuario de la lista de bloqueados | Este cuaderno de estrategias puede desencadenarse a petición cuando se produce una alerta de Microsoft Sentinel, lo que permite al eliminar las entidades de usuarios afectadas de un grupo predefinido de Microsoft Entra utilizado para bloquear el acceso. El grupo de Microsoft Entra se usa con el Acceso condicional para bloquear el inicio de sesión en Dataverse. |
| Dataverse: agregar sitios SharePoint a la lista de seguimiento | Este cuaderno de estrategias se usa para agregar sitios de administración de documentos de SharePoint nuevos o actualizados a la lista de seguimiento de configuración. Cuando se combina con una regla de análisis programada que supervisa el registro de actividad de Dataverse, este cuaderno de estrategias se desencadenará cuando se agregue una nueva asignación de sitio de administración de documentos de SharePoint. El sitio se agregará a una lista de seguimiento para ampliar la cobertura de supervisión. |
Libros
Los libros de Microsoft Sentinel son paneles interactivos personalizables dentro de Microsoft Sentinel que facilitan la visualización, el análisis y la investigación eficaces de los datos de seguridad de los analistas. Esta solución incluye el libro Actividad de Dynamics 365, que presenta una representación visual de la actividad en Microsoft Dynamics 365 Customer Engagement / Dataverse, incluidas las estadísticas de recuperación de registros y un gráfico de anomalías.
Listas de reproducción
Esta solución incluye la lista de seguimiento MSBizApps-Configuration y requiere que los usuarios creen listas de seguimiento adicionales basadas en las siguientes plantillas de listas de seguimiento:
- VIPUsers
- NetworkAddresses
- TerminatedEmployees
Para más información, consulte Listas de seguimiento en Microsoft Sentinel y Creación de listas de seguimiento.
Analizadores integrados
La solución incluye analizadores que se usan para acceder a los datos de las tablas de datos sin procesar. Los analizadores garantizan que los datos correctos se devuelvan con un esquema coherente. Se recomienda usar los analizadores en lugar de consultar directamente las listas de seguimiento.
| Analizador | Datos devueltos | Tabla consultada |
|---|---|---|
| MSBizAppsOrgSettings | Lista de la configuración disponible para toda la organización disponible en Dynamics 365 Customer Engagement /Dataverse | N/D |
| MSBizAppsVIPUsers | Analizador de la lista de seguimiento de VIPUsers | VIPUsers de la plantilla de lista de seguimiento |
| MSBizAppsNetworkAddresses | Analizador de la lista de seguimiento NetworkAddresses | NetworkAddresses de la plantilla de lista de seguimiento |
| MSBizAppsTerminatedEmployees | Analizador de la lista de seguimiento TerminatedEmployees | TerminatedEmployees de la plantilla de lista de seguimiento |
| DataverseSharePointSites | Sitios de SharePoint usados en la administración de documentos de Dataverse | Lista de reproducción de MSBizApps-Configuration filtrada por categoría "SharePoint" |
Para más información sobre reglas analíticas, consulte Detección de amenazas integrada.