Informazioni di riferimento sui contenuti di sicurezza per Microsoft Power Platform e Microsoft Dynamics 365 Customer Engagement
Questo articolo illustra in dettaglio il contenuto di sicurezza disponibile per la soluzione Microsoft Sentinel per Power Platform. Per altre informazioni su questa soluzione, vedere Panoramica della soluzione Microsoft Sentinel per Microsoft Power Platform e Microsoft Dynamics 365 Customer Engagement.
Importante
- La soluzione Microsoft Sentinel per Power Platform è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
- La soluzione è un'offerta premium. Le informazioni sui prezzi saranno disponibili prima che la soluzione diventi disponibile a livello generale.
- Fornire commenti e suggerimenti per questa soluzione completando questo sondaggio: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Regole di analisi predefinite
Quando si installa la soluzione per Power Platform, vengono incluse le regole analitiche seguenti. Le origini dati elencate includono il nome del connettore dati e la tabella in Log Analytics.
Regole di Dataverse
| Nome regola | Descrizione | Azione origine | Tattiche |
|---|---|---|---|
| Dataverse - Attività utente dell'applicazione anomale | Identifica le anomalie nei modelli di attività degli utenti dell'applicazione Dataverse (non interattivo), in base all'attività che non rientra nel normale modello di utilizzo. | Attività utente S2S insolita in Dynamics 365/Dataverse. Origini dati: - Dataverse DataverseActivity |
CredentialAccess, Esecuzione, Persistenza |
| Dataverse - Controlla l'eliminazione dei dati del log | Identifica l'attività di eliminazione dei dati del log di controllo in Dataverse. | Eliminazione dei log di controllo di Dataverse. Origini dati: - Dataverse DataverseActivity |
Evasione delle difese |
| Dataverse - Registrazione di controllo disabilitata | Identifica una modifica nella configurazione del controllo di sistema in cui la registrazione di controllo è disattivata. | Controllo a livello di entità o globale disabilitato. Origini dati: - Dataverse DataverseActivity |
Evasione delle difese |
| Dataverse - Riassegnare o condividere la proprietà dei record in blocco | Identifica le modifiche apportate alla proprietà dei singoli record, tra cui: - Registrare la condivisione con altri utenti/team - Riassegnazioni di proprietà che superano una soglia predefinita. |
Molti eventi di proprietà dei record e condivisione di record generati all'interno della finestra di rilevamento. Origini dati: - Dataverse DataverseActivity |
Escalation dei privilegi |
| Dataverse - Eseguibile caricato nel sito di gestione dei documenti di SharePoint | Identifica i file eseguibili e gli script caricati nei siti di SharePoint usati per la gestione dei documenti dynamics, eludendo le restrizioni delle estensioni di file native in Dataverse. | Caricamento di file eseguibili nella gestione dei documenti di Dataverse. Origini dati: - Office365 OfficeActivity (SharePoint) |
Esecuzione, persistenza |
| Dataverse - Esportare l'attività da un dipendente terminato o informato | Identifica l'attività di esportazione di Dataverse attivata dai dipendenti terminati o dai dipendenti che vogliono lasciare l'organizzazione. | Eventi di esportazione dei dati associati agli utenti nel modello watchlist TerminateEmployees . Origini dati: - Dataverse DataverseActivity |
Esfiltrazione |
| Dataverse - Esfiltrazione utente guest in seguito a problemi di difesa di Power Platform | Identifica una catena di eventi a partire dalla disabilitazione dell'isolamento tenant di Power Platform e dalla rimozione del gruppo di sicurezza di accesso di un ambiente. Questi eventi sono correlati agli avvisi di esfiltrazione di dataverse associati all'ambiente interessato e agli utenti guest di Microsoft Entra creati di recente. Attivare altre regole di analisi di Dataverse con la tattica MITRE di esfiltrazione prima di abilitare questa regola. |
Come utente guest creato di recente, attivare avvisi di esfiltrazione di dataverse dopo che i controlli di sicurezza di Power Platform sono disabilitati. Origini dati: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity |
Evasione delle difese |
| Dataverse - Manipolazione della sicurezza della gerarchia | Identifica comportamenti sospetti nella sicurezza della gerarchia. | Modifiche alle proprietà di sicurezza, tra cui: - Sicurezza gerarchia disabilitata. - L'utente si assegna come manager. - L'utente si assegna a una posizione monitorata (impostata in KQL). Origini dati: - Dataverse DataverseActivity |
Escalation dei privilegi |
| Dataverse - Attività dell'istanza honeypot | Identifica le attività in un'istanza predefinita di Honeypot Dataverse. Avvisa quando viene rilevato un accesso a Honeypot o quando si accede alle tabelle Dataverse monitorate in Honeypot. |
Accesso e accesso ai dati in un'istanza di Honeypot Dataverse designata in Power Platform con il controllo abilitato. Origini dati: - Dataverse DataverseActivity |
Individuazione, esfiltrazione |
| Dataverse - Accesso da parte di un utente con privilegi sensibili | Identifica gli accessi di Dataverse e Dynamics 365 da parte di utenti sensibili. | Accesso da parte degli utenti aggiunti nell'elenco di controllo VIPUsers in base ai tag impostati all'interno di KQL. Origini dati: - Dataverse DataverseActivity |
InitialAccess, CredentialAccess, PrivilegeEscalation |
| Dataverse - Account di accesso da IP nell'elenco di blocchi | Identifica l'attività di accesso di Dataverse dagli indirizzi IPv4 presenti in un elenco di indirizzi bloccati predefinito. | Accedere da un utente con un indirizzo IP che fa parte di un intervallo di rete bloccato. Gli intervalli di rete bloccati vengono mantenuti nel modello watchlist NetworkAddresses . Origini dati: - Dataverse DataverseActivity |
Accesso iniziale |
| Dataverse - Accesso da IP non incluso nell'elenco elementi consentiti | Identifica gli accessi dagli indirizzi IPv4 che non corrispondono alle subnet IPv4 mantenute in un elenco di indirizzi consentiti. | Accedere da un utente con un indirizzo IP che non fa parte di un intervallo di rete consentito. Gli intervalli di rete bloccati vengono mantenuti nel modello watchlist NetworkAddresses . Origini dati: - Dataverse DataverseActivity |
Accesso iniziale |
| Dataverse - Malware trovato nel sito di gestione dei documenti di SharePoint | Identifica il malware caricato tramite la gestione dei documenti di Dynamics 365 o direttamente in SharePoint, che influisce sui siti di SharePoint associati a Dataverse. | File dannoso nel sito di SharePoint collegato a Dataverse. Origini dati: - Dataverse DataverseActivity- Office365 OfficeActivity (SharePoint) |
Esecuzione |
| Dataverse - Eliminazione di massa di record | Identifica le operazioni di eliminazione di record su larga scala in base a una soglia predefinita. Rileva anche i processi di eliminazione in blocco pianificati. |
Eliminazione di record che superano la soglia definita in KQL. Origini dati: - Dataverse DataverseActivity |
Impatto |
| Dataverse - Download di massa dalla gestione dei documenti di SharePoint | Identifica il download di massa nell'ultima ora dei file dai siti di SharePoint configurati per la gestione dei documenti in Dynamics 365. | Download di massa che supera la soglia definita in KQL. Questa regola di analisi usa l'elenco di controllo MSBizApps-Configuration per identificare i siti di SharePoint usati per la gestione dei documenti. Origini dati: - Office365 OfficeActivity (SharePoint) |
Esfiltrazione |
| Dataverse - Esportazione di massa di record in Excel | Identifica gli utenti che esportano un numero elevato di record da Dynamics 365 a Excel, in cui il numero di record esportati è significativamente maggiore di qualsiasi altra attività recente da parte dell'utente. Le esportazioni di grandi dimensioni dagli utenti senza attività recenti vengono identificate usando una soglia predefinita. |
Esportare molti record da Dataverse in Excel. Origini dati: - Dataverse DataverseActivity |
Esfiltrazione |
| Dataverse - Aggiornamenti dei record di massa | Rileva le modifiche apportate agli aggiornamenti dei record di massa in Dataverse e Dynamics 365, superando una soglia predefinita. | L'aggiornamento di massa dei record supera la soglia definita in KQL. Origini dati: - Dataverse DataverseActivity |
Impatto |
| Dataverse - Nuovo tipo di attività utente dell'applicazione Dataverse | Identifica i tipi di attività nuovi o non precedenti associati a un utente dell'applicazione Dataverse (non interattivo). | Nuovi tipi di attività utente da parte di S2S. Origini dati: - Dataverse DataverseActivity |
CredentialAccess, Execution, PrivilegeEscalation |
| Dataverse - Nuova identità non interattiva concessa l'accesso | Identifica le concessioni di accesso a livello di API, tramite le autorizzazioni delegate di un'applicazione Microsoft Entra o assegnando direttamente all'interno di Dataverse come utente dell'applicazione. | Autorizzazioni di Dataverse aggiunte all'utente non interattivo. Origini dati: - Dataverse DataverseActivity,- AzureActiveDirectory AuditLogs |
Persistenza, LateralMovement, PrivilegeEscalation |
| Dataverse - Nuovo accesso da un dominio non autorizzato | Identifica l'attività di accesso di Dataverse proveniente dagli utenti con suffissi UPN che non sono stati visti in precedenza negli ultimi 14 giorni e non sono presenti in un elenco predefinito di domini autorizzati. Gli utenti di sistema di Power Platform interni comuni sono esclusi per impostazione predefinita. |
Accedere da un utente esterno da un suffisso di dominio non autorizzato. Origini dati: - Dataverse DataverseActivity |
Accesso iniziale |
| Dataverse - Nuovo tipo di agente utente non usato in precedenza | Identifica gli utenti che accedono a Dataverse da un agente utente che non è stato visualizzato in alcuna istanza di Dataverse negli ultimi 14 giorni. | Attività in Dataverse da un nuovo agente utente. Origini dati: - Dataverse DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse - Nuovo tipo di agente utente non usato con Office 365 | Identifica gli utenti che accedono a Dynamics con un agente utente che non è stato visualizzato in carichi di lavoro di Office 365 negli ultimi 14 giorni. | Attività in Dataverse da un nuovo agente utente. Origini dati: - Dataverse DataverseActivity |
Accesso iniziale |
| Dataverse - Impostazioni dell'organizzazione modificate | Identifica le modifiche apportate a livello di organizzazione nell'ambiente Dataverse. | Proprietà a livello di organizzazione modificata in Dataverse. Origini dati: - Dataverse DataverseActivity |
Persistenza |
| Dataverse - Rimozione delle estensioni di file bloccate | Identifica le modifiche alle estensioni di file bloccate di un ambiente ed estrae l'estensione rimossa. | Rimozione delle estensioni di file bloccate nelle proprietà di Dataverse. Origini dati: - Dataverse DataverseActivity |
Evasione delle difese |
| Dataverse - Sito di gestione dei documenti di SharePoint aggiunto o aggiornato | Identifica le modifiche dell'integrazione della gestione dei documenti di SharePoint. La gestione dei documenti consente l'archiviazione dei dati che si trovano esternamente a Dataverse. Combinare questa regola di analisi con Dataverse : aggiungere siti di SharePoint al playbook watchlist per aggiornare automaticamente l'elenco di controllo Dataverse-SharePointSites . Questo watchlist può essere usato per correlare gli eventi tra Dataverse e SharePoint quando si usa il connettore dati di Office 365. |
Mapping del sito di SharePoint aggiunto in Gestione documenti. Origini dati: - Dataverse DataverseActivity |
Esfiltrazione |
| Dataverse - Modifiche del ruolo di sicurezza sospette | Identifica un modello insolito di eventi in cui viene creato un nuovo ruolo, seguito dall'autore aggiungendo membri al ruolo e rimuovendo successivamente il membro o eliminando il ruolo dopo un breve periodo di tempo. | Modifiche ai ruoli di sicurezza e alle assegnazioni di ruolo. Origini dati: - Dataverse DataverseActivity |
Escalation dei privilegi |
| Dataverse - Uso sospetto dell'endpoint TDS | Identifica le query basate su protocollo Dataverse TDS (Tabular Data Stream), in cui l'utente o l'indirizzo IP di origine ha avvisi di sicurezza recenti e il protocollo TDS non è stato usato in precedenza nell'ambiente di destinazione. | Uso improvviso dell'endpoint TDS in correlazione con gli avvisi di sicurezza. Origini dati: - Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
Esfiltrazione, InitialAccess |
| Dataverse - Uso sospetto dell'API Web | Identifica gli accessi in più ambienti Dataverse che violano una soglia predefinita e hanno origine da un utente con un indirizzo IP usato per accedere a una nota registrazione dell'app Microsoft Entra. | Accedere usando WebAPI in più ambienti usando un ID applicazione pubblico noto. Origini dati: - Dataverse DataverseActivity- AzureActiveDirectory SigninLogs |
Esecuzione, esfiltrazione, ricognizione, individuazione |
| Dataverse - TI esegue il mapping dell'INDIRIZZO IP a DataverseActivity | Identifica una corrispondenza in DataverseActivity da qualsiasi IOC IP di Microsoft Sentinel Threat Intelligence. | Attività dataverse con IOC corrispondente a IP. Origini dati: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, LateralMovement, Discovery |
| Dataverse - TI esegue il mapping dell'URL a DataverseActivity | Identifica una corrispondenza in DataverseActivity da qualsiasi URL IOC di Microsoft Sentinel Threat Intelligence. | Attività dataverse con URL corrispondenti AOC. Origini dati: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, Execution, Persistence |
| Dataverse - Esfiltrazione dei dipendenti terminata tramite posta elettronica | Identifica l'esfiltrazione dataverse tramite posta elettronica da parte dei dipendenti terminati. | Messaggi di posta elettronica inviati a domini destinatari non attendibili seguendo gli avvisi di sicurezza correlati agli utenti nell'elenco di controllo TerminateEmployees . Origini dati: MicrosoftThreatProtection EmailEventsIdentityInfo- AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
Esfiltrazione |
| Dataverse - Esfiltrazione dei dipendenti terminata nell'unità USB | Identifica i file scaricati da Dataverse da dipendenti in partenza o terminati e vengono copiati nelle unità montate usb. | File provenienti da Dataverse copiati su USB da un utente nell'elenco di controllo TerminateEmployees . Origini dati: - Dataverse DataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Esfiltrazione |
| Dataverse - Accesso insolito dopo la protezione dell'associazione di cookie basata su indirizzi IP disabilitata | Identifica gli agenti utente e IP non precedenti in un'istanza di Dataverse dopo la disabilitazione della protezione dell'associazione cookie. Per altre informazioni, vedere Protezione delle sessioni di Dataverse con l'associazione di cookie IP. |
Nuova attività di accesso. Origini dati: - Dataverse DataverseActivity |
Evasione delle difese |
| Dataverse - Recupero bulk dell'utente all'esterno della normale attività | Identifica gli utenti che recuperano record significativamente più da Dataverse rispetto alle ultime due settimane. | L'utente recupera molti record da Dataverse e include la soglia definita da KQL. Origini dati: - Dataverse DataverseActivity |
Esfiltrazione |
Regole di Power Apps
| Nome regola | Descrizione | Azione origine | Tattiche |
|---|---|---|---|
| Power Apps - Attività dell'app da aree geografiche non autorizzate | Identifica l'attività di Power Apps dalle aree geografiche in un elenco predefinito di aree geografiche non autorizzate. Questo rilevamento ottiene l'elenco dei codici paese ISO 3166-1 alpha-2 da ISO Online Browsing Platform (OBP). Questo rilevamento usa i log inseriti dall'ID Microsoft Entra e richiede anche l'abilitazione del connettore dati Microsoft Entra ID. |
Eseguire un'attività in un'app power da un'area geografica che si trova nell'elenco di codici paese non autorizzati. Origini dati: - Attività di amministrazione di Microsoft Power Platform (anteprima) PowerPlatformAdminActivity- Microsoft Entra ID SigninLogs |
Accesso iniziale |
| Power Apps - Più app eliminate | Identifica l'attività di eliminazione di massa in cui vengono eliminate più app di Power Apps, che corrispondono a una soglia predefinita di eventi eliminati o eliminati dall'app in più ambienti Power Platform. | Eliminare molte app Power Apps dall'interfaccia di amministrazione di Power Platform. Origini dati: - Attività di amministrazione di Microsoft Power Platform (anteprima) PowerPlatformAdminActivity |
Impatto |
| Power Apps - Distruzione dei dati dopo la pubblicazione di una nuova app | Identifica una catena di eventi quando viene creata o pubblicata una nuova app e viene seguita entro 1 ora da un evento di aggiornamento o eliminazione di massa in Dataverse. | Eliminare molti record in Power Apps entro 1 ora dalla creazione o pubblicazione di Power App. Se l'autore dell'app è incluso nell'elenco di utenti nel modello watchlist TerminateEmployees , viene generata la gravità dell'evento imprevisto. Origini dati: - Attività di amministrazione di Microsoft Power Platform (anteprima) PowerPlatformAdminActivity- Microsoft Dataverse (anteprima) DataverseActivity |
Impatto |
| Power Apps : più utenti che accedono a un collegamento dannoso dopo l'avvio di una nuova app | Identifica una catena di eventi quando viene creata una nuova app di Power e viene seguita da questi eventi: - Più utenti avviano l'app all'interno della finestra di rilevamento. - Più utenti aprono lo stesso URL dannoso. Questo rilevamento incrociato correla i log di esecuzione di Power Apps con gli eventi di selezione di URL dannosi da una delle origini seguenti: - Connettore dati di Microsoft 365 Defender o - Indicatori di URL dannosi di compromissione (IOC) in Microsoft Sentinel Threat Intelligence con il parser di normalizzazione della sessione Web Advanced Security Information Model (ASIM). Questo rilevamento ottiene il numero distinto di utenti che avviano o selezionano il collegamento dannoso creando una query. |
Più utenti avviano una nuova powerApp e aprono un URL dannoso noto dall'app. Origini dati: - Attività di amministrazione di Microsoft Power Platform (anteprima) PowerPlatformAdminActivity- Intelligence sulle minacce ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
Accesso iniziale |
| Power Apps - Condivisione in blocco di Power Apps per gli utenti guest appena creati | Identifica la condivisione in blocco insolita di Power Apps agli utenti guest di Microsoft Entra appena creati. La condivisione bulk insolita si basa su una soglia predefinita nella query. | Condividere un'app con più utenti esterni. Origini dati: - Attività di amministrazione di Microsoft Power Platform (anteprima) PowerPlatformAdminActivity- Microsoft Entra IDAuditLogs |
Sviluppo di risorse, Accesso iniziale, Spostamento laterale |
Regole di Power Automate
| Nome regola | Descrizione | Azione origine | Tattiche |
|---|---|---|---|
| Power Automate - Attività del flusso dei dipendenti in uscita | Identifica le istanze in cui un dipendente è stato informato o è già terminato e si trova nell'elenco di controllo Dipendenti terminati, crea o modifica un flusso di Power Automate. | L'utente definito nell'elenco di controllo TerminateEmployees crea o aggiorna un flusso di Power Automate. Origini dati: Microsoft Power Automate (anteprima) PowerAutomateActivityWatchlist TerminateEmployees |
Esfiltrazione, impatto |
| Power Automate - Eliminazione in blocco insolita delle risorse del flusso | Identifica l'eliminazione bulk dei flussi di Power Automate che superano una soglia predefinita definita nella query e deviano dai modelli di attività osservati negli ultimi 14 giorni. | Eliminazione bulk dei flussi di Power Automate. Origini dati: - PowerAutomate PowerAutomateActivity |
Impatto Evasione delle difese |
Regole di Power Platform
| Nome regola | Descrizione | Azione origine | Tattiche |
|---|---|---|---|
| Power Platform - Connettore aggiunto a un ambiente sensibile | Identifica la creazione di nuovi connettori API all'interno di Power Platform, specificamente destinati a un elenco predefinito di ambienti sensibili. | Aggiungere un nuovo connettore Power Platform in un ambiente Power Platform sensibile. Origini dati: - Attività di amministrazione di Microsoft Power Platform (anteprima) PowerPlatformAdminActivity |
Esecuzione, esfiltrazione |
| Power Platform - Criteri di prevenzione della perdita dei dati aggiornati o rimossi | Identifica le modifiche apportate ai criteri di prevenzione della perdita dei dati, in particolare i criteri aggiornati o rimossi. | Aggiornare o rimuovere un criterio di prevenzione della perdita dei dati di Power Platform nell'ambiente Power Platform. Origini dati: Attività di amministrazione di Microsoft Power Platform (anteprima) PowerPlatformAdminActivity |
Evasione delle difese |
| Power Platform - Probabilmente compromesso l'accesso degli utenti ai servizi Power Platform | Identifica gli account utente contrassegnati a rischio in Microsoft Entra ID Protection e correla questi utenti con l'attività di accesso in Power Platform, tra cui Power Apps, Power Automate e Power Platform Admin Center. | L'utente con segnali di rischio accede ai portali di Power Platform. Origini dati: - Microsoft Entra ID SigninLogs |
Accesso iniziale, spostamento laterale |
| Power Platform - Account aggiunto ai ruoli con privilegi di Microsoft Entra | Identifica le modifiche ai ruoli della directory con privilegi seguenti che influiscono su Power Platform: - Amministratori di Dynamics 365 - Amministratori di Power Platform - Amministratori dell'infrastruttura |
Origini dati: AzureActiveDirectory AuditLogs |
Escalation dei privilegi |
Query di ricerca
La soluzione include query di ricerca che possono essere usate dagli analisti per cercare in modo proattivo attività dannose o sospette negli ambienti Dynamics 365 e Power Platform.
| Nome regola | Descrizione | Origine dati | Tattiche |
|---|---|---|---|
| Dataverse - Attività dopo gli avvisi di Microsoft Entra | Questa query di ricerca cerca gli utenti che eseguono l'attività Dataverse/Dynamics 365 poco dopo un avviso di Microsoft Entra ID Protection per tale utente. La query cerca solo gli utenti non visualizzati prima o l'esecuzione di attività dynamics non rilevate in precedenza. |
- Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
Accesso iniziale |
| Dataverse - Attività dopo accessi non riusciti | Questa query di ricerca cerca gli utenti che eseguono l'attività Dataverse/Dynamics 365 poco dopo molti accessi non riusciti. Usare questa query per cercare potenziali attività di forza bruta. Regolare la cifra di soglia in base al tasso di falsi positivi. |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
Accesso iniziale |
| Dataverse - Attività di esportazione dei dati tra ambienti | Cerca l'attività di esportazione dei dati in un numero predeterminato di istanze di Dataverse. L'attività di esportazione dei dati in più ambienti può indicare attività sospette perché gli utenti in genere lavorano solo in alcuni ambienti. |
- DataverseDataverseActivity |
Esfiltrazione, raccolta |
| Dataverse - Esportazione di Dataverse copiata nei dispositivi USB | Usa i dati di Microsoft Defender XDR per rilevare i file scaricati da un'istanza di Dataverse e copiati nell'unità USB. | - DataverseDataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Esfiltrazione |
| Dataverse - App client generica usata per accedere agli ambienti di produzione | Rileva l'uso dell'applicazione predefinita "Dynamics 365 Example Application" per accedere agli ambienti di produzione. Questa app generica non può essere limitata dai controlli di autorizzazione di Microsoft Entra ID e può essere abusata per ottenere l'accesso non autorizzato tramite l'API Web. |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
Esecuzione |
| Dataverse - Attività di gestione delle identità al di fuori dell'appartenenza al ruolo della directory con privilegi | Rileva gli eventi di amministrazione delle identità in Dataverse/Dynamics 365 creati dagli account whthatich non sono membri dei ruoli della directory con privilegi seguenti: Amministratori di Dynamics 365, Amministratori di Power Platform o Amministratori globali | - DataverseDataverseActivity- UEBA IdentityInfo |
Escalation dei privilegi |
| Dataverse - Modifiche alla gestione delle identità senza MFA | Usato per visualizzare le operazioni di amministrazione delle identità con privilegi in Dataverse eseguite da account che hanno eseguito l'accesso senza usare MFA. | - DataverseDataverseActivity- AzureActiveDirectory SigninLogs, DataverseActivity |
Accesso iniziale |
| Power Apps - Condivisione bulk anomala di Power App agli utenti guest appena creati | La query rileva tentativi anomali di eseguire la condivisione bulk di un'app power agli utenti guest appena creati. |
Origini dati: PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess, LateralMovement, ResourceDevelopment |
Playbook
Questa soluzione contiene playbook che possono essere usati per automatizzare la risposta alla sicurezza agli eventi imprevisti e agli avvisi in Microsoft Sentinel.
| Nome del playbook | Descrizione |
|---|---|
| Flusso di lavoro di sicurezza: verifica degli avvisi con i proprietari del carico di lavoro | Questo playbook può ridurre il carico sul SOC eseguendo l'offload della verifica degli avvisi agli amministratori IT per regole di analisi specifiche. Viene attivato quando viene generato un avviso di Microsoft Sentinel, crea un messaggio (e un messaggio di posta elettronica di notifica associato) nel canale di Microsoft Teams del proprietario del carico di lavoro contenente i dettagli dell'avviso. Se il proprietario del carico di lavoro risponde che l'attività non è autorizzata, l'avviso verrà convertito in un evento imprevisto in Microsoft Sentinel per il SOC da gestire. |
| Dataverse: inviare una notifica al manager | Questo playbook può essere attivato quando viene generato un evento imprevisto di Microsoft Sentinel e invierà automaticamente una notifica tramite posta elettronica al responsabile delle entità utente interessate. Il Playbook può essere configurato per l'invio al manager di Dynamics 365 o tramite il responsabile in Office 365. |
| Dataverse: aggiungere l'utente all'elenco di blocchi (trigger di eventi imprevisti) | Questo playbook può essere attivato quando viene generato un evento imprevisto di Microsoft Sentinel e aggiungerà automaticamente entità utente interessate a un gruppo Microsoft Entra predefinito, con conseguente accesso bloccato. Il gruppo Microsoft Entra viene usato con l'accesso condizionale per bloccare l'accesso a Dataverse. |
| Dataverse: aggiungere un utente all'elenco di blocchi usando il flusso di lavoro di approvazione di Outlook | Questo playbook può essere attivato quando viene generato un evento imprevisto di Microsoft Sentinel e aggiungerà automaticamente entità utente interessate a un gruppo Microsoft Entra predefinito, usando un flusso di lavoro di approvazione basato su Outlook, con conseguente accesso bloccato. Il gruppo Microsoft Entra viene usato con l'accesso condizionale per bloccare l'accesso a Dataverse. |
| Dataverse: aggiungere un utente all'elenco di blocchi usando il flusso di lavoro di approvazione di Teams | Questo playbook può essere attivato quando viene generato un evento imprevisto di Microsoft Sentinel e aggiungerà automaticamente entità utente interessate a un gruppo Microsoft Entra predefinito, usando un flusso di lavoro di approvazione delle schede adattive di Teams, con conseguente accesso bloccato. Il gruppo Microsoft Entra viene usato con l'accesso condizionale per bloccare l'accesso a Dataverse. |
| Dataverse: aggiungere un utente all'elenco di blocchi (trigger di avviso) | Questo playbook può essere attivato su richiesta quando viene generato un avviso di Microsoft Sentinel, consentendo all'analista di aggiungere entità utente interessate a un gruppo Microsoft Entra predefinito, con conseguente accesso bloccato. Il gruppo Microsoft Entra viene usato con l'accesso condizionale per bloccare l'accesso a Dataverse. |
| Dataverse: rimuovere l'utente dall'elenco di blocchi | Questo playbook può essere attivato su richiesta quando viene generato un avviso di Microsoft Sentinel, consentendo all'analista di rimuovere le entità utente interessate da un gruppo Microsoft Entra predefinito usato per bloccare l'accesso. Il gruppo Microsoft Entra viene usato con l'accesso condizionale per bloccare l'accesso a Dataverse. |
| Dataverse: aggiungere siti di SharePoint all'elenco di controllo | Questo playbook viene usato per aggiungere siti di gestione dei documenti di SharePoint nuovi o aggiornati nell'elenco di controllo di configurazione. Se combinato con una regola di analisi pianificata che monitora il log attività di Dataverse, questo Playbook viene attivato quando viene aggiunto un nuovo mapping del sito di gestione dei documenti di SharePoint. Il sito verrà aggiunto a un watchlist per estendere la copertura del monitoraggio. |
Cartelle di lavoro
Le cartelle di lavoro di Microsoft Sentinel sono dashboard interattivi personalizzabili all'interno di Microsoft Sentinel che facilitano la visualizzazione, l'analisi e l'analisi efficienti degli analisti dei dati di sicurezza. Questa soluzione include la cartella di lavoro dynamics 365 Activity , che presenta una rappresentazione visiva dell'attività in Microsoft Dynamics 365 Customer Engagement/Dataverse, incluse le statistiche di recupero dei record e un grafico anomalie.
Watchlist
Questa soluzione include l'elenco di controllo MSBizApps-Configuration e richiede agli utenti di creare watchlist aggiuntivi in base ai modelli watchlist seguenti:
- VIPUsers
- NetworkAddresses
- TerminateEmployees
Per altre informazioni, vedere Watchlist in Microsoft Sentinel e Creare watchlist.
Parser predefiniti
La soluzione include parser usati per accedere ai dati dalle tabelle di dati non elaborate. I parser assicurano che i dati corretti vengano restituiti con uno schema coerente. È consigliabile usare i parser anziché eseguire direttamente query sulle watchlist.
| Parser | Dati restituiti | Query sulla tabella |
|---|---|---|
| MSBizAppsOrgSettings | Elenco delle impostazioni a livello di organizzazione disponibili in Dynamics 365 Customer Engagement/Dataverse | n/d |
| MSBizAppsVIPUsers | Parser per l'elenco di controllo VIPUsers |
VIPUsers dal modello watchlist |
| MSBizAppsNetworkAddresses | Parser per l'elenco di controllo NetworkAddresses |
NetworkAddresses dal modello watchlist |
| MSBizAppsTerminatedEmployees | Parser per l'elenco di controllo TerminateEmployees |
TerminatedEmployees dal modello watchlist |
| DataverseSharePointSites | Siti di SharePoint usati nella gestione dei documenti di Dataverse |
MSBizApps-Configuration watchlist filtrato per categoria 'SharePoint' |
Per altre informazioni sulle regole di analisi, vedere Rilevare le minacce predefinite.