Microsoft Power Platform 向けの Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス
この記事では、Power Platform 向けの Microsoft Sentinel ソリューションで使用できるセキュリティ コンテンツについて詳しく説明します。 このソリューションについて詳しくは、「Microsoft Power Platform 向け Microsoft Sentinel ソリューションの概要」をご覧ください。
重要
- Power Platform 向け Microsoft Sentinel ソリューションは、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
- このソリューションは Premium オファーです。 価格情報は、ソリューションが一般公開される前に入手できます。
- 次のアンケートに記入して、このソリューションのフィードバックをご提供ください: https://aka.ms/SentinelPowerPlatformSolutionSurvey。
組み込みの分析ルール
Power Platform 向けソリューションのインストールには、次の分析ルールが含まれます。 一覧のデータ ソースには、Log Analytics のデータ コネクタ名とテーブルが含まれます。 インベントリ ソースのデータが欠落しないように、分析ルール テンプレートで定義されている既定のルックバック期間を変更しないことをお勧めします。
| 規則名 | 説明 | ソース アクション | 方針 |
|---|---|---|---|
| PowerApps - 承認されていない地域からのアプリ アクティビティ | 承認されていない国/リージョンの定義済みのリストに含まれる国/リージョンからの Power Apps アクティビティを特定します。 ISO 3166-1 alpha-2 の国番号の一覧を ISO Online Browsing Platform (OBP) から取得します。 この検出では、Microsoft Entra ID から取り込まれたログが使用され、Microsoft Entra ID データ コネクタも有効にする必要があります。 |
承認されていない国コード リストに含まれる国/リージョンから Power App でアクティビティを実行します。 データ ソース: - Power Platform インベントリ (Azure Functions を使用) InventoryAppsInventoryEnvironments- Microsoft Power Platform 管理者アクティビティ (プレビュー) PowerPlatformAdminActivity- Microsoft Entra ID SigninLogs |
初期アクセス |
| PowerApps - 複数のアプリが削除された | 複数の Power Platform 環境を対象とする合計アプリ削除数またはアプリ削除イベント数の定義済みしきい値と一致する、複数の Power アプリが削除される一括削除アクティビティを識別します。 | Power Platform 管理センターから多数の Power アプリを削除します。 データ ソース: - Power Platform インベントリ (Azure Functions を使用) InventoryAppsInventoryEnvironments- Microsoft Power Platform 管理者アクティビティ (プレビュー) PowerPlatformAdminActivity |
影響 |
| PowerApps - 新しいアプリの発行後のデータの破棄 | 新しいアプリが作成または発行された後、1 時間以内に Dataverse で一括更新または削除イベントが発生する、イベントのチェーンを識別します。 アプリの発行元が TerminatedEmployees ウォッチリスト テンプレートのユーザーの一覧に含まれる場合、インシデントの重大度が発生します。 | Power アプリが作成または公開されてから 1 時間以内に、Power Apps で多数のレコードを削除します。 データ ソース: - Power Platform インベントリ (Azure Functions を使用) InventoryAppsInventoryEnvironments- Microsoft Power Platform 管理者アクティビティ (プレビュー) PowerPlatformAdminActivity- Microsoft Dataverse (プレビュー) DataverseActivity |
影響 |
| PowerApps - 新しいアプリの起動後に悪意のあるリンクにアクセスする複数のユーザー | 新しい Power アプリが作成された後でこれらのイベントが発生する、イベントのチェーンを識別します。 - 複数のユーザーが検出ウィンドウ内でアプリを起動します。 - 複数のユーザーが同じ悪意のある URL を開きます。 この検出クロスは、Power Apps の実行ログと、次のいずれかのソースからの悪意のある URL クリック イベントを関連付けます。 - Microsoft 365 Defender データ コネクタ - Advanced Security Information Model (ASIM) Web セッション正規化パーサーを使用する Microsoft Sentinel 脅威インテリジェンスでの、悪意のある URL 侵害インジケーター (IOC)。 クエリを作成して悪意のあるリンクを起動またはクリックした個別のユーザーの数を取得します。 |
複数のユーザーが新しい Power アプリを起動し、アプリから既知の悪意のある URL を開きます。 データ ソース: - Power Platform インベントリ (Azure Functions を使用) InventoryAppsInventoryEnvironments- Microsoft Power Platform 管理者アクティビティ (プレビュー) PowerPlatformAdminActivity- 脅威インテリジェンス ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
初期アクセス |
| PowerAutomate - 退職する従業員のフロー アクティビティ | 退職することを通知され、または既に退職し、退職した従業員ウォッチリストに含まれている従業員による、Power Automate フローの作成または変更の発生を識別します。 | 退職した従業員ウォッチリストで定義されているユーザーが、Power Automate フローを作成または更新します。 データ ソース: Microsoft Power Automate (プレビュー) PowerAutomateActivity- Power Platform インベントリ (Azure Functions を使用) InventoryFlowsInventoryEnvironments退職した従業員ウォッチリスト |
流出、影響 |
| PowerPlatform - 機密性の高い環境に追加されたコネクタ | 特に機密性の高い環境の定義済みの一覧を対象とする、Power Platform 内での新しい API コネクタの作成を識別します。 | 機密性の高い Power Platform 環境に新しい Power Platform コネクタを追加します。 データ ソース: - Microsoft Power Platform 管理者アクティビティ (プレビュー) PowerPlatformAdminActivity- Power Platform インベントリ (Azure Functions を使用) InventoryAppsInventoryEnvironmentsInventoryAppsConnections |
実行、流出 |
| PowerPlatform - DLP ポリシーの更新または削除 | データ損失防止ポリシーに対する変更を識別します (特に、更新または削除されたポリシー)。 | Power Platform 環境で Power Platform データ損失防止ポリシーを更新または削除します。 データ ソース: Microsoft Power Platform 管理者アクティビティ (プレビュー) PowerPlatformAdminActivity |
防御回避 |
| Dataverse - Power Platform の防御障害に続くゲスト ユーザーの流出 | Power Platform テナントの分離の無効化と、環境のアクセス セキュリティ グループの削除から始まる、イベントのチェーンを識別します。 これらのイベントは、影響を受けた環境および最近作成された Microsoft Entra ゲスト ユーザーに関連する Dataverse 流出アラートに関連付けられています。 このルールを有効にする前に、MITRE 戦術 "流出" に関する他の Dataverse 分析ルールをアクティブにします。 |
最近作成したゲスト ユーザーとして、Power Platform のセキュリティ制御が無効にされた後で、Dataverse 流出アラートをトリガーします。 データ ソース: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity- Power Platform インベントリ (Azure Functions を使用) InventoryEnvironments |
防御回避 |
| Dataverse - Excel へのレコードの一括エクスポート | Dynamics 365 から Excel に大量のレコードをエクスポートするユーザーを識別します。 そのユーザーによる最近の他のアクティビティより大幅に多いレコードがエクスポートされています。 最近のアクティビティがないユーザーからの大量のエクスポートが、定義済みのしきい値を使って識別されます。 | Dataverse から Excel に多数のレコードをエクスポートします。 データ ソース: - Dataverse DataverseActivity- Power Platform インベントリ (Azure Functions を使用) InventoryEnvironments |
窃盗 |
| Dataverse - 通常のアクティビティではないユーザーの一括取得 | Dataverse から取得したレコードの数が過去 2 週間よりも大幅に多いユーザーを識別します。 | ユーザーが Dataverse から多数のレコードを取得します データ ソース: - Dataverse DataverseActivity- Power Platform インベントリ (Azure Functions を使用) InventoryEnvironments |
窃盗 |
| Power Apps - 新しく作成されたゲスト ユーザーへの Power Apps の一括共有 | 新しく作成された Microsoft Entra ゲスト ユーザーへの Power Apps の普通ではない一括共有を識別します。 通常とは異なる一括共有は、クエリでの定義済みしきい値に基づきます。 | 複数の外部ユーザーとアプリを共有します。 データ ソース: - Microsoft Power Platform 管理者アクティビティ (プレビュー) PowerPlatformAdminActivity- Power Platform インベントリ (Azure Functions を使用) InventoryAppsInventoryEnvironments- Microsoft Entra ID AuditLogs |
リソース開発、 初期アクセス、 侵入拡大 |
| Power Automate - フロー リソースの普通ではない一括削除 | クエリで定義されているしきい値を超え、過去 14 日間に観察されたアクティビティ パターンから逸脱している、Power Automate フローの一括削除を識別します。 | Power Automate フローの一括削除。 データ ソース: - PowerAutomate PowerAutomateActivity |
影響、 防御回避 |
| Power Platform - 侵害された可能性があるユーザーが Power Platform サービスにアクセスする | Microsoft Entra ID 保護でリスクのフラグが設定されたユーザー アカウントを識別し、Power Apps、Power Automate、Power Platform 管理センターなどの Power Platform でのサインイン アクティビティに、これらのユーザーを関連付けます。 | リスクがあることが示されているユーザーが、Power Platform ポータルにアクセスします。 データ ソース: - Microsoft Entra ID SigninLogs |
初期アクセス、侵入拡大 |
組み込みのパーサー
このソリューションには、生データ テーブルのデータにアクセスするために使われるパーサーが含まれます。 パーサーは、正しいデータが一貫したスキーマで返されることを確認します。 インベントリ テーブルとウォッチリストのクエリを直接実行する代わりに、パーサーを使うことをお勧めします。 Power Platform インベントリ関連のパーサーは、過去 7 日間のデータを返します。
| パーサー | 返されるデータ | クエリ対象のテーブル |
|---|---|---|
InventoryApps |
Power Apps のインベントリ | PowerApps_CL |
InventoryAppsConnections |
Power Apps 接続の Inventoryconnections | PowerAppsConnections_CL |
InventoryEnvironments |
Power Platform 環境のインベントリ | PowerPlatrformEnvironments_CL |
InventoryFlows |
Power Automate フローのインベントリ | PowerAutomateFlows_CL |
MSBizAppsTerminatedEmployees |
退職した従業員のウォッチリスト (ウォッチリスト テンプレートから) | TerminatedEmployees |
GetPowerAppsEventDetails |
解析された Power Apps/Connections のイベントの詳細を返します | PowerPlatformAdminActivity |
分析ルールについて詳しくは、「難しい設定なしで脅威を検出する」をご覧ください。