Microsoft Power Platform 및 Microsoft Dynamics 365 Customer Engagement에 대한 보안 콘텐츠 참조
이 문서에서는 Power Platform용 Microsoft Sentinel 솔루션에 사용할 수 있는 보안 콘텐츠를 자세히 설명합니다. 이 솔루션에 대한 자세한 내용은 Microsoft Power Platform 및 Microsoft Dynamics 365 Customer Engagement 개요에 대한 Microsoft Sentinel 솔루션을 참조하세요.
Important
- Power Platform용 Microsoft Sentinel 솔루션은 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
- 솔루션은 프리미엄 제품입니다. 솔루션이 일반 공급되기 전에 가격 책정 정보는 공개될 예정입니다.
- 다음 설문 조사를 https://aka.ms/SentinelPowerPlatformSolutionSurvey완료하여 이 솔루션에 대한 피드백을 제공합니다.
기본 제공 분석 규칙
Power Platform용 솔루션을 설치할 때 다음 분석 규칙이 포함됩니다. 나열된 데이터 원본에는 Log Analytics의 데이터 커넥터 이름 및 테이블이 포함됩니다.
Dataverse 규칙
| 규칙 이름 | 설명 | 원본 작업 | 전술 |
|---|---|---|---|
| Dataverse - 비정상적인 애플리케이션 사용자 작업 | 일반적인 사용 패턴을 벗어난 활동을 기반으로 Dataverse 애플리케이션(비대화형) 사용자의 활동 패턴에서 변칙을 식별합니다. | Dynamics 365/Dataverse의 비정상적인 S2S 사용자 작업입니다. 데이터 원본: - Dataverse DataverseActivity |
CredentialAccess, 실행, 지속성 |
| Dataverse - 감사 로그 데이터 삭제 | Dataverse에서 감사 로그 데이터 삭제 작업을 식별합니다. | Dataverse 감사 로그 삭제 데이터 원본: - Dataverse DataverseActivity |
방어 회피 |
| Dataverse - 감사 로깅 사용 안 함 | 감사 로깅이 해제되는 시스템 감사 구성의 변경 사항을 식별합니다. | 전역 또는 엔터티 수준 감사를 사용할 수 없습니다. 데이터 원본: - Dataverse DataverseActivity |
방어 회피 |
| Dataverse - 대량 레코드 소유권 다시 할당 또는 공유 | 다음을 포함하여 개별 레코드 소유권의 변경 내용을 식별합니다. - 다른 사용자/팀과의 공유 기록 - 미리 정의된 임계값을 초과하는 소유권 재할당. |
검색 창 내에서 생성된 많은 레코드 소유권 및 레코드 공유 이벤트입니다. 데이터 원본: - Dataverse DataverseActivity |
권한 상승 |
| Dataverse - SharePoint 문서 관리 사이트에 업로드된 실행 파일 | Dynamics 문서 관리에 사용되는 SharePoint 사이트에 업로드되는 실행 파일 및 스크립트를 식별하여 Dataverse의 네이티브 파일 확장자 제한을 우회합니다. | Dataverse 문서 관리에서 실행 파일 업로드 데이터 원본: - Office365 OfficeActivity (SharePoint) |
실행, 지속성 |
| Dataverse - 종료되거나 알림을 받은 직원의 활동 내보내기 | 종결 직원 또는 조직을 떠나려는 직원에 의해 트리거되는 Dataverse 내보내기 활동을 식별합니다. | TerminatedEmployees 관심 목록 템플릿의 사용자와 연결된 데이터 내보내기 이벤트입니다. 데이터 원본: - Dataverse DataverseActivity |
반출 |
| Dataverse - Power Platform 방어 장애에 따른 게스트 사용자 반출 | Power Platform의 테넌트 격리를 사용하지 않도록 설정 및 환경의 액세스 보안 그룹 제거로 시작하는 이벤트 체인을 식별합니다. 이러한 이벤트는 영향을 받은 환경 및 최근에 만든 Microsoft Entra 게스트 사용자와 연결된 Dataverse 반출 경고와 상관 관계가 있습니다. 이 규칙을 사용하도록 설정하기 전에 반출 MITRE 전술로 다른 Dataverse 분석 규칙을 활성화합니다. |
최근에 만든 게스트 사용자로서 Power Platform 보안 컨트롤을 사용하지 않도록 설정한 후 Dataverse 반출 경고를 트리거합니다. 데이터 원본: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity |
방어 회피 |
| Dataverse - 계층 보안 조작 | 계층 보안에서 의심스러운 동작을 식별합니다. | 다음을 비롯한 보안 속성의 변경 내용: - 계층 보안이 비활성화되었습니다. - 사용자가 관리자로 자신을 할당합니다. - 사용자가 모니터링되는 위치(KQL로 설정)에 자신을 할당합니다. 데이터 원본: - Dataverse DataverseActivity |
권한 상승 |
| Dataverse - Honeypot 인스턴스 작업 | 미리 정의된 Honeypot Dataverse 인스턴스의 활동을 식별합니다. Honeypot에 대한 로그인이 검색되거나 Honeypot에서 모니터링되는 Dataverse 테이블에 액세스할 때 경고합니다. |
감사를 사용하도록 설정된 Power Platform의 지정된 Honeypot Dataverse 인스턴스에 로그인하고 데이터에 액세스합니다. 데이터 원본: - Dataverse DataverseActivity |
검색, 반출 |
| Dataverse - 중요한 권한 있는 사용자가 로그인 | 중요한 사용자가 Dataverse 및 Dynamics 365 로그인을 식별합니다. | KQL 내에서 설정된 태그를 기반으로 VIPUsers 관심 목록에 추가된 사용자가 로그인합니다. 데이터 원본: - Dataverse DataverseActivity |
InitialAccess, CredentialAccess, PrivilegeEscalation |
| Dataverse - 차단 목록의 IP에서 로그인 | 미리 정의된 차단 목록에 있는 IPv4 주소에서 Dataverse 로그인 활동을 식별합니다. | 차단된 네트워크 범위의 일부인 IP 주소를 가진 사용자가 로그인합니다. 차단된 네트워크 범위는 NetworkAddresses 관심 목록 템플릿에서 유지 관리됩니다. 데이터 원본: - Dataverse DataverseActivity |
초기 액세스 |
| Dataverse - 허용 목록에 없는 IP에서 로그인 | 허용 목록에 유지 관리되는 IPv4 서브넷과 일치하지 않는 IPv4 주소에서 로그인을 식별합니다. | 허용된 네트워크 범위에 속하지 않는 IP 주소를 가진 사용자가 로그인합니다. 차단된 네트워크 범위는 NetworkAddresses 관심 목록 템플릿에서 유지 관리됩니다. 데이터 원본: - Dataverse DataverseActivity |
초기 액세스 |
| Dataverse - SharePoint 문서 관리 사이트에서 발견된 맬웨어 | Dynamics 365 문서 관리를 통해 또는 SharePoint에서 직접 업로드된 맬웨어를 식별하여 Dataverse 관련 SharePoint 사이트에 영향을 줍니다. | Dataverse에 연결된 SharePoint 사이트의 악성 파일입니다. 데이터 원본: - Dataverse DataverseActivity- Office365 OfficeActivity (SharePoint) |
실행 |
| Dataverse - 레코드 대량 삭제 | 미리 정의된 임계값에 따라 대규모 레코드 삭제 작업을 식별합니다. 또한 예약된 대량 삭제 작업도 검색합니다. |
KQL에 정의된 임계값을 초과하는 레코드 삭제 데이터 원본: - Dataverse DataverseActivity |
영향 |
| Dataverse - SharePoint 문서 관리에서 대량 다운로드 | Dynamics 365에서 문서 관리를 위해 구성된 SharePoint 사이트에서 파일의 마지막 1시간 동안 대량 다운로드를 식별합니다. | KQL에 정의된 임계값을 초과하는 대량 다운로드 이 분석 규칙은 MSBizApps-Configuration 관심 목록을 사용하여 문서 관리에 사용되는 SharePoint 사이트를 식별합니다. 데이터 원본: - Office365 OfficeActivity (SharePoint) |
반출 |
| Dataverse - Excel로 레코드 대량 내보내기 | Dynamics 365에서 Excel로 많은 수의 레코드를 내보내는 사용자를 식별합니다. 여기서 내보낸 레코드 수는 해당 사용자의 다른 최근 활동보다 훨씬 많습니다. 최근 활동이 없는 사용자의 대규모 내보내기가 미리 정의된 임계값을 사용하여 식별됩니다. |
Dataverse에서 Excel로 많은 레코드를 내보냅니다. 데이터 원본: - Dataverse DataverseActivity |
반출 |
| Dataverse - 대량 레코드 업데이트 | Dataverse 및 Dynamics 365에서 미리 정의된 임계값을 초과하는 대량 레코드 업데이트 변경 내용을 검색합니다. | 레코드의 대량 업데이트가 KQL에 정의된 임계값을 초과합니다. 데이터 원본: - Dataverse DataverseActivity |
영향 |
| Dataverse - 새 Dataverse 애플리케이션 사용자 활동 유형 | Dataverse 애플리케이션(비대화형) 사용자와 연결된 신규 또는 이전에 보이지 않는 활동 유형을 식별합니다. | 새 S2S 사용자 활동 유형입니다. 데이터 원본: - Dataverse DataverseActivity |
CredentialAccess, 실행, PrivilegeEscalation |
| Dataverse - 액세스 권한이 부여된 새로운 비대화형 ID | Microsoft Entra 애플리케이션의 위임된 권한을 통해 또는 Dataverse 내에서 애플리케이션 사용자로 직접 할당하여 API 수준 액세스 권한을 식별합니다. | 비대화형 사용자에게 추가된 Dataverse 권한입니다. 데이터 원본: - Dataverse DataverseActivity,- AzureActiveDirectory AuditLogs |
지속성, LateralMovement, PrivilegeEscalation |
| Dataverse - 권한이 없는 도메인에서 새 로그인 | 지난 14일 동안 이전에 표시되지 않았으며 미리 정의된 권한 있는 도메인 목록에 없는 UPN 접미사가 있는 사용자로부터 시작된 Dataverse 로그인 활동을 식별합니다. 일반적인 내부 Power Platform 시스템 사용자는 기본적으로 제외됩니다. |
권한이 없는 도메인 접미사에서 외부 사용자가 로그인합니다. 데이터 원본: - Dataverse DataverseActivity |
초기 액세스 |
| Dataverse - 이전에 사용되지 않은 새 사용자 에이전트 유형 | 지난 14일 동안 Dataverse 인스턴스에 표시되지 않은 사용자 에이전트에서 Dataverse에 액세스하는 사용자를 식별합니다. | 새 사용자 에이전트의 Dataverse 활동입니다. 데이터 원본: - Dataverse DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse - Office 365와 함께 사용되지 않은 새 사용자 에이전트 유형 | 지난 14일 동안 Office 365 워크로드에서 볼 수 없었던 사용자 에이전트를 사용하여 Dynamics에 액세스하는 사용자를 식별합니다. | 새 사용자 에이전트의 Dataverse 활동입니다. 데이터 원본: - Dataverse DataverseActivity |
초기 액세스 |
| Dataverse - 조직 설정 수정됨 | Dataverse 환경의 조직 수준에서 변경된 내용을 식별합니다. | Dataverse에서 수정된 조직 수준 속성입니다. 데이터 원본: - Dataverse DataverseActivity |
지속성 |
| Dataverse - 차단된 파일 확장자 제거 | 환경의 차단된 파일 확장명 수정 사항을 식별하고 제거된 확장자를 추출합니다. | Dataverse 속성에서 차단된 파일 확장자를 제거합니다. 데이터 원본: - Dataverse DataverseActivity |
방어 회피 |
| Dataverse - SharePoint 문서 관리 사이트가 추가 또는 업데이트됨 | SharePoint 문서 관리 통합의 수정 사항을 식별합니다. 문서 관리를 사용하면 Dataverse 외부에 있는 데이터를 스토리지할 수 있습니다. 이 분석 규칙을 Dataverse: 관심 목록 플레이북에 SharePoint 사이트를 추가하여 Dataverse-SharePointSites 관심 목록을 자동으로 업데이트합니다. 이 관심 목록은 Office 365 데이터 커넥터를 사용할 때 Dataverse와 SharePoint 간의 이벤트 상관 관계를 지정하는 데 사용할 수 있습니다. |
문서 관리에 추가된 SharePoint 사이트 매핑입니다. 데이터 원본: - Dataverse DataverseActivity |
반출 |
| Dataverse - 의심스러운 보안 역할 수정 | 새 역할을 만든 다음, 작성자가 역할에 멤버를 추가하고 나중에 멤버를 제거하거나 짧은 기간 후에 역할을 삭제하는 비정상적인 이벤트 패턴을 식별합니다. | 보안 역할 및 역할 할당의 변경 내용 데이터 원본: - Dataverse DataverseActivity |
권한 상승 |
| Dataverse - 의심스러운 TDS 엔드포인트 사용 | 원본 사용자 또는 IP 주소에 최근 보안 경고가 있고 TDS 프로토콜이 대상 환경에서 이전에 사용되지 않은 Dataverse TDS(테이블 형식 데이터 스트림) 프로토콜 기반 쿼리를 식별합니다. | 보안 경고와 상관 관계에 TDS 엔드포인트를 갑자기 사용합니다. 데이터 원본: - Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
반출, InitialAccess |
| Dataverse - Web API의 의심스러운 사용 | 미리 정의된 임계값을 위반하고 잘 알려진 Microsoft Entra 앱 등록에 로그인하는 데 사용된 IP 주소를 가진 사용자로부터 시작된 여러 Dataverse 환경에서 로그인을 식별합니다. | 잘 알려진 공용 애플리케이션 ID를 사용하여 여러 환경에서 WebAPI를 사용하여 로그인합니다. 데이터 원본: - Dataverse DataverseActivity- AzureActiveDirectory SigninLogs |
실행, 반출, 정찰, 검색 |
| Dataverse - TI가 IP를 DataverseActivity에 매핑 | Microsoft Sentinel 위협 인텔리전스의 IP IOC에서 DataverseActivity의 일치 항목을 식별합니다. | IP가 IOC와 일치하는 Dataverse 활동입니다. 데이터 원본: - Dataverse DataverseActivity위협 인텔리전스 ThreatIntelligenceIndicator |
InitialAccess, LateralMovement, Discovery |
| Dataverse - TI가 URL을 DataverseActivity에 매핑 | Microsoft Sentinel 위협 인텔리전스의 URL IOC에서 DataverseActivity의 일치 항목을 식별합니다. | URL이 IOC와 일치하는 Dataverse 활동입니다. 데이터 원본: - Dataverse DataverseActivity위협 인텔리전스 ThreatIntelligenceIndicator |
InitialAccess, 실행, 지속성 |
| Dataverse - 전자 메일을 통한 직원 반출 종료 | 종료된 직원의 전자 메일을 통해 Dataverse 반출을 식별합니다. | TerminatedEmployees 관심 목록에 있는 사용자와 상관 관계가 있는 보안 경고에 따라 신뢰할 수 없는 받는 사람 도메인으로 전송된 전자 메일입니다. 데이터 원본: MicrosoftThreatProtection EmailEventsIdentityInfo- AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
반출 |
| Dataverse - USB 드라이브에 대한 직원 반출 종료 | 퇴사 또는 종료된 직원을 통해 Dataverse에서 다운로드한 파일을 식별하고 USB 탑재 드라이브에 복사됩니다. | TerminatedEmployees 관심 목록에 있는 사용자가 USB에 복사한 Dataverse에서 시작된 파일입니다. 데이터 원본: - Dataverse DataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
반출 |
| Dataverse - 비활성화된 IP 주소 기반 쿠키 바인딩 보호에 따른 비정상적인 로그인 | 쿠키 바인딩 보호를 사용하지 않도록 설정하면 Dataverse 인스턴스에서 이전에 보이지 않았던 IP 및 사용자 에이전트를 식별합니다. 자세한 내용은 IP 쿠키 바인딩을 사용하여 Dataverse 세션 보호 기능을 참조하세요. |
새 로그인 활동입니다. 데이터 원본: - Dataverse DataverseActivity |
방어 회피 |
| Dataverse - 일반 작업 외부의 사용자 대량 검색 | 지난 2주 동안 Dataverse에서 훨씬 더 많은 레코드를 검색하는 사용자를 식별합니다. | 사용자는 Dataverse에서 많은 레코드를 검색하고 KQL 정의된 임계값을 포함합니다. 데이터 원본: - Dataverse DataverseActivity |
반출 |
Power Apps 규칙
| 규칙 이름 | 설명 | 원본 작업 | 전술 |
|---|---|---|---|
| Power Apps - 권한 없는 지역에서의 앱 활동 | 권한 없는 지리적 영역의 미리 정의된 목록에서 지리적 지역의 Power Apps 활동을 식별합니다. 이 검색은 ISO OBP(온라인 브라우징 플랫폼)에서 ISO 3166-1 alpha-2 국가 코드 목록을 가져옵니다. 이 검색은 Microsoft Entra ID에서 수집된 로그를 사용하며 Microsoft Entra ID 데이터 커넥터도 사용하도록 설정해야 합니다. |
권한이 없는 국가 코드 목록에 있는 지리적 지역에서 Power App에서 활동을 실행합니다. 데이터 원본: - Microsoft Power Platform 관리자 작업(미리 보기) PowerPlatformAdminActivity- Microsoft Entra ID SigninLogs |
초기 액세스 |
| Power Apps - 여러 앱이 삭제됨 | 여러 Power Platform 환경에서 삭제된 총 앱 또는 앱 삭제 이벤트의 미리 정의된 임계값과 일치하는 여러 Power Apps가 삭제되는 대량 삭제 작업을 식별합니다. | Power Platform 관리 센터에서 많은 Power Apps를 삭제합니다. 데이터 원본: - Microsoft Power Platform 관리자 작업(미리 보기) PowerPlatformAdminActivity |
영향 |
| Power Apps - 새 앱 게시 후 데이터 소멸 | 새 앱이 만들어지거나 게시되고 Dataverse에서 대량 업데이트 또는 삭제 이벤트가 1시간 이내에 수행될 때 이벤트 체인을 식별합니다. | Power App을 만들거나 게시한 후 1시간 이내에 Power Apps에서 많은 레코드를 삭제합니다. 앱 게시자가 TerminatedEmployees 관심 목록 템플릿의 사용자 목록에 있으면 인시던트 심각도가 높아집니다. 데이터 원본: - Microsoft Power Platform 관리자 작업(미리 보기) PowerPlatformAdminActivity- Microsoft Dataverse(미리 보기) DataverseActivity |
영향 |
| Power Apps - 새 앱을 시작한 후 악의적인 링크에 액세스하는 여러 사용자 | 새 Power App이 만들어지고 다음 이벤트가 뒤따를 때 이벤트 체인을 식별합니다. - 여러 사용자가 검색 창 내에서 앱을 시작합니다. - 여러 사용자가 동일한 악성 URL을 엽니다. 이 검색은 Power Apps 실행 로그와 다음 원본 중 하나의 악의적인 URL 선택 이벤트를 상호 연결합니다. - Microsoft 365 Defender 데이터 커넥터 또는 - ASIM(Advanced Security Information Model) 웹 세션 정규화 파서를 사용하는 Microsoft Sentinel 위협 인텔리전스의 IOC(악의적인 URL 표시기) 이 검색은 쿼리를 만들어 악의적인 링크를 시작하거나 선택하는 고유한 사용자 수를 가져옵니다. |
여러 사용자가 새 PowerApp을 시작하고 앱에서 알려진 악성 URL을 엽니다. 데이터 원본: - Microsoft Power Platform 관리자 작업(미리 보기) PowerPlatformAdminActivity- 위협 인텔리전스 ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
초기 액세스 |
| Power Apps - 새로 만든 게스트 사용자에게 Power Apps 대량 공유 | 새로 만든 Microsoft Entra 게스트 사용자에 대한 Power Apps의 비정상적인 대량 공유를 식별합니다. 비정상적인 대량 공유는 쿼리에서 미리 정의된 임계값을 기반으로 합니다. | 여러 외부 사용자와 앱을 공유합니다. 데이터 원본: - Microsoft Power Platform 관리자 작업(미리 보기) PowerPlatformAdminActivity- Microsoft Entra IDAuditLogs |
리소스 개발, 초기 액세스, 수평 이동 |
Power Automate 규칙
| 규칙 이름 | 설명 | 원본 작업 | 전술 |
|---|---|---|---|
| Power Automate - 직원 흐름 활동 퇴사 | 알림을 받았거나 이미 종료된 직원이 종료된 직원 관심 목록에 있는 경우 Power Automate 흐름을 만들거나 수정하는 인스턴스를 식별합니다. | TerminatedEmployees 관심 목록에 정의된 사용자는 Power Automate 흐름을 만들거나 업데이트합니다. 데이터 원본: Microsoft Power Automate(미리 보기) PowerAutomateActivityTerminatedEmployees 관심 목록 |
반출, 영향 |
| Power Automate - 흐름 리소스의 비정상적인 대량 삭제 | 쿼리에 정의된 미리 정의된 임계값을 초과하고 지난 14일 동안 관찰된 활동 패턴에서 벗어나는 Power Automate 흐름의 대량 삭제를 식별합니다. | Power Automate 흐름의 대량 삭제 데이터 원본: - PowerAutomate PowerAutomateActivity |
영향 방어 회피 |
Power Platform 규칙
| 규칙 이름 | 설명 | 원본 작업 | 전술 |
|---|---|---|---|
| Power Platform - 커넥터가 중요한 환경에 추가됨 | Power Platform 내에서 특히 미리 정의된 중요한 환경 목록을 대상으로 하는 새 API 커넥터를 만드는 것을 식별합니다. | 중요한 Power Platform 환경에 새 Power Platform 커넥터를 추가합니다. 데이터 원본: - Microsoft Power Platform 관리자 작업(미리 보기) PowerPlatformAdminActivity |
실행, 반출 |
| Power Platform - DLP 정책 업데이트 또는 제거 | 데이터 손실 방지 정책, 특히 업데이트되거나 제거된 정책의 변경 내용을 식별합니다. | Power Platform 환경에서 Power Platform 데이터 손실 방지 정책을 업데이트하거나 제거합니다. 데이터 원본: Microsoft Power Platform 관리자 작업(미리 보기) PowerPlatformAdminActivity |
방어 회피 |
| Power Platform - 손상된 사용자가 Power Platform 서비스에 액세스할 수 있음 | Microsoft Entra ID Protection의 위험에 플래그가 지정된 사용자 계정을 식별하고 이러한 사용자를 Power Apps, Power Automate 및 Power Platform 관리 센터를 비롯한 Power Platform의 로그인 활동과 상호 연결합니다. | 위험 신호가 있는 사용자는 Power Platform 포털에 액세스합니다. 데이터 원본: - Microsoft Entra ID SigninLogs |
초기 액세스, 횡적 이동 |
| Power Platform - 권한 있는 Microsoft Entra 역할에 추가된 계정 | Power Platform에 영향을 주는 다음과 같은 권한 있는 디렉터리 역할의 변경 내용을 식별합니다. - Dynamics 365 Admins- Power Platform Admins - Fabric Admins |
데이터 원본: AzureActiveDirectory AuditLogs |
권한 상승 |
헌팅 쿼리
이 솔루션에는 Dynamics 365 및 Power Platform 환경에서 악의적이거나 의심스러운 활동을 사전에 헌팅하기 위해 분석가가 사용할 수 있는 헌팅 쿼리가 포함됩니다.
| 규칙 이름 | 설명 | 데이터 원본 | 전술 |
|---|---|---|---|
| Dataverse - Microsoft Entra 경고 후 활동 | 이 헌팅 쿼리는 해당 사용자에 대한 Microsoft Entra ID Protection 경고 직후 Dataverse/Dynamics 365 작업을 수행하는 사용자를 찾습니다. 쿼리는 이전에 볼 수 없거나 이전에 볼 수 없었던 Dynamics 작업을 수행하는 사용자만 찾습니다. |
- Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
초기 액세스 |
| Dataverse - 실패한 로그온 후의 활동 | 이 헌팅 쿼리는 많은 로그인 실패 직후 Dataverse/Dynamics 365 작업을 수행하는 사용자를 찾습니다. 이 쿼리를 사용하여 잠재적인 사후 무차별 암호 대입 활동을 헌팅합니다. 가양성 비율에 따라 임계값 수치를 조정합니다. |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
초기 액세스 |
| Dataverse - 환경 간 데이터 내보내기 작업 | 미리 정해진 수의 Dataverse 인스턴스에서 데이터 내보내기 작업을 검색합니다. 여러 환경에서의 데이터 내보내기 활동은 사용자가 일반적으로 몇 가지 환경에서만 작업하기 때문에 의심스러운 활동을 나타낼 수 있습니다. |
- DataverseDataverseActivity |
반출, 컬렉션 |
| Dataverse - USB 디바이스로 복사된 Dataverse 내보내기 | Microsoft Defender XDR의 데이터를 사용하여 Dataverse 인스턴스에서 다운로드하여 USB 드라이브에 복사된 파일을 검색합니다. | - DataverseDataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
반출 |
| Dataverse - 프로덕션 환경에 액세스하는 데 사용되는 일반 클라이언트 앱 | 기본 제공 "Dynamics 365 예제 애플리케이션"을 사용하여 프로덕션 환경에 액세스하는 방법을 검색합니다. 이 일반 앱은 Microsoft Entra ID 권한 부여 컨트롤에 의해 제한될 수 없으며 Web API를 통해 무단 액세스를 얻기 위해 악용될 수 있습니다. |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
실행 |
| Dataverse - 권한 있는 디렉터리 역할 멤버 자격 외부의 ID 관리 작업 | Dynamics 365 관리자, Power Platform Admins 또는 전역 관리자와 같은 권한 있는 디렉터리 역할의 멤버가 아닌 계정 whthatich에서 만든 Dataverse/Dynamics 365의 ID 관리 이벤트를 검색합니다. | - DataverseDataverseActivity- UEBA IdentityInfo |
권한 상승 |
| Dataverse - MFA 없이 ID 관리 변경 | MFA를 사용하지 않고 로그인한 계정에서 만든 Dataverse에서 권한 있는 ID 관리 작업을 표시하는 데 사용됩니다. | - DataverseDataverseActivity- AzureActiveDirectory SigninLogs, DataverseActivity |
초기 액세스 |
| Power Apps - 새로 만든 게스트 사용자에게 Power App의 비정상적인 대량 공유 | 쿼리는 새로 만든 게스트 사용자에게 Power App의 대량 공유를 수행하려는 비정상적인 시도를 검색합니다. |
데이터 원본: PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess, LateralMovement, ResourceDevelopment |
플레이북
이 솔루션에는 Microsoft Sentinel의 인시던트 및 경고에 대한 보안 대응을 자동화하는 데 사용할 수 있는 플레이북이 포함되어 있습니다.
| 플레이북 이름 | 설명 |
|---|---|
| 보안 워크플로: 워크로드 소유자를 사용하여 경고 확인 | 이 플레이북은 특정 분석 규칙에 대한 경고 확인을 IT 관리자에게 오프로드하여 SOC에 대한 부담을 줄일 수 있습니다. Microsoft Sentinel 경고가 생성되고 워크로드 소유자의 Microsoft Teams 채널에 경고 세부 정보가 포함된 메시지(및 관련 알림 이메일)를 만들 때 트리거됩니다. 워크로드 소유자가 활동에 권한이 없다고 응답하면 SOC가 처리할 Microsoft Sentinel의 인시던트로 경고가 변환됩니다. |
| Dataverse: 관리자에게 알림 보내기 | 이 플레이북은 Microsoft Sentinel 인시던트가 발생할 때 트리거될 수 있으며 영향을 받는 사용자 엔터티의 관리자에게 전자 메일 알림을 자동으로 보냅니다. Playbook은 Dynamics 365 관리자 또는 Office 365의 관리자를 사용하여 보내도록 구성할 수 있습니다. |
| Dataverse: 차단 목록에 사용자 추가(인시던트 트리거) | 이 플레이북은 Microsoft Sentinel 인시던트가 발생할 때 트리거될 수 있으며, 영향을 받는 사용자 엔터티를 미리 정의된 Microsoft Entra 그룹에 자동으로 추가하여 액세스가 차단됩니다. Microsoft Entra 그룹은 조건부 액세스와 함께 Dataverse에 대한 로그인을 차단하는 데 사용됩니다. |
| Dataverse: Outlook 승인 워크플로를 사용하여 차단 목록에 사용자 추가 | 이 플레이북은 Microsoft Sentinel 인시던트가 발생할 때 트리거될 수 있으며, Outlook 기반 승인 워크플로를 사용하여 영향을 받는 사용자 엔터티를 미리 정의된 Microsoft Entra 그룹에 자동으로 추가하여 액세스가 차단됩니다. Microsoft Entra 그룹은 조건부 액세스와 함께 Dataverse에 대한 로그인을 차단하는 데 사용됩니다. |
| Dataverse: Teams 승인 워크플로를 사용하여 차단 목록에 사용자 추가 | 이 플레이북은 Microsoft Sentinel 인시던트가 발생할 때 트리거될 수 있으며, Teams 적응형 카드 승인 워크플로를 사용하여 영향을 받는 사용자 엔터티를 미리 정의된 Microsoft Entra 그룹에 자동으로 추가하여 액세스가 차단됩니다. Microsoft Entra 그룹은 조건부 액세스와 함께 Dataverse에 대한 로그인을 차단하는 데 사용됩니다. |
| Dataverse: 차단 목록에 사용자 추가(경고 트리거) | 이 플레이북은 Microsoft Sentinel 경고가 발생할 때 주문형으로 트리거될 수 있으므로 분석가가 영향을 받는 사용자 엔터티를 미리 정의된 Microsoft Entra 그룹에 추가할 수 있으므로 액세스가 차단됩니다. Microsoft Entra 그룹은 조건부 액세스와 함께 Dataverse에 대한 로그인을 차단하는 데 사용됩니다. |
| Dataverse: 차단 목록에서 사용자 제거 | 이 플레이북은 Microsoft Sentinel 경고가 발생할 때 주문형으로 트리거될 수 있으므로 분석가가 액세스를 차단하는 데 사용되는 미리 정의된 Microsoft Entra 그룹에서 영향을 받는 사용자 엔터티를 제거할 수 있습니다. Microsoft Entra 그룹은 조건부 액세스와 함께 Dataverse에 대한 로그인을 차단하는 데 사용됩니다. |
| Dataverse: 관심 목록에 SharePoint 사이트 추가 | 이 플레이북은 구성 관심 목록에 새 또는 업데이트된 SharePoint 문서 관리 사이트를 추가하는 데 사용됩니다. Dataverse 활동 로그를 모니터링하는 예약된 분석 규칙과 결합하면 이 플레이북은 새 SharePoint 문서 관리 사이트 매핑이 추가될 때 트리거됩니다. 모니터링 범위를 확장하기 위해 사이트가 관심 목록에 추가됩니다. |
통합 문서
Microsoft Sentinel 통합 문서는 분석가의 효율적인 보안 데이터 시각화, 분석 및 조사를 용이하게 하는 Microsoft Sentinel 내에서 사용자 지정할 수 있는 대화형 대시보드입니다. 이 솔루션에는 레코드 검색 통계 및 변칙 차트를 포함하여 Microsoft Dynamics 365 Customer Engagement/Dataverse의 활동을 시각적으로 나타내는 Dynamics 365 활동 통합 문서가 포함되어 있습니다.
관심 목록
이 솔루션에는 MSBizApps-Configuration 관심 목록이 포함되며 사용자는 다음 관심 목록 템플릿을 기반으로 추가 관심 목록을 만들어야 합니다.
- VIPUsers
- NetworkAddresses
- TerminatedEmployees
자세한 내용은 Microsoft Sentinel 의 관심 목록 및 관심 목록 만들기를 참조하세요.
기본 제공된 파서
솔루션에는 원시 데이터 테이블의 데이터에 액세스하는 데 사용되는 파서가 포함됩니다. 파서는 올바른 데이터가 일관된 스키마와 함께 반환되는지 확인합니다. 관심 목록을 직접 쿼리하는 대신 파서를 사용하는 것이 좋습니다.
| 파서 | 반환된 데이터 | 쿼리된 테이블 |
|---|---|---|
| MSBizAppsOrgSettings | Dynamics 365 Customer Engagement/Dataverse에서 사용할 수 있는 사용 가능한 조직 전체 설정 목록 | 해당 없음 |
| MSBizAppsVIPUsers | VIPUsers 관심 목록에 대한 파서 |
VIPUsers 관심 목록 템플릿에서 |
| MSBizAppsNetworkAddresses | NetworkAddresses 관심 목록에 대한 파서 |
NetworkAddresses 관심 목록 템플릿에서 |
| MSBizAppsTerminatedEmployees | TerminatedEmployees 관심 목록에 대한 파서 |
TerminatedEmployees 관심 목록 템플릿에서 |
| DataverseSharePointSites | Dataverse 문서 관리에 사용되는 SharePoint 사이트 |
MSBizApps-Configuration 'SharePoint' 범주로 필터링된 관심 목록 |
분석 규칙에 대한 자세한 내용은 기본 제공 위협 검색을 참조 하세요.