Naslaginformatie over beveiligingsinhoud voor Microsoft Power Platform en Microsoft Dynamics 365 Customer Engagement
In dit artikel wordt de beveiligingsinhoud beschreven die beschikbaar is voor de Microsoft Sentinel-oplossing voor Power Platform. Zie het overzicht van Microsoft Sentinel voor Microsoft Power Platform en Microsoft Dynamics 365 Customer Engagement voor meer informatie over deze oplossing.
Belangrijk
- De Microsoft Sentinel-oplossing voor Power Platform is momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
- De oplossing is een premium-aanbieding. Prijsinformatie is beschikbaar voordat de oplossing algemeen beschikbaar wordt.
- Geef feedback voor deze oplossing door deze enquête te voltooien: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Ingebouwde analyseregels
De volgende analyseregels worden opgenomen wanneer u de oplossing voor Power Platform installeert. De vermelde gegevensbronnen bevatten de naam en tabel van de gegevensconnector in Log Analytics.
Dataverse-regels
| Naam van de regel | Beschrijving | Bronactie | Tactieken |
|---|---|---|---|
| Dataverse - Afwijkende toepassingsgebruikersactiviteit | Identificeert afwijkingen in activiteitspatronen van Dataverse-toepassingsgebruikers (niet-interactief) op basis van activiteit die buiten het normale gebruikspatroon valt. | Ongebruikelijke S2S-gebruikersactiviteit in Dynamics 365/Dataverse. Gegevensbronnen: - Dataverse DataverseActivity |
CredentialAccess, uitvoering, persistentie |
| Dataverse - Verwijdering van logboekgegevens controleren | Identificeert de activiteiten voor het verwijderen van auditlogboekgegevens in Dataverse. | Verwijdering van Dataverse-auditlogboeken. Gegevensbronnen: - Dataverse DataverseActivity |
Defense Evasion |
| Dataverse - Auditlogboeken uitgeschakeld | Identificeert een wijziging in de systeemcontroleconfiguratie waarbij auditlogboekregistratie is uitgeschakeld. | Controle op globaal of entiteitsniveau is uitgeschakeld. Gegevensbronnen: - Dataverse DataverseActivity |
Defense Evasion |
| Dataverse - Bulksgewijs eigendom opnieuw toewijzen of delen | Identificeert wijzigingen in het eigendom van afzonderlijke records, waaronder: - Delen met andere gebruikers/teams opnemen - Toewijzingen van eigendom die een vooraf gedefinieerde drempelwaarde overschrijden. |
Veel recordeigendom en gebeurtenissen voor het delen van records die zijn gegenereerd in het detectievenster. Gegevensbronnen: - Dataverse DataverseActivity |
Privilege Escalation |
| Dataverse - Uitvoerbaar bestand geüpload naar sharePoint-documentbeheersite | Identificeert uitvoerbare bestanden en scripts die worden geüpload naar SharePoint-sites die worden gebruikt voor Dynamics-documentbeheer, waardoor systeemeigen beperkingen voor bestandsextensies in Dataverse worden omzeild. | Uploaden van uitvoerbare bestanden in Dataverse-documentbeheer. Gegevensbronnen: - Office365 OfficeActivity (SharePoint) |
Uitvoering, persistentie |
| Dataverse - Exportactiviteit van beëindigde of aangemelde werknemer | Identificeert de Dataverse-exportactiviteit die wordt geactiveerd door beëindiging van werknemers of werknemers die de organisatie verlaten. | Gebeurtenissen voor gegevensexport die zijn gekoppeld aan gebruikers op de watchlistsjabloon TerminatedEmployees . Gegevensbronnen: - Dataverse DataverseActivity |
Exfiltration (Exfiltratie) |
| Dataverse - Exfiltratie van gastgebruikers na een beveiligingsbeperking voor Power Platform | Identificeert een keten van gebeurtenissen die beginnen met het uitschakelen van tenantisolatie van Power Platform en het verwijderen van de toegangsbeveiligingsgroep van een omgeving. Deze gebeurtenissen worden gecorreleerd met dataverse-exfiltratiewaarschuwingen die zijn gekoppeld aan de betrokken omgeving en onlangs gemaakte Microsoft Entra-gastgebruikers. Activeer andere Dataverse-analyseregels met de MITRE-tactiek voor exfiltratie voordat u deze regel inschakelt. |
Als onlangs gemaakte gastgebruiker activeert u dataverse-exfiltratiewaarschuwingen nadat de beveiligingsbesturingselementen van Power Platform zijn uitgeschakeld. Gegevensbronnen: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity |
Verdedigingsontduiking |
| Dataverse - Hiërarchiebeveiligingsmanipulatie | Identificeert verdacht gedrag in hiërarchiebeveiliging. | Wijzigingen in beveiligingseigenschappen, waaronder: - Hiërarchiebeveiliging uitgeschakeld. - Gebruiker wijst zichzelf toe als manager. - Gebruiker wijst zichzelf toe aan een bewaakte positie (ingesteld in KQL). Gegevensbronnen: - Dataverse DataverseActivity |
Privilege Escalation |
| Dataverse - Honeypot-exemplaaractiviteit | Identificeert activiteiten in een vooraf gedefinieerd Honeypot Dataverse-exemplaar. Waarschuwingen wanneer er een aanmelding bij de Honeypot wordt gedetecteerd of wanneer bewaakte Dataverse-tabellen in de Honeypot worden geopend. |
Aanmeldings- en toegangsgegevens in een aangewezen Honeypot Dataverse-exemplaar in Power Platform waarvoor controle is ingeschakeld. Gegevensbronnen: - Dataverse DataverseActivity |
Detectie, exfiltratie |
| Dataverse - Aanmelden door een gevoelige bevoegde gebruiker | Identificeert Dataverse- en Dynamics 365-aanmeldingen door gevoelige gebruikers. | Aanmelden door gebruikers die zijn toegevoegd aan de watchlist VIPUsers op basis van tags die zijn ingesteld in KQL. Gegevensbronnen: - Dataverse DataverseActivity |
InitialAccess, CredentialAccess, PrivilegeEscalation |
| Dataverse - Aanmelden vanaf IP in de blokkeringslijst | Identificeert dataverse-aanmeldingsactiviteit van IPv4-adressen die zich op een vooraf gedefinieerde bloklijst bevinden. | Meld u aan door een gebruiker met een IP-adres dat deel uitmaakt van een geblokkeerd netwerkbereik. Geblokkeerde netwerkbereiken worden onderhouden in de watchlistsjabloon NetworkAddresses . Gegevensbronnen: - Dataverse DataverseActivity |
Initial Access (Initiële toegang) |
| Dataverse - Aanmelden vanaf IP niet in de acceptatielijst | Identificeert aanmeldingen van IPv4-adressen die niet overeenkomen met IPv4-subnetten die worden onderhouden op een acceptatielijst. | Meld u aan bij een gebruiker met een IP-adres dat geen deel uitmaakt van een toegestaan netwerkbereik. Geblokkeerde netwerkbereiken worden onderhouden in de watchlistsjabloon NetworkAddresses . Gegevensbronnen: - Dataverse DataverseActivity |
Initial Access (Initiële toegang) |
| Dataverse - Malware gevonden op de SharePoint-site voor documentbeheer | Identificeert malware die is geüpload via Dynamics 365-documentbeheer of rechtstreeks in SharePoint, wat van invloed is op dataverse gekoppelde SharePoint-sites. | Schadelijk bestand op sharePoint-site gekoppeld aan Dataverse. Gegevensbronnen: - Dataverse DataverseActivity- Office365 OfficeActivity (SharePoint) |
Uitvoering. |
| Dataverse - Massaverwijdering van records | Identificeert grootschalige bewerkingen voor het verwijderen van records op basis van een vooraf gedefinieerde drempelwaarde. Detecteert ook geplande taken voor bulksgewijs verwijderen. |
Verwijdering van records die de drempelwaarde overschrijden die is gedefinieerd in KQL. Gegevensbronnen: - Dataverse DataverseActivity |
Impact |
| Dataverse - Massadownload van SharePoint-documentbeheer | Identificeert massadownloads in het afgelopen uur van bestanden van SharePoint-sites die zijn geconfigureerd voor documentbeheer in Dynamics 365. | Massadownload die de drempelwaarde overschrijdt die is gedefinieerd in KQL. Deze analyseregel maakt gebruik van de watchlist MSBizApps-Configuration om SharePoint-sites te identificeren die worden gebruikt voor documentbeheer. Gegevensbronnen: - Office365 OfficeActivity (SharePoint) |
Exfiltration (Exfiltratie) |
| Dataverse - Massaexport van records naar Excel | Identificeert gebruikers die een groot aantal records exporteren van Dynamics 365 naar Excel, waarbij het aantal geëxporteerde records aanzienlijk groter is dan andere recente activiteiten van die gebruiker. Grote exports van gebruikers zonder recente activiteit worden geïdentificeerd met behulp van een vooraf gedefinieerde drempelwaarde. |
Exporteer veel records van Dataverse naar Excel. Gegevensbronnen: - Dataverse DataverseActivity |
Exfiltration (Exfiltratie) |
| Dataverse - Massarecordupdates | Detecteert wijzigingen in massarecordupdates in Dataverse en Dynamics 365, die een vooraf gedefinieerde drempelwaarde overschrijden. | Bijwerken van records overschrijdt de drempelwaarde die is gedefinieerd in KQL. Gegevensbronnen: - Dataverse DataverseActivity |
Impact |
| Dataverse - Gebruikersactiviteitstype nieuwe Dataverse-toepassing | Identificeert nieuwe of eerder niet-gebruikte activiteitstypen die zijn gekoppeld aan een Dataverse-toepassingsgebruiker (niet-interactief). | Nieuwe S2S-gebruikersactiviteitstypen. Gegevensbronnen: - Dataverse DataverseActivity |
CredentialAccess, uitvoering, PrivilegeEscalation |
| Dataverse - Nieuwe niet-interactieve identiteit die toegang heeft verleend | Identificeert toegang op API-niveau, via de gedelegeerde machtigingen van een Microsoft Entra-toepassing of door directe toewijzing binnen Dataverse als toepassingsgebruiker. | Dataverse-machtigingen toegevoegd aan niet-interactieve gebruiker. Gegevensbronnen: - Dataverse DataverseActivity,- AzureActiveDirectory AuditLogs |
Persistentie, LateralMovement, PrivilegeEscalation |
| Dataverse - Nieuwe aanmelding vanuit een niet-geautoriseerd domein | Identificeert dataverse-aanmeldingsactiviteit die afkomstig is van gebruikers met UPN-achtervoegsels die de afgelopen 14 dagen nog niet zijn gezien en die niet aanwezig zijn in een vooraf gedefinieerde lijst met geautoriseerde domeinen. Algemene interne Power Platform-systeemgebruikers worden standaard uitgesloten. |
Meld u aan door een externe gebruiker vanuit een niet-geautoriseerd domeinachtervoegsel. Gegevensbronnen: - Dataverse DataverseActivity |
Initial Access (Initiële toegang) |
| Dataverse - Nieuw type gebruikersagent dat niet eerder is gebruikt | Identificeert gebruikers die Dataverse openen vanuit een gebruikersagent die de afgelopen 14 dagen niet is gezien in een Dataverse-exemplaar. | Activiteit in Dataverse van een nieuwe gebruikersagent. Gegevensbronnen: - Dataverse DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse - Nieuw gebruikersagenttype dat niet is gebruikt met Office 365 | Identificeert gebruikers die Dynamics openen met een gebruikersagent die de afgelopen 14 dagen niet is gezien in office 365-workloads. | Activiteit in Dataverse van een nieuwe gebruikersagent. Gegevensbronnen: - Dataverse DataverseActivity |
Initial Access (Initiële toegang) |
| Dataverse - Organisatie-instellingen gewijzigd | Identificeert wijzigingen die zijn aangebracht op organisatieniveau in de Dataverse-omgeving. | Eigenschap op organisatieniveau gewijzigd in Dataverse. Gegevensbronnen: - Dataverse DataverseActivity |
Persistentie |
| Dataverse - Verwijdering van geblokkeerde bestandsextensies | Identificeert wijzigingen in de geblokkeerde bestandsextensies van een omgeving en extraheert de verwijderde extensie. | Verwijdering van geblokkeerde bestandsextensies in Dataverse-eigenschappen. Gegevensbronnen: - Dataverse DataverseActivity |
Defense Evasion |
| Dataverse - SharePoint-site voor documentbeheer toegevoegd of bijgewerkt | Hiermee worden wijzigingen van de integratie van SharePoint-documentbeheer geïdentificeerd. Met documentbeheer kunt u gegevens buiten Dataverse opslaan. Combineer deze analyseregel met de Dataverse: SharePoint-sites toevoegen aan playbook voor volglijsten om de watchlist voor Dataverse-SharePointSites automatisch bij te werken. Deze volglijst kan worden gebruikt om gebeurtenissen te correleren tussen Dataverse en SharePoint wanneer u de Office 365-gegevensconnector gebruikt. |
SharePoint-sitetoewijzing toegevoegd in Documentbeheer. Gegevensbronnen: - Dataverse DataverseActivity |
Exfiltration (Exfiltratie) |
| Dataverse - Wijzigingen van verdachte beveiligingsrollen | Identificeert een ongebruikelijk patroon van gebeurtenissen waarbij een nieuwe rol wordt gemaakt, gevolgd door de maker die leden toevoegt aan de rol en later het lid verwijdert of de rol na een korte periode verwijdert. | Wijzigingen in beveiligingsrollen en roltoewijzingen. Gegevensbronnen: - Dataverse DataverseActivity |
Privilege Escalation |
| Dataverse - Verdacht gebruik van TDS-eindpunt | Identificeert op protocollen gebaseerde query's op basis van Dataverse TDS (Tabular Data Stream), waarbij de brongebruiker of het IP-adres recente beveiligingswaarschuwingen heeft en het TDS-protocol nog niet eerder in de doelomgeving is gebruikt. | Plotseling gebruik van het TDS-eindpunt in correlatie met beveiligingswaarschuwingen. Gegevensbronnen: - Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
Exfiltratie, InitialAccess |
| Dataverse - Verdacht gebruik van web-API | Identificeert aanmeldingen in meerdere Dataverse-omgevingen die een vooraf gedefinieerde drempelwaarde overschrijden en afkomstig zijn van een gebruiker met een IP-adres dat is gebruikt om u aan te melden bij een bekende Microsoft Entra-app-registratie. | Meld u aan met Behulp van WebAPI in meerdere omgevingen met behulp van een bekende openbare toepassings-id. Gegevensbronnen: - Dataverse DataverseActivity- AzureActiveDirectory SigninLogs |
Uitvoering, Exfiltratie, Reconnaissance, Detectie |
| Dataverse - TI-toewijzings-IP naar DataverseActivity | Identificeert een overeenkomst in DataverseActivity vanuit een IP-IOC van Microsoft Sentinel Threat Intelligence. | Dataverse-activiteit met IP-overeenkomende IOC. Gegevensbronnen: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, LateralMovement, Discovery |
| Dataverse - TI-toewijzings-URL naar DataverseActivity | Identificeert een overeenkomst in DataverseActivity vanuit een URL-IOC van Microsoft Sentinel Threat Intelligence. | Dataverse-activiteit met URL-overeenkomende IOC. Gegevensbronnen: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, uitvoering, persistentie |
| Dataverse - Beëindigde exfiltratie van werknemers via e-mail | Identificeert Dataverse-exfiltratie via e-mail door beëindigde werknemers. | E-mailberichten die worden verzonden naar niet-vertrouwde geadresseerden na beveiligingswaarschuwingen die zijn gecorreleerd met gebruikers op de watchlist TerminatedEmployees . Gegevensbronnen: MicrosoftThreatProtection EmailEventsIdentityInfo- AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
Exfiltration (Exfiltratie) |
| Dataverse - Beëindigde exfiltratie van werknemers naar USB-station | Identificeert bestanden die zijn gedownload van Dataverse door vertrekkende of beëindigde werknemers en worden gekopieerd naar usb-gekoppelde stations. | Bestanden die afkomstig zijn van Dataverse die zijn gekopieerd naar USB door een gebruiker op de watchlist TerminatedEmployees . Gegevensbronnen: - Dataverse DataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Exfiltration (Exfiltratie) |
| Dataverse - Ongebruikelijke aanmelding na uitgeschakelde cookiebindingsbeveiliging op basis van IP-adressen | Identificeert eerder niet-gebruikte IP- en gebruikersagents in een Dataverse-exemplaar na het uitschakelen van cookiebindingsbeveiliging. Zie Dataverse-sessies beveiligen met IP-cookiebinding voor meer informatie. |
Nieuwe aanmeldingsactiviteit. Gegevensbronnen: - Dataverse DataverseActivity |
Defense Evasion |
| Dataverse - Bulksgewijs ophalen van gebruikers buiten normale activiteit | Identificeert gebruikers die aanzienlijk meer records ophalen uit Dataverse dan in de afgelopen twee weken. | Gebruiker haalt veel records op uit Dataverse en inclusief de door KQL gedefinieerde drempelwaarde. Gegevensbronnen: - Dataverse DataverseActivity |
Exfiltration (Exfiltratie) |
Power Apps-regels
| Naam van de regel | Beschrijving | Bronactie | Tactieken |
|---|---|---|---|
| Power Apps - App-activiteit van niet-geautoriseerde geografische gebieden | Identificeert Power Apps-activiteit van geografische regio's in een vooraf gedefinieerde lijst met niet-geautoriseerde geografische regio's. Deze detectie haalt de lijst met ISO 3166-1 alfa-2 landcodes van ISO Online Browse Platform (OBP) op. Deze detectie maakt gebruik van logboeken die zijn opgenomen uit Microsoft Entra-id en vereist dat u ook de Microsoft Entra ID-gegevensconnector inschakelt. |
Voer een activiteit uit in een Power App vanuit een geografische regio die zich in de lijst met niet-geautoriseerde landcode bevindt. Gegevensbronnen: - Microsoft Power Platform-beheeractiviteit (preview) PowerPlatformAdminActivity- Microsoft Entra-id SigninLogs |
Initial Access |
| Power Apps - Meerdere apps verwijderd | Identificeert activiteit voor massa-verwijdering waarbij meerdere Power Apps worden verwijderd, die overeenkomt met een vooraf gedefinieerde drempelwaarde voor het totale aantal verwijderde of app-verwijderde gebeurtenissen in meerdere Power Platform-omgevingen. | Verwijder veel Power Apps uit het Power Platform-beheercentrum. Gegevensbronnen: - Microsoft Power Platform-beheeractiviteit (preview) PowerPlatformAdminActivity |
Impact |
| Power Apps - Gegevensvernietiging na publicatie van een nieuwe app | Identificeert een keten van gebeurtenissen wanneer een nieuwe app wordt gemaakt of gepubliceerd en binnen 1 uur wordt gevolgd door een gebeurtenis voor massa-update of verwijdering in Dataverse. | Verwijder veel records in Power Apps binnen 1 uur nadat de Power App is gemaakt of gepubliceerd. Als de uitgever van de app op de lijst met gebruikers in de sjabloon TerminatedEmployees watchlist staat, wordt de ernst van het incident verhoogd. Gegevensbronnen: - Microsoft Power Platform-beheeractiviteit (preview) PowerPlatformAdminActivity- Microsoft Dataverse (preview) DataverseActivity |
Impact |
| Power Apps: meerdere gebruikers die toegang hebben tot een schadelijke koppeling na het starten van een nieuwe app | Identificeert een keten van gebeurtenissen wanneer een nieuwe Power App wordt gemaakt en wordt gevolgd door deze gebeurtenissen: - Meerdere gebruikers starten de app in het detectievenster. - Meerdere gebruikers openen dezelfde schadelijke URL. Dit detectiekruis correleert Power Apps-uitvoeringslogboeken met schadelijke URL-selectiegebeurtenissen uit een van de volgende bronnen: - De Microsoft 365 Defender-gegevensconnector of - Schadelijke URL-indicatoren van inbreuk (IOC) in Microsoft Sentinel Threat Intelligence met de websessienormalisatieparser Advanced Security Information Model (ASIM). Met deze detectie krijgt u het unieke aantal gebruikers dat de schadelijke koppeling start of selecteert door een query te maken. |
Meerdere gebruikers starten een nieuwe PowerApp en openen een bekende schadelijke URL vanuit de app. Gegevensbronnen: - Microsoft Power Platform-beheeractiviteit (preview) PowerPlatformAdminActivity- Bedreigingsinformatie ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
Initial Access |
| Power Apps- Bulksgewijs delen van Power Apps voor nieuw gemaakte gastgebruikers | Identificeert ongebruikelijk bulksgewijs delen van Power Apps voor nieuw gemaakte Microsoft Entra-gastgebruikers. Ongebruikelijk bulksgewijs delen is gebaseerd op een vooraf gedefinieerde drempelwaarde in de query. | Een app delen met meerdere externe gebruikers. Gegevensbronnen: - Microsoft Power Platform-beheeractiviteit (preview) PowerPlatformAdminActivity- Microsoft Entra-idAuditLogs |
Resourceontwikkeling, Eerste toegang, Zijwaartse beweging |
Power Automate-regels
| Naam van de regel | Beschrijving | Bronactie | Tactieken |
|---|---|---|---|
| Power Automate - Activiteit van vertrekkende werknemersstroom | Identificeert exemplaren waarbij een werknemer die is gewaarschuwd of al is beëindigd en zich op de watchlist Voor beëindigde werknemers bevindt, een Power Automate-stroom maakt of wijzigt. | Gebruiker die is gedefinieerd in de watchlist TerminatedEmployees maakt of werkt een Power Automate-stroom bij. Gegevensbronnen: Microsoft Power Automate (preview) PowerAutomateActivityBeëindigdeEmployees watchlist |
Exfiltratie, impact |
| Power Automate : ongebruikelijke bulksgewijs verwijderen van stroombronnen | Identificeert bulksgewijs verwijderen van Power Automate-stromen die een vooraf gedefinieerde drempelwaarde overschrijden die in de query is gedefinieerd en afwijken van de activiteitspatronen die in de afgelopen 14 dagen zijn waargenomen. | Bulksgewijs verwijderen van Power Automate-stromen. Gegevensbronnen: - PowerAutomate PowerAutomateActivity |
Impact Verdedigingsontduiking |
Power Platform-regels
| Naam van de regel | Beschrijving | Bronactie | Tactieken |
|---|---|---|---|
| Power Platform - Connector toegevoegd aan een gevoelige omgeving | Identificeert het maken van nieuwe API-connectors in Power Platform, met name gericht op een vooraf gedefinieerde lijst met gevoelige omgevingen. | Voeg een nieuwe Power Platform-connector toe in een gevoelige Power Platform-omgeving. Gegevensbronnen: - Microsoft Power Platform-beheeractiviteit (preview) PowerPlatformAdminActivity |
Uitvoering, exfiltratie |
| Power Platform - DLP-beleid bijgewerkt of verwijderd | Identificeert wijzigingen in het beleid ter preventie van gegevensverlies, met name beleidsregels die worden bijgewerkt of verwijderd. | Een beleid voor preventie van gegevensverlies van Power Platform bijwerken of verwijderen in de Power Platform-omgeving. Gegevensbronnen: Microsoft Power Platform-beheeractiviteit (preview) PowerPlatformAdminActivity |
Verdedigingsontduiking |
| Power Platform : mogelijk aangetaste gebruiker heeft toegang tot Power Platform-services | Identificeert gebruikersaccounts die risico lopen in Microsoft Entra ID Protection en correleren deze gebruikers met aanmeldingsactiviteiten in Power Platform, waaronder Power Apps, Power Automate en het Power Platform-beheercentrum. | Gebruiker met risicosignalen heeft toegang tot Power Platform-portals. Gegevensbronnen: - Microsoft Entra-id SigninLogs |
Eerste toegang, zijwaartse verplaatsing |
| Power Platform - Account toegevoegd aan bevoorrechte Microsoft Entra-rollen | Identificeert wijzigingen in de volgende bevoorrechte directoryrollen die van invloed zijn op Power Platform: - Dynamics 365 Admins - Power Platform Admins- Fabric Admins |
Gegevensbronnen: AzureActiveDirectory AuditLogs |
Privilege Escalation |
Opsporingsquery's
De oplossing omvat opsporingsquery's die kunnen worden gebruikt door analisten om proactief schadelijke of verdachte activiteiten op te jagen in de Dynamics 365- en Power Platform-omgevingen.
| Naam van de regel | Beschrijving | Gegevensbron | Tactieken |
|---|---|---|---|
| Dataverse - Activiteit na Microsoft Entra-waarschuwingen | Deze opsporingsquery zoekt naar gebruikers die Dataverse/Dynamics 365-activiteit uitvoeren kort na een Waarschuwing voor Microsoft Entra ID Protection voor die gebruiker. Met de query wordt alleen gezocht naar gebruikers die nog niet eerder zijn gezien of dynamics-activiteiten worden uitgevoerd. |
- Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
Initial Access (Initiële toegang) |
| Dataverse - Activiteit na mislukte aanmeldingen | Deze opsporingsquery zoekt gebruikers die Dataverse-/Dynamics 365-activiteit uitvoeren kort nadat veel mislukte aanmeldingen zijn uitgevoerd. Gebruik deze query om te zoeken naar mogelijke activiteit na beveiligingsaanvallen. Pas de drempelwaarde aan op basis van het fout-positieve percentage. |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
Initial Access (Initiële toegang) |
| Dataverse - Activiteit voor gegevensexport in meerdere omgevingen | Zoekt naar gegevensexportactiviteit voor een vooraf bepaald aantal Dataverse-exemplaren. Gegevensexportactiviteit in meerdere omgevingen kan duiden op verdachte activiteiten, omdat gebruikers doorgaans alleen in een paar omgevingen werken. |
- DataverseDataverseActivity |
Exfiltratie, verzameling |
| Dataverse - Dataverse-export gekopieerd naar USB-apparaten | Gebruikt gegevens van Microsoft Defender XDR om bestanden te detecteren die zijn gedownload van een Dataverse-exemplaar en gekopieerd naar een USB-station. | - DataverseDataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Exfiltration (Exfiltratie) |
| Dataverse - Algemene client-app die wordt gebruikt voor toegang tot productieomgevingen | Detecteert het gebruik van de ingebouwde Dynamics 365-voorbeeldtoepassing voor toegang tot productieomgevingen. Deze algemene app kan niet worden beperkt door autorisatiebesturingselementen voor Microsoft Entra ID en kan worden misbruikt om onbevoegde toegang te krijgen via web-API. |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
Uitvoering. |
| Dataverse - Activiteiten voor identiteitsbeheer buiten het lidmaatschap van bevoorrechte directory-rollen | Detecteert identiteitsbeheergebeurtenissen in Dataverse/Dynamics 365 die zijn gemaakt door accounts die geen lid zijn van de volgende bevoorrechte directoryrollen: Dynamics 365-beheerders, Power Platform-beheerders of globale beheerders | - DataverseDataverseActivity- UEBA IdentityInfo |
Privilege Escalation |
| Dataverse - Wijzigingen in identiteitsbeheer zonder MFA | Wordt gebruikt om bevoegde identiteitsbeheerbewerkingen weer te geven in Dataverse die zijn gemaakt door accounts die zijn aangemeld zonder MFA te gebruiken. | - DataverseDataverseActivity- AzureActiveDirectory SigninLogs, DataverseActivity |
Initial Access (Initiële toegang) |
| Power Apps : afwijkend bulksgewijs delen van Power App voor nieuw gemaakte gastgebruikers | De query detecteert afwijkende pogingen om bulksgewijs delen van een Power App uit te voeren voor nieuwe gastgebruikers. |
Gegevensbronnen: PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess, LateralMovement, ResourceOntwikkeling |
Draaiboeken
Deze oplossing bevat playbooks die kunnen worden gebruikt om beveiligingsreacties op incidenten en waarschuwingen in Microsoft Sentinel te automatiseren.
| Playbooknaam | Beschrijving |
|---|---|
| Beveiligingswerkstroom: verificatie van waarschuwingen met workloadeigenaren | Dit playbook kan de belasting van de SOC verminderen door waarschuwingsverificatie naar IT-beheerders te offloaden voor specifieke analyseregels. Deze wordt geactiveerd wanneer een Microsoft Sentinel-waarschuwing wordt gegenereerd, een bericht (en gekoppelde e-mailmelding) maakt in het Microsoft Teams-kanaal van de workloadeigenaar met details van de waarschuwing. Als de eigenaar van de workload reageert dat de activiteit niet is geautoriseerd, wordt de waarschuwing geconverteerd naar een incident in Microsoft Sentinel om de SOC af te handelen. |
| Dataverse: Melding verzenden naar manager | Dit playbook kan worden geactiveerd wanneer een Microsoft Sentinel-incident wordt gegenereerd en automatisch een e-mailmelding verzendt naar de manager van de betrokken gebruikersentiteiten. Het Playbook kan worden geconfigureerd voor het verzenden naar de Dynamics 365-manager of het gebruik van de manager in Office 365. |
| Dataverse: Gebruiker toevoegen aan blokkeringslijst (incidenttrigger) | Dit playbook kan worden geactiveerd wanneer een Microsoft Sentinel-incident wordt gegenereerd en automatisch betrokken gebruikersentiteiten toevoegt aan een vooraf gedefinieerde Microsoft Entra-groep, wat resulteert in geblokkeerde toegang. De Microsoft Entra-groep wordt gebruikt met voorwaardelijke toegang om aanmelding bij Dataverse te blokkeren. |
| Dataverse: Gebruiker toevoegen aan blokkeringslijst met outlook-goedkeuringswerkstroom | Dit playbook kan worden geactiveerd wanneer een Microsoft Sentinel-incident wordt gegenereerd en automatisch betrokken gebruikersentiteiten toevoegt aan een vooraf gedefinieerde Microsoft Entra-groep, met behulp van een goedkeuringswerkstroom op basis van Outlook, wat resulteert in geblokkeerde toegang. De Microsoft Entra-groep wordt gebruikt met voorwaardelijke toegang om aanmelding bij Dataverse te blokkeren. |
| Dataverse: Gebruiker toevoegen aan blokkeringslijst met behulp van de goedkeuringswerkstroom van Teams | Dit playbook kan worden geactiveerd wanneer een Microsoft Sentinel-incident wordt gegenereerd en automatisch betrokken gebruikersentiteiten toevoegt aan een vooraf gedefinieerde Microsoft Entra-groep, met behulp van een werkstroom voor goedkeuring van adaptieve kaarten van Teams, wat resulteert in geblokkeerde toegang. De Microsoft Entra-groep wordt gebruikt met voorwaardelijke toegang om aanmelding bij Dataverse te blokkeren. |
| Dataverse: Gebruiker toevoegen aan blokkeringslijst (waarschuwingstrigger) | Dit playbook kan op aanvraag worden geactiveerd wanneer een Microsoft Sentinel-waarschuwing wordt gegenereerd, zodat de analist betrokken gebruikersentiteiten kan toevoegen aan een vooraf gedefinieerde Microsoft Entra-groep, wat resulteert in geblokkeerde toegang. De Microsoft Entra-groep wordt gebruikt met voorwaardelijke toegang om aanmelding bij Dataverse te blokkeren. |
| Dataverse: Gebruiker verwijderen uit de blokkeringslijst | Dit playbook kan op aanvraag worden geactiveerd wanneer een Microsoft Sentinel-waarschuwing wordt gegenereerd, zodat de analist betrokken gebruikersentiteiten kan verwijderen uit een vooraf gedefinieerde Microsoft Entra-groep die wordt gebruikt om de toegang te blokkeren. De Microsoft Entra-groep wordt gebruikt met voorwaardelijke toegang om aanmelding bij Dataverse te blokkeren. |
| Dataverse: SharePoint-sites toevoegen aan volglijst | Dit playbook wordt gebruikt om nieuwe of bijgewerkte SharePoint-documentbeheersites toe te voegen aan de configuratie-watchlist. In combinatie met een geplande analyseregel die het Dataverse-activiteitenlogboek bewaakt, wordt dit Playbook geactiveerd wanneer er een nieuwe SharePoint-documentbeheersitetoewijzing wordt toegevoegd. De site wordt toegevoegd aan een volglijst om de bewakingsdekking uit te breiden. |
Werkmappen
Microsoft Sentinel-werkmappen zijn aanpasbare, interactieve dashboards in Microsoft Sentinel waarmee analisten efficiënt kunnen visualiseren, analyseren en onderzoeken van beveiligingsgegevens. Deze oplossing omvat de Dynamics 365-activiteitswerkmap , die een visuele weergave van activiteiten in Microsoft Dynamics 365 Customer Engagement/Dataverse weergeeft, waaronder statistieken voor het ophalen van records en een anomaliegrafiek.
Volglijsten
Deze oplossing omvat de watchlist MSBizApps-Configuration en vereist dat gebruikers aanvullende volglijsten maken op basis van de volgende volglijstsjablonen:
- VIPUsers
- NetworkAddresses
- BeëindigdeEmployees
Zie Volglijsten in Microsoft Sentinel en Volglijsten maken voor meer informatie.
Ingebouwde parsers
De oplossing bevat parsers die worden gebruikt voor toegang tot gegevens uit de onbewerkte gegevenstabellen. Parsers zorgen ervoor dat de juiste gegevens worden geretourneerd met een consistent schema. U wordt aangeraden de parsers te gebruiken in plaats van rechtstreeks een query uit te voeren op de volglijsten.
| Parser | Geretourneerde gegevens | Tabel opgevraagd |
|---|---|---|
| MSBizAppsOrgSettings | Lijst met beschikbare organisatiebrede instellingen die beschikbaar zijn in Dynamics 365 Customer Engagement/Dataverse | n.v.t. |
| MSBizAppsVIPUsers | Parser voor de VIPUsers-watchlist |
VIPUsers van watchlist-sjabloon |
| MSBizAppsNetworkAddresses | Parser voor de NetworkAddresses watchlist |
NetworkAddresses van watchlist-sjabloon |
| MSBizAppsTerminatedEmployees | Parser voor de watchlist TerminatedEmployees |
TerminatedEmployees van watchlist-sjabloon |
| DataverseSharePointSites | SharePoint-sites die worden gebruikt in Dataverse-documentbeheer |
MSBizApps-Configuration volglijst gefilterd op categorie 'SharePoint' |
Voor meer informatie over analyseregels raadpleegt u Standaard bedreigingen detecteren.