Dokumentacja zawartości zabezpieczeń dla platform Microsoft Power Platform i microsoft Dynamics 365 Customer Engagement
Ten artykuł zawiera szczegółowe informacje o zawartości zabezpieczeń dostępnej dla rozwiązania Microsoft Sentinel dla platformy Power Platform. Aby uzyskać więcej informacji na temat tego rozwiązania, zobacz Microsoft Sentinel solution for Microsoft Power Platform and Microsoft Dynamics 365 Customer Engagement overview (Omówienie rozwiązania Microsoft Sentinel dla platformy Microsoft Power Platform i platformy Microsoft Dynamics 365 Customer Engagement).
Ważne
- Rozwiązanie Usługi Microsoft Sentinel dla platformy Power Platform jest obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
- Rozwiązanie to oferta premium. Informacje o cenach będą dostępne, zanim rozwiązanie stanie się ogólnie dostępne.
- Prześlij opinię na temat tego rozwiązania, wypełniając tę ankietę: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Wbudowane reguły analizy
Podczas instalowania rozwiązania dla platformy Power Platform są uwzględniane następujące reguły analityczne. Wymienione źródła danych zawierają nazwę łącznika danych i tabelę w usłudze Log Analytics.
Reguły usługi Dataverse
| Nazwa reguły | opis | Akcja źródłowa | Taktyka |
|---|---|---|---|
| Dataverse — nietypowe działanie użytkownika aplikacji | Identyfikuje anomalie w wzorcach aktywności użytkowników aplikacji Dataverse (nieinterakcyjnych) na podstawie aktywności, która wykracza poza normalny wzorzec użytkowania. | Nietypowa aktywność użytkownika S2S w usłudze Dynamics 365/ Dataverse. Źródła danych: - Dataverse DataverseActivity |
CredentialAccess, Wykonywanie, Trwałość |
| Dataverse — usuwanie danych dziennika inspekcji | Identyfikuje działanie usuwania danych dziennika inspekcji w usłudze Dataverse. | Usuwanie dzienników inspekcji usługi Dataverse. Źródła danych: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse — wyłączone rejestrowanie inspekcji | Określa zmianę konfiguracji inspekcji systemu, w której rejestrowanie inspekcji jest wyłączone. | Inspekcja na poziomie globalnym lub jednostkowym jest wyłączona. Źródła danych: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse — ponowne przypisywanie lub udostępnianie własności rekordów zbiorczych | Identyfikuje zmiany własności poszczególnych rekordów, w tym: - Udostępnianie rekordów innym użytkownikom/zespołom — Ponowne przypisywanie własności, które przekracza wstępnie zdefiniowany próg. |
Wiele rekordów własności i zdarzeń udostępniania rekordów generowanych w oknie wykrywania. Źródła danych: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse — plik wykonywalny przekazany do witryny zarządzania dokumentami programu SharePoint | Identyfikuje pliki wykonywalne i skrypty, które są przekazywane do witryn programu SharePoint używanych do zarządzania dokumentami programu Dynamics, pomijając natywne ograniczenia rozszerzenia plików w usłudze Dataverse. | Przekazywanie plików wykonywalnych w zarządzaniu dokumentami usługi Dataverse. Źródła danych: — Office365 OfficeActivity (SharePoint) |
Wykonywanie, trwałość |
| Dataverse — eksportowanie aktywności od zakończonego lub powiadamiania pracownika | Identyfikuje działanie eksportowania usługi Dataverse wyzwalane przez zakończonych pracowników lub pracowników, którzy mają opuścić organizację. | Zdarzenia eksportu danych skojarzone z użytkownikami w szablonie listy kontrolnej TerminatedEmployees . Źródła danych: - Dataverse DataverseActivity |
Wyprowadzanie |
| Dataverse — eksfiltracja użytkowników-gości po upośledzeniu obrony platformy Power Platform | Identyfikuje łańcuch zdarzeń rozpoczynający się od wyłączania izolacji dzierżawy platformy Power Platform i usuwania grupy zabezpieczeń dostępu środowiska. Te zdarzenia są skorelowane z alertami eksfiltracji usługi Dataverse skojarzonymi ze środowiskiem, na które ma to wpływ, i niedawno utworzonymi użytkownikami-gośćmi firmy Microsoft Entra. Aktywuj inne reguły analizy usługi Dataverse za pomocą taktyki MITRE eksfiltracji przed włączeniem tej reguły. |
Jako ostatnio utworzony użytkownik-gość wyzwalaj alerty eksfiltracji usługi Dataverse po wyłączeniu mechanizmów kontroli zabezpieczeń platformy Power Platform. Źródła danych: — PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity |
Uchylanie się od obrony |
| Dataverse — manipulowanie zabezpieczeniami hierarchii | Identyfikuje podejrzane zachowania w zabezpieczeniach hierarchii. | Zmiany właściwości zabezpieczeń, w tym: — Zabezpieczenia hierarchii są wyłączone. — Użytkownik przypisuje się jako menedżer. — Użytkownik przypisuje się do monitorowanej pozycji (ustawionej w języku KQL). Źródła danych: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse — działanie wystąpienia usługi Honeypot | Identyfikuje działania w wstępnie zdefiniowanym wystąpieniu usługi Honeypot Dataverse. Alerty po wykryciu logowania do usługi Honeypot lub w przypadku uzyskania dostępu do monitorowanych tabel usługi Dataverse w usłudze Honeypot. |
Logowanie i uzyskiwanie dostępu do danych w wyznaczonym wystąpieniu usługi Honeypot Dataverse na platformie Power Platform z włączonym inspekcją. Źródła danych: - Dataverse DataverseActivity |
Odnajdywanie, eksfiltracja |
| Dataverse — logowanie przez poufnego uprzywilejowanego użytkownika | Identyfikuje logowania usługi Dataverse i Dynamics 365 przez poufnych użytkowników. | Logowanie użytkowników dodanych do listy obserwowanych VIPUsers na podstawie tagów ustawionych w języku KQL. Źródła danych: - Dataverse DataverseActivity |
InitialAccess, CredentialAccess, PrivilegeEscalation |
| Dataverse — logowanie z adresu IP na liście zablokowanych | Identyfikuje działanie logowania usługi Dataverse z adresów IPv4, które znajdują się na wstępnie zdefiniowanej liście zablokowanych. | Zaloguj się przez użytkownika przy użyciu adresu IP, który jest częścią zablokowanego zakresu sieci. Zablokowane zakresy sieci są zachowywane w szablonie Lista obserwowana NetworkAddresses . Źródła danych: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse — logowanie z adresu IP, które nie znajduje się na liście dozwolonych | Identyfikuje logowania z adresów IPv4, które nie pasują do podsieci IPv4 utrzymywanych na liście dozwolonych. | Zaloguj się przez użytkownika przy użyciu adresu IP, który nie jest częścią dozwolonego zakresu sieci. Zablokowane zakresy sieci są zachowywane w szablonie Lista obserwowana NetworkAddresses . Źródła danych: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse — złośliwe oprogramowanie znalezione w witrynie zarządzania dokumentami programu SharePoint | Identyfikuje złośliwe oprogramowanie przekazywane za pośrednictwem zarządzania dokumentami usługi Dynamics 365 lub bezpośrednio w programie SharePoint, co wpływa na witryny programu SharePoint skojarzone z usługą Dataverse. | Złośliwy plik w witrynie programu SharePoint połączony z usługą Dataverse. Źródła danych: - Dataverse DataverseActivity— Office365 OfficeActivity (SharePoint) |
Wykonanie |
| Dataverse — masowe usuwanie rekordów | Identyfikuje operacje usuwania rekordów na dużą skalę na podstawie wstępnie zdefiniowanego progu. Wykrywa również zaplanowane zadania usuwania zbiorczego. |
Usuwanie rekordów przekraczających próg zdefiniowany w języku KQL. Źródła danych: - Dataverse DataverseActivity |
Wpływ |
| Dataverse — masowe pobieranie z zarządzania dokumentami programu SharePoint | Identyfikuje masowe pobieranie w ostatniej godzinie plików z witryn programu SharePoint skonfigurowanych do zarządzania dokumentami w usłudze Dynamics 365. | Masowe pobieranie przekraczające próg zdefiniowany w języku KQL. Ta reguła analizy używa listy kontrolnej MSBizApps-Configuration do identyfikowania witryn programu SharePoint używanych do zarządzania dokumentami. Źródła danych: — Office365 OfficeActivity (SharePoint) |
Wyprowadzanie |
| Dataverse — masowy eksport rekordów do programu Excel | Identyfikuje użytkowników eksportujących dużą liczbę rekordów z usługi Dynamics 365 do programu Excel, gdzie liczba eksportowanych rekordów jest znacznie większa niż jakakolwiek inna ostatnia aktywność tego użytkownika. Duże eksporty od użytkowników bez ostatnich działań są identyfikowane przy użyciu wstępnie zdefiniowanego progu. |
Eksportuj wiele rekordów z usługi Dataverse do programu Excel. Źródła danych: - Dataverse DataverseActivity |
Wyprowadzanie |
| Dataverse — aktualizacje rekordów masowych | Wykrywa zmiany aktualizacji rekordów masowych w usługach Dataverse i Dynamics 365 przekraczających wstępnie zdefiniowany próg. | Masowa aktualizacja rekordów przekracza próg zdefiniowany w języku KQL. Źródła danych: - Dataverse DataverseActivity |
Wpływ |
| Dataverse — nowy typ działania użytkownika aplikacji Dataverse | Identyfikuje nowe lub wcześniej niedostępne typy działań skojarzone z użytkownikiem aplikacji Dataverse (nieinterakcyjnym). | Nowe typy aktywności użytkowników S2S. Źródła danych: - Dataverse DataverseActivity |
CredentialAccess, Execution, PrivilegeEscalation |
| Dataverse — nowa tożsamość nieinterakcyjny udzielona dostępu | Identyfikuje udzielanie dostępu na poziomie interfejsu API za pośrednictwem delegowanych uprawnień aplikacji Microsoft Entra lub przez bezpośrednie przypisanie w usłudze Dataverse jako użytkownik aplikacji. | Uprawnienia usługi Dataverse dodane do użytkownika nieinterakcyjnego. Źródła danych: - Dataverse DataverseActivity,— AzureActiveDirectory AuditLogs |
Trwałość, LateralMovement, PrivilegeEscalation |
| Dataverse — nowe logowanie z nieautoryzowanej domeny | Identyfikuje działanie logowania usługi Dataverse pochodzące od użytkowników z sufiksami nazwy UPN, które nie były widoczne wcześniej w ciągu ostatnich 14 dni i nie są obecne na wstępnie zdefiniowanej liście autoryzowanych domen. Typowi użytkownicy systemu platformy Power Platform są domyślnie wykluczani. |
Zaloguj się przez użytkownika zewnętrznego z nieautoryzowanego sufiksu domeny. Źródła danych: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse — nowy typ agenta użytkownika, który nie był używany wcześniej | Identyfikuje użytkowników, którzy uzyskują dostęp do usługi Dataverse z agenta użytkownika, który nie był widziany w żadnym wystąpieniu usługi Dataverse w ciągu ostatnich 14 dni. | Działanie w usłudze Dataverse z nowego agenta użytkownika. Źródła danych: - Dataverse DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse — nowy typ agenta użytkownika, który nie był używany w usłudze Office 365 | Identyfikuje użytkowników, którzy uzyskują dostęp do usługi Dynamics za pomocą agenta użytkownika, który nie był widoczny w żadnym obciążeniu usługi Office 365 w ciągu ostatnich 14 dni. | Działanie w usłudze Dataverse z nowego agenta użytkownika. Źródła danych: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse — zmodyfikowane ustawienia organizacji | Identyfikuje zmiany wprowadzone na poziomie organizacji w środowisku Dataverse. | Właściwość poziomu organizacji zmodyfikowana w usłudze Dataverse. Źródła danych: - Dataverse DataverseActivity |
Trwałość |
| Dataverse — usuwanie zablokowanych rozszerzeń plików | Identyfikuje modyfikacje zablokowanych rozszerzeń plików środowiska i wyodrębnia usunięte rozszerzenie. | Usunięcie zablokowanych rozszerzeń plików we właściwościach usługi Dataverse. Źródła danych: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse — dodano lub zaktualizowano witrynę zarządzania dokumentami programu SharePoint | Identyfikuje modyfikacje integracji zarządzania dokumentami programu SharePoint. Zarządzanie dokumentami umożliwia przechowywanie danych znajdujących się zewnętrznie w usłudze Dataverse. Połącz tę regułę analizy z elementem Dataverse: dodaj witryny programu SharePoint, aby wyświetlić podręcznik do listy obserwowanych, aby automatycznie zaktualizować listę obserwowanych witryn Dataverse-SharePointSites . Ta lista obserwowanych może służyć do korelowania zdarzeń między usługą Dataverse i programem SharePoint podczas korzystania z łącznika danych usługi Office 365. |
Mapowanie witryny programu SharePoint dodane w usłudze Zarządzanie dokumentami. Źródła danych: - Dataverse DataverseActivity |
Wyprowadzanie |
| Dataverse — podejrzane modyfikacje roli zabezpieczeń | Identyfikuje nietypowy wzorzec zdarzeń, w którym tworzona jest nowa rola, a następnie twórca dodając członków do roli, a następnie usuwając członka lub usuwając rolę po krótkim czasie. | Zmiany ról zabezpieczeń i przypisań ról. Źródła danych: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse — podejrzane użycie punktu końcowego TDS | Identyfikuje zapytania oparte na protokole dataverse TDS (tabelaryczny strumień danych), w których źródłowy użytkownik lub adres IP ma ostatnie alerty zabezpieczeń, a protokół TDS nie był wcześniej używany w środowisku docelowym. | Nagłe użycie punktu końcowego TDS w korelacji z alertami zabezpieczeń. Źródła danych: - Dataverse DataverseActivity— AzureActiveDirectoryIdentityProtection SecurityAlert |
Eksfiltracja, funkcja InitialAccess |
| Dataverse — podejrzane użycie internetowego interfejsu API | Identyfikuje logowania w wielu środowiskach usługi Dataverse, które naruszają wstępnie zdefiniowany próg i pochodzą od użytkownika z adresem IP, który został użyty do zalogowania się do dobrze znanej rejestracji aplikacji Microsoft Entra. | Logowanie przy użyciu interfejsu WebAPI w wielu środowiskach przy użyciu dobrze znanego identyfikatora aplikacji publicznej. Źródła danych: - Dataverse DataverseActivity— AzureActiveDirectory SigninLogs |
Wykonywanie, eksfiltracja, rekonesans, odnajdywanie |
| Dataverse — mapuj adres IP ti na dataverseActivity | Identyfikuje dopasowanie w usłudze DataverseActivity z dowolnego IOC ip z usługi Microsoft Sentinel Threat Intelligence. | Działanie usługi Dataverse z zgodnym protokołem IOC zgodnym z adresem IP. Źródła danych: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, LateralMovement, Discovery |
| Dataverse — adres URL mapy TI na element DataverseActivity | Identyfikuje dopasowanie w usłudze DataverseActivity z dowolnego elementu IOC adresu URL z usługi Microsoft Sentinel Threat Intelligence. | Działanie dataverse z adresem URL pasującym do IOC. Źródła danych: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, Execution, Persistence |
| Dataverse — zakończona eksfiltracja pracowników za pośrednictwem poczty e-mail | Identyfikuje eksfiltrację usługi Dataverse za pośrednictwem poczty e-mail przez zakończonych pracowników. | Wiadomości e-mail wysyłane do niezaufanych domen adresatów po alertach zabezpieczeń skorelowanych z użytkownikami na liście obserwowanych TerminatedEmployees . Źródła danych: MicrosoftThreatProtection EmailEventsIdentityInfo— AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
Wyprowadzanie |
| Dataverse — przerwana eksfiltracja pracownika na dysku USB | Identyfikuje pliki pobrane z usługi Dataverse przez odchodzących lub zakończonych pracowników i są kopiowane na zainstalowane dyski USB. | Pliki pochodzące z usługi Dataverse skopiowane do portu USB przez użytkownika na liście kontrolnej TerminatedEmployees . Źródła danych: - Dataverse DataverseActivity— MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Wyprowadzanie |
| Dataverse — nietypowa ochrona powiązania plików cookie oparta na adresach IP | Identyfikuje wcześniej niezamierzonych adresów IP i agentów użytkowników w wystąpieniu usługi Dataverse po wyłączeniu ochrony powiązania plików cookie. Aby uzyskać więcej informacji, zobacz Zabezpieczanie sesji usługi Dataverse za pomocą powiązania plików cookie ip. |
Nowe działanie logowania. Źródła danych: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse — zbiorcze pobieranie przez użytkownika poza normalną aktywnością | Identyfikuje użytkowników pobierających znacznie więcej rekordów z usługi Dataverse niż w ciągu ostatnich dwóch tygodni. | Użytkownik pobiera wiele rekordów z usługi Dataverse i uwzględnia zdefiniowany próg KQL. Źródła danych: - Dataverse DataverseActivity |
Wyprowadzanie |
Reguły usługi Power Apps
| Nazwa reguły | opis | Akcja źródłowa | Taktyka |
|---|---|---|---|
| Power Apps — działanie aplikacji z nieautoryzowanego obszaru geograficznego | Identyfikuje działanie usługi Power Apps z regionów geograficznych na wstępnie zdefiniowanej liście nieautoryzowanych regionów geograficznych. To wykrywanie pobiera listę kodów kraju ISO 3166-1 alfa-2 z platformy przeglądania online ISO (OBP). To wykrywanie używa dzienników pozyskanych z identyfikatora Entra firmy Microsoft i wymaga również włączenia łącznika danych Microsoft Entra ID. |
Uruchom działanie w aplikacji Power App z regionu geograficznego, który znajduje się na liście nieautoryzowanych kodów kraju. Źródła danych: — Aktywność administratora platformy Microsoft Power Platform (wersja zapoznawcza) PowerPlatformAdminActivity— Microsoft Entra ID SigninLogs |
Dostęp początkowy |
| Power Apps — usunięto wiele aplikacji | Identyfikuje działanie masowego usuwania, w którym usunięto wiele usługi Power Apps, pasujących do wstępnie zdefiniowanego progu całkowitej liczby usuniętych aplikacji lub usuniętych zdarzeń aplikacji w wielu środowiskach platformy Power Platform. | Usuń wiele usługi Power Apps z centrum administracyjnego platformy Power Platform. Źródła danych: — Aktywność administratora platformy Microsoft Power Platform (wersja zapoznawcza) PowerPlatformAdminActivity |
Wpływ |
| Power Apps — niszczenie danych po opublikowaniu nowej aplikacji | Identyfikuje łańcuch zdarzeń, gdy nowa aplikacja zostanie utworzona lub opublikowana i następuje w ciągu 1 godziny przez zdarzenie masowej aktualizacji lub usunięcia w usłudze Dataverse. | Usuń wiele rekordów w usłudze Power Apps w ciągu 1 godziny od utworzenia lub opublikowania aplikacji Power App. Jeśli wydawca aplikacji znajduje się na liście użytkowników w szablonie listy kontrolnej TerminatedEmployees , zostanie podniesiona ważność zdarzenia. Źródła danych: — Aktywność administratora platformy Microsoft Power Platform (wersja zapoznawcza) PowerPlatformAdminActivity— Microsoft Dataverse (wersja zapoznawcza) DataverseActivity |
Wpływ |
| Power Apps — wielu użytkowników uzyskuje dostęp do złośliwego linku po uruchomieniu nowej aplikacji | Identyfikuje łańcuch zdarzeń po utworzeniu nowej aplikacji Power App i następuje po nich następujące zdarzenia: — Wielu użytkowników uruchamia aplikację w oknie wykrywania. — Wielu użytkowników otwiera ten sam złośliwy adres URL. To wykrywanie krzyżowe koreluje dzienniki wykonywania usługi Power Apps ze złośliwymi zdarzeniami wyboru adresów URL z jednego z następujących źródeł: — Łącznik danych usługi Microsoft 365 Defender lub — Wskaźniki złośliwych adresów URL naruszenia zabezpieczeń (IOC) w usłudze Microsoft Sentinel Threat Intelligence z analizatorem normalizacji sesji internetowej Advanced Security Information Model (ASIM). To wykrywanie pobiera odrębną liczbę użytkowników, którzy uruchamiają lub wybierają złośliwy link, tworząc zapytanie. |
Wielu użytkowników uruchamia nową aplikację PowerApp i otwiera znany złośliwy adres URL z aplikacji. Źródła danych: — Aktywność administratora platformy Microsoft Power Platform (wersja zapoznawcza) PowerPlatformAdminActivity- Analiza zagrożeń ThreatIntelligenceIndicator— Microsoft Defender XDR UrlClickEvents |
Dostęp początkowy |
| Power Apps — zbiorcze udostępnianie usługi Power Apps nowo utworzonym użytkownikom-gościom | Identyfikuje nietypowe zbiorcze udostępnianie usługi Power Apps nowo utworzonym użytkownikom-gościom usługi Microsoft Entra. Nietypowe udostępnianie zbiorcze jest oparte na wstępnie zdefiniowanym progu w zapytaniu. | Udostępnianie aplikacji wielu użytkownikom zewnętrznym. Źródła danych: — Aktywność administratora platformy Microsoft Power Platform (wersja zapoznawcza) PowerPlatformAdminActivity— Microsoft Entra IDAuditLogs |
Opracowywanie zasobów, Dostęp początkowy, Ruch poprzeczny |
Reguły usługi Power Automate
| Nazwa reguły | opis | Akcja źródłowa | Taktyka |
|---|---|---|---|
| Power Automate — działanie przepływu odchodzącego pracownika | Identyfikuje wystąpienia, w których pracownik, który został powiadomiony lub został już zakończony, i znajduje się na liście obserwowanych Zakończonych pracowników , tworzy lub modyfikuje przepływ usługi Power Automate. | Użytkownik zdefiniowany na liście kontrolnej TerminatedEmployees tworzy lub aktualizuje przepływ usługi Power Automate. Źródła danych: Microsoft Power Automate (wersja zapoznawcza) PowerAutomateActivityTerminatedEmployees watchlist |
Eksfiltracja, wpływ |
| Power Automate — nietypowe zbiorcze usuwanie zasobów przepływu | Identyfikuje zbiorcze usuwanie przepływów usługi Power Automate, które przekraczają wstępnie zdefiniowany próg zdefiniowany w zapytaniu, i odbiega od wzorców działań obserwowanych w ciągu ostatnich 14 dni. | Zbiorcze usuwanie przepływów usługi Power Automate. Źródła danych: - PowerAutomate PowerAutomateActivity |
Wpływ Uchylanie się od obrony |
Reguły platformy Power Platform
| Nazwa reguły | opis | Akcja źródłowa | Taktyka |
|---|---|---|---|
| Power Platform — łącznik dodany do poufnego środowiska | Identyfikuje tworzenie nowych łączników interfejsu API w ramach platformy Power Platform, w szczególności przeznaczonych dla wstępnie zdefiniowanej listy poufnych środowisk. | Dodaj nowy łącznik platformy Power Platform w poufnym środowisku platformy Power Platform. Źródła danych: — Aktywność administratora platformy Microsoft Power Platform (wersja zapoznawcza) PowerPlatformAdminActivity |
Wykonywanie, eksfiltracja |
| Power Platform — zaktualizowane lub usunięte zasady DLP | Identyfikuje zmiany zasad ochrony przed utratą danych, w szczególności zasady, które są aktualizowane lub usuwane. | Zaktualizuj lub usuń zasady ochrony przed utratą danych platformy Power Platform w środowisku platformy Power Platform. Źródła danych: Aktywność administratora platformy Microsoft Power Platform (wersja zapoznawcza) PowerPlatformAdminActivity |
Uchylanie się od obrony |
| Power Platform — prawdopodobnie naruszone bezpieczeństwo użytkowników uzyskuje dostęp do usług Power Platform | Identyfikuje konta użytkowników oflagowane w Ochrona tożsamości Microsoft Entra i koreluje tych użytkowników z działaniami logowania na platformie Power Platform, w tym power apps, Power Automate i Power Platform Admin Center. | Użytkownik z sygnałami ryzyka uzyskuje dostęp do portali platformy Power Platform. Źródła danych: — Microsoft Entra ID SigninLogs |
Początkowy dostęp, ruch poprzeczny |
| Power Platform — konto dodane do uprzywilejowanych ról firmy Microsoft Entra | Identyfikuje zmiany w następujących rolach katalogu uprzywilejowanego, które mają wpływ na platformę Power Platform: — Administratorzy usługi Dynamics 365 — Administratorzy platformy Power Platform — administratorzy sieci szkieletowej |
Źródła danych: AzureActiveDirectory AuditLogs |
PrivilegeEscalation |
Zapytania dotyczące wyszukiwania zagrożeń
Rozwiązanie obejmuje zapytania wyszukiwania zagrożeń, które mogą być używane przez analityków do aktywnego polowania na złośliwe lub podejrzane działania w środowiskach dynamics 365 i Power Platform.
| Nazwa reguły | opis | Źródło danych | Taktyka |
|---|---|---|---|
| Dataverse — działanie po alertach firmy Microsoft Entra | To zapytanie wyszukiwania zagrożeń wyszukuje użytkowników przeprowadzających działania usługi Dataverse/Dynamics 365 wkrótce po Ochrona tożsamości Microsoft Entra alertu dla tego użytkownika. Zapytanie szuka tylko użytkowników, którzy nie widzieli wcześniej ani nie przeprowadzają działania usługi Dynamics. |
- Dataverse DataverseActivity— AzureActiveDirectoryIdentityProtection SecurityAlert |
InitialAccess |
| Dataverse — działanie po nieudanym logowaniu | To zapytanie wyszukiwania zagrożeń wyszukuje użytkowników przeprowadzających działania Usługi Dataverse/Dynamics 365 wkrótce po wielu nieudanych logowaniu. Użyj tego zapytania, aby wyszukać potencjalne działanie siłowe po ataku siłowego. Dostosuj wartość progową na podstawie współczynnika fałszywie dodatniego. |
- DataverseDataverseActivity— AzureActiveDirectory SigninLogs |
InitialAccess |
| Dataverse — działanie eksportowania danych między środowiskami | Wyszukuje działanie eksportowania danych we wstępnie określonej liczbie wystąpień usługi Dataverse. Aktywność eksportowania danych w wielu środowiskach może wskazywać na podejrzane działania, ponieważ użytkownicy zazwyczaj pracują tylko w kilku środowiskach. |
- DataverseDataverseActivity |
Eksfiltracja, kolekcja |
| Dataverse — eksportowanie usługi Dataverse skopiowane na urządzenia USB | Używa danych z usługi Microsoft Defender XDR do wykrywania plików pobranych z wystąpienia usługi Dataverse i kopiowanych na dysk USB. | - DataverseDataverseActivity— MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Wyprowadzanie |
| Dataverse — ogólna aplikacja kliencka używana do uzyskiwania dostępu do środowisk produkcyjnych | Wykrywa użycie wbudowanej aplikacji "Przykładowa aplikacja usługi Dynamics 365" w celu uzyskania dostępu do środowisk produkcyjnych. Ta ogólna aplikacja nie może być ograniczona przez mechanizmy kontroli autoryzacji identyfikatora entra firmy Microsoft i może być nadużywana w celu uzyskania nieautoryzowanego dostępu za pośrednictwem internetowego interfejsu API. |
- DataverseDataverseActivity— AzureActiveDirectory SigninLogs |
Wykonanie |
| Dataverse — działanie zarządzania tożsamościami poza uprzywilejowanym członkostwem w roli katalogu | Wykrywa zdarzenia administracji tożsamościami w usłudze Dataverse/Dynamics 365 wykonane przez konta whthatich nie są członkami następujących ról katalogu uprzywilejowanego: Administratorzy usługi Dynamics 365, administratorzy platformy Power Platform lub administratorzy globalni | - DataverseDataverseActivity- UEBA IdentityInfo |
PrivilegeEscalation |
| Dataverse — zmiany zarządzania tożsamościami bez uwierzytelniania wieloskładnikowego | Służy do wyświetlania operacji administracji tożsamości uprzywilejowanej w usłudze Dataverse przez konta, które zalogowały się bez korzystania z uwierzytelniania wieloskładnikowego. | - DataverseDataverseActivity— AzureActiveDirectory SigninLogs, DataverseActivity |
InitialAccess |
| Power Apps — nietypowe zbiorcze udostępnianie aplikacji Power App nowo utworzonym użytkownikom-gościom | Zapytanie wykrywa nietypowe próby zbiorczego udostępniania aplikacji Power App dla nowo utworzonych użytkowników-gości. | Źródła danych: PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess, LateralMovement, ResourceDevelopment |
Podręczniki
To rozwiązanie zawiera podręczniki, które mogą służyć do automatyzowania reagowania na zdarzenia i alerty zabezpieczeń w usłudze Microsoft Sentinel.
| Nazwa podręcznika | opis |
|---|---|
| Przepływ pracy zabezpieczeń: weryfikacja alertów z właścicielami obciążeń | Ten podręcznik może zmniejszyć obciążenie SOC przez odciążenie weryfikacji alertu administratorom IT w celu uzyskania określonych reguł analizy. Jest on wyzwalany po wygenerowaniu alertu usługi Microsoft Sentinel, tworzy wiadomość (i skojarzona wiadomość e-mail z powiadomieniem) w kanale właściciela obciążenia w usłudze Microsoft Teams zawierającym szczegóły alertu. Jeśli właściciel obciążenia odpowie, że działanie nie jest autoryzowane, alert zostanie przekonwertowany na zdarzenie w usłudze Microsoft Sentinel w celu obsługi soc. |
| Dataverse: wysyłanie powiadomień do menedżera | Ten podręcznik może zostać wyzwolony po wystąpieniu zdarzenia usługi Microsoft Sentinel i automatycznie wyśle powiadomienie e-mail do menedżera jednostek użytkownika, których dotyczy problem. Podręcznik można skonfigurować do wysyłania do menedżera usługi Dynamics 365 lub menedżera w usłudze Office 365. |
| Dataverse: Dodawanie użytkownika do listy zablokowanych (wyzwalacz zdarzenia) | Ten podręcznik może zostać wyzwolony po wystąpieniu zdarzenia usługi Microsoft Sentinel i automatycznie doda jednostki użytkowników, których dotyczy problem, do wstępnie zdefiniowanej grupy firmy Microsoft Entra, co spowoduje zablokowanie dostępu. Grupa Microsoft Entra jest używana z dostępem warunkowym w celu zablokowania logowania do usługi Dataverse. |
| Dataverse: Dodawanie użytkownika do listy zablokowanych przy użyciu przepływu pracy zatwierdzania programu Outlook | Ten podręcznik może zostać wyzwolony po wystąpieniu zdarzenia usługi Microsoft Sentinel i automatycznie doda jednostki użytkowników, których dotyczy problem, do wstępnie zdefiniowanej grupy firmy Microsoft Entra przy użyciu przepływu pracy zatwierdzania opartego na programie Outlook, co spowoduje zablokowanie dostępu. Grupa Microsoft Entra jest używana z dostępem warunkowym w celu zablokowania logowania do usługi Dataverse. |
| Dataverse: dodawanie użytkownika do listy zablokowanych przy użyciu przepływu pracy zatwierdzania usługi Teams | Ten podręcznik może zostać wyzwolony, gdy zostanie zgłoszony incydent usługi Microsoft Sentinel i automatycznie doda jednostki użytkowników, których dotyczy problem, do wstępnie zdefiniowanej grupy firmy Microsoft Entra przy użyciu przepływu pracy zatwierdzania kart adaptacyjnych w usłudze Teams, co spowoduje zablokowanie dostępu. Grupa Microsoft Entra jest używana z dostępem warunkowym w celu zablokowania logowania do usługi Dataverse. |
| Dataverse: dodawanie użytkownika do listy zablokowanych (wyzwalacz alertu) | Ten podręcznik może zostać wyzwolony na żądanie po wystąpieniu alertu usługi Microsoft Sentinel, dzięki czemu analityk może dodać jednostki użytkowników, których dotyczy problem, do wstępnie zdefiniowanej grupy firmy Microsoft Entra, co spowoduje zablokowanie dostępu. Grupa Microsoft Entra jest używana z dostępem warunkowym w celu zablokowania logowania do usługi Dataverse. |
| Dataverse: usuwanie użytkownika z listy zablokowanych | Ten podręcznik może zostać wyzwolony na żądanie, gdy zostanie zgłoszony alert usługi Microsoft Sentinel, co umożliwi analitykowi usunięcie wstępnie zdefiniowanych jednostek użytkownika firmy Microsoft Entra używanych do blokowania dostępu. Grupa Microsoft Entra jest używana z dostępem warunkowym w celu zablokowania logowania do usługi Dataverse. |
| Dataverse: dodawanie witryn programu SharePoint do listy obserwowanych | Ten podręcznik służy do dodawania nowych lub zaktualizowanych witryn zarządzania dokumentami programu SharePoint do listy kontrolnej konfiguracji. W połączeniu z zaplanowaną regułą analizy monitorowania dziennika aktywności usługi Dataverse ten podręcznik zostanie wyzwolony po dodaniu nowego mapowania witryny zarządzania dokumentami programu SharePoint. Witryna zostanie dodana do listy obserwowanych w celu rozszerzenia zasięgu monitorowania. |
Skoroszyty
Skoroszyty usługi Microsoft Sentinel są konfigurowalne, interaktywne pulpity nawigacyjne w usłudze Microsoft Sentinel, które ułatwiają efektywne wizualizacje, analizę i badanie danych zabezpieczeń przez analityków. To rozwiązanie zawiera skoroszyt działania usługi Dynamics 365, który przedstawia wizualną reprezentację działania w usłudze Microsoft Dynamics 365 Customer Engagement/Dataverse, w tym statystyki pobierania rekordów i wykres anomalii.
Listy do obejrzenia
To rozwiązanie zawiera listę obserwowanych msBizApps-Configuration i wymaga od użytkowników utworzenia dodatkowych list obserwowanych na podstawie następujących szablonów listy obserwowanych:
- Adresy VIPUżytkownicy
- NetworkAddresses
- TerminatedEmployees
Aby uzyskać więcej informacji, zobacz Listy do obejrzenia w usłudze Microsoft Sentinel i Tworzenie list do obejrzenia.
Wbudowane analizatory
Rozwiązanie zawiera analizatory używane do uzyskiwania dostępu do danych z nieprzetworzonych tabel danych. Analizatory zapewniają, że prawidłowe dane są zwracane ze spójnym schematem. Zalecamy używanie analizatorów zamiast bezpośredniego wykonywania zapytań dotyczących list obserwowanych.
| Parser | Zwrócone dane | Kwerenda w tabeli |
|---|---|---|
| MSBizAppsOrgSettings | Lista dostępnych ustawień dla całej organizacji dostępnych w usłudze Dynamics 365 Customer Engagement/Dataverse | nie dotyczy |
| MSBizAppsVIPUsers | Analizator dla listy obserwatorów VIPUsers | VIPUsers z szablonu listy obserwowanych |
| MSBizAppsNetworkAddresses | Analizator listy obserwowanych NetworkAddresses | NetworkAddresses z szablonu listy obserwowanych |
| MSBizAppsTerminatedEmployees | Analizator dla listy kontrolnej TerminatedEmployees | TerminatedEmployees z szablonu listy obserwowanych |
| DataverseSharePointSites | Witryny programu SharePoint używane w zarządzaniu dokumentami usługi Dataverse | MSBizApps-Configuration lista obserwowanych filtrowana według kategorii "SharePoint" |
Aby uzyskać więcej informacji na temat reguł analitycznych, zobacz Wykrywanie zagrożeń poza urządzeniem.