Referência de conteúdo de segurança para o Microsoft Power Platform e o Microsoft Dynamics 365 Customer Engagement
Este artigo detalha o conteúdo de segurança disponível na solução do Microsoft Sentinel para Power Platform. Para obter mais informações sobre essa solução, consulte solução do Microsoft Sentinel para o Microsoft Power Platform e a visão geral do Microsoft Dynamics 365 Customer Engagement.
Importante
- A solução do Microsoft Sentinel para Power Platform está atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
- A solução é uma oferta premium. As informações de preços estarão disponíveis antes que a solução esteja em disponibilidade geral.
- Forneça comentários para esta solução concluindo esta pesquisa: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Regras de análise integradas
As regras analíticas a seguir são incluídas quando você instala a solução para o Power Platform. As fontes de dados listadas incluem o nome do conector de dados e a tabela no Log Analytics.
Regras do Dataverse
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| Dataverse – Atividade de usuário de aplicativo anômala | Identifica anomalias nos padrões de atividade de usuários do aplicativo Dataverse (não interativos), com base na atividade que está fora do padrão normal de uso. | Atividade incomum do usuário S2S no Dynamics 365/Dataverse. Fontes de dados: - Dataverse DataverseActivity |
CredentialAccess, Execution, Persistence |
| Dataverse – Auditar a exclusão de dados do log | Identifica a atividade de exclusão de dados do log de auditoria no Dataverse. | Exclusão de logs de auditoria do Dataverse. Fontes de dados: - Dataverse DataverseActivity |
Evasão de defesa |
| Dataverse – Log de auditoria desabilitado | Identifica uma alteração na configuração de auditoria do sistema na qual o log de auditoria está desativado. | Auditoria de nível global ou de entidade desabilitada. Fontes de dados: - Dataverse DataverseActivity |
Evasão de defesa |
| Dataverse – atribuição ou compartilhamento de propriedade de registro em massa | Identifica alterações na propriedade de registro individual, incluindo: - Registrar o compartilhamento com outros usuários/equipes - Reatribuções de propriedade que excedem um limite predefinido. |
Muitos eventos de compartilhamento de registro e propriedade de registro gerados na janela de detecção. Fontes de dados: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse – Executável carregado no site de gerenciamento de documentos do SharePoint | Identifica arquivos executáveis e scripts carregados em sites do SharePoint usados para o gerenciamento de documentos do Dynamics, contornando restrições de extensão de arquivo nativo no Dataverse. | Carregar arquivos executáveis no gerenciamento de documentos do Dataverse. Fontes de dados: - Office365 OfficeActivity (SharePoint) |
Execução, persistência |
| Dataverse – Exportar atividade de funcionário encerrado ou notificado | Identifica a atividade de exportação do Dataverse disparada por funcionários demitidos ou funcionários prestes a deixar a organização. | Eventos de exportação de dados associados aos usuários no modelo de watchlist TerminatedEmployees. Fontes de dados: - Dataverse DataverseActivity |
Exfiltração |
| Dataverse – Exfiltração de usuário convidado após prejuízo de defesa do Power Platform | Identifica uma cadeia de eventos que começa com a desabilitação do isolamento de locatários do Power Platform e a remoção do grupo de segurança de acesso de um ambiente. Esses eventos estão correlacionados com alertas de exfiltração do Dataverse associados ao ambiente afetado e usuários convidados do Microsoft Entra criados recentemente. Ative outras regras de análise do Dataverse com a tática EXfiltration MITRE antes de habilitar essa regra. |
Como um usuário convidado criado recentemente, acione alertas de exfiltração do Dataverse depois que os controles de segurança do Power Platform forem desabilitados. Fontes de dados: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity |
Evasão de defesa |
| Dataverse – Manipulação de segurança de hierarquia | Identifica comportamentos suspeitos na segurança da hierarquia. | Alterações nas propriedades de segurança, incluindo: - Segurança da hierarquia desabilitada. – O usuário atribui a si mesmo como gerente. - O usuário atribui-se a uma posição monitorada (definida em KQL). Fontes de dados: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse – Atividade de instância honeypot | Identifica atividades em uma instância predefinida do Honeypot Dataverse. Alertas quando uma entrada no Honeypot é detectada ou quando tabelas do Dataverse monitoradas no Honeypot são acessadas. |
Entre e acesse dados em uma instância designada do Honeypot Dataverse no Power Platform com a auditoria habilitada. Fontes de dados: - Dataverse DataverseActivity |
Descoberta, Exfiltração |
| Dataverse – Logon por um usuário com privilégios confidenciais | Identifica as entradas do Dataverse e do Dynamics 365 por usuários confidenciais. | A entrada dos usuários foi adicionada à lista de observação VIPUsers com base nas marcas definidas no KQL. Fontes de dados: - Dataverse DataverseActivity |
InitialAccess, CredentialAccess, PrivilegeEscalation |
| Dataverse – Logon do IP na lista de blocos | Identifica a atividade de entrada do Dataverse de endereços IPv4 que estão em uma lista de bloqueio predefinida. | Entre por um usuário com um endereço IP que faz parte de um intervalo de rede bloqueado. Os intervalos de rede bloqueados são mantidos no modelo de watchlist NetworkAddresses. Fontes de dados: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse – Logon do IP que não está na lista de permissões | Identifica entradas de endereços IPv4 que não correspondem às sub-redes IPv4 mantidas em uma lista de permissões. | Entre por um usuário com um endereço IP que não faz parte de um intervalo de rede permitido. Os intervalos de rede bloqueados são mantidos no modelo de watchlist NetworkAddresses. Fontes de dados: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse – Malware encontrado no site de gerenciamento de documentos do SharePoint | Identifica malware carregado por meio do gerenciamento de documentos do Dynamics 365 ou diretamente no SharePoint, afetando sites do SharePoint associados ao Dataverse. | Arquivo mal-intencionado no site do SharePoint vinculado ao Dataverse. Fontes de dados: - Dataverse DataverseActivity- Office365 OfficeActivity (SharePoint) |
Execução |
| Dataverse – Exclusão em massa de registros | Identifica operações de exclusão de registro em grande escala com base em um limite predefinido. Também detecta trabalhos de exclusão em massa agendados. |
Exclusão de registros que excedem o limite definido em KQL. Fontes de dados: - Dataverse DataverseActivity |
Impacto |
| Dataverse – Download em massa do gerenciamento de documentos do SharePoint | Identifica o download em massa na última hora de arquivos de sites do SharePoint configurados para gerenciamento de documentos no Dynamics 365. | Download em massa excedendo o limite definido em KQL. Essa regra de análise usa a watchlist MSBizApps-Configuration para identificar sites do SharePoint usados para o Gerenciamento de Documentos. Fontes de dados: - Office365 OfficeActivity (SharePoint) |
Exfiltração |
| Dataverse – Exportação em massa de registros para o Excel | Identifica os usuários que exportam um grande número de registros do Dynamics 365 para o Excel, em que o número de registros exportados é significativamente maior do que qualquer outra atividade recente desse usuário. Grandes exportações de usuários sem atividade recente são identificadas usando um limite predefinido. |
Exporte muitos registros do Dataverse para o Excel. Fontes de dados: - Dataverse DataverseActivity |
Exfiltração |
| Dataverse – Atualizações de registro em massa | Detecta alterações de atualização de registro em massa no Dataverse e no Dynamics 365, excedendo um limite predefinido. | A atualização em massa de registros excede o limite definido em KQL. Fontes de dados: - Dataverse DataverseActivity |
Impacto |
| Dataverse – Novo tipo de atividade do usuário do aplicativo Dataverse | Identifica tipos de atividade novos ou não vistos anteriormente associados a um usuário do aplicativo Dataverse (não interativo). | Novos tipos de atividade de usuário do S2S. Fontes de dados: - Dataverse DataverseActivity |
CredentialAccess, Execution, PrivilegeEscalation |
| Dataverse – Novo acesso concedido à identidade não interativa | Identifica as concessões de acesso no nível da API, por meio das permissões delegadas de um aplicativo do Microsoft Entra ou por atribuição direta no Dataverse como um usuário de aplicativo. | Permissões do Dataverse adicionadas a usuários não interativos. Fontes de dados: - Dataverse DataverseActivity,- AzureActiveDirectory AuditLogs |
Persistence, LateralMovement, PrivilegeEscalation |
| Dataverse – Nova entrada de um domínio não autorizado | Identifica a atividade de entrada do Dataverse proveniente de usuários com sufixos UPN que não foram vistos anteriormente nos últimos 14 dias e não estão presentes em uma lista predefinida de domínios autorizados. Os usuários comuns do sistema interno do Power Platform são excluídos por padrão. |
Entrada por usuário externo de um sufixo de domínio não autorizado. Fontes de dados: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse – Novo tipo de agente de usuário que não foi usado antes | Identifica os usuários que acessam o Dataverse de um Agente de Usuário que não foi visto em nenhuma instância do Dataverse nos últimos 14 dias. | Atividade no Dataverse de um novo agente de usuário. Fontes de dados: - Dataverse DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse – Novo tipo de agente de usuário que não foi usado com o Office 365 | Identifica os usuários que acessam o Dynamics com um Agente de Usuário que não foi visto em nenhuma carga de trabalho do Office 365 nos últimos 14 dias. | Atividade no Dataverse de um novo agente de usuário. Fontes de dados: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse – Configurações da organização modificadas | Identifica as alterações feitas no nível da organização no ambiente do Dataverse. | Propriedade de nível de organização modificada no Dataverse. Fontes de dados: - Dataverse DataverseActivity |
Persistência |
| Dataverse – Remoção de extensões de arquivo bloqueadas | Identifica modificações nas extensões de arquivo bloqueadas de um ambiente e extrai a extensão removida. | Remoção de extensões de arquivo bloqueadas em propriedades do Dataverse. Fontes de dados: - Dataverse DataverseActivity |
Evasão de defesa |
| Dataverse – site de gerenciamento de documentos do SharePoint adicionado ou atualizado | Identifica modificações da integração de gerenciamento de documentos do SharePoint. O gerenciamento de documentos permite o armazenamento de dados localizados externamente no Dataverse. Combine essa regra de análise com o guia estratégico Dataverse: adicione sites do SharePoint à watchlist para atualizar automaticamente a watchlist Dataverse-SharePointSites. Essa watchlist pode ser usada para correlacionar eventos entre o Dataverse e o SharePoint ao usar o conector de dados do Office 365. |
Mapeamento de site do SharePoint adicionado ao Gerenciamento de Documentos. Fontes de dados: - Dataverse DataverseActivity |
Exfiltração |
| Dataverse – Modificações suspeitas de função de segurança | Identifica um padrão incomum de eventos em que uma nova função é criada, seguida pelo criador adicionando membros à função e, posteriormente, removendo o membro ou excluindo a função após um curto período de tempo. | Alterações em funções de segurança e atribuições de função. Fontes de dados: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse – Uso suspeito do ponto de extremidade do TDS | Identifica consultas baseadas em protocolo do TDS do Dataverse (Fluxo de Dados Tabulares), em que o usuário de origem ou endereço IP tem alertas de segurança recentes e o protocolo TDS não foi usado anteriormente no ambiente de destino. | Uso repentino do ponto de extremidade do TDS em correlação com alertas de segurança. Fontes de dados: - Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
Exfiltração, InitialAccess |
| Dataverse – Uso suspeito da API Web | Identifica as entradas em vários ambientes do Dataverse que violam um limite predefinido e se originam de um usuário com um endereço IP que foi usado para entrar em um registro de aplicativo conhecido do Microsoft Entra. | Entre usando WebAPI em vários ambientes usando uma ID de aplicativo público conhecida. Fontes de dados: - Dataverse DataverseActivity- AzureActiveDirectory SigninLogs |
Execução, Exfiltração, Reconhecimento, Descoberta |
| Dataverse – TI mapeia IP para DataverseActivity | Identifica uma correspondência em DataverseActivity de qualquer IOC IP da Inteligência contra Ameaças do Microsoft Sentinel. | Atividade do Dataverse com IOC correspondente a IP. Fontes de dados: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, LateralMovement, Discovery |
| Dataverse – URL do mapa de TI para DataverseActivity | Identifica uma correspondência no DataverseActivity de qualquer IOC de URL da Inteligência contra Ameaças do Microsoft Sentinel. | Atividade do Dataverse com IOC correspondente à URL. Fontes de dados: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, Execution, Persistence |
| Dataverse – Exfiltração de funcionário encerrada por email | Identifica a exfiltração do Dataverse por email por funcionários encerrados. | Emails enviados para domínios de destinatário não confiáveis após alertas de segurança correlacionados com usuários na watchlist TerminatedEmployees. Fontes de dados: MicrosoftThreatProtection EmailEventsIdentityInfo- AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
Exfiltração |
| Dataverse – Exfiltração de funcionário encerrada para unidade USB | Identifica arquivos baixados do Dataverse partindo ou encerrando funcionários e são copiados para unidades montadas por USB. | Arquivos provenientes do Dataverse copiados para USB por um usuário na watchlist TerminatedEmployees. Fontes de dados: - Dataverse DataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Exfiltração |
| Dataverse – Entrada incomum após proteção de associação de cookie baseada em endereço IP desabilitada | Identifica agentes de IP e de usuário não vistos anteriormente em uma instância do Dataverse após a desabilitação da proteção de associação de cookie. Para obter mais informações, consulte Proteção de sessões do Dataverse com associação de cookie IP. |
Nova atividade de entrada. Fontes de dados: - Dataverse DataverseActivity |
Evasão de defesa |
| Dataverse – Recuperação em massa do usuário fora da atividade normal | Identifica os usuários que recuperam significativamente mais registros do Dataverse do que nas últimas duas semanas. | O usuário recupera muitos registros do Dataverse e incluindo o limite definido por KQL. Fontes de dados: - Dataverse DataverseActivity |
Exfiltração |
Regras do Power Apps
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| Power Apps – Atividade de aplicativo da área geográfica não autorizada | Identifica a atividade do Power Apps de regiões geográficas em uma lista predefinida de regiões geográficas não autorizadas. Essa detecção obtém a lista de códigos de país ISO 3166-1 alpha-2 da ISO Online Browsing Platform (OBP). Essa detecção usa logs ingeridos do Microsoft Entra ID e requer que você também habilite o conector de dados do Microsoft Entra ID. |
Execute uma atividade em um Power App de uma região geográfica que está na lista de códigos de país não autorizados. Fontes de dados: - Atividade de administrador do Microsoft Power Platform (Versão prévia) PowerPlatformAdminActivity– Microsoft Entra ID SigninLogs |
Acesso inicial |
| Power Apps – Vários aplicativos excluídos | Identifica a atividade de exclusão em massa em que vários Power Apps são excluídos, correspondendo a um limite predefinido do total de aplicativos excluídos ou eventos excluídos pelo aplicativo em vários ambientes do Power Platform. | Exclua muitos Power Apps do Centro de administração do Power Platform. Fontes de dados: - Atividade de administrador do Microsoft Power Platform (Versão prévia) PowerPlatformAdminActivity |
Impacto |
| Power Apps – Destruição de dados após a publicação de um novo aplicativo | Identifica uma cadeia de eventos quando um novo aplicativo é criado ou publicado e é seguido dentro de 1 hora por um evento de atualização em massa ou exclusão no Dataverse. | Exclua muitos registros no Power Apps dentro de 1 hora após a criação ou publicação do Power App. Se o editor do aplicativo estiver na lista de usuários no modelo de watchlist TerminatedEmployees, a gravidade do incidente será gerada. Fontes de dados: - Atividade de administrador do Microsoft Power Platform (Versão prévia) PowerPlatformAdminActivity- Microsoft Dataverse (versão prévia) DataverseActivity |
Impacto |
| Power Apps – Vários usuários acessando um link mal-intencionado após a inicialização do novo aplicativo | Identifica uma cadeia de eventos quando um novo Power App é criado e seguido por estes eventos: – Vários usuários inicializam o aplicativo dentro da janela de detecção. – Vários usuários abrem a mesma URL mal-intencionada. Essa detecção cruzada correlaciona os logs de execução do Power Apps com eventos de seleção de URL mal-intencionados de uma das seguintes fontes: - O conector de dados do Microsoft 365 Defender ou - Indicadores de comprometimento (IOC) de URL mal-intencionada na Inteligência contra Ameaças do Microsoft Sentinel com o analisador de normalização de sessão da Web ASIM (Modelo de Informações de Segurança Avançado). Essa detecção obtém o número distinto de usuários que iniciam ou selecionam o link mal-intencionado criando uma consulta. |
Vários usuários iniciam um novo PowerApp e abrem uma URL mal-intencionada conhecida do aplicativo. Fontes de dados: - Atividade de administrador do Microsoft Power Platform (Versão prévia) PowerPlatformAdminActivity- Inteligência contra ameaças ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
Acesso inicial |
| Power Apps – compartilhamento em massa do Power Apps para usuários convidados recém-criados | Identifica o compartilhamento em massa incomum do Power Apps para usuários convidados do Microsoft Entra recém-criados. O compartilhamento em massa incomum baseia-se em um limite predefinido na consulta. | Compartilhe um aplicativo com vários usuários externos. Fontes de dados: - Atividade de administrador do Microsoft Power Platform (Versão prévia) PowerPlatformAdminActivity– Microsoft Entra IDAuditLogs |
Desenvolvimento de recursos, Acesso inicial, Movimentação lateral |
Regras do Power Automate
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| Power Automate – Atividade de fluxo de funcionários de partida | Identifica instâncias em que um funcionário que foi notificado ou já foi demitido e está na watchlist Funcionários Demitidos, cria ou modifica um fluxo do Power Automate. | O usuário definido na watchlist TerminatedEmployees cria ou atualiza um fluxo do Power Automate. Fontes de dados: Microsoft Power Automate (versão prévia) PowerAutomateActivityWatchlist TerminatedEmployees |
Exfiltração, impacto |
| Power Automate – Exclusão em massa incomum de recursos de fluxo | Identifica a exclusão em massa de fluxos do Power Automate que excedem um limite predefinido definido na consulta e se desviam dos padrões de atividade observados nos últimos 14 dias. | Exclusão em massa de fluxos do Power Automate. Fontes de dados: - PowerAutomate PowerAutomateActivity |
Impacto, Evasão de defesa |
Regras do Power Platform
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| Power Platform – Conector adicionado a um ambiente sensível | Identifica a criação de novos conectores de API no Power Platform, visando especificamente uma lista predefinida de ambientes confidenciais. | Adicione um novo conector do Power Platform em um ambiente sensível do Power Platform. Fontes de dados: - Atividade de administrador do Microsoft Power Platform (Versão prévia) PowerPlatformAdminActivity |
Execução, Exfiltração |
| Power Platform – Política DLP atualizada ou removida | Identifica alterações na política de prevenção contra perda de dados, especificamente políticas atualizadas ou removidas. | Atualize ou remova uma política de prevenção contra perda de dados do Power Platform no ambiente do Power Platform. Fontes de dados: Atividade do administrador do Microsoft Power Platform (versão prévia) PowerPlatformAdminActivity |
Evasão de defesa |
| Power Platform – Possivelmente o usuário comprometido acessa os serviços do Power Platform | Identifica contas de usuário sinalizadas em risco no Microsoft Entra ID Protection e correlaciona esses usuários à atividade de entrada no Power Platform, incluindo Power Apps, Power Automate e Power Platform Admin Center. | O usuário com sinais de risco acessa os portais do Power Platform. Fontes de dados: – Microsoft Entra ID SigninLogs |
Acesso Inicial, Movimento Lateral |
| Power Platform – Conta adicionada a funções privilegiadas do Microsoft Entra | Identifica alterações nas seguintes funções de diretório com privilégios que afetam o Power Platform: – Administradores do Dynamics 365 – Administradores do Power Platform – Administradores do Fabric |
Fontes de dados: AzureActiveDirectory AuditLogs |
PrivilegeEscalation |
Consultas de busca
A solução inclui consultas de busca que podem ser usadas por analistas para caçar proativamente atividades mal-intencionadas ou suspeitas nos ambientes do Dynamics 365 e do Power Platform.
| Nome da regra | Descrição | Fonte de dados | Táticas |
|---|---|---|---|
| Dataverse – Atividade após alertas do Microsoft Entra | Essa consulta de busca procura usuários que realizam atividades do Dataverse/Dynamics 365 logo após um alerta da Proteção de ID do Microsoft Entra para esse usuário. A consulta procura apenas usuários não vistos antes ou que conduzem atividades do Dynamics não vistas anteriormente. |
- Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
InitialAccess |
| Dataverse – Atividade após logons com falha | Essa consulta de busca procura usuários que conduzem a atividade do Dataverse/Dynamics 365 logo após muitas entradas com falha. Use essa consulta para procurar uma atividade potencial pós-força bruta. Ajuste o valor do limite com base na taxa de falso positivo. |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
InitialAccess |
| Dataverse – Atividade de exportação de dados entre ambientes | Pesquisa a atividade de exportação de dados em um número predeterminado de instâncias do Dataverse. A atividade de exportação de dados em vários ambientes pode indicar atividade suspeita, pois os usuários normalmente trabalham apenas em alguns ambientes. |
- DataverseDataverseActivity |
Exfiltração, coleção |
| Dataverse – Exportação do Dataverse copiada para dispositivos USB | Usa dados do Microsoft Defender XDR para detectar arquivos baixados de uma instância do Dataverse e copiados para a unidade USB. | - DataverseDataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Exfiltração |
| Dataverse – Aplicativo cliente genérico usado para acessar ambientes de produção | Detecta o uso do "Aplicativo de Exemplo do Dynamics 365" interno para acessar ambientes de produção. Esse aplicativo genérico não pode ser restringido pelos controles de autorização da ID do Microsoft Entra e pode ser abusado para obter acesso não autorizado por meio da API Web. |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
Execução |
| Dataverse – Atividade de gerenciamento de identidade fora da associação de função de diretório com privilégios | Detecta eventos de administração de identidade no Dataverse/Dynamics 365 feitos por contas que não são membros das seguintes funções de diretório com privilégios: Administradores do Dynamics 365, Administradores do Power Platform ou Administradores Globais | - DataverseDataverseActivity- UEBA IdentityInfo |
PrivilegeEscalation |
| Dataverse – Alterações de gerenciamento de identidade sem MFA | Usado para mostrar operações de administração de identidade com privilégios no Dataverse feitas por contas que entraram sem usar MFA. | - DataverseDataverseActivity- AzureActiveDirectory SigninLogs, DataverseActivity |
InitialAccess |
| Power Apps – Compartilhamento em massa anormal do Power App para usuários convidados recém-criados | A consulta detecta tentativas anômalas de executar o compartilhamento em massa de um Power App para usuários convidados recém-criados. | Fontes de dados: PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess, LateralMovement, ResourceDevelopment |
Guias estratégicos
Essa solução contém guias estratégicos que podem ser usados para automatizar a resposta de segurança a incidentes e alertas no Microsoft Sentinel.
| Nome do guia estratégico | Descrição |
|---|---|
| Fluxo de trabalho de segurança: verificação de alerta com proprietários de carga de trabalho | Esse guia estratégico pode reduzir a carga sobre o SOC descarregando a verificação de alerta para administradores de TI para regras de análise específicas. Ele é disparado quando um alerta do Microsoft Sentinel é gerado, cria uma mensagem (e um email de notificação associado) no canal do Microsoft Teams do proprietário da carga de trabalho que contém detalhes do alerta. Se o proprietário da carga de trabalho responder que a atividade não está autorizada, o alerta será convertido em um incidente no Microsoft Sentinel para que o SOC seja manipulado. |
| Dataverse: enviar notificação ao gerenciador | Esse guia estratégico pode ser disparado quando um incidente do Microsoft Sentinel é gerado e enviará automaticamente uma notificação por email ao gerente das entidades de usuário afetadas. O Guia Estratégico pode ser configurado para enviar ao gerente do Dynamics 365 ou usando o gerente no Office 365. |
| Dataverse: Adicionar usuário à lista de bloqueios (gatilho de incidente) | Esse guia estratégico pode ser disparado quando um incidente do Microsoft Sentinel é gerado e adicionará automaticamente entidades de usuário afetadas a um grupo predefinido do Microsoft Entra, resultando em acesso bloqueado. O grupo Microsoft Entra é usado com acesso condicional para bloquear a entrada no Dataverse. |
| Dataverse: Adicionar usuário à lista de bloqueios usando o fluxo de trabalho de aprovação do Outlook | Esse guia estratégico pode ser disparado quando um incidente do Microsoft Sentinel é gerado e adicionará automaticamente entidades de usuário afetadas a um grupo do Microsoft Entra predefinido, usando um fluxo de trabalho de aprovação baseado no Outlook, resultando em acesso bloqueado. O grupo Microsoft Entra é usado com acesso condicional para bloquear a entrada no Dataverse. |
| Dataverse: Adicionar usuário à lista de bloqueios usando o fluxo de trabalho de aprovação do Teams | Esse guia estratégico pode ser disparado quando um incidente do Microsoft Sentinel é gerado e adicionará automaticamente entidades de usuário afetadas a um grupo predefinido do Microsoft Entra, usando um fluxo de trabalho de aprovação de cartão adaptável do Teams, resultando em acesso bloqueado. O grupo Microsoft Entra é usado com acesso condicional para bloquear a entrada no Dataverse. |
| Dataverse: Adicionar usuário à lista de bloqueios (gatilho de alerta) | Esse guia estratégico pode ser disparado sob demanda quando um alerta do Microsoft Sentinel é gerado, permitindo que o analista adicione entidades de usuário afetadas a um grupo predefinido do Microsoft Entra, resultando em acesso bloqueado. O grupo Microsoft Entra é usado com acesso condicional para bloquear a entrada no Dataverse. |
| Dataverse: remover o usuário da lista de bloqueios | Esse guia estratégico pode ser disparado sob demanda quando um alerta do Microsoft Sentinel é gerado, permitindo que o analista remova entidades de usuário afetadas de um grupo predefinido do Microsoft Entra usado para bloquear o acesso. O grupo Microsoft Entra é usado com acesso condicional para bloquear a entrada no Dataverse. |
| Dataverse: Adicionar sites do SharePoint à watchlist | Este guia estratégico é usado para adicionar sites de gerenciamento de documentos novos ou atualizados do SharePoint à lista de observação de configuração. Quando combinado com uma regra de análise agendada que monitora o log de atividades do Dataverse, esse Guia Estratégico será disparado quando um novo mapeamento de site de gerenciamento de documentos do SharePoint for adicionado. O site será adicionado a uma watchlist para estender a cobertura de monitoramento. |
Pastas de trabalho
As pastas de trabalho do Microsoft Sentinel são painéis interativos personalizáveis no Microsoft Sentinel que facilitam a visualização, a análise e a investigação eficientes dos analistas sobre dados de segurança. Essa solução inclui a pasta de trabalho Atividade do Dynamics 365, que apresenta uma representação visual da atividade no Microsoft Dynamics 365 Customer Engagement/Dataverse, incluindo estatísticas de recuperação de registros e um gráfico de anomalias.
Watchlists
Essa solução inclui a watchlist MSBizApps-Configuration e exige que os usuários criem watchlists adicionais com base nos seguintes modelos de watchlist:
- VIPUsers
- NetworkAddresses
- TerminatedEmployees
Para obter mais informações, consulte Watchlists no Microsoft Sentinel e Criar watchlists.
Analisadores integrados
A solução inclui analisadores usados para acessar dados das tabelas de dados brutos. Os analisadores garantem que os dados corretos sejam retornados com um esquema consistente. Recomendamos que você use os analisadores em vez de consultar diretamente as watchlists.
| Analisador | Dados retornados | Tabela consultada |
|---|---|---|
| MSBizAppsOrgSettings | Lista de configurações de toda a organização disponíveis no Dynamics 365 Customer Engagement/Dataverse | N/D |
| MSBizAppsVIPUsers | Analisador da watchlist VIPUsers | VIPUsers do modelo de watchlist |
| MSBizAppsNetworkAddresses | Analisador da watchlist NetworkAddresses | NetworkAddresses do modelo de watchlist |
| MSBizAppsTerminatedEmployees | Analisador da watchlist TerminatedEmployees | TerminatedEmployees do modelo de watchlist |
| DataverseSharePointSites | Sites do SharePoint usados no Gerenciamento de Documentos do Dataverse | MSBizApps-Configuration watchlist filtrado pela categoria 'SharePoint' |
Para saber mais sobre as regras analíticas, confira Detectar ameaças prontas para uso.