Referência de conteúdo de segurança para Microsoft Power Platform e Microsoft Dynamics 365 Customer Engagement
Este artigo detalha o conteúdo de segurança disponível para a solução Microsoft Sentinel para Power Platform. Para obter mais informações sobre essa solução, consulte Solução Microsoft Sentinel para Microsoft Power Platform e Visão geral do Microsoft Dynamics 365 Customer Engagement.
Importante
- A solução Microsoft Sentinel para Power Platform está atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
- A solução é uma oferta premium. As informações de preços estarão disponíveis antes que a solução se torne disponível ao público.
- Forneça feedback sobre esta solução preenchendo esta pesquisa: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Regras de análise incorporadas
As regras analíticas a seguir são incluídas quando você instala a solução para Power Platform. As fontes de dados listadas incluem o nome do conector de dados e a tabela no Log Analytics.
Regras do verso de dados
| Nome da regra | Description | Ação de origem | Táticas |
|---|---|---|---|
| Dataverse - Atividade anômala do usuário do aplicativo | Identifica anomalias nos padrões de atividade dos usuários (não interativos) do aplicativo Dataverse, com base na atividade que está fora do padrão normal de uso. | Atividade incomum do usuário S2S no Dynamics 365 / Dataverse. Origens de Dados: - Dataverse DataverseActivity |
CredentialAccess, Execução, Persistência |
| Dataverse - Exclusão de dados de log de auditoria | Identifica a atividade de exclusão de dados do log de auditoria no Dataverse. | Exclusão de logs de auditoria do Dataverse. Origens de Dados: - Dataverse DataverseActivity |
DefesaEvasão |
| Dataverse - Log de auditoria desativado | Identifica uma alteração na configuração de auditoria do sistema em que o log de auditoria está desativado. | Auditoria global ou de nível de entidade desabilitada. Origens de Dados: - Dataverse DataverseActivity |
DefesaEvasão |
| Dataverse - Reatribuição ou compartilhamento de propriedade de registro em massa | Identifica alterações na propriedade de registros individuais, incluindo: - Partilha de registos com outros utilizadores/equipas - Reafectações de propriedade que excedam um limite predefinido. |
Muitos eventos de propriedade e compartilhamento de registros gerados na janela de deteção. Origens de Dados: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse - Executável carregado no site de gerenciamento de documentos do SharePoint | Identifica arquivos executáveis e scripts que são carregados para sites do SharePoint usados para gerenciamento de documentos do Dynamics, contornando as restrições de extensão de arquivo nativo no Dataverse. | Upload de arquivos executáveis no gerenciamento de documentos Dataverse. Origens de Dados: - Office365 OfficeActivity (SharePoint) |
Execução, Persistência |
| Dataverse - Atividade de exportação de funcionário demitido ou notificado | Identifica a atividade de exportação do Dataverse acionada por funcionários demitidos ou prestes a deixar a organização. | Eventos de exportação de dados associados a usuários no modelo de lista de observação TerminatedEmployees . Origens de Dados: - Dataverse DataverseActivity |
Exfiltração |
| Dataverse - Exfiltração do usuário convidado após comprometimento da defesa da Power Platform | Identifica uma cadeia de eventos que começa com a desativação do isolamento de locatário da Power Platform e a remoção do grupo de segurança de acesso de um ambiente. Esses eventos estão correlacionados com alertas de exfiltração do Dataverse associados ao ambiente afetado e aos usuários convidados do Microsoft Entra criados recentemente. Ative outras regras de análise do Dataverse com a tática Exfiltration MITRE antes de ativar essa regra. |
Como um usuário convidado criado recentemente, acione alertas de exfiltração do Dataverse depois que os controles de segurança da Power Platform forem desativados. Origens de Dados: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity |
Evasão de Defesa |
| Dataverse - Manipulação de segurança de hierarquia | Identifica comportamentos suspeitos na segurança da hierarquia. | Alterações nas propriedades de segurança, incluindo: - Segurança hierárquica desativada. - O usuário se atribui como gerente. - O usuário se atribui a uma posição monitorada (definida em KQL). Origens de Dados: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse - Atividade de instância do Honeypot | Identifica atividades em uma instância predefinida do Honeypot Dataverse. Alertas quando um login no Honeypot é detetado ou quando tabelas Dataverse monitoradas no Honeypot são acessadas. |
Entre e acesse dados em uma instância designada do Honeypot Dataverse na Power Platform com a auditoria habilitada. Origens de Dados: - Dataverse DataverseActivity |
Descoberta, Exfiltração |
| Dataverse - Login por um usuário privilegiado sensível | Identifica entradas do Dataverse e do Dynamics 365 por usuários confidenciais. | Login por usuários adicionados na lista de observação VIPUsers com base em tags definidas no KQL. Origens de Dados: - Dataverse DataverseActivity |
InitialAccess, CredentialAccess, PrivilegeEscalation |
| Dataverse - Login a partir de IP na lista de bloqueios | Identifica a atividade de entrada do Dataverse a partir de endereços IPv4 que estão em uma lista de bloqueio predefinida. | Iniciar sessão por um utilizador com um endereço IP que faz parte de um intervalo de rede bloqueado. Os intervalos de rede bloqueados são mantidos no modelo de lista de observação NetworkAddresses . Origens de Dados: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse - Login de IP não na lista de permissões | Identifica entradas de endereços IPv4 que não correspondem às sub-redes IPv4 mantidas em uma lista de permissões. | Iniciar sessão por um utilizador com um endereço IP que não faz parte de um intervalo de rede permitido. Os intervalos de rede bloqueados são mantidos no modelo de lista de observação NetworkAddresses . Origens de Dados: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse - Malware encontrado no site de gerenciamento de documentos do SharePoint | Identifica malware carregado por meio do gerenciamento de documentos do Dynamics 365 ou diretamente no SharePoint, afetando os sites do SharePoint associados ao Dataverse. | Arquivo mal-intencionado no site do SharePoint vinculado ao Dataverse. Origens de Dados: - Dataverse DataverseActivity- Office365 OfficeActivity (SharePoint) |
Execução |
| Dataverse - Eliminação em massa de registos | Identifica operações de exclusão de registros em grande escala com base em um limite predefinido. Também deteta trabalhos de exclusão em massa agendados. |
Supressão de registos que excedam o limiar definido no KQL. Origens de Dados: - Dataverse DataverseActivity |
Impacto |
| Dataverse - Download em massa do gerenciamento de documentos do SharePoint | Identifica o download em massa na última hora de arquivos de sites do SharePoint configurados para gerenciamento de documentos no Dynamics 365. | Download em massa excedendo o limite definido no KQL. Esta regra de análise usa a lista de observação MSBizApps-Configuration para identificar sites do SharePoint usados para Gerenciamento de Documentos. Origens de Dados: - Office365 OfficeActivity (SharePoint) |
Exfiltração |
| Dataverse - Exportação em massa de registros para o Excel | Identifica os usuários que exportam um grande número de registros do Dynamics 365 para o Excel, onde o número de registros exportados é significativamente maior do que qualquer outra atividade recente desse usuário. Grandes exportações de usuários sem atividade recente são identificadas usando um limite predefinido. |
Exporte muitos registros do Dataverse para o Excel. Origens de Dados: - Dataverse DataverseActivity |
Exfiltração |
| Dataverse - Atualizações de registros em massa | Deteta alterações de atualização de registro em massa no Dataverse e no Dynamics 365, excedendo um limite predefinido. | A atualização em massa dos registos excede o limiar definido no KQL. Origens de Dados: - Dataverse DataverseActivity |
Impacto |
| Dataverse - Novo tipo de atividade do usuário do aplicativo Dataverse | Identifica tipos de atividade novos ou inéditos associados a um usuário (não interativo) do aplicativo Dataverse. | Novos tipos de atividade de usuário S2S. Origens de Dados: - Dataverse DataverseActivity |
CredentialAccess, Execução, PrivilegeEscalation |
| Dataverse - Nova identidade não interativa com acesso concedido | Identifica concessões de acesso em nível de API, seja por meio das permissões delegadas de um aplicativo Microsoft Entra ou por atribuição direta dentro do Dataverse como um usuário do aplicativo. | Permissões do Dataverse adicionadas ao usuário não interativo. Origens de Dados: - Dataverse DataverseActivity,- AzureActiveDirectory AuditLogs |
Persistência, LateralMovement, PrivilegeEscalation |
| Dataverse - Novo início de sessão a partir de um domínio não autorizado | Identifica a atividade de entrada do Dataverse originada de usuários com sufixos UPN que não foram vistos anteriormente nos últimos 14 dias e não estão presentes em uma lista predefinida de domínios autorizados. Os usuários internos comuns do sistema Power Platform são excluídos por padrão. |
Entrada por usuário externo a partir de um sufixo de domínio não autorizado. Origens de Dados: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse - Novo tipo de agente de usuário que não foi usado antes | Identifica os usuários que acessam o Dataverse a partir de um User Agent que não foi visto em nenhuma instância do Dataverse nos últimos 14 dias. | Atividade no Dataverse de um novo user-agent. Origens de Dados: - Dataverse DataverseActivity |
InitialAccess, DefesaEvasão |
| Dataverse - Novo tipo de agente de usuário que não foi usado com o Office 365 | Identifica os usuários que acessam o Dynamics com um User Agent que não foi visto em nenhuma carga de trabalho do Office 365 nos últimos 14 dias. | Atividade no Dataverse de um novo user-agent. Origens de Dados: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse - Configurações da organização modificadas | Identifica as alterações feitas no nível da organização no ambiente Dataverse. | Propriedade de nível de organização modificada em Dataverse. Origens de Dados: - Dataverse DataverseActivity |
Persistência |
| Dataverse - Remoção de extensões de arquivo bloqueadas | Identifica modificações nas extensões de arquivo bloqueadas de um ambiente e extrai a extensão removida. | Remoção de extensões de arquivo bloqueadas nas propriedades do Dataverse. Origens de Dados: - Dataverse DataverseActivity |
DefesaEvasão |
| Dataverse - Site de gerenciamento de documentos do SharePoint adicionado ou atualizado | Identifica modificações da integração de gerenciamento de documentos do SharePoint. O gerenciamento de documentos permite o armazenamento de dados localizados externamente ao Dataverse. Combine esta regra de análise com o Dataverse : Adicionar sites do SharePoint ao playbook da lista de observação para atualizar automaticamente a lista de observação Dataverse-SharePointSites . Esta lista de observação pode ser usada para correlacionar eventos entre o Dataverse e o SharePoint ao usar o conector de dados do Office 365. |
Mapeamento de site do SharePoint adicionado em Gerenciamento de Documentos. Origens de Dados: - Dataverse DataverseActivity |
Exfiltração |
| Dataverse - Modificações suspeitas da função de segurança | Identifica um padrão incomum de eventos em que uma nova função é criada, seguida pelo criador adicionando membros à função e, posteriormente, removendo o membro ou excluindo a função após um curto período de tempo. | Alterações nas funções de segurança e atribuições de funções. Origens de Dados: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse - Uso suspeito do ponto de extremidade TDS | Identifica consultas baseadas no protocolo Dataverse TDS (Tabular Data Stream), onde o usuário de origem ou o endereço IP tem alertas de segurança recentes e o protocolo TDS não foi usado anteriormente no ambiente de destino. | Uso súbito do ponto de extremidade TDS em correlação com alertas de segurança. Origens de Dados: - Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
Exfiltração, InitialAccess |
| Dataverse - Uso suspeito da API Web | Identifica entradas em vários ambientes Dataverse que violam um limite predefinido e se originam de um usuário com um endereço IP que foi usado para entrar em um registro de aplicativo Microsoft Entra bem conhecido. | Entre usando WebAPI em vários ambientes usando um ID de aplicativo público bem conhecido. Origens de Dados: - Dataverse DataverseActivity- AzureActiveDirectory SigninLogs |
Execução, Exfiltração, Reconhecimento, Descoberta |
| Dataverse - TI mapear IP para DataverseActivity | Identifica uma correspondência em DataverseActivity de qualquer IOC IP do Microsoft Sentinel Threat Intelligence. | Atividade do verso de dados com IOC correspondente a IP. Origens de Dados: - Dataverse DataverseActivityInteligência de ameaças ThreatIntelligenceIndicator |
InitialAccess, LateralMovement, Descoberta |
| Dataverse - URL do mapa TI para DataverseActivity | Identifica uma correspondência no DataverseActivity de qualquer URL IOC do Microsoft Sentinel Threat Intelligence. | Atividade do Dataverse com URL correspondente ao IOC. Origens de Dados: - Dataverse DataverseActivityInteligência de ameaças ThreatIntelligenceIndicator |
InitialAccess, Execução, Persistência |
| Dataverse - Exfiltração de funcionários demitidos por e-mail | Identifica a exfiltração do Dataverse por e-mail por funcionários demitidos. | E-mails enviados para domínios de destinatários não confiáveis após alertas de segurança correlacionados com usuários na lista de observação TerminatedEmployees . Origens de Dados: MicrosoftThreatProtection EmailEventsIdentityInfo- AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
Exfiltração |
| Dataverse - Exfiltração de funcionário encerrado para unidade USB | Identifica os arquivos baixados do Dataverse por funcionários que saem ou são demitidos e são copiados para unidades montadas em USB. | Arquivos originários do Dataverse copiados para USB por um usuário na lista de observação TerminatedEmployees . Origens de Dados: - Dataverse DataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Exfiltração |
| Dataverse - Início de sessão invulgar após proteção de ligação de cookies baseada em endereço IP desativada | Identifica IP e agentes de usuário inéditos em uma instância do Dataverse após a desativação da proteção de vinculação de cookies. Para obter mais informações, consulte Protegendo sessões do Dataverse com vinculação de cookies IP. |
Nova atividade de início de sessão. Origens de Dados: - Dataverse DataverseActivity |
DefesaEvasão |
| Dataverse - Recuperação em massa do usuário fora da atividade normal | Identifica usuários recuperando significativamente mais registros do Dataverse do que nas últimas duas semanas. | O usuário recupera muitos registros do Dataverse e inclui o limite definido pelo KQL. Origens de Dados: - Dataverse DataverseActivity |
Exfiltração |
Regras do Power Apps
| Nome da regra | Description | Ação de origem | Táticas |
|---|---|---|---|
| Power Apps - Atividade de aplicações a partir de geo não autorizado | Identifica a atividade do Power Apps de regiões geográficas em uma lista predefinida de regiões geográficas não autorizadas. Esta deteção obtém a lista de códigos de país ISO 3166-1 alpha-2 da ISO Online Browsing Platform (OBP). Essa deteção usa logs ingeridos do Microsoft Entra ID e requer que você também habilite o conector de dados do Microsoft Entra ID. |
Execute uma atividade numa Power App a partir de uma região geográfica que esteja na lista de códigos de país não autorizados. Fontes de dados: - Atividade de administração da Microsoft Power Platform (visualização) PowerPlatformAdminActivity- ID do Microsoft Entra SigninLogs |
Acesso inicial |
| Power Apps - Várias aplicações eliminadas | Identifica a atividade de exclusão em massa em que vários Power Apps são excluídos, correspondendo a um limite predefinido de total de aplicativos excluídos ou eventos excluídos de aplicativos em vários ambientes da Power Platform. | Elimine muitas Power Apps do centro de administração da Power Platform. Origens de Dados: - Atividade de administração da Microsoft Power Platform (visualização) PowerPlatformAdminActivity |
Impacto |
| Power Apps - Destruição de dados após a publicação de um novo aplicativo | Identifica uma cadeia de eventos quando um novo aplicativo é criado ou publicado e é seguido dentro de 1 hora por um evento de atualização ou exclusão em massa no Dataverse. | Elimine muitos registos nas Power Apps no espaço de 1 hora após a Power App ter sido criada ou publicada. Se o editor do aplicativo estiver na lista de usuários no modelo de lista de observação TerminatedEmployees , a gravidade do incidente será aumentada. Origens de Dados: - Atividade de administração da Microsoft Power Platform (visualização) PowerPlatformAdminActivity- Microsoft Dataverse (Pré-visualização) DataverseActivity |
Impacto |
| Power Apps - Vários usuários acessando um link mal-intencionado após iniciar um novo aplicativo | Identifica uma cadeia de eventos quando um novo Power App é criado e é seguido por estes eventos: - Vários usuários iniciam o aplicativo dentro da janela de deteção. - Vários utilizadores abrem o mesmo URL malicioso. Essa deteção correlaciona os logs de execução do Power Apps com eventos de seleção de URL mal-intencionados de uma das seguintes fontes: - O conector de dados Microsoft 365 Defender ou - Indicadores maliciosos de comprometimento de URL (IOC) no Microsoft Sentinel Threat Intelligence com o analisador de normalização de sessão web Advanced Security Information Model (ASIM). Essa deteção obtém o número distinto de usuários que iniciam ou selecionam o link mal-intencionado criando uma consulta. |
Vários usuários iniciam um novo PowerApp e abrem uma URL maliciosa conhecida do aplicativo. Origens de Dados: - Atividade de administração da Microsoft Power Platform (visualização) PowerPlatformAdminActivity- Inteligência de ameaças ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
Acesso inicial |
| Power Apps - Compartilhamento em massa de Power Apps para usuários convidados recém-criados | Identifica o compartilhamento em massa incomum de Power Apps para usuários convidados recém-criados do Microsoft Entra. O compartilhamento em massa incomum é baseado em um limite predefinido na consulta. | Partilhe uma aplicação com vários utilizadores externos. Origens de Dados: - Atividade de administração da Microsoft Power Platform (visualização) PowerPlatformAdminActivity- ID do Microsoft EntraAuditLogs |
Desenvolvimento de Recursos, Acesso inicial, Movimento Lateral |
Regras do Power Automate
| Nome da regra | Description | Ação de origem | Táticas |
|---|---|---|---|
| Power Automate - Atividade de fluxo de funcionários que sai | Identifica instâncias em que um funcionário que foi notificado ou já foi demitido e está na lista de observação Funcionários Demitidos, cria ou modifica um fluxo de Power Automatic. | O usuário definido na lista de observação TerminatedEmployees cria ou atualiza um fluxo do Power Automatic. Origens de Dados: Microsoft Power Automate (Pré-visualização) PowerAutomateActivityLista de observação Funcionários Encerrados |
Exfiltração, impacto |
| Power Automate - Exclusão em massa incomum de recursos de fluxo | Identifica a exclusão em massa de fluxos do Power Automate que excedem um limite predefinido definido na consulta e se desviam dos padrões de atividade observados nos últimos 14 dias. | Exclusão em massa de fluxos do Power Automatic. Origens de Dados: - PowerAutomate PowerAutomateActivity |
Impacto, Evasão de Defesa |
Regras da Power Platform
| Nome da regra | Description | Ação de origem | Táticas |
|---|---|---|---|
| Plataforma de alimentação - Conector adicionado a um ambiente sensível | Identifica a criação de novos conectores de API dentro da Power Platform, visando especificamente uma lista predefinida de ambientes sensíveis. | Adicione um novo conector Power Platform em um ambiente confidencial Power Platform. Origens de Dados: - Atividade de administração da Microsoft Power Platform (visualização) PowerPlatformAdminActivity |
Execução, Exfiltração |
| Power Platform - Política de DLP atualizada ou removida | Identifica alterações na política de prevenção de perda de dados, especificamente políticas que são atualizadas ou removidas. | Atualize ou remova uma política de prevenção de perda de dados da Power Platform no ambiente da Power Platform. Origens de Dados: Atividade de administração da Microsoft Power Platform (Pré-visualização) PowerPlatformAdminActivity |
Evasão de Defesa |
| Power Platform - Acessos de usuários possivelmente comprometidos aos serviços da Power Platform | Identifica contas de usuário sinalizadas em risco no Microsoft Entra ID Protection e correlaciona esses usuários com a atividade de entrada na Power Platform, incluindo Power Apps, Power Automate e Power Platform Admin Center. | O utilizador com sinais de risco acede aos portais da Power Platform. Origens de Dados: - ID do Microsoft Entra SigninLogs |
Acesso Inicial, Movimento Lateral |
| Power Platform - Conta adicionada a funções privilegiadas do Microsoft Entra | Identifica alterações nas seguintes funções de diretório privilegiado que afetam a Power Platform: - Administradores do Dynamics 365- Administradores da Plataforma de Energia- Administradores de Malha |
Origens de Dados: AzureActiveDirectory AuditLogs |
PrivilegeEscalation |
Consultas de investigação
A solução inclui consultas de caça que podem ser usadas por analistas para caçar proativamente atividades maliciosas ou suspeitas nos ambientes Dynamics 365 e Power Platform.
| Nome da regra | Description | Origem de Dados | Táticas |
|---|---|---|---|
| Dataverse - Atividade após alertas do Microsoft Entra | Esta consulta de busca procura usuários que realizam atividade do Dataverse/Dynamics 365 logo após um alerta do Microsoft Entra ID Protection para esse usuário. A consulta procura apenas usuários não vistos antes ou realizando atividades do Dynamics não vistas anteriormente. |
- Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
InitialAccess |
| Dataverse - Atividade após logons com falha | Esta consulta de caça procura usuários que realizam atividades do Dataverse/Dynamics 365 logo após muitas entradas com falha. Use esta consulta para procurar possíveis atividades pós-força bruta. Ajuste o valor do limite com base na taxa de falsos positivos. |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
InitialAccess |
| Dataverse - Atividade de exportação de dados entre ambientes | Procura atividade de exportação de dados em um número predeterminado de instâncias do Dataverse. A atividade de exportação de dados em vários ambientes pode indicar atividades suspeitas, já que os usuários normalmente trabalham apenas em alguns ambientes. |
- DataverseDataverseActivity |
Exfiltração, Recolha |
| Dataverse - Exportação de Dataverse copiada para dispositivos USB | Usa dados do Microsoft Defender XDR para detetar arquivos baixados de uma instância do Dataverse e copiados para a unidade USB. | - DataverseDataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Exfiltração |
| Dataverse - Aplicativo cliente genérico usado para acessar ambientes de produção | Deteta o uso do "Aplicativo de Exemplo do Dynamics 365" interno para acessar ambientes de produção. Este aplicativo genérico não pode ser restringido pelos controles de autorização do Microsoft Entra ID e pode ser abusado para obter acesso não autorizado via API da Web. |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
Execução |
| Dataverse - Atividade de gerenciamento de identidades fora da associação à função de diretório privilegiada | Deteta eventos de administração de identidade no Dataverse/Dynamics 365 feitos por contas que não são membros das seguintes funções de diretório privilegiado: Administradores do Dynamics 365, Administradores da Power Platform ou Administradores Globais | - DataverseDataverseActivity- UEBA IdentityInfo |
PrivilegeEscalation |
| Dataverse - Alterações no gerenciamento de identidades sem MFA | Usado para mostrar operações de administração de identidade privilegiadas no Dataverse feitas por contas que entraram sem usar MFA. | - DataverseDataverseActivity- AzureActiveDirectory SigninLogs, DataverseActivity |
InitialAccess |
| Power Apps - Compartilhamento anômalo em massa do Power App para usuários convidados recém-criados | A consulta deteta tentativas anômalas de executar o compartilhamento em massa de um Power App para usuários convidados recém-criados. | Origens de Dados: PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess, LateralMovement, ResourceDevelopment |
Manuais de Procedimentos
Esta solução contém playbooks que podem ser usados para automatizar a resposta de segurança a incidentes e alertas no Microsoft Sentinel.
| Nome do playbook | Description |
|---|---|
| Fluxo de trabalho de segurança: verificação de alertas com proprietários de carga de trabalho | Este manual pode reduzir a carga sobre o SOC ao descarregar a verificação de alertas para administradores de TI para regras de análise específicas. Ele é acionado quando um alerta do Microsoft Sentinel é gerado, cria uma mensagem (e um email de notificação associado) no canal Microsoft Teams do proprietário da carga de trabalho contendo detalhes do alerta. Se o proprietário da carga de trabalho responder que a atividade não está autorizada, o alerta será convertido em um incidente no Microsoft Sentinel para o SOC manipular. |
| Dataverse: Enviar notificação ao gerente | Este manual pode ser acionado quando um incidente do Microsoft Sentinel é gerado e enviará automaticamente uma notificação por e-mail para o gerente das entidades de usuário afetadas. O Playbook pode ser configurado para enviar para o gerenciador do Dynamics 365 ou usando o gerenciador no Office 365. |
| Dataverse: Adicionar usuário à lista de bloqueio (gatilho de incidente) | Este manual pode ser acionado quando um incidente do Microsoft Sentinel é gerado e adicionará automaticamente entidades de usuário afetadas a um grupo pré-definido do Microsoft Entra, resultando em acesso bloqueado. O grupo Microsoft Entra é usado com Acesso Condicional para bloquear a entrada no Dataverse. |
| Dataverse: Adicionar usuário à lista de bloqueio usando o fluxo de trabalho de aprovação do Outlook | Este manual pode ser acionado quando um incidente do Microsoft Sentinel é gerado e adicionará automaticamente entidades de usuário afetadas a um grupo predefinido do Microsoft Entra, usando um fluxo de trabalho de aprovação baseado no Outlook, resultando em acesso bloqueado. O grupo Microsoft Entra é usado com Acesso Condicional para bloquear a entrada no Dataverse. |
| Dataverse: Adicionar usuário à lista de bloqueio usando o fluxo de trabalho de aprovação do Teams | Este manual pode ser acionado quando um incidente do Microsoft Sentinel é gerado e adicionará automaticamente entidades de usuário afetadas a um grupo pré-definido do Microsoft Entra, usando um fluxo de trabalho de aprovação de cartão adaptável do Teams, resultando em acesso bloqueado. O grupo Microsoft Entra é usado com Acesso Condicional para bloquear a entrada no Dataverse. |
| Dataverse: Adicionar usuário à lista de bloqueio (gatilho de alerta) | Este manual pode ser acionado sob demanda quando um alerta do Microsoft Sentinel é gerado, permitindo que o analista adicione entidades de usuário afetadas a um grupo Microsoft Entra predefinido, resultando em acesso bloqueado. O grupo Microsoft Entra é usado com Acesso Condicional para bloquear a entrada no Dataverse. |
| Dataverse: Remover usuário da lista de bloqueio | Este manual pode ser acionado sob demanda quando um alerta do Microsoft Sentinel é gerado, permitindo que o analista remova entidades de usuário afetadas de um grupo Microsoft Entra predefinido usado para bloquear o acesso. O grupo Microsoft Entra é usado com Acesso Condicional para bloquear a entrada no Dataverse. |
| Dataverse: Adicionar sites do SharePoint à lista de observação | Este manual é usado para adicionar sites de gerenciamento de documentos do SharePoint novos ou atualizados à lista de observação de configuração. Quando combinado com uma regra de análise agendada monitorando o log de atividades do Dataverse, este Playbook será acionado quando um novo mapeamento de site de gerenciamento de documentos do SharePoint for adicionado. O site será adicionado a uma lista de vigilância para estender a cobertura de monitoramento. |
Livros
As pastas de trabalho do Microsoft Sentinel são painéis personalizáveis e interativos dentro do Microsoft Sentinel que facilitam a visualização, análise e investigação eficientes de dados de segurança pelos analistas. Essa solução inclui a pasta de trabalho Atividade do Dynamics 365, que apresenta uma representação visual da atividade no Microsoft Dynamics 365 Customer Engagement/Dataverse, incluindo estatísticas de recuperação de registros e um gráfico de anomalias.
Listas de observação
Esta solução inclui a lista de observação MSBizApps-Configuration e requer que os utilizadores criem listas de observação adicionais com base nos seguintes modelos de lista de observação:
- VIPUsers
- Endereços de rede
- Funcionários demitidos
Para obter mais informações, consulte Listas de observação no Microsoft Sentinel e Criar listas de observação.
Analisadores integrados
A solução inclui analisadores que são usados para acessar dados das tabelas de dados brutos. Os analisadores garantem que os dados corretos sejam retornados com um esquema consistente. Recomendamos que você use os analisadores em vez de consultar diretamente as listas de observação.
| Analisador | Dados retornados | Tabela consultada |
|---|---|---|
| MSBizAppsOrgSettings | Lista de configurações disponíveis em toda a organização disponíveis no Dynamics 365 Customer Engagement / Dataverse | n/d |
| MSBizAppsVIPUsers | Analisador para a lista de observação VIPUsers | VIPUsers a partir do modelo de lista de observação |
| MSBizAppsNetworkAddresses | Analisador para a lista de observação NetworkAddresses | NetworkAddresses a partir do modelo de lista de observação |
| MSBizAppsTerminatedFuncionários | Analisador para a lista de observação TerminatedEmployees | TerminatedEmployees a partir do modelo de lista de observação |
| DataverseSharePointSites | Sites do SharePoint usados no Gerenciamento de Documentos do Dataverse | MSBizApps-Configuration lista de observação filtrada por categoria 'SharePoint' |
Para obter mais informações sobre regras analíticas, consulte Detetar ameaças prontas para uso.