Справочник по содержимому безопасности для Microsoft Power Platform и Microsoft Dynamics 365 Customer Engagement
В этой статье описано содержимое безопасности, доступное для решения Microsoft Sentinel для Power Platform. Дополнительные сведения об этом решении см. в разделе Microsoft Sentinel для Microsoft Power Platform и Microsoft Dynamics 365 Customer Engagement.
Внимание
- Решение Microsoft Sentinel для Power Platform в настоящее время находится в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
- Решение — это предложение уровня "Премиум". Сведения о ценах будут доступны до того, как решение станет общедоступным.
- Предоставьте отзыв об этом решении, выполнив следующий опрос: https://aka.ms/SentinelPowerPlatformSolutionSurvey
Встроенные правила аналитики
Следующие правила аналитики включаются при установке решения для Power Platform. Перечисленные источники данных включают имя соединителя данных и таблицу в Log Analytics.
Правила dataverse
| Имя правила | Description | Исходное действие | Тактика |
|---|---|---|---|
| Dataverse — действие пользователя приложения Anomalous | Определяет аномалии в шаблонах действий пользователей приложения Dataverse (неинтерактивных) на основе действий, которые выходят за рамки обычного шаблона использования. | Необычное действие пользователя S2S в Dynamics 365 / Dataverse. Источники данных — Dataverse DataverseActivity |
CredentialAccess, Execution, Persistence |
| Dataverse — удаление данных журнала аудита | Определяет действие удаления данных журнала аудита в Dataverse. | Удаление журналов аудита Dataverse. Источники данных — Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse — ведение журнала аудита отключено | Определяет изменение конфигурации аудита системы, при которой ведение журнала аудита отключено. | Отключено аудит глобального или уровня сущностей. Источники данных — Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse — повторное назначение или предоставление общего доступа к массовой записи | Идентифицирует изменения в отдельной собственности на запись, включая: — запись совместного использования с другими пользователями или командами — переназначения владения, превышающие предопределенное пороговое значение. |
Многие события владения записями и обмена записями, созданные в окне обнаружения. Источники данных — Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse — исполняемый файл, отправленный на сайт управления документами SharePoint | Определяет исполняемые файлы и скрипты, отправленные на сайты SharePoint, используемые для управления документами Dynamics, обходя ограничения расширения собственного файла в Dataverse. | Отправка исполняемых файлов в управление документами Dataverse. Источники данных — Office365 OfficeActivity (SharePoint) |
Выполнение, сохраняемость |
| Dataverse — экспорт действия из завершенного или уведомленного сотрудника | Идентифицирует действие экспорта Dataverse, инициированное завершением работы сотрудников или сотрудников, которые будут покидать организацию. | События экспорта данных, связанные с пользователями в шаблоне списка наблюдения TerminatedEmployees . Источники данных — Dataverse DataverseActivity |
Кража |
| Dataverse — эксфильтрация гостевых пользователей после нарушения защиты Power Platform | Определяет цепочку событий, начиная с отключения изоляции клиента Power Platform и удаления группы безопасности доступа среды. Эти события коррелируются с оповещениями о краже данных, связанными с затронутой средой и недавно созданными гостевыми пользователями Microsoft Entra. Активируйте другие правила аналитики Dataverse с помощью тактики Exfiltration MITRE перед включением этого правила. |
В качестве недавно созданного гостевого пользователя активируйте оповещения о краже Dataverse после отключения элементов управления безопасностью Power Platform. Источники данных — PowerPlatformAdmin PowerPlatformAdminActivity— Dataverse DataverseActivity |
Уклонение от защиты |
| Dataverse — управление безопасностью иерархии | Определяет подозрительное поведение в безопасности иерархии. | Изменения свойств безопасности, включая следующие: — безопасность иерархии отключена. — Пользователь назначает себя менеджером. — Пользователь назначает себя отслеживаемой позиции (задано в KQL). Источники данных — Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse — действие экземпляра Honeypot | Определяет действия в предопределенном экземпляре Honeypot Dataverse. Оповещения либо при обнаружении входа в Honeypot, либо при доступе к отслеживаемых таблицам Dataverse в Honeypot. |
Вход и доступ к данным в указанном экземпляре Honeypot Dataverse в Power Platform с включенным аудитом. Источники данных — Dataverse DataverseActivity |
Обнаружение, эксфильтрация |
| Dataverse — вход конфиденциальным привилегированным пользователем | Определяет входы Dataverse и Dynamics 365 конфиденциальными пользователями. | Вход пользователей, добавленных в список отслеживания ВИРТУАЛЬНЫХ IPUsers на основе тегов, заданных в KQL. Источники данных — Dataverse DataverseActivity |
InitialAccess, CredentialAccess, PrivilegeEscalation |
| Dataverse — вход из IP-адреса в списке блокировок | Определяет действие входа Dataverse из IPv4-адресов, которые находятся в предопределенном списке блоков. | Вход пользователя с IP-адресом, который входит в заблокированный диапазон сети. Заблокированные диапазоны сети сохраняются в шаблоне списка наблюдения NetworkAddresses . Источники данных — Dataverse DataverseActivity |
InitialAccess |
| Dataverse — вход из IP-адреса не в списке разрешений | Определяет входы из IPv4-адресов, которые не соответствуют подсетям IPv4, которые хранятся в списке разрешений. | Вход пользователя с IP-адресом, который не является частью разрешенного сетевого диапазона. Заблокированные диапазоны сети сохраняются в шаблоне списка наблюдения NetworkAddresses . Источники данных — Dataverse DataverseActivity |
InitialAccess |
| Dataverse — вредоносные программы, найденные на сайте управления документами SharePoint | Определяет вредоносные программы, отправленные с помощью управления документами Dynamics 365 или непосредственно в SharePoint, затрагивая связанные сайты SharePoint Dataverse. | Вредоносный файл на сайте SharePoint, связанный с Dataverse. Источники данных — Dataverse DataverseActivity— Office365 OfficeActivity (SharePoint) |
Выполнение |
| Dataverse — массовое удаление записей | Определяет операции удаления больших записей на основе предопределенного порогового значения. Также обнаруживает запланированные задания массового удаления. |
Удаление записей, превышающих пороговое значение, определенное в KQL. Источники данных — Dataverse DataverseActivity |
Воздействие |
| Dataverse — массовая загрузка из управления документами SharePoint | Определяет массовую загрузку в последний час файлов с сайтов SharePoint, настроенных для управления документами в Dynamics 365. | Массовое скачивание, превышающее пороговое значение, определенное в KQL. Это правило аналитики использует список контрольных списков MSBizApps-Configuration для идентификации сайтов SharePoint, используемых для управления документами. Источники данных — Office365 OfficeActivity (SharePoint) |
Кража |
| Dataverse — массовый экспорт записей в Excel | Идентифицирует пользователей, экспортируя большое количество записей из Dynamics 365 в Excel, где количество экспортируемых записей значительно больше, чем любое другое последнее действие этого пользователя. Крупные экспорты пользователей без недавних действий определяются с помощью предопределенного порогового значения. |
Экспортируйте множество записей из Dataverse в Excel. Источники данных — Dataverse DataverseActivity |
Кража |
| Dataverse — массовые обновления записей | Обнаруживает изменения в обновлении массовой записи в Dataverse и Dynamics 365, превышающие предопределенное пороговое значение. | Массовое обновление записей превышает пороговое значение, определенное в KQL. Источники данных — Dataverse DataverseActivity |
Воздействие |
| Dataverse — новый тип действия пользователя приложения Dataverse | Определяет новые или ранее невидимые типы действий, связанные с пользователем приложения Dataverse (неинтерактивным). | Новые типы действий пользователей S2S. Источники данных — Dataverse DataverseActivity |
CredentialAccess, Execution, PrivilegeEscalation |
| Dataverse — новый неинтерактивный доступ к неинтерактивным удостоверениям | Определяет предоставление доступа на уровне API через делегированные разрешения приложения Microsoft Entra или путем прямого назначения в Dataverse в качестве пользователя приложения. | Разрешения dataverse, добавленные для неинтерактивного пользователя. Источники данных — Dataverse DataverseActivity,— AzureActiveDirectory AuditLogs |
Сохраняемость, Боковоеmovement, PrivilegeEscalation |
| Dataverse — новый вход из несанкционированного домена | Определяет действие входа Dataverse, исходящее от пользователей с суффиксами имени участника-пользователя, которые ранее не были замечены за последние 14 дней, и не присутствуют в предопределенном списке авторизованных доменов. Общие внутренние пользователи системы Power Platform исключаются по умолчанию. |
Войдите внешний пользователь из неавторизованного суффикса домена. Источники данных — Dataverse DataverseActivity |
InitialAccess |
| Dataverse — новый тип агента пользователя, который раньше не использовался | Определяет пользователей, обращаюющихся к Dataverse из агента пользователя, который не был замечен в любом экземпляре Dataverse за последние 14 дней. | Действие в Dataverse из нового агента пользователя. Источники данных — Dataverse DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse — новый тип агента пользователя, который не использовался с Office 365 | Определяет пользователей, обращаюющихся к Dynamics с помощью агента пользователя, который не был замечен в рабочих нагрузках Office 365 за последние 14 дней. | Действие в Dataverse из нового агента пользователя. Источники данных — Dataverse DataverseActivity |
InitialAccess |
| Dataverse — изменены параметры организации | Определяет изменения, внесенные на уровне организации в среде Dataverse. | Свойство уровня организации, измененное в Dataverse. Источники данных — Dataverse DataverseActivity |
Сохраняемость |
| Dataverse — удаление заблокированных расширений файлов | Определяет изменения в заблокированных расширениях файлов среды и извлекает удаленное расширение. | Удаление заблокированных расширений файлов в свойствах Dataverse. Источники данных — Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse — сайт управления документами SharePoint добавлен или обновлен | Определяет изменения интеграции управления документами SharePoint. Управление документами позволяет хранить данные, расположенные внешне в Dataverse. Объедините это правило аналитики с Dataverse: добавьте сайты SharePoint в сборник схем списков отслеживания, чтобы автоматически обновить список контрольных списков Dataverse-SharePointSites . Этот список наблюдения можно использовать для сопоставления событий между Dataverse и SharePoint при использовании соединителя данных Office 365. |
Сопоставление сайтов SharePoint, добавленное в управление документами. Источники данных — Dataverse DataverseActivity |
Кража |
| Dataverse — изменения подозрительной роли безопасности | Определяет необычный шаблон событий, в которых создается новая роль, а затем создатель добавляет участников в роль, а затем удаляет член или удаляет роль через короткий период времени. | Изменения ролей безопасности и назначений ролей. Источники данных — Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse — подозрительное использование конечной точки TDS | Определяет запросы на основе протокола dataverse TDS (табличный поток данных), где исходный пользователь или IP-адрес имеют последние оповещения системы безопасности, а протокол TDS ранее не использовался в целевой среде. | Внезапное использование конечной точки TDS в корреляции с оповещениями системы безопасности. Источники данных — Dataverse DataverseActivity— AzureActiveDirectoryIdentityProtection SecurityAlert |
Эксфильтрация, InitialAccess |
| Dataverse — подозрительное использование веб-API | Определяет входы в нескольких средах Dataverse, которые нарушают предопределенное пороговое значение и исходят от пользователя с IP-адресом, который использовался для входа в общеизвестную регистрацию приложения Microsoft Entra. | Вход с помощью WebAPI в нескольких средах с помощью известного общедоступного идентификатора приложения. Источники данных — Dataverse DataverseActivity— AzureActiveDirectory SigninLogs |
Выполнение, утечка, разведка, обнаружение |
| Dataverse — IP-адрес карты TI с DataverseActivity | Определяет совпадение в DataverseActivity из любого IP-адреса IOC из Microsoft Sentinel Threat Intelligence. | Действие dataverse с IP-адресом, соответствующим IOC. Источники данных — Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, LateralMovement, Discovery |
| Dataverse — URL-адрес карты TI с DataverseActivity | Определяет совпадение в DataverseActivity из любого URL-адреса IOC из Microsoft Sentinel Threat Intelligence. | Действие dataverse с URL-адресом, соответствующим IOC. Источники данных — Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, Execution, Persistence |
| Dataverse — прекращение кражи сотрудников по электронной почте | Идентифицирует кражу Dataverse по электронной почте, завершив работу сотрудников. | Сообщения электронной почты, отправленные в домены недоверенных получателей после оповещений системы безопасности, коррелируются с пользователями в списке контрольных значений TerminatedEmployees . Источники данных MicrosoftThreatProtection EmailEventsIdentityInfo— AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
Кража |
| Dataverse — прекращение кражи сотрудников на USB-диск | Определяет файлы, скачанные из Dataverse, отправляясь или завершив работу сотрудников, и копируются на USB-накопители. | Файлы, поступающие из Dataverse, скопированные на USB, пользователем в списке контрольных значений TerminatedEmployees . Источники данных — Dataverse DataverseActivity— MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Кража |
| Dataverse — необычный вход после отключенной защиты привязки файлов cookie на основе IP-адресов | Определяет ранее невидимые IP-адреса и агенты пользователей в экземпляре Dataverse после отключения защиты привязки файлов cookie. Дополнительные сведения см. в разделе "Защита сеансов Dataverse с привязкой IP-файла cookie". |
Новое действие входа. Источники данных — Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse — массовое извлечение пользователем за пределами нормальной активности | Идентифицирует пользователей, извлекающих значительно больше записей из Dataverse, чем за последние две недели. | Пользователь получает множество записей из Dataverse и, включая определенное пороговое значение KQL. Источники данных — Dataverse DataverseActivity |
Кража |
Правила Power Apps
| Имя правила | Description | Исходное действие | Тактика |
|---|---|---|---|
| Power Apps — действие приложения из несанкционированного географического расположения | Определяет действие Power Apps из географических регионов в предопределенном списке несанкционированных географических регионов. Это обнаружение получает список кодов стран ISO 3166-1 alpha-2 из платформы просмотра ISO Online (OBP). Это обнаружение использует журналы, полученные из идентификатора Microsoft Entra ID, и требует включения соединителя данных идентификатора Microsoft Entra ID. |
Выполните действие в приложении Power App из географического региона, который находится в списке неавторизованных кодов страны. Источники данных: — Действие администратора Microsoft Power Platform (предварительная версия) PowerPlatformAdminActivity— Идентификатор Microsoft Entra SigninLogs |
Первоначальный доступ |
| Power Apps — несколько удаленных приложений | Определяет действие массового удаления, в котором удаляются несколько Приложений Power Apps, сопоставляя предопределенное пороговое значение общего числа удаленных приложений или удаленных приложений в нескольких средах Power Platform. | Удалите многие приложения Power Apps из центра администрирования Power Platform. Источники данных — Действие администратора Microsoft Power Platform (предварительная версия) PowerPlatformAdminActivity |
Воздействие |
| Power Apps — уничтожение данных после публикации нового приложения | Определяет цепочку событий при создании или публикации нового приложения и в течение 1 часа выполняется массовое обновление или удаление события в Dataverse. | Удалите множество записей в Power Apps в течение 1 часа после создания или публикации Power App. Если издатель приложения находится в списке пользователей в шаблоне списка наблюдения TerminatedEmployees , уровень серьезности инцидентов вызывается. Источники данных — Действие администратора Microsoft Power Platform (предварительная версия) PowerPlatformAdminActivity— Microsoft Dataverse (предварительная версия) DataverseActivity |
Воздействие |
| Power Apps — несколько пользователей, обращаюющихся к вредоносной ссылке после запуска нового приложения | Определяет цепочку событий при создании нового приложения Power App и выполняет следующие события: — Несколько пользователей запускают приложение в окне обнаружения. — Несколько пользователей открывают один и тот же вредоносный URL-адрес. Это обнаружение сопоставляет журналы выполнения Power Apps с событиями выбора вредоносных URL-адресов из одного из следующих источников: — соединитель данных Microsoft 365 Defender или — Индикаторы вредоносных URL-адресов компрометации (МОК) в Microsoft Sentinel Threat Intelligence с помощью средства синтаксического анализа расширенной информационной модели безопасности (ASIM) веб-сеанса. Это обнаружение получает определенное количество пользователей, которые запускают или выбирают вредоносную ссылку, создавая запрос. |
Несколько пользователей запускают новый PowerApp и открывают известный вредоносный URL-адрес из приложения. Источники данных — Действие администратора Microsoft Power Platform (предварительная версия) PowerPlatformAdminActivity— Аналитика угроз ThreatIntelligenceIndicator— XDR в Microsoft Defender UrlClickEvents |
Первоначальный доступ |
| Power Apps — массовый общий доступ к Power Apps только что созданным гостевым пользователям | Определяет необычный массовый общий доступ к Power Apps только что созданным гостевым пользователям Microsoft Entra. Необычный массовый общий доступ основан на предопределенном пороге в запросе. | Совместное использование приложения с несколькими внешними пользователями. Источники данных — Действие администратора Microsoft Power Platform (предварительная версия) PowerPlatformAdminActivity— Идентификатор Microsoft EntraAuditLogs |
Разработка ресурсов, Первоначальный доступ, Боковое смещение |
Правила Power Automate
| Имя правила | Description | Исходное действие | Тактика |
|---|---|---|---|
| Power Automate — уход от активности потока сотрудников | Определяет экземпляры, в которых сотрудник, который был уведомлен или уже завершен, и находится в списке наблюдения за завершенными сотрудниками , создает или изменяет поток Power Automate. | Пользователь, определенный в списке наблюдения TerminatedEmployees , создает или обновляет поток Power Automate. Источники данных Microsoft Power Automate (предварительная версия) PowerAutomateActivityСписок контрольных значений terminatedEmployees |
Эксфильтрация, влияние |
| Power Automate — необычное массовое удаление ресурсов потока | Определяет массовое удаление потоков Power Automate, превышающее предопределенное пороговое значение, определенное в запросе, и отклоняется от шаблонов действий, наблюдаемых за последние 14 дней. | Массовое удаление потоков Power Automate. Источники данных — PowerAutomate PowerAutomateActivity |
Удар Уклонение от защиты |
Правила Power Platform
| Имя правила | Description | Исходное действие | Тактика |
|---|---|---|---|
| Power Platform — соединитель, добавленный в конфиденциальную среду | Определяет создание новых соединителей API в Power Platform, в частности для предопределенного списка конфиденциальных сред. | Добавьте новый соединитель Power Platform в конфиденциальную среду Power Platform. Источники данных — Действие администратора Microsoft Power Platform (предварительная версия) PowerPlatformAdminActivity |
Выполнение, эксфильтрация |
| Power Platform — политика защиты от потери данных обновлена или удалена | Определяет изменения политики предотвращения потери данных, в частности политики, которые обновляются или удаляются. | Обновите или удалите политику предотвращения потери данных Power Platform в среде Power Platform. Источники данных Действие администратора Microsoft Power Platform (предварительная версия) PowerPlatformAdminActivity |
Уклонение от защиты |
| Power Platform — возможно, скомпрометированный пользователь обращается к службам Power Platform | Определяет учетные записи пользователей, помеченные как риск в Защита идентификации Microsoft Entra, и сопоставляет этих пользователей с действиями входа в Power Platform, включая Power Apps, Power Automate и Центр администрирования Power Platform. | Пользователь с сигналами риска обращается к порталам Power Platform. Источники данных — Идентификатор Microsoft Entra SigninLogs |
Начальный доступ, боковое движение |
| Power Platform — учетная запись, добавленная в привилегированные роли Microsoft Entra | Определяет изменения следующих привилегированных ролей каталога, влияющих на Power Platform: — Администраторы Dynamics 365 — администраторы Power Platform— Администраторы Fabric |
Источники данных AzureActiveDirectory AuditLogs |
PrivilegeEscalation |
Запросы слежения
Это решение включает запросы охоты, которые можно использовать аналитиками для упреждающего поиска вредоносных или подозрительных действий в средах Dynamics 365 и Power Platform.
| Имя правила | Description | Источник данных | Тактика |
|---|---|---|---|
| Dataverse — действие после оповещений Microsoft Entra | Этот запрос поиска ищет пользователей, выполняющих действие Dataverse/Dynamics 365 вскоре после Защита идентификации Microsoft Entra оповещения этого пользователя. Запрос ищет только пользователей, которые не видели раньше или не проводили действие Dynamics ранее. |
— Dataverse DataverseActivity— AzureActiveDirectoryIdentityProtection SecurityAlert |
InitialAccess |
| Dataverse — действие после сбоя входа в систему | Этот запрос поиска ищет пользователей, выполняющих действия Dataverse/Dynamics 365 вскоре после того, как многие неудачные входы в систему. Используйте этот запрос, чтобы охотиться на потенциальное действие после подбора. Настройте пороговое значение на основе ложноположительный коэффициент. |
— DataverseDataverseActivity— AzureActiveDirectory SigninLogs |
InitialAccess |
| Dataverse — действие экспорта данных между средами | Выполняет поиск действия экспорта данных в предопределенном количестве экземпляров Dataverse. Действие экспорта данных в нескольких средах может указывать на подозрительные действия, так как пользователи обычно работают только в нескольких средах. |
— DataverseDataverseActivity |
Эксфильтрация, коллекция |
| Dataverse — экспорт dataverse, скопированный на USB-устройства | Использует данные из XDR в Microsoft Defender для обнаружения файлов, скачанных из экземпляра Dataverse и скопированных на USB-диск. | — DataverseDataverseActivity— MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Кража |
| Dataverse — универсальное клиентское приложение, используемое для доступа к рабочим средам | Обнаруживает использование встроенного приложения Dynamics 365 Example Application для доступа к рабочим средам. Это универсальное приложение не может быть ограничено элементами управления авторизацией идентификатора Microsoft Entra и может быть злоупотреблять для получения несанкционированного доступа через веб-API. |
— DataverseDataverseActivity— AzureActiveDirectory SigninLogs |
Выполнение |
| Dataverse — действие управления удостоверениями за пределами членства в привилегированном каталоге | Обнаружение событий администрирования удостоверений в Dataverse/Dynamics 365, сделанных учетными записями whthatich, не являются членами следующих привилегированных ролей каталога: Dynamics 365 Admins, Power Platform Admins или Global Admins | — DataverseDataverseActivity- UEBA IdentityInfo |
PrivilegeEscalation |
| Dataverse — изменения управления удостоверениями без MFA | Используется для отображения операций администрирования привилегированных удостоверений в Dataverse, выполненных учетными записями, которые вошли без использования MFA. | — DataverseDataverseActivity— AzureActiveDirectory SigninLogs, DataverseActivity |
InitialAccess |
| Power Apps — аномальный массовый общий доступ к Power App только что созданным гостевым пользователям | Запрос обнаруживает аномальные попытки массового совместного использования Приложения Power App только что созданным гостевым пользователям. | Источники данных PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess, LateralMovement, ResourceDevelopment |
Сборники схем
Это решение содержит сборники схем, которые можно использовать для автоматизации реагирования на инциденты и оповещения безопасности в Microsoft Sentinel.
| Имя сборника схем | Description |
|---|---|
| Рабочий процесс безопасности: проверка оповещений с владельцами рабочих нагрузок | Эта сборник схем может снизить нагрузку на SOC, загрузив проверку оповещений ИТ-администраторам для определенных правил аналитики. Он активируется при создании оповещений Microsoft Sentinel, создает сообщение (и связанную электронную почту уведомления) в канале владельца рабочей нагрузки Microsoft Teams, содержащего сведения об оповещении. Если владелец рабочей нагрузки отвечает на то, что действие не авторизовано, оповещение будет преобразовано в инцидент в Microsoft Sentinel для обработки SOC. |
| Dataverse: отправка уведомления в диспетчер | Этот сборник схем можно активировать при возникновении инцидента Microsoft Sentinel и автоматически отправляет уведомление по электронной почте руководителю затронутых сущностей пользователей. Сборник схем можно настроить для отправки в диспетчер Dynamics 365 или с помощью диспетчера в Office 365. |
| Dataverse: добавление пользователя в блок-список (триггер инцидента) | Этот сборник схем можно активировать при возникновении инцидента Microsoft Sentinel и автоматически добавлять затронутые сущности пользователей в предопределенную группу Microsoft Entra, что приведет к блокировке доступа. Группа Microsoft Entra используется с условным доступом для блокировки входа в Dataverse. |
| Dataverse: добавление пользователя в блок-список с помощью рабочего процесса утверждения Outlook | Этот сборник схем можно активировать при возникновении инцидента Microsoft Sentinel и автоматически добавлять затронутые сущности пользователей в предварительно определенную группу Microsoft Entra с помощью рабочего процесса утверждения на основе Outlook, что приведет к блокировке доступа. Группа Microsoft Entra используется с условным доступом для блокировки входа в Dataverse. |
| Dataverse: добавление пользователя в блок-список с помощью рабочего процесса утверждения Teams | Этот сборник схем можно активировать при возникновении инцидента Microsoft Sentinel и автоматически добавлять затронутые сущности пользователей в предварительно определенную группу Microsoft Entra с помощью рабочего процесса утверждения адаптивной карточки Teams, что приводит к блокировке доступа. Группа Microsoft Entra используется с условным доступом для блокировки входа в Dataverse. |
| Dataverse: добавление пользователя в список блокировок (триггер оповещения) | Эта сборник схем может быть активирована по запросу, когда возникает оповещение Microsoft Sentinel, что позволяет аналитику добавлять затронутые сущности пользователей в предварительно определенную группу Microsoft Entra, что приводит к блокировке доступа. Группа Microsoft Entra используется с условным доступом для блокировки входа в Dataverse. |
| Dataverse: удаление пользователя из списка блокировок | Эта сборник схем может быть активирована по запросу при возникновении оповещения Microsoft Sentinel, что позволяет аналитику удалять затронутые сущности пользователей из предварительно определенной группы Microsoft Entra, используемой для блокировки доступа. Группа Microsoft Entra используется с условным доступом для блокировки входа в Dataverse. |
| Dataverse: добавление сайтов SharePoint в список наблюдения | Эта сборник схем используется для добавления новых или обновленных сайтов управления документами SharePoint в список отслеживания конфигурации. В сочетании с правилом запланированной аналитики мониторинг журнала действий Dataverse эта сборник схем будет активироваться при добавлении нового сопоставления сайта управления документами SharePoint. Сайт будет добавлен в список наблюдения для расширения охвата мониторинга. |
Workbooks
Книги Microsoft Sentinel настраиваются, интерактивные панели мониторинга в Microsoft Sentinel, которые упрощают эффективную визуализацию, анализ и исследование данных безопасности аналитиков. Это решение включает книгу действий Dynamics 365 Activity, которая представляет визуальное представление действий в Microsoft Dynamics 365 Customer Engagement / Dataverse, включая статистику извлечения записей и диаграмму аномалий.
Списки отслеживания
Это решение включает в себя список контрольных списков MSBizApps-Configuration и требует, чтобы пользователи создавали дополнительные списки наблюдения на основе следующих шаблонов списков наблюдения:
- VIPUsers
- NetworkAddresses
- TerminatedEmployees
Дополнительные сведения см. в списках наблюдения в Microsoft Sentinel и создании списков наблюдения.
Встроенные средства синтаксического анализа
Решение включает средства синтаксического анализа, используемые для доступа к данным из необработанных таблиц данных. Средства синтаксического анализа гарантируют, что правильные данные возвращаются с согласованной схемой. Рекомендуется использовать средства синтаксического анализа, а не напрямую запрашивать списки наблюдения.
| Средство синтаксического анализа | Возвращенные данные | Запрос к таблице |
|---|---|---|
| MSBizAppsOrgSettings | Список доступных параметров всей организации, доступных в Dynamics 365 Customer Engagement / Dataverse | Н/Д |
| MSBizAppsVIPUsers | Средство синтаксического анализа для списка наблюдения за виртуальными ip-адресами | VIPUsers из шаблона списка отслеживания |
| MSBizAppsNetworkAddresses | Средство синтаксического анализа для списка наблюдения NetworkAddresses | NetworkAddresses из шаблона списка отслеживания |
| MSBizAppsTerminatedEmployees | Средство синтаксического анализа списка контрольных значений TerminatedEmployees | TerminatedEmployees из шаблона списка отслеживания |
| DataverseSharePointSites | Сайты SharePoint, используемые в службе управления документами Dataverse | MSBizApps-Configuration Список отслеживания, отфильтрованный по категории "SharePoint" |
Дополнительные сведения об аналитических правилах см. в разделе "Обнаружение угроз" вне поля.