Решение Microsoft Sentinel для Microsoft Power Platform: справочник по содержимому безопасности
В этой статье описано содержимое безопасности, доступное для решения Microsoft Sentinel для Power Platform. Дополнительные сведения об этом решении см. в обзоре решения Microsoft Sentinel для Microsoft Power Platform.
Внимание
- Решение Microsoft Sentinel для Power Platform в настоящее время находится в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
- Решение — это предложение уровня "Премиум". Сведения о ценах будут доступны до того, как решение станет общедоступным.
- Предоставьте отзыв об этом решении, выполнив следующий опрос: https://aka.ms/SentinelPowerPlatformSolutionSurvey
Встроенные правила аналитики
Следующие правила аналитики включаются при установке решения для Power Platform. Перечисленные источники данных включают имя соединителя данных и таблицу в Log Analytics. Чтобы избежать отсутствия данных в источниках инвентаризации, рекомендуется не изменять период обратного просмотра по умолчанию, определенный в шаблонах правил аналитики.
Имя правила | Description | Исходное действие | Тактика |
---|---|---|---|
PowerApps — действие приложения из несанкционированного географического расположения | Определяет действия Power Apps из стран или регионов в предопределенном списке несанкционированных стран или регионов. Получите список кодов стран ISO 3166-1 alpha-2 из платформы просмотра ISO Online (OBP). Это обнаружение использует журналы, полученные из идентификатора Microsoft Entra ID, и требует включения соединителя данных идентификатора Microsoft Entra ID. |
Запустите действие в Power App из страны или региона, который находится в неавторизованном списке кодов страны. Источники данных: — Инвентаризация Power Platform (с помощью Функции Azure) InventoryApps InventoryEnvironments — Действие администратора Microsoft Power Platform (предварительная версия) PowerPlatformAdminActivity — Идентификатор Microsoft Entra SigninLogs |
Первоначальный доступ |
PowerApps — удаление нескольких приложений | Определяет действие массового удаления, в котором удаляются несколько Приложений Power Apps, сопоставляя предопределенное пороговое значение общего числа удаленных приложений или удаленных приложений в нескольких средах Power Platform. | Удалите многие приложения Power Apps из центра администрирования Power Platform. Источники данных — Инвентаризация Power Platform (с помощью Функции Azure) InventoryApps InventoryEnvironments — Действие администратора Microsoft Power Platform (предварительная версия) PowerPlatformAdminActivity |
Воздействие |
PowerApps — уничтожение данных после публикации нового приложения | Определяет цепочку событий при создании или публикации нового приложения и в течение 1 часа выполняется массовое обновление или удаление событий в Dataverse. Если издатель приложения находится в списке пользователей в шаблоне списка наблюдения TerminatedEmployees , уровень серьезности инцидентов вызывается. | Удалите несколько записей в Power Apps в течение 1 часа после создания или публикации Приложения Power. Источники данных — Инвентаризация Power Platform (с помощью Функции Azure) InventoryApps InventoryEnvironments — Действие администратора Microsoft Power Platform (предварительная версия) PowerPlatformAdminActivity — Microsoft Dataverse (предварительная версия) DataverseActivity |
Воздействие |
PowerApps — несколько пользователей, обращаюющихся к вредоносной ссылке после запуска нового приложения | Определяет цепочку событий при создании нового приложения Power App и выполняет следующие события: — Несколько пользователей запускают приложение в окне обнаружения. — Несколько пользователей открывают один и тот же вредоносный URL-адрес. Это обнаружение сопоставляет журналы выполнения Power Apps с событиями щелчка вредоносных URL-адресов из одного из следующих источников: — соединитель данных Microsoft 365 Defender или — Индикаторы вредоносных URL-адресов компрометации (МОК) в Microsoft Sentinel Threat Intelligence с помощью средства синтаксического анализа расширенной информационной модели безопасности (ASIM) веб-сеанса. Получите определенное количество пользователей, которые запускают или щелкните вредоносную ссылку, создав запрос. |
Несколько пользователей запускают новый PowerApp и открывают известный вредоносный URL-адрес из приложения. Источники данных — Инвентаризация Power Platform (с помощью Функции Azure) InventoryApps InventoryEnvironments — Действие администратора Microsoft Power Platform (предварительная версия) PowerPlatformAdminActivity — Аналитика угроз ThreatIntelligenceIndicator — XDR в Microsoft Defender UrlClickEvents |
Первоначальный доступ |
PowerAutomate — уход от активности потока сотрудников | Определяет экземпляры, в которых сотрудник, который был уведомлен или уже завершен, и находится в списке наблюдения за завершенными сотрудниками , создает или изменяет поток Power Automate. | Пользователь, определенный в списке наблюдения за завершенными сотрудниками , создает или обновляет поток Power Automate. Источники данных Microsoft Power Automate (предварительная версия) PowerAutomateActivity — Инвентаризация Power Platform (с помощью Функции Azure) InventoryFlows InventoryEnvironments Список отслеживания завершенных сотрудников |
Эксфильтрация, влияние |
PowerPlatform — соединитель, добавленный в конфиденциальную среду | Определяет создание новых соединителей API в Power Platform, в частности для предопределенного списка конфиденциальных сред. | Добавьте новый соединитель Power Platform в конфиденциальную среду Power Platform. Источники данных — Действие администратора Microsoft Power Platform (предварительная версия) PowerPlatformAdminActivity — Инвентаризация Power Platform (с помощью Функции Azure) InventoryApps InventoryEnvironments InventoryAppsConnections |
Выполнение, эксфильтрация |
PowerPlatform — политика защиты от потери данных обновлена или удалена | Определяет изменения политики предотвращения потери данных, в частности политики, которые обновляются или удаляются. | Обновите или удалите политику предотвращения потери данных Power Platform в среде Power Platform. Источники данных Действие администратора Microsoft Power Platform (предварительная версия) PowerPlatformAdminActivity |
Уклонение от защиты |
Dataverse — эксфильтрация гостевых пользователей после нарушения защиты Power Platform | Определяет цепочку событий, начиная с отключения изоляции клиента Power Platform и удаления группы безопасности доступа среды. Эти события коррелируются с оповещениями о краже данных, связанными с затронутой средой и недавно созданными гостевыми пользователями Microsoft Entra. Активируйте другие правила аналитики Dataverse с помощью тактики MITRE "Эксфильтрация", прежде чем включить это правило. |
В качестве недавно созданного гостевого пользователя активируйте оповещения о краже Dataverse после отключения элементов управления безопасностью Power Platform. Источники данных — PowerPlatformAdmin PowerPlatformAdminActivity — Dataverse DataverseActivity — Инвентаризация Power Platform (с помощью Функции Azure) InventoryEnvironments |
Уклонение от защиты |
Dataverse — массовый экспорт записей в Excel | Определяет пользователей, экспортируя большое количество записей из Dynamics 365 в Excel. Объем экспортируемых записей значительно больше, чем любые другие недавние действия этого пользователя. Крупные экспорты пользователей без недавних действий определяются с помощью предопределенного порогового значения. | Экспортируйте множество записей из Dataverse в Excel. Источники данных — Dataverse DataverseActivity — Инвентаризация Power Platform (с помощью Функции Azure) InventoryEnvironments |
Кража |
Dataverse — массовое извлечение пользователем за пределами нормальной активности | Идентифицирует пользователей, извлекающих значительно больше записей из Dataverse, чем за последние 2 недели. | Пользователь получает много записей из Dataverse Источники данных — Dataverse DataverseActivity — Инвентаризация Power Platform (с помощью Функции Azure) InventoryEnvironments |
Кража |
Power Apps — массовый общий доступ к Power Apps только что созданным гостевым пользователям | Определяет необычный массовый общий доступ к Power Apps только что созданным гостевым пользователям Microsoft Entra. Необычный массовый общий доступ основан на предопределенном пороге в запросе. | Совместное использование приложения с несколькими внешними пользователями. Источники данных — Действие администратора Microsoft Power Platform (предварительная версия) PowerPlatformAdminActivity — Инвентаризация Power Platform (с помощью Функции Azure) InventoryApps InventoryEnvironments — Идентификатор Microsoft Entra AuditLogs |
Разработка ресурсов, Первоначальный доступ, Боковое смещение |
Power Automate — необычное массовое удаление ресурсов потока | Определяет массовое удаление потоков Power Automate, превышающее предопределенное пороговое значение, определенное в запросе, и отклоняется от шаблонов действий, наблюдаемых за последние 14 дней. | Массовое удаление потоков Power Automate. Источники данных — PowerAutomate PowerAutomateActivity |
Удар Уклонение от защиты |
Power Platform — возможно, скомпрометированный пользователь обращается к службам Power Platform | Определяет учетные записи пользователей, помеченные как риск в Microsoft Entra Identity Protection, и сопоставляет этих пользователей с действиями входа в Power Platform, включая Power Apps, Power Automate и Центр администрирования Power Platform. | Пользователь с сигналами риска обращается к порталам Power Platform. Источники данных — Идентификатор Microsoft Entra SigninLogs |
Начальный доступ, боковое движение |
Встроенные средства синтаксического анализа
Решение включает средства синтаксического анализа, используемые для доступа к данным из необработанных таблиц данных. Средства синтаксического анализа гарантируют, что правильные данные возвращаются с согласованной схемой. Рекомендуется использовать средства синтаксического анализа, а не напрямую запрашивать таблицы инвентаризации и списки наблюдения. Связанные средства синтаксического анализа Power Platform возвращают данные за последние 7 дней.
Средство синтаксического анализа | Возвращенные данные | Запрос к таблице |
---|---|---|
InventoryApps |
Инвентаризация Power Apps | PowerApps_CL |
InventoryAppsConnections |
Подключения Power Apps к инвентаризации | PowerAppsConnections_CL |
InventoryEnvironments |
Инвентаризация сред Power Platform | PowerPlatrformEnvironments_CL |
InventoryFlows |
Инвентаризация потоков Power Automate | PowerAutomateFlows_CL |
MSBizAppsTerminatedEmployees |
Завершенный список отслеживания сотрудников (из шаблона списка наблюдения) | TerminatedEmployees |
GetPowerAppsEventDetails |
Возвращает подробные сведения о событиях анализа для Power Apps / Connections | PowerPlatformAdminActivity |
Дополнительные сведения об аналитических правилах см. в разделе "Обнаружение угроз" вне поля.