Поделиться через


Решение Microsoft Sentinel для Microsoft Power Platform: справочник по содержимому безопасности

В этой статье описано содержимое безопасности, доступное для решения Microsoft Sentinel для Power Platform. Дополнительные сведения об этом решении см. в обзоре решения Microsoft Sentinel для Microsoft Power Platform.

Внимание

  • Решение Microsoft Sentinel для Power Platform в настоящее время находится в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
  • Решение — это предложение уровня "Премиум". Сведения о ценах будут доступны до того, как решение станет общедоступным.
  • Предоставьте отзыв об этом решении, выполнив следующий опрос: https://aka.ms/SentinelPowerPlatformSolutionSurvey

Встроенные правила аналитики

Следующие правила аналитики включаются при установке решения для Power Platform. Перечисленные источники данных включают имя соединителя данных и таблицу в Log Analytics. Чтобы избежать отсутствия данных в источниках инвентаризации, рекомендуется не изменять период обратного просмотра по умолчанию, определенный в шаблонах правил аналитики.

Имя правила Description Исходное действие Тактика
PowerApps — действие приложения из несанкционированного географического расположения Определяет действия Power Apps из стран или регионов в предопределенном списке несанкционированных стран или регионов.

Получите список кодов стран ISO 3166-1 alpha-2 из платформы просмотра ISO Online (OBP).

Это обнаружение использует журналы, полученные из идентификатора Microsoft Entra ID, и требует включения соединителя данных идентификатора Microsoft Entra ID.
Запустите действие в Power App из страны или региона, который находится в неавторизованном списке кодов страны.

Источники данных:
— Инвентаризация Power Platform (с помощью Функции Azure)
InventoryApps
InventoryEnvironments
— Действие администратора Microsoft Power Platform (предварительная версия)
PowerPlatformAdminActivity
— Идентификатор Microsoft Entra
SigninLogs
Первоначальный доступ
PowerApps — удаление нескольких приложений Определяет действие массового удаления, в котором удаляются несколько Приложений Power Apps, сопоставляя предопределенное пороговое значение общего числа удаленных приложений или удаленных приложений в нескольких средах Power Platform. Удалите многие приложения Power Apps из центра администрирования Power Platform.

Источники данных
— Инвентаризация Power Platform (с помощью Функции Azure)
InventoryApps
InventoryEnvironments
— Действие администратора Microsoft Power Platform (предварительная версия)
PowerPlatformAdminActivity
Воздействие
PowerApps — уничтожение данных после публикации нового приложения Определяет цепочку событий при создании или публикации нового приложения и в течение 1 часа выполняется массовое обновление или удаление событий в Dataverse. Если издатель приложения находится в списке пользователей в шаблоне списка наблюдения TerminatedEmployees , уровень серьезности инцидентов вызывается. Удалите несколько записей в Power Apps в течение 1 часа после создания или публикации Приложения Power.

Источники данных
— Инвентаризация Power Platform (с помощью Функции Azure)
InventoryApps
InventoryEnvironments
— Действие администратора Microsoft Power Platform (предварительная версия)
PowerPlatformAdminActivity
— Microsoft Dataverse (предварительная версия)
DataverseActivity
Воздействие
PowerApps — несколько пользователей, обращаюющихся к вредоносной ссылке после запуска нового приложения Определяет цепочку событий при создании нового приложения Power App и выполняет следующие события:
— Несколько пользователей запускают приложение в окне обнаружения.
— Несколько пользователей открывают один и тот же вредоносный URL-адрес.

Это обнаружение сопоставляет журналы выполнения Power Apps с событиями щелчка вредоносных URL-адресов из одного из следующих источников:
— соединитель данных Microsoft 365 Defender или
— Индикаторы вредоносных URL-адресов компрометации (МОК) в Microsoft Sentinel Threat Intelligence с помощью средства синтаксического анализа расширенной информационной модели безопасности (ASIM) веб-сеанса.

Получите определенное количество пользователей, которые запускают или щелкните вредоносную ссылку, создав запрос.
Несколько пользователей запускают новый PowerApp и открывают известный вредоносный URL-адрес из приложения.

Источники данных
— Инвентаризация Power Platform (с помощью Функции Azure)
InventoryApps
InventoryEnvironments
— Действие администратора Microsoft Power Platform (предварительная версия)
PowerPlatformAdminActivity
— Аналитика угроз
ThreatIntelligenceIndicator
— XDR в Microsoft Defender
UrlClickEvents
Первоначальный доступ
PowerAutomate — уход от активности потока сотрудников Определяет экземпляры, в которых сотрудник, который был уведомлен или уже завершен, и находится в списке наблюдения за завершенными сотрудниками , создает или изменяет поток Power Automate. Пользователь, определенный в списке наблюдения за завершенными сотрудниками , создает или обновляет поток Power Automate.

Источники данных
Microsoft Power Automate (предварительная версия)
PowerAutomateActivity
— Инвентаризация Power Platform (с помощью Функции Azure)
InventoryFlows
InventoryEnvironments
Список отслеживания завершенных сотрудников
Эксфильтрация, влияние
PowerPlatform — соединитель, добавленный в конфиденциальную среду Определяет создание новых соединителей API в Power Platform, в частности для предопределенного списка конфиденциальных сред. Добавьте новый соединитель Power Platform в конфиденциальную среду Power Platform.

Источники данных
— Действие администратора Microsoft Power Platform (предварительная версия)
PowerPlatformAdminActivity
— Инвентаризация Power Platform (с помощью Функции Azure)
InventoryApps
InventoryEnvironments
InventoryAppsConnections
Выполнение, эксфильтрация
PowerPlatform — политика защиты от потери данных обновлена или удалена Определяет изменения политики предотвращения потери данных, в частности политики, которые обновляются или удаляются. Обновите или удалите политику предотвращения потери данных Power Platform в среде Power Platform.

Источники данных
Действие администратора Microsoft Power Platform (предварительная версия)
PowerPlatformAdminActivity
Уклонение от защиты
Dataverse — эксфильтрация гостевых пользователей после нарушения защиты Power Platform Определяет цепочку событий, начиная с отключения изоляции клиента Power Platform и удаления группы безопасности доступа среды. Эти события коррелируются с оповещениями о краже данных, связанными с затронутой средой и недавно созданными гостевыми пользователями Microsoft Entra.

Активируйте другие правила аналитики Dataverse с помощью тактики MITRE "Эксфильтрация", прежде чем включить это правило.
В качестве недавно созданного гостевого пользователя активируйте оповещения о краже Dataverse после отключения элементов управления безопасностью Power Platform.

Источники данных
— PowerPlatformAdmin
PowerPlatformAdminActivity

— Dataverse
DataverseActivity
— Инвентаризация Power Platform (с помощью Функции Azure)
InventoryEnvironments
Уклонение от защиты
Dataverse — массовый экспорт записей в Excel Определяет пользователей, экспортируя большое количество записей из Dynamics 365 в Excel. Объем экспортируемых записей значительно больше, чем любые другие недавние действия этого пользователя. Крупные экспорты пользователей без недавних действий определяются с помощью предопределенного порогового значения. Экспортируйте множество записей из Dataverse в Excel.

Источники данных
— Dataverse
DataverseActivity
— Инвентаризация Power Platform (с помощью Функции Azure)
InventoryEnvironments
Кража
Dataverse — массовое извлечение пользователем за пределами нормальной активности Идентифицирует пользователей, извлекающих значительно больше записей из Dataverse, чем за последние 2 недели. Пользователь получает много записей из Dataverse

Источники данных
— Dataverse
DataverseActivity
— Инвентаризация Power Platform (с помощью Функции Azure)
InventoryEnvironments
Кража
Power Apps — массовый общий доступ к Power Apps только что созданным гостевым пользователям Определяет необычный массовый общий доступ к Power Apps только что созданным гостевым пользователям Microsoft Entra. Необычный массовый общий доступ основан на предопределенном пороге в запросе. Совместное использование приложения с несколькими внешними пользователями.

Источники данных
— Действие администратора Microsoft Power Platform (предварительная версия)
PowerPlatformAdminActivity
— Инвентаризация Power Platform (с помощью Функции Azure)
InventoryApps
InventoryEnvironments
— Идентификатор Microsoft Entra
AuditLogs
Разработка ресурсов,
Первоначальный доступ,
Боковое смещение
Power Automate — необычное массовое удаление ресурсов потока Определяет массовое удаление потоков Power Automate, превышающее предопределенное пороговое значение, определенное в запросе, и отклоняется от шаблонов действий, наблюдаемых за последние 14 дней. Массовое удаление потоков Power Automate.

Источники данных
— PowerAutomate
PowerAutomateActivity
Удар
Уклонение от защиты
Power Platform — возможно, скомпрометированный пользователь обращается к службам Power Platform Определяет учетные записи пользователей, помеченные как риск в Microsoft Entra Identity Protection, и сопоставляет этих пользователей с действиями входа в Power Platform, включая Power Apps, Power Automate и Центр администрирования Power Platform. Пользователь с сигналами риска обращается к порталам Power Platform.

Источники данных
— Идентификатор Microsoft Entra
SigninLogs
Начальный доступ, боковое движение

Встроенные средства синтаксического анализа

Решение включает средства синтаксического анализа, используемые для доступа к данным из необработанных таблиц данных. Средства синтаксического анализа гарантируют, что правильные данные возвращаются с согласованной схемой. Рекомендуется использовать средства синтаксического анализа, а не напрямую запрашивать таблицы инвентаризации и списки наблюдения. Связанные средства синтаксического анализа Power Platform возвращают данные за последние 7 дней.

Средство синтаксического анализа Возвращенные данные Запрос к таблице
InventoryApps Инвентаризация Power Apps PowerApps_CL
InventoryAppsConnections Подключения Power Apps к инвентаризации PowerAppsConnections_CL
InventoryEnvironments Инвентаризация сред Power Platform PowerPlatrformEnvironments_CL
InventoryFlows Инвентаризация потоков Power Automate PowerAutomateFlows_CL
MSBizAppsTerminatedEmployees Завершенный список отслеживания сотрудников (из шаблона списка наблюдения) TerminatedEmployees
GetPowerAppsEventDetails Возвращает подробные сведения о событиях анализа для Power Apps / Connections PowerPlatformAdminActivity

Дополнительные сведения об аналитических правилах см. в разделе "Обнаружение угроз" вне поля.