Referens för säkerhetsinnehåll för Microsoft Power Platform och Microsoft Dynamics 365 Customer Engagement
Den här artikeln beskriver det säkerhetsinnehåll som är tillgängligt för Microsoft Sentinel-lösningen för Power Platform. Mer information om den här lösningen finns i Översikt över Microsoft Sentinel-lösningen för Microsoft Power Platform och Microsoft Dynamics 365 Customer Engagement.
Viktigt!
- Microsoft Sentinel-lösningen för Power Platform finns för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
- Lösningen är ett premiumerbjudande. Prisinformation kommer att vara tillgänglig innan lösningen blir allmänt tillgänglig.
- Ge feedback för den här lösningen genom att slutföra den här undersökningen: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Inbyggda analysregler
Följande analysregler ingår när du installerar lösningen för Power Platform. De datakällor som listas innehåller dataanslutningsnamnet och tabellen i Log Analytics.
Dataverse-regler
| Regelnamn | beskrivning | Källåtgärd | Taktiker |
|---|---|---|---|
| Dataverse – Avvikande programanvändaraktivitet | Identifierar avvikelser i aktivitetsmönster för Dataverse-programanvändare (icke-interaktiva) baserat på aktivitet som ligger utanför det normala användningsmönstret. | Ovanlig S2S-användaraktivitet i Dynamics 365/Dataverse. Datakällor: – Dataversum DataverseActivity |
CredentialAccess, Execution, Persistence |
| Dataverse – Borttagning av granskningsloggdata | Identifierar granskningsloggens databorttagningsaktivitet i Dataverse. | Borttagning av Dataverse-granskningsloggar. Datakällor: – Dataversum DataverseActivity |
DefenseEvasion |
| Dataverse – Granskningsloggning har inaktiverats | Identifierar en ändring i systemgranskningskonfigurationen där granskningsloggning är inaktiverad. | Granskning på global nivå eller entitetsnivå har inaktiverats. Datakällor: – Dataversum DataverseActivity |
DefenseEvasion |
| Dataverse – Omtilldelning eller delning av masspostägarskap | Identifierar ändringar i individuellt postägarskap, inklusive: – Spela in delning med andra användare/team – Ägarskapsomtilldelningar som överskrider ett fördefinierat tröskelvärde. |
Många postägarskaps- och postdelningshändelser som genereras i identifieringsfönstret. Datakällor: – Dataversum DataverseActivity |
PrivilegeEscalation |
| Dataverse – Körbar fil som laddas upp till SharePoint-webbplatsen för dokumenthantering | Identifierar körbara filer och skript som laddas upp till SharePoint-webbplatser som används för Hantering av Dynamics-dokument, vilket kringgår interna filnamnstilläggsbegränsningar i Dataverse. | Uppladdning av körbara filer i Dataverse-dokumenthantering. Datakällor: – Office365 OfficeActivity (SharePoint) |
Körning, beständighet |
| Dataverse – Exportera aktivitet från avslutad eller meddelad medarbetare | Identifierar Dataverse-exportaktivitet som utlöses av avsluta anställda eller anställda som ska lämna organisationen. | Dataexporthändelser som är associerade med användare i mallen TerminatedEmployees watchlist. Datakällor: – Dataversum DataverseActivity |
Exfiltrering |
| Dataverse – Gästanvändares exfiltrering efter nedsättning av Power Platform-skydd | Identifierar en händelsekedja som börjar med att inaktivera Power Platform klientisolering och ta bort en miljös åtkomstsäkerhetsgrupp. Dessa händelser korreleras med Dataverse-exfiltreringsaviseringar som är associerade med den berörda miljön och nyligen skapade Microsoft Entra-gästanvändare. Aktivera andra Dataverse-analysregler med MITRE-metoden exfiltrering innan du aktiverar den här regeln. |
Som en nyligen skapad gästanvändare utlöser du Dataverse-exfiltreringsaviseringar när Power Platform-säkerhetskontrollerna har inaktiverats. Datakällor: – PowerPlatformAdmin PowerPlatformAdminActivity– Dataversum DataverseActivity |
Försvarsundandragande |
| Dataverse – Hierarkisäkerhetsmanipulering | Identifierar misstänkta beteenden i hierarkisäkerhet. | Ändringar av säkerhetsegenskaper, inklusive: – Hierarkisäkerhet har inaktiverats. – Användaren tilldelar sig själva som chef. – Användaren tilldelar sig själva en övervakad position (anges i KQL). Datakällor: – Dataversum DataverseActivity |
PrivilegeEscalation |
| Dataverse – Honeypot-instansaktivitet | Identifierar aktiviteter i en fördefinierad Honeypot Dataverse-instans. Aviseringar antingen när en inloggning till Honeypot identifieras eller när övervakade Dataverse-tabeller i Honeypot används. |
Logga in och få åtkomst till data i en utsedd Honeypot Dataverse-instans i Power Platform med granskning aktiverat. Datakällor: – Dataversum DataverseActivity |
Identifiering, exfiltrering |
| Dataverse – Inloggning av en känslig privilegierad användare | Identifierar inloggningar för Dataverse och Dynamics 365 av känsliga användare. | Inloggning av användare som lagts till i VIPUsers-bevakningslistan baserat på taggar som angetts i KQL. Datakällor: – Dataversum DataverseActivity |
InitialAccess, CredentialAccess, PrivilegeEscalation |
| Dataverse – Logga in från IP i blockeringslistan | Identifierar Dataverse-inloggningsaktivitet från IPv4-adresser som finns på en fördefinierad blockeringslista. | Logga in av en användare med en IP-adress som ingår i ett blockerat nätverksintervall. Blockerade nätverksintervall underhålls i mallen NetworkAddresses-bevakningslista . Datakällor: – Dataversum DataverseActivity |
InitialAccess |
| Dataverse – Logga in från IP inte i listan över tillåtna | Identifierar inloggningar från IPv4-adresser som inte matchar IPv4-undernät som underhålls på en allowlist. | Logga in av en användare med en IP-adress som inte ingår i ett tillåtet nätverksintervall. Blockerade nätverksintervall underhålls i mallen NetworkAddresses-bevakningslista . Datakällor: – Dataversum DataverseActivity |
InitialAccess |
| Dataversum – Skadlig kod som finns på webbplatsen för dokumenthantering i SharePoint | Identifierar skadlig kod som laddats upp via Dynamics 365-dokumenthantering eller direkt i SharePoint, vilket påverkar Dataverse-associerade SharePoint-webbplatser. | Skadlig fil på SharePoint-webbplatsen som är länkad till Dataverse. Datakällor: – Dataversum DataverseActivity– Office365 OfficeActivity (SharePoint) |
Körnings- |
| Dataverse – Massborttagning av poster | Identifierar åtgärder för borttagning av storskaliga poster baserat på ett fördefinierat tröskelvärde. Identifierar även schemalagda massborttagningsjobb. |
Borttagning av poster som överskrider tröskelvärdet som definierats i KQL. Datakällor: – Dataversum DataverseActivity |
Påverkan |
| Dataverse – Massnedladdning från SharePoint-dokumenthantering | Identifierar massnedladdning under den senaste timmen av filer från SharePoint-webbplatser som konfigurerats för dokumenthantering i Dynamics 365. | Massnedladdning överskrider tröskelvärdet som definierats i KQL. Den här analysregeln använder bevakningslistan MSBizApps-Configuration för att identifiera SharePoint-webbplatser som används för dokumenthantering. Datakällor: – Office365 OfficeActivity (SharePoint) |
Exfiltrering |
| Dataverse – Massexport av poster till Excel | Identifierar användare som exporterar ett stort antal poster från Dynamics 365 till Excel, där antalet poster som exporteras är betydligt mer än någon annan nyligen genomförd aktivitet av den användaren. Stora exporter från användare utan nyligen genomförd aktivitet identifieras med hjälp av ett fördefinierat tröskelvärde. |
Exportera många poster från Dataverse till Excel. Datakällor: – Dataversum DataverseActivity |
Exfiltrering |
| Dataverse – Masspostuppdateringar | Identifierar ändringar i masspostuppdatering i Dataverse och Dynamics 365 som överskrider ett fördefinierat tröskelvärde. | Massuppdatering av poster överskrider tröskelvärdet som definierats i KQL. Datakällor: – Dataversum DataverseActivity |
Påverkan |
| Dataverse – Ny aktivitetstyp för Dataverse-programanvändare | Identifierar nya eller tidigare osedda aktivitetstyper som är associerade med en Dataverse-app (icke-interaktiv) användare. | Nya S2S-användaraktivitetstyper. Datakällor: – Dataversum DataverseActivity |
CredentialAccess, Execution, PrivilegeEscalation |
| Dataverse – Ny icke-interaktiv identitet beviljad åtkomst | Identifierar åtkomsttilldelningar på API-nivå, antingen via delegerade behörigheter för ett Microsoft Entra-program eller genom direkttilldelning i Dataverse som programanvändare. | Dataverse-behörigheter har lagts till för icke-interaktiv användare. Datakällor: – Dataversum DataverseActivity,– AzureActiveDirectory AuditLogs |
Persistence, LateralMovement, PrivilegeEscalation |
| Dataverse – Ny inloggning från en obehörig domän | Identifierar Dataverse-inloggningsaktivitet som kommer från användare med UPN-suffix som inte har setts tidigare under de senaste 14 dagarna och som inte finns på en fördefinierad lista över auktoriserade domäner. Vanliga interna Power Platform-systemanvändare undantas som standard. |
Logga in av extern användare från ett otillåtet domänsuffix. Datakällor: – Dataversum DataverseActivity |
InitialAccess |
| Dataverse – Ny användaragenttyp som inte användes tidigare | Identifierar användare som har åtkomst till Dataverse från en användaragent som inte har setts i någon Dataverse-instans under de senaste 14 dagarna. | Aktivitet i Dataverse från en ny användaragent. Datakällor: – Dataversum DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse – Ny användaragenttyp som inte användes med Office 365 | Identifierar användare som har åtkomst till Dynamics med en användaragent som inte har setts i några Office 365-arbetsbelastningar under de senaste 14 dagarna. | Aktivitet i Dataverse från en ny användaragent. Datakällor: – Dataversum DataverseActivity |
InitialAccess |
| Dataverse – Organisationsinställningar har ändrats | Identifierar ändringar som görs på organisationsnivå i Dataverse-miljön. | Egenskapen på organisationsnivå har ändrats i Dataverse. Datakällor: – Dataversum DataverseActivity |
Bevarande |
| Dataverse – Borttagning av blockerade filnamnstillägg | Identifierar ändringar i en miljös blockerade filnamnstillägg och extraherar det borttagna tillägget. | Borttagning av blockerade filnamnstillägg i Dataverse-egenskaper. Datakällor: – Dataversum DataverseActivity |
DefenseEvasion |
| Dataverse – SharePoint-dokumenthanteringswebbplatsen har lagts till eller uppdaterats | Identifierar ändringar av sharepoint-dokumenthanteringsintegrering. Dokumenthantering tillåter lagring av data som finns externt till Dataverse. Kombinera den här analysregeln med Dataverse: Lägg till SharePoint-webbplatser i visningslistans spelbok för att automatiskt uppdatera bevakningslistan Dataverse-SharePointSites . Den här visningslistan kan användas för att korrelera händelser mellan Dataverse och SharePoint när du använder Office 365-dataanslutningen. |
SharePoint-webbplatsmappning har lagts till i Dokumenthantering. Datakällor: – Dataversum DataverseActivity |
Exfiltrering |
| Dataverse – Misstänkta ändringar av säkerhetsrollen | Identifierar ett ovanligt mönster med händelser där en ny roll skapas, följt av att skaparen lägger till medlemmar i rollen och senare tar bort medlemmen eller tar bort rollen efter en kort tidsperiod. | Ändringar i säkerhetsroller och rolltilldelningar. Datakällor: – Dataversum DataverseActivity |
PrivilegeEscalation |
| Dataverse – Misstänkt användning av TDS-slutpunkt | Identifierar protokollbaserade frågor baserade på Dataverse TDS (Tabular Data Stream), där källanvändaren eller IP-adressen har de senaste säkerhetsaviseringar och TDS-protokollet inte har använts tidigare i målmiljön. | Plötslig användning av TDS-slutpunkten i samband med säkerhetsaviseringar. Datakällor: – Dataversum DataverseActivity– AzureActiveDirectoryIdentityProtection SecurityAlert |
Exfiltrering, InitialAccess |
| Dataverse – Misstänkt användning av webb-API | Identifierar inloggningar i flera Dataverse-miljöer som bryter mot ett fördefinierat tröskelvärde och kommer från en användare med en IP-adress som användes för att logga in på en välkänd Microsoft Entra-appregistrering. | Logga in med WebAPI i flera miljöer med ett välkänt offentligt program-ID. Datakällor: – Dataversum DataverseActivity– AzureActiveDirectory SigninLogs |
Körning, exfiltrering, rekognosering, identifiering |
| Dataverse – TI mappar IP till DataverseActivity | Identifierar en matchning i DataverseActivity från ip-IOK från Microsoft Sentinel Threat Intelligence. | Dataverse-aktivitet med IP-matchande IOK. Datakällor: – Dataversum DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, LateralMovement, Discovery |
| Dataverse – TI-mappnings-URL till DataverseActivity | Identifierar en matchning i DataverseActivity från url-IOK från Microsoft Sentinel Threat Intelligence. | Dataverse-aktivitet med URL-matchande IOK. Datakällor: – Dataversum DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, Execution, Persistence |
| Dataverse – Avslutad exfiltrering av anställda via e-post | Identifierar Dataverse-exfiltrering via e-post av avslutade anställda. | E-postmeddelanden som skickas till ej betrodda mottagardomäner efter säkerhetsaviseringar som är korrelerade med användare i bevakningslistan TerminatedEmployees . Datakällor: MicrosoftThreatProtection EmailEventsIdentityInfo– AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
Exfiltrering |
| Dataverse – Avslutad medarbetares exfiltrering till USB-enhet | Identifierar filer som laddats ned från Dataverse av avgående eller avslutade anställda och kopieras till USB-monterade enheter. | Filer från Dataverse som kopierats till USB av en användare i bevakningslistan TerminatedEmployees . Datakällor: – Dataversum DataverseActivity– MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Exfiltrering |
| Dataverse – Ovanlig inloggning efter inaktiverat IP-adressbaserat cookiebindningsskydd | Identifierar tidigare osedda IP- och användaragenter i en Dataverse-instans efter inaktivering av cookiebindningsskydd. Mer information finns i Skydda Dataverse-sessioner med IP-cookiebindning. |
Ny inloggningsaktivitet. Datakällor: – Dataversum DataverseActivity |
DefenseEvasion |
| Dataverse – Masshämtning av användare utanför normal aktivitet | Identifierar användare som hämtar betydligt fler poster från Dataverse än de har gjort under de senaste två veckorna. | Användaren hämtar många poster från Dataverse och inklusive KQL-definierat tröskelvärde. Datakällor: – Dataversum DataverseActivity |
Exfiltrering |
Power Apps-regler
| Regelnamn | beskrivning | Källåtgärd | Taktiker |
|---|---|---|---|
| Power Apps – Appaktivitet från obehörig geo | Identifierar Power Apps-aktivitet från geografiska regioner i en fördefinierad lista över obehöriga geografiska regioner. Den här identifieringen hämtar listan över ISO 3166-1 alfa-2 landskoder från ISO Online Browsing Platform (OBP). Den här identifieringen använder loggar som matas in från Microsoft Entra-ID och kräver att du även aktiverar Microsoft Entra ID-dataanslutningen. |
Kör en aktivitet i en Power App från en geografisk region som finns i listan över otillåtna landskoder. Datakällor: – Administratörsaktivitet för Microsoft Power Platform (förhandsversion) PowerPlatformAdminActivity– Microsoft Entra-ID SigninLogs |
Inledande åtkomst |
| Power Apps – Flera appar har tagits bort | Identifierar massborttagningsaktivitet där flera Power Apps tas bort, vilket matchar ett fördefinierat tröskelvärde för totalt antal borttagna appar eller borttagna händelser i flera Power Platform-miljöer. | Ta bort många Power Apps från administrationscentret för Power Platform. Datakällor: – Administratörsaktivitet för Microsoft Power Platform (förhandsversion) PowerPlatformAdminActivity |
Påverkan |
| Power Apps – Dataförstörelse efter publicering av en ny app | Identifierar en händelsekedja när en ny app skapas eller publiceras och följs inom 1 timme av en massuppdaterings- eller borttagningshändelse i Dataverse. | Ta bort många poster i Power Apps inom en timme efter att Power App har skapats eller publicerats. Om apputgivaren finns med i listan över användare i mallen TerminatedEmployees watchlist utlöses incidentens allvarlighetsgrad. Datakällor: – Administratörsaktivitet för Microsoft Power Platform (förhandsversion) PowerPlatformAdminActivity– Microsoft Dataverse (förhandsversion) DataverseActivity |
Påverkan |
| Power Apps – Flera användare som har åtkomst till en skadlig länk när de har startat en ny app | Identifierar en händelsekedja när en ny Power App skapas och följs av följande händelser: – Flera användare startar appen i identifieringsfönstret. – Flera användare öppnar samma skadliga URL. Det här identifieringsövergripandet korrelerar Power Apps-körningsloggar med skadliga URL-valhändelser från någon av följande källor: – Microsoft 365 Defender-dataanslutningen eller – Skadliga URL-indikatorer för kompromettering (IOC) i Microsoft Sentinel Threat Intelligence med asim-webbsessionsnormaliseringsparsern (Advanced Security Information Model). Den här identifieringen hämtar det distinkta antalet användare som startar eller väljer den skadliga länken genom att skapa en fråga. |
Flera användare startar en ny PowerApp och öppnar en känd skadlig URL från appen. Datakällor: – Administratörsaktivitet för Microsoft Power Platform (förhandsversion) PowerPlatformAdminActivity- Hotinformation ThreatIntelligenceIndicator– Microsoft Defender XDR UrlClickEvents |
Inledande åtkomst |
| Power Apps – Massdelning av Power Apps till nyligen skapade gästanvändare | Identifierar ovanlig massdelning av Power Apps till nyligen skapade Microsoft Entra-gästanvändare. Ovanlig massdelning baseras på ett fördefinierat tröskelvärde i frågan. | Dela en app med flera externa användare. Datakällor: – Administratörsaktivitet för Microsoft Power Platform (förhandsversion) PowerPlatformAdminActivity– Microsoft Entra-IDAuditLogs |
Resursutveckling, Inledande åtkomst, Sidorörelser |
Power Automate-regler
| Regelnamn | beskrivning | Källåtgärd | Taktiker |
|---|---|---|---|
| Power Automate – Avgående flödesaktivitet för anställda | Identifierar instanser där en anställd som har meddelats eller redan har avslutats och finns på bevakningslistan Avslutade anställda skapar eller ändrar ett Power Automate-flöde. | Användaren som definierats i visningslistan TerminatedEmployees skapar eller uppdaterar ett Power Automate-flöde. Datakällor: Microsoft Power Automate (förhandsversion) PowerAutomateActivityVisningslista för TerminatedEmployees |
Exfiltrering, påverkan |
| Power Automate – Ovanlig massborttagning av flödesresurser | Identifierar massborttagning av Power Automate-flöden som överskrider ett fördefinierat tröskelvärde som definierats i frågan och avviker från aktivitetsmönster som observerats under de senaste 14 dagarna. | Massborttagning av Power Automate-flöden. Datakällor: - PowerAutomate PowerAutomateActivity |
Effekt Försvarsundandragande |
Regler för Power Platform
| Regelnamn | beskrivning | Källåtgärd | Taktiker |
|---|---|---|---|
| Power Platform – Anslutningsprogram har lagts till i en känslig miljö | Identifierar skapandet av nya API-anslutningsappar i Power Platform, särskilt för en fördefinierad lista över känsliga miljöer. | Lägg till en ny Power Platform-anslutningsapp i en känslig Power Platform-miljö. Datakällor: – Administratörsaktivitet för Microsoft Power Platform (förhandsversion) PowerPlatformAdminActivity |
Körning, exfiltrering |
| Power Platform – DLP-principen har uppdaterats eller tagits bort | Identifierar ändringar i principen för dataförlustskydd, särskilt principer som uppdateras eller tas bort. | Uppdatera eller ta bort en princip för dataförlustskydd i Power Platform-miljön. Datakällor: Administratörsaktivitet för Microsoft Power Platform (förhandsversion) PowerPlatformAdminActivity |
Försvarsundandragande |
| Power Platform – Eventuellt komprometterad användare får åtkomst till Power Platform-tjänster | Identifierar användarkonton som flaggas i riskzonen i Microsoft Entra ID Protection och korrelerar dessa användare med inloggningsaktivitet i Power Platform, inklusive Power Apps, Power Automate och Power Platform Admin Center. | Användare med risksignaler kommer åt Power Platform-portaler. Datakällor: – Microsoft Entra-ID SigninLogs |
Initial åtkomst, lateral förflyttning |
| Power Platform – Konto har lagts till i privilegierade Microsoft Entra-roller | Identifierar ändringar i följande privilegierade katalogroller som påverkar Power Platform: – Dynamics 365-administratörer – Power Platform-administratörer – Infrastrukturadministratörer |
Datakällor: AzureActiveDirectory AuditLogs |
PrivilegeEscalation |
Jaktfrågor
Lösningen innehåller jaktfrågor som kan användas av analytiker för att proaktivt jaga skadlig eller misstänkt aktivitet i Dynamics 365- och Power Platform-miljöerna.
| Regelnamn | beskrivning | Datakälla | Taktiker |
|---|---|---|---|
| Dataverse – aktivitet efter Microsoft Entra-aviseringar | Den här jaktfrågan söker efter användare som utför Dataverse/Dynamics 365-aktivitet kort efter en Microsoft Entra ID Protection-avisering för den användaren. Frågan söker bara efter användare som inte setts tidigare eller som utför Dynamics-aktivitet som inte tidigare setts. |
– Dataversum DataverseActivity– AzureActiveDirectoryIdentityProtection SecurityAlert |
InitialAccess |
| Dataverse – Aktivitet efter misslyckade inloggningar | Den här jaktfrågan söker efter användare som utför Dataverse/Dynamics 365-aktivitet kort efter många misslyckade inloggningar. Använd den här frågan för att söka efter potentiell aktivitet efter råstyrkeaktivitet. Justera tröskelvärdet baserat på den falska positiva hastigheten. |
– DataversumDataverseActivity– AzureActiveDirectory SigninLogs |
InitialAccess |
| Dataversum – dataexportaktivitet mellan miljöer | Söker efter dataexportaktivitet över ett förutbestämt antal Dataverse-instanser. Dataexportaktivitet i flera miljöer kan tyda på misstänkt aktivitet eftersom användare vanligtvis bara arbetar i några få miljöer. |
– DataversumDataverseActivity |
Exfiltrering, samling |
| Dataversum – Dataverse-export kopierad till USB-enheter | Använder data från Microsoft Defender XDR för att identifiera filer som laddats ned från en Dataverse-instans och kopierats till USB-enhet. | – DataversumDataverseActivity– MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Exfiltrering |
| Dataverse – Allmän klientapp som används för att komma åt produktionsmiljöer | Identifierar användningen av det inbyggda "Dynamics 365-exempelprogrammet" för att få åtkomst till produktionsmiljöer. Den här allmänna appen kan inte begränsas av Microsoft Entra ID-auktoriseringskontroller och kan missbrukas för att få obehörig åtkomst via webb-API. |
– DataversumDataverseActivity– AzureActiveDirectory SigninLogs |
Körnings- |
| Dataverse – Identitetshanteringsaktivitet utanför privilegierat katalogrollmedlemskap | Identifierar identitetsadministrationshändelser i Dataverse/Dynamics 365 som görs av konton som inte är medlemmar i följande privilegierade katalogroller: Dynamics 365-administratörer, Power Platform-administratörer eller globala administratörer | – DataversumDataverseActivity- UEBA IdentityInfo |
PrivilegeEscalation |
| Dataverse – Ändringar i identitetshantering utan MFA | Används för att visa privilegierade identitetsadministrationsåtgärder i Dataverse som skapats av konton som loggat in utan att använda MFA. | – DataversumDataverseActivity– AzureActiveDirectory SigninLogs, DataverseActivity |
InitialAccess |
| Power Apps – Avvikande massdelning av Power App till nyligen skapade gästanvändare | Frågan identifierar avvikande försök att utföra massdelning av en Power App till nyligen skapade gästanvändare. | Datakällor: PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess, LateralMovement, ResourceDevelopment |
Spelböcker
Den här lösningen innehåller spelböcker som kan användas för att automatisera säkerhetsåtgärder vid incidenter och aviseringar i Microsoft Sentinel.
| Spelboksnamn | beskrivning |
|---|---|
| Säkerhetsarbetsflöde: aviseringsverifiering med arbetsbelastningsägare | Den här spelboken kan minska belastningen på SOC genom att avlasta aviseringsverifiering till IT-administratörer för specifika analysregler. Den utlöses när en Microsoft Sentinel-avisering genereras, skapar ett meddelande (och tillhörande e-postmeddelande) i arbetsbelastningsägarens Microsoft Teams-kanal som innehåller information om aviseringen. Om arbetsbelastningsägaren svarar att aktiviteten inte är auktoriserad konverteras aviseringen till en incident i Microsoft Sentinel som SOC ska hantera. |
| Dataverse: Skicka meddelande till chefen | Den här spelboken kan utlösas när en Microsoft Sentinel-incident utlöses och skickar automatiskt ett e-postmeddelande till chefen för de berörda användarentiteterna. Spelboken kan konfigureras för att skicka antingen till Dynamics 365-chefen eller med hjälp av chefen i Office 365. |
| Dataverse: Lägg till användare i blocklistan (incidentutlösare) | Den här spelboken kan utlösas när en Microsoft Sentinel-incident aktiveras och automatiskt lägger till berörda användarentiteter i en fördefinierad Microsoft Entra-grupp, vilket resulterar i blockerad åtkomst. Microsoft Entra-gruppen används med villkorsstyrd åtkomst för att blockera inloggning till Dataverse. |
| Dataverse: Lägg till användare i blockeringslistan med hjälp av outlook-arbetsflöde för godkännande | Den här spelboken kan utlösas när en Microsoft Sentinel-incident aktiveras och automatiskt lägger till berörda användarentiteter i en fördefinierad Microsoft Entra-grupp med hjälp av ett Outlook-baserat godkännandearbetsflöde, vilket resulterar i blockerad åtkomst. Microsoft Entra-gruppen används med villkorsstyrd åtkomst för att blockera inloggning till Dataverse. |
| Dataverse: Lägg till användare i blockeringslistan med teams godkännandearbetsflöde | Den här spelboken kan utlösas när en Microsoft Sentinel-incident aktiveras och lägger automatiskt till berörda användarentiteter i en fördefinierad Microsoft Entra-grupp med hjälp av ett arbetsflöde för godkännande av teams-adaptiva kort, vilket resulterar i blockerad åtkomst. Microsoft Entra-gruppen används med villkorsstyrd åtkomst för att blockera inloggning till Dataverse. |
| Dataverse: Lägg till användare i blocklistan (aviseringsutlösare) | Den här spelboken kan utlösas på begäran när en Microsoft Sentinel-avisering aktiveras, vilket gör att analytikern kan lägga till berörda användarentiteter i en fördefinierad Microsoft Entra-grupp, vilket resulterar i blockerad åtkomst. Microsoft Entra-gruppen används med villkorsstyrd åtkomst för att blockera inloggning till Dataverse. |
| Dataverse: Ta bort användare från blocklistan | Den här spelboken kan utlösas på begäran när en Microsoft Sentinel-avisering aktiveras, vilket gör att analytikern kan ta bort berörda användarentiteter från en fördefinierad Microsoft Entra-grupp som används för att blockera åtkomst. Microsoft Entra-gruppen används med villkorsstyrd åtkomst för att blockera inloggning till Dataverse. |
| Dataverse: Lägg till SharePoint-webbplatser i visningslistan | Den här spelboken används för att lägga till nya eller uppdaterade SharePoint-dokumenthanteringsplatser i konfigurationsbevakningslistan. I kombination med en schemalagd analysregel som övervakar Dataverse-aktivitetsloggen utlöses den här spelboken när en ny mappning av SharePoint-dokumenthanteringswebbplatsen läggs till. Webbplatsen läggs till i en visningslista för att utöka övervakningstäckningen. |
Arbetsböcker
Microsoft Sentinel-arbetsböcker är anpassningsbara, interaktiva instrumentpaneler i Microsoft Sentinel som underlättar analytikernas effektiva visualisering, analys och undersökning av säkerhetsdata. Den här lösningen innehåller arbetsboken Dynamics 365-aktivitet , som visar en visuell representation av aktivitet i Microsoft Dynamics 365 Customer Engagement/Dataverse, inklusive statistik för posthämtning och ett avvikelsediagram.
Visningslistor
Den här lösningen innehåller bevakningslistan MSBizApps-Configuration och kräver att användarna skapar ytterligare visningslistor baserat på följande visningslistmallar:
- VIPUsers
- NetworkAddresses
- TerminatedEmployees
Mer information finns i Visningslistor i Microsoft Sentinel och Skapa bevakningslistor.
Inbyggda parsers
Lösningen innehåller parsers som används för att komma åt data från rådatatabellerna. Parsare ser till att rätt data returneras med ett konsekvent schema. Vi rekommenderar att du använder parsarna i stället för att fråga bevakningslistan direkt.
| Parser | Data som returneras | Tabell efterfrågad |
|---|---|---|
| MSBizAppsOrgSettings | Lista över tillgängliga organisationsomfattande inställningar som är tillgängliga i Dynamics 365 Customer Engagement/Dataverse | saknas |
| MSBizAppsVIPUsers | Parser för VIPUsers-visningslistan | VIPUsers från visningslistmall |
| MSBizAppsNetworkAddresses | Parser för NetworkAddresses-visningslistan | NetworkAddresses från visningslistmall |
| MSBizAppsTerminatedEmployees | Parser för visningslistan TerminatedEmployees | TerminatedEmployees från visningslistmall |
| DataverseSharePointSites | SharePoint-webbplatser som används i Dataverse Document Management | MSBizApps-Configuration visningslista filtrerad efter kategorin "SharePoint" |
Mer information om analysregler finns i Identifiera hot direkt.