你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Power Platform 和 Microsoft Dynamics 365 Customer Engagement 的安全内容参考
本文详细介绍可用于适用于 Power Platform 的 Microsoft Sentinel 解决方案的安全内容。 有关此解决方案的详细信息,请参阅适用于 Microsoft Power Platform 和 Microsoft Dynamics 365 Customer Engagement 的 Microsoft Sentinel 解决方案概述。
重要
- 适用于 Microsoft Power Platform 的 Microsoft Sentinel 解决方案目前以预览版形式提供。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
- 该解决方案是一款高级产品/服务。 我们将在正式发布该解决方案之前提供定价信息。
- 通过完成此调查提供对此解决方案的反馈:https://aka.ms/SentinelPowerPlatformSolutionSurvey。
启用内置分析规则
安装适用于 Power Platform 的解决方案时,将包含以下分析规则。 列出的数据源包括 Log Analytics 中的数据连接器名称和表。
Dataverse 规则
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| Dataverse - 异常应用程序用户活动 | 根据超出正常使用模式的活动,标识 Dataverse 应用程序(非交互式)用户活动模式中的异常情况。 | Dynamics 365/Dataverse 中的异常 S2S 用户活动。 数据源: - Dataverse DataverseActivity |
CredentialAccess、执行、暂留 |
| Dataverse - 删除审核日志数据 | 标识 Dataverse 中的审核日志数据删除活动。 | 删除 Dataverse 审核日志。 数据源: - Dataverse DataverseActivity |
防御规避 |
| Dataverse - 禁用审核日志 | 标识系统审核配置中关闭审核日志功能的更改。 | 禁用全局或实体级别的审核功能。 数据源: - Dataverse DataverseActivity |
防御规避 |
| Dataverse - 批量重新分配记录所有权或批量共享记录 | 标识单个记录所有权的更改,包括: - 与其他用户/团队共享记录。 - 所有权重新分配次数超过预定义阈值。 |
在检测时间范围内生成记录的多个所有权事件和共享事件。 数据源: - Dataverse DataverseActivity |
特权提升 |
| Dataverse - 将可执行文件上传到 SharePoint 文档管理站点 | 标识为了规避 Dataverse 中的本机文件扩展名限制,而上传到用于 Dynamics 文档管理的 SharePoint 站点的可执行文件和脚本。 | 上传 Dataverse 文档管理中的可执行文件。 数据源: - Office365 OfficeActivity (SharePoint) |
执行、暂留 |
| Dataverse - 由已解约或已收到解约通知的员工执行的导出活动 | 标识由已解约员工或即将离开组织的员工触发的 Dataverse 导出活动。 | 与 TerminatedEmployees 监视列表模板上的用户关联的数据导出事件。 数据源: - Dataverse DataverseActivity |
外泄 |
| Dataverse - 在 Power Platform 防御受损后来宾用户外泄 | 标识以禁用 Power Platform 租户隔离和移除环境的访问安全组开始的事件链。 这些事件与和受影响的环境以及最近创建的 Microsoft Entra 来宾用户关联的 Dataverse 外泄警报相关联。 启用此规则之前,使用 MITRE 策略“外泄”激活其他 Dataverse 分析规则。 |
作为最近创建的来宾用户,在禁用 Power Platform 安全控制后触发 Dataverse 外泄警报。 数据源: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity |
防御规避 |
| Dataverse - 层次结构安全操作 | 标识层次结构安全设置中的可疑行为。 | 对安全属性的更改,包括: - 禁用层次结构安全设置。 - 用户将自己分配为管理员。 - 用户将自己分配到受监视的位置(在 KQL 中设置)。 数据源: - Dataverse DataverseActivity |
特权提升 |
| Dataverse - Honeypot 实例活动 | 标识预定义的 Honeypot Dataverse 实例中的活动。 当检测到登录 Honeypot 的操作或访问 Honeypot 中受监视的 Dataverse 表时,发送警报。 |
在启用了审核功能的 Power Platform 中,登录指定 Honeypot Dataverse 实例并访问其中的数据。 数据源: - Dataverse DataverseActivity |
发现、外泄 |
| Dataverse - 敏感特权用户登录 | 标识敏感用户的 Dataverse 和 Dynamics 365 登录操作。 | VIPUsers 监视列表(基于 KQL 中设置的标记)中的用户执行登录操作。 数据源: - Dataverse DataverseActivity |
InitialAccess、CredentialAccess、PrivilegeEscalation |
| Dataverse - 阻止列表中的 IP 登录 | 标识预定义阻止列表上的 IPv4 地址登入 Dataverse 的活动。 | 用户使用阻止的网络范围中的 IP 地址执行登录操作。 阻止的网络范围保存在 NetworkAddresses 监视列表模板中。 数据源: - Dataverse DataverseActivity |
初始访问 |
| Dataverse - 非允许列表中的 IP 登录 | 标识使用与允许列表上保存的 IPv4 子网不匹配的 IPv4 地址执行的登录操作。 | 用户使用非允许的网络范围中的 IP 地址执行登录操作。 阻止的网络范围保存在 NetworkAddresses 监视列表模板中。 数据源: - Dataverse DataverseActivity |
初始访问 |
| Dataverse - SharePoint 文档管理站点中发现恶意软件 | 标识通过 Dynamics 365 文档管理或直接在 SharePoint 中上传,且对关联 Dataverse 的 SharePoint 站点造成影响的恶意软件。 | 链接到 Dataverse 的 SharePoint 站点中的恶意文件。 数据源: - Dataverse DataverseActivity- Office365 OfficeActivity (SharePoint) |
执行 |
| Dataverse - 批量删除记录 | 标识基于预定义阈值的大规模记录删除操作。 此外还检测计划的批量删除作业。 |
删除超出 KQL 中定义的阈值的记录。 数据源: - Dataverse DataverseActivity |
影响 |
| Dataverse - 从 SharePoint 文档管理批量下载 | 标识最近一小时从为 Dynamics 365 文档管理配置的 SharePoint 站点批量下载的文件。 | 批量下载超出 KQL 中定义的阈值的文件。 此分析规则使用 MSBizApps-Configuration 监视列表来标识用于文档管理的 SharePoint 站点。 数据源: - Office365 OfficeActivity (SharePoint) |
外泄 |
| Dataverse - 将记录大量导出到 Excel | 标识将大量记录从 Dynamics 365 导出到 Excel 且导出的记录数明显高于其任何其他最近活动的用户。 使用预定义的阈值发现来自没有最近活动的用户的大型导出。 |
将许多记录从 Dataverse 导出到 Excel。 数据源: - Dataverse DataverseActivity |
外泄 |
| Dataverse - 批量记录更新 | 检测 Dataverse 和 Dynamics 365 中超出预定义阈值的批量记录更新更改。 | 批量更新超出 KQL 中定义的阈值的记录。 数据源: - Dataverse DataverseActivity |
影响 |
| Dataverse - 新的 Dataverse 应用程序用户活动类型 | 标识与 Dataverse 应用程序(非交互式)用户关联的新的或未曾出现过的活动类型。 | 新的 S2S 用户活动类型。 数据源: - Dataverse DataverseActivity |
CredentialAccess、执行、PrivilegeEscalation |
| Dataverse - 新的非交互式身份获授访问权限 | 标识通过 Microsoft Entra 应用程序的委派权限或 Dataverse 中以应用程序用户身份直接分配授予的 API 级别的访问权限。 | 为非交互式用户添加 Dataverse 权限。 数据源: - Dataverse DataverseActivity、- AzureActiveDirectory AuditLogs |
暂留、LateralMovement、PrivilegeEscalation |
| Dataverse - 新的来自未经授权域的登录操作 | 标识过去 14 天内未出现过且不在预定义的经授权域列表的 UPN 后缀的用户执行的 Dataverse 登录活动。 默认情况下排除常见的内部 Power Platform 系统用户。 |
来自未经授权域后缀的外部用户登录。 数据源: - Dataverse DataverseActivity |
初始访问 |
| Dataverse - 以前未使用过的新用户代理类型 | 标识从用户代理访问 Dataverse 的用户,且该用户代理在过去 14 天内未出现在任何 Dataverse 实例中。 | Dataverse 中来自新用户代理的活动。 数据源: - Dataverse DataverseActivity |
InitialAccess、DefenseEvasion |
| Dataverse - 未用于 Office 365 的新用户代理类型 | 标识使用用户代理访问 Dynamics 的用户,且该用户代理在过去 14 天内未出现在任何 Office 365 工作负载中。 | Dataverse 中来自新用户代理的活动。 数据源: - Dataverse DataverseActivity |
初始访问 |
| Dataverse - 修改组织设置 | 标识 Dataverse 环境中在组织级别所做的更改。 | 修改 Dataverse 中的组织级别属性。 数据源: - Dataverse DataverseActivity |
持久性 |
| Dataverse - 移除阻止的文件扩展名 | 标识对环境的阻止文件扩展名的修改,并提取已移除的扩展名。 | 移除 Dataverse 属性中阻止的文件扩展名。 数据源: - Dataverse DataverseActivity |
防御规避 |
| Dataverse - 添加或更新 SharePoint 文档管理站点 | 标识 SharePoint 文档管理集成的修改。 使用文档管理功能,可以将外部数据存储到 Dataverse 中。 将此分析规则与 Dataverse:将 SharePoint 站点添加到监视列表 playbook 结合使用,即可自动更新 Dataverse-SharePointSites 监视列表。 使用 Office 365 数据连接器时,此监视列表可用于关联 Dataverse 和 SharePoint 之间的事件。 |
在文档管理功能中添加 SharePoint 站点映射。 数据源: - Dataverse DataverseActivity |
外泄 |
| Dataverse - 可疑安全角色修改 | 标识异常的事件模式,即创建者创建新角色并向角色添加成员,却在短时间内移除成员或删除角色。 | 更改安全角色和角色分配。 数据源: - Dataverse DataverseActivity |
特权提升 |
| Dataverse - 可疑的 TDS 终结点使用行为 | 标识 Dataverse 基于 TDS(表格格式数据流)协议的查询,其中源用户或 IP 地址触发过最近的安全警报,并且使用的 TDS 协议之前未在目标环境中使用过。 | 突然使用触发过安全警报的 TDS 终结点。 数据源: - Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
外泄、InitialAccess |
| Dataverse - 可疑的 Web API 使用行为 | 标识跨多个 Dataverse 环境的登录操作,这些操作违反预定义的阈值,且登录用户的 IP 地址曾用于注册已知的 Microsoft Entra 应用。 | 跨多个环境透过 WebAPI 使用已知的公共应用程序 ID 登录。 数据源: - Dataverse DataverseActivity- AzureActiveDirectory SigninLogs |
执行、外泄、侦查、发现 |
| Dataverse - TI 将 IP 映射到 DataverseActivity | 标识 DataverseActivity 中与 Microsoft Sentinel 威胁情报提供的任何 IP IOC 相匹配的内容。 | 匹配 IP IOC 的 Dataverse 活动。 数据源: - Dataverse DataverseActivity智能威胁 ThreatIntelligenceIndicator |
InitialAccess、LateralMovement、发现 |
| Dataverse - TI 将 URL 映射到 DataverseActivity | 标识 DataverseActivity 中与 Microsoft Sentinel 威胁情报提供的任何 URL IOC 相匹配的内容。 | 匹配 URL IOC 的 Dataverse 活动。 数据源: - Dataverse DataverseActivity智能威胁 ThreatIntelligenceIndicator |
InitialAccess、执行、暂留 |
| Dataverse - 已解约员工通过电子邮件外泄数据 | 标识已解约员工通过电子邮件外泄 Dataverse 数据的行为。 | TerminatedEmployees 监视列表上的用户收到安全警报后,向不受信任的收件人域发送电子邮件。 数据源: MicrosoftThreatProtection EmailEventsIdentityInfo- AzureActiveDirectoryIdentityProtection、IdentityInfo SecurityAlert |
外泄 |
| Dataverse - 已解约员工通过 U 盘外泄数据 | 标识要离职或已解约的员工从 Dataverse 下载并复制到 U 盘的文件。 | TerminatedEmployees 监视列表上的用户将 Dataverse 的文件复制到 USB。 数据源: - Dataverse DataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
外泄 |
| Dataverse - 禁用基于 IP 地址的 Cookie 绑定保护机制后的异常登录操作 | 标识禁用 Cookie 绑定保护机制后,Dataverse 实例中出现的陌生 IP 和用户代理。 有关详细信息,请参阅使用 IP Cookie 绑定机制保护 Dataverse 会话。 |
新的登录活动。 数据源: - Dataverse DataverseActivity |
防御规避 |
| Dataverse - 用户在正常活动之外的批量检索 | 标识从 Dataverse 检索的记录比过去 2 周多得多的用户。 | 用户从 Dataverse 检索很多记录,超过了 KQL 定义的阈值。 数据源: - Dataverse DataverseActivity |
外泄 |
Power Apps 规则
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| Power Apps - 来自未经授权的地理位置的应用活动 | 标识来自预定义未授权地理区域列表中的地理区域的 Power Apps 活动。 此检测规则从 ISO 在线浏览平台 (OBP) 获取 ISO 3166-1 alpha-2 国家/地区代码列表。 此检测使用从 Microsoft Entra ID 提取的日志,还要求你启用 Microsoft Entra ID 数据连接器。 |
从未授权国家/地区代码列表中的地理区域运行 Power App 活动。 数据源: Microsoft Power Platform 管理员活动(预览版) PowerPlatformAdminActivity- Microsoft Entra ID SigninLogs |
初始访问 |
| Power Apps - 删除多个应用 | 发现删除多个 Power Apps 的大规模删除活动,匹配多个 Power Platform 环境中的已删除应用或应用删除事件总数的预定义阈值。 | 从 Power Platform 管理中心删除许多 Power Apps。 数据源: Microsoft Power Platform 管理员活动(预览版) PowerPlatformAdminActivity |
影响 |
| Power Apps - 发布新应用后销毁数据 | 标识新应用创建或发布及其后 1 小时内在 Dataverse 中出现批量更新或删除事件的事件链。 | 在创建或发布 Power Apps 的 1 小时内删除 Power Apps 中的很多记录。 如果应用发布者位于 TerminatedEmployees 监视列表模板中的用户列表中,则会引发事件严重性。 数据源: Microsoft Power Platform 管理员活动(预览版) PowerPlatformAdminActivity- Microsoft Dataverse(预览) DataverseActivity |
影响 |
| Power Apps - 启动新应用后多个用户访问恶意链接 | 发现事件链:创建了新的 Power App,后跟以下事件: - 多个用户在检测窗口内启动应用。 - 多个用户打开相同的恶意 URL。 此检测规则将 Power Apps 执行日志与以下任一源中的恶意 URL 选择事件相关联: - Microsoft 365 Defender 数据连接器或 - Microsoft Sentinel 威胁情报中利用高级安全信息模型 (ASIM) Web 会话规范化分析程序的恶意 URL 入侵指示器 (IOC)。 此检测规则通过创建查询分别获取上述源中启动或选择恶意链接的用户数。 |
多个用户启动新的 PowerApp,并从应用打开已知的恶意 URL。 数据源: Microsoft Power Platform 管理员活动(预览版) PowerPlatformAdminActivity- 威胁情报 ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
初始访问 |
| Power Apps - 将 Power Apps 批量共享给新创建的来宾用户 | 发现向新创建的 Microsoft Entra 来宾用户异常批量共享 Power Apps 的行为。 异常批量共享基于查询中的预定义阈值。 | 与多个外部用户共享应用。 数据源: Microsoft Power Platform 管理员活动(预览版) PowerPlatformAdminActivity- Microsoft Entra IDAuditLogs |
资源开发, 初始访问, 横向移动 |
Power Automate 规则
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| Power Automate - 离职员工流动活动 | 发现员工已收到通知或已解雇且位于已解雇的员工监视列表中的情况,创建或修改 Power Automate 流。 | TerminatedEmployees 监视列表中定义的用户创建或更新 Power Automate 流。 数据源: Microsoft Power Automate(预览) PowerAutomateActivityTerminatedEmployees 监视列表 |
外泄、影响 |
| Power Automate - 异常批量删除流资源 | 标识超出查询中定义的预定义阈值且偏离过去 14 天内观察到的活动模式的 Power Automate 流批量删除操作。 | 批量删除 Power Automate 流。 数据源: - PowerAutomate PowerAutomateActivity |
影响, 防御规避 |
Power Platform 规则
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| Power Platform - 在敏感环境中添加连接器 | 发现在 Power Platform 中创建的新 API 连接器,特别针对预定义列表中的敏感环境。 | 在敏感的 Power Platform 环境中添加新的 Power Platform 连接器。 数据源: Microsoft Power Platform 管理员活动(预览版) PowerPlatformAdminActivity |
执行、外泄 |
| Power Platform - 更新或移除 DLP 策略 | 发现对数据丢失防护策略的更改,特别是被更新或移除的策略。 | 在 Power Platform 环境中更新或移除 Power Platform 数据丢失防护策略。 数据源: Microsoft Power Platform 管理活动(预览) PowerPlatformAdminActivity |
防御规避 |
| Power Platform - 可能遭到入侵的用户访问 Power Platform 服务 | 标识在 Microsoft Entra ID 保护中标记为有风险的用户帐户,并将这些用户与 Power Platform 中的登录活动相关联,包括 Power Apps、Power Automate 和 Power Platform 管理中心。 | 具有风险信号的用户访问 Power Platform 门户。 数据源: - Microsoft Entra ID SigninLogs |
初始访问,横向移动 |
| Power Platform - 将帐户添加到特权 Microsoft Entra 角色 | 标识以下会对 Power Platform 产生影响的特权目录角色的更改: - Dynamics 365 管理员 - Power Platform 管理员 - Fabric 管理员 |
数据源: AzureActiveDirectory AuditLogs |
特权提升 |
搜寻查询
该解决方案提供各种搜寻查询,分析员可使用这些查询主动搜寻 Dynamics 365 和 Power Platform 环境中的恶意或可疑活动。
| 规则名称 | 说明 | 数据源 | 策略 |
|---|---|---|---|
| Dataverse - Microsoft Entra 警报后的活动 | 此搜寻查询查找在触发 Microsoft Entra ID 保护警报后不久在 Dataverse/Dynamics 365 中执行操作的用户。 此查询仅查找从未在 Dynamics 中出现或执行操作的用户。 |
- Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
初始访问 |
| Dataverse - 登录失败后的活动 | 此搜寻查询查找在多次登录失败后不久在 Dataverse/Dynamics 365 中执行操作的用户。 使用此查询可搜寻可能的暴力破解后活动。 可根据误报率调整阈值。 |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
初始访问 |
| Dataverse - 跨环境数据导出活动 | 在预先确定数量的 Dataverse 实例中搜索数据导出活动。 跨多个环境的数据导出活动可能是可疑活动,因为用户通常只处理几个环境。 |
- DataverseDataverseActivity |
外泄,收集 |
| Dataverse - 将 Dataverse 导出内容复制到 USB 设备 | 使用 Microsoft Defender XDR 中的数据来检测从 Dataverse 实例下载并复制到 U 盘的文件。 | - DataverseDataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
外泄 |
| Dataverse - 使用通用客户端应用访问生产环境 | 检测使用内置“Dynamics 365 示例应用程序”访问生产环境的行为。 此通用应用不受 Microsoft Entra ID 授权控制功能限制,可能会滥用于通过 Web API 获得未经授权的访问。 |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
执行 |
| Dataverse - 非特权目录角色成员身份的身份管理活动 | 检测 Dataverse/Dynamics 365 中由非 Dynamics 365 管理员、Power Platform 管理员或全局管理员等特权目录角色的成员所持有的帐户进行的身份管理事件 | - DataverseDataverseActivity- UEBA IdentityInfo |
特权提升 |
| Dataverse - 没有通过 MFA 登录的身份管理更改 | 用于显示 Dataverse 中没有通过 MFA 登录的帐户所执行的特权身份管理操作。 | - DataverseDataverseActivity- AzureActiveDirectory SigninLogs, DataverseActivity |
初始访问 |
| Power Apps - 向新创建的来宾用户异常批量共享 Power Apps | 该查询检测尝试将 Power Apps 批量共享到新创建的来宾用户的异常行为。 | 数据源: PowerPlatformAdmin、AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess、LateralMovement、ResourceDevelopment |
演练手册
该解决方案包含各种 playbook,可用于自动完成对 Microsoft Sentinel 事件和警报的安全响应。
| Playbook 名称 | 说明 |
|---|---|
| 安全工作流:工作负载所有者验证警报 | 此 playbook 可将针对特定分析规则产生的警报发送给 IT 管理员进行验证,从而减轻 SOC 的负担。 它会在 Microsoft Sentinel 警报生成时触发,并在工作负载所有者的 Microsoft Teams 频道中创建包含警报详细信息的消息(及相关通知电子邮件)。 如果工作负载所有者响应并表示活动未获授权,系统会将警报转换为 Microsoft Sentinel 事件,以便 SOC 进行处理。 |
| Dataverse:将通知发送给管理员 | 此 playbook 可在 Microsoft Sentinel 事件产生时触发,并向受影响的用户实体的管理员自动发送电子邮件通知。 其可配置为发送给 Dynamics 365 管理员或 Office 365 管理员。 |
| Dataverse:将用户添加到阻止列表(事件触发器) | 此 playbook 可在 Microsoft Sentinel 事件产生时触发,并将受影响的用户实体自动添加到预定义的 Microsoft Entra 组,从而阻止其访问。 将 Microsoft Entra 组与条件访问一起使用,可阻止登录到 Dataverse 的操作。 |
| Dataverse:使用 Outlook 审批工作流将用户添加到阻止列表 | 此 playbook 可在 Microsoft Sentinel 事件产生时触发,并使用基于 Outlook 的审批工作流将受影响的用户实体自动添加到预定义的 Microsoft Entra 组,从而阻止其访问。 将 Microsoft Entra 组与条件访问一起使用,可阻止登录到 Dataverse 的操作。 |
| Dataverse:使用 Teams 审批工作流将用户添加到阻止列表 | 此 playbook 可在 Microsoft Sentinel 事件产生时触发,并使用 Teams 自适应卡片审批工作流将受影响的用户实体自动添加到预定义的 Microsoft Entra 组,从而阻止其访问。 将 Microsoft Entra 组与条件访问一起使用,可阻止登录到 Dataverse 的操作。 |
| Dataverse:将用户添加到阻止列表(警报触发器) | 此 playbook 可在 Microsoft Sentinel 警报产生时按需触发,便于分析员将受影响的用户实体添加到预定义的 Microsoft Entra 组,从而阻止其访问。 将 Microsoft Entra 组与条件访问一起使用,可阻止登录到 Dataverse 的操作。 |
| Dataverse:从阻止列表中移除用户 | 此 playbook 可在 Microsoft Sentinel 警报产生时按需触发,便于分析员从用于阻止访问的预定义 Microsoft Entra 组中移除受影响的用户实体。 将 Microsoft Entra 组与条件访问一起使用,可阻止登录到 Dataverse 的操作。 |
| Dataverse:将 SharePoint 站点添加到监视列表 | 此 playbook 用于将新的或更新的 SharePoint 文档管理站点添加到配置监视列表中。 当与监视 Dataverse 活动日志的计划分析规则结合使用时,此 playbook 会在添加新的 SharePoint 文档管理站点映射时触发。 系统会将该站点添加到监视列表,从而扩大监视覆盖范围。 |
工作簿
Microsoft Sentinel 工作簿是 Microsoft Sentinel 中可自定义的交互式仪表板,方便分析员高效可视化、分析和调查安全数据。 此解决方案提供 Dynamics 365 活动工作簿,能以可视形式显示 Microsoft Dynamics 365 Customer Engagement/Dataverse 中的活动,包括记录检索统计信息和异常图表。
播放列表
此解决方案包括 MSBizApps-Configuration 监视列表,并需要用户基于以下监视列表模板创建其他监视列表:
- VIPUsers
- NetworkAddresses
- TerminatedEmployees
有关详细信息,请参阅 Microsoft Sentinel 中的监视列表和创建监视列表。
内置分析程序
该解决方案包括用于访问原始数据表中的数据的分析程序。 分析程序可确保返回架构一致的正确数据。 建议你使用分析程序,而不要直接查询监视列表。
| Parser | 返回的数据 | 查询的表 |
|---|---|---|
| MSBizAppsOrgSettings | 适用于 Dynamics 365 Customer Engagement/Dataverse 的可用组织范围设置列表 | 不适用 |
| MSBizAppsVIPUsers | 适用于 VIPUsers 监视列表的分析器 | 监视列表模板中的 VIPUsers |
| MSBizAppsNetworkAddresses | 适用于 NetworkAddresses 监视列表的分析器 | 监视列表模板中的 NetworkAddresses |
| MSBizAppsTerminatedEmployees | 适用于 TerminatedEmployees 监视列表的分析器 | 监视列表模板中的 TerminatedEmployees |
| DataverseSharePointSites | 在 Dataverse 文档管理中使用的 SharePoint 站点 | 按类别“SharePoint”筛选的 MSBizApps-Configuration 监视列表 |
有关分析规则的详细信息,请参阅开箱即用的威胁检测。