Microsoft Power Platform 和 Microsoft Dynamics 365 Customer Engagement 的安全性內容參考
本文詳細說明 Power Platform Microsoft Sentinel 解決方案可用的安全性內容。 如需此解決方案的詳細資訊,請參閱 Microsoft Sentinel 解決方案 for Microsoft Power Platform 和 Microsoft Dynamics 365 Customer Engagement 概觀。
重要
- Power Platform 的 Microsoft Sentinel 解決方案目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
- 此解決方案是進階供應項目。 在此解決方案正式推出之前,將會提供價格資訊。
- 藉由完成此問卷來提供此解決方案的意見反應: https://aka.ms/SentinelPowerPlatformSolutionSurvey。
內建分析規則
當您安裝適用於Power Platform 的解決方案時,會包含下列分析規則。 列出的數據源包括 Log Analytics 中的數據連接器名稱和數據表。
Dataverse 規則
| 規則名稱 | 描述 | 來源動作 | 策略 |
|---|---|---|---|
| Dataverse - 異常應用程式用戶活動 | 根據超出一般使用模式的活動,識別 Dataverse 應用程式 (非互動式) 用戶活動模式中的異常狀況。 | Dynamics 365 / Dataverse 中的異常 S2S 用戶活動。 資料來源: - Dataverse DataverseActivity |
CredentialAccess、執行、持續性 |
| Dataverse - 稽核記錄數據刪除 | 識別 Dataverse 中的稽核記錄數據刪除活動。 | 刪除 Dataverse 稽核記錄。 資料來源: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse - 已停用稽核記錄 | 識別系統稽核組態中的變更,其中會關閉稽核記錄。 | 已停用全域或實體層級稽核。 資料來源: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse - 大量記錄擁有權重新指派或共用 | 識別個別記錄擁有權的變更,包括: - 記錄與其他使用者/小組的共用 - 超過預先定義閾值的擁有權重新指派。 |
偵測視窗中產生的許多記錄擁有權和記錄共用事件。 資料來源: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse - 上傳至 SharePoint 檔管理網站的可執行檔 | 識別上傳至用於 Dynamics 檔管理的 SharePoint 網站的可執行檔和腳本,規避 Dataverse 中的原生擴展名限制。 | 在 Dataverse 檔管理中上傳可執行檔。 資料來源: - Office365 OfficeActivity (SharePoint) |
執行、持續性 |
| Dataverse - 從終止或通知的員工匯出活動 | 識別由終止員工或即將離開組織的員工所觸發的 Dataverse 導出活動。 | Data export events associated with users on the TerminatedEmployees watchlist template. 資料來源: - Dataverse DataverseActivity |
Exfiltration |
| Dataverse - 在 Power Platform 防禦障礙之後的來賓使用者外洩 | 識別從停用Power Platform租用戶隔離和移除環境存取安全組開始的事件鏈結。 這些事件會與與受影響環境相關聯的 Dataverse 外洩警示相互關聯,最近建立Microsoft Entra 來賓使用者。 啟用此規則之前, 請先使用外洩 MITRE 策略來啟用其他 Dataverse 分析規則。 |
作為最近建立的來賓使用者,在停用 Power Platform 安全性控制之後,觸發 Dataverse 外洩警示。 資料來源: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity |
防禦規避 |
| Dataverse - 階層安全性操作 | 識別階層安全性中的可疑行為。 | 安全性屬性的變更,包括: - 已停用階層安全性。 - 使用者將自己指派為管理員。 - 使用者將自己指派給受監視的位置(在 KQL 中設定)。 資料來源: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse - Honeypot 實例活動 | 識別預先定義的 Honeypot Dataverse 實例中的活動。 當偵測到 Honeypot 的登入或存取 Honeypot 中受監視的 Dataverse 數據表時,警示。 |
在已啟用稽核功能的Power Platform中,登入和存取指定 Honeypot Dataverse 實例中的數據。 資料來源: - Dataverse DataverseActivity |
探索、外洩 |
| Dataverse - 由敏感性特殊許可權使用者登入 | 識別敏感性使用者的 Dataverse 和 Dynamics 365 登入。 | 根據 KQL 內設定的標籤, 在 VIPUsers 關注清單中新增的使用者登入。 資料來源: - Dataverse DataverseActivity |
InitialAccess、CredentialAccess、PrivilegeEscalation |
| Dataverse - 從封鎖清單中的IP登入 | 從預先定義的封鎖清單上的IPv4位址識別Dataverse登入活動。 | 由IP位址屬於封鎖網路範圍一部分的使用者登入。 封鎖的網路範圍會在 NetworkAddresses 監看清單範本中維護。 資料來源: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse - 從IP登入不在允許清單中 | 識別不符合允許清單上維護之 IPv4 子網的 IPv4 位址登入。 | 由IP位址不是允許網路範圍的一部分的使用者登入。 封鎖的網路範圍會在 NetworkAddresses 監看清單範本中維護。 資料來源: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse - SharePoint 檔管理網站中找到的惡意代碼 | 識別透過 Dynamics 365 檔管理或直接在 SharePoint 中上傳的惡意代碼,影響 Dataverse 相關聯的 SharePoint 網站。 | SharePoint 網站中連結至 Dataverse 的惡意檔案。 資料來源: - Dataverse DataverseActivity- Office365 OfficeActivity (SharePoint) |
執行 |
| Dataverse - 大量刪除記錄 | 根據預先定義的閾值識別大規模的記錄刪除作業。 也會偵測排程的大量刪除作業。 |
刪除超過 KQL 中定義的閾值的記錄。 資料來源: - Dataverse DataverseActivity |
影響 |
| Dataverse - 從 SharePoint 檔管理大量下載 | 識別 Dynamics 365 中針對檔管理所設定的 SharePoint 網站,在最後一小時的檔案大量下載。 | 大量下載超過 KQL 中定義的臨界值。 此分析規則會 使用 MSBizApps-Configuration 監看清單來識別用於檔管理的 SharePoint 網站。 資料來源: - Office365 OfficeActivity (SharePoint) |
Exfiltration |
| Dataverse - 將記錄大量導出至 Excel | 識別將大量記錄從 Dynamics 365 導出至 Excel 的使用者,其中導出的記錄數目明顯高於該使用者的任何其他最近活動。 未使用預先定義的閾值來識別沒有最近活動之使用者的大型匯出。 |
將許多記錄從 Dataverse 導出至 Excel。 資料來源: - Dataverse DataverseActivity |
Exfiltration |
| Dataverse - 大量記錄更新 | 偵測 Dataverse 和 Dynamics 365 中的大量記錄更新變更,超過預先定義的閾值。 | 大量更新記錄超過 KQL 中定義的臨界值。 資料來源: - Dataverse DataverseActivity |
影響 |
| Dataverse - 新的 Dataverse 應用程式使用者活動類型 | 識別與 Dataverse 應用程式 (非互動式) 使用者相關聯的新或先前未看到的活動類型。 | 新的 S2S 用戶活動類型。 資料來源: - Dataverse DataverseActivity |
CredentialAccess、Execution、PrivilegeEscalation |
| Dataverse - 新的非互動式身分識別授與存取權 | 透過Microsoft Entra 應用程式的委派許可權,或在 Dataverse 中直接指派為應用程式使用者,識別 API 層級存取授與。 | 新增至非互動式使用者的 Dataverse 許可權。 資料來源: - Dataverse DataverseActivity,- AzureActiveDirectory AuditLogs |
Persistence、LateralMovement、PrivilegeEscalation |
| Dataverse - 從未經授權的網域新增登入 | 識別來自過去 14 天內尚未看到 UPN 後綴之使用者的 Dataverse 登入活動,且未出現在預先定義的授權網域清單中。 預設會排除常見的內部 Power Platform 系統使用者。 |
從未經授權的網域後綴登入外部使用者。 資料來源: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse - 之前未使用的新使用者代理程序類型 | 識別從過去 14 天內任何 Dataverse 實例中未看到的使用者代理程式存取 Dataverse 的使用者。 | 來自新使用者代理程式的 Dataverse 活動。 資料來源: - Dataverse DataverseActivity |
InitialAccess、DefenseEvasion |
| Dataverse - 未搭配 Office 365 使用的新使用者代理程序類型 | 識別過去 14 天內任何 Office 365 工作負載中未看到使用者代理程式存取 Dynamics 的使用者。 | 來自新使用者代理程式的 Dataverse 活動。 資料來源: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse - 已修改組織設定 | 識別 Dataverse 環境中的組織層級所做的變更。 | Dataverse 中修改的組織層級屬性。 資料來源: - Dataverse DataverseActivity |
持續性 |
| Dataverse - 移除封鎖的擴展名 | 識別環境的封鎖擴展名修改,並擷取已移除的擴展名。 | 拿掉 Dataverse 屬性中封鎖的擴展名。 資料來源: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse - 已新增或更新 SharePoint 檔管理網站 | 識別 SharePoint 檔管理整合的修改。 檔管理允許儲存位於 Dataverse 外部的數據。 將此分析規則與 Dataverse:將 SharePoint 網站新增至關注清單 劇本,以自動更新 Dataverse-SharePointSites 關注清單。 使用 Office 365 數據連接器時,此監看清單可用來將 Dataverse 與 SharePoint 之間的事件相互關聯。 |
檔管理中新增的 SharePoint 網站對應。 資料來源: - Dataverse DataverseActivity |
Exfiltration |
| Dataverse - 可疑的安全性角色修改 | 識別建立新角色的事件異常模式,接著建立者將成員新增至角色,稍後在短時間內移除成員或刪除該角色。 | 安全性角色和角色指派的變更。 資料來源: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse - 可疑使用 TDS 端點 | 識別 Dataverse TDS(表格式數據流)通訊協定型查詢,其中來源使用者或 IP 位址有最近的安全性警示,且 TDS 通訊協定先前未在目標環境中使用。 | 突然使用 TDS 端點與安全性警示相互關聯。 資料來源: - Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
外洩、InitialAccess |
| Dataverse - 可疑的 Web API 使用 | 識別跨多個 Dataverse 環境的登入,這些環境違反預先定義的臨界值,並且源自 IP 位址的使用者,該 IP 位址是用來登入已知Microsoft Entra 應用程式註冊。 | 使用已知的公用應用程式識別碼,跨多個環境使用 WebAPI 登入。 資料來源: - Dataverse DataverseActivity- AzureActiveDirectory SigninLogs |
執行、外洩、偵察、探索 |
| Dataverse - TI 將 IP 對應至 DataverseActivity | 從 Microsoft Sentinel 威脅情報的任何 IP IOC 識別 DataverseActivity 中的相符專案。 | 具有IP比對IOC的Dataverse活動。 資料來源: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess、LateralMovement、Discovery |
| Dataverse - TI 對應 URL 至 DataverseActivity | 從Microsoft Sentinel 威脅情報的任何URL IOC識別 DataverseActivity 中的相符專案。 | 具有 URL 比對 IOC 的 Dataverse 活動。 資料來源: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess、執行、持續性 |
| Dataverse - 透過電子郵件終止的員工外洩 | 識別終止員工透過電子郵件外洩 Dataverse。 | 在與 TerminatedEmployees 關注清單上的使用者相互關聯的安全性警示之後,傳送給不受信任的收件者網域的電子郵件。 資料來源: MicrosoftThreatProtection EmailEventsIdentityInfo- AzureActiveDirectoryIdentityProtection,IdentityInfo SecurityAlert |
Exfiltration |
| Dataverse - 終止的員工外泄至 USB 磁碟驅動器 | 識別從 Dataverse 下載的檔案,方法是離開或終止的員工,並複製到 USB 掛接的磁碟驅動器。 | 來自 TerminatedEmployees 監看清單上使用者複製到 USB 的 Dataverse 所產生檔案。 資料來源: - Dataverse DataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Exfiltration |
| Dataverse - 停用IP位址型Cookie系結保護后異常登入 | 在停用 Cookie 系結保護之後,識別 Dataverse 實例中先前看不見的 IP 和使用者代理程式。 如需詳細資訊,請參閱 使用IP Cookie系結保護 Dataverse 會話。 |
新的登入活動。 資料來源: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse - 使用者大量擷取超出一般活動 | 識別從 Dataverse 擷取記錄的用戶比過去兩周擷取的記錄要多得多。 | 使用者會從 Dataverse 擷取許多記錄,包括 KQL 定義的閾值。 資料來源: - Dataverse DataverseActivity |
Exfiltration |
Power Apps 規則
| 規則名稱 | 描述 | 來源動作 | 策略 |
|---|---|---|---|
| Power Apps - 來自未經授權的地理位置的應用程式活動 | 從預先定義的未經授權地理區域清單中識別地理區域的Power Apps活動。 此偵測會從 ISO 在線瀏覽平臺 (OBP) 取得 ISO 3166-1 Alpha-2 國家/地區代碼的清單。 此偵測會使用從 Microsoft Entra ID 擷取的記錄,並要求您也啟用 Microsoft Entra ID 數據連接器。 |
從未經授權的國家/地區代碼清單上的地理區域,在 Power App 中執行活動。 資料來源: - Microsoft Power Platform 管理活動 (預覽) PowerPlatformAdminActivity- Microsoft Entra 識別符 SigninLogs |
初始存取 |
| Power Apps - 已刪除多個應用程式 | 識別刪除多個 Power Apps 的大規模刪除活動,並符合跨多個 Power Platform 環境刪除或應用程式刪除事件總數的預先定義閾值。 | 從 Power Platform 系統管理中心刪除許多 Power Apps。 資料來源: - Microsoft Power Platform 管理活動 (預覽) PowerPlatformAdminActivity |
影響 |
| Power Apps - 發佈新應用程式之後的數據解構 | 識別新應用程式建立或發佈時的事件鏈結,並在 Dataverse 中大量更新或刪除事件後接在 1 小時內。 | 在建立或發佈Power App的1小時內,刪除Power Apps中的許多記錄。 如果應用程式發行者位於 TerminatedEmployees 監看列表範本中的使用者清單中,則會引發事件嚴重性。 資料來源: - Microsoft Power Platform 管理活動 (預覽) PowerPlatformAdminActivity- Microsoft Dataverse (預覽) DataverseActivity |
影響 |
| Power Apps - 啟動新應用程式之後存取惡意連結的多個使用者 | 識別建立新的 Power App 時的事件鏈結,後面接著下列事件: - 多個使用者在偵測視窗中啟動應用程式。 - 多個用戶開啟相同的惡意 URL。 此偵測會交叉將 Power Apps 執行記錄與下列任一來源的惡意 URL 選取事件相互關聯: - Microsoft 365 Defender 數據連接器或 - Microsoft Sentinel 威脅情報中的惡意 URL 指標與進階安全性資訊模型 (ASIM) Web 會話正規化剖析器。 此偵測會藉由建立查詢來取得啟動或選取惡意連結的用戶數目相異。 |
多個用戶啟動新的PowerApp,並從應用程式開啟已知的惡意URL。 資料來源: - Microsoft Power Platform 管理活動 (預覽) PowerPlatformAdminActivity- 威脅情報 ThreatIntelligenceIndicator- Microsoft Defender 全面偵測回應 UrlClickEvents |
初始存取 |
| Power Apps - 將 Power Apps 大量共用給新建立的來賓使用者 | 識別將Power Apps大量共用至新建立Microsoft Entra來賓使用者。 不尋常的大量共用是以查詢中預先定義的臨界值為基礎。 | 與多個外部用戶共享應用程式。 資料來源: - Microsoft Power Platform 管理活動 (預覽) PowerPlatformAdminActivity- Microsoft Entra 識別符AuditLogs |
資源開發, 初始存取, 橫向移動 |
Power Automate 規則
| 規則名稱 | 描述 | 來源動作 | 策略 |
|---|---|---|---|
| Power Automate - 離職員工流程活動 | 識別已收到通知或已終止之員工且位於 已終止員工 監看清單、建立或修改 Power Automate 流程的實例。 | TerminatedEmployees 監看清單中的使用者會建立或更新 Power Automate 流程。 資料來源: Microsoft Power Automate (預覽) PowerAutomateActivityTerminatedEmployees watchlist |
外泄,影響 |
| Power Automate - 異常大量刪除流程資源 | 識別大量刪除超過查詢中所定義的預先定義閾值的 Power Automate 流程,並偏離過去 14 天內觀察到的活動模式。 | 大量刪除Power Automate流程。 資料來源: - PowerAutomate PowerAutomateActivity |
衝擊 防禦規避 |
Power Platform 規則
| 規則名稱 | 描述 | 來源動作 | 策略 |
|---|---|---|---|
| Power Platform - 已新增至敏感性環境的連接器 | 識別在Power Platform 內建立新的API連接器,特別是針對預先定義的敏感性環境清單。 | 在敏感性 Power Platform 環境中新增 Power Platform 連接器。 資料來源: - Microsoft Power Platform 管理活動 (預覽) PowerPlatformAdminActivity |
執行、外洩 |
| Power Platform - DLP 原則已更新或移除 | 識別數據外洩防護原則的變更,特別是更新或移除的原則。 | 在 Power Platform 環境中更新或移除 Power Platform 數據外洩防護原則。 資料來源: Microsoft Power Platform 管理活動 (預覽) PowerPlatformAdminActivity |
防禦規避 |
| Power Platform - 可能遭入侵的使用者存取 Power Platform 服務 | 識別Microsoft Entra ID Protection 中標有風險的用戶帳戶,並將這些使用者與 Power Platform 中的登入活動相互關聯,包括 Power Apps、Power Automate 和 Power Platform 系統管理中心。 | 具有風險訊號的使用者會存取 Power Platform 入口網站。 資料來源: - Microsoft Entra 識別符 SigninLogs |
初始存取,橫向移動 |
| Power Platform - 已新增至特殊許可權Microsoft Entra 角色的帳戶 | 識別影響 Power Platform 之下列特殊權限目錄角色的變更: - Dynamics 365 系統管理員 - Power Platform Admins- Fabric 管理員 |
資料來源: AzureActiveDirectory AuditLogs |
PrivilegeEscalation |
搜捕查詢
解決方案包含分析人員可用來主動搜捕 Dynamics 365 和 Power Platform 環境中的惡意或可疑活動的搜捕查詢。
| 規則名稱 | 描述 | 資料來源 | 策略 |
|---|---|---|---|
| Dataverse - Microsoft Entra 警示之後的活動 | 此搜捕查詢會在該使用者的Microsoft Entra ID Protection 警示之後,尋找執行 Dataverse/Dynamics 365 活動的使用者。 查詢只會尋找之前未看到或執行先前未看到 Dynamics 活動的使用者。 |
- Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
InitialAccess |
| Dataverse - 登入失敗后的活動 | 此搜捕查詢會在許多失敗的登入后不久尋找執行 Dataverse/Dynamics 365 活動的使用者。 使用此查詢來搜尋潛在的暴力密碼破解活動。 根據誤判率調整臨界值圖。 |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
InitialAccess |
| Dataverse - 跨環境數據匯出活動 | 在預先決定的 Dataverse 實例數目之間搜尋數據導出活動。 跨多個環境的數據導出活動可能會指出可疑的活動,因為使用者通常只能在少數環境中運作。 |
- DataverseDataverseActivity |
外泄,集合 |
| Dataverse - 複製到 USB 裝置的 Dataverse 匯出 | 使用來自 Microsoft Defender 全面偵測回應 的數據來偵測從 Dataverse 實例下載並複製到 USB 磁碟驅動器的檔案。 | - DataverseDataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Exfiltration |
| Dataverse - 用來存取生產環境的一般用戶端應用程式 | 偵測使用內建的「Dynamics 365 範例應用程式」來存取生產環境。 此一般應用程式無法受限於Microsoft Entra ID 授權控件,而且可能會遭到濫用,以透過Web API取得未經授權的存取權。 |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
執行 |
| Dataverse - 特殊許可權目錄角色成員資格以外的身分識別管理活動 | 偵測帳戶 whthatich 所建立之 Dataverse/Dynamics 365 中的身分識別管理事件不是下列特殊許可權目錄角色的成員:Dynamics 365 Admins、Power Platform Admins 或 Global Admins | - DataverseDataverseActivity- UEBA IdentityInfo |
PrivilegeEscalation |
| Dataverse - 沒有 MFA 的身分識別管理變更 | 用來在 Dataverse 中顯示特殊許可權身分識別管理作業,這些帳戶是在不使用 MFA 的情況下登入的帳戶所建立。 | - DataverseDataverseActivity- AzureActiveDirectory SigninLogs, DataverseActivity |
InitialAccess |
| Power Apps - 將 Power 應用程式大量共用至新建立的來賓使用者 | 此查詢會偵測到對新建立的來賓用戶執行大量共用Power App的異常嘗試。 | 資料來源: PowerPlatformAdmin、AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess、LateralMovement、ResourceDevelopment |
劇本
此解決方案包含劇本,可用來將Microsoft Sentinel 中事件和警示的安全性回應自動化。
| 劇本名稱 | 描述 |
|---|---|
| 安全性工作流程:工作負載擁有者的警示驗證 | 此劇本可藉由將警示驗證卸除給IT系統管理員,以降低SOC的負擔,以取得特定的分析規則。 當產生Microsoft Sentinel 警示時,它會在工作負載擁有者的 Microsoft Teams 頻道中建立包含警示詳細數據的訊息(和相關通知電子郵件)。 如果工作負載擁有者響應活動未獲授權,警示將會轉換成Microsoft Sentinel 中的事件,供SOC處理。 |
| Dataverse:將通知傳送給管理員 | 引發Microsoft Sentinel 事件時,可以觸發此劇本,並且會自動傳送電子郵件通知給受影響用戶實體的管理員。 劇本可以設定為傳送至 Dynamics 365 管理員,或使用 Office 365 中的管理員。 |
| Dataverse:將使用者新增至封鎖清單(事件觸發程式) | 引發Microsoft Sentinel 事件時,可以觸發此劇本,並將受影響的用戶實體自動新增至預先定義的Microsoft Entra 群組,因而造成封鎖存取。 Microsoft Entra 群組會與條件式存取搭配使用,以封鎖登入 Dataverse。 |
| Dataverse:使用 Outlook 核准工作流程將使用者新增至封鎖清單 | 當引發Microsoft Sentinel 事件時,可以觸發此劇本,並且會自動使用 Outlook 核准工作流程,將受影響的用戶實體新增至預先定義的 Microsoft Entra 群組,進而封鎖存取。 Microsoft Entra 群組會與條件式存取搭配使用,以封鎖登入 Dataverse。 |
| Dataverse:使用Teams核准工作流程將使用者新增至封鎖清單 | 當引發Microsoft Sentinel 事件時,即可觸發此劇本,並且會自動使用Teams調適型卡片核准工作流程,將受影響的用戶實體新增至預先定義的 Microsoft Entra 群組,進而造成封鎖存取。 Microsoft Entra 群組會與條件式存取搭配使用,以封鎖登入 Dataverse。 |
| Dataverse:將使用者新增至封鎖清單(警示觸發程式) | 當引發Microsoft Sentinel 警示時,可以視需要觸發此劇本,讓分析師將受影響的用戶實體新增至預先定義的Microsoft Entra 群組,進而封鎖存取。 Microsoft Entra 群組會與條件式存取搭配使用,以封鎖登入 Dataverse。 |
| Dataverse:從封鎖清單移除使用者 | 引發Microsoft Sentinel 警示時,可以視需要觸發此劇本,讓分析師從用來封鎖存取的預先定義Microsoft Entra 群組中移除受影響的用戶實體。 Microsoft Entra 群組會與條件式存取搭配使用,以封鎖登入 Dataverse。 |
| Dataverse:將 SharePoint 網站新增至關注清單 | 此劇本可用來將新的或更新的 SharePoint 檔管理網站新增至組態監看清單。 與監視 Dataverse 活動記錄的排程分析規則結合時,此劇本會在新增 SharePoint 檔管理網站對應時觸發。 網站將會新增至監看清單,以擴充監視涵蓋範圍。 |
活頁簿
Microsoft Sentinel 活頁簿是可自定義的互動式儀錶板,Microsoft Sentinel,可協助分析師有效率地可視化、分析和調查安全性數據。 此解決方案包含 Dynamics 365 活動 活頁簿,該活頁簿呈現 Microsoft dynamics 365 Customer Engagement/ Dataverse 中活動的視覺表示法,包括記錄擷取統計數據和異常圖表。
關注清單
此解決方案包含 MSBizApps-Configuration 關注清單,並要求使用者根據下列關注清單範本建立其他關注清單:
- VIPUsers
- NetworkAddresses
- TerminatedEmployees
如需詳細資訊,請參閱 Microsoft Sentinel 和 建立監看清單中的監看清單。
內建剖析器
解決方案包含剖析器,可用來存取原始數據表中的數據。 剖析器可確保使用一致的架構傳回正確的數據。 我們建議您使用剖析器,而不是直接查詢監看清單。
| 剖析器 | 傳回的數據 | 查詢數據表 |
|---|---|---|
| MSBizAppsOrgSettings | Dynamics 365 Customer Engagement / Dataverse 中可用的組織範圍設定清單 | n/a |
| MSBizAppsVIPUsers | VIPUsers 關注清單的剖析器 | VIPUsers 從關注清單範本 |
| MSBizAppsNetworkAddresses | NetworkAddresses 關注清單的剖析器 | NetworkAddresses 從關注清單範本 |
| MSBizAppsTerminatedEmployees | TerminatedEmployees 監看清單的剖析器 | TerminatedEmployees 從關注清單範本 |
| DataverseSharePointSites | Dataverse 檔管理中使用的 SharePoint 網站 | MSBizApps-Configuration 依類別 『SharePoint』 篩選的 watchlist |
如需分析規則的詳細資訊,請參閱 偵測現用的威脅。