مرجع محتوى الأمان ل Microsoft Power Platform وMicrosoft Dynamics 365 Customer Engagement
توضح هذه المقالة تفاصيل محتوى الأمان المتوفر لحل Microsoft Sentinel ل Power Platform. لمزيد من المعلومات حول هذا الحل، راجع حل Microsoft Sentinel ل Microsoft Power Platform ونظرة عامة على Microsoft Dynamics 365 Customer Engagement.
هام
- حل Microsoft Sentinel ل Power Platform قيد المعاينة حاليا. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
- الحل هو عرض متميز. ستتوفر معلومات التسعير قبل أن يصبح الحل متاحا بشكل عام.
- قدم ملاحظات حول هذا الحل من خلال إكمال هذا الاستطلاع: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
قواعد التحليلات المدمجة
يتم تضمين القواعد التحليلية التالية عند تثبيت الحل ل Power Platform. تتضمن مصادر البيانات المدرجة اسم موصل البيانات والجدول في Log Analytics.
قواعد Dataverse
| اسم القاعدة | الوصف | الإجراء المصدر | الخطط |
|---|---|---|---|
| Dataverse - نشاط مستخدم التطبيق الشاذ | يحدد الحالات الشاذة في أنماط نشاط مستخدمي تطبيق Dataverse (غير التفاعلي)، استنادا إلى النشاط الذي يقع خارج النمط العادي للاستخدام. | نشاط مستخدم S2S غير عادي في Dynamics 365 / Dataverse. مصادر البيانات: - Dataverse DataverseActivity |
CredentialAccess, Execution, Persistence |
| Dataverse - حذف بيانات سجل التدقيق | يحدد نشاط حذف بيانات سجل التدقيق في Dataverse. | حذف سجلات تدقيق Dataverse. مصادر البيانات: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse - تعطيل تسجيل التدقيق | تحديد تغيير في تكوين تدقيق النظام حيث يتم إيقاف تشغيل تسجيل التدقيق. | تم تعطيل التدقيق على مستوى الكيان أو العمومي. مصادر البيانات: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse - إعادة تعيين ملكية السجل المجمع أو مشاركته | تحديد التغييرات في ملكية السجلات الفردية، بما في ذلك: - تسجيل المشاركة مع مستخدمين/فرق أخرى - إعادة تعيين الملكية التي تتجاوز عتبة محددة مسبقا. |
العديد من أحداث ملكية السجلات ومشاركة السجلات التي تم إنشاؤها داخل نافذة الكشف. مصادر البيانات: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse - قابل للتنفيذ تم تحميله إلى موقع إدارة مستندات SharePoint | يحدد الملفات والبرامج النصية القابلة للتنفيذ التي يتم تحميلها إلى مواقع SharePoint المستخدمة لإدارة مستندات Dynamics، مع التحايل على قيود ملحق الملف الأصلي في Dataverse. | تحميل الملفات القابلة للتنفيذ في إدارة مستندات Dataverse. مصادر البيانات: - Office365 OfficeActivity (SharePoint) |
التنفيذ، الثبات |
| Dataverse - تصدير النشاط من موظف تم إنهاؤه أو إعلامه | يحدد نشاط تصدير Dataverse الذي تم تشغيله بواسطة إنهاء الموظفين أو الموظفين على وشك مغادرة المؤسسة. | أحداث تصدير البيانات المقترنة بالمستخدمين في قالب قائمة المشاهدة TerminatedEmployees . مصادر البيانات: - Dataverse DataverseActivity |
النقل غير المصرَّح به |
| Dataverse - تسرب المستخدم الضيف بعد ضعف دفاع Power Platform | تحديد سلسلة من الأحداث بدءا من تعطيل عزل المستأجر في Power Platform وإزالة مجموعة أمان الوصول الخاصة بالبيئة. ترتبط هذه الأحداث بتنبيهات النقل غير المصرح ل Dataverse المقترنة بالبيئة المتأثرة ومستخدمي Microsoft Entra الضيوف الذين تم إنشاؤهم مؤخرا. تنشيط قواعد تحليلات Dataverse الأخرى باستخدام تكتيك MITRE النقل غير المصرح به قبل تمكين هذه القاعدة. |
كمستخدم ضيف تم إنشاؤه مؤخرا، قم بتشغيل تنبيهات النقل غير المصرح ل Dataverse بعد تعطيل عناصر تحكم أمان Power Platform. مصادر البيانات: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity |
التهرب الدفاعي |
| Dataverse - معالجة أمان التسلسل الهرمي | تحديد السلوكيات المشبوهة في أمان التسلسل الهرمي. | التغييرات على خصائص الأمان بما في ذلك: - تم تعطيل أمان التسلسل الهرمي. - يعين المستخدم نفسه كمدير. - يعين المستخدم نفسه إلى موضع مراقب (تم تعيينه في KQL). مصادر البيانات: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse - نشاط مثيل Honeypot | يحدد الأنشطة في مثيل Honeypot Dataverse معرف مسبقا. ينبه إما عند اكتشاف تسجيل الدخول إلى Honeypot أو عند الوصول إلى جداول Dataverse المراقبة في Honeypot. |
تسجيل الدخول والوصول إلى البيانات في مثيل Honeypot Dataverse معين في Power Platform مع تمكين التدقيق. مصادر البيانات: - Dataverse DataverseActivity |
الاكتشاف، النقل غير المصرح به |
| Dataverse - تسجيل الدخول من قبل مستخدم متميز حساس | يحدد عمليات تسجيل الدخول إلى Dataverse وDynamics 365 من قبل المستخدمين الحساسين. | تسجيل الدخول من قبل المستخدمين الذين تمت إضافتهم إلى قائمة مشاهدة VIPUsers استنادا إلى العلامات التي تم تعيينها داخل KQL. مصادر البيانات: - Dataverse DataverseActivity |
InitialAccess و CredentialAccess و PrivilegeEscalation |
| Dataverse - تسجيل الدخول من IP في قائمة الحظر | يعرف نشاط تسجيل الدخول إلى Dataverse من عناوين IPv4 الموجودة في قائمة حظر محددة مسبقا. | تسجيل الدخول من قبل مستخدم بعنوان IP الذي يعد جزءا من نطاق شبكة محظور. يتم الاحتفاظ لنطاقات الشبكة المحظورة في قالب قائمة مشاهدة NetworkAddresses . مصادر البيانات: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse - تسجيل الدخول من IP غير موجود في قائمة السماح | يحدد عمليات تسجيل الدخول من عناوين IPv4 التي لا تتطابق مع الشبكات الفرعية IPv4 التي يتم الاحتفاظ بها في قائمة السماح. | تسجيل الدخول من قبل مستخدم بعنوان IP ليس جزءا من نطاق شبكة مسموح به. يتم الاحتفاظ لنطاقات الشبكة المحظورة في قالب قائمة مشاهدة NetworkAddresses . مصادر البيانات: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse - البرامج الضارة الموجودة في موقع إدارة مستندات SharePoint | تحديد البرامج الضارة التي تم تحميلها عبر إدارة مستندات Dynamics 365 أو مباشرة في SharePoint، مما يؤثر على مواقع SharePoint المقترنة ب Dataverse. | ملف ضار في موقع SharePoint مرتبط ب Dataverse. مصادر البيانات: - Dataverse DataverseActivity- Office365 OfficeActivity (SharePoint) |
التنفيذ |
| Dataverse - الحذف الجماعي للسجلات | تحديد عمليات حذف السجلات واسعة النطاق استنادا إلى حد محدد مسبقا. يكتشف أيضا مهام الحذف المجمع المجدولة. |
تجاوز حذف السجلات الحد المحدد في KQL. مصادر البيانات: - Dataverse DataverseActivity |
تأثير |
| Dataverse - تنزيل جماعي من إدارة مستندات SharePoint | تحديد التنزيل الجماعي في الساعة الأخيرة من الملفات من مواقع SharePoint التي تم تكوينها لإدارة المستندات في Dynamics 365. | تجاوز التنزيل الجماعي الحد المحدد في KQL. تستخدم قاعدة التحليلات هذه قائمة مراقبة MSBizApps-Configuration لتحديد مواقع SharePoint المستخدمة لإدارة المستندات. مصادر البيانات: - Office365 OfficeActivity (SharePoint) |
النقل غير المصرَّح به |
| Dataverse - التصدير الجماعي للسجلات إلى Excel | تعريف المستخدمين الذين يقومون بتصدير عدد كبير من السجلات من Dynamics 365 إلى Excel، حيث يكون عدد السجلات المصدرة أكثر بكثير من أي نشاط حديث آخر قام به هذا المستخدم. يتم تحديد عمليات التصدير الكبيرة من المستخدمين الذين ليس لديهم نشاط حديث باستخدام حد محدد مسبقا. |
تصدير العديد من السجلات من Dataverse إلى Excel. مصادر البيانات: - Dataverse DataverseActivity |
النقل غير المصرَّح به |
| Dataverse - تحديثات السجلات الجماعية | يكتشف تغييرات تحديث السجلات الجماعية في Dataverse وDynamics 365، متجاوزا حدا محددا مسبقا. | يتجاوز التحديث الجماعي للسجلات الحد المحدد في KQL. مصادر البيانات: - Dataverse DataverseActivity |
تأثير |
| Dataverse - نوع نشاط مستخدم تطبيق Dataverse جديد | تحديد أنواع الأنشطة الجديدة أو غير المرئية سابقا المقترنة بمستخدم تطبيق Dataverse (غير تفاعلي). | أنواع نشاط مستخدم S2S جديدة. مصادر البيانات: - Dataverse DataverseActivity |
CredentialAccess, Execution, PrivilegeEscalation |
| Dataverse - الهوية الجديدة غير التفاعلية الممنوحة للوصول | يحدد منح الوصول على مستوى واجهة برمجة التطبيقات، إما عبر الأذونات المفوضة لتطبيق Microsoft Entra أو عن طريق التعيين المباشر داخل Dataverse كمستخدم تطبيق. | تمت إضافة أذونات Dataverse إلى مستخدم غير تفاعلي. مصادر البيانات: - Dataverse DataverseActivity,- AzureActiveDirectory AuditLogs |
الثبات، والتحجيم الجانبي، والتحجيم المتميز |
| Dataverse - تسجيل دخول جديد من مجال غير مصرح به | يحدد نشاط تسجيل الدخول إلى Dataverse الذي ينشأ من المستخدمين الذين لديهم لاحقات UPN لم يتم رؤيتها مسبقا في آخر 14 يوما، وغير موجودة في قائمة محددة مسبقا من المجالات المعتمدة. يتم استبعاد مستخدمي نظام Power Platform الداخلي الشائعين بشكل افتراضي. |
تسجيل الدخول من قبل مستخدم خارجي من لاحقة مجال غير مصرح بها. مصادر البيانات: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse - نوع عامل مستخدم جديد لم يتم استخدامه من قبل | تحديد المستخدمين الذين يصلون إلى Dataverse من عامل مستخدم لم يتم رؤيته في أي مثيل Dataverse في آخر 14 يوما. | النشاط في Dataverse من عامل مستخدم جديد. مصادر البيانات: - Dataverse DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse - نوع عامل مستخدم جديد لم يتم استخدامه مع Office 365 | تحديد المستخدمين الذين يصلون إلى Dynamics باستخدام عامل مستخدم لم يتم رؤيته في أي من أحمال عمل Office 365 في آخر 14 يوما. | النشاط في Dataverse من عامل مستخدم جديد. مصادر البيانات: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse - تم تعديل إعدادات المؤسسة | يحدد التغييرات التي تم إجراؤها على مستوى المؤسسة في بيئة Dataverse. | تم تعديل خاصية مستوى المؤسسة في Dataverse. مصادر البيانات: - Dataverse DataverseActivity |
استمرار |
| Dataverse - إزالة ملحقات الملفات المحظورة | يحدد التعديلات على ملحقات الملفات المحظورة الخاصة بالبيئة ويستخرج الملحق الذي تمت إزالته. | إزالة ملحقات الملفات المحظورة في خصائص Dataverse. مصادر البيانات: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse - تمت إضافة موقع إدارة مستندات SharePoint أو تحديثه | تحديد تعديلات تكامل إدارة مستندات SharePoint. تسمح إدارة المستندات بتخزين البيانات الموجودة خارجيا في Dataverse. اجمع قاعدة التحليلات هذه مع Dataverse: إضافة مواقع SharePoint إلى دليل مبادئ قائمة المشاهدة لتحديث قائمة مشاهدة Dataverse-SharePointSites تلقائيا. يمكن استخدام قائمة المشاهدة هذه لربط الأحداث بين Dataverse وSharePoint عند استخدام موصل بيانات Office 365. |
تمت إضافة تعيين موقع SharePoint في إدارة المستندات. مصادر البيانات: - Dataverse DataverseActivity |
النقل غير المصرَّح به |
| Dataverse - تعديلات دور الأمان المشبوهة | يحدد نمطا غير عادي من الأحداث حيث يتم إنشاء دور جديد، متبوعا بالمنشئ بإضافة أعضاء إلى الدور ثم إزالة العضو لاحقا أو حذف الدور بعد فترة زمنية قصيرة. | التغييرات في أدوار الأمان وتعيينات الأدوار. مصادر البيانات: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse - الاستخدام المشبوه لنقطة نهاية TDS | تعريف الاستعلامات المستندة إلى بروتوكول Dataverse TDS (جدولي دفق البيانات)، حيث يحتوي المستخدم المصدر أو عنوان IP على تنبيهات أمان حديثة ولم يتم استخدام بروتوكول TDS مسبقا في البيئة المستهدفة. | الاستخدام المفاجئ لنقطة نهاية TDS في ارتباط مع تنبيهات الأمان. مصادر البيانات: - Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
Exfiltration, InitialAccess |
| Dataverse - الاستخدام المشبوه لواجهة برمجة تطبيقات الويب | تحديد عمليات تسجيل الدخول عبر بيئات Dataverse متعددة تخرق عتبة محددة مسبقا وتنشأ من مستخدم له عنوان IP تم استخدامه لتسجيل الدخول إلى تسجيل تطبيق Microsoft Entra معروف. | تسجيل الدخول باستخدام WebAPI عبر بيئات متعددة باستخدام معرف تطبيق عام معروف. مصادر البيانات: - Dataverse DataverseActivity- AzureActiveDirectory SigninLogs |
التنفيذ، النقل غير المصرح به، الاستكشاف، الاكتشاف |
| Dataverse - TI تعيين IP إلى DataverseActivity | تحديد تطابق في DataverseActivity من أي IP IOC من Microsoft Sentinel Threat Intelligence. | نشاط Dataverse مع IOC مطابقة IP. مصادر البيانات: - Dataverse DataverseActivityمعلومات التهديد ThreatIntelligenceIndicator |
InitialAccess, LateralMovement, Discovery |
| Dataverse - TI map URL إلى DataverseActivity | تعريف تطابق في DataverseActivity من أي عنوان URL IOC من Microsoft Sentinel Threat Intelligence. | نشاط Dataverse مع عنوان URL المطابق ل IOC. مصادر البيانات: - Dataverse DataverseActivityمعلومات التهديد ThreatIntelligenceIndicator |
InitialAccess, Execution, Persistence |
| Dataverse - تم إنهاء النقل غير المصرح به للموظف عبر البريد الإلكتروني | تعريف النقل غير المصرح به ل Dataverse عبر البريد الإلكتروني من قبل الموظفين المنهيين. | ترتبط رسائل البريد الإلكتروني المرسلة إلى مجالات المستلمين غير الموثوق بها بعد تنبيهات الأمان بالمستخدمين في قائمة المشاهدة TerminatedEmployees . مصادر البيانات: MicrosoftThreatProtection EmailEventsIdentityInfo- AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
النقل غير المصرَّح به |
| Dataverse - تم إنهاء نقل الموظف إلى محرك أقراص USB | يحدد الملفات التي تم تنزيلها من Dataverse عن طريق الموظفين المغادرين أو المنتهيين، ويتم نسخها إلى محركات أقراص USB المثبتة. | الملفات التي تنشأ من Dataverse تم نسخها إلى USB بواسطة مستخدم على قائمة المشاهدة TerminatedEmployees . مصادر البيانات: - Dataverse DataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
النقل غير المصرَّح به |
| Dataverse - تسجيل الدخول غير العادي بعد تعطيل حماية ربط ملفات تعريف الارتباط المستندة إلى عنوان IP | يحدد IP ووكلاء المستخدم غير المرئيين مسبقا في مثيل Dataverse بعد تعطيل حماية ربط ملفات تعريف الارتباط. لمزيد من المعلومات، راجع حماية جلسات عمل Dataverse باستخدام ربط ملفات تعريف ارتباط IP. |
نشاط تسجيل الدخول الجديد. مصادر البيانات: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse - استرداد المستخدم المجمع خارج النشاط العادي | يحدد المستخدمين الذين يقومون باسترداد سجلات أكثر بكثير من Dataverse مما كانوا عليه في الأسبوعين الماضيين. | يسترد المستخدم العديد من السجلات من Dataverse بما في ذلك حد KQL المحدد. مصادر البيانات: - Dataverse DataverseActivity |
النقل غير المصرَّح به |
قواعد Power Apps
| اسم القاعدة | الوصف | الإجراء المصدر | الخطط |
|---|---|---|---|
| Power Apps - نشاط التطبيق من الموقع الجغرافي غير المصرح به | يحدد نشاط Power Apps من المناطق الجغرافية في قائمة محددة مسبقا من المناطق الجغرافية غير المصرح بها. يحصل هذا الكشف على قائمة رموز البلد ISO 3166-1 alpha-2 من منصة الاستعراض عبر الإنترنت ISO (OBP). يستخدم هذا الكشف السجلات التي تم تناولها من معرف Microsoft Entra ويتطلب أيضا تمكين موصل بيانات معرف Microsoft Entra. |
قم بتشغيل نشاط في Power App من منطقة جغرافية مدرجة في قائمة رمز البلد غير المصرح به. مصادر البيانات: - نشاط مسؤول Microsoft Power Platform (معاينة) PowerPlatformAdminActivity- معرف Microsoft Entra SigninLogs |
الوصول الأولي |
| Power Apps - تم حذف تطبيقات متعددة | يحدد نشاط الحذف الجماعي حيث يتم حذف تطبيقات Power Apps متعددة، مع مطابقة حد محدد مسبقا لإجمالي التطبيقات المحذوفة أو الأحداث المحذوفة للتطبيق عبر بيئات Power Platform متعددة. | احذف العديد من Power Apps من مركز إدارة Power Platform. مصادر البيانات: - نشاط مسؤول Microsoft Power Platform (معاينة) PowerPlatformAdminActivity |
تأثير |
| Power Apps - تدمير البيانات بعد نشر تطبيق جديد | يحدد سلسلة من الأحداث عند إنشاء تطبيق جديد أو نشره ويتبعه حدث تحديث شامل أو حذفه في Dataverse في غضون ساعة واحدة. | احذف العديد من السجلات في Power Apps في غضون ساعة واحدة من إنشاء Power App أو نشره. إذا كان ناشر التطبيق على قائمة المستخدمين في قالب قائمة المشاهدة TerminatedEmployees ، يتم رفع خطورة الحادث. مصادر البيانات: - نشاط مسؤول Microsoft Power Platform (معاينة) PowerPlatformAdminActivity- Microsoft Dataverse (معاينة) DataverseActivity |
تأثير |
| Power Apps - وصول عدة مستخدمين إلى ارتباط ضار بعد بدء تشغيل تطبيق جديد | يحدد سلسلة من الأحداث عند إنشاء Power App جديد ويتبعه هذه الأحداث: - يقوم العديد من المستخدمين بتشغيل التطبيق داخل نافذة الكشف. - يفتح عدة مستخدمين نفس عنوان URL الضار. يرتبط هذا الكشف عبر سجلات تنفيذ Power Apps بأحداث تحديد URL الضارة من أي من المصادر التالية: - موصل بيانات Microsoft 365 Defender أو - مؤشرات URL الضارة للتسوية (IOC) في Microsoft Sentinel Threat Intelligence مع محلل تسوية جلسة عمل نموذج معلومات الأمان المتقدم (ASIM). يحصل هذا الكشف على العدد المميز للمستخدمين الذين يقومون بتشغيل الارتباط الضار أو تحديده عن طريق إنشاء استعلام. |
يقوم العديد من المستخدمين بتشغيل PowerApp جديد وفتح عنوان URL ضار معروف من التطبيق. مصادر البيانات: - نشاط مسؤول Microsoft Power Platform (معاينة) PowerPlatformAdminActivity- التحليل الذكي للمخاطر ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
الوصول الأولي |
| Power Apps - المشاركة المجمعة ل Power Apps للمستخدمين الضيوف الذين تم إنشاؤهم حديثا | تحديد المشاركة المجمعة غير العادية ل Power Apps لمستخدمي Microsoft Entra الضيوف الذين تم إنشاؤهم حديثا. تستند المشاركة المجمعة غير العادية إلى حد محدد مسبقا في الاستعلام. | مشاركة تطبيق مع عدة مستخدمين خارجيين. مصادر البيانات: - نشاط مسؤول Microsoft Power Platform (معاينة) PowerPlatformAdminActivity- معرف Microsoft EntraAuditLogs |
تطوير الموارد، الوصول الأولي، الحركة الجانبيَة |
قواعد Power Automate
| اسم القاعدة | الوصف | الإجراء المصدر | الخطط |
|---|---|---|---|
| Power Automate - نشاط تدفق الموظفين المغادر | يحدد المثيلات التي يتم فيها إعلام موظف أو تم إنهاؤه بالفعل، وهو في قائمة مراقبة "الموظفين المنهيين "، أو يقوم بإنشاء تدفق Power Automate أو تعديله. | يقوم المستخدم المعرف في قائمة المشاهدة TerminatedEmployees بإنشاء تدفق Power Automate أو تحديثه. مصادر البيانات: Microsoft Power Automate (معاينة) PowerAutomateActivityقائمة مراقبة TerminatedEmployees |
النقل غير المصرح به، التأثير |
| Power Automate - الحذف المجمع غير العادي لموارد التدفق | يحدد الحذف المجمع لتدفقات Power Automate التي تتجاوز عتبة محددة مسبقا محددة في الاستعلام، وتحيد عن أنماط النشاط التي تمت ملاحظتها في آخر 14 يوما. | الحذف المجمع لتدفقات Power Automate. مصادر البيانات: - PowerAutomate PowerAutomateActivity |
تأثير التهرب الدفاعي |
قواعد Power Platform
| اسم القاعدة | الوصف | الإجراء المصدر | الخطط |
|---|---|---|---|
| Power Platform - تمت إضافة الموصل إلى بيئة حساسة | يحدد إنشاء موصلات API جديدة داخل Power Platform، تستهدف على وجه التحديد قائمة محددة مسبقا من البيئات الحساسة. | إضافة موصل Power Platform جديد في بيئة Power Platform حساسة. مصادر البيانات: - نشاط مسؤول Microsoft Power Platform (معاينة) PowerPlatformAdminActivity |
التنفيذ، النقل غير المصرح به |
| Power Platform - تم تحديث نهج DLP أو إزالته | تحديد التغييرات في نهج منع فقدان البيانات، وتحديدا النهج التي يتم تحديثها أو إزالتها. | تحديث نهج منع فقدان بيانات Power Platform أو إزالته في بيئة Power Platform. مصادر البيانات: نشاط مسؤول Microsoft Power Platform (معاينة) PowerPlatformAdminActivity |
التهرب الدفاعي |
| Power Platform - من المحتمل أن يصل المستخدم المخترق إلى خدمات Power Platform | يحدد حسابات المستخدمين التي تم وضع علامة عليها في خطر في Microsoft Entra ID Protection ويربط هؤلاء المستخدمين بنشاط تسجيل الدخول في Power Platform، بما في ذلك Power Apps وPower Automate ومركز إدارة Power Platform. | يصل المستخدم الذي له إشارات مخاطر إلى مداخل Power Platform. مصادر البيانات: - معرف Microsoft Entra SigninLogs |
الوصول الأولي، الحركة الجانبية |
| Power Platform - الحساب المضاف إلى أدوار Microsoft Entra المتميزة | يحدد التغييرات التي تطرأ على أدوار الدليل المميز التالية التي تؤثر على Power Platform: - مسؤولي Dynamics 365 - مسؤولو Power Platform - مسؤولو Fabric |
مصادر البيانات: AzureActiveDirectory AuditLogs |
PrivilegeEscalation |
باستعلامات الاصطياد
يتضمن الحل استعلامات التتبع التي يمكن استخدامها من قبل المحللين لتتبع النشاط الضار أو المشبوه بشكل استباقي في بيئات Dynamics 365 وPower Platform.
| اسم القاعدة | الوصف | مصدر البيانات | الخطط |
|---|---|---|---|
| Dataverse - النشاط بعد تنبيهات Microsoft Entra | يبحث استعلام التتبع هذا عن المستخدمين الذين يقومون بنشاط Dataverse/Dynamics 365 بعد وقت قصير من تنبيه Microsoft Entra ID Protection لهذا المستخدم. يبحث الاستعلام فقط عن المستخدمين الذين لم يتم رؤيتهم من قبل أو إجراء نشاط Dynamics لم يتم رؤيته مسبقا. |
- Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
InitialAccess |
| Dataverse - النشاط بعد فشل عمليات تسجيل الدخول | يبحث استعلام التتبع هذا عن المستخدمين الذين يقومون بنشاط Dataverse/Dynamics 365 بعد وقت قصير من فشل العديد من عمليات تسجيل الدخول. استخدم هذا الاستعلام للبحث عن نشاط القوة الغاشمة المحتملة. اضبط رقم الحد استنادا إلى المعدل الإيجابي الزائف. |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
InitialAccess |
| Dataverse - نشاط تصدير البيانات عبر البيئة | البحث عن نشاط تصدير البيانات عبر عدد محدد مسبقا من مثيلات Dataverse. يمكن أن يشير نشاط تصدير البيانات عبر بيئات متعددة إلى نشاط مشبوه حيث يعمل المستخدمون عادة على بيئات قليلة فقط. |
- DataverseDataverseActivity |
الاختراق، المجموعة |
| Dataverse - تصدير Dataverse المنسخ إلى أجهزة USB | يستخدم البيانات من Microsoft Defender XDR للكشف عن الملفات التي تم تنزيلها من مثيل Dataverse ونسخها إلى محرك أقراص USB. | - DataverseDataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
النقل غير المصرَّح به |
| Dataverse - تطبيق عميل عام يستخدم للوصول إلى بيئات الإنتاج | يكتشف استخدام "تطبيق Dynamics 365 المثال" المضمن للوصول إلى بيئات الإنتاج. لا يمكن تقييد هذا التطبيق العام بواسطة عناصر تحكم تخويل معرف Microsoft Entra ويمكن إساءة استخدامه للحصول على وصول غير مصرح به عبر واجهة برمجة تطبيقات الويب. |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
التنفيذ |
| Dataverse - نشاط إدارة الهوية خارج عضوية دور الدليل المتميز | الكشف عن أحداث إدارة الهوية في Dataverse/Dynamics 365 التي تم إجراؤها بواسطة حسابات whthatich ليست أعضاء في أدوار الدليل المميز التالية: مسؤولي Dynamics 365 أو مسؤولي Power Platform أو المسؤولين العموميين | - DataverseDataverseActivity- UEBA IdentityInfo |
PrivilegeEscalation |
| Dataverse - تغييرات إدارة الهوية دون مصادقة متعددة العوامل (MFA) | يستخدم لإظهار عمليات إدارة الهوية المتميزة في Dataverse التي تم إجراؤها بواسطة حسابات سجلت الدخول دون استخدام المصادقة متعددة العوامل. | - DataverseDataverseActivity- AzureActiveDirectory SigninLogs, DataverseActivity |
InitialAccess |
| Power Apps - المشاركة المجمعة الشاذة ل Power App للمستخدمين الضيوف الذين تم إنشاؤهم حديثا | يكشف الاستعلام عن محاولات شاذة لإجراء مشاركة مجمعة من Power App للمستخدمين الضيوف الذين تم إنشاؤهم حديثا. |
مصادر البيانات: PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess, LateralMovement, ResourceDevelopment |
أدلة التشغيل
يحتوي هذا الحل على أدلة المبادئ التي يمكن استخدامها لأتمتة الاستجابة الأمنية للحوادث والتنبيهات في Microsoft Sentinel.
| اسم دليل المبادئ | الوصف |
|---|---|
| سير عمل الأمان: التحقق من التنبيه مع مالكي حمل العمل | يمكن أن يقلل دليل المبادئ هذا من العبء على SOC عن طريق إلغاء تحميل التحقق من التنبيه لمسؤولي تكنولوجيا المعلومات لقواعد تحليلات محددة. يتم تشغيله عند إنشاء تنبيه Microsoft Sentinel، وإنشاء رسالة (والبريد الإلكتروني للإعلام المرتبط به) في قناة Microsoft Teams لمالك حمل العمل التي تحتوي على تفاصيل التنبيه. إذا استجاب مالك حمل العمل بأن النشاط غير مصرح به، تحويل التنبيه إلى حدث في Microsoft Sentinel لكي يقوم SOC بمعالجته. |
| Dataverse: إرسال إعلام إلى المدير | يمكن تشغيل دليل المبادئ هذا عند رفع حدث Microsoft Sentinel وسيرسل تلقائيا إشعارا عبر البريد الإلكتروني إلى مدير كيانات المستخدم المتأثرة. يمكن تكوين Playbook لإرسال إما إلى مدير Dynamics 365 أو باستخدام المدير في Office 365. |
| Dataverse: إضافة مستخدم إلى قائمة الحظر (مشغل الحادث) | يمكن تشغيل دليل المبادئ هذا عند رفع حدث Microsoft Sentinel وسيضيف تلقائيا كيانات المستخدم المتأثرة إلى مجموعة Microsoft Entra محددة مسبقا، ما يؤدي إلى حظر الوصول. يتم استخدام مجموعة Microsoft Entra مع الوصول المشروط لحظر تسجيل الدخول إلى Dataverse. |
| Dataverse: إضافة مستخدم إلى قائمة الحظر باستخدام سير عمل الموافقة على Outlook | يمكن تشغيل دليل المبادئ هذا عند رفع حدث Microsoft Sentinel وسيضيف تلقائيا كيانات المستخدم المتأثرة إلى مجموعة Microsoft Entra محددة مسبقا، باستخدام سير عمل الموافقة المستند إلى Outlook، ما يؤدي إلى حظر الوصول. يتم استخدام مجموعة Microsoft Entra مع الوصول المشروط لحظر تسجيل الدخول إلى Dataverse. |
| Dataverse: إضافة مستخدم إلى قائمة الحظر باستخدام سير عمل الموافقة على Teams | يمكن تشغيل دليل المبادئ هذا عند رفع حدث Microsoft Sentinel وسيضيف تلقائيا كيانات المستخدم المتأثرة إلى مجموعة Microsoft Entra محددة مسبقا، باستخدام سير عمل الموافقة على بطاقة Teams التكيفية، ما يؤدي إلى حظر الوصول. يتم استخدام مجموعة Microsoft Entra مع الوصول المشروط لحظر تسجيل الدخول إلى Dataverse. |
| Dataverse: إضافة مستخدم إلى قائمة الحظر (مشغل التنبيه) | يمكن تشغيل دليل المبادئ هذا عند الطلب عند رفع تنبيه Microsoft Sentinel، ما يسمح للمحلل بإضافة كيانات المستخدم المتأثرة إلى مجموعة Microsoft Entra محددة مسبقا، ما يؤدي إلى حظر الوصول. يتم استخدام مجموعة Microsoft Entra مع الوصول المشروط لحظر تسجيل الدخول إلى Dataverse. |
| Dataverse: إزالة المستخدم من قائمة الحظر | يمكن تشغيل دليل المبادئ هذا عند الطلب عند رفع تنبيه Microsoft Sentinel، ما يسمح للمحلل بإزالة كيانات المستخدم المتأثرة من مجموعة Microsoft Entra محددة مسبقا تستخدم لحظر الوصول. يتم استخدام مجموعة Microsoft Entra مع الوصول المشروط لحظر تسجيل الدخول إلى Dataverse. |
| Dataverse: إضافة مواقع SharePoint إلى قائمة المشاهدة | يستخدم دليل المبادئ هذا لإضافة مواقع إدارة مستندات SharePoint جديدة أو محدثة إلى قائمة مراقبة التكوين. عند دمجه مع قاعدة تحليلات مجدولة تراقب سجل نشاط Dataverse، سيتم تشغيل Playbook هذا عند إضافة تعيين موقع جديد لإدارة مستندات SharePoint. وسيضاف الموقع إلى قائمة مراقبة لتوسيع نطاق تغطية المراقبة. |
مصنفات
تعد مصنفات Microsoft Sentinel لوحات معلومات تفاعلية قابلة للتخصيص داخل Microsoft Sentinel تسهل التصور والتحليل والتحقيق الفعالين لبيانات الأمان من قبل المحللين. يتضمن هذا الحل مصنف Dynamics 365 Activity ، الذي يقدم تمثيلا مرئيا للنشاط في Microsoft Dynamics 365 Customer Engagement / Dataverse، بما في ذلك إحصائيات استرداد السجلات ومخطط الشذوذ.
قوائم المشاهدة
يتضمن هذا الحل قائمة مراقبة MSBizApps-Configuration ، ويتطلب من المستخدمين إنشاء قوائم مشاهدة إضافية استنادا إلى قوالب قائمة المشاهدة التالية:
- VIPUsers
- عناوين الشبكة
- القوالب المنهية
لمزيد من المعلومات، راجع قوائم المشاهدة في Microsoft Sentinel وإنشاء قوائم مشاهدة.
محللات مدمجة
يتضمن الحل المحللات المستخدمة للوصول إلى البيانات من جداول البيانات الأولية. تضمن المحللات إرجاع البيانات الصحيحة بمخطط متناسق. نوصي باستخدام المحللات بدلا من الاستعلام مباشرة عن قوائم المشاهدة.
| المحلل | البيانات التي تم إرجاعها | تم الاستعلام عن الجدول |
|---|---|---|
| MSBizAppsOrgSettings | قائمة بالإعدادات المتاحة على مستوى المؤسسة المتوفرة في Dynamics 365 Customer Engagement / Dataverse | غير متوفر |
| MSBizAppsVIPUsers | محلل لقائمة مشاهدة VIPUsers |
VIPUsers من قالب قائمة المشاهدة |
| MSBizAppsNetworkAddresses | محلل لقائمة مراقبة NetworkAddresses |
NetworkAddresses من قالب قائمة المشاهدة |
| MSBizAppsTerminatedEmployees | محلل لقائمة المشاهدة TerminatedEmployees |
TerminatedEmployees من قالب قائمة المشاهدة |
| DataverseSharePointSites | مواقع SharePoint المستخدمة في إدارة مستندات Dataverse |
MSBizApps-Configuration قائمة مشاهدة تمت تصفيتها حسب الفئة "SharePoint" |
لمزيد من المعلومات حول القواعد التحليلية، راجع الكشف عن التهديدات الجاهزة.