حل Microsoft Sentinel ل Microsoft Power Platform: مرجع محتوى الأمان
توضح هذه المقالة تفاصيل محتوى الأمان المتوفر لحل Microsoft Sentinel ل Power Platform. لمزيد من المعلومات حول هذا الحل، راجع حل Microsoft Sentinel لنظرة عامة على Microsoft Power Platform.
هام
- حل Microsoft Sentinel ل Power Platform قيد المعاينة حاليا. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
- الحل هو عرض متميز. ستتوفر معلومات التسعير قبل أن يصبح الحل متاحا بشكل عام.
- قدم ملاحظات حول هذا الحل من خلال إكمال هذا الاستطلاع: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
قواعد التحليلات المدمجة
يتم تضمين القواعد التحليلية التالية عند تثبيت الحل ل Power Platform. تتضمن مصادر البيانات المدرجة اسم موصل البيانات والجدول في Log Analytics. لتجنب فقدان البيانات في مصادر المخزون، نوصي بعدم تغيير فترة البحث الافتراضية المحددة في قوالب القواعد التحليلية.
اسم القاعدة | الوصف | الإجراء المصدر | الخطط |
---|---|---|---|
PowerApps - نشاط التطبيق من الموقع الجغرافي غير المصرح به | يحدد نشاط Power Apps من البلدان في قائمة محددة مسبقا من البلدان غير المصرح بها. احصل على قائمة رموز البلد ISO 3166-1 alpha-2 من منصة الاستعراض عبر الإنترنت ISO (OBP). يستخدم هذا الكشف السجلات التي تم تناولها من معرف Microsoft Entra ويتطلب أيضا تمكين موصل بيانات معرف Microsoft Entra. |
قم بتشغيل نشاط في Power App من بلد موجود في قائمة رمز البلد غير المصرح به. مصادر البيانات: - مخزون Power Platform (باستخدام Azure Functions) InventoryApps InventoryEnvironments - نشاط مسؤول Microsoft Power Platform (معاينة) PowerPlatformAdminActivity - معرف Microsoft Entra SigninLogs |
الوصول الأولي |
PowerApps - تم حذف تطبيقات متعددة | يحدد نشاط الحذف الجماعي حيث يتم حذف تطبيقات Power Apps متعددة، مع مطابقة حد محدد مسبقا لإجمالي التطبيقات المحذوفة أو الأحداث المحذوفة للتطبيق عبر بيئات Power Platform متعددة. | احذف العديد من Power Apps من مركز إدارة Power Platform. مصادر البيانات: - مخزون Power Platform (باستخدام Azure Functions) InventoryApps InventoryEnvironments - نشاط مسؤول Microsoft Power Platform (معاينة) PowerPlatformAdminActivity |
تأثير |
PowerApps - تدمير البيانات بعد نشر تطبيق جديد | يحدد سلسلة من الأحداث عند إنشاء تطبيق جديد أو نشره ويتم متابعته في غضون ساعة واحدة بواسطة التحديث الجماعي أو حذف الأحداث في Dataverse. إذا كان ناشر التطبيق على قائمة المستخدمين في قالب قائمة المشاهدة TerminatedEmployees ، يتم رفع خطورة الحادث. | احذف عددا من السجلات في Power Apps في غضون ساعة واحدة من إنشاء Power App أو نشره. مصادر البيانات: - مخزون Power Platform (باستخدام Azure Functions) InventoryApps InventoryEnvironments - نشاط مسؤول Microsoft Power Platform (معاينة) PowerPlatformAdminActivity - Microsoft Dataverse (معاينة) DataverseActivity |
تأثير |
PowerApps - وصول عدة مستخدمين إلى ارتباط ضار بعد بدء تشغيل تطبيق جديد | يحدد سلسلة من الأحداث عند إنشاء Power App جديد ويتبعه هذه الأحداث: - يقوم العديد من المستخدمين بتشغيل التطبيق داخل نافذة الكشف. - يفتح عدة مستخدمين نفس عنوان URL الضار. يرتبط هذا الكشف عبر سجلات تنفيذ Power Apps بأحداث النقر فوق URL الضارة من أي من المصادر التالية: - موصل بيانات Microsoft 365 Defender أو - مؤشرات URL الضارة للتسوية (IOC) في Microsoft Sentinel Threat Intelligence مع محلل تسوية جلسة عمل نموذج معلومات الأمان المتقدم (ASIM). احصل على العدد المميز للمستخدمين الذين يقومون بتشغيل الارتباط الضار أو النقر فوقه عن طريق إنشاء استعلام. |
يقوم العديد من المستخدمين بتشغيل PowerApp جديد وفتح عنوان URL ضار معروف من التطبيق. مصادر البيانات: - مخزون Power Platform (باستخدام Azure Functions) InventoryApps InventoryEnvironments - نشاط مسؤول Microsoft Power Platform (معاينة) PowerPlatformAdminActivity - التحليل الذكي للمخاطر ThreatIntelligenceIndicator - Microsoft Defender XDR UrlClickEvents |
الوصول الأولي |
PowerAutomate - نشاط تدفق الموظفين المغادرين | يحدد المثيلات التي يتم فيها إعلام موظف أو تم إنهاؤه بالفعل، وهو في قائمة مراقبة "الموظفين المنهيين "، أو يقوم بإنشاء تدفق Power Automate أو تعديله. | يقوم المستخدم المعرف في قائمة مراقبة الموظفين المنتهيين بإنشاء تدفق Power Automate أو تحديثه. مصادر البيانات: Microsoft Power Automate (معاينة) PowerAutomateActivity - مخزون Power Platform (باستخدام Azure Functions) InventoryFlows InventoryEnvironments قائمة مراقبة الموظفين المنتهية |
النقل غير المصرح به، التأثير |
PowerPlatform - تمت إضافة الموصل إلى بيئة حساسة | يحدد إنشاء موصلات API جديدة داخل Power Platform، تستهدف على وجه التحديد قائمة محددة مسبقا من البيئات الحساسة. | إضافة موصل Power Platform جديد في بيئة Power Platform حساسة. مصادر البيانات: - نشاط مسؤول Microsoft Power Platform (معاينة) PowerPlatformAdminActivity - مخزون Power Platform (باستخدام Azure Functions) InventoryApps InventoryEnvironments InventoryAppsConnections |
التنفيذ، النقل غير المصرح به |
PowerPlatform - تم تحديث نهج DLP أو إزالته | تحديد التغييرات في نهج منع فقدان البيانات، وتحديدا النهج التي يتم تحديثها أو إزالتها. | تحديث نهج منع فقدان بيانات Power Platform أو إزالته في بيئة Power Platform. مصادر البيانات: نشاط مسؤول Microsoft Power Platform (معاينة) PowerPlatformAdminActivity |
التهرب الدفاعي |
Dataverse - تسرب المستخدم الضيف بعد ضعف دفاع Power Platform | تحديد سلسلة من الأحداث بدءا من تعطيل عزل مستأجر Power Platform وإزالة مجموعة أمان الوصول الخاصة بالبيئة. ترتبط هذه الأحداث بتنبيهات النقل غير المصرح ل Dataverse المقترنة بالبيئة المتأثرة ومستخدمي Microsoft Entra الضيوف الذين تم إنشاؤهم مؤخرا. تنشيط قواعد تحليلات Dataverse الأخرى باستخدام تكتيك MITRE 'Exfiltration' قبل تمكين هذه القاعدة. |
كمستخدم ضيف تم إنشاؤه مؤخرا، قم بتشغيل تنبيهات النقل غير المصرح ل Dataverse بعد تعطيل عناصر تحكم أمان Power Platform. مصادر البيانات: - PowerPlatformAdmin PowerPlatformAdminActivity - Dataverse DataverseActivity - مخزون Power Platform (باستخدام Azure Functions) InventoryEnvironments |
التهرب الدفاعي |
Dataverse - التصدير الجماعي للسجلات إلى Excel | تعريف المستخدمين الذين يقومون بتصدير كمية كبيرة من السجلات من Dynamics 365 إلى Excel. كمية السجلات المصدرة أكثر بكثير من أي نشاط حديث آخر من قبل هذا المستخدم. يتم تحديد عمليات التصدير الكبيرة من المستخدمين الذين ليس لديهم نشاط حديث باستخدام حد محدد مسبقا. | تصدير العديد من السجلات من Dataverse إلى Excel. مصادر البيانات: - Dataverse DataverseActivity - مخزون Power Platform (باستخدام Azure Functions) InventoryEnvironments |
النقل غير المصرَّح به |
Dataverse - استرداد المستخدم المجمع خارج النشاط العادي | يحدد المستخدمين الذين يقومون باسترداد سجلات من Dataverse أكثر بكثير مما كانوا عليه في الأسبوعين الماضيين. | يسترد المستخدم العديد من السجلات من Dataverse مصادر البيانات: - Dataverse DataverseActivity - مخزون Power Platform (باستخدام Azure Functions) InventoryEnvironments |
النقل غير المصرَّح به |
Power Apps - المشاركة المجمعة ل Power Apps للمستخدمين الضيوف الذين تم إنشاؤهم حديثا | تحديد المشاركة المجمعة غير العادية ل Power Apps لمستخدمي Microsoft Entra الضيوف الذين تم إنشاؤهم حديثا. تستند المشاركة المجمعة غير العادية إلى حد محدد مسبقا في الاستعلام. | مشاركة تطبيق مع عدة مستخدمين خارجيين. مصادر البيانات: - نشاط مسؤول Microsoft Power Platform (معاينة) PowerPlatformAdminActivity - مخزون Power Platform (باستخدام Azure Functions) InventoryApps InventoryEnvironments - معرف Microsoft Entra AuditLogs |
تطوير الموارد، الوصول الأولي، الحركة الجانبيَة |
Power Automate - الحذف المجمع غير العادي لموارد التدفق | يحدد الحذف المجمع لتدفقات Power Automate التي تتجاوز عتبة محددة مسبقا محددة في الاستعلام وتحيد عن أنماط النشاط التي تمت ملاحظتها في آخر 14 يوما. | الحذف المجمع لتدفقات Power Automate. مصادر البيانات: - PowerAutomate PowerAutomateActivity |
تأثير التهرب الدفاعي |
Power Platform - من المحتمل أن يصل المستخدم المخترق إلى خدمات Power Platform | تحديد حسابات المستخدمين التي تم وضع علامة عليها في خطر في Microsoft Entra Identity Protection وربط هؤلاء المستخدمين بنشاط تسجيل الدخول في Power Platform، بما في ذلك Power Apps وPower Automate ومركز إدارة Power Platform. | يصل المستخدم الذي له إشارات مخاطر إلى مداخل Power Platform. مصادر البيانات: - معرف Microsoft Entra SigninLogs |
الوصول الأولي، الحركة الجانبية |
محللات مدمجة
يتضمن الحل المحللات المستخدمة للوصول إلى البيانات من جداول البيانات الأولية. تضمن المحللات إرجاع البيانات الصحيحة بمخطط متناسق. نوصي باستخدام المحللات بدلا من الاستعلام مباشرة عن جداول المخزون وقوائم المشاهدة. يقوم محللات مخزون Power Platform ذات الصلة بإعادة البيانات من آخر 7 أيام.
المحلل | البيانات التي تم إرجاعها | تم الاستعلام عن الجدول |
---|---|---|
InventoryApps |
مخزون Power Apps | PowerApps_CL |
InventoryAppsConnections |
اتصالات Power Apps اتصالات المخزون | PowerAppsConnections_CL |
InventoryEnvironments |
مخزون بيئات Power Platform | PowerPlatrformEnvironments_CL |
InventoryFlows |
مخزون تدفقات Power Automate | PowerAutomateFlows_CL |
MSBizAppsTerminatedEmployees |
قائمة مراقبة الموظفين المنتهية (من قالب قائمة المشاهدة) | TerminatedEmployees |
GetPowerAppsEventDetails |
إرجاع تفاصيل الحدث الموزعة ل Power Apps / الاتصالات | PowerPlatformAdminActivity |
لمزيد من المعلومات حول القواعد التحليلية، راجع الكشف عن التهديدات الجاهزة.