Řešení Microsoft Sentinel pro Platform Microsoft Power Platform: Referenční informace k obsahu zabezpečení
Tento článek podrobně popisuje obsah zabezpečení dostupný pro řešení Microsoft Sentinel pro Power Platform. Další informace o tomto řešení najdete v tématu Řešení Microsoft Sentinel pro Microsoft Power Platform – přehled.
Důležité
- Řešení Microsoft Sentinel pro Power Platform je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
- Řešení je prémiová nabídka. Informace o cenách budou k dispozici dříve, než bude řešení obecně dostupné.
- Zadejte zpětnou vazbu k tomuto řešení dokončením tohoto průzkumu: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Integrovaná analytická pravidla
Při instalaci řešení pro Power Platform jsou zahrnuta následující analytická pravidla. Uvedené zdroje dat zahrnují název a tabulku datového konektoru v Log Analytics. Abyste se vyhnuli chybějícím datům ve zdrojích inventáře, doporučujeme neměnit výchozí období zpětného vyhledávání definované v šablonách analytických pravidel.
| Název pravidla | Popis | Zdrojová akce | Taktika |
|---|---|---|---|
| PowerApps – Aktivita aplikace z neoprávněné geografické oblasti | Identifikuje aktivitu Power Apps ze zemí v předdefinovaném seznamu neautorizovaných zemí. Získejte seznam kódů zemí ISO 3166-1 alfa-2 z ISO Online Browsing Platform (OBP). Tato detekce používá protokoly ingestované z ID Microsoft Entra a vyžaduje, abyste povolili také datový konektor Microsoft Entra ID. |
Spusťte aktivitu v Power Appu ze země, která je v seznamu kódů neautorizovaných zemí. Zdroje dat: – Inventář Power Platform (pomocí Azure Functions) InventoryAppsInventoryEnvironments– Aktivita správce Microsoft Power Platform (Preview) PowerPlatformAdminActivity– Microsoft Entra ID SigninLogs |
Počáteční přístup |
| PowerApps – Odstranění více aplikací | Identifikuje hromadnou aktivitu odstranění, ve které se odstraní více aplikací, které odpovídají předdefinované prahové hodnotě celkového počtu odstraněných aplikací nebo událostí odstraněných aplikací napříč několika prostředími Power Platform. | Odstraňte mnoho Power Apps z Centra pro správu Power Platform. Zdroje dat: – Inventář Power Platform (pomocí Azure Functions) InventoryAppsInventoryEnvironments– Aktivita správce Microsoft Power Platform (Preview) PowerPlatformAdminActivity |
Dopad |
| PowerApps – Zničení dat po publikování nové aplikace | Identifikuje řetěz událostí při vytvoření nebo publikování nové aplikace a následuje do 1 hodiny hromadnou aktualizací nebo odstraněním událostí v Dataverse. Pokud je vydavatel aplikace v seznamu uživatelů v šabloně seznamu ke zhlédnutí TerminatedEmployees , je vyvolána závažnost incidentu. | Během 1 hodiny od vytvoření nebo publikování aplikace Power Apps odstraňte v Power Apps několik záznamů. Zdroje dat: – Inventář Power Platform (pomocí Azure Functions) InventoryAppsInventoryEnvironments– Aktivita správce Microsoft Power Platform (Preview) PowerPlatformAdminActivity– Microsoft Dataverse (Preview) DataverseActivity |
Dopad |
| PowerApps – Více uživatelů, kteří po spuštění nové aplikace přistupují ke škodlivému odkazu | Identifikuje řetěz událostí při vytvoření nové aplikace Power App a následuje za ním tyto události: – Aplikaci spustí více uživatelů v okně detekce. – Více uživatelů otevře stejnou škodlivou adresu URL. Toto zjišťování křížové korelace protokolů spuštění Power Apps se škodlivými událostmi kliknutí na adresu URL z některého z následujících zdrojů: – Datový konektor Microsoft 365 Defender nebo – Indikátory škodlivých adres URL pro ohrožení zabezpečení (IOC) v analýze hrozeb Microsoft Sentinelu s analyzátorem normalizace webové relace Advanced Security Information Model (ASIM). Získejte jedinečný počet uživatelů, kteří spustí nebo kliknou na škodlivý odkaz vytvořením dotazu. |
Několik uživatelů spustí novou aplikaci PowerApp a otevře známou škodlivou adresu URL z aplikace. Zdroje dat: – Inventář Power Platform (pomocí Azure Functions) InventoryAppsInventoryEnvironments– Aktivita správce Microsoft Power Platform (Preview) PowerPlatformAdminActivity– Analýza hrozeb ThreatIntelligenceIndicator– Microsoft Defender XDR UrlClickEvents |
Počáteční přístup |
| PowerAutomate – Aktivita odcházejícího toku zaměstnance | Identifikuje instance, ve kterých zaměstnanec, který byl upozorněn nebo je již ukončen, a je na seznamu ke zhlédnutí ukončených zaměstnanců , vytvoří nebo upraví tok Power Automate. | Uživatel definovaný v seznamu ke zhlédnutí ukončených zaměstnanců vytvoří nebo aktualizuje tok Power Automate. Zdroje dat: Microsoft Power Automate (Preview) PowerAutomateActivity– Inventář Power Platform (pomocí Azure Functions) InventoryFlowsInventoryEnvironmentsSeznam ke zhlédnutí ukončených zaměstnanců |
Exfiltrace, dopad |
| PowerPlatform – Konektor přidaný do citlivého prostředí | Identifikuje vytváření nových konektorů rozhraní API v Rámci Power Platform, konkrétně zaměřeného na předdefinovaný seznam citlivých prostředí. | Přidejte nový konektor Power Platform v citlivém prostředí Power Platform. Zdroje dat: – Aktivita správce Microsoft Power Platform (Preview) PowerPlatformAdminActivity– Inventář Power Platform (pomocí Azure Functions) InventoryAppsInventoryEnvironmentsInventoryAppsConnections |
Spuštění, exfiltrace |
| PowerPlatform – Aktualizované nebo odebrané zásady ochrany před únikem informací | Identifikuje změny zásad ochrany před únikem informací, konkrétně zásady, které se aktualizují nebo odeberou. | Aktualizace nebo odebrání zásad ochrany před únikem informací v Power Platform v prostředí Power Platform Zdroje dat: Aktivita správy platformy Microsoft Power Platform (Preview) PowerPlatformAdminActivity |
Obrana před únikem |
| Dataverse – exfiltrace uživatelů typu host po poškození ochrany Power Platform | Identifikuje řetězec událostí, které začínají zakázáním izolace tenanta Power Platform a odebráním skupiny zabezpečení přístupu prostředí. Tyto události korelují s upozorněními exfiltrace Dataverse souvisejícími s ovlivněným prostředím a nedávno vytvořenými uživateli typu host microsoft Entra. Před povolením tohoto pravidla aktivujte další analytická pravidla Dataverse pomocí taktiky MITRE Exfiltration. |
Jako nedávno vytvořený uživatel typu host aktivujte upozornění exfiltrace Dataverse po zakázání kontrolních mechanismů zabezpečení Power Platform. Zdroje dat: – PowerPlatformAdmin PowerPlatformAdminActivity– Dataverse DataverseActivity– Inventář Power Platform (pomocí Azure Functions) InventoryEnvironments |
Obrana před únikem |
| Dataverse – hromadný export záznamů do Excelu | Identifikuje uživatele exportující velké množství záznamů z Dynamics 365 do Excelu. Množství exportovaných záznamů je výrazně větší než jakákoli jiná nedávná aktivita daného uživatele. Velké exporty uživatelů bez nedávné aktivity se identifikují pomocí předdefinované prahové hodnoty. | Umožňuje exportovat mnoho záznamů z Dataverse do Excelu. Zdroje dat: – Dataverse DataverseActivity– Inventář Power Platform (pomocí Azure Functions) InventoryEnvironments |
Exfiltrace |
| Dataverse – Hromadné načítání uživatelů mimo normální aktivitu | Identifikuje uživatele, kteří z Dataverse načítají výrazně více záznamů, než mají za posledních 2 týdny. | Uživatel načte mnoho záznamů z Dataverse. Zdroje dat: – Dataverse DataverseActivity– Inventář Power Platform (pomocí Azure Functions) InventoryEnvironments |
Exfiltrace |
| Power Apps – Hromadné sdílení Power Apps s nově vytvořenými uživateli typu host | Identifikuje neobvyklé hromadné sdílení Power Apps s nově vytvořenými uživateli typu host Microsoft Entra. Neobvyklé hromadné sdílení vychází z předdefinované prahové hodnoty v dotazu. | Sdílejte aplikaci s více externími uživateli. Zdroje dat: – Aktivita správce Microsoft Power Platform (Preview) PowerPlatformAdminActivity– Inventář Power Platform (pomocí Azure Functions) InventoryAppsInventoryEnvironments– Microsoft Entra ID AuditLogs |
Vývoj prostředků, Počáteční přístup, Laterální pohyb |
| Power Automate – Neobvyklé hromadné odstranění prostředků toku | Identifikuje hromadné odstranění toků Power Automate, které překračují předdefinovanou prahovou hodnotu definovanou v dotazu, a odchyluje se od vzorů aktivit pozorovaných za posledních 14 dnů. | Hromadné odstranění toků Power Automate Zdroje dat: - PowerAutomate PowerAutomateActivity |
Dopad Obrana před únikem |
| Power Platform – Potenciálně ohrožený přístup uživatelů ke službám Power Platform | Identifikuje uživatelské účty označené rizikem v Microsoft Entra Identity Protection a koreluje tyto uživatele s přihlašovací aktivitou v Power Platform, včetně Power Apps, Power Automate a Centra pro správu Power Platform. | Uživatel s rizikovými signály přistupuje k portálům Power Platform. Zdroje dat: – Microsoft Entra ID SigninLogs |
Počáteční přístup, laterální pohyb |
Předdefinované analyzátory
Řešení obsahuje analyzátory, které se používají pro přístup k datům z nezpracovaných tabulek dat. Analyzátory zajišťují, aby byla vrácena správná data s konzistentním schématem. Doporučujeme použít analyzátory místo přímého dotazování tabulek inventáře a seznamů ke zhlédnutí. Analyzátory související s inventářem Power Platform vrací data za posledních 7 dnů.
| Syntaktický analyzátor | Vrácená data | Dotazovaná tabulka |
|---|---|---|
InventoryApps |
Inventář Power Apps | PowerApps_CL |
InventoryAppsConnections |
Připojení k Power Apps – Připojení inventáře | PowerAppsConnections_CL |
InventoryEnvironments |
Inventář prostředí Power Platform | PowerPlatrformEnvironments_CL |
InventoryFlows |
Inventář toků Power Automate | PowerAutomateFlows_CL |
MSBizAppsTerminatedEmployees |
Seznam ke zhlédnutí ukončených zaměstnanců (ze šablony seznamu ke zhlédnutí) | TerminatedEmployees |
GetPowerAppsEventDetails |
Vrátí podrobnosti analyzované události pro Power Apps / Připojení. | PowerPlatformAdminActivity |