Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek podrobně popisuje obsah zabezpečení dostupný pro řešení Microsoft Sentinel pro Power Platform. Další informace o tomto řešení najdete v tématu Řešení Microsoft Sentinel pro Microsoft Power Platform a Microsoft Dynamics 365 Customer Engagement – přehled.
Integrovaná analytická pravidla
Při instalaci řešení pro Power Platform jsou zahrnuta následující analytická pravidla. Uvedené zdroje dat zahrnují název a tabulku datového konektoru v Log Analytics.
Pravidla dataverse
| Název pravidla | Popis | Zdrojová akce | Taktika |
|---|---|---|---|
| Dataverse – Neobvyklá aktivita uživatele aplikace | Identifikuje anomálie ve vzorech aktivit uživatelů aplikace Dataverse (neinteraktivní) na základě aktivity, která spadá mimo normální způsob použití. | Neobvyklá aktivita uživatelů S2S v Dynamics 365 / Dataverse Zdroje dat: – Dataverse DataverseActivity |
Přístup k přihlašovacím údajům, Spouštění, Trvalost |
| Dataverse – Odstranění dat protokolu auditu | Identifikuje aktivitu odstranění dat protokolu auditu v Dataverse. | Odstranění protokolů auditu služby Dataverse Zdroje dat: – Dataverse DataverseActivity |
ObranaÚnik |
| Dataverse – Protokolování auditu bylo zakázáno | Identifikuje změnu v konfiguraci auditu systému, kdy je protokolování auditu vypnuté. | Globální auditování nebo auditování na úrovni entit je zakázané. Zdroje dat: – Dataverse DataverseActivity |
ObranaÚnik |
| Dataverse – Opětovné přiřazení nebo sdílení vlastnictví hromadných záznamů | Identifikuje změny v vlastnictví jednotlivých záznamů, včetně následujících: – Sdílení záznamů s ostatními uživateli nebo týmy – Přerozdělení vlastnictví, které překračuje předdefinovanou prahovou hodnotu. |
Mnoho událostí vlastnictví záznamů a sdílení záznamů bylo generováno během okna detekce. Zdroje dat: – Dataverse DataverseActivity |
zvýšení oprávnění |
| Dataverse – Spustitelný soubor nahraný na web správy dokumentů SharePointu | Identifikuje spustitelné soubory a skripty nahrané na sharepointové weby používané ke správě dokumentů Dynamics a obchází omezení nativních přípon souborů v Dataverse. | Nahrání spustitelných souborů ve správě dokumentů Dataverse Zdroje dat: – Office365 OfficeActivity (SharePoint) |
Provádění, trvalost |
| Dataverse – Export aktivit propuštěného nebo zaměstnance, který byl upozorněn/o | Identifikuje exportní aktivity v Dataverse aktivované zaměstnanci, kteří byli propuštěni, nebo zaměstnanci, kteří se chystají opustit organizaci. | Události exportu dat spojené s uživateli na TerminatedEmployees sledovací šabloně. Zdroje dat: – Dataverse DataverseActivity |
Exfiltrace |
| Dataverse – exfiltrace uživatelů typu host po poškození ochrany Power Platform | Identifikuje řetězec událostí, které začínají deaktivací izolace tenanta ve službě Power Platform a odebráním bezpečnostní skupiny pro přístup k prostředí. Tyto události korelují s upozorněními exfiltrace Dataverse, která souvisejí s ovlivněným prostředím a nedávno vytvořenými uživateli z řad hostů Microsoft Entra. Před povolením tohoto pravidla aktivujte další analytická pravidla Dataverse pomocí taktiky Exfiltration MITRE. |
Jako nedávno vytvořený uživatel hosta spusťte upozornění na exfiltraci Dataverse po deaktivaci zabezpečení Power Platform. Zdroje dat: – PowerPlatformAdmin PowerPlatformAdminActivity– Dataverse DataverseActivity |
Obrana před únikem |
| Dataverse – Manipulace se zabezpečením hierarchie | Identifikuje podezřelé chování v zabezpečení hierarchie. | Změny vlastností zabezpečení, mezi které patří: – Zabezpečení hierarchie je zakázané. - Uživatel si přiřadí roli manažera. – Uživatel se přiřadí k monitorované pozici (nastavená v KQL). Zdroje dat: – Dataverse DataverseActivity |
zvýšení oprávnění |
| Dataverse – aktivita instance Honeypotu | Identifikuje aktivity v předdefinované instanci Honeypot Dataverse. Upozornění buď při zjištění přihlášení k Honeypotu, nebo při přístupu k monitorovaným tabulkám Dataverse v Honeypotu. |
Přihlaste se a získejte přístup k datům v určené instanci Honeypot Dataverse na Power Platform s povoleným auditováním. Zdroje dat: – Dataverse DataverseActivity |
Zjišťování, Exfiltrace |
| Dataverse – Přihlášení citlivým privilegovaným uživatelem | Identifikuje přihlášení k Dataverse a Dynamics 365 citlivými uživateli. | Přihlašování uživatelů přidaných do seznamu sledování VIPUsers na základě značek v KQL. Zdroje dat: – Dataverse DataverseActivity |
PočátečníPřístup, PřístupKePověření, ZvýšeníOprávnění |
| Dataverse – Přihlášení z IP adresy v seznamu blokovaných adres | Identifikuje přihlašovací aktivitu Služby Dataverse z adres IPv4, které jsou na předdefinovaném seznamu blokovaných adres. | Přihlaste se uživatelem s IP adresou, která je součástí blokovaného rozsahu sítě. Blokované rozsahy sítě jsou udržovány v šabloně seznamu sledování NetworkAddresses. Zdroje dat: – Dataverse DataverseActivity |
Počáteční přístup |
| Dataverse – Přihlášení z IP adresy není v seznamu povolených | Identifikuje přihlášení z adres IPv4, které neodpovídají podsítím IPv4 udržovaným na seznamu povolených adres. | Přihlaste se uživatelem s IP adresou, která není součástí povoleného rozsahu sítě. Blokované rozsahy sítě jsou udržovány v šabloně seznamu sledování NetworkAddresses. Zdroje dat: – Dataverse DataverseActivity |
Počáteční přístup |
| Dataverse – Malware nalezený na webu správy dokumentů SharePointu | Identifikuje malware nahraný prostřednictvím správy dokumentů Dynamics 365 nebo přímo na SharePointu, který ovlivňuje weby na SharePointu přidružené k Dataverse. | Škodlivý soubor na sharepointovém webu propojeném s Dataverse Zdroje dat: – Dataverse DataverseActivity– Office365 OfficeActivity (SharePoint) |
Provádění |
| Dataverse – hromadné odstranění záznamů | Identifikuje operace odstranění záznamů ve velkém měřítku na základě předdefinované prahové hodnoty. Také detekuje naplánované úlohy hromadného odstranění. |
Odstranění záznamů překračujících prahovou hodnotu definovanou v KQL Zdroje dat: – Dataverse DataverseActivity |
Dopad |
| Dataverse – hromadné stahování ze správy dokumentů SharePointu | Identifikuje hromadné stahování souborů za poslední hodinu ze sharepointových webů nakonfigurovaných pro správu dokumentů v Dynamics 365. | Hromadné stahování překračující prahovou hodnotu definovanou v KQL. Toto analytické pravidlo používá sledovací seznam MSBizApps-Configuration k identifikaci sharepointových webů používaných ke správě dokumentů. Zdroje dat: – Office365 OfficeActivity (SharePoint) |
Exfiltrace |
| Dataverse – hromadný export záznamů do Excelu | Identifikuje uživatele exportující velký počet záznamů z Dynamics 365 do Excelu, kde počet exportovaných záznamů je výrazně větší než jakákoli jiná nedávná aktivita daného uživatele. Velké exporty uživatelů bez nedávné aktivity se identifikují pomocí předdefinované prahové hodnoty. |
Umožňuje exportovat mnoho záznamů z Dataverse do Excelu. Zdroje dat: – Dataverse DataverseActivity |
Exfiltrace |
| Dataverse – aktualizace hromadných záznamů | Detekuje změny hromadné aktualizace záznamů v Dataverse a Dynamics 365, které překračují předdefinovanou prahovou hodnotu. | Hromadná aktualizace záznamů překračuje prahovou hodnotu definovanou v KQL. Zdroje dat: – Dataverse DataverseActivity |
Dopad |
| Dataverse – Typ aktivity uživatele aplikace New Dataverse | Identifikuje nové nebo dříve neznámé typy aktivit přidružené k aplikaci Dataverse (neinteraktivní). | Nové typy aktivit uživatelů S2S Zdroje dat: – Dataverse DataverseActivity |
Přístup k přihlašovacím údajům, Spuštění, Zvýšení oprávnění |
| Dataverse – nové neinteraktivní identitě udělen přístup | Identifikuje udělení přístupu na úrovni rozhraní API prostřednictvím delegovaných oprávnění aplikace Microsoft Entra nebo přímým přiřazením v rámci služby Dataverse jako uživatel aplikace. | Oprávnění Dataverse přidána k neinteraktivnímu uživateli Zdroje dat: – Dataverse DataverseActivity,– AzureActiveDirectory AuditLogs |
Trvalost, Laterální pohyb, Eskalace oprávnění |
| Dataverse – nové přihlášení z neautorizované domény | Identifikuje přihlašovací aktivitu Služby Dataverse pocházející od uživatelů s příponami UPN, které se v posledních 14 dnech nezoznačily a nejsou přítomné na předdefinovaném seznamu autorizovaných domén. Běžní interní uživatelé systému Power Platform jsou ve výchozím nastavení vyloučeni. |
Přihlaste se externím uživatelem z neautorizované přípony domény. Zdroje dat: – Dataverse DataverseActivity |
Počáteční přístup |
| Dataverse – typ nového uživatelského agenta, který se předtím nepoužíval | Identifikuje uživatele, kteří přistupují k Dataverse z uživatelského agenta, který se během posledních 14 dnů nezoznal v žádné instanci Dataverse. | Aktivita v Dataverse z nového uživatelského agenta Zdroje dat: – Dataverse DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse – Nový typ uživatelského agenta, který nebyl použit s Office 365 | Identifikuje uživatele, kteří přistupují k Dynamics pomocí uživatelského agenta, který se během posledních 14 dnů nezoznal v žádných úlohách Office 365. | Aktivita v Dataverse z nového uživatelského agenta Zdroje dat: – Dataverse DataverseActivity |
Počáteční přístup |
| Dataverse – změněné nastavení organizace | Identifikuje změny provedené na úrovni organizace v prostředí Dataverse. | Vlastnost na úrovni organizace upravená v Dataverse Zdroje dat: – Dataverse DataverseActivity |
Uchování |
| Dataverse – Odebrání blokovaných přípon souborů | Identifikuje úpravy blokovaných přípon souborů prostředí a extrahuje odebranou příponu. | Odebrání blokovaných přípon souborů ve vlastnostech Dataverse Zdroje dat: – Dataverse DataverseActivity |
ObranaÚnik |
| Dataverse – Přidání nebo aktualizace webu správy dokumentů SharePointu | Identifikuje úpravy integrace správy dokumentů SharePointu. Správa dokumentů umožňuje ukládání dat umístěných externě do služby Dataverse. Spojte toto analytické pravidlo s Dataverse: Přidejte SharePointové weby do seznamu ke sledování playbooku, aby se automaticky aktualizoval seznam ke sledování Dataverse-SharePointSites. Tento seznam ke zhlédnutí lze použít ke korelaci událostí mezi Dataverse a SharePointem při použití datového konektoru Office 365. |
Mapování webu SharePoint přidané ve správě dokumentů Zdroje dat: – Dataverse DataverseActivity |
Exfiltrace |
| Dataverse – Podezřelé úpravy rolí zabezpečení | Identifikuje neobvyklý vzor událostí, kdy se vytvoří nová role, po níž tvůrce přidá členy do role a později odebere člena nebo odstraní roli po krátkém časovém období. | Změny bezpečnostních rolí a přiřazení rolí Zdroje dat: – Dataverse DataverseActivity |
zvýšení oprávnění |
| Dataverse – podezřelé použití koncového bodu TDS | Identifikuje dotazy založené na protokolu TDS (Tabular Data Stream), kde zdrojový uživatel nebo IP adresa obsahuje nedávné výstrahy zabezpečení a protokol TDS se v cílovém prostředí dříve nepoužíval. | Náhlé použití koncového bodu TDS ve spojení s výstrahami zabezpečení Zdroje dat: – Dataverse DataverseActivity– AzureActiveDirectoryIdentityProtection SecurityAlert |
Exfiltrace, Počáteční přístup |
| Dataverse – podezřelé použití webového rozhraní API | Identifikuje přihlášení napříč několika prostředími Dataverse, která porušují předdefinovanou prahovou hodnotu a pocházejí od uživatele s IP adresou, která byla použita k přihlášení k dobře známé registraci aplikace Microsoft Entra. | Přihlaste se pomocí WebAPI ve více prostředích pomocí dobře známého ID veřejné aplikace. Zdroje dat: – Dataverse DataverseActivity– AzureActiveDirectory SigninLogs |
Provádění, Exfiltrace, Rekognoskace, Zjišťování |
| Dataverse – namapování IP adresy na DataverseActivity | Identifikuje shodu ve funkci DataverseActivity z jakékoli IP adresy IOC z analýzy hrozeb služby Microsoft Sentinel. | Aktivita služby Dataverse s IP adresami, které odpovídají IOC Zdroje dat: – Dataverse DataverseActivityInformace o hrozbách ThreatIntelligenceIndicator |
Počáteční přístup, Laterální pohyb, Zjištění |
| Dataverse – ADRESA URL mapy TI na DataverseActivity | Identifikuje shodu v DataverseActivity z jakékoli adresy URL IOC z Microsoft Sentinel Threat Intelligence. | Aktivita Dataverse s adresou URL odpovídající IOC Zdroje dat: – Dataverse DataverseActivityInformace o hrozbách ThreatIntelligenceIndicator |
Počáteční přístup, Provedení, Trvalost |
| Dataverse – Ukončení exfiltrace zaměstnanců e-mailem | Identifikuje exfiltraci Dataverse prostřednictvím e-mailu bývalými zaměstnanci. | E-maily zaslané do nedůvěryhodných domén příjemců v návaznosti na bezpečnostní výstrahy jsou korelovány s uživateli na seznamu sledovaných TerminatedEmployees. Zdroje dat: Ochrana před hrozbami společnosti Microsoft EmailEventsIdentityInfo– AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
Exfiltrace |
| Dataverse – Exfiltrace zaměstnance po ukončení pracovního poměru na USB disk | Identifikuje soubory stažené z Dataverse zaměstnanci, kteří odcházejí nebo byli ukončeni, a tyto soubory jsou zkopírovány do připojených jednotek USB. | Soubory pocházející z Dataverse zkopírované do USB uživatelem na seznamu sledovaných TerminatedEmployees. Zdroje dat: – Dataverse DataverseActivity– MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Exfiltrace |
| Dataverse – Neobvyklá přihlašovací ochrana po zakázání ochrany vazby souborů cookie na základě IP adres | Identifikuje dříve nezoznanou IP adresu a uživatelské agenty v instanci Dataverse po zakázání ochrany vazby souborů cookie. Další informace najdete v tématu Ochrana relací Dataverse pomocí vazby souborů cookie na IP adresu. |
Nová přihlašovací aktivita. Zdroje dat: – Dataverse DataverseActivity |
ObranaÚnik |
| Dataverse – Hromadné stahování uživatelských dat mimo normální aktivitu | Identifikuje uživatele, kteří z Dataverse načítají mnohem více záznamů, než mají za poslední dva týdny. | Uživatel načte mnoho záznamů z Dataverse včetně prahové hodnoty definované KQL. Zdroje dat: – Dataverse DataverseActivity |
Exfiltrace |
Pravidla Power Apps
| Název pravidla | Popis | Zdrojová akce | Taktika |
|---|---|---|---|
| Power Apps – Aktivita aplikace z neautorizované geografické oblasti | Identifikuje aktivitu Power Apps z geografických oblastí v předdefinovaném seznamu neautorizovaných geografických oblastí. Tato detekce získá seznam kódů zemí ISO 3166-1 alfa-2 z ISO Online Browsing Platform (OBP). Tato detekce používá protokoly ingestované z ID Microsoft Entra a vyžaduje, abyste povolili také datový konektor Microsoft Entra ID. |
Spuštění aktivity v PowerApps z geografické oblasti, která je uvedena na seznamu zemí s neautorizovanými kódy. Zdroje dat: – Aktivita správce Microsoft Power Platform PowerPlatformAdminActivity– Microsoft Entra ID SigninLogs |
Počáteční přístup |
| Power Apps – Odstraněno více aplikací | Identifikuje hromadnou aktivitu odstranění, ve které se odstraní více aplikací, které odpovídají předdefinované prahové hodnotě celkového počtu odstraněných aplikací nebo událostí odstraněných aplikací napříč několika prostředími Power Platform. | Odstraňte mnoho Power Apps z Centra pro správu Power Platform. Zdroje dat: – Aktivita správce Microsoft Power Platform PowerPlatformAdminActivity |
Dopad |
| Power Apps – Více uživatelů, kteří po spuštění nové aplikace přistupují ke škodlivému odkazu | Identifikuje řetěz událostí při vytvoření nové aplikace Power App a následuje za ním tyto události: – Aplikaci spustí více uživatelů v okně detekce. – Více uživatelů otevře stejnou škodlivou adresu URL. Tato detekce křížově koreluje protokoly o spuštění Power Apps s událostmi výběru škodlivé adresy URL z kteréhokoli z následujících zdrojů: – Datový konektor Microsoft 365 Defender nebo – Indikátory kompromitace (IOC) škodlivých adres URL v inteligenci o hrozbách Microsoft Sentinel s analyzátorem normalizace webové relace Advanced Security Information Model (ASIM). Tato detekce získá jedinečný počet uživatelů, kteří spustí nebo vyberou škodlivý odkaz vytvořením dotazu. |
Několik uživatelů spustí novou aplikaci PowerApp a otevře známou škodlivou adresu URL z aplikace. Zdroje dat: – Aktivita správce Microsoft Power Platform PowerPlatformAdminActivity– Analýza hrozeb ThreatIntelligenceIndicator– Microsoft Defender XDR UrlClickEvents |
Počáteční přístup |
| Power Apps – Hromadné sdílení Power Apps s nově vytvořenými uživateli typu host | Identifikuje neobvyklé hromadné sdílení Power Apps s nově vytvořenými hostujícími uživateli Microsoft Entra. Neobvyklé hromadné sdílení vychází z předdefinované prahové hodnoty v dotazu. | Sdílejte aplikaci s více externími uživateli. Zdroje dat: – Aktivita správce Microsoft Power Platform PowerPlatformAdminActivity– Microsoft Entra IDAuditLogs |
Vývoj prostředků, Počáteční přístup, Laterální pohyb |
Pravidla Power Automate
| Název pravidla | Popis | Zdrojová akce | Taktika |
|---|---|---|---|
| Power Automate – Toková aktivita odcházejícího zaměstnance | Identifikuje případy, kdy zaměstnanec, který byl upozorněn nebo je již ukončen, a je na seznamu sledovaných ukončených zaměstnanců, vytvoří nebo upraví tok Power Automate. | Uživatel definovaný ve sledovacím seznamu TerminatedEmployees vytvoří nebo aktualizuje proces Power Automate. Zdroje dat: Microsoft Power Automate PowerAutomateActivitySeznam sledovaných ukončených zaměstnanců |
Exfiltrace, dopad |
| Power Automate - Neobvyklé hromadné odstranění zdrojů toku | Identifikuje hromadné odstranění toků Power Automate, které překračují předdefinovanou prahovou hodnotu definovanou v dotazu, a odchyluje se od vzorů aktivit pozorovaných za posledních 14 dnů. | Hromadné odstranění toků Power Automate Zdroje dat: - PowerAutomate PowerAutomateActivity |
Dopad Obrana před únikem |
Pravidla Power Platform
| Název pravidla | Popis | Zdrojová akce | Taktika |
|---|---|---|---|
| Power Platform – Konektor přidaný do citlivého prostředí | Identifikuje vytváření nových konektorů rozhraní API v Rámci Power Platform, konkrétně zaměřeného na předdefinovaný seznam citlivých prostředí. | Přidejte nový konektor Power Platform v citlivém prostředí Power Platform. Zdroje dat: – Aktivita správce Microsoft Power Platform PowerPlatformAdminActivity |
Provedení, exfiltrace |
| Power Platform – Aktualizované nebo odebrané zásady ochrany před únikem informací | Identifikuje změny zásad ochrany před únikem informací, konkrétně zásady, které se aktualizují nebo odeberou. | Aktualizace nebo odebrání zásad ochrany před únikem informací v Power Platform v prostředí Power Platform Zdroje dat: Aktivita správce Microsoft Power Platform PowerPlatformAdminActivity |
Obrana před únikem |
| Power Platform – Potenciálně ohrožený přístup uživatelů ke službám Power Platform | Identifikuje uživatelské účty označené rizikem v Microsoft Entra ID Protection a koreluje tyto uživatele s přihlašovací aktivitou v Power Platform, včetně Power Apps, Power Automate a Centra pro správu Power Platform. | Uživatel s rizikovými signály přistupuje k portálům Power Platform. Zdroje dat: – Microsoft Entra ID SigninLogs |
Počáteční přístup, laterální pohyb |
| Power Platform – Účet přidaný do privilegovaných rolí Microsoft Entra | Identifikuje změny následujících rolí privilegovaných adresářů, které mají vliv na Power Platform: – Správci Dynamics 365 – Správci Power Platform – Správci Fabric |
Zdroje dat: AzureActiveDirectory AuditLogs |
zvýšení oprávnění |
Dotazy na lov
Řešení zahrnuje dotazy proaktivního vyhledávání, které můžou analytici použít k proaktivnímu vyhledávání škodlivých nebo podezřelých aktivit v prostředích Dynamics 365 a Power Platform.
| Název pravidla | Popis | Zdroj dat | Taktika |
|---|---|---|---|
| Dataverse – aktivita po upozorněních Microsoft Entra | Tento vyhledávací dotaz vyhledá uživatele, kteří provádějí aktivitu na Dataverse nebo Dynamics 365 krátce po upozornění Microsoft Entra ID Protection u tohoto uživatele. Dotaz hledá pouze uživatele, kteří nebyli předtím viděni nebo neprováděli aktivitu Dynamics, která nebyla dříve zaznamenána. |
– Dataverse DataverseActivity– AzureActiveDirectoryIdentityProtection SecurityAlert |
Počáteční přístup |
| Dataverse – aktivita po neúspěšných přihlášeních | Tento dotaz proaktivního vyhledávání hledá uživatele provádějící aktivity Dataverse nebo Dynamics 365 krátce po mnoha neúspěšných přihlášeních. Tento dotaz použijte k pátrání po potenciální aktivitě po útoku hrubou silou. Upravte prahovou hodnotu na základě falešně pozitivní míry. |
– DataverseDataverseActivity– AzureActiveDirectory SigninLogs |
Počáteční přístup |
| Dataverse – aktivita exportu dat mezi prostředími | Vyhledá aktivitu exportu dat napříč předem určeným počtem instancí Dataverse. Aktivita exportu dat napříč několika prostředími může znamenat podezřelou aktivitu, protože uživatelé obvykle pracují jenom v několika prostředích. |
– DataverseDataverseActivity |
Exfiltrace, kolekce |
| Dataverse – export Dataverse zkopírovaný do zařízení USB | Používá data z XDR v programu Microsoft Defender k detekci souborů stažených z instance Dataverse a zkopírování na jednotku USB. | – DataverseDataverseActivity– MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Exfiltrace |
| Dataverse – Obecná klientská aplikace používaná pro přístup k produkčním prostředím | Zjistí použití integrované ukázkové aplikace Dynamics 365 pro přístup k produkčním prostředím. Tato obecná aplikace nemůže být omezena autorizačními ovládacími prvky Microsoft Entra ID a může být zneužita k získání neoprávněného přístupu prostřednictvím webového rozhraní API. |
– DataverseDataverseActivity– AzureActiveDirectory SigninLogs |
Provádění |
| Dataverse – Aktivita řízení identit mimo členství v privilegovaných rolích adresářového systému | Detekuje události administrace identit v Dataverse nebo Dynamics 365 vytvořené uživatelskými účty, které nejsou členy následujících privilegovaných rolí adresáře: Administrátoři Dynamics 365, Administrátoři Power Platform nebo Globální Administrátoři. | – DataverseDataverseActivity- UEBA IdentityInfo |
zvýšení oprávnění |
| Dataverse – Změny správy identit bez vícefaktorového ověřování | Používá se k zobrazení operací správy privilegovaných identit v Dataverse vytvořených účty, které se přihlásily bez použití vícefaktorového ověřování. | – DataverseDataverseActivity– AzureActiveDirectory SigninLogs, DataverseActivity |
Počáteční přístup |
| Power Apps – Neobvyklé hromadné sdílení Power Appu s nově vytvořenými uživateli typu host | Dotaz detekuje neobvyklé pokusy o hromadné sdílení aplikace Power App s nově vytvořenými uživateli typu host. |
Zdroje dat: PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
počáteční přístup, laterální pohyb, vývoj zdrojů |
Scénáře
Toto řešení obsahuje playbooky, které je možné použít k automatizaci reakce zabezpečení na incidenty a výstrahy v Microsoft Sentinelu.
| Název herního plánu | Popis |
|---|---|
| Pracovní postup zabezpečení: Ověření výstrah u vlastníků úloh | Tento playbook může snížit zatížení SOC tím, že přenese odpovědnost za ověření upozornění na správce IT pro specifická analytická pravidla. Aktivuje se, když se vygeneruje upozornění služby Microsoft Sentinel, vytvoří v kanálu Microsoft Teams vlastníka úlohy zprávu (a přidružený e-mail s oznámením), která obsahuje podrobnosti o upozornění. Pokud vlastník úlohy odpoví, že aktivita není oprávněná, výstraha se převede na incident v Microsoft Sentinelu, aby SOC mohl zpracovat. |
| Dataverse: Odeslání oznámení správci | Tento scénář lze aktivovat, když dojde k incidentu v Microsoft Sentinelu, a automaticky odešle e-mailové oznámení vedoucímu uživatele, kterého se incident týká. Playbook je možné nakonfigurovat tak, aby odesílal buď manažerovi Dynamics 365, nebo pomocí správce v Office 365. |
| Dataverse: Přidání uživatele do seznamu blokovaných položek (trigger incidentu) | Tento playbook lze spustit při vzniku incidentu Microsoft Sentinel a automaticky přidá uživatelské identity, které jsou ovlivněny, do předem definované skupiny Microsoft Entra, což má za následek blokovaný přístup. Skupina Microsoft Entra se používá s podmíněným přístupem k blokování přihlášení k Dataverse. |
| Dataverse: Přidání uživatele do seznamu blokovaných pomocí pracovního postupu schválení Outlooku | Tento scénář se může aktivovat, když dojde k incidentu v Microsoft Sentinel, a automaticky přidá ovlivněné uživatelské entity do předem definované skupiny Microsoft Entra pomocí schvalovacího pracovního postupu založeného na Outlooku, což vede k zablokování přístupu. Skupina Microsoft Entra se používá s podmíněným přístupem k blokování přihlášení k Dataverse. |
| Dataverse: Přidání uživatele na černou listinu použitím schvalovacího pracovního postupu v Teams | Tento playbook se dá aktivovat při vyvolání incidentu Microsoft Sentinelu a automaticky přidá ovlivněné entity uživatelů do předem definované skupiny Microsoft Entra pomocí pracovního postupu schválení adaptivní karty Teams, což vede k zablokování přístupu. Skupina Microsoft Entra se používá s podmíněným přístupem k blokování přihlášení k Dataverse. |
| Dataverse: Přidání uživatele do seznamu blokovaných položek (trigger upozornění) | Tento playbook lze spustit na vyžádání, když je vyvolána výstraha služby Microsoft Sentinel, což umožní analytikovi přidat postižené uživatelské entity do předem definované skupiny Microsoft Entra, což vede k zablokování přístupu. Skupina Microsoft Entra se používá s podmíněným přístupem k blokování přihlášení k Dataverse. |
| Dataverse: Odebrání uživatele ze seznamu blokovaných položek | Tento playbook lze aktivovat na vyžádání, když je vyvolána výstraha služby Microsoft Sentinel, což analytikovi umožňuje odebrat ovlivněné uživatelské entity z předem definované skupiny Microsoft Entra, která se používá k blokování přístupu. Skupina Microsoft Entra se používá s podmíněným přístupem k blokování přihlášení k Dataverse. |
| Dataverse: Přidání sharepointových webů do seznamu ke zhlédnutí | Tento playbook slouží k přidání nových nebo aktualizovaných webů správy dokumentů SharePointu do konfiguračního seznamu sledování. Tento playbook se aktivuje, když je přidáno nové mapování webu pro správu dokumentů SharePointu, v kombinaci s naplánovaným analytickým pravidlem monitorujícím protokol aktivit Dataverse. Web se přidá do seznamu ke zhlédnutí, aby se rozšířilo pokrytí monitorování. |
Sešity
Sešity Microsoft Sentinelu jsou přizpůsobitelné a interaktivní řídicí panely v rámci Microsoft Sentinelu, které analytikům umožňují efektivní vizualizaci, analýzu a vyšetřování bezpečnostních dat. Toto řešení zahrnuje sešit Aktivity Dynamics 365, který představuje vizuální znázornění aktivity v Microsoft Dynamics 365 Customer Engagement / Dataverse, včetně statistik načítání záznamů a grafu anomálií.
Seznamy sledování
Toto řešení zahrnuje seznam ke zhlédnutí MSBizApps-Configuration a vyžaduje, aby uživatelé vytvořili další seznamy ke zhlédnutí na základě následujících šablon seznamu ke zhlédnutí:
- VipUsers
- Síťové adresy
- Ukončení zaměstnanci
Další informace najdete v tématu Seznamy ke zhlédnutí v Microsoft Sentinelu a vytváření seznamů ke zhlédnutí.
Předdefinované analyzátory
Řešení obsahuje analyzátory, které se používají pro přístup k datům z nezpracovaných tabulek dat. Analyzátory zajišťují, aby byla vrácena správná data s konzistentním schématem. Doporučujeme používat analyzátory místo přímého dotazování na seznamy ke zhlédnutí.
| Syntaktický analyzátor | Vrácená data | Dotazovaná tabulka |
|---|---|---|
| Nastavení MSBizAppsOrgSettings | Seznam dostupných nastavení pro celou organizaci dostupných v Dynamics 365 Customer Engagement / Dataverse | Není k dispozici |
| MSBizAppsVIPUsers | Analyzátor pro seznam ke zhlédnutí VIPUsers |
VIPUsers ze šablony sledovaného seznamu |
| MSBizAppsNetworkAddresses | Analyzátor pro seznam ke zhlédnutí NetworkAddresses |
NetworkAddresses ze šablony sledovaného seznamu |
| MSBizAppsTerminatedEmployees | Analyzátor pro sledovací seznam TerminatedEmployees |
TerminatedEmployees ze šablony sledovaného seznamu |
| DataverseSharePointWeby | Sharepointové weby používané ve správě dokumentů služby Dataverse |
MSBizApps-Configuration seznam ke zhlédnutí filtrovaný podle kategorie SharePoint |
Další informace o analytických pravidlech naleznete v Detekce hrozeb ihned po vybalení z krabice.