Microsoft Sentinel-Lösung für Microsoft Power Platform: Referenz zu Sicherheitsinhalten
In diesem Artikel werden die sicherheitsbezogenen Inhalte für die Microsoft Sentinel-Lösung für Power Platform detailliert beschrieben. Weitere Informationen zu dieser Lösung finden Sie unter Übersicht über die Microsoft Sentinel-Lösung für Microsoft Power Platform.
Wichtig
- Die Microsoft Sentinel-Lösung für Power Platform befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
- Die Lösung ist ein Premium-Angebot. Preisinformationen werden zur Verfügung gestellt, bevor die Lösung allgemein verfügbar wird.
- Geben Sie Feedback zu dieser Lösung, indem Sie diese Umfrage beantworten: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Integrierte Analyseregeln
Die folgenden Analyseregeln sind enthalten, wenn Sie die Lösung für Power Platform installieren. Die aufgeführten Datenquellen enthalten den Namen und die Tabelle des Datenconnectors in Log Analytics. Zur Vermeidung fehlender Daten in den Bestandsquellen empfiehlt es sich, den in den Analyseregelvorlagen definierten standardmäßigen Rückblickzeitraum nicht zu ändern.
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| PowerApps – App-Aktivität von nicht autorisiertem geografischem Standort | Identifiziert Power Apps-Aktivitäten aus Ländern in einer vordefinierten Liste nicht autorisierter Länder. Rufen Sie die Liste der ISO 3166-1-Alpha-2-Landeskennzahlen von ISO Online Browsing Platform (OBP) ab. Diese Erkennung verwendet Protokolle von Microsoft Entra ID und erfordert, dass Sie auch den Microsoft Entra ID-Datenconnector aktivieren. |
Führen Sie eine Aktivität in Power App aus einem Land aus, das sich in der Liste der nicht autorisierten Landeskennzahlen befindet. Datenquellen: - Power Platform-Bestand (mit Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Power Platform-Administratoraktivität (Vorschau) PowerPlatformAdminActivity– Microsoft Entra ID SigninLogs |
Erstzugriff |
| PowerApps – mehrere Apps gelöscht | Identifiziert Massenlöschaktivitäten, bei denen mehrere Power Apps gelöscht werden, die einem vordefinierten Schwellenwert für insgesamt gelöschte Apps oder für von Apps gelöschte Ereignisse in mehreren Power Platform-Umgebungen entsprechen. | Löschen Sie viele Power Apps aus dem Power Platform Admin Center. Datenquellen: - Power Platform-Bestand (mit Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Power Platform-Administratoraktivität (Vorschau) PowerPlatformAdminActivity |
Auswirkung |
| PowerApps – Datenvernichtung nach der Veröffentlichung einer neuen App | Identifiziert eine Kette von Ereignissen, wenn eine neue App erstellt oder veröffentlicht wird und wenn innerhalb von einer Stunde Massenaktualisierungs- oder -löschereignisse in Dataverse folgen. Wenn sich der App-Herausgeber in der Liste der Benutzer in der Watchlist-Vorlage TerminatedEmployees befindet, wird der Schweregrad des Vorfalls ausgelöst. | Löschen Sie eine Reihe von Datensätzen in Power Apps innerhalb von 1 Stunde nach der Erstellung oder Veröffentlichung von Power Apps. Datenquellen: - Power Platform-Bestand (mit Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Power Platform-Administratoraktivität (Vorschau) PowerPlatformAdminActivity- Microsoft Dataverse (Vorschau) DataverseActivity |
Auswirkung |
| PowerApps – mehrere Benutzer, die nach dem Starten einer neuen App auf einen schädlichen Link zugreifen | Identifiziert eine Kette von Ereignissen, wenn eine neue Power App erstellt wird und diese Ereignisse folgen: - Mehrere Benutzer starten die App im Erkennungsfenster. - Mehrere Benutzer öffnen dieselbe schädliche URL. Diese Erkennung korreliert Power Apps-Ausführungsprotokolle übergreifend mit Klicks auf schädliche URLs von einer der folgenden Quellen: - Microsoft 365 Defender-Datenconnector oder - Kompromittierungsindikatoren für schädliche URLs in Microsoft Sentinel Threat Intelligence mit dem Normalisierungsparser für ASIM-Websitzungen (Advanced Security Information Model). Rufen Sie die unterschiedliche Anzahl von Benutzern ab, die den schädlichen Link aufrufen oder darauf klicken, indem Sie eine Abfrage erstellen. |
Mehrere Benutzer starten eine neue PowerApp und öffnen eine bekannte schädliche URL in der App. Datenquellen: - Power Platform-Bestand (mit Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Power Platform-Administratoraktivität (Vorschau) PowerPlatformAdminActivity- Threat Intelligence ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
Erstzugriff |
| PowerAutomate – Flow-Aktivität des ausscheidenden Mitarbeiters | Identifiziert Instanzen, bei denen ein Mitarbeiter, der benachrichtigt oder bereits beendet wurde und sich in der Watchlist Ausgeschiedene Mitarbeiter befindet, einen Power Automate-Flow erstellt oder ändert. | Der in der Watchlist Ausgeschiedene Mitarbeiter definierte Benutzer erstellt oder aktualisiert einen Power Automate-Flow. Datenquellen: Microsoft Power Automate (Vorschau) PowerAutomateActivity- Power Platform-Bestand (mit Azure Functions) InventoryFlowsInventoryEnvironmentsWatchlist für ausgeschiedene Mitarbeiter |
Exfiltration, Auswirkung |
| PowerPlatform – Connector zu einer vertraulichen Umgebung hinzugefügt | Identifiziert die Erstellung neuer API-Connectors in Power Platform, insbesondere für eine vordefinierte Liste vertraulicher Umgebungen. | Fügen Sie einen neuen Power Platform-Connector in einer vertraulichen Power Platform-Umgebung hinzu. Datenquellen: - Microsoft Power Platform-Administratoraktivität (Vorschau) PowerPlatformAdminActivity- Power Platform-Bestand (mit Azure Functions) InventoryAppsInventoryEnvironmentsInventoryAppsConnections |
Ausführung, Exfiltration |
| PowerPlatform – DLP-Richtlinie aktualisiert oder entfernt | Identifiziert Änderungen an der Richtlinie zum Verhindern von Datenverlust, insbesondere Richtlinien, die aktualisiert oder entfernt werden. | Aktualisieren oder entfernen Sie eine Power Platform-Richtlinie zum Verhindern von Datenverlusten in der Power Platform-Umgebung. Datenquellen: Microsoft Power Platform Admin Activity (Vorschau) PowerPlatformAdminActivity |
Umgehen von Verteidigungsmaßnahmen |
| Dataverse – Exfiltration von Gastbenutzern nach Beeinträchtigung des Power Platform-Schutzes | Identifiziert eine Folge von Ereignissen, die mit dem Deaktivieren der Power Platform-Mandantenisolierung und dem Entfernen der Zugriffssicherheitsgruppe einer Umgebung beginnt Diese Ereignisse werden mit Dataverse-Exfiltrationswarnungen im Zusammenhang mit der betroffenen Umgebung und kürzlich erstellten Microsoft Entra-Gastbenutzern korreliert. Aktivieren Sie andere Dataverse-Analyseregeln mit der MITRE-Taktik „Exfiltration“, bevor Sie diese Regel aktivieren. |
Als kürzlich erstellter Gastbenutzer lösen Sie Dataverse-Exfiltrationswarnungen aus, nachdem die Power Platform-Sicherheitskontrollen deaktiviert wurden. Datenquellen: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity- Power Platform-Bestand (mit Azure Functions) InventoryEnvironments |
Umgehen von Verteidigungsmaßnahmen |
| Dataverse – Massenexport von Datensätzen nach Excel | Identifiziert Benutzer, die eine große Anzahl an Datensätzen aus Dynamics 365 nach Excel exportieren. Die Anzahl der exportierten Datensätze ist wesentlich höher als alle anderen aktuellen Aktivitäten dieses Benutzers. Große Exporte von Benutzern ohne aktuelle Aktivitäten werden mithilfe eines vordefinierten Schwellenwerts identifiziert. | Exportieren Sie viele Datensätze aus Dataverse nach Excel. Datenquellen: - Dataverse DataverseActivity- Power Platform-Bestand (mit Azure Functions) InventoryEnvironments |
Exfiltration |
| Dataverse – Massenabruf von Benutzern außerhalb normaler Aktivitäten | Identifiziert Benutzer, die erheblich mehr Datensätze aus Dataverse abrufen als in den letzten 2 Wochen. | Benutzer ruft viele Datensätze aus Dataverse ab Datenquellen: - Dataverse DataverseActivity- Power Platform-Bestand (mit Azure Functions) InventoryEnvironments |
Exfiltration |
| Power Apps – Massenfreigabe von Power Apps für neu erstellte Gastbenutzer | Identifiziert ungewöhnliche Massenfreigaben von Power Apps für neu erstellte Microsoft Entra-Gastbenutzer. Ungewöhnliche Massenfreigabe basiert auf einem vordefinierten Schwellenwert in der Abfrage. | Geben Sie eine App für mehrere externe Benutzer frei. Datenquellen: - Microsoft Power Platform-Administratoraktivität (Vorschau) PowerPlatformAdminActivity- Power Platform-Bestand (mit Azure Functions) InventoryAppsInventoryEnvironments– Microsoft Entra ID AuditLogs |
Ressourcenentwicklung, Erstzugriff, Laterale Bewegung |
| Power Automate – ungewöhnliche Massenlöschung von Flow-Ressourcen | Identifiziert das Massenlöschen von Power Automate-Flows, die einen vordefinierten Schwellenwert überschreiten, der in der Abfrage definiert ist, und die von Aktivitätsmustern abweichen, die in den letzten 14 Tagen beobachtet wurden. | Massenlöschung von Power Automate-Flows. Datenquellen: - PowerAutomate PowerAutomateActivity |
Auswirkung, Umgehen von Verteidigungsmaßnahmen |
| Power Platform – Möglicherweise kompromittierter Benutzer greift auf Power Platform-Dienste zu | Identifiziert Benutzerkonten, die in Microsoft Entra Identity Protection als gefährdet gekennzeichnet sind, und korreliert diese Benutzer mit Anmeldeaktivitäten in Power Platform, einschließlich Power Apps, Power Automate und Power Platform Admin Center. | Der Benutzer mit Risikosignalen greift auf Power Platform-Portale zu. Datenquellen: – Microsoft Entra ID SigninLogs |
Erstzugriff, Lateral Movement |
Integrierte Parser
Die Lösung enthält Parser, die für den Zugriff auf Daten aus den Rohdatentabellen verwendet werden. Parser stellen sicher, dass die richtigen Daten mit einem einheitlichen Schema zurückgegeben werden. Es wird empfohlen, die Parser zu verwenden, anstatt die Bestandstabellen und Watchlists direkt abzufragen. Die zugehörigen Parser des Power Platform-Bestands geben Daten der letzten 7 Tage zurück.
| Parser | Zurückgegebene Daten | Abgefragte Tabelle |
|---|---|---|
InventoryApps |
Power Apps-Bestand | PowerApps_CL |
InventoryAppsConnections |
Power Apps-Verbindungen, Bestandsverbindungen | PowerAppsConnections_CL |
InventoryEnvironments |
Bestand an Power Platform-Umgebungen | PowerPlatrformEnvironments_CL |
InventoryFlows |
Bestand an Power Automate-Flows | PowerAutomateFlows_CL |
MSBizAppsTerminatedEmployees |
Watchlist für ausgeschiedene Mitarbeiter (aus der Watchlist-Vorlage) | TerminatedEmployees |
GetPowerAppsEventDetails |
Gibt geparste Ereignisdetails für Power Apps/Verbindungen zurück | PowerPlatformAdminActivity |
Weitere Informationen finden Sie unter Sofort einsatzbereite Erkennung von Bedrohungen.