Teilen über


Microsoft Sentinel-Lösung für Microsoft Power Platform: Referenz zu Sicherheitsinhalten

In diesem Artikel werden die sicherheitsbezogenen Inhalte für die Microsoft Sentinel-Lösung für Power Platform detailliert beschrieben. Weitere Informationen zu dieser Lösung finden Sie unter Übersicht über die Microsoft Sentinel-Lösung für Microsoft Power Platform.

Wichtig

  • Die Microsoft Sentinel-Lösung für Power Platform befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
  • Die Lösung ist ein Premium-Angebot. Preisinformationen werden zur Verfügung gestellt, bevor die Lösung allgemein verfügbar wird.
  • Geben Sie Feedback zu dieser Lösung, indem Sie diese Umfrage beantworten: https://aka.ms/SentinelPowerPlatformSolutionSurvey.

Integrierte Analyseregeln

Die folgenden Analyseregeln sind enthalten, wenn Sie die Lösung für Power Platform installieren. Die aufgeführten Datenquellen enthalten den Namen und die Tabelle des Datenconnectors in Log Analytics. Zur Vermeidung fehlender Daten in den Bestandsquellen empfiehlt es sich, den in den Analyseregelvorlagen definierten standardmäßigen Rückblickzeitraum nicht zu ändern.

Regelname Beschreibung Quellaktion Taktik
PowerApps – App-Aktivität von nicht autorisiertem geografischem Standort Identifiziert Power Apps-Aktivitäten aus Ländern in einer vordefinierten Liste nicht autorisierter Länder.

Rufen Sie die Liste der ISO 3166-1-Alpha-2-Landeskennzahlen von ISO Online Browsing Platform (OBP) ab.

Diese Erkennung verwendet Protokolle von Microsoft Entra ID und erfordert, dass Sie auch den Microsoft Entra ID-Datenconnector aktivieren.
Führen Sie eine Aktivität in Power App aus einem Land aus, das sich in der Liste der nicht autorisierten Landeskennzahlen befindet.

Datenquellen:
- Power Platform-Bestand (mit Azure Functions)
InventoryApps
InventoryEnvironments
- Microsoft Power Platform-Administratoraktivität (Vorschau)
PowerPlatformAdminActivity
– Microsoft Entra ID
SigninLogs
Erstzugriff
PowerApps – mehrere Apps gelöscht Identifiziert Massenlöschaktivitäten, bei denen mehrere Power Apps gelöscht werden, die einem vordefinierten Schwellenwert für insgesamt gelöschte Apps oder für von Apps gelöschte Ereignisse in mehreren Power Platform-Umgebungen entsprechen. Löschen Sie viele Power Apps aus dem Power Platform Admin Center.

Datenquellen:
- Power Platform-Bestand (mit Azure Functions)
InventoryApps
InventoryEnvironments
- Microsoft Power Platform-Administratoraktivität (Vorschau)
PowerPlatformAdminActivity
Auswirkung
PowerApps – Datenvernichtung nach der Veröffentlichung einer neuen App Identifiziert eine Kette von Ereignissen, wenn eine neue App erstellt oder veröffentlicht wird und wenn innerhalb von einer Stunde Massenaktualisierungs- oder -löschereignisse in Dataverse folgen. Wenn sich der App-Herausgeber in der Liste der Benutzer in der Watchlist-Vorlage TerminatedEmployees befindet, wird der Schweregrad des Vorfalls ausgelöst. Löschen Sie eine Reihe von Datensätzen in Power Apps innerhalb von 1 Stunde nach der Erstellung oder Veröffentlichung von Power Apps.

Datenquellen:
- Power Platform-Bestand (mit Azure Functions)
InventoryApps
InventoryEnvironments
- Microsoft Power Platform-Administratoraktivität (Vorschau)
PowerPlatformAdminActivity
- Microsoft Dataverse (Vorschau)
DataverseActivity
Auswirkung
PowerApps – mehrere Benutzer, die nach dem Starten einer neuen App auf einen schädlichen Link zugreifen Identifiziert eine Kette von Ereignissen, wenn eine neue Power App erstellt wird und diese Ereignisse folgen:
- Mehrere Benutzer starten die App im Erkennungsfenster.
- Mehrere Benutzer öffnen dieselbe schädliche URL.

Diese Erkennung korreliert Power Apps-Ausführungsprotokolle übergreifend mit Klicks auf schädliche URLs von einer der folgenden Quellen:
- Microsoft 365 Defender-Datenconnector oder
- Kompromittierungsindikatoren für schädliche URLs in Microsoft Sentinel Threat Intelligence mit dem Normalisierungsparser für ASIM-Websitzungen (Advanced Security Information Model).

Rufen Sie die unterschiedliche Anzahl von Benutzern ab, die den schädlichen Link aufrufen oder darauf klicken, indem Sie eine Abfrage erstellen.
Mehrere Benutzer starten eine neue PowerApp und öffnen eine bekannte schädliche URL in der App.

Datenquellen:
- Power Platform-Bestand (mit Azure Functions)
InventoryApps
InventoryEnvironments
- Microsoft Power Platform-Administratoraktivität (Vorschau)
PowerPlatformAdminActivity
- Threat Intelligence
ThreatIntelligenceIndicator
- Microsoft Defender XDR
UrlClickEvents
Erstzugriff
PowerAutomate – Flow-Aktivität des ausscheidenden Mitarbeiters Identifiziert Instanzen, bei denen ein Mitarbeiter, der benachrichtigt oder bereits beendet wurde und sich in der Watchlist Ausgeschiedene Mitarbeiter befindet, einen Power Automate-Flow erstellt oder ändert. Der in der Watchlist Ausgeschiedene Mitarbeiter definierte Benutzer erstellt oder aktualisiert einen Power Automate-Flow.

Datenquellen:
Microsoft Power Automate (Vorschau)
PowerAutomateActivity
- Power Platform-Bestand (mit Azure Functions)
InventoryFlows
InventoryEnvironments
Watchlist für ausgeschiedene Mitarbeiter
Exfiltration, Auswirkung
PowerPlatform – Connector zu einer vertraulichen Umgebung hinzugefügt Identifiziert die Erstellung neuer API-Connectors in Power Platform, insbesondere für eine vordefinierte Liste vertraulicher Umgebungen. Fügen Sie einen neuen Power Platform-Connector in einer vertraulichen Power Platform-Umgebung hinzu.

Datenquellen:
- Microsoft Power Platform-Administratoraktivität (Vorschau)
PowerPlatformAdminActivity
- Power Platform-Bestand (mit Azure Functions)
InventoryApps
InventoryEnvironments
InventoryAppsConnections
Ausführung, Exfiltration
PowerPlatform – DLP-Richtlinie aktualisiert oder entfernt Identifiziert Änderungen an der Richtlinie zum Verhindern von Datenverlust, insbesondere Richtlinien, die aktualisiert oder entfernt werden. Aktualisieren oder entfernen Sie eine Power Platform-Richtlinie zum Verhindern von Datenverlusten in der Power Platform-Umgebung.

Datenquellen:
Microsoft Power Platform Admin Activity (Vorschau)
PowerPlatformAdminActivity
Umgehen von Verteidigungsmaßnahmen
Dataverse – Exfiltration von Gastbenutzern nach Beeinträchtigung des Power Platform-Schutzes Identifiziert eine Folge von Ereignissen, die mit dem Deaktivieren der Power Platform-Mandantenisolierung und dem Entfernen der Zugriffssicherheitsgruppe einer Umgebung beginnt Diese Ereignisse werden mit Dataverse-Exfiltrationswarnungen im Zusammenhang mit der betroffenen Umgebung und kürzlich erstellten Microsoft Entra-Gastbenutzern korreliert.

Aktivieren Sie andere Dataverse-Analyseregeln mit der MITRE-Taktik „Exfiltration“, bevor Sie diese Regel aktivieren.
Als kürzlich erstellter Gastbenutzer lösen Sie Dataverse-Exfiltrationswarnungen aus, nachdem die Power Platform-Sicherheitskontrollen deaktiviert wurden.

Datenquellen:
- PowerPlatformAdmin
PowerPlatformAdminActivity

- Dataverse
DataverseActivity
- Power Platform-Bestand (mit Azure Functions)
InventoryEnvironments
Umgehen von Verteidigungsmaßnahmen
Dataverse – Massenexport von Datensätzen nach Excel Identifiziert Benutzer, die eine große Anzahl an Datensätzen aus Dynamics 365 nach Excel exportieren. Die Anzahl der exportierten Datensätze ist wesentlich höher als alle anderen aktuellen Aktivitäten dieses Benutzers. Große Exporte von Benutzern ohne aktuelle Aktivitäten werden mithilfe eines vordefinierten Schwellenwerts identifiziert. Exportieren Sie viele Datensätze aus Dataverse nach Excel.

Datenquellen:
- Dataverse
DataverseActivity
- Power Platform-Bestand (mit Azure Functions)
InventoryEnvironments
Exfiltration
Dataverse – Massenabruf von Benutzern außerhalb normaler Aktivitäten Identifiziert Benutzer, die erheblich mehr Datensätze aus Dataverse abrufen als in den letzten 2 Wochen. Benutzer ruft viele Datensätze aus Dataverse ab

Datenquellen:
- Dataverse
DataverseActivity
- Power Platform-Bestand (mit Azure Functions)
InventoryEnvironments
Exfiltration
Power Apps – Massenfreigabe von Power Apps für neu erstellte Gastbenutzer Identifiziert ungewöhnliche Massenfreigaben von Power Apps für neu erstellte Microsoft Entra-Gastbenutzer. Ungewöhnliche Massenfreigabe basiert auf einem vordefinierten Schwellenwert in der Abfrage. Geben Sie eine App für mehrere externe Benutzer frei.

Datenquellen:
- Microsoft Power Platform-Administratoraktivität (Vorschau)
PowerPlatformAdminActivity
- Power Platform-Bestand (mit Azure Functions)
InventoryApps
InventoryEnvironments
– Microsoft Entra ID
AuditLogs
Ressourcenentwicklung,
Erstzugriff,
Laterale Bewegung
Power Automate – ungewöhnliche Massenlöschung von Flow-Ressourcen Identifiziert das Massenlöschen von Power Automate-Flows, die einen vordefinierten Schwellenwert überschreiten, der in der Abfrage definiert ist, und die von Aktivitätsmustern abweichen, die in den letzten 14 Tagen beobachtet wurden. Massenlöschung von Power Automate-Flows.

Datenquellen:
- PowerAutomate
PowerAutomateActivity
Auswirkung,
Umgehen von Verteidigungsmaßnahmen
Power Platform – Möglicherweise kompromittierter Benutzer greift auf Power Platform-Dienste zu Identifiziert Benutzerkonten, die in Microsoft Entra Identity Protection als gefährdet gekennzeichnet sind, und korreliert diese Benutzer mit Anmeldeaktivitäten in Power Platform, einschließlich Power Apps, Power Automate und Power Platform Admin Center. Der Benutzer mit Risikosignalen greift auf Power Platform-Portale zu.

Datenquellen:
– Microsoft Entra ID
SigninLogs
Erstzugriff, Lateral Movement

Integrierte Parser

Die Lösung enthält Parser, die für den Zugriff auf Daten aus den Rohdatentabellen verwendet werden. Parser stellen sicher, dass die richtigen Daten mit einem einheitlichen Schema zurückgegeben werden. Es wird empfohlen, die Parser zu verwenden, anstatt die Bestandstabellen und Watchlists direkt abzufragen. Die zugehörigen Parser des Power Platform-Bestands geben Daten der letzten 7 Tage zurück.

Parser Zurückgegebene Daten Abgefragte Tabelle
InventoryApps Power Apps-Bestand PowerApps_CL
InventoryAppsConnections Power Apps-Verbindungen, Bestandsverbindungen PowerAppsConnections_CL
InventoryEnvironments Bestand an Power Platform-Umgebungen PowerPlatrformEnvironments_CL
InventoryFlows Bestand an Power Automate-Flows PowerAutomateFlows_CL
MSBizAppsTerminatedEmployees Watchlist für ausgeschiedene Mitarbeiter (aus der Watchlist-Vorlage) TerminatedEmployees
GetPowerAppsEventDetails Gibt geparste Ereignisdetails für Power Apps/Verbindungen zurück PowerPlatformAdminActivity

Weitere Informationen finden Sie unter Sofort einsatzbereite Erkennung von Bedrohungen.