Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die sicherheitsbezogenen Inhalte für die Microsoft Sentinel-Lösung für Power Platform detailliert beschrieben. Weitere Informationen zu dieser Lösung finden Sie unter Übersicht über die Microsoft Sentinel-Lösung für Microsoft Power Platform und Microsoft Dynamics 365 Customer Engagement.
Integrierte Analyseregeln
Die folgenden Analyseregeln sind enthalten, wenn Sie die Lösung für Power Platform installieren. Die aufgeführten Datenquellen enthalten den Namen und die Tabelle des Datenconnectors in Log Analytics.
Dataverse-Regeln
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| Dataverse – Anomale Anwendungsbenutzeraktivität | Identifiziert Anomalien in Aktivitätsmustern von Dataverse-Anwendungsbenutzer*innen (nicht interaktiv), basierend auf Aktivitäten, die außerhalb des normalen Verwendungsmusters fallen. | Ungewöhnliche S2S-Benutzeraktivitäten in Dynamics 365 / Dataverse. Datenquellen: - Datenverse DataverseActivity |
CredentialAccess, Ausführung, Persistenz |
| Dataverse – Löschen von Überwachungsprotokolldaten | Identifiziert Löschaktivität von Überwachungsprotokolldaten in Dataverse. | Löschen von Dataverse-Überwachungsprotokollen. Datenquellen: - Datenverse DataverseActivity |
VerteidigungUmgehung |
| Dataverse – Überwachungsprotokollierung deaktiviert | Identifiziert eine Änderung der Systemüberwachungskonfiguration, bei der die Überwachungsprotokollierung deaktiviert ist. | Die Prüfung auf Global- oder Entitätsebene ist deaktiviert. Datenquellen: - Datenverse DataverseActivity |
VerteidigungUmgehung |
| Dataverse – Erneute Zuweisung oder Freigabe von Massendatensatzbesitz | Identifiziert Änderungen des Besitzes einzelner Datensätze, einschließlich: – Teilen von Aufzeichnungen mit anderen Benutzer*innen/Teams – Besitzzuweisungen, die einen vordefinierten Schwellenwert überschreiten. |
Viele Datensatzbesitz- und Datensatzfreigabeereignisse wurden im Erkennungsfenster generiert. Datenquellen: - Datenverse DataverseActivity |
PrivilegienEskalation |
| Dataverse – Ausführbare Datei hochgeladen auf die SharePoint-Dokumentenverwaltungswebsite | Identifiziert ausführbare Dateien und Skripts, die auf SharePoint-Websites hochgeladen werden, die für die Dynamics-Dokumentenverwaltung verwendet werden, wobei native Dateierweiterungsbeschränkungen in Dataverse umgangen werden. | Hochladen von ausführbaren Dateien in der Dataverse-Dokumentenverwaltung. Datenquellen: – Office365 OfficeActivity (SharePoint) |
Ausführung, Persistenz |
| Dataverse – Exportaktivität von entlassenen oder benachrichtigten Mitarbeitern | Identifiziert Dataverse-Exportaktivität, die durch entlassene Mitarbeitende oder Mitarbeitende, die kurz davor sind das Unternehmen zu verlassen, ausgelöst wurde. | Datenexportereignisse, die Benutzer*innen in der Watchlist-Vorlage TerminatedEmployees zugeordnet sind. Datenquellen: - Datenverse DataverseActivity |
Exfiltration |
| Dataverse – Exfiltration von Gastbenutzern nach Beeinträchtigung des Power Platform-Schutzes | Identifiziert eine Ereigniskette, die mit dem Deaktivieren der Power Platform-Tenant-Isolierung und dem Entfernen der Zugriffssicherheitsgruppe einer Umgebung beginnt. Diese Ereignisse werden mit Dataverse-Exfiltrationswarnungen im Zusammenhang mit der betroffenen Umgebung und kürzlich erstellten Microsoft Entra-Gastbenutzern korreliert. Aktivieren Sie andere Dataverse-Analyseregeln mit der MITRE-Taktik Exfiltration, bevor Sie diese Regel aktivieren. |
Als kürzlich erstellter Gastbenutzer lösen Sie Dataverse-Exfiltrationswarnungen aus, nachdem die Power Platform-Sicherheitskontrollen deaktiviert wurden. Datenquellen: - PowerPlatform-Administrator PowerPlatformAdminActivity- Datenverse DataverseActivity |
Umgehen von Verteidigungsmaßnahmen |
| Dataverse – Hierarchiesicherheitsmanipulation | Identifiziert verdächtige Verhaltensweisen in Hierarchiesicherheit. | Änderungen an Sicherheitseigenschaften, einschließlich: – Hierarchiesicherheit deaktiviert. – Benutzende weisen sich selbst als Manager zu. - Benutzer weist sich selbst einer überwachten Position zu (in KQL festgelegt). Datenquellen: - Datenverse DataverseActivity |
PrivilegienEskalation |
| Dataverse – Honeypot-Instanzaktivität | Identifiziert Aktivitäten in einer vordefinierten Honeypot-Dataverse-Instanz. Benachrichtigt entweder, wenn eine Anmeldung beim Honeypot erkannt wird oder wenn auf überwachte Dataverse-Tabellen im Honeypot zugegriffen wird. |
Melden Sie sich in einer designierten Honeypot-Dataverse-Instanz in Power Platform mit aktivierter Überwachung an und greifen Sie auf Daten zu. Datenquellen: - Datenverse DataverseActivity |
Ermittlung, Exfiltration |
| Dataverse – Anmeldung durch vertrauliche privilegierte Benutzer*innen | Identifiziert Dataverse- und Dynamics 365-Anmeldungen durch vertrauliche Benutzer*innen. | Anmeldungen von Benutzenden, die auf der Watchlist VIPUsers basierend auf Kategorien hinzugefügt wurden, die in KQL festgelegt sind. Datenquellen: - Datenverse DataverseActivity |
Erstzugriff, Zugang mit Anmeldedaten, Rechteerweiterung |
| Dataverse – Anmeldung von einer IP-Adresse in der Sperrliste | Identifiziert Dataverse-Anmeldeaktivität von IPv4-Adressen, die sich auf einer vordefinierten Sperrliste befinden. | Anmeldungen von Benutzer*innen mit einer IP-Adresse, die Teil eines blockierten Netzwerkbereichs ist. Blockierte Netzwerkbereiche werden in der Watchlist-Vorlage NetworkAddresses verwaltet. Datenquellen: - Datenverse DataverseActivity |
Erstzugriff |
| Dataverse – Anmeldung von IP, die nicht in der Zulassungsliste ist | Identifiziert Anmeldungen von IPv4-Adressen, die nicht mit IPv4-Subnetzen übereinstimmen, die in einer Zulassungsliste verwaltet werden. | Anmeldungen von Benutzer*innen mit einer IP-Adresse, die nicht Teil eines zulässigen Netzwerkbereichs ist. Blockierte Netzwerkbereiche werden in der Watchlist-Vorlage NetworkAddresses verwaltet. Datenquellen: - Datenverse DataverseActivity |
Erstzugriff |
| Dataverse – Schadsoftware auf SharePoint-Dokumentenverwaltungswebsite gefunden | Identifiziert Schadsoftware, die über die Dynamics 365-Dokumentenverwaltung oder direkt in SharePoint hochgeladen wurde, was sich auf die zugeordneten SharePoint-Websites von Dataverse auswirkt. | Schädliche Datei auf SharePoint-Website, die mit Dataverse verknüpft ist. Datenquellen: - Datenverse DataverseActivity– Office365 OfficeActivity (SharePoint) |
Ausführung |
| Dataverse – Massenlöschung von Datensätzen | Identifiziert Vorgänge zum Löschen großer Datensätze basierend auf einem vordefinierten Schwellenwert. Erkennt auch geplante Massenlöschungsaufträge. |
Löschen von Datensätzen, die den in KQL definierten Schwellenwert überschreiten. Datenquellen: - Datenverse DataverseActivity |
Auswirkung |
| Dataverse – Massendownload aus der SharePoint-Dokumentenverwaltung | Identifiziert den Massendownload in der letzten Stunde von Dateien von SharePoint-Websites, die für die Dokumentenverwaltung in Dynamics 365 konfiguriert sind. | Massendownload, der den in KQL definierten Schwellenwert überschreitet. Diese Analyseregel verwendet die Watchlist MSBizApps-Configuration, um SharePoint-Websites zu identifizieren, die für die Dokumentenverwaltung verwendet werden. Datenquellen: – Office365 OfficeActivity (SharePoint) |
Exfiltration |
| Dataverse – Massenexport von Datensätzen nach Excel | Identifiziert Benutzer*innen, die eine große Anzahl von Datensätzen aus Dynamics 365 nach Excel exportieren, wobei die Anzahl der exportierten Datensätze wesentlich mehr als alle anderen letzten Aktivitäten dieser Benutzer*innen ist. Große Exporte von Benutzern ohne aktuelle Aktivitäten werden mithilfe eines vordefinierten Schwellenwerts identifiziert. |
Exportieren Sie viele Datensätze aus Dataverse nach Excel. Datenquellen: - Datenverse DataverseActivity |
Exfiltration |
| Dataverse – Massendatensatzupdates | Erkennt Änderungen von Massendatensatzupdates in Dataverse und Dynamics 365, die einen vordefinierten Schwellenwert überschreiten. | Das Massenupdate von Datensätzen überschreitet den in KQL definierten Schwellenwert. Datenquellen: - Datenverse DataverseActivity |
Auswirkung |
| Dataverse – Neuer Aktivitätstyp für Dataverse-Anwendungsbenutzer*innen | Identifiziert neue oder zuvor nicht angezeigte Aktivitätstypen, die einer Dataverse-Anwendung (nicht interaktiv) zugeordnet sind. | Neue S2S-Benutzeraktivitätstypen. Datenquellen: - Datenverse DataverseActivity |
CredentialAccess, Ausführung, PrivilegeEscalation |
| Dataverse – Neue nicht interaktive Identität hat Zugriff erhalten | Identifiziert Zugriffsautorisierungen auf API-Ebene, entweder über die delegierten Berechtigungen einer Microsoft Entra-Anwendung oder durch direkte Zuweisung innerhalb von Dataverse als Anwendungsbenutzer*in. | Dataverse-Berechtigungen, die nicht interaktiven Benutzenden hinzugefügt wurden. Datenquellen: - Datenverse DataverseActivity,– AzureActiveDirectory AuditLogs |
Persistenz, LateralMovement, PrivilegeEscalation |
| Dataverse – Neue Anmeldung aus einer nicht autorisierten Domäne | Identifiziert Dataverse-Anmeldeaktivitäten, die von Benutzer*innen mit UPN-Suffixen stammen, die in den letzten 14 Tagen noch nicht angezeigt wurden und nicht in einer vordefinierten Liste autorisierter Domänen vorhanden sind. Allgemeine interne Power Platform-Systembenutzer*innen werden standardmäßig ausgeschlossen. |
Anmeldungen externer Benutzer*innen von einem nicht autorisierten Domänensuffix. Datenquellen: - Datenverse DataverseActivity |
Erstzugriff |
| Dataverse – Neuer Benutzer-Agent-Typ, der noch nicht verwendet wurde | Identifiziert Benutzer*innen, die auf Dataverse von einem Benutzer-Agent zugreifen, der in den letzten 14 Tagen in keiner Dataverse-Instanz angezeigt wurde. | Aktivität in Dataverse von einem neuen Benutzer-Agent. Datenquellen: - Datenverse DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse – Neuer Benutzer-Agent-Typ, der nicht mit Office 365 verwendet wurde | Identifiziert Benutzer*innen, die auf Dynamics mit einem Benutzer-Agent zugreifen, der in den letzten 14 Tagen in keinem Office 365-Workload angezeigt wurde. | Aktivität in Dataverse von einem neuen Benutzer-Agent. Datenquellen: - Datenverse DataverseActivity |
Erstzugriff |
| Dataverse – Geänderte Organisationseinstellungen | Identifiziert Änderungen, die auf Organisationsebene in der Dataverse-Umgebung vorgenommen wurden. | Eigenschaft auf Organisationsebene in Dataverse geändert. Datenquellen: - Datenverse DataverseActivity |
Persistenz |
| Dataverse – Entfernen blockierter Dateierweiterungen | Identifiziert Änderungen an den blockierten Dateierweiterungen einer Umgebung und extrahiert die entfernte Erweiterung. | Entfernen von blockierten Dateierweiterungen in Dataverse-Eigenschaften. Datenquellen: - Datenverse DataverseActivity |
VerteidigungUmgehung |
| Dataverse – SharePoint-Dokumentenverwaltungswebsite hinzugefügt oder aktualisiert | Identifiziert Änderungen der SharePoint-Dokumentenverwaltungsintegration. Die Dokumentenverwaltung ermöglicht die Speicherung von Daten, die sich extern auf Dataverse befinden. Kombinieren Sie diese Analyseregel mit dem Playbook Dataverse: Hinzufügen von SharePoint-Websites zu Watchlist, um die Watchlist Dataverse-SharePointSites automatisch zu aktualisieren. Diese Watchlist kann verwendet werden, um Ereignisse zwischen Dataverse und SharePoint bei Verwendung des Office 365-Datenconnectors zu korrelieren. |
SharePoint-Site-Mapping wird in der Dokumentenverwaltung hinzugefügt. Datenquellen: - Datenverse DataverseActivity |
Exfiltration |
| Dataverse – Verdächtige Sicherheitsrollenänderungen | Identifiziert ein ungewöhnliches Ereignismuster, bei dem eine neue Rolle erstellt wird und von Erstellenden Mitglieder zur Rolle hinzufügt werden, nur um später das Mitglied wieder zu entfernen oder die Rolle nach einem kurzen Zeitraum zu löschen. | Änderungen an Sicherheitsrollen und Rollenzuweisungen. Datenquellen: - Datenverse DataverseActivity |
PrivilegienEskalation |
| Dataverse – Verdächtige Verwendung des TDS-Endpunkts | Identifiziert protokollbasierte Dataverse-TDS-(Tabular Data Stream-)Abfragen, in denen die Quellbenutzer*innen oder IP-Adressen kürzlich Sicherheitswarnungen erhalten hatten und das TDS-Protokoll zuvor nicht in der Zielumgebung verwendet worden war. | Plötzliche Verwendung des TDS-Endpunkts in Korrelation mit Sicherheitswarnungen. Datenquellen: - Datenverse DataverseActivity– AzureActiveDirectoryIdentityProtection SecurityAlert |
Exfiltration, InitialAccess |
| Dataverse – Verdächtige Verwendung der Web-API | Identifiziert Anmeldungen in mehreren Dataverse-Umgebungen, die einen vordefinierten Schwellenwert verletzen und von Benutzer*innen mit einer IP-Adresse stammen, die zum Anmelden bei einer bekannten Microsoft Entra-App-Registrierung verwendet wurde. | Anmeldungen mithilfe der WebAPI über mehrere Umgebungen hinweg mit einer bekannten öffentlichen Anwendungs-ID. Datenquellen: - Datenverse DataverseActivity– AzureActiveDirectory SigninLogs |
Ausführung, Exfiltration, Aufklärung, Ermittlung |
| Dataverse – TI-Zuordnung von IP zu DataverseActivity | Identifiziert eine Übereinstimmung in DataverseActivity von jedem IP-IOC von Microsoft Sentinel Threat Intelligence. | Dataverse-Aktivität mit IOC, der mit IP übereinstimmt. Datenquellen: - Datenverse DataverseActivityBedrohungsintelligenz ThreatIntelligenceIndicator |
InitialAccess, LateralMovement, Ermittlung |
| Dataverse – TI-Zuordnung von URL zu DataverseActivity | Identifiziert eine Übereinstimmung in DataverseActivity von jedem URL-IOC von Microsoft Sentinel Threat Intelligence. | Dataverse-Aktivität mit IOC, der mit URL übereinstimmt. Datenquellen: - Datenverse DataverseActivityBedrohungsintelligenz ThreatIntelligenceIndicator |
InitialAccess, Ausführung, Persistenz |
| Dataverse – Exfiltration von gekündigten Mitarbeitenden per E-Mail | Identifiziert Dataverse-Exfiltration per E-Mail durch entlassene Mitarbeitende. | E-Mails, die nach Sicherheitswarnungen, die mit Benutzer*innen in der Watchlist TerminatedEmployees korrelieren, an nicht vertrauenswürdige Empfangsdomänen gesendet wurden. Datenquellen: MicrosoftBedrohungsschutz EmailEventsIdentityInfo– AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
Exfiltration |
| Dataverse – Exfiltration von entlassenen Mitarbeitenden an USB-Laufwerk | Identifiziert Dateien, die von ausscheidenden oder entlassenen Mitarbeitenden von Dataverse heruntergeladen und auf USB-eingebundene Laufwerke kopiert wurden. | Dateien, die von Dataverse stammen und von Benutzer*innen auf der Watchlist TerminatedEmployees auf USB kopiert wurden. Datenquellen: - Datenverse DataverseActivity– MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Exfiltration |
| Dataverse – Ungewöhnliche Anmeldung nach deaktiviertem IP-adressbasierten Cookie-Bindungsschutz | Identifiziert zuvor nicht angezeigte IP- und Benutzer-Agents in einer Dataverse-Instanz nach der Deaktivierung des Cookie-Bindungsschutzes. Weitere Informationen finden Sie unter Schützen von Dataverse-Sitzungen mit IP-Cookiebindung. |
Neue Anmeldeaktivität. Datenquellen: - Datenverse DataverseActivity |
VerteidigungUmgehung |
| Dataverse – Massenabfrage von Benutzerdaten außerhalb normaler Aktivitäten | Identifiziert Benutzer*innen, die erheblich mehr Datensätze aus Dataverse abrufen als in den letzten zwei Wochen. | Benutzer*innen rufen viele Datensätze aus Dataverse ab, einschließlich der KQL-definierten Schwellenwerte. Datenquellen: - Datenverse DataverseActivity |
Exfiltration |
Power Apps-Regeln
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| Power Apps – App-Aktivität von nicht autorisiertem geografischem Standort | Identifiziert Power Apps-Aktivitäten aus geografischen Regionen in einer vordefinierten Liste nicht autorisierter geografischer Regionen. Diese Erkennung ruft die Liste der ISO-3166-1-Alpha-2-Landesvorwahlen der ISO Online Browsing Platform (OBP) ab. Diese Erkennung verwendet Protokolle von Microsoft Entra ID und erfordert zudem, dass Sie den Microsoft Entra ID-Datenconnector aktivieren. |
Führen Sie eine Aktivität in einer Power App von einer geografischen Region aus, die auf der Liste der nicht autorisierten Ländercodes steht. Datenquellen: – Microsoft Power Platform-Administratoraktivität PowerPlatformAdminActivity– Microsoft Entra ID SigninLogs |
Erstzugriff |
| Power Apps – Mehrere Apps gelöscht | Identifiziert Massenlöschaktivitäten, bei denen mehrere Power Apps gelöscht werden, die einem vordefinierten Schwellenwert für insgesamt gelöschte Apps oder für von Apps gelöschte Ereignisse in mehreren Power Platform-Umgebungen entsprechen. | Löschen Sie viele Power Apps aus dem Power Platform Admin Center. Datenquellen: – Microsoft Power Platform-Administratoraktivität PowerPlatformAdminActivity |
Auswirkung |
| Power Apps – Datenvernichtung nach der Veröffentlichung einer neuen App | Identifiziert eine Kette von Ereignissen, wenn eine neue App erstellt oder veröffentlicht wird und wenn innerhalb von einer Stunde ein Massenupdate- oder -löschereignis in Dataverse folgt. | Löschen Sie viele Datensätze in Power Apps innerhalb von 1 Stunde, nachdem die Power App erstellt oder veröffentlicht wurde. Wenn sich der App-Herausgeber in der Liste der Benutzer in der Watchlist-Vorlage TerminatedEmployees befindet, wird der Schweregrad des Vorfalls erhöht. Datenquellen: – Microsoft Power Platform-Administratoraktivität PowerPlatformAdminActivity- Microsoft Dataverse DataverseActivity |
Auswirkung |
| Power Apps – Mehrere Benutzer*innen greifen nach dem Starten einer neuen App auf einen schädlichen Link zu | Identifiziert eine Kette von Ereignissen, wenn eine neue Power App erstellt wird und diese Ereignisse folgen: - Mehrere Benutzer starten die App im Erkennungsfenster. - Mehrere Benutzer öffnen dieselbe schädliche URL. Diese Erkennung korreliert Power Apps-Ausführungsprotokolle übergreifend mit Auswahlereignissen schädlicher URLs von einer der folgenden Quellen: – Microsoft 365 Defender-Datenconnector oder – Kompromittierungsindikatoren (IOC)für schädliche URLs in Microsoft Sentinel Threat Intelligence mit dem Normalisierungsparser für ASIM-Websitzungen (Advanced Security Information Model). Diese Erkennung ruft die unterschiedliche Anzahl von Benutzer*innen ab, die den schädlichen Link starten oder auswählen, indem eine Abfrage erstellt wird. |
Mehrere Benutzer starten eine neue PowerApp und öffnen eine bekannte schädliche URL in der App. Datenquellen: – Microsoft Power Platform-Administratoraktivität PowerPlatformAdminActivity- Bedrohungsaufklärung ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
Erstzugriff |
| Power Apps – Massenfreigabe von Power Apps für neu erstellte Gastbenutzer | Erkennt die ungewöhnliche Freigabe von Power Apps in großen Mengen an neu erstellte Microsoft Entra-Gastbenutzer. Ungewöhnliche Massenfreigabe basiert auf einem vordefinierten Schwellenwert in der Abfrage. | Geben Sie eine App für mehrere externe Benutzer frei. Datenquellen: – Microsoft Power Platform-Administratoraktivität PowerPlatformAdminActivity– Microsoft Entra IDAuditLogs |
Ressourcenentwicklung, Erstzugriff, Seitwärtsbewegung |
Power Automate-Regeln
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| Power Automate – Arbeitsablauf eines ausscheidenden Mitarbeitenden | Identifiziert Instanzen, bei denen ein Mitarbeiter, der benachrichtigt oder bereits beendet wurde und sich in der Watchlist Ausgeschiedene Mitarbeiter befindet, einen Power Automate-Flow erstellt oder ändert. | Die in der Watchlist TerminatedEmployees definierten Benutzer*innen erstellen oder aktualisieren einen Power Automate-Flow. Datenquellen: Microsoft Power Automate PowerAutomateActivityWatchlist TerminatedEmployees |
Exfiltration, Auswirkung |
| Power Automate – ungewöhnliche Massenlöschung von Flow-Ressourcen | Identifiziert das Massenlöschen von Power Automate-Flows, die einen vordefinierten Schwellenwert überschreiten, der in der Abfrage definiert ist, und die von Aktivitätsmustern abweichen, die in den letzten 14 Tagen beobachtet wurden. | Massenlöschung von Power Automate-Flows. Datenquellen: - PowerAutomatisieren PowerAutomateActivity |
Auswirkung, Umgehen von Verteidigungsmaßnahmen |
Power Platform-Regeln
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| Power Platform – Connector zu einer vertraulichen Umgebung hinzugefügt | Identifiziert die Erstellung neuer API-Connectors in Power Platform, insbesondere für eine vordefinierte Liste vertraulicher Umgebungen. | Fügen Sie einen neuen Power Platform-Connector in einer vertraulichen Power Platform-Umgebung hinzu. Datenquellen: – Microsoft Power Platform-Administratoraktivität PowerPlatformAdminActivity |
Ausführung, Exfiltration |
| Power Platform – DLP-Richtlinie aktualisiert oder entfernt | Identifiziert Änderungen an der Richtlinie zum Verhindern von Datenverlust, insbesondere Richtlinien, die aktualisiert oder entfernt werden. | Aktualisieren oder entfernen Sie eine Power Platform-Richtlinie zum Verhindern von Datenverlusten in der Power Platform-Umgebung. Datenquellen: Adminaktivität in Microsoft Power Platform PowerPlatformAdminActivity |
Umgehen von Verteidigungsmaßnahmen |
| Power Platform – Möglicherweise kompromittierter Benutzer greift auf Power Platform-Dienste zu | Identifiziert Benutzerkonten, die in Microsoft Entra ID Protection als gefährdet gekennzeichnet sind, und korreliert diese Benutzer*innen mit Anmeldeaktivitäten in Power Platform, einschließlich Power Apps, Power Automate und Power Platform Admin Center. | Der Benutzer mit Risikosignalen greift auf Power Platform-Portale zu. Datenquellen: – Microsoft Entra ID SigninLogs |
Erstzugriff, Seitliche Bewegung |
| Power Platform – Konto zu privilegierten Microsoft Entra-Rollen hinzugefügt | Identifiziert Änderungen an den folgenden privilegierten Verzeichnisrollen, die sich auf Power Platform auswirken: – Dynamics 365 Administratoren – Power Platform Administratoren – Fabric Administratoren |
Datenquellen: AzureActiveDirectory AuditLogs |
PrivilegienEskalation |
Hunting-Abfragen
Die Lösung umfasst Bedrohungssuchabfragen, die von Analyst*innen verwendet werden können, um schädliche oder verdächtige Aktivitäten in den Dynamics 365- und Power Platform-Umgebungen proaktiv zu suchen.
| Regelname | Beschreibung | Datenquelle | Taktik |
|---|---|---|---|
| Dataverse – Aktivität nach Microsoft Entra-Warnungen | Diese Hunting-Abfrage sucht nach Benutzenden, die kurz nach einer Microsoft Entra ID Protection-Warnung für diese Benutzenden Dataverse-/Dynamics 365-Aktivitäten durchführen. Die Abfrage sucht nur nach Benutzer*innen, die zuvor nicht angezeigt wurden, oder nach Dynamics-Aktivitäten, die zuvor nicht angezeigt wurden. |
- Datenverse DataverseActivity– AzureActiveDirectoryIdentityProtection SecurityAlert |
Erstzugriff |
| Dataverse – Aktivität nach fehlgeschlagenen Anmeldungen | Diese Suchabfrage sucht nach Benutzer*innen, die kurz nach vielen fehlgeschlagenen Anmeldungen Aktivitäten in Dataverse oder Dynamics 365 durchführen. Verwenden Sie diese Abfrage, um nach potenziellen Aktivitäten nach Brute-Force-Angriffen zu suchen. Passen Sie den Schwellwert basierend auf der Rate der falschen Positivmeldungen an. |
- DatenverseDataverseActivity– AzureActiveDirectory SigninLogs |
Erstzugriff |
| Dataverse – Umgebungsübergreifende Datenexportaktivität | Sucht nach Datenexportaktivitäten in einer vordefinierten Anzahl von Dataverse-Instanzen. Datenexportaktivitäten können in mehreren Umgebungen auf verdächtige Aktivitäten hinweisen, da Benutzer*innen in der Regel nur in einigen Umgebungen arbeiten. |
- DatenverseDataverseActivity |
Exfiltration, Sammlung |
| Dataverse – Dataverse-Export auf USB-Geräte kopiert | Verwendet Daten von Microsoft Defender XDR, um Dateien zu erkennen, die von einer Dataverse-Instanz heruntergeladen und auf ein USB-Laufwerk kopiert wurden. | - DatenverseDataverseActivity– MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Exfiltration |
| Dataverse – Generische Client-App für den Zugriff auf Produktionsumgebungen | Erkennt die Verwendung der integrierten „Dynamics 365-Beispielanwendung“ für den Zugriff auf Produktionsumgebungen. Diese generische App kann nicht durch Microsoft Entra ID-Autorisierungssteuerelemente eingeschränkt werden und kann missbraucht werden, um nicht autorisierten Zugriff über die Web-API zu erhalten. |
- DatenverseDataverseActivity– AzureActiveDirectory SigninLogs |
Ausführung |
| Identitätsverwaltungsaktivitäten außerhalb der Mitgliedschaft in privilegierten Verzeichnisrollen – Dataverse | Erkennt Identitätsverwaltungsereignisse in Dataverse/Dynamics 365 von Konten, die keine Mitglieder der folgenden privilegierten Verzeichnisrollen sind: Dynamics 365-Admins, Power Platform-Admins oder globale Admins | - DatenverseDataverseActivity– UEBA IdentityInfo |
PrivilegienEskalation |
| Dataverse – Identitätsverwaltungsänderungen ohne MFA | Wird verwendet, um privilegierte Identitätsadministrationsvorgänge in Dataverse von Konten anzuzeigen, die ohne MFA angemeldet sind. | - DatenverseDataverseActivity– AzureActiveDirectory SigninLogs, DataverseActivity |
Erstzugriff |
| Power Apps – Anomale Massenfreigabe von Power Apps für neu erstellte Gastbenutzer*innen | Die Abfrage erkennt anomale Versuche, Massenfreigabe einer Power App für neu erstellte Gastbenutzer*innen durchzuführen. |
Datenquellen: PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess, LateralMovement, ResourceDevelopment |
Spielbücher
Diese Lösung enthält Playbooks, die verwendet werden können, um die Sicherheitsreaktion auf Vorfälle und Warnungen in Microsoft Sentinel zu automatisieren.
| Playbook-Name | Beschreibung |
|---|---|
| Sicherheitsworkflow: Warnungsüberprüfung mit Workloadbesitzenden | Dieses Playbook kann die Belastung des SOC verringern, indem die Warnungsüberprüfung für bestimmte Analyseregeln an IT-Admins abgeladen wird. Es wird ausgelöst, wenn eine Microsoft Sentinel-Warnung generiert wird, und erstellt eine Nachricht (und zugehörige Benachrichtigungs-E-Mail) im Microsoft Teams-Kanal der Workloadbesitzer*innen, die Details der Warnung enthält. Wenn Workloadbesitzer*innen antworten, dass die Aktivität nicht autorisiert ist, wird die Warnung in Microsoft Sentinel in einen Vorfall konvertiert, damit das SOC ihn bearbeiten kann. |
| Dataverse: Senden einer Benachrichtigung an Manager*in | Dieses Playbook kann ausgelöst werden, wenn ein Microsoft Sentinel-Vorfall ausgelöst wird. Es sendet automatisch eine E-Mail-Benachrichtigung an die Manager*innen der betroffenen Benutzerentitäten. Das Playbook kann so konfiguriert werden, dass es entweder an die Dynamics 365-Manager*innen gesendet wird oder den Manager in Office 365 verwendet. |
| Dataverse: Hinzufügen von Benutzer*innen zur Sperrliste (Vorfalltrigger) | Dieses Playbook kann ausgelöst werden, wenn ein Microsoft Sentinel-Vorfall ausgelöst wird. Betroffene Benutzerentitäten werden automatisch zu einer vordefinierten Microsoft Entra-Gruppe hinzugefügt, was zu blockiertem Zugriff führt. Die Microsoft Entra-Gruppe wird mit Conditional Access verwendet, um die Anmeldung bei Dataverse zu blockieren. |
| Dataverse: Hinzufügen von Benutzer*innen zur Sperrliste mithilfe des Outlook-Genehmigungsworkflows | Dieses Playbook kann ausgelöst werden, wenn ein Microsoft Sentinel-Vorfall ausgelöst wird. Betroffene Benutzerentitäten werden über einen Outlook-basierter Genehmigungsworkflow automatisch einer vordefinierten Microsoft Entra-Gruppe hinzugefügt, was zu blockiertem Zugriff führt. Die Microsoft Entra-Gruppe wird mit Conditional Access verwendet, um die Anmeldung bei Dataverse zu blockieren. |
| Dataverse: Hinzufügen von Benutzer*innen zur Sperrliste mithilfe des Teams-Genehmigungsworkflows | Dieses Playbook kann ausgelöst werden, wenn ein Microsoft Sentinel-Vorfall ausgelöst wird. Betroffene Benutzerentitäten werden über einen Genehmigungsworkflow von Teams Adaptive Karten automatisch einer vordefinierten Microsoft Entra-Gruppe hinzugefügt, was zu blockiertem Zugriff führt. Die Microsoft Entra-Gruppe wird mit Conditional Access verwendet, um die Anmeldung bei Dataverse zu blockieren. |
| Dataverse: Hinzufügen von Benutzer*innen zur Sperrliste (Warnungstrigger) | Dieses Playbook kann bei Bedarf ausgelöst werden, wenn eine Microsoft Sentinel-Warnung ausgelöst wird, sodass Analyst*innen betroffene Benutzerentitäten zu einer vordefinierten Microsoft Entra-Gruppe hinzufügen können, was zu blockiertem Zugriff führt. Die Microsoft Entra-Gruppe wird mit Conditional Access verwendet, um die Anmeldung bei Dataverse zu blockieren. |
| Dataverse: Entfernen von Benutzer *innen aus der Sperrliste | Dieses Playbook kann bei Bedarf ausgelöst werden, wenn eine Microsoft Sentinel-Warnung ausgelöst wird, sodass Analyst*innen betroffene Benutzerentitäten von einer vordefinierten Microsoft Entra-Gruppe entfernen können, die Zugriff blockierte. Die Microsoft Entra-Gruppe wird mit Conditional Access verwendet, um die Anmeldung bei Dataverse zu blockieren. |
| Dataverse: Hinzufügen von SharePoint-Websites zur Watchlist | Dieses Handbuch dient dazu, neue oder aktualisierte SharePoint-Websites für Dokumentenmanagement in die Konfigurationsüberwachungsliste aufzunehmen. In Kombination mit einer geplanten Analyseregel zur Überwachung des Dataverse-Aktivitätsprotokolls wird dieses Playbook ausgelöst, wenn eine neue Websitezuordnung der SharePoint-Dokumentenverwaltung hinzugefügt wird. Die Website wird einer Watchlist hinzugefügt, um die Überwachungsabdeckung zu erweitern. |
Arbeitsmappen
Microsoft Sentinel-Arbeitsmappen sind anpassbare, interaktive Dashboards in Microsoft Sentinel, die die effiziente Visualisierung, Analyse und Untersuchung von Sicherheitsdaten durch Analyst*innen erleichtern. Diese Lösung enthält die Arbeitsmappe Dynamics 365 Activity, die eine visuelle Darstellung von Aktivitäten in Microsoft Dynamics 365 Customer Engagement / Dataverse darstellt, einschließlich Datensatzabrufstatistiken und einem Anomaliediagramm.
Beobachtungslisten
Diese Lösung enthält die Watchlist MSBizApps-Configuration und erfordert, dass Benutzer*innen zusätzliche Watchlists basierend auf den folgenden Watchlist-Vorlagen erstellen:
- VIPUser
- Netzwerkadressen
- Beendete Mitarbeiter
Weitere Informationen finden Sie unter Watchlists in Microsoft Sentinel und Erstellen von Watchlists.
Integrierte Parser
Die Lösung enthält Parser, die für den Zugriff auf Daten aus den Rohdatentabellen verwendet werden. Parser stellen sicher, dass die richtigen Daten mit einem einheitlichen Schema zurückgegeben werden. Es wird empfohlen, die Parser zu verwenden, anstatt die Watchlists direkt abzufragen.
| Parser | Zurückgegebene Daten | Abgefragte Tabelle |
|---|---|---|
| MSBizAppsOrgEinstellungen | Liste der verfügbaren organisationsweiten Einstellungen in Dynamics 365 Customer Engagement / Dataverse | – |
| MSBizAppsVIPUsers | Parser für die Watchlist VIPUsers |
VIPUsers von Watchlistvorlage |
| MSBizAppsNetworkAddresses | Parser für die Watchlist NetworkAddresses |
NetworkAddresses von Watchlistvorlage |
| MSBizAppsTerminatedEmployees | Parser für die TerminatedEmployees-Watchlist |
TerminatedEmployees von Watchlistvorlage |
| DataverseSharePointSites | SharePoint-Websites, die in der Dataverse-Dokumentenverwaltung verwendet werden | Watchlist MSBizApps-Configuration gefiltert nach Kategorie „SharePoint“ |
Weitere Informationen finden Sie unter Sofort einsatzbereite Erkennung von Bedrohungen.