Solution Microsoft Sentinel pour Microsoft Power Platform : informations de référence relatives au contenu de sécurité

Cet article détaille le contenu de sécurité disponible pour la solution Microsoft Sentinel pour Power Platform. Pour en savoir plus sur cette solution, consultez Solution Microsoft Sentinel pour Microsoft Power Platform : vue d’ensemble.

Important

  • La solution Microsoft Sentinel pour Power Platform est actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
  • Il s’agit d’une offre premium. Les informations sur la tarification seront disponibles avant que la solution soit accessible à tous.
  • Envoyez des commentaires pour cette solution en remplissant cette enquête : https://aka.ms/SentinelPowerPlatformSolutionSurvey.

Règles analytiques intégrées

Les règles analytiques suivantes sont incluses lorsque vous installez la solution pour Power Platform. Les sources de données répertoriées incluent le nom et la table du connecteur de données dans Log Analytics. Pour éviter les données manquantes dans les sources d’inventaire, nous vous recommandons de ne pas modifier la période de recherche par défaut définie dans les modèles de règle d’analyse.

Nom de la règle Description Action source Tactique
PowerApps : activité de l’application à partir d’une zone géographique non autorisée Identifie l’activité Power Apps en provenance de pays figurant dans une liste prédéfinie de pays non autorisés.

Obtenez la liste des codes de pays ISO 3166-1 alpha-2 sur la plateforme de navigation ISO en ligne.

Cette détection utilise les journaux ingérés à partir de Microsoft Entra ID. Nous vous recommandons donc d’activer le connecteur de données Microsoft Entra ID.
Exécutez une activité dans Power App à partir d’un pays qui se trouve dans la liste de codes des pays non autorisé.

Sources de données :
– Inventaire Power Platform (en utilisant Azure Functions)
InventoryApps
InventoryEnvironments
– Microsoft Power Apps (Préversion)
PowerAppsActivity
- Microsoft Entra ID
SigninLogs
Accès initial
PowerApps : plusieurs applications supprimées Identifie l’activité de suppression en masse lorsque plusieurs applications Power Apps sont supprimées, correspondant à un seuil prédéfini du nombre total d’applications supprimées ou d’événements supprimés d’application dans plusieurs environnements Power Platform. Supprimez de nombreuses applications Power Apps du Centre d’administration Power Platform.

Sources de données :
– Inventaire Power Platform (en utilisant Azure Functions)
InventoryApps
InventoryEnvironments
– Microsoft Power Apps (Préversion)
PowerAppsActivity
Impact
PowerApps : destruction de données après la publication d’une nouvelle application Identifie une séquence d'événements lorsqu'une nouvelle application est créée ou publiée, et est suivie dans l'heure par des événements de mise à jour ou de suppression massive dans Dataverse. Si l'éditeur de l'application figure dans la liste des utilisateurs du modèle de liste de surveillance TerminatedEmployees, la gravité de l’incident est augmentée. Supprimez un certain nombre d’enregistrements dans Power Apps dans l'heure suivant la création ou la publication de l'application Power App.

Sources de données :
– Inventaire Power Platform (en utilisant Azure Functions)
InventoryApps
InventoryEnvironments
– Microsoft Power Apps (Préversion)
PowerAppsActivity
– Microsoft Dataverse (Préversion)
DataverseActivity
Impact
PowerApps : plusieurs utilisateurs accédant à un lien malveillant après le lancement d’une nouvelle application Identifie une séquence d’événements lorsqu’une nouvelle application Power App est créée et suivie de ces événements :
– Plusieurs utilisateurs lancent l’application dans la fenêtre de détection.
– Plusieurs utilisateurs ouvrent la même URL malveillante.

Cette détection croise les journaux d'exécution de Power Apps avec les événements de clic sur des URL malveillantes provenant de l'une des sources suivantes :
– le connecteur de données Microsoft 365 Defender ou ;
– les indicateurs de compromission d’URL malveillantes dans Microsoft Sentinel Threat Intelligence avec l’analyseur de normalisation de session web ASIM (Advanced Security Information Model).

Obtenez le nombre distinct d’utilisateurs qui lancent ou cliquent sur le lien malveillant en créant une requête.
Plusieurs utilisateurs lancent une nouvelle application PowerApp et ouvrent une URL malveillante connue à partir de l’application.

Sources de données :
– Inventaire Power Platform (en utilisant Azure Functions)
InventoryApps
InventoryEnvironments
– Microsoft Power Apps (Préversion)
PowerAppsActivity
– Veille des menaces
ThreatIntelligenceIndicator
– Microsoft Defender XDR
UrlClickEvents
Accès initial
PowerAutomate : activité de flux des employés sortants Identifie les instances où un employé qui a été alerté ou qui ne fait plus partie de l’entreprise et se trouve sur la Watchlist Employés licenciés, crée ou modifie un flux Power Automate. L’utilisateur défini dans la Watchlist Employés licenciés crée ou met à jour un flux Power Automate.

Sources de données :
Microsoft Power Automate (Préversion)
PowerAutomateActivity
– Inventaire Power Platform (en utilisant Azure Functions)
InventoryFlows
InventoryEnvironments
Watchlist des employés ayant quitté l’entreprise
Exfiltration, impact
PowerPlatform : connecteur ajouté à un environnement sensible Identifie la création de connecteurs d’API dans Power Platform, ciblant spécifiquement une liste prédéfinie d’environnements sensibles. Ajoutez un nouveau connecteur Power Platform dans un environnement Power Platform sensible.

Sources de données :
– Connecteurs Microsoft Power Platform (Préversion)
PowerPlatformConnectorActivity
– Inventaire Power Platform (en utilisant Azure Functions)
InventoryApps
InventoryEnvironments
InventoryAppsConnections
Exécution, Exfiltration
PowerPlatform : stratégie DLP mise à jour ou supprimée Identifie les modifications apportées à la stratégie de prévention de la perte de données, en particulier les stratégies mises à jour ou supprimées. Mettez à jour ou supprimez une stratégie de protection contre la perte de données Power Platform dans l’environnement Power Platform.

Sources de données :
DLP Microsoft Power Platform (Préversion)
PowerPlatformDlpActivity
Évasion de défense
Dataverse : exfiltration des données par un utilisateur invité suite à une altération de la défense de Power Platform Identifie une séquence d’événements commençant par la désactivation de l’isolation du locataire Power Platform et la suppression du groupe de sécurité d’accès d’un environnement. Ces événements sont corrélés avec les alertes d’exfiltration Dataverse associées à l’environnement concerné et les utilisateurs invités Microsoft Entra récemment créés.

Activez d’autres règles analytique Dataverse avec la tactique MITRE « Exfiltration » avant d’activer cette règle.
En tant que nouveaux utilisateurs invités, déclenchez des alertes d’exfiltration après la désactivation des contrôles de sécurité Power Platform.

Sources de données :
– PowerPlatformAdmin
PowerPlatformAdminActivity

– Dataverse
DataverseActivity
– Inventaire Power Platform (en utilisant Azure Functions)
InventoryEnvironments
Évasion de défense
Dataverse : exportation massive d’enregistrements vers Excel Identifie les utilisateurs qui exportent une grande quantité d’enregistrements de Dynamics 365 vers Excel. La quantité d’enregistrements exportés est beaucoup plus importante que toute autre activité récente par cet utilisateur. De grandes exportations provenant d’utilisateurs sans activité récente sont identifiées à l’aide d’un seuil prédéfini. Exportez de nombreux enregistrements de Dataverse vers Excel.

Sources de données :
– Dataverse
DataverseActivity
– Inventaire Power Platform (en utilisant Azure Functions)
InventoryEnvironments
Exfiltration
Dataverse : récupération en masse d’utilisateurs en dehors de l’activité normale Identifie les utilisateurs qui récupèrent beaucoup plus d’enregistrements à partir de Dataverse qu’au cours des 2 dernières semaines. L’utilisateur récupère de nombreux enregistrements à partir de Dataverse

Sources de données :
– Dataverse
DataverseActivity
– Inventaire Power Platform (en utilisant Azure Functions)
InventoryEnvironments
Exfiltration
Power Apps : partage en masse de Power Apps pour les utilisateurs invités nouvellement créés Identifie le partage en masse inhabituel de Power Apps pour les utilisateurs invités Microsoft Entra nouvellement créés. Le partage en masse inhabituel est basé sur un seuil prédéfini dans la requête. Partagez une application avec plusieurs utilisateurs externes.

Sources de données :
– Microsoft Power Apps (Préversion)
PowerAppsActivity
– Inventaire Power Platform (en utilisant Azure Functions)
InventoryApps
InventoryEnvironments
- Microsoft Entra ID
AuditLogs
Développement de ressources,
Accès initial,
Mouvement latéral
Power Automate : suppression en masse inhabituelle des ressources de flux Identifie la suppression en masse des flux Power Automate qui dépassent un seuil prédéfini défini dans la requête et s’écartent des modèles d’activité observés au cours des 14 derniers jours. Suppression en masse des flux Power Automate.

Sources de données :
– PowerAutomate
PowerAutomateActivity
Impact,
Évasion de défense
Power Platform : un utilisateur potentiellement compromis accède aux services Power Platform Identifie les comptes d’utilisateur marqués à risque dans Microsoft Entra Identity Protection et met en corrélation ces utilisateurs avec l’activité de connexion dans Power Platform, notamment Power Apps, Power Automate et Centre d’administration Power Platform. Un utilisateur présentant des signaux de risque accède aux portails Power Platform.

Sources de données :
- Microsoft Entra ID
SigninLogs
Accès initial, Déplacement latéral

Analyseurs intégrés

La solution inclut des analyseurs utilisés pour accéder aux données à partir de tables de données brutes. Les analyseurs veillent à ce que les données correctes soient retournées avec un schéma cohérent. Nous vous recommandons d’utiliser les analyseurs au lieu d’interroger directement les tables d’inventaire et les Watchlists. Les analyseurs associés à l’inventaire Power Platform retournent les données des 7 derniers jours.

Parser Données retournées Table interrogée
InventoryApps Inventaire Power Apps PowerApps_CL
InventoryAppsConnections Inventoryconnections des connexions Power Apps PowerAppsConnections_CL
InventoryEnvironments Inventaire des environnements Power Platform PowerPlatrformEnvironments_CL
InventoryFlows Inventaire des flux Power Automate PowerAutomateFlows_CL
MSBizAppsTerminatedEmployees Watchlist des employés licenciés (à partir du modèle de Watchlist) TerminatedEmployees

Pour plus d’informations sur les règles analytiques, consultez Détection des menaces prête à l’emploi.