Solution Microsoft Sentinel pour Microsoft Power Platform : informations de référence relatives au contenu de sécurité
Cet article détaille le contenu de sécurité disponible pour la solution Microsoft Sentinel pour Power Platform. Pour en savoir plus sur cette solution, consultez Solution Microsoft Sentinel pour Microsoft Power Platform : vue d’ensemble.
Important
- La solution Microsoft Sentinel pour Power Platform est actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
- Il s’agit d’une offre premium. Les informations sur la tarification seront disponibles avant que la solution soit accessible à tous.
- Envoyez des commentaires pour cette solution en remplissant cette enquête : https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Règles analytiques intégrées
Les règles analytiques suivantes sont incluses lorsque vous installez la solution pour Power Platform. Les sources de données répertoriées incluent le nom et la table du connecteur de données dans Log Analytics. Pour éviter les données manquantes dans les sources d’inventaire, nous vous recommandons de ne pas modifier la période de recherche par défaut définie dans les modèles de règle d’analyse.
| Nom de la règle | Description | Action source | Tactique |
|---|---|---|---|
| PowerApps : activité de l’application à partir d’une zone géographique non autorisée | Identifie l’activité Power Apps en provenance de pays figurant dans une liste prédéfinie de pays non autorisés. Obtenez la liste des codes de pays ISO 3166-1 alpha-2 sur la plateforme de navigation ISO en ligne. Cette détection utilise les journaux ingérés à partir de Microsoft Entra ID, et vous oblige également à activer le connecteur de données Microsoft Entra ID. |
Exécutez une activité dans Power App à partir d’un pays qui se trouve dans la liste de codes des pays non autorisé. Sources de données : – Inventaire Power Platform (en utilisant Azure Functions) InventoryAppsInventoryEnvironments– Activité administrative Microsoft Power Platform (Préversion) PowerPlatformAdminActivity- Microsoft Entra ID SigninLogs |
Accès initial |
| PowerApps : plusieurs applications supprimées | Identifie l’activité de suppression en masse lorsque plusieurs applications Power Apps sont supprimées, correspondant à un seuil prédéfini du nombre total d’applications supprimées ou d’événements supprimés d’application dans plusieurs environnements Power Platform. | Supprimez de nombreuses applications Power Apps du Centre d’administration Power Platform. Sources de données : – Inventaire Power Platform (en utilisant Azure Functions) InventoryAppsInventoryEnvironments– Activité administrative Microsoft Power Platform (Préversion) PowerPlatformAdminActivity |
Impact |
| PowerApps : destruction de données après la publication d’une nouvelle application | Identifie une séquence d'événements lorsqu'une nouvelle application est créée ou publiée, et est suivie dans l'heure par des événements de mise à jour ou de suppression massive dans Dataverse. Si l'éditeur de l'application figure dans la liste des utilisateurs du modèle de liste de surveillance TerminatedEmployees, la gravité de l’incident est augmentée. | Supprimez un certain nombre d’enregistrements dans Power Apps dans l'heure suivant la création ou la publication de l'application Power App. Sources de données : – Inventaire Power Platform (en utilisant Azure Functions) InventoryAppsInventoryEnvironments– Activité administrative Microsoft Power Platform (Préversion) PowerPlatformAdminActivity– Microsoft Dataverse (Préversion) DataverseActivity |
Impact |
| PowerApps : plusieurs utilisateurs accédant à un lien malveillant après le lancement d’une nouvelle application | Identifie une séquence d’événements lorsqu’une nouvelle application Power App est créée et suivie de ces événements : – Plusieurs utilisateurs lancent l’application dans la fenêtre de détection. – Plusieurs utilisateurs ouvrent la même URL malveillante. Cette détection croise les journaux d'exécution de Power Apps avec les événements de clic sur des URL malveillantes provenant de l'une des sources suivantes : – le connecteur de données Microsoft 365 Defender ou ; – les indicateurs de compromission d’URL malveillantes dans Microsoft Sentinel Threat Intelligence avec l’analyseur de normalisation de session web ASIM (Advanced Security Information Model). Obtenez le nombre distinct d’utilisateurs qui lancent ou cliquent sur le lien malveillant en créant une requête. |
Plusieurs utilisateurs lancent une nouvelle application PowerApp et ouvrent une URL malveillante connue à partir de l’application. Sources de données : – Inventaire Power Platform (en utilisant Azure Functions) InventoryAppsInventoryEnvironments– Activité administrative Microsoft Power Platform (Préversion) PowerPlatformAdminActivity– Veille des menaces ThreatIntelligenceIndicator– Microsoft Defender XDR UrlClickEvents |
Accès initial |
| PowerAutomate : activité de flux des employés sortants | Identifie les instances où un employé qui a été alerté ou qui ne fait plus partie de l’entreprise et se trouve sur la Watchlist Employés licenciés, crée ou modifie un flux Power Automate. | L’utilisateur défini dans la Watchlist Employés licenciés crée ou met à jour un flux Power Automate. Sources de données : Microsoft Power Automate (Préversion) PowerAutomateActivity– Inventaire Power Platform (en utilisant Azure Functions) InventoryFlowsInventoryEnvironmentsWatchlist des employés ayant quitté l’entreprise |
Exfiltration, impact |
| PowerPlatform : connecteur ajouté à un environnement sensible | Identifie la création de connecteurs d’API dans Power Platform, ciblant spécifiquement une liste prédéfinie d’environnements sensibles. | Ajoutez un nouveau connecteur Power Platform dans un environnement Power Platform sensible. Sources de données : – Activité administrative Microsoft Power Platform (Préversion) PowerPlatformAdminActivity– Inventaire Power Platform (en utilisant Azure Functions) InventoryAppsInventoryEnvironmentsInventoryAppsConnections |
Exécution, Exfiltration |
| PowerPlatform : stratégie DLP mise à jour ou supprimée | Identifie les modifications apportées à la stratégie de prévention de la perte de données, en particulier les stratégies mises à jour ou supprimées. | Mettez à jour ou supprimez une stratégie de protection contre la perte de données Power Platform dans l’environnement Power Platform. Sources de données : Activité administrative Microsoft Power Platform (Préversion) PowerPlatformAdminActivity |
Évasion de défense |
| Dataverse : exfiltration des données par un utilisateur invité suite à une altération de la défense de Power Platform | Identifie une séquence d’événements commençant par la désactivation de l’isolation du locataire Power Platform et la suppression du groupe de sécurité d’accès d’un environnement. Ces événements sont corrélés avec les alertes d’exfiltration Dataverse associées à l’environnement concerné et les utilisateurs invités Microsoft Entra récemment créés. Activez d’autres règles analytique Dataverse avec la tactique MITRE « Exfiltration » avant d’activer cette règle. |
En tant que nouvel utilisateur invité, déclenchez des alertes d’exfiltration Dataverse après la désactivation des contrôles de sécurité Power Platform. Sources de données : – PowerPlatformAdmin PowerPlatformAdminActivity– Dataverse DataverseActivity– Inventaire Power Platform (en utilisant Azure Functions) InventoryEnvironments |
Évasion de défense |
| Dataverse : exportation massive d’enregistrements vers Excel | Identifie les utilisateurs qui exportent une grande quantité d’enregistrements de Dynamics 365 vers Excel. La quantité d’enregistrements exportés est beaucoup plus importante que toute autre activité récente par cet utilisateur. De grandes exportations provenant d’utilisateurs sans activité récente sont identifiées à l’aide d’un seuil prédéfini. | Exportez de nombreux enregistrements de Dataverse vers Excel. Sources de données : – Dataverse DataverseActivity– Inventaire Power Platform (en utilisant Azure Functions) InventoryEnvironments |
Exfiltration |
| Dataverse : récupération en masse d’utilisateurs en dehors de l’activité normale | Identifie les utilisateurs qui récupèrent beaucoup plus d’enregistrements à partir de Dataverse qu’au cours des 2 dernières semaines. | L’utilisateur récupère de nombreux enregistrements à partir de Dataverse Sources de données : – Dataverse DataverseActivity– Inventaire Power Platform (en utilisant Azure Functions) InventoryEnvironments |
Exfiltration |
| Power Apps : partage en masse de Power Apps pour les utilisateurs invités nouvellement créés | Identifie le partage en masse inhabituel de Power Apps pour les utilisateurs invités Microsoft Entra nouvellement créés. Le partage en masse inhabituel est basé sur un seuil prédéfini dans la requête. | Partagez une application avec plusieurs utilisateurs externes. Sources de données : – Activité administrative Microsoft Power Platform (Préversion) PowerPlatformAdminActivity– Inventaire Power Platform (en utilisant Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Entra ID AuditLogs |
Développement de ressources, Accès initial, Mouvement latéral |
| Power Automate : suppression en masse inhabituelle des ressources de flux | Identifie la suppression en masse des flux Power Automate qui dépassent un seuil prédéfini défini dans la requête et s’écartent des modèles d’activité observés au cours des 14 derniers jours. | Suppression en masse des flux Power Automate. Sources de données : – PowerAutomate PowerAutomateActivity |
Impact, Évasion de défense |
| Power Platform : un utilisateur potentiellement compromis accède aux services Power Platform | Identifie les comptes d’utilisateur marqués à risque dans Microsoft Entra Identity Protection et met en corrélation ces utilisateurs avec l’activité de connexion dans Power Platform, notamment Power Apps, Power Automate et Centre d’administration Power Platform. | Un utilisateur présentant des signaux de risque accède aux portails Power Platform. Sources de données : - Microsoft Entra ID SigninLogs |
Accès initial, Déplacement latéral |
Analyseurs intégrés
La solution inclut des analyseurs utilisés pour accéder aux données à partir de tables de données brutes. Les analyseurs veillent à ce que les données correctes soient retournées avec un schéma cohérent. Nous vous recommandons d’utiliser les analyseurs au lieu d’interroger directement les tables d’inventaire et les Watchlists. Les analyseurs associés à l’inventaire Power Platform retournent les données des 7 derniers jours.
| Parser | Données retournées | Table interrogée |
|---|---|---|
InventoryApps |
Inventaire Power Apps | PowerApps_CL |
InventoryAppsConnections |
Inventoryconnections des connexions Power Apps | PowerAppsConnections_CL |
InventoryEnvironments |
Inventaire des environnements Power Platform | PowerPlatrformEnvironments_CL |
InventoryFlows |
Inventaire des flux Power Automate | PowerAutomateFlows_CL |
MSBizAppsTerminatedEmployees |
Watchlist des employés licenciés (à partir du modèle de Watchlist) | TerminatedEmployees |
GetPowerAppsEventDetails |
Retourne les détails de l’événement analysé pour Power Apps / Connections | PowerPlatformAdminActivity |
Pour plus d’informations sur les règles analytiques, consultez Détection des menaces prête à l’emploi.