Solusi Microsoft Azure Sentinel untuk Microsoft Power Platform: referensi konten keamanan
Artikel ini merinci konten keamanan yang tersedia untuk solusi Microsoft Sentinel untuk Power Platform. Untuk informasi selengkapnya tentang solusi ini, lihat Solusi Microsoft Azure Sentinel untuk gambaran umum Microsoft Power Platform.
Penting
- Solusi Microsoft Sentinel untuk Power Platform saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
- Solusinya adalah penawaran premium. Informasi harga akan tersedia sebelum solusi tersedia secara umum.
- Berikan umpan balik untuk solusi ini dengan menyelesaikan survei ini: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Aktifkan aturan analitik bawaan
Aturan analitik berikut disertakan saat Anda menginstal solusi untuk Power Platform. Sumber data yang tercantum menyertakan nama dan tabel konektor data di Analitik Log. Untuk menghindari data yang hilang di sumber inventaris, kami sarankan Anda tidak mengubah periode lookback default yang ditentukan dalam templat aturan analitik.
| Nama aturan | Deskripsi | Tindakan sumber | Taktik |
|---|---|---|---|
| PowerApps - Aktivitas aplikasi dari geo yang tidak sah | Mengidentifikasi aktivitas Power Apps dari negara di daftar negara yang tidak sah yang telah ditentukan sebelumnya. Dapatkan daftar kode negara ISO 3166-1 alpha-2 dari ISO Online Browsing Platform (OBP). Deteksi ini menggunakan log yang diserap dari ID Microsoft Entra. Jadi, kami sarankan Anda mengaktifkan konektor data ID Microsoft Entra. |
Jalankan aktivitas di Power App dari negara yang ada di daftar kode negara yang tidak sah. Sumber data: - Power Platform Inventory (menggunakan Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Power Apps (Pratinjau) PowerAppsActivity- ID Microsoft Entra SigninLogs |
Akses awal |
| PowerApps - Beberapa aplikasi dihapus | Mengidentifikasi aktivitas penghapusan massal di mana beberapa Power Apps dihapus, cocok dengan ambang batas yang telah ditentukan sebelumnya dari total aplikasi yang dihapus atau peristiwa yang dihapus aplikasi di beberapa lingkungan Power Platform. | Hapus banyak Power Apps dari pusat admin Power Platform. Sumber data: - Power Platform Inventory (menggunakan Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Power Apps (Pratinjau) PowerAppsActivity |
Dampak |
| PowerApps - Penghancuran data setelah penerbitan aplikasi baru | Mengidentifikasi rantai peristiwa saat aplikasi baru dibuat atau diterbitkan dan diikuti dalam waktu 1 jam dengan memperbarui massal atau menghapus peristiwa di Dataverse. Jika penerbit aplikasi ada dalam daftar pengguna dalam templat daftar pengawasan TerminatedEmployees , tingkat keparahan insiden akan dinaikkan. | Hapus sejumlah rekaman di Power Apps dalam waktu 1 jam dari Power App yang dibuat atau diterbitkan. Sumber data: - Power Platform Inventory (menggunakan Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Power Apps (Pratinjau) PowerAppsActivity- Microsoft Dataverse (Pratinjau) DataverseActivity |
Dampak |
| PowerApps - Beberapa pengguna mengakses tautan berbahaya setelah meluncurkan aplikasi baru | Mengidentifikasi rantai peristiwa saat Power App baru dibuat dan diikuti oleh peristiwa ini: - Beberapa pengguna meluncurkan aplikasi dalam jendela deteksi. - Beberapa pengguna membuka URL berbahaya yang sama. Deteksi ini berkorelasi silang log eksekusi Power Apps dengan peristiwa klik URL berbahaya dari salah satu sumber berikut: - Konektor data Pertahanan Microsoft 365 atau - Indikator URL berbahaya dari kompromi (IOC) di Inteligensi Ancaman Microsoft Sentinel dengan pengurai normalisasi sesi web Model Informasi Keamanan Tingkat Lanjut (ASIM). Dapatkan jumlah pengguna berbeda yang meluncurkan atau mengklik tautan berbahaya dengan membuat kueri. |
Beberapa pengguna meluncurkan PowerApp baru dan membuka URL berbahaya yang diketahui dari aplikasi. Sumber data: - Power Platform Inventory (menggunakan Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Power Apps (Pratinjau) PowerAppsActivity- Inteligensi Ancaman ThreatIntelligenceIndicator- Pertahanan Microsoft XDR UrlClickEvents |
Akses awal |
| PowerAutomate - Meninggalkan aktivitas alur karyawan | Mengidentifikasi instans di mana karyawan yang telah diberi tahu atau sudah dihentikan, dan berada di daftar pengawasan Karyawan yang Dihentikan, membuat atau memodifikasi alur Power Automate. | Pengguna yang ditentukan dalam daftar pengawasan Karyawan yang Dihentikan membuat atau memperbarui alur Power Automate. Sumber data: Microsoft Power Automate (Pratinjau) PowerAutomateActivity- Power Platform Inventory (menggunakan Azure Functions) InventoryFlowsInventoryEnvironmentsDaftar pengawasan karyawan yang dihentikan |
Eksfiltrasi, dampak |
| PowerPlatform - Koneksi or ditambahkan ke lingkungan sensitif | Mengidentifikasi pembuatan konektor API baru dalam Power Platform, secara khusus menargetkan daftar lingkungan sensitif yang telah ditentukan sebelumnya. | Tambahkan konektor Power Platform baru di lingkungan Power Platform yang sensitif. Sumber data: - Koneksi or Microsoft Power Platform (Pratinjau) PowerPlatformConnectorActivity- Power Platform Inventory (menggunakan Azure Functions) InventoryAppsInventoryEnvironmentsInventoryAppsConnections |
Eksekusi, Penyelundupan |
| PowerPlatform - Kebijakan DLP diperbarui atau dihapus | Mengidentifikasi perubahan pada kebijakan pencegahan kehilangan data, khususnya kebijakan yang diperbarui atau dihapus. | Memperbarui atau menghapus kebijakan pencegahan kehilangan data Power Platform di lingkungan Power Platform. Sumber data: Microsoft Power Platform DLP (Pratinjau) PowerPlatformDlpActivity |
Penghindaran Pertahanan |
| Dataverse - Penyelundupan pengguna tamu setelah gangguan pertahanan Power Platform | (Mengidentifikasi rantai peristiwa yang dimulai dengan penonaktifan isolasi penyewa Power Platform dan penghapusan grup keamanan akses lingkungan. Peristiwa ini berkorelasi dengan pemberitahuan eksfiltrasi Dataverse yang terkait dengan lingkungan yang terkena dampak dan pengguna tamu Microsoft Entra yang baru dibuat. Aktifkan aturan analitik Dataverse lainnya dengan taktik MITRE 'Eksfiltrasi' sebelum mengaktifkan aturan ini. |
Sebagai pengguna tamu baru, picu pemberitahuan eksfiltrasi setelah kontrol keamanan Power Platform dinonaktifkan. Sumber data: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity- Power Platform Inventory (menggunakan Azure Functions) InventoryEnvironments |
Penghindaran Pertahanan |
| Dataverse - Ekspor rekaman massal ke Excel | Mengidentifikasi pengguna yang mengekspor sejumlah besar rekaman dari Dynamics 365 ke Excel. Jumlah rekaman yang diekspor secara signifikan lebih dari aktivitas terbaru lainnya oleh pengguna tersebut. Ekspor besar dari pengguna tanpa aktivitas terbaru diidentifikasi menggunakan ambang yang telah ditentukan sebelumnya. | Ekspor banyak rekaman dari Dataverse ke Excel. Sumber data: - Dataverse DataverseActivity- Power Platform Inventory (menggunakan Azure Functions) InventoryEnvironments |
Penyelundupan |
| Dataverse - Pengambilan massal pengguna di luar aktivitas normal | Mengidentifikasi pengguna yang mengambil lebih banyak rekaman secara signifikan dari Dataverse daripada yang mereka miliki dalam 2 minggu terakhir. | Pengguna mengambil banyak rekaman dari Dataverse Sumber data: - Dataverse DataverseActivity- Power Platform Inventory (menggunakan Azure Functions) InventoryEnvironments |
Penyelundupan |
| Power Apps - Berbagi massal Power Apps ke pengguna tamu yang baru dibuat | Mengidentifikasi berbagi massal Power Apps yang tidak biasa kepada pengguna tamu Microsoft Entra yang baru dibuat. Berbagi massal yang tidak biasa didasarkan pada ambang batas yang telah ditentukan sebelumnya dalam kueri. | Berbagi aplikasi dengan beberapa pengguna eksternal. Sumber data: - Microsoft Power Apps (Pratinjau) PowerAppsActivity- Power Platform Inventory (menggunakan Azure Functions) InventoryAppsInventoryEnvironments- ID Microsoft Entra AuditLogs |
Pengembangan Sumber Daya, Akses Awal, Gerakan Lateral |
| Power Automate - Penghapusan massal sumber daya aliran yang tidak biasa | Mengidentifikasi penghapusan massal alur Power Automate yang melebihi ambang yang telah ditentukan sebelumnya yang ditentukan dalam kueri dan menyimpang dari pola aktivitas yang diamati dalam 14 hari terakhir. | Penghapusan massal alur Power Automate. Sumber data: - PowerAutomate PowerAutomateActivity |
Dampak Penghindaran Pertahanan |
| Power Platform - Kemungkinan pengguna yang disusupi mengakses layanan Power Platform | Mengidentifikasi akun pengguna yang ditandai berisiko di Microsoft Entra Identity Protection dan menghubungkan pengguna ini dengan aktivitas masuk di Power Platform, termasuk Power Apps, Power Automate, dan Pusat Admin Power Platform. | Pengguna dengan sinyal risiko mengakses portal Power Platform. Sumber data: - ID Microsoft Entra SigninLogs |
Akses Awal, Gerakan Lateral |
Pengurai bawaan
Solusi ini mencakup pengurai yang digunakan untuk mengakses data dari tabel data mentah. Pengurai memastikan bahwa data yang benar dikembalikan dengan skema yang konsisten. Kami menyarankan agar Anda menggunakan pengurai alih-alih langsung mengkueri tabel inventarisasi dan daftar pengawasan. Pengurai terkait inventaris Power Platform mengembalikan data dari 7 hari terakhir.
| Pengurai | Data dikembalikan | Tabel dikueri |
|---|---|---|
InventoryApps |
Power Apps Inventory | PowerApps_CL |
InventoryAppsConnections |
Koneksi Power Apps Inventoryconnections | PowerAppsConnections_CL |
InventoryEnvironments |
Inventaris lingkungan Power Platform | PowerPlatrformEnvironments_CL |
InventoryFlows |
Inventarisasi alur Power Automate | PowerAutomateFlows_CL |
MSBizAppsTerminatedEmployees |
Daftar pengawasan karyawan yang dihentikan (dari templat daftar tonton) | TerminatedEmployees |
Untuk informasi selengkapnya tentang aturan analitik, lihat Mendeteksi ancaman di luar kotak.