Microsoft Power Platform용 Microsoft Sentinel 솔루션: 보안 콘텐츠 참조
이 문서에서는 Power Platform용 Microsoft Sentinel 솔루션에 사용할 수 있는 보안 콘텐츠를 자세히 설명합니다. 이 솔루션에 대한 자세한 내용은 Microsoft Power Platform용 Microsoft Sentinel 솔루션 개요를 참조하세요.
Important
- Power Platform용 Microsoft Sentinel 솔루션은 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
- 솔루션은 프리미엄 제품입니다. 솔루션이 일반 공급되기 전에 가격 책정 정보는 공개될 예정입니다.
- 다음 설문 조사를 https://aka.ms/SentinelPowerPlatformSolutionSurvey완료하여 이 솔루션에 대한 피드백을 제공합니다.
기본 제공 분석 규칙
Power Platform용 솔루션을 설치할 때 다음 분석 규칙이 포함됩니다. 나열된 데이터 원본에는 Log Analytics의 데이터 커넥터 이름 및 테이블이 포함됩니다. 인벤토리 원본에 데이터가 누락되지 않도록 하려면 분석 규칙 템플릿에 정의된 기본 조회 기간을 변경하지 않는 것이 좋습니다.
| 규칙 이름 | 설명 | 원본 작업 | 전술 |
|---|---|---|---|
| PowerApps - 권한 없는 지역에서의 앱 활동 | 권한이 없는 국가의 미리 정의된 목록에 있는 국가의 Power Apps 활동을 식별합니다. ISO OBP(온라인 브라우징 플랫폼)에서 ISO 3166-1 alpha-2 국가 코드 목록을 가져옵니다. 이 검색은 Microsoft Entra ID에서 수집된 로그를 사용합니다. 따라서 Microsoft Entra ID 데이터 커넥터를 사용하도록 설정하는 것이 좋습니다. |
권한이 없는 국가 코드 목록에 있는 국가에서 Power App에서 활동을 실행합니다. 데이터 원본: - Power Platform 인벤토리(Azure Functions 사용) InventoryAppsInventoryEnvironments- Microsoft Power Apps(미리 보기) PowerAppsActivity- Microsoft Entra ID SigninLogs |
초기 액세스 |
| PowerApps - 여러 앱이 삭제됨 | 여러 Power Platform 환경에서 삭제된 총 앱 또는 앱 삭제 이벤트의 미리 정의된 임계값과 일치하는 여러 Power Apps가 삭제되는 대량 삭제 작업을 식별합니다. | Power Platform 관리 센터에서 많은 Power Apps를 삭제합니다. 데이터 원본: - Power Platform 인벤토리(Azure Functions 사용) InventoryAppsInventoryEnvironments- Microsoft Power Apps(미리 보기) PowerAppsActivity |
영향 |
| PowerApps - 새 앱 게시 후 데이터 소멸 | 새 앱이 만들어지거나 게시되고 Dataverse에서 대량 업데이트 또는 삭제 이벤트가 1시간 이내에 수행될 때 이벤트 체인을 식별합니다. 앱 게시자가 TerminatedEmployees 관심 목록 템플릿의 사용자 목록에 있으면 인시던트 심각도가 높아집니다. | Power App을 만들거나 게시한 후 1시간 이내에 Power Apps에서 여러 레코드를 삭제합니다. 데이터 원본: - Power Platform 인벤토리(Azure Functions 사용) InventoryAppsInventoryEnvironments- Microsoft Power Apps(미리 보기) PowerAppsActivity- Microsoft Dataverse(미리 보기) DataverseActivity |
영향 |
| PowerApps - 새 앱을 시작한 후 악의적인 링크에 액세스하는 여러 사용자 | 새 Power App이 만들어지고 다음 이벤트가 뒤따를 때 이벤트 체인을 식별합니다. - 여러 사용자가 검색 창 내에서 앱을 시작합니다. - 여러 사용자가 동일한 악성 URL을 엽니다. 이 검색은 Power Apps 실행 로그와 다음 원본 중 하나의 악의적인 URL 클릭 이벤트의 상관 관계를 교차합니다. - Microsoft 365 Defender 데이터 커넥터 또는 - ASIM(Advanced Security Information Model) 웹 세션 정규화 파서를 사용하는 Microsoft Sentinel 위협 인텔리전스의 IOC(악의적인 URL 표시기) 쿼리를 만들어 악의적인 링크를 시작하거나 클릭하는 고유한 사용자 수를 가져옵니다. |
여러 사용자가 새 PowerApp을 시작하고 앱에서 알려진 악성 URL을 엽니다. 데이터 원본: - Power Platform 인벤토리(Azure Functions 사용) InventoryAppsInventoryEnvironments- Microsoft Power Apps(미리 보기) PowerAppsActivity- 위협 인텔리전스 ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
초기 액세스 |
| PowerAutomate - 직원 흐름 활동 퇴사 | 알림을 받았거나 이미 종료된 직원이 종료된 직원 관심 목록에 있는 경우 Power Automate 흐름을 만들거나 수정하는 인스턴스를 식별합니다. | 종결된 직원 관심 목록에 정의된 사용자는 Power Automate 흐름을 만들거나 업데이트합니다. 데이터 원본: Microsoft Power Automate(미리 보기) PowerAutomateActivity- Power Platform 인벤토리(Azure Functions 사용) InventoryFlowsInventoryEnvironments종결된 직원 관심 목록 |
반출, 영향 |
| PowerPlatform - 중요한 환경에 추가된 커넥트or | Power Platform 내에서 특히 미리 정의된 중요한 환경 목록을 대상으로 하는 새 API 커넥터를 만드는 것을 식별합니다. | 중요한 Power Platform 환경에 새 Power Platform 커넥터를 추가합니다. 데이터 원본: - Microsoft Power Platform 커넥트ors(미리 보기) PowerPlatformConnectorActivity- Power Platform 인벤토리(Azure Functions 사용) InventoryAppsInventoryEnvironmentsInventoryAppsConnections |
실행, 반출 |
| PowerPlatform - DLP 정책이 업데이트 또는 제거됨 | 데이터 손실 방지 정책, 특히 업데이트되거나 제거된 정책의 변경 내용을 식별합니다. | Power Platform 환경에서 Power Platform 데이터 손실 방지 정책을 업데이트하거나 제거합니다. 데이터 원본: Microsoft Power Platform DLP(미리 보기) PowerPlatformDlpActivity |
방어 회피 |
| Dataverse - Power Platform 방어 장애에 따른 게스트 사용자 반출 | (Power Platform 테넌트 격리를 사용하지 않도록 설정하고 환경의 액세스 보안 그룹을 제거하는 것으로 시작하는 이벤트 체인을 식별합니다. 이러한 이벤트는 영향을 받은 환경 및 최근에 만든 Microsoft Entra 게스트 사용자와 연결된 Dataverse 반출 경고와 상관 관계가 있습니다. 이 규칙을 사용하도록 설정하기 전에 MITRE 전술 '반출'을 사용하여 다른 Dataverse 분석 규칙을 활성화합니다. |
새 게스트 사용자는 Power Platform 보안 컨트롤을 사용하지 않도록 설정한 후 반출 경고를 트리거합니다. 데이터 원본: - PowerPlatform관리 PowerPlatformAdminActivity- Dataverse DataverseActivity- Power Platform 인벤토리(Azure Functions 사용) InventoryEnvironments |
방어 회피 |
| Dataverse - Excel로 레코드 대량 내보내기 | Dynamics 365에서 Excel로 대량의 레코드를 내보내는 사용자를 식별합니다. 내보낸 레코드의 양은 해당 사용자가 최근 수행한 다른 작업보다 훨씬 큽니다. 최근 활동이 없는 사용자의 대규모 내보내기가 미리 정의된 임계값을 사용하여 식별됩니다. | Dataverse에서 Excel로 많은 레코드를 내보냅니다. 데이터 원본: - Dataverse DataverseActivity- Power Platform 인벤토리(Azure Functions 사용) InventoryEnvironments |
반출 |
| Dataverse - 일반 작업 외부의 사용자 대량 검색 | Dataverse에서 지난 2주 동안의 레코드보다 훨씬 더 많은 레코드를 검색하는 사용자를 식별합니다. | 사용자가 Dataverse에서 많은 레코드를 검색합니다. 데이터 원본: - Dataverse DataverseActivity- Power Platform 인벤토리(Azure Functions 사용) InventoryEnvironments |
반출 |
| Power Apps - 새로 만든 게스트 사용자에게 Power Apps 대량 공유 | 새로 만든 Microsoft Entra 게스트 사용자에 대한 Power Apps의 비정상적인 대량 공유를 식별합니다. 비정상적인 대량 공유는 쿼리에서 미리 정의된 임계값을 기반으로 합니다. | 여러 외부 사용자와 앱을 공유합니다. 데이터 원본: - Microsoft Power Apps(미리 보기) PowerAppsActivity- Power Platform 인벤토리(Azure Functions 사용) InventoryAppsInventoryEnvironments- Microsoft Entra ID AuditLogs |
리소스 개발, 초기 액세스, 측면 확대 |
| Power Automate - 흐름 리소스의 비정상적인 대량 삭제 | 쿼리에 정의된 미리 정의된 임계값을 초과하고 지난 14일 동안 관찰된 활동 패턴에서 벗어나는 Power Automate 흐름의 대량 삭제를 식별합니다. | Power Automate 흐름의 대량 삭제 데이터 원본: - PowerAutomate PowerAutomateActivity |
영향 방어 회피 |
| Power Platform - 손상된 사용자가 Power Platform 서비스에 액세스할 수 있음 | Microsoft Entra Identity Protection의 위험에 플래그가 지정된 사용자 계정을 식별하고 이러한 사용자를 Power Apps, Power Automate 및 Power Platform 관리 센터를 비롯한 Power Platform의 로그인 활동과 상호 연결합니다. | 위험 신호가 있는 사용자는 Power Platform 포털에 액세스합니다. 데이터 원본: - Microsoft Entra ID SigninLogs |
초기 액세스, 횡적 이동 |
기본 제공된 파서
솔루션에는 원시 데이터 테이블의 데이터에 액세스하는 데 사용되는 파서가 포함됩니다. 파서는 올바른 데이터가 일관된 스키마와 함께 반환되는지 확인합니다. 인벤토리 테이블 및 관심 목록을 직접 쿼리하는 대신 파서를 사용하는 것이 좋습니다. Power Platform 인벤토리 관련 파서는 지난 7일의 데이터를 반환합니다.
| 파서 | 반환된 데이터 | 쿼리된 테이블 |
|---|---|---|
InventoryApps |
Power Apps 인벤토리 | PowerApps_CL |
InventoryAppsConnections |
Power Apps 연결 인벤토리 연결 | PowerAppsConnections_CL |
InventoryEnvironments |
Power Platform 환경 인벤토리 | PowerPlatrformEnvironments_CL |
InventoryFlows |
Power Automate 흐름 인벤토리 | PowerAutomateFlows_CL |
MSBizAppsTerminatedEmployees |
종료된 직원 관심 목록(관심 목록 템플릿에서) | TerminatedEmployees |
분석 규칙에 대한 자세한 내용은 기본 제공 위협 검색을 참조 하세요.