Solução do Microsoft Sentinel para Microsoft Power Platform: referência de conteúdo de segurança
Este artigo detalha o conteúdo de segurança disponível na solução do Microsoft Sentinel para Power Platform. Para obter mais informações sobre essa solução, consulte Visão geral da solução do Microsoft Sentinel para Microsoft Power Platform.
Importante
- A solução do Microsoft Sentinel para Power Platform está atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
- A solução é uma oferta premium. As informações de preços estarão disponíveis antes que a solução esteja em disponibilidade geral.
- Forneça comentários para esta solução concluindo esta pesquisa: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Regras de análise integradas
As regras analíticas a seguir são incluídas quando você instala a solução para o Power Platform. As fontes de dados listadas incluem o nome do conector de dados e a tabela no Log Analytics. Para evitar a falta de dados nas fontes de inventário, recomendamos que você não altere o período de retrospectiva padrão definido nos modelos de regra analítica.
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| PowerApps – Atividade do aplicativo da área geográfica não autorizada | Identifica a atividade do Power Apps de países em uma lista predefinida de países não autorizados. Obtenha a lista de códigos de país ISO 3166-1 alpha-2 do ISO OBP (Online Browsing Platform). Essa detecção usa logs ingeridos do Microsoft Entra ID. Portanto, recomendamos que você habilite o conector de dados do Microsoft Entra ID. |
Execute uma atividade no Power App de um país que está na lista de códigos de país não autorizados. Fontes de dados: - Inventário do Power Platform (usando o Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Power Apps (versão prévia) PowerAppsActivity– Microsoft Entra ID SigninLogs |
Acesso inicial |
| PowerApps – Vários aplicativos excluídos | Identifica a atividade de exclusão em massa em que vários Power Apps são excluídos, correspondendo a um limite predefinido do total de aplicativos excluídos ou eventos excluídos pelo aplicativo em vários ambientes do Power Platform. | Exclua muitos Power Apps do Centro de administração do Power Platform. Fontes de dados: - Inventário do Power Platform (usando o Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Power Apps (versão prévia) PowerAppsActivity |
Impacto |
| PowerApps – Destruição de dados após a publicação de um novo aplicativo | Identifica uma cadeia de eventos quando um novo aplicativo é criado ou publicado e é seguido dentro de 1 hora por eventos de atualização em massa ou exclusão no Dataverse. Se o editor do aplicativo estiver na lista de usuários no modelo de watchlist TerminatedEmployees, a gravidade do incidente será gerada. | Exclua vários registros no Power Apps dentro de 1 hora após a criação ou publicação do Power App. Fontes de dados: - Inventário do Power Platform (usando o Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Power Apps (versão prévia) PowerAppsActivity- Microsoft Dataverse (versão prévia) DataverseActivity |
Impacto |
| PowerApps – Vários usuários acessando um link mal-intencionado após a inicialização do novo aplicativo | Identifica uma cadeia de eventos quando um novo Power App é criado e seguido por estes eventos: – Vários usuários inicializam o aplicativo dentro da janela de detecção. – Vários usuários abrem a mesma URL mal-intencionada. Essa detecção cruzada correlaciona os logs de execução do Power Apps com eventos de clique de URL mal-intencionados de uma das seguintes fontes: - O conector de dados do Microsoft 365 Defender ou - Indicadores de comprometimento (IOC) de URL mal-intencionada na Inteligência contra Ameaças do Microsoft Sentinel com o analisador de normalização de sessão da Web ASIM (Modelo de Informações de Segurança Avançado). Obtenha o número distinto de usuários que inicializam ou clicam no link mal-intencionado criando uma consulta. |
Vários usuários iniciam um novo PowerApp e abrem uma URL mal-intencionada conhecida do aplicativo. Fontes de dados: - Inventário do Power Platform (usando o Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Power Apps (versão prévia) PowerAppsActivity- Inteligência contra ameaças ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
Acesso inicial |
| PowerAutomate – Atividade de fluxo de funcionários de partida | Identifica instâncias em que um funcionário que foi notificado ou já foi demitido e está na watchlist Funcionários Demitidos, cria ou modifica um fluxo do Power Automate. | O usuário definido na watchlist Funcionários Demitidos cria ou atualiza um fluxo do Power Automate. Fontes de dados: Microsoft Power Automate (versão prévia) PowerAutomateActivity- Inventário do Power Platform (usando o Azure Functions) InventoryFlowsInventoryEnvironmentsWatchlist de funcionários demitidos |
Exfiltração, impacto |
| PowerPlatform – Conector adicionado a um ambiente sensível | Identifica a criação de novos conectores de API no Power Platform, visando especificamente uma lista predefinida de ambientes confidenciais. | Adicione um novo conector do Power Platform em um ambiente sensível do Power Platform. Fontes de dados: - Conectores do Microsoft Power Platform (versão prévia) PowerPlatformConnectorActivity- Inventário do Power Platform (usando o Azure Functions) InventoryAppsInventoryEnvironmentsInventoryAppsConnections |
Execução, Exfiltração |
| PowerPlatform – Política DLP atualizada ou removida | Identifica alterações na política de prevenção contra perda de dados, especificamente políticas atualizadas ou removidas. | Atualize ou remova uma política de prevenção contra perda de dados do Power Platform no ambiente do Power Platform. Fontes de dados: DLP do Microsoft Power Platform (versão prévia) PowerPlatformDlpActivity |
Evasão de defesa |
| Dataverse – Exfiltração de usuário convidado após prejuízo de defesa do Power Platform | (Identifica uma cadeia de eventos começando com desabilitação do isolamento de locatário do Power Platform e remoção do grupo de segurança de acesso de um ambiente. Esses eventos estão correlacionados com alertas de exfiltração do Dataverse associados ao ambiente afetado e usuários convidados do Microsoft Entra criados recentemente. Ative outras regras de análise do Dataverse com a tática MITRE 'Exfiltration' antes de habilitar essa regra. |
Como novos usuários convidados, dispare alertas de exfiltração após os controles de segurança do Power Platform serem desabilitados. Fontes de dados: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity- Inventário do Power Platform (usando o Azure Functions) InventoryEnvironments |
Evasão de defesa |
| Dataverse – Exportação em massa de registros para o Excel | Identifica os usuários que exportam uma grande quantidade de registros do Dynamics 365 para o Excel. A quantidade de registros exportados é significativamente maior do que qualquer outra atividade recente desse usuário. Grandes exportações de usuários sem atividade recente são identificadas usando um limite predefinido. | Exporte muitos registros do Dataverse para o Excel. Fontes de dados: - Dataverse DataverseActivity- Inventário do Power Platform (usando o Azure Functions) InventoryEnvironments |
Exfiltração |
| Dataverse – Recuperação em massa do usuário fora da atividade normal | Identifica os usuários que recuperam significativamente mais registros do Dataverse do que nas últimas 2 semanas. | O usuário recupera muitos registros do Dataverse Fontes de dados: - Dataverse DataverseActivity- Inventário do Power Platform (usando o Azure Functions) InventoryEnvironments |
Exfiltração |
| Power Apps – compartilhamento em massa do Power Apps para usuários convidados recém-criados | Identifica o compartilhamento em massa incomum do Power Apps para usuários convidados do Microsoft Entra recém-criados. O compartilhamento em massa incomum baseia-se em um limite predefinido na consulta. | Compartilhe um aplicativo com vários usuários externos. Fontes de dados: - Microsoft Power Apps (versão prévia) PowerAppsActivity- Inventário do Power Platform (usando o Azure Functions) InventoryAppsInventoryEnvironments– Microsoft Entra ID AuditLogs |
Desenvolvimento de recursos, Acesso inicial, Movimentação lateral |
| Power Automate – Exclusão em massa incomum de recursos de fluxo | Identifica a exclusão em massa de fluxos do Power Automate que excedem um limite predefinido na consulta e se desviam dos padrões de atividade observados nos últimos 14 dias. | Exclusão em massa de fluxos do Power Automate. Fontes de dados: - PowerAutomate PowerAutomateActivity |
Impacto, Evasão de defesa |
| Power Platform – Possivelmente o usuário comprometido acessa os serviços do Power Platform | Identifica contas de usuário sinalizadas como em risco no Microsoft Entra Identity Protection e correlaciona esses usuários à atividade de entrada no Power Platform, incluindo Power Apps, Power Automate e Centro de Administração do Power Platform. | O usuário com sinais de risco acessa os portais do Power Platform. Fontes de dados: – Microsoft Entra ID SigninLogs |
Acesso Inicial, Movimento Lateral |
Analisadores integrados
A solução inclui analisadores usados para acessar dados das tabelas de dados brutos. Os analisadores garantem que os dados corretos sejam retornados com um esquema consistente. Recomendamos que você use os analisadores em vez de consultar diretamente as tabelas de estoque e as watchlists. Os analisadores relacionados ao inventário do Power Platform retornam dados dos últimos 7 dias.
| Analisador | Dados retornados | Tabela consultada |
|---|---|---|
InventoryApps |
Inventário do Power Apps | PowerApps_CL |
InventoryAppsConnections |
Conexões do Power Apps Inventoryconnections | PowerAppsConnections_CL |
InventoryEnvironments |
Inventário de ambientes do Power Platform | PowerPlatrformEnvironments_CL |
InventoryFlows |
Inventário de fluxos do Power Automate | PowerAutomateFlows_CL |
MSBizAppsTerminatedEmployees |
Watchlist de funcionários demitidos (do modelo de watchlist) | TerminatedEmployees |
Para saber mais sobre as regras analíticas, confira Detectar ameaças prontas para uso.