Partilhar via


Solução Microsoft Sentinel para Microsoft Power Platform: referência de conteúdo de segurança

Este artigo detalha o conteúdo de segurança disponível para a solução Microsoft Sentinel para Power Platform. Para obter mais informações sobre essa solução, consulte Visão geral da solução Microsoft Sentinel para Microsoft Power Platform.

Importante

  • A solução Microsoft Sentinel para Power Platform está atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
  • A solução é uma oferta premium. As informações de preços estarão disponíveis antes que a solução se torne disponível ao público.
  • Forneça feedback sobre esta solução preenchendo esta pesquisa: https://aka.ms/SentinelPowerPlatformSolutionSurvey.

Regras de análise incorporadas

As regras analíticas a seguir são incluídas quando você instala a solução para Power Platform. As fontes de dados listadas incluem o nome do conector de dados e a tabela no Log Analytics. Para evitar a falta de dados nas fontes de inventário, recomendamos que você não altere o período de retrospetiva padrão definido nos modelos de regra analítica.

Nome da regra Description Ação de origem Táticas
PowerApps - Atividade de aplicativos de geo não autorizada Identifica a atividade do Power Apps de países em uma lista predefinida de países não autorizados.

Obtenha a lista de códigos de país ISO 3166-1 alpha-2 da ISO Online Browsing Platform (OBP).

Essa deteção usa logs ingeridos do Microsoft Entra ID e requer que você também habilite o conector de dados do Microsoft Entra ID.
Execute uma atividade no Power App a partir de um país que esteja na lista de códigos de país não autorizados.

Fontes de dados:
- Power Platform Inventory (usando o Azure Functions)
InventoryApps
InventoryEnvironments
- Atividade de administração da Microsoft Power Platform (visualização)
PowerPlatformAdminActivity
- ID do Microsoft Entra
SigninLogs
Acesso inicial
PowerApps - Vários aplicativos excluídos Identifica a atividade de exclusão em massa em que vários Power Apps são excluídos, correspondendo a um limite predefinido de total de aplicativos excluídos ou eventos excluídos de aplicativos em vários ambientes da Power Platform. Elimine muitas Power Apps do centro de administração da Power Platform.

Origens de Dados:
- Power Platform Inventory (usando o Azure Functions)
InventoryApps
InventoryEnvironments
- Atividade de administração da Microsoft Power Platform (visualização)
PowerPlatformAdminActivity
Impacto
PowerApps - Destruição de dados após a publicação de um novo aplicativo Identifica uma cadeia de eventos quando um novo aplicativo é criado ou publicado e é seguido dentro de 1 hora por eventos de atualização ou exclusão em massa no Dataverse. Se o editor do aplicativo estiver na lista de usuários no modelo de lista de observação TerminatedEmployees , a gravidade do incidente será aumentada. Exclua vários registros no Power Apps dentro de 1 hora após o Power App ser criado ou publicado.

Origens de Dados:
- Power Platform Inventory (usando o Azure Functions)
InventoryApps
InventoryEnvironments
- Atividade de administração da Microsoft Power Platform (visualização)
PowerPlatformAdminActivity
- Microsoft Dataverse (Pré-visualização)
DataverseActivity
Impacto
PowerApps - Vários usuários acessando um link mal-intencionado após iniciar um novo aplicativo Identifica uma cadeia de eventos quando um novo Power App é criado e é seguido por estes eventos:
- Vários usuários iniciam o aplicativo dentro da janela de deteção.
- Vários utilizadores abrem o mesmo URL malicioso.

Essa deteção correlaciona os logs de execução do Power Apps com eventos de clique em URL mal-intencionados de uma das seguintes fontes:
- O conector de dados Microsoft 365 Defender ou
- Indicadores maliciosos de comprometimento de URL (IOC) no Microsoft Sentinel Threat Intelligence com o analisador de normalização de sessão web Advanced Security Information Model (ASIM).

Obtenha o número distinto de usuários que iniciam ou clicam no link mal-intencionado criando uma consulta.
Vários usuários iniciam um novo PowerApp e abrem uma URL maliciosa conhecida do aplicativo.

Origens de Dados:
- Power Platform Inventory (usando o Azure Functions)
InventoryApps
InventoryEnvironments
- Atividade de administração da Microsoft Power Platform (visualização)
PowerPlatformAdminActivity
- Inteligência de ameaças
ThreatIntelligenceIndicator
- Microsoft Defender XDR
UrlClickEvents
Acesso inicial
PowerAutomate - Atividade de fluxo de funcionários que sai Identifica instâncias em que um funcionário que foi notificado ou já foi demitido e está na lista de observação Funcionários Demitidos, cria ou modifica um fluxo de Power Automatic. O usuário definido na lista de observação Funcionários demitidos cria ou atualiza um fluxo do Power Automatic.

Origens de Dados:
Microsoft Power Automate (Pré-visualização)
PowerAutomateActivity
- Power Platform Inventory (usando o Azure Functions)
InventoryFlows
InventoryEnvironments
Lista de observação de funcionários demitidos
Exfiltração, impacto
PowerPlatform - Conector adicionado a um ambiente sensível Identifica a criação de novos conectores de API dentro da Power Platform, visando especificamente uma lista predefinida de ambientes sensíveis. Adicione um novo conector Power Platform em um ambiente confidencial Power Platform.

Origens de Dados:
- Atividade de administração da Microsoft Power Platform (visualização)
PowerPlatformAdminActivity
- Power Platform Inventory (usando o Azure Functions)
InventoryApps
InventoryEnvironments
InventoryAppsConnections
Execução, Exfiltração
PowerPlatform - Política de DLP atualizada ou removida Identifica alterações na política de prevenção de perda de dados, especificamente políticas que são atualizadas ou removidas. Atualize ou remova uma política de prevenção de perda de dados da Power Platform no ambiente da Power Platform.

Origens de Dados:
Atividade de administração da Microsoft Power Platform (Pré-visualização)
PowerPlatformAdminActivity
Evasão de Defesa
Dataverse - Exfiltração do usuário convidado após comprometimento da defesa da Power Platform Identifica uma cadeia de eventos que começa com a desativação do isolamento do locatário da Power Platform e a remoção do grupo de segurança de acesso de um ambiente. Esses eventos estão correlacionados com alertas de exfiltração do Dataverse associados ao ambiente afetado e aos usuários convidados do Microsoft Entra criados recentemente.

Ative outras regras de análise do Dataverse com a tática MITRE 'Exfiltração' antes de ativar esta regra.
Como um usuário convidado criado recentemente, acione alertas de exfiltração do Dataverse depois que os controles de segurança da Power Platform forem desativados.

Origens de Dados:
- PowerPlatformAdmin
PowerPlatformAdminActivity

- Dataverse
DataverseActivity
- Power Platform Inventory (usando o Azure Functions)
InventoryEnvironments
Evasão de Defesa
Dataverse - Exportação em massa de registros para o Excel Identifica usuários que exportam uma grande quantidade de registros do Dynamics 365 para o Excel. A quantidade de registros exportados é significativamente maior do que qualquer outra atividade recente desse usuário. Grandes exportações de usuários sem atividade recente são identificadas usando um limite predefinido. Exporte muitos registros do Dataverse para o Excel.

Origens de Dados:
- Dataverse
DataverseActivity
- Power Platform Inventory (usando o Azure Functions)
InventoryEnvironments
Exfiltração
Dataverse - Recuperação em massa do usuário fora da atividade normal Identifica usuários recuperando significativamente mais registros do Dataverse do que nas últimas 2 semanas. O usuário recupera muitos registros do Dataverse

Origens de Dados:
- Dataverse
DataverseActivity
- Power Platform Inventory (usando o Azure Functions)
InventoryEnvironments
Exfiltração
Power Apps - Compartilhamento em massa de Power Apps para usuários convidados recém-criados Identifica o compartilhamento em massa incomum de Power Apps para usuários convidados recém-criados do Microsoft Entra. O compartilhamento em massa incomum é baseado em um limite predefinido na consulta. Partilhe uma aplicação com vários utilizadores externos.

Origens de Dados:
- Atividade de administração da Microsoft Power Platform (visualização)
PowerPlatformAdminActivity
- Power Platform Inventory (usando o Azure Functions)
InventoryApps
InventoryEnvironments
- ID do Microsoft Entra
AuditLogs
Desenvolvimento de Recursos,
Acesso inicial,
Movimento Lateral
Power Automate - Exclusão em massa incomum de recursos de fluxo Identifica a exclusão em massa de fluxos do Power Automate que excedem um limite predefinido definido na consulta e se desviam dos padrões de atividade observados nos últimos 14 dias. Exclusão em massa de fluxos do Power Automatic.

Origens de Dados:
- PowerAutomate
PowerAutomateActivity
Impacto,
Evasão de Defesa
Power Platform - Acessos de usuários possivelmente comprometidos aos serviços da Power Platform Identifica contas de usuário sinalizadas em risco no Microsoft Entra Identity Protection e correlaciona esses usuários com a atividade de entrada no Power Platform, incluindo Power Apps, Power Automate e Power Platform Admin Center. O utilizador com sinais de risco acede aos portais da Power Platform.

Origens de Dados:
- ID do Microsoft Entra
SigninLogs
Acesso Inicial, Movimento Lateral

Analisadores integrados

A solução inclui analisadores que são usados para acessar dados das tabelas de dados brutos. Os analisadores garantem que os dados corretos sejam retornados com um esquema consistente. Recomendamos que você use os analisadores em vez de consultar diretamente as tabelas de inventário e as listas de observação. Os analisadores relacionados ao inventário da Power Platform retornam dados dos últimos 7 dias.

Analisador Dados retornados Tabela consultada
InventoryApps Inventário de aplicativos de energia PowerApps_CL
InventoryAppsConnections Conexões do Power Apps Inventárioconexões PowerAppsConnections_CL
InventoryEnvironments Inventário de ambientes de plataforma de energia PowerPlatrformEnvironments_CL
InventoryFlows Automatize os fluxos de energia Inventário PowerAutomateFlows_CL
MSBizAppsTerminatedEmployees Lista de observação de funcionários demitidos (do modelo de lista de observação) TerminatedEmployees
GetPowerAppsEventDetails Retorna detalhes de eventos analisados para Power Apps / Connections PowerPlatformAdminActivity

Para obter mais informações sobre regras analíticas, consulte Detetar ameaças prontas para uso.