Microsoft Sentinel-lösning för Microsoft Power Platform: referens för säkerhetsinnehåll
Den här artikeln beskriver det säkerhetsinnehåll som är tillgängligt för Microsoft Sentinel-lösningen för Power Platform. Mer information om den här lösningen finns i Översikt över Microsoft Sentinel-lösningen för Microsoft Power Platform.
Viktigt!
- Microsoft Sentinel-lösningen för Power Platform finns för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
- Lösningen är ett premiumerbjudande. Prisinformation kommer att vara tillgänglig innan lösningen blir allmänt tillgänglig.
- Ge feedback för den här lösningen genom att slutföra den här undersökningen: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Inbyggda analysregler
Följande analysregler ingår när du installerar lösningen för Power Platform. De datakällor som listas innehåller dataanslutningsnamnet och tabellen i Log Analytics. För att undvika att data saknas i inventeringskällorna rekommenderar vi att du inte ändrar standardåterställningsperioden som definieras i analysregelmallarna.
Regelnamn | beskrivning | Källåtgärd | Taktiker |
---|---|---|---|
PowerApps – Appaktivitet från obehörig geo | Identifierar Power Apps-aktivitet från länder i en fördefinierad lista över obehöriga länder. Hämta listan över ISO 3166-1 alfa-2 landskoder från ISO Online Browsing Platform (OBP). Den här identifieringen använder loggar som matas in från Microsoft Entra-ID. Därför rekommenderar vi att du aktiverar Microsoft Entra ID-dataanslutningen. |
Kör en aktivitet i Power App från ett land som finns i listan över otillåtna landskoder. Datakällor: – Power Platform Inventory (med Hjälp av Azure Functions) InventoryApps InventoryEnvironments – Microsoft Power Apps (förhandsversion) PowerAppsActivity – Microsoft Entra-ID SigninLogs |
Inledande åtkomst |
PowerApps – Flera appar har tagits bort | Identifierar massborttagningsaktivitet där flera Power Apps tas bort, vilket matchar ett fördefinierat tröskelvärde för totalt antal borttagna appar eller borttagna händelser i flera Power Platform-miljöer. | Ta bort många Power Apps från administrationscentret för Power Platform. Datakällor: – Power Platform Inventory (med Hjälp av Azure Functions) InventoryApps InventoryEnvironments – Microsoft Power Apps (förhandsversion) PowerAppsActivity |
Påverkan |
PowerApps – Dataförstörelse efter publicering av en ny app | Identifierar en händelsekedja när en ny app skapas eller publiceras och följs inom 1 timme av massuppdaterings- eller borttagningshändelser i Dataverse. Om apputgivaren finns med i listan över användare i mallen TerminatedEmployees watchlist utlöses incidentens allvarlighetsgrad. | Ta bort ett antal poster i Power Apps inom en timme efter att Power App har skapats eller publicerats. Datakällor: – Power Platform Inventory (med Hjälp av Azure Functions) InventoryApps InventoryEnvironments – Microsoft Power Apps (förhandsversion) PowerAppsActivity – Microsoft Dataverse (förhandsversion) DataverseActivity |
Påverkan |
PowerApps – Flera användare som har åtkomst till en skadlig länk efter att ha startat en ny app | Identifierar en händelsekedja när en ny Power App skapas och följs av följande händelser: – Flera användare startar appen i identifieringsfönstret. – Flera användare öppnar samma skadliga URL. Det här identifieringsövergripandet korrelerar Power Apps-körningsloggar med skadliga URL-klickhändelser från någon av följande källor: – Microsoft 365 Defender-dataanslutningen eller – Skadliga URL-indikatorer för kompromettering (IOC) i Microsoft Sentinel Threat Intelligence med asim-webbsessionsnormaliseringsparsern (Advanced Security Information Model). Hämta det distinkta antalet användare som startar eller klickar på den skadliga länken genom att skapa en fråga. |
Flera användare startar en ny PowerApp och öppnar en känd skadlig URL från appen. Datakällor: – Power Platform Inventory (med Hjälp av Azure Functions) InventoryApps InventoryEnvironments – Microsoft Power Apps (förhandsversion) PowerAppsActivity - Hotinformation ThreatIntelligenceIndicator – Microsoft Defender XDR UrlClickEvents |
Inledande åtkomst |
PowerAutomate – Avgående flödesaktivitet för anställda | Identifierar instanser där en anställd som har meddelats eller redan har avslutats och finns på bevakningslistan Avslutade anställda skapar eller ändrar ett Power Automate-flöde. | Användaren som definieras i bevakningslistan Avslutade anställda skapar eller uppdaterar ett Power Automate-flöde. Datakällor: Microsoft Power Automate (förhandsversion) PowerAutomateActivity – Power Platform Inventory (med Hjälp av Azure Functions) InventoryFlows InventoryEnvironments Bevakningslista för avslutade anställda |
Exfiltrering, påverkan |
PowerPlatform – Anslut eller har lagts till i en känslig miljö | Identifierar skapandet av nya API-anslutningsappar i Power Platform, särskilt för en fördefinierad lista över känsliga miljöer. | Lägg till en ny Power Platform-anslutningsapp i en känslig Power Platform-miljö. Datakällor: – Microsoft Power Platform Anslut ors (förhandsversion) PowerPlatformConnectorActivity – Power Platform Inventory (med Hjälp av Azure Functions) InventoryApps InventoryEnvironments InventoryAppsConnections |
Körning, exfiltrering |
PowerPlatform – DLP-principen har uppdaterats eller tagits bort | Identifierar ändringar i principen för dataförlustskydd, särskilt principer som uppdateras eller tas bort. | Uppdatera eller ta bort en princip för dataförlustskydd i Power Platform-miljön. Datakällor: Microsoft Power Platform DLP (förhandsversion) PowerPlatformDlpActivity |
Försvarsundandragande |
Dataverse – Gästanvändares exfiltrering efter nedsättning av Power Platform-skydd | (Identifierar en händelsekedja som börjar med inaktivering av Power Platform-klientisolering och borttagning av en miljös åtkomstsäkerhetsgrupp. Dessa händelser korreleras med Dataverse-exfiltreringsaviseringar som är associerade med den berörda miljön och nyligen skapade Microsoft Entra-gästanvändare. Aktivera andra Dataverse-analysregler med MITRE-taktiken Exfiltration innan du aktiverar den här regeln. |
Som nya gästanvändare utlöser du exfiltreringsaviseringar efter att Power Platform-säkerhetskontroller har inaktiverats. Datakällor: – PowerPlatformAdmin PowerPlatformAdminActivity – Dataversum DataverseActivity – Power Platform Inventory (med Hjälp av Azure Functions) InventoryEnvironments |
Försvarsundandragande |
Dataverse – Massexport av poster till Excel | Identifierar användare som exporterar en stor mängd poster från Dynamics 365 till Excel. Mängden poster som exporteras är betydligt mer än någon annan nyligen genomförd aktivitet av den användaren. Stora exporter från användare utan nyligen genomförd aktivitet identifieras med hjälp av ett fördefinierat tröskelvärde. | Exportera många poster från Dataverse till Excel. Datakällor: – Dataversum DataverseActivity – Power Platform Inventory (med Hjälp av Azure Functions) InventoryEnvironments |
Exfiltrering |
Dataverse – Masshämtning av användare utanför normal aktivitet | Identifierar användare som hämtar betydligt fler poster från Dataverse än de har gjort under de senaste två veckorna. | Användaren hämtar många poster från Dataverse Datakällor: – Dataversum DataverseActivity – Power Platform Inventory (med Hjälp av Azure Functions) InventoryEnvironments |
Exfiltrering |
Power Apps – Massdelning av Power Apps till nyligen skapade gästanvändare | Identifierar ovanlig massdelning av Power Apps till nyligen skapade Microsoft Entra-gästanvändare. Ovanlig massdelning baseras på ett fördefinierat tröskelvärde i frågan. | Dela en app med flera externa användare. Datakällor: – Microsoft Power Apps (förhandsversion) PowerAppsActivity – Power Platform Inventory (med Hjälp av Azure Functions) InventoryApps InventoryEnvironments – Microsoft Entra-ID AuditLogs |
Resursutveckling, Inledande åtkomst, Sidorörelser |
Power Automate – Ovanlig massborttagning av flödesresurser | Identifierar massborttagning av Power Automate-flöden som överskrider ett fördefinierat tröskelvärde som definierats i frågan och avviker från aktivitetsmönster som observerats under de senaste 14 dagarna. | Massborttagning av Power Automate-flöden. Datakällor: - PowerAutomate PowerAutomateActivity |
Effekt Försvarsundandragande |
Power Platform – Eventuellt komprometterad användare får åtkomst till Power Platform-tjänster | Identifierar användarkonton som flaggas i riskzonen i Microsoft Entra Identity Protection och korrelerar dessa användare med inloggningsaktivitet i Power Platform, inklusive Power Apps, Power Automate och Power Platform Admin Center. | Användare med risksignaler kommer åt Power Platform-portaler. Datakällor: – Microsoft Entra-ID SigninLogs |
Initial åtkomst, lateral förflyttning |
Inbyggda parsers
Lösningen innehåller parsers som används för att komma åt data från rådatatabellerna. Parsare ser till att rätt data returneras med ett konsekvent schema. Vi rekommenderar att du använder parsarna i stället för att fråga inventeringstabellerna och bevakningslistor direkt. Power Platform-inventeringsrelaterade parsare returnerar data från de senaste 7 dagarna.
Parser | Data som returneras | Tabell efterfrågad |
---|---|---|
InventoryApps |
Power Apps-inventering | PowerApps_CL |
InventoryAppsConnections |
Power Apps-anslutningar Inventeringsanslutningar | PowerAppsConnections_CL |
InventoryEnvironments |
Inventering av Power Platform-miljöer | PowerPlatrformEnvironments_CL |
InventoryFlows |
Inventering av Power Automate-flöden | PowerAutomateFlows_CL |
MSBizAppsTerminatedEmployees |
Uppsagd bevakningslista för anställda (från visningslistmall) | TerminatedEmployees |
Mer information om analysregler finns i Identifiera hot direkt.