Not
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver det säkerhetsinnehåll som är tillgängligt för Microsoft Sentinel-lösningen för Power Platform. Mer information om den här lösningen finns i Översikt över Microsoft Sentinel-lösningen för Microsoft Power Platform och Microsoft Dynamics 365 Customer Engagement.
Inbyggda analysregler
Följande analysregler ingår när du installerar lösningen för Power Platform. De datakällor som listas innehåller dataanslutningsnamnet och tabellen i Log Analytics.
Dataverse-regler
| Regelnamn | beskrivning | Åtgärd från källa | Taktiker |
|---|---|---|---|
| Dataverse – Avvikande programanvändaraktivitet | Identifierar avvikelser i aktivitetsmönster för Dataverse-programanvändare (icke-interaktiva) baserat på aktivitet som ligger utanför det normala användningsmönstret. | Ovanlig S2S-användaraktivitet i Dynamics 365/Dataverse. Datakällor: - Dataverse (på engelska) DataverseActivity |
CredentialAccess, körning, beständighet |
| Dataverse – Borttagning av granskningsloggdata | Identifierar granskningsloggens databorttagningsaktivitet i Dataverse. | Borttagning av Dataverse-granskningsloggar. Datakällor: - Dataverse (på engelska) DataverseActivity |
DefenseEvasion (Försvar) |
| Dataverse – Granskningsloggning har inaktiverats | Identifierar en ändring i systemgranskningskonfigurationen där granskningsloggning är inaktiverad. | Granskning på global nivå eller entitetsnivå har inaktiverats. Datakällor: - Dataverse (på engelska) DataverseActivity |
DefenseEvasion (Försvar) |
| Dataverse – Omtilldelning eller delning av masspostägarskap | Identifierar ändringar i individuell äganderätt för poster, inklusive: – Spela in delning med andra användare/team – Ägarskapsomtilldelningar som överskrider ett fördefinierat tröskelvärde. |
Många postägarskaps- och postdelningshändelser genererades inom identifieringsfönstret. Datakällor: - Dataverse (på engelska) DataverseActivity |
Rättighetseskalering |
| Dataverse – Körbar fil som laddas upp till SharePoint-webbplatsen för dokumenthantering | Identifierar körbara filer och skript som laddas upp till SharePoint-webbplatser som används för Hantering av Dynamics-dokument, vilket kringgår interna filnamnstilläggsbegränsningar i Dataverse. | Uppladdning av körbara filer i Dataverse-dokumenthantering. Datakällor: – Office365 OfficeActivity (SharePoint) |
Körning, beständighet |
| Dataverse – Exportera aktivitet från avslutad eller meddelad medarbetare | Identifierar Dataverse-exportaktivitet som initieras av uppsagda anställda eller de som är på väg att lämna organisationen. | Dataexporthändelser som är associerade med användare i mallen TerminatedEmployees watchlist. Datakällor: - Dataverse (på engelska) DataverseActivity |
Exfiltrering |
| Dataverse – Gästanvändares exfiltrering efter nedsättning av Power Platform-skydd | Identifierar en händelsekedja som börjar med att inaktivera Power Platform klientisolering och ta bort en miljös åtkomstsäkerhetsgrupp. Dessa händelser korreleras med Dataverse-exfiltreringsvarningar som är kopplade till den berörda miljön och nyligen skapade Microsoft Entra-gästanvändare. Aktivera andra Dataverse-analysregler med MITRE-metoden exfiltrering innan du aktiverar den här regeln. |
Som en nyligen skapad gästanvändare utlöser du Dataverse-exfiltreringsaviseringar när Power Platform-säkerhetskontrollerna har inaktiverats. Datakällor: – PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse (på engelska) DataverseActivity |
Undvikande av försvar |
| Dataverse – Manipulation av hierarkisk säkerhet | Identifierar misstänkta beteenden i hierarkisäkerhet. | Ändringar av säkerhetsegenskaper, inklusive: – Hierarkisäkerhet har inaktiverats. – Användaren tilldelar sig själv som chef. – Användaren tilldelar sig själva en övervakad position (anges i KQL). Datakällor: - Dataverse (på engelska) DataverseActivity |
Rättighetseskalering |
| Dataverse – Honeypot-instansaktivitet | Identifierar aktiviteter i en fördefinierad Honeypot Dataverse-instans. Aviseringar antingen när en inloggning till Honeypot identifieras eller när övervakade Dataverse-tabeller i Honeypot används. |
Logga in och få åtkomst till data i en utsedd Honeypot Dataverse-instans i Power Platform med granskning aktiverat. Datakällor: - Dataverse (på engelska) DataverseActivity |
Upptäckande, exfiltrering |
| Dataverse – Inloggning av en känslig privilegierad användare | Identifierar inloggningar för Dataverse och Dynamics 365 av känsliga användare. | Inloggning av användare som lagts till i VIPUsers-bevakningslistan baserat på taggar som angetts i KQL. Datakällor: - Dataverse (på engelska) DataverseActivity |
Initialt tillträde, Kredentialåtkomst, Behörighetseskalering |
| Dataverse – Logga in från IP i blockeringslistan | Identifierar Dataverse-inloggningsaktivitet från IPv4-adresser som finns på en fördefinierad blockeringslista. | Logga in av en användare med en IP-adress som ingår i ett blockerat nätverksintervall. Blockerade nätverksintervall underhålls i mallen NetworkAddresses-bevakningslista . Datakällor: - Dataverse (på engelska) DataverseActivity |
InitialAccess (InitialAccess) |
| Dataverse – Logga in från en IP-adress som inte är med på tillåtna listan | Identifierar inloggningar från IPv4-adresser som inte matchar IPv4-undernät som underhålls på en allowlist. | Logga in av en användare med en IP-adress som inte ingår i ett tillåtet nätverksintervall. Blockerade nätverksintervall underhålls i mallen NetworkAddresses-bevakningslista . Datakällor: - Dataverse (på engelska) DataverseActivity |
InitialAccess (InitialAccess) |
| Dataversum – Skadlig kod som finns på webbplatsen för dokumenthantering i SharePoint | Identifierar skadlig kod som laddats upp via Dynamics 365-dokumenthantering eller direkt i SharePoint, vilket påverkar Dataverse-associerade SharePoint-webbplatser. | Skadlig fil på SharePoint-webbplatsen som är länkad till Dataverse. Datakällor: - Dataverse (på engelska) DataverseActivity– Office365 OfficeActivity (SharePoint) |
Utförande |
| Dataverse – Massborttagning av poster | Identifierar åtgärder för borttagning av storskaliga poster baserat på ett fördefinierat tröskelvärde. Identifierar även schemalagda massborttagningsjobb. |
Borttagning av poster som överskrider tröskelvärdet som definierats i KQL. Datakällor: - Dataverse (på engelska) DataverseActivity |
Påverkan |
| Dataverse – Massnedladdning från SharePoint-dokumenthantering | Identifierar massnedladdning under den senaste timmen av filer från SharePoint-webbplatser som konfigurerats för dokumenthantering i Dynamics 365. | Massnedladdning överskrider tröskelvärdet som definierats i KQL. Den här analysregeln använder bevakningslistan MSBizApps-Configuration för att identifiera SharePoint-webbplatser som används för dokumenthantering. Datakällor: – Office365 OfficeActivity (SharePoint) |
Exfiltrering |
| Dataverse – Massexport av rekorder till Excel | Identifierar användare som exporterar ett stort antal poster från Dynamics 365 till Excel, där antalet poster som exporteras är betydligt mer än någon annan nyligen genomförd aktivitet av den användaren. Stora exporter från användare utan nyligen genomförd aktivitet identifieras med hjälp av ett fördefinierat tröskelvärde. |
Exportera många poster från Dataverse till Excel. Datakällor: - Dataverse (på engelska) DataverseActivity |
Exfiltrering |
| Dataverse – Stora postuppdateringar | Identifierar ändringar vid massuppdatering av poster i Dataverse och Dynamics 365 som överstiger ett fördefinierat tröskelvärde. | Massuppdatering av poster överskrider tröskelvärdet som definierats i KQL. Datakällor: - Dataverse (på engelska) DataverseActivity |
Påverkan |
| Dataverse – Ny aktivitetstyp för Dataverse-programanvändare | Identifierar nya eller tidigare osedda aktivitetstyper som är associerade med en Dataverse-app (icke-interaktiv) användare. | Nya S2S-användaraktivitetstyper. Datakällor: - Dataverse (på engelska) DataverseActivity |
Legitimeringsåtkomst, Exekvering, Rättighetshöjning |
| Dataverse – Ny icke-interaktiv identitet beviljad åtkomst | Identifierar åtkomsttilldelningar på API-nivå, antingen via delegerade behörigheter för ett Microsoft Entra-program eller genom direkttilldelning i Dataverse som programanvändare. | Dataverse-behörigheter har lagts till för icke-interaktiv användare. Datakällor: - Dataverse (på engelska) DataverseActivity,– AzureActiveDirectory AuditLogs |
Ihållighet, Lateral rörelse, Eskalering av privilegier |
| Dataverse – Ny inloggning från en obehörig domän | Identifierar Dataverse-inloggningsaktivitet som kommer från användare med UPN-suffix som inte har setts tidigare under de senaste 14 dagarna och som inte finns på en fördefinierad lista över auktoriserade domäner. Vanliga interna Power Platform-systemanvändare undantas som standard. |
Logga in av extern användare från ett otillåtet domänsuffix. Datakällor: - Dataverse (på engelska) DataverseActivity |
InitialAccess (InitialAccess) |
| Dataverse – Ny användaragenttyp som inte användes tidigare | Identifierar användare som har åtkomst till Dataverse från en användaragent som inte har setts i någon Dataverse-instans under de senaste 14 dagarna. | Aktivitet i Dataverse från en ny användaragent. Datakällor: - Dataverse (på engelska) DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse – Ny användaragenttyp som inte användes med Office 365 | Identifierar användare som har åtkomst till Dynamics med en användaragent som inte har setts i några Office 365-arbetsbelastningar under de senaste 14 dagarna. | Aktivitet i Dataverse från en ny användaragent. Datakällor: - Dataverse (på engelska) DataverseActivity |
InitialAccess (InitialAccess) |
| Dataverse – Organisationsinställningar har ändrats | Identifierar ändringar som görs på organisationsnivå i Dataverse-miljön. | Egenskapen på organisationsnivå har ändrats i Dataverse. Datakällor: - Dataverse (på engelska) DataverseActivity |
Uthållighet |
| Dataverse – Borttagning av blockerade filnamnstillägg | Identifierar ändringar i en miljös blockerade filnamnstillägg och extraherar det borttagna tillägget. | Borttagning av blockerade filnamnstillägg i Dataverse-egenskaper. Datakällor: - Dataverse (på engelska) DataverseActivity |
DefenseEvasion (Försvar) |
| Dataverse – SharePoint-dokumenthanteringswebbplatsen har lagts till eller uppdaterats | Identifierar ändringar av sharepoint-dokumenthanteringsintegrering. Dokumenthantering tillåter lagring av data som finns externt till Dataverse. Kombinera den här analysregeln med spelboken Dataverse: Lägg till SharePoint-webbplatser i visningslistan för att automatiskt uppdatera Dataverse-SharePointSites bevakningslista. Den här visningslistan kan användas för att korrelera händelser mellan Dataverse och SharePoint när du använder Office 365-dataanslutningen. |
SharePoint-webbplatsmappning har lagts till i Dokumenthantering. Datakällor: - Dataverse (på engelska) DataverseActivity |
Exfiltrering |
| Dataverse – Misstänkta ändringar av säkerhetsrollen | Identifierar ett ovanligt mönster med händelser där en ny roll skapas, följt av att skaparen lägger till medlemmar i rollen och senare tar bort medlemmen eller tar bort rollen efter en kort tidsperiod. | Ändringar i säkerhetsroller och rolltilldelningar. Datakällor: - Dataverse (på engelska) DataverseActivity |
Rättighetseskalering |
| Dataverse – Misstänkt användning av TDS-slutpunkt | Identifierar protokollbaserade frågor baserade på Dataverse TDS (Tabular Data Stream), där källanvändaren eller IP-adressen har de senaste säkerhetsaviseringar och TDS-protokollet inte har använts tidigare i målmiljön. | Plötslig användning av TDS-slutpunkten i samband med säkerhetsaviseringar. Datakällor: - Dataverse (på engelska) DataverseActivity– AzureActiveDirectoryIdentityProtection SecurityAlert |
Exfiltrering, InitialAccess |
| Dataverse – Misstänkt användning av webb-API | Identifierar inloggningar i flera Dataverse-miljöer som bryter mot ett fördefinierat tröskelvärde och kommer från en användare med en IP-adress som användes för att logga in på en välkänd Microsoft Entra-appregistrering. | Logga in med WebAPI i flera miljöer med ett välkänt offentligt program-ID. Datakällor: - Dataverse (på engelska) DataverseActivity– AzureActiveDirectory SigninLogs |
Körning, exfiltrering, rekognosering, upptäckt |
| Dataverse – TI mappar IP till DataverseActivity | Identifierar en matchning i DataverseActivity från någon IP IOC från Microsoft Sentinel Threat Intelligence. | Dataverse-aktivitet med IP-matchande IOK. Datakällor: - Dataverse (på engelska) DataverseActivityThreatIntelligence (på engelska) ThreatIntelligenceIndicator |
Inledande Åtkomst, Lateral Förflyttning, Upptäckande |
| Dataverse – TI-kartläggnings-URL till DataverseActivity | Identifierar en matchning i DataverseActivity från valfri URL-IOC från Microsoft Sentinel Threat Intelligence. | Dataverse-aktivitet med URL-matchande IOK. Datakällor: - Dataverse (på engelska) DataverseActivityThreatIntelligence (på engelska) ThreatIntelligenceIndicator |
Initial åtkomst, Exekvering, Beständighet |
| Dataverse – Avslutad exfiltrering av anställda via e-post | Identifierar Dataverse-exfiltrering via e-post av avslutade anställda. | E-postmeddelanden som skickas till ej betrodda mottagardomäner efter säkerhetsaviseringar som är korrelerade med användare i bevakningslistan TerminatedEmployees . Datakällor: MicrosoftThreatProtection (på engelska) EmailEventsIdentityInfo– AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
Exfiltrering |
| Dataverse – Avslutad medarbetares exfiltrering till USB-enhet | Identifierar filer som laddats ned från Dataverse av avgående eller avslutade anställda och kopieras till USB-monterade enheter. | Filer från Dataverse som kopierats till USB av en användare i bevakningslistan TerminatedEmployees . Datakällor: - Dataverse (på engelska) DataverseActivity– MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Exfiltrering |
| Dataverse – Ovanlig inloggning efter inaktiverat IP-adressbaserat cookiebindningsskydd | Identifierar tidigare osedda IP- och användaragenter i en Dataverse-instans efter inaktivering av cookiebindningsskydd. Mer information finns i Skydda Dataverse-sessioner med IP-cookiebindning. |
Ny inloggningsaktivitet. Datakällor: - Dataverse (på engelska) DataverseActivity |
DefenseEvasion (Försvar) |
| Dataverse – Masshämtning av användare utanför normal aktivitet | Identifierar användare som hämtar betydligt fler poster från Dataverse än de har gjort under de senaste två veckorna. | Användaren hämtar många poster från Dataverse, inklusive KQL-definierat tröskelvärde. Datakällor: - Dataverse (på engelska) DataverseActivity |
Exfiltrering |
Power Apps-regler
| Regelnamn | beskrivning | Åtgärd från källa | Taktiker |
|---|---|---|---|
| Power Apps – Appaktivitet från obehörig geo | Identifierar Power Apps-aktivitet från geografiska regioner i en fördefinierad lista över obehöriga geografiska regioner. Den här identifieringen hämtar listan över ISO 3166-1 alfa-2 landskoder från ISO Online Browsing Platform (OBP). Den här identifieringen använder loggar som matas in från Microsoft Entra-ID och kräver att du även aktiverar Microsoft Entra ID-dataanslutningen. |
Kör en aktivitet i en Power App från en geografisk region som finns i listan över otillåtna landskoder. Datakällor: – Administratörsaktivitet för Microsoft Power Platform PowerPlatformAdminActivity– Microsoft Entra ID SigninLogs |
Inledande åtkomst |
| Power Apps – Flera appar har tagits bort | Identifierar massborttagningsaktivitet där flera Power Apps tas bort, vilket matchar ett fördefinierat tröskelvärde för totalt antal borttagna appar eller borttagna händelser i flera Power Platform-miljöer. | Ta bort många Power Apps från administrationscentret för Power Platform. Datakällor: – Administratörsaktivitet för Microsoft Power Platform PowerPlatformAdminActivity |
Påverkan |
| Power Apps – Flera användare som har åtkomst till en skadlig länk när de har startat en ny app | Identifierar en händelsekedja när en ny Power App skapas och följs av följande händelser: – Flera användare startar appen i identifieringsfönstret. – Flera användare öppnar samma skadliga URL. Denna detektering korrelerar körningsloggar för Power Apps med händelser med val av skadliga URL:er från en av följande källor: – Microsoft 365 Defender-dataanslutningen eller – Skadliga URL-indikatorer för kompromettering (IOC) i Microsoft Sentinel Threat Intelligence med webbsessionsnormaliseringsparsern för avancerad säkerhetsinformationsmodell (Advanced Security Information Model). Den här identifieringen hämtar det unika antalet användare som öppnar eller väljer den skadliga länken genom att skapa en fråga. |
Flera användare startar en ny PowerApp och öppnar en känd skadlig URL från appen. Datakällor: – Administratörsaktivitet för Microsoft Power Platform PowerPlatformAdminActivity- Hotinformation ThreatIntelligenceIndicator– Microsoft Defender XDR UrlClickEvents |
Inledande åtkomst |
| Power Apps – Massdelning av Power Apps till nyligen skapade gästanvändare | Identifierar ovanlig massdelning av Power Apps till nyligen skapade Microsoft Entra-gästanvändare. Ovanlig massdelning baseras på ett fördefinierat tröskelvärde i frågan. | Dela en app med flera externa användare. Datakällor: – Administratörsaktivitet för Microsoft Power Platform PowerPlatformAdminActivity– Microsoft Entra-IDAuditLogs |
Resursutveckling, Inledande åtkomst, Sidorörelser |
Power Automate regler
| Regelnamn | beskrivning | Åtgärd från källa | Taktiker |
|---|---|---|---|
| Power Automate – Flödesaktivitet för avgående anställda | Identifierar instanser där en anställd som har fått besked eller redan blivit uppsagd och finns på bevakningslistan Avslutade anställda skapar eller ändrar ett Power Automate-flöde. | Användaren som definierats i visningslistan TerminatedEmployees skapar eller uppdaterar ett Power Automate-flöde. Datakällor: Microsoft Power Automate - Automatiseringsverktyg från Microsoft PowerAutomateActivityVisningslista för TerminatedEmployees |
Exfiltrering, påverkan |
| Power Automate – Ovanlig massborttagning av flödesresurser | Identifierar massborttagning av Power Automate-flöden som överskrider ett fördefinierat tröskelvärde som definierats i frågan och avviker från aktivitetsmönster som observerats under de senaste 14 dagarna. | Bulkborttagning av Power Automate-flöden. Datakällor: - PowerAutomate (på engelska) PowerAutomateActivity |
Påverkan Undvikande av försvar |
Regler för Power Platform
| Regelnamn | beskrivning | Åtgärd från källa | Taktiker |
|---|---|---|---|
| Power Platform – Koppling har lagts till i en känslig miljö | Identifierar skapandet av nya API-kopplingar inom Power Platform, särskilt riktade mot en fördefinierad lista av känsliga miljöer. | Lägg till en ny Power Platform-anslutning i en känslig Power Platform-miljö. Datakällor: – Administratörsaktivitet för Microsoft Power Platform PowerPlatformAdminActivity |
Utförande, exfiltrering |
| Power Platform – DLP-principen har uppdaterats eller tagits bort | Identifierar ändringar i principen för dataförlustskydd, särskilt principer som uppdateras eller tas bort. | Uppdatera eller ta bort en princip för dataförlustskydd i Power Platform-miljön. Datakällor: Administratörsaktivitet för Microsoft Power Platform PowerPlatformAdminActivity |
Undvikande av försvar |
| Power Platform – Eventuellt komprometterad användare får åtkomst till Power Platform-tjänster | Identifierar användarkonton som flaggas i riskzonen i Microsoft Entra ID Protection och korrelerar dessa användare med inloggningsaktivitet i Power Platform, inklusive Power Apps, Power Automate och Power Platform Admin Center. | Användare med risksignaler kommer åt Power Platform-portaler. Datakällor: – Microsoft Entra ID SigninLogs |
Inledande åtkomst, lateral förflyttning |
| Power Platform – Konto har lagts till i privilegierade Microsoft Entra-roller | Identifierar ändringar i följande privilegierade katalogroller som påverkar Power Platform: – Dynamics 365-administratörer – Power Platform-administratörer – Infrastrukturadministratörer |
Datakällor: AzureActiveDirectory AuditLogs |
Rättighetseskalering |
Jaktfrågor
Lösningen innehåller jaktfrågor som kan användas av analytiker för att proaktivt jaga skadlig eller misstänkt aktivitet i Dynamics 365- och Power Platform-miljöerna.
| Regelnamn | beskrivning | Datakälla | Taktiker |
|---|---|---|---|
| Dataverse – aktivitet efter Microsoft Entra-aviseringar | Den här jaktfrågan söker efter användare som utför Dataverse/Dynamics 365-aktivitet kort efter en Microsoft Entra ID Protection-avisering för den användaren. Frågan söker bara efter användare som inte setts tidigare eller som utför Dynamics-aktivitet som inte tidigare setts. |
- Dataverse (på engelska) DataverseActivity– AzureActiveDirectoryIdentityProtection SecurityAlert |
InitialAccess (InitialAccess) |
| Dataverse – Aktivitet efter misslyckade inloggningar | Den här jaktfrågan söker efter användare som utför Dataverse/Dynamics 365-aktivitet kort efter många misslyckade inloggningar. Använd den här frågan för att söka efter potentiell aktivitet efter brutal våldsangrepp. Justera tröskelvärdet baserat på den falska positiva hastigheten. |
- Dataverse (på engelska)DataverseActivity– AzureActiveDirectory SigninLogs |
InitialAccess (InitialAccess) |
| Dataversum – dataexportaktivitet mellan miljöer | Söker efter dataexportaktivitet över ett förutbestämt antal Dataverse-instanser. Dataexportaktivitet i flera miljöer kan tyda på misstänkt aktivitet eftersom användare vanligtvis bara arbetar i några få miljöer. |
- Dataverse (på engelska)DataverseActivity |
Exfiltrering, insamling |
| Dataversum – Dataverse-export kopierad till USB-enheter | Använder data från Microsoft Defender XDR för att identifiera filer som laddats ned från en Dataverse-instans och kopierats till USB-enhet. | - Dataverse (på engelska)DataverseActivity– MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Exfiltrering |
| Dataverse – Allmän klientapp som används för att komma åt produktionsmiljöer | Identifierar användningen av det inbyggda "Dynamics 365-exempelprogrammet" för att få åtkomst till produktionsmiljöer. Den här allmänna appen kan inte begränsas av Microsoft Entra ID-auktoriseringskontroller och kan missbrukas för att få obehörig åtkomst via webb-API. |
- Dataverse (på engelska)DataverseActivity– AzureActiveDirectory SigninLogs |
Utförande |
| Dataverse – Identitetshanteringsaktivitet utanför privilegierat katalogrollmedlemskap | Identifierar identitetsadministrationshändelser i Dataverse/Dynamics 365 som görs av konton som inte är medlemmar i följande privilegierade katalogroller: Dynamics 365-administratörer, Power Platform-administratörer eller globala administratörer | - Dataverse (på engelska)DataverseActivity- UEBA IdentityInfo |
Rättighetseskalering |
| Dataverse – Ändringar i identitetshantering utan MFA | Används för att visa privilegierade identitetsadministrationsåtgärder i Dataverse som skapats av konton som loggat in utan att använda MFA. | - Dataverse (på engelska)DataverseActivity– AzureActiveDirectory SigninLogs, DataverseActivity |
InitialAccess (InitialAccess) |
| Power Apps – Avvikande massdelning av Power App till nyligen skapade gästanvändare | Frågan identifierar avvikande försök att utföra massdelning av en Power App till nyligen skapade gästanvändare. |
Datakällor: PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
Initialåtkomst, Lateral rörelse, Resursutveckling |
Spelböcker
Den här lösningen innehåller spelböcker som kan användas för att automatisera säkerhetsåtgärder vid incidenter och aviseringar i Microsoft Sentinel.
| Spelboksnamn | beskrivning |
|---|---|
| Säkerhetsarbetsflöde: varningsverifiering med arbetsbelastningsägare | Den här åtgärdsplanen kan minska belastningen på SOC genom att överlåta ansvaret för verifiering av aviseringsregler till IT-administratörer för vissa analysregler. Den utlöses när en Microsoft Sentinel-avisering genereras, skapar ett meddelande (och tillhörande e-postmeddelande) i arbetsbelastningsägarens Microsoft Teams-kanal som innehåller information om aviseringen. Om arbetsbelastningsägaren svarar att aktiviteten inte är auktoriserad konverteras aviseringen till en incident i Microsoft Sentinel som SOC ska hantera. |
| Dataverse: Skicka meddelande till chefen | Den här spelboken kan utlösas när en Microsoft Sentinel-incident utlöses och skickar automatiskt ett e-postmeddelande till chefen för de berörda användarentiteterna. Spelboken kan konfigureras för att skicka antingen till Dynamics 365-chefen eller med hjälp av chefen i Office 365. |
| Dataverse: Lägg till användare i blocklistan (incidentutlösare) | Den här spelboken kan utlösas när en Microsoft Sentinel-incident aktiveras och automatiskt lägger till berörda användarentiteter i en fördefinierad Microsoft Entra-grupp, vilket resulterar i blockerad åtkomst. Microsoft Entra-gruppen används med villkorsstyrd åtkomst för att blockera inloggning till Dataverse. |
| Dataverse: Lägg till användare i blockeringslistan med hjälp av outlook-arbetsflöde för godkännande | Den här spelboken kan utlösas när en Microsoft Sentinel-incident aktiveras och automatiskt lägger till berörda användarentiteter i en fördefinierad Microsoft Entra-grupp med hjälp av ett Outlook-baserat godkännandearbetsflöde, vilket resulterar i blockerad åtkomst. Microsoft Entra-gruppen används med villkorsstyrd åtkomst för att blockera inloggning till Dataverse. |
| Dataverse: Lägg till användare i blockeringslistan med Teams godkännande-arbetsflöde | Den här spelboken kan utlösas när en Microsoft Sentinel-incident uppstår. Den lägger då automatiskt till berörda användarentiteter i en fördefinierad Microsoft Entra-grupp genom ett godkännandeflöde med Teams-adaptiva kort. Detta resulterar i blockerad åtkomst. Microsoft Entra-gruppen används med villkorsstyrd åtkomst för att blockera inloggning till Dataverse. |
| Dataverse: Lägg till användare i blocklistan (aviseringsutlösare) | Den här spelboken kan utlösas på begäran när en Microsoft Sentinel-avisering aktiveras, vilket gör att analytikern kan lägga till berörda användarentiteter i en fördefinierad Microsoft Entra-grupp, vilket resulterar i blockerad åtkomst. Microsoft Entra-gruppen används med villkorsstyrd åtkomst för att blockera inloggning till Dataverse. |
| Dataverse: Ta bort användare från blocklistan | Den här handlingsplanen kan utlösas på begäran när en Microsoft Sentinel-varning aktiveras, vilket gör att analytikern kan ta bort berörda användare från en fördefinierad Microsoft Entra-grupp för att blockera åtkomst. Microsoft Entra-gruppen används med villkorsstyrd åtkomst för att blockera inloggning till Dataverse. |
| Dataverse: Lägg till SharePoint-webbplatser i visningslistan | Den här spelboken används för att lägga till nya eller uppdaterade SharePoint-dokumenthanteringsplatser i konfigurationsbevakningslistan. I kombination med en schemalagd analysregel som övervakar Dataverse-aktivitetsloggen utlöses den här spelboken när en ny mappning av SharePoint-dokumenthanteringswebbplatsen läggs till. Webbplatsen läggs till i en visningslista för att utöka övervakningstäckningen. |
Arbetsböcker
Microsoft Sentinel-arbetsböcker är anpassningsbara, interaktiva instrumentpaneler i Microsoft Sentinel som underlättar analytikernas effektiva visualisering, analys och undersökning av säkerhetsdata. Den här lösningen innehåller arbetsboken Dynamics 365-aktivitet, som visar en visuell representation av aktiviteter i Microsoft Dynamics 365 Customer Engagement/Dataverse, inklusive statistik för posthämtning och ett avvikelsediagram.
Visningslistor
Den här lösningen innehåller bevakningslistan MSBizApps-Configuration och kräver att användarna skapar ytterligare visningslistor baserat på följande visningslistmallar:
- VIPUsers
- Nätverksadresser
- UppsägningarAnställda
Mer information finns i Visningslistor i Microsoft Sentinel och Skapa bevakningslistor.
Inbyggda tolkar
Lösningen innehåller parsers som används för att komma åt data från rådatatabellerna. Parsare ser till att rätt data returneras med ett konsekvent schema. Vi rekommenderar att du använder parsarna i stället för att fråga bevakningslistan direkt.
| Analysator | Data som returneras | Tabell efterfrågad |
|---|---|---|
| MSBizAppsOrgInställningar | Lista över tillgängliga organisationsomfattande inställningar som är tillgängliga i Dynamics 365 Customer Engagement/Dataverse | saknas |
| MSBizAppsVIPUsers | Parser för VIPUsers-visningslistan |
VIPUsers från bevakningslistamall |
| MSBizAppsNetworkAddresses (på engelska) | Parser för NetworkAddresses-visningslistan |
NetworkAddresses från bevakningslistamall |
| MSBizAppsTerminatedEmployees | Parser för visningslistan TerminatedEmployees |
TerminatedEmployees från bevakningslistamall |
| DataverseSharePointSites | SharePoint-webbplatser som används i Dataverse Document Management |
MSBizApps-Configuration visningslista filtrerad efter kategorin "SharePoint" |
Mer information om analysregler finns i Identifiera hot direkt.