Microsoft Power Platform için Microsoft Sentinel çözümü: güvenlik içeriği başvurusu
Bu makalede, Power Platform için Microsoft Sentinel çözümü için sağlanan güvenlik içeriği ayrıntılı olarak açıklanmaktadır. Bu çözüm hakkında daha fazla bilgi için bkz . Microsoft Power Platform için Microsoft Sentinel çözümüne genel bakış.
Önemli
- Power Platform için Microsoft Sentinel çözümü şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
- Çözüm, premium bir tekliftir. Fiyatlandırma bilgileri, çözüm genel kullanıma sunulmadan önce kullanılabilir.
- Bu anketi tamamlayarak bu çözüm için geri bildirim sağlayın: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Yerleşik analiz kuralları
Power Platform çözümünü yüklediğinizde aşağıdaki analiz kuralları dahil edilir. Listelenen veri kaynakları, Log Analytics'teki veri bağlayıcısı adını ve tablosunu içerir. Envanter kaynaklarında eksik verileri önlemek için analiz kuralı şablonlarında tanımlanan varsayılan geri arama süresini değiştirmemenizi öneririz.
Kural adı | Açıklama | Kaynak eylemi | Taktikler |
---|---|---|---|
PowerApps - Yetkisiz coğrafi bölgeden uygulama etkinliği | Önceden tanımlanmış yetkisiz ülkeler listesinde yer alan ülkelerden Power Apps etkinliğini tanımlar. ISO Online Gözatma Platformu'ndan (OBP) ISO 3166-1 alfa-2 ülke kodlarının listesini alın. Bu algılama, Microsoft Entra ID'den alınan günlükleri kullanır ve Microsoft Entra ID veri bağlayıcısını da etkinleştirmenizi gerektirir. |
Yetkisiz ülke kodu listesinde yer alan bir ülkeden Power App'te bir etkinlik çalıştırın. Veri kaynakları: - Power Platform Envanteri (Azure İşlevleri kullanarak) InventoryApps InventoryEnvironments - Microsoft Power Platform Yönetici Etkinliği (Önizleme) PowerPlatformAdminActivity - Microsoft Entra Id SigninLogs |
İlk erişim |
PowerApps - Birden çok uygulama silindi | Birden çok Power Apps'in silindiği toplu silme etkinliğini tanımlar ve birden çok Power Platform ortamı genelinde silinen toplam uygulama veya uygulama silme olaylarının önceden tanımlanmış bir eşiğine eşlenir. | Power Platform yönetim merkezinden birçok Power Apps'i silin. Veri kaynakları: - Power Platform Envanteri (Azure İşlevleri kullanarak) InventoryApps InventoryEnvironments - Microsoft Power Platform Yönetici Etkinliği (Önizleme) PowerPlatformAdminActivity |
Etki |
PowerApps - Yeni bir uygulamanın yayımlanmasının ardından veri yok etme | Yeni bir uygulama oluşturulduğunda veya yayımlandığında bir olay zinciri tanımlar ve Dataverse'de toplu güncelleştirme veya silme olayları tarafından 1 saat içinde takip edilir. Uygulama yayımcısı TerminatedEmployees izleme listesi şablonundaki kullanıcılar listesindeyse, olay önem derecesi oluşturulur. | Power Apps'te oluşturulan veya yayımlanan Power App'i izleyen 1 saat içinde bir dizi kaydı silin. Veri kaynakları: - Power Platform Envanteri (Azure İşlevleri kullanarak) InventoryApps InventoryEnvironments - Microsoft Power Platform Yönetici Etkinliği (Önizleme) PowerPlatformAdminActivity - Microsoft Dataverse (Önizleme) DataverseActivity |
Etki |
PowerApps - Yeni uygulamayı başlattıktan sonra kötü amaçlı bağlantıya erişen birden çok kullanıcı | Yeni bir Power App oluşturulduğunda ve ardından şu olaylar geldiğinde bir olay zinciri tanımlar: - Uygulamayı algılama penceresi içinde birden çok kullanıcı başlatır. - Birden çok kullanıcı aynı kötü amaçlı URL'yi açar. Bu algılama, Power Apps yürütme günlüklerini aşağıdaki kaynaklardan herhangi birinden gelen kötü amaçlı URL tıklama olaylarıyla bağıntılı yapar: - Microsoft 365 Defender veri bağlayıcısı veya - Gelişmiş Güvenlik Bilgileri Modeli (ASIM) web oturumu normalleştirme ayrıştırıcısı ile Microsoft Sentinel Tehdit Bilgileri'nde güvenliğin aşılmasına (IOC) ilişkin kötü amaçlı URL göstergeleri. Sorgu oluşturarak kötü amaçlı bağlantıyı başlatan veya tıklayan farklı sayıda kullanıcıyı alın. |
Birden çok kullanıcı yeni bir PowerApp başlatır ve uygulamadan bilinen bir kötü amaçlı URL'yi açar. Veri kaynakları: - Power Platform Envanteri (Azure İşlevleri kullanarak) InventoryApps InventoryEnvironments - Microsoft Power Platform Yönetici Etkinliği (Önizleme) PowerPlatformAdminActivity - Tehdit Bilgileri ThreatIntelligenceIndicator - Microsoft Defender XDR UrlClickEvents |
İlk erişim |
PowerAutomate - Çalışan akışı etkinliğini kaldırma | Bildirim almış veya zaten sonlandırılmış olan ve Sonlandırılan Çalışanlar izleme listesinde yer alan bir çalışanın Power Automate akışı oluşturduğu veya değiştirdiği örnekleri tanımlar. | Sonlandırılan Çalışanlar izleme listesinde tanımlanan kullanıcı bir Power Automate akışı oluşturur veya güncelleştirir. Veri kaynakları: Microsoft Power Automate (Önizleme) PowerAutomateActivity - Power Platform Envanteri (Azure İşlevleri kullanarak) InventoryFlows InventoryEnvironments Sonlandırılan çalışanlar izleme listesi |
Sızdırma, etki |
PowerPlatform - Hassas bir ortama eklenen bağlayıcı | Power Platform'da yeni API bağlayıcılarının oluşturulmasını ve özellikle hassas ortamların önceden tanımlanmış bir listesini hedeflemeyi tanımlar. | Hassas bir Power Platform ortamına yeni bir Power Platform bağlayıcısı ekleyin. Veri kaynakları: - Microsoft Power Platform Yönetici Etkinliği (Önizleme) PowerPlatformAdminActivity - Power Platform Envanteri (Azure İşlevleri kullanarak) InventoryApps InventoryEnvironments InventoryAppsConnections |
Yürütme, Sızdırma |
PowerPlatform - DLP ilkesi güncelleştirildi veya kaldırıldı | Veri kaybı önleme ilkesinde, özellikle güncelleştirilen veya kaldırılan ilkelerde yapılan değişiklikleri tanımlar. | Power Platform ortamında bir Power Platform veri kaybı önleme ilkesini güncelleştirin veya kaldırın. Veri kaynakları: Microsoft Power Platform Yönetici Etkinliği (Önizleme) PowerPlatformAdminActivity |
Savunma Kaçamak |
Dataverse - Power Platform savunma bozukluğu sonrasında konuk kullanıcı sızdırma | Power Platform kiracı yalıtımının devre dışı bırakılması ve bir ortamın erişim güvenlik grubunun kaldırılmasıyla başlayan olay zincirini tanımlar. Bu olaylar, etkilenen ortamla ilişkili Dataverse sızdırma uyarıları ve yakın zamanda oluşturulan Microsoft Entra konuk kullanıcıları ile ilişkilidir. Bu kuralı etkinleştirmeden önce MITRE taktiği 'Sızdırma' ile diğer Dataverse analiz kurallarını etkinleştirin. |
Yakın zamanda oluşturulan bir konuk kullanıcı olarak, Power Platform güvenlik denetimleri devre dışı bırakıldıktan sonra Dataverse sızdırma uyarılarını tetikler. Veri kaynakları: - PowerPlatformAdmin PowerPlatformAdminActivity - Dataverse DataverseActivity - Power Platform Envanteri (Azure İşlevleri kullanarak) InventoryEnvironments |
Savunma Kaçamak |
Dataverse - Kayıtları Excel'e toplu dışarı aktarma | Dynamics 365'den Excel'e büyük miktarda kaydı dışarı aktaran kullanıcıları tanımlar. Dışarı aktarılan kayıt miktarı, bu kullanıcı tarafından yapılan diğer son etkinliklerden önemli ölçüde daha fazladır. Son etkinliklere sahip olmayan kullanıcılardan yapılan büyük dışarı aktarmalar önceden tanımlanmış bir eşik kullanılarak tanımlanır. | Dataverse'den Excel'e birçok kaydı dışarı aktarın. Veri kaynakları: - Dataverse DataverseActivity - Power Platform Envanteri (Azure İşlevleri kullanarak) InventoryEnvironments |
Sızdırma |
Dataverse - Normal etkinliğin dışında kullanıcı toplu alma | Dataverse'den son 2 haftadan çok daha fazla kayıt alan kullanıcıları tanımlar. | Kullanıcı Dataverse'den birçok kayıt alır Veri kaynakları: - Dataverse DataverseActivity - Power Platform Envanteri (Azure İşlevleri kullanarak) InventoryEnvironments |
Sızdırma |
Power Apps - Power Apps'in yeni oluşturulan konuk kullanıcılarla toplu paylaşımı | Power Apps'in yeni oluşturulan Microsoft Entra konuk kullanıcılarına olağan dışı toplu paylaşımını tanımlar. Olağan dışı toplu paylaşım, sorguda önceden tanımlanmış bir eşiğe dayanır. | Bir uygulamayı birden çok dış kullanıcıyla paylaşın. Veri kaynakları: - Microsoft Power Platform Yönetici Etkinliği (Önizleme) PowerPlatformAdminActivity - Power Platform Envanteri (Azure İşlevleri kullanarak) InventoryApps InventoryEnvironments - Microsoft Entra Id AuditLogs |
Kaynak Geliştirme, İlk Erişim Yan Hareket |
Power Automate - Akış kaynaklarının olağan dışı toplu silinmesi | Sorguda tanımlanan önceden tanımlanmış eşiği aşan Ve son 14 gün içinde gözlemlenen etkinlik desenlerinden sapan Power Automate akışlarının toplu silinmesini tanımlar. | Power Automate akışlarını toplu silme. Veri kaynakları: - PowerAutomate PowerAutomateActivity |
Etki Savunma Kaçamak |
Power Platform - Güvenliği aşılmış kullanıcılar Power Platform hizmetlerine erişiyor olabilir | Microsoft Entra Identity Protection'da risk altında bayrak eklenmiş kullanıcı hesaplarını tanımlar ve bu kullanıcıları Power Apps, Power Automate ve Power Platform Yönetim Merkezi gibi Power Platform'da oturum açma etkinliğiyle ilişkilendirmektedir. | Risk sinyalleri olan kullanıcı Power Platform portallarına erişir. Veri kaynakları: - Microsoft Entra Id SigninLogs |
İlk Erişim, YanAl Hareket |
Yerleşik ayrıştırıcılar
Çözüm, ham veri tablolarındaki verilere erişmek için kullanılan ayrıştırıcıları içerir. Ayrıştırıcılar, tutarlı bir şemayla doğru verilerin döndürülmesini sağlar. Envanter tablolarını ve izleme listelerini doğrudan sorgulamak yerine ayrıştırıcıları kullanmanızı öneririz. Power Platform envanteri ile ilgili ayrıştırıcılar son 7 güne ait verileri döndürür.
Ayrıştırıcı | Döndürülen veriler | Sorgulanan tablo |
---|---|---|
InventoryApps |
Power Apps Envanteri | PowerApps_CL |
InventoryAppsConnections |
Power Apps bağlantıları Inventoryconnections | PowerAppsConnections_CL |
InventoryEnvironments |
Power Platform ortamları Envanteri | PowerPlatrformEnvironments_CL |
InventoryFlows |
Power Automate akış envanteri | PowerAutomateFlows_CL |
MSBizAppsTerminatedEmployees |
Sonlandırılan çalışanlar izleme listesi (izleme listesi şablonundan) | TerminatedEmployees |
GetPowerAppsEventDetails |
Power Apps / Bağlantılar için ayrıştırılmış olay ayrıntılarını döndürür | PowerPlatformAdminActivity |
Analiz kuralları hakkında daha fazla bilgi için bkz . Tehditleri kullanıma hazır olarak algılama.