你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Power Platform 的 Microsoft Sentinel 解决方案:安全内容参考
本文详细介绍可用于适用于 Power Platform 的 Microsoft Sentinel 解决方案的安全内容。 有关此解决方案的详细信息,请参阅适用于 Microsoft Power Platform 的 Microsoft Sentinel 解决方案概述。
重要
- 适用于 Microsoft Power Platform 的 Microsoft Sentinel 解决方案目前以预览版形式提供。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
- 该解决方案是一款高级产品/服务。 我们将在正式发布该解决方案之前提供定价信息。
- 通过完成此调查提供对此解决方案的反馈:https://aka.ms/SentinelPowerPlatformSolutionSurvey。
启用内置分析规则
安装适用于 Power Platform 的解决方案时,将包含以下分析规则。 列出的数据源包括 Log Analytics 中的数据连接器名称和表。 为了避免清单源中缺少数据,建议不要更改分析规则模板中定义的默认回溯期。
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| PowerApps - 来自未经授权的地理位置的应用活动 | 标识来自未经授权的国家/地区预定义列表的 Power Apps 活动。 从 ISO 在线浏览平台 (OBP) 获取 ISO 3166-1 alpha-2 国家/地区代码列表。 此项检测使用从 Microsoft Entra ID 引入的日志。 因此,我们建议启用 Microsoft Entra ID 数据连接器。 |
从未经授权的国家/地区代码列表中的国家/地区在 Power App 中运行活动。 数据源: - Power Platform Inventory(使用 Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Power Apps(预览) PowerAppsActivity- Microsoft Entra ID SigninLogs |
初始访问 |
| PowerApps - 已删除多个应用 | 发现删除多个 Power Apps 的大规模删除活动,匹配多个 Power Platform 环境中的已删除应用或应用删除事件总数的预定义阈值。 | 从 Power Platform 管理中心删除许多 Power Apps。 数据源: - Power Platform Inventory(使用 Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Power Apps(预览) PowerAppsActivity |
影响 |
| PowerApps - 发布新应用后的数据销毁 | 发现新应用被创建或发布并在 1 小时内在 Dataverse 中出现批量更新或删除事件的事件链。 如果应用发布者位于 TerminatedEmployees 监视列表模板中的用户列表中,则会引发事件严重性。 | 在创建或发布 Power App 的 1 小时内删除 Power Apps 中的一些记录。 数据源: - Power Platform Inventory(使用 Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Power Apps(预览) PowerAppsActivity- Microsoft Dataverse(预览) DataverseActivity |
影响 |
| PowerApps - 启动新应用后多个用户访问恶意链接 | 发现事件链:创建了新的 Power App,后跟以下事件: - 多个用户在检测窗口内启动应用。 - 多个用户打开相同的恶意 URL。 此检测将 Power Apps 执行日志与以下任一源中的恶意 URL 单击事件相关联: - Microsoft 365 Defender 数据连接器或 - Microsoft Sentinel 威胁情报中利用高级安全信息模型 (ASIM) Web 会话规范化分析程序的恶意 URL 入侵指示器 (IOC)。 通过创建查询获取启动或单击恶意链接的不同用户数。 |
多个用户启动新的 PowerApp,并从应用打开已知的恶意 URL。 数据源: - Power Platform Inventory(使用 Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Power Apps(预览) PowerAppsActivity- 威胁情报 ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
初始访问 |
| PowerAutomate - 离职员工流动活动 | 发现员工已收到通知或已解雇且位于已解雇的员工监视列表中的情况,创建或修改 Power Automate 流。 | 已解雇的员工监视列表中定义的用户会创建或更新一个 Power Automate 流。 数据源: Microsoft Power Automate(预览) PowerAutomateActivity- Power Platform Inventory(使用 Azure Functions) InventoryFlowsInventoryEnvironments已解雇的员工监视列表 |
外泄、影响 |
| PowerPlatform - 连接器被添加到敏感环境 | 发现在 Power Platform 中创建的新 API 连接器,特别针对预定义列表中的敏感环境。 | 在敏感的 Power Platform 环境中添加新的 Power Platform 连接器。 数据源: - Microsoft Power Platform 连接器(预览) PowerPlatformConnectorActivity- Power Platform Inventory(使用 Azure Functions) InventoryAppsInventoryEnvironmentsInventoryAppsConnections |
执行、外泄 |
| PowerPlatform - DLP 策略被更新或移除 | 发现对数据丢失防护策略的更改,特别是被更新或移除的策略。 | 在 Power Platform 环境中更新或移除 Power Platform 数据丢失防护策略。 数据源: Microsoft Power Platform DLP(预览) PowerPlatformDlpActivity |
防御规避 |
| Dataverse - 在 Power Platform 防御受损后来宾用户外泄 | (发现以禁用 Power Platform 租户隔离和移除环境的访问安全组开始的事件链。 这些事件与和受影响的环境以及最近创建的 Microsoft Entra 来宾用户关联的 Dataverse 外泄警报相关联。 启用此规则之前,使用 MITRE 策略“外泄”激活其他 Dataverse 分析规则。 |
作为新的来宾用户,在禁用 Power Platform 安全控制后触发外泄警报。 数据源: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity- Power Platform Inventory(使用 Azure Functions) InventoryEnvironments |
防御规避 |
| Dataverse - 将记录大量导出到 Excel | 发现将大量记录从 Dynamics 365 导出到 Excel 的用户。 导出的记录量明显高于该用户的任何其他最近活动。 使用预定义的阈值发现来自没有最近活动的用户的大型导出。 | 将许多记录从 Dataverse 导出到 Excel。 数据源: - Dataverse DataverseActivity- Power Platform Inventory(使用 Azure Functions) InventoryEnvironments |
外泄 |
| Dataverse - 用户在正常活动之外的批量检索 | 发现从 Dataverse 检索的记录比过去 2 周多得多的用户。 | 用户从 Dataverse 检索了许多记录 数据源: - Dataverse DataverseActivity- Power Platform Inventory(使用 Azure Functions) InventoryEnvironments |
外泄 |
| Power Apps - 将 Power Apps 批量共享给新创建的来宾用户 | 发现向新创建的 Microsoft Entra 来宾用户异常批量共享 Power Apps 的行为。 异常批量共享基于查询中的预定义阈值。 | 与多个外部用户共享应用。 数据源: - Microsoft Power Apps(预览) PowerAppsActivity- Power Platform Inventory(使用 Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Entra ID AuditLogs |
资源开发, 初始访问, 横向移动 |
| Power Automate - 异常批量删除流资源 | 发现超出了查询中定义的预定义阈值,并偏离了过去 14 天内观察到的活动模式的 Power Automate 流批量删除。 | 批量删除 Power Automate 流。 数据源: - PowerAutomate PowerAutomateActivity |
影响, 防御规避 |
| Power Platform - 可能遭到入侵的用户访问 Power Platform 服务 | 发现在 Microsoft Entra Identity Protection 中标记为有风险的用户帐户,并将这些用户与 Power Platform 中的登录活动相关联,包括 Power Apps、Power Automate 和 Power Platform 管理中心。 | 具有风险信号的用户访问 Power Platform 门户。 数据源: - Microsoft Entra ID SigninLogs |
初始访问,横向移动 |
内置分析程序
该解决方案包括用于访问原始数据表中的数据的分析程序。 分析程序可确保返回架构一致的正确数据。 建议使用分析程序,而不是直接查询清单表和监视列表。 与 Power Platform 清单相关的分析程序会返回过去 7 天内的数据。
| Parser | 返回的数据 | 查询的表 |
|---|---|---|
InventoryApps |
Power Apps 清单 | PowerApps_CL |
InventoryAppsConnections |
Power Apps 连接 Inventoryconnections | PowerAppsConnections_CL |
InventoryEnvironments |
Power Platform 环境清单 | PowerPlatrformEnvironments_CL |
InventoryFlows |
Power Automate 流清单 | PowerAutomateFlows_CL |
MSBizAppsTerminatedEmployees |
已解雇的员工监视列表(来自监视列表模板) | TerminatedEmployees |
有关分析规则的详细信息,请参阅开箱即用的威胁检测。