مشاركة عبر

حل Microsoft Sentinel ل Microsoft Power Platform: مرجع محتوى الأمان

  • مقالة

توضح هذه المقالة تفاصيل محتوى الأمان المتوفر لحل Microsoft Sentinel ل Power Platform. لمزيد من المعلومات حول هذا الحل، راجع حل Microsoft Sentinel لنظرة عامة على Microsoft Power Platform.

هام

  • حل Microsoft Sentinel ل Power Platform قيد المعاينة حاليا. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
  • الحل هو عرض متميز. ستتوفر معلومات التسعير قبل أن يصبح الحل متاحا بشكل عام.
  • قدم ملاحظات حول هذا الحل من خلال إكمال هذا الاستطلاع: https://aka.ms/SentinelPowerPlatformSolutionSurvey.

قواعد التحليلات المدمجة

يتم تضمين القواعد التحليلية التالية عند تثبيت الحل ل Power Platform. تتضمن مصادر البيانات المدرجة اسم موصل البيانات والجدول في Log Analytics. لتجنب فقدان البيانات في مصادر المخزون، نوصي بعدم تغيير فترة البحث الافتراضية المحددة في قوالب القواعد التحليلية.

اسم القاعدة ‏‏الوصف الإجراء المصدر الخطط
PowerApps - نشاط التطبيق من الموقع الجغرافي غير المصرح به يحدد نشاط Power Apps من البلدان في قائمة محددة مسبقا من البلدان غير المصرح بها.

احصل على قائمة رموز البلد ISO 3166-1 alpha-2 من منصة الاستعراض عبر الإنترنت ISO (OBP).

يستخدم هذا الكشف السجلات التي تم استيعابها من معرف Microsoft Entra. لذلك، نوصي بتمكين موصل بيانات معرف Microsoft Entra.		 قم بتشغيل نشاط في Power App من بلد موجود في قائمة رمز البلد غير المصرح به.

مصادر البيانات:
- مخزون Power Platform (باستخدام Azure Functions)
InventoryApps
InventoryEnvironments
- Microsoft Power Apps (معاينة)
PowerAppsActivity
- معرف Microsoft Entra
SigninLogs
 الوصول الأولي
PowerApps - تم حذف تطبيقات متعددة يحدد نشاط الحذف الجماعي حيث يتم حذف تطبيقات Power Apps متعددة، مع مطابقة حد محدد مسبقا لإجمالي التطبيقات المحذوفة أو الأحداث المحذوفة للتطبيق عبر بيئات Power Platform متعددة. احذف العديد من Power Apps من مركز إدارة Power Platform.

مصادر البيانات:
- مخزون Power Platform (باستخدام Azure Functions)
InventoryApps
InventoryEnvironments
- Microsoft Power Apps (معاينة)
PowerAppsActivity		 تأثير
PowerApps - تدمير البيانات بعد نشر تطبيق جديد يحدد سلسلة من الأحداث عند إنشاء تطبيق جديد أو نشره ويتم متابعته في غضون ساعة واحدة بواسطة التحديث الجماعي أو حذف الأحداث في Dataverse. إذا كان ناشر التطبيق على قائمة المستخدمين في قالب قائمة المشاهدة TerminatedEmployees ، يتم رفع خطورة الحادث. احذف عددا من السجلات في Power Apps في غضون ساعة واحدة من إنشاء Power App أو نشره.

مصادر البيانات:
- مخزون Power Platform (باستخدام Azure Functions)
InventoryApps
InventoryEnvironments
- Microsoft Power Apps (معاينة)
PowerAppsActivity
- Microsoft Dataverse (معاينة)
DataverseActivity		 تأثير
PowerApps - وصول عدة مستخدمين إلى ارتباط ضار بعد بدء تشغيل تطبيق جديد يحدد سلسلة من الأحداث عند إنشاء Power App جديد ويتبعه هذه الأحداث:
- يقوم العديد من المستخدمين بتشغيل التطبيق داخل نافذة الكشف.
- يفتح عدة مستخدمين نفس عنوان URL الضار.

يرتبط هذا الكشف عبر سجلات تنفيذ Power Apps بأحداث النقر فوق URL الضارة من أي من المصادر التالية:
- موصل بيانات Microsoft 365 Defender أو
- مؤشرات URL الضارة للتسوية (IOC) في Microsoft Sentinel Threat Intelligence مع محلل تسوية جلسة عمل نموذج معلومات الأمان المتقدم (ASIM).

احصل على العدد المميز للمستخدمين الذين يقومون بتشغيل الارتباط الضار أو النقر فوقه عن طريق إنشاء استعلام.		 يقوم العديد من المستخدمين بتشغيل PowerApp جديد وفتح عنوان URL ضار معروف من التطبيق.

مصادر البيانات:
- مخزون Power Platform (باستخدام Azure Functions)
InventoryApps
InventoryEnvironments
- Microsoft Power Apps (معاينة)
PowerAppsActivity
- التحليل الذكي للمخاطر
ThreatIntelligenceIndicator
- Microsoft Defender XDR
UrlClickEvents
 الوصول الأولي
PowerAutomate - نشاط تدفق الموظفين المغادرين يحدد المثيلات التي يتم فيها إعلام موظف أو تم إنهاؤه بالفعل، وهو في قائمة مراقبة "الموظفين المنهيين "، أو يقوم بإنشاء تدفق Power Automate أو تعديله. يقوم المستخدم المعرف في قائمة مراقبة الموظفين المنتهيين بإنشاء تدفق Power Automate أو تحديثه.

مصادر البيانات:
Microsoft Power Automate (معاينة)
PowerAutomateActivity
- مخزون Power Platform (باستخدام Azure Functions)
InventoryFlows
InventoryEnvironments
قائمة مراقبة الموظفين المنتهية		 النقل غير المصرح به، التأثير
PowerPlatform - الاتصال أو تمت إضافته إلى بيئة حساسة يحدد إنشاء موصلات API جديدة داخل Power Platform، تستهدف على وجه التحديد قائمة محددة مسبقا من البيئات الحساسة. إضافة موصل Power Platform جديد في بيئة Power Platform حساسة.

مصادر البيانات:
- أجهزة الاتصال Microsoft Power Platform (معاينة)
PowerPlatformConnectorActivity
- مخزون Power Platform (باستخدام Azure Functions)
InventoryApps
InventoryEnvironments
InventoryAppsConnections
 التنفيذ، النقل غير المصرح به
PowerPlatform - تم تحديث نهج DLP أو إزالته تحديد التغييرات في نهج منع فقدان البيانات، وتحديدا النهج التي يتم تحديثها أو إزالتها. تحديث نهج منع فقدان بيانات Power Platform أو إزالته في بيئة Power Platform.

مصادر البيانات:
Microsoft Power Platform DLP (معاينة)
PowerPlatformDlpActivity		 التهرب الدفاعي⁧
Dataverse - تسرب المستخدم الضيف بعد ضعف دفاع Power Platform (يحدد سلسلة من الأحداث بدءا من تعطيل عزل مستأجر Power Platform وإزالة مجموعة أمان الوصول الخاصة بالبيئة. ترتبط هذه الأحداث بتنبيهات النقل غير المصرح ل Dataverse المقترنة بالبيئة المتأثرة ومستخدمي Microsoft Entra الضيوف الذين تم إنشاؤهم مؤخرا.

تنشيط قواعد تحليلات Dataverse الأخرى باستخدام تكتيك MITRE 'Exfiltration' قبل تمكين هذه القاعدة.		 كمستخدمين ضيوف جدد، قم بتشغيل تنبيهات الاختراق بعد تعطيل عناصر تحكم أمان Power Platform.

مصادر البيانات:
- PowerPlatform مسؤول
PowerPlatformAdminActivity

- Dataverse
DataverseActivity
- مخزون Power Platform (باستخدام Azure Functions)
InventoryEnvironments
 التهرب الدفاعي⁧
Dataverse - التصدير الجماعي للسجلات إلى Excel تعريف المستخدمين الذين يقومون بتصدير كمية كبيرة من السجلات من Dynamics 365 إلى Excel. كمية السجلات المصدرة أكثر بكثير من أي نشاط حديث آخر من قبل هذا المستخدم. يتم تحديد عمليات التصدير الكبيرة من المستخدمين الذين ليس لديهم نشاط حديث باستخدام حد محدد مسبقا. تصدير العديد من السجلات من Dataverse إلى Excel.

مصادر البيانات:
- Dataverse
DataverseActivity
- مخزون Power Platform (باستخدام Azure Functions)
InventoryEnvironments
 النقل غير المصرَّح به
Dataverse - استرداد المستخدم المجمع خارج النشاط العادي يحدد المستخدمين الذين يقومون باسترداد سجلات من Dataverse أكثر بكثير مما كانوا عليه في الأسبوعين الماضيين. يسترد المستخدم العديد من السجلات من Dataverse

مصادر البيانات:
- Dataverse
DataverseActivity
- مخزون Power Platform (باستخدام Azure Functions)
InventoryEnvironments
 النقل غير المصرَّح به
Power Apps - المشاركة المجمعة ل Power Apps للمستخدمين الضيوف الذين تم إنشاؤهم حديثا تحديد المشاركة المجمعة غير العادية ل Power Apps لمستخدمي Microsoft Entra الضيوف الذين تم إنشاؤهم حديثا. تستند المشاركة المجمعة غير العادية إلى حد محدد مسبقا في الاستعلام. مشاركة تطبيق مع عدة مستخدمين خارجيين.

مصادر البيانات:
- Microsoft Power Apps (معاينة)
PowerAppsActivity
- مخزون Power Platform (باستخدام Azure Functions)
InventoryApps
InventoryEnvironments
- معرف Microsoft Entra
AuditLogs		 تطوير الموارد،
الوصول الأولي،
⁧الحركة الجانبيَة⁧
Power Automate - الحذف المجمع غير العادي لموارد التدفق يحدد الحذف المجمع لتدفقات Power Automate التي تتجاوز عتبة محددة مسبقا محددة في الاستعلام وتحيد عن أنماط النشاط التي تمت ملاحظتها في آخر 14 يوما. الحذف المجمع لتدفقات Power Automate.

مصادر البيانات:
- PowerAutomate
PowerAutomateActivity
 اثر
التهرب الدفاعي⁧
Power Platform - من المحتمل أن يصل المستخدم المخترق إلى خدمات Power Platform تحديد حسابات المستخدمين التي تم وضع علامة عليها في خطر في Microsoft Entra Identity Protection وربط هؤلاء المستخدمين بنشاط تسجيل الدخول في Power Platform، بما في ذلك Power Apps وPower Automate وPower Platform مسؤول Center. يصل المستخدم الذي له إشارات مخاطر إلى مداخل Power Platform.

مصادر البيانات:
- معرف Microsoft Entra
SigninLogs		 الوصول الأولي، الحركة الجانبية

محللات مدمجة

يتضمن الحل المحللات المستخدمة للوصول إلى البيانات من جداول البيانات الأولية. تضمن المحللات إرجاع البيانات الصحيحة بمخطط متناسق. نوصي باستخدام المحللات بدلا من الاستعلام مباشرة عن جداول المخزون وقوائم المشاهدة. يقوم محللات مخزون Power Platform ذات الصلة بإعادة البيانات من آخر 7 أيام.

المحلل البيانات التي تم إرجاعها تم الاستعلام عن الجدول
InventoryApps مخزون Power Apps PowerApps_CL
InventoryAppsConnections اتصالات Power Apps اتصالات المخزون PowerAppsConnections_CL
InventoryEnvironments مخزون بيئات Power Platform PowerPlatrformEnvironments_CL
InventoryFlows مخزون تدفقات Power Automate PowerAutomateFlows_CL
MSBizAppsTerminatedEmployees قائمة مراقبة الموظفين المنتهية (من قالب قائمة المشاهدة) TerminatedEmployees

لمزيد من المعلومات حول القواعد التحليلية، راجع الكشف عن التهديدات الجاهزة.