Microsoft Sentinel-oplossing voor Microsoft Power Platform: naslaginformatie over beveiligingsinhoud
In dit artikel wordt de beveiligingsinhoud beschreven die beschikbaar is voor de Microsoft Sentinel-oplossing voor Power Platform. Zie het overzicht van Microsoft Sentinel voor Microsoft Power Platform voor meer informatie over deze oplossing.
Belangrijk
- De Microsoft Sentinel-oplossing voor Power Platform is momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
- De oplossing is een premium-aanbieding. Prijsinformatie is beschikbaar voordat de oplossing algemeen beschikbaar wordt.
- Geef feedback voor deze oplossing door deze enquête te voltooien: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Ingebouwde analyseregels
De volgende analyseregels worden opgenomen wanneer u de oplossing voor Power Platform installeert. De vermelde gegevensbronnen bevatten de naam en tabel van de gegevensconnector in Log Analytics. Om ontbrekende gegevens in de inventarisbronnen te voorkomen, wordt u aangeraden de standaard lookbackperiode die is gedefinieerd in de sjablonen voor analytische regels niet te wijzigen.
| Naam van de regel | Beschrijving | Bronactie | Tactieken |
|---|---|---|---|
| PowerApps - App-activiteit van niet-geautoriseerde geografische gebieden | Identificeert Power Apps-activiteit uit landen in een vooraf gedefinieerde lijst met niet-geautoriseerde landen. Haal de lijst met ISO 3166-1 alfa-2-landcodes op van ISO Online Browse Platform (OBP). Deze detectie maakt gebruik van logboeken die zijn opgenomen uit Microsoft Entra-id. Daarom raden we u aan om de Microsoft Entra ID-gegevensconnector in te schakelen. |
Voer een activiteit uit in Power App vanuit een land dat zich in de lijst met niet-geautoriseerde landcode bevindt. Gegevensbronnen: - Power Platform Inventory (met behulp van Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Power Apps (preview) PowerAppsActivity- Microsoft Entra-id SigninLogs |
Initial Access |
| PowerApps - Meerdere apps verwijderd | Identificeert activiteit voor massa-verwijdering waarbij meerdere Power Apps worden verwijderd, die overeenkomt met een vooraf gedefinieerde drempelwaarde voor het totale aantal verwijderde of app-verwijderde gebeurtenissen in meerdere Power Platform-omgevingen. | Verwijder veel Power Apps uit het Power Platform-beheercentrum. Gegevensbronnen: - Power Platform Inventory (met behulp van Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Power Apps (preview) PowerAppsActivity |
Impact |
| PowerApps - Gegevensvernietiging na publicatie van een nieuwe app | Identificeert een keten van gebeurtenissen wanneer een nieuwe app wordt gemaakt of gepubliceerd en binnen 1 uur wordt gevolgd door gebeurtenissen massaal bijwerken of verwijderen in Dataverse. Als de uitgever van de app op de lijst met gebruikers in de sjabloon TerminatedEmployees watchlist staat, wordt de ernst van het incident verhoogd. | Verwijder een aantal records in Power Apps binnen 1 uur nadat de Power App is gemaakt of gepubliceerd. Gegevensbronnen: - Power Platform Inventory (met behulp van Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Power Apps (preview) PowerAppsActivity- Microsoft Dataverse (preview) DataverseActivity |
Impact |
| PowerApps: meerdere gebruikers die toegang hebben tot een schadelijke koppeling nadat ze een nieuwe app hebben gestart | Identificeert een keten van gebeurtenissen wanneer een nieuwe Power App wordt gemaakt en wordt gevolgd door deze gebeurtenissen: - Meerdere gebruikers starten de app in het detectievenster. - Meerdere gebruikers openen dezelfde schadelijke URL. Dit detectiekruis correleert Power Apps-uitvoeringslogboeken met schadelijke URL-klikgebeurtenissen uit een van de volgende bronnen: - De Microsoft 365 Defender-gegevensconnector of - Schadelijke URL-indicatoren van inbreuk (IOC) in Microsoft Sentinel Threat Intelligence met de websessienormalisatieparser Advanced Security Information Model (ASIM). Haal het unieke aantal gebruikers op dat de schadelijke koppeling start of klikt door een query te maken. |
Meerdere gebruikers starten een nieuwe PowerApp en openen een bekende schadelijke URL vanuit de app. Gegevensbronnen: - Power Platform Inventory (met behulp van Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Power Apps (preview) PowerAppsActivity- Bedreigingsinformatie ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
Initial Access |
| PowerAutomate - Activiteit van vertrekkende werknemersstroom | Identificeert exemplaren waarbij een werknemer die is gewaarschuwd of al is beëindigd en zich op de watchlist Voor beëindigde werknemers bevindt, een Power Automate-stroom maakt of wijzigt. | Door de gebruiker gedefinieerd in de volglijst Beëindigde werknemers wordt een Power Automate-stroom gemaakt of bijgewerkt. Gegevensbronnen: Microsoft Power Automate (preview) PowerAutomateActivity- Power Platform Inventory (met behulp van Azure Functions) InventoryFlowsInventoryEnvironmentsVolglijst voor beëindigde werknemers |
Exfiltratie, impact |
| PowerPlatform - Verbinding maken or toegevoegd aan een gevoelige omgeving | Identificeert het maken van nieuwe API-connectors in Power Platform, met name gericht op een vooraf gedefinieerde lijst met gevoelige omgevingen. | Voeg een nieuwe Power Platform-connector toe in een gevoelige Power Platform-omgeving. Gegevensbronnen: - Microsoft Power Platform Verbinding maken ors (preview) PowerPlatformConnectorActivity- Power Platform Inventory (met behulp van Azure Functions) InventoryAppsInventoryEnvironmentsInventoryAppsConnections |
Uitvoering, exfiltratie |
| PowerPlatform - DLP-beleid bijgewerkt of verwijderd | Identificeert wijzigingen in het beleid ter preventie van gegevensverlies, met name beleidsregels die worden bijgewerkt of verwijderd. | Een beleid voor preventie van gegevensverlies van Power Platform bijwerken of verwijderen in de Power Platform-omgeving. Gegevensbronnen: Microsoft Power Platform DLP (preview) PowerPlatformDlpActivity |
Verdedigingsontduiking |
| Dataverse - Exfiltratie van gastgebruikers na een beveiligingsbeperking voor Power Platform | (Identificeert een keten van gebeurtenissen die beginnen met het uitschakelen van isolatie van Power Platform-tenants en het verwijderen van de toegangsbeveiligingsgroep van een omgeving. Deze gebeurtenissen worden gecorreleerd met dataverse-exfiltratiewaarschuwingen die zijn gekoppeld aan de betrokken omgeving en onlangs gemaakte Microsoft Entra-gastgebruikers. Activeer andere Dataverse-analyseregels met de MITRE-tactiek 'Exfiltratie' voordat u deze regel inschakelt. |
Als nieuwe gastgebruikers activeert u exfiltratiewaarschuwingen nadat de beveiligingsmaatregelen van Power Platform zijn uitgeschakeld. Gegevensbronnen: - PowerPlatform Beheer PowerPlatformAdminActivity- Dataverse DataverseActivity- Power Platform Inventory (met behulp van Azure Functions) InventoryEnvironments |
Verdedigingsontduiking |
| Dataverse - Massaexport van records naar Excel | Identificeert gebruikers die een grote hoeveelheid records exporteren van Dynamics 365 naar Excel. De hoeveelheid geëxporteerde records is aanzienlijk groter dan elke andere recente activiteit door die gebruiker. Grote exports van gebruikers zonder recente activiteit worden geïdentificeerd met behulp van een vooraf gedefinieerde drempelwaarde. | Exporteer veel records van Dataverse naar Excel. Gegevensbronnen: - Dataverse DataverseActivity- Power Platform Inventory (met behulp van Azure Functions) InventoryEnvironments |
Exfiltration (Exfiltratie) |
| Dataverse - Bulksgewijs ophalen van gebruikers buiten normale activiteit | Identificeert gebruikers die aanzienlijk meer records ophalen uit Dataverse dan in de afgelopen 2 weken. | Gebruiker haalt veel records op uit Dataverse Gegevensbronnen: - Dataverse DataverseActivity- Power Platform Inventory (met behulp van Azure Functions) InventoryEnvironments |
Exfiltration (Exfiltratie) |
| Power Apps- Bulksgewijs delen van Power Apps voor nieuw gemaakte gastgebruikers | Identificeert ongebruikelijk bulksgewijs delen van Power Apps voor nieuw gemaakte Microsoft Entra-gastgebruikers. Ongebruikelijk bulksgewijs delen is gebaseerd op een vooraf gedefinieerde drempelwaarde in de query. | Een app delen met meerdere externe gebruikers. Gegevensbronnen: - Microsoft Power Apps (preview) PowerAppsActivity- Power Platform Inventory (met behulp van Azure Functions) InventoryAppsInventoryEnvironments- Microsoft Entra-id AuditLogs |
Resourceontwikkeling, Eerste toegang, Zijwaartse beweging |
| Power Automate : ongebruikelijke bulksgewijs verwijderen van stroombronnen | Identificeert bulksgewijs verwijderen van Power Automate-stromen die een vooraf gedefinieerde drempelwaarde overschrijden die is gedefinieerd in de query en afwijken van de activiteitspatronen die in de afgelopen 14 dagen zijn waargenomen. | Bulksgewijs verwijderen van Power Automate-stromen. Gegevensbronnen: - PowerAutomate PowerAutomateActivity |
Impact Verdedigingsontduiking |
| Power Platform : mogelijk aangetaste gebruiker heeft toegang tot Power Platform-services | Identificeert gebruikersaccounts die risico lopen in Microsoft Entra Identity Protection en correleren deze gebruikers met aanmeldingsactiviteiten in Power Platform, waaronder Power Apps, Power Automate en Power Platform Beheer Center. | Gebruiker met risicosignalen heeft toegang tot Power Platform-portals. Gegevensbronnen: - Microsoft Entra-id SigninLogs |
Eerste toegang, zijwaartse verplaatsing |
Ingebouwde parsers
De oplossing bevat parsers die worden gebruikt voor toegang tot gegevens uit de onbewerkte gegevenstabellen. Parsers zorgen ervoor dat de juiste gegevens worden geretourneerd met een consistent schema. U wordt aangeraden de parsers te gebruiken in plaats van rechtstreeks een query uit te voeren op de voorraadtabellen en volglijsten. De power Platform-inventarisgerelateerde parsers retourneren gegevens uit de afgelopen 7 dagen.
| Parser | Geretourneerde gegevens | Tabel opgevraagd |
|---|---|---|
InventoryApps |
Power Apps-inventaris | PowerApps_CL |
InventoryAppsConnections |
Inventarisverbindingen van Power Apps-verbindingen | PowerAppsConnections_CL |
InventoryEnvironments |
Inventaris van Power Platform-omgevingen | PowerPlatrformEnvironments_CL |
InventoryFlows |
Inventaris van Power Automate-stromen | PowerAutomateFlows_CL |
MSBizAppsTerminatedEmployees |
Beëindigde werknemers watchlist (van volglijstsjabloon) | TerminatedEmployees |
Voor meer informatie over analyseregels raadpleegt u Standaard bedreigingen detecteren.