Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives det sikkerhedsindhold, der er tilgængeligt for Microsoft Sentinel-løsningen til Power Platform. Du kan få flere oplysninger om denne løsning under oversigt over Microsoft Sentinel løsning til Microsoft Power Platform og Microsoft Dynamics 365 Customer Engagement.
Indbyggede analyseregler
Følgende analyseregler er inkluderet, når du installerer løsningen til Power Platform. De viste datakilder omfatter navnet på dataconnectoren og tabellen i Log Analytics.
Dataverseregler
| Regelnavn | Beskrivelse | Kildehandling | Taktik |
|---|---|---|---|
| Dataverse – Unormal programbrugeraktivitet | Identificerer uregelmæssigheder i aktivitetsmønstre for brugere af Dataverse-programmet (ikke-interaktive) baseret på aktiviteter, der falder uden for det normale brugsmønster. | Usædvanlig S2S-brugeraktivitet i Dynamics 365/Dataverse. Datakilder: - Dataverse DataverseActivity |
CredentialAccess, Execution, Persistens |
| Dataverse – Sletning af overvågningslogdata | Identificerer aktiviteten til sletning af data i overvågningsloggen i Dataverse. | Sletning af Dataverse-overvågningslogge. Datakilder: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse – Overvågningslogføring er deaktiveret | Identificerer en ændring i systemrevisionskonfigurationen, hvor overvågningslogføring er slået fra. | Global overvågning eller overvågning på enhedsniveau er deaktiveret. Datakilder: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse – Massepostejerskab gentildeling eller deling | Identificerer ændringer i ejerskabet af individuelle poster, herunder: – Registrer deling med andre brugere/teams – Omfordeling af ejerskab, der overskrider en foruddefineret tærskel. |
Mange hændelser for postejerskab og postdeling genereret i registreringsvinduet. Datakilder: - Dataverse DataverseActivity |
Rettighedsskalering |
| Dataverse – Eksekverbar fil, der er overført til sharePoint-webstedet til dokumenthåndtering | Identificerer eksekverbare filer og scripts, der uploades til SharePoint-websteder, som bruges til dokumenthåndtering i Dynamics, og omgå begrænsninger for oprindelige filtypenavne i Dataverse. | Upload af eksekverbare filer i Dataverse-dokumentstyring. Datakilder: - Office365 OfficeActivity (SharePoint) |
Udførelse, vedholdenhed |
| Dataverse – Eksportaktivitet fra afsluttet eller anmeldt medarbejder | Identificerer dataverseeksportaktivitet, der udløses af medarbejdere, der afslutter virksomheden, eller medarbejdere, der er ved at forlade organisationen. | Dataeksporthændelser, der er knyttet til brugere på visningslisteskabelonen TerminatedEmployees . Datakilder: - Dataverse DataverseActivity |
Eksfiltration |
| Dataverse – Exfiltration af gæstebrugere efter forringelse af Power Platform-platformens forsvar | Identificerer en kæde af hændelser, der starter med deaktivering af Power Platform-lejerisolation og fjernelse af et miljøs adgangssikkerhedsgruppe. Disse hændelser er korreleret med Dataverse-exfiltrationsbeskeder, der er knyttet til det påvirkede miljø, og som er oprettet for nylig Microsoft Entra gæstebrugere. Aktivér andre Dataverse-analyseregler med Exfiltration MITRE-taktikken, før du aktiverer denne regel. |
Som gæstebruger, der er oprettet for nylig, skal du udløse dataverse-exfiltrationsbeskeder, når Sikkerhedskontrolelementer i Power Platform er deaktiveret. Datakilder: – PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity |
Forsvarsunddragelse |
| Dataverse – Manipulation af hierarkisk sikkerhed | Identificerer mistænkelige funktionsmåder i hierarkisikkerhed. | Ændringer af sikkerhedsegenskaber, herunder: - Hierarkisikkerhed er deaktiveret. – Brugeren tildeler sig selv som leder. – Brugeren tildeler sig selv en overvåget position (angivet i KQL). Datakilder: - Dataverse DataverseActivity |
Rettighedsskalering |
| Dataverse – Aktivitet i honeypot-forekomst | Identificerer aktiviteter i en foruddefineret Honeypot Dataverse-forekomst. Beskeder, enten når der registreres et logon til Honeypot, eller når overvågede Dataverse-tabeller i Honeypot tilgås. |
Log på, og få adgang til data i en udpeget Honeypot Dataverse-forekomst i Power Platform med overvågning aktiveret. Datakilder: - Dataverse DataverseActivity |
Discovery, Exfiltration |
| Dataverse – Logon af en følsom privilegeret bruger | Identificerer dataverse og Dynamics 365 logons af følsomme brugere. | Logon af brugere, der er tilføjet på VIPUsers-visningslisten baseret på tags, der er angivet i KQL. Datakilder: - Dataverse DataverseActivity |
InitialAccess, CredentialAccess, PrivilegeEscalation |
| Dataverse – Log på fra IP på bloklisten | Identificerer dataverselogonaktivitet fra IPv4-adresser, der er på en foruddefineret blokliste. | Log på af en bruger med en IP-adresse, der er en del af et blokeret netværksområde. Blokerede netværksområder vedligeholdes i skabelonen NetworkAddresses watchlist. Datakilder: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse – Logon fra IP, der ikke er på listen over tilladte | Identificerer logon fra IPv4-adresser, der ikke svarer til IPv4-undernet, som vedligeholdes på en liste over tilladte. | Log på af en bruger med en IP-adresse, der ikke er en del af et tilladt netværksområde. Blokerede netværksområder vedligeholdes i skabelonen NetworkAddresses watchlist. Datakilder: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse – Malware fundet på SharePoint-webstedet til dokumenthåndtering | Identificerer malware, der er uploadet via Dynamics 365 dokumentstyring eller direkte i SharePoint, og som påvirker Dataverse-tilknyttede SharePoint-websteder. | Skadelig fil på SharePoint-webstedet, der er knyttet til Dataverse. Datakilder: - Dataverse DataverseActivity- Office365 OfficeActivity (SharePoint) |
Udførelse |
| Dataverse – Massesletning af poster | Identificerer handlinger til sletning af poster i stor skala baseret på en foruddefineret grænse. Registrerer også planlagte job til massesletning. |
Sletning af poster, der overskrider den grænse, der er defineret i KQL. Datakilder: - Dataverse DataverseActivity |
Indvirkning |
| Dataverse – Massedownload fra SharePoint-dokumentstyring | Identificerer massedownload i den sidste time af filer fra SharePoint-websteder, der er konfigureret til dokumentstyring i Dynamics 365. | Massedownload overskrider den grænseværdi, der er defineret i KQL. Denne analyseregel bruger visningslisten MSBizApps-Configuration til at identificere SharePoint-websteder, der bruges til dokumenthåndtering. Datakilder: - Office365 OfficeActivity (SharePoint) |
Eksfiltration |
| Dataverse – Masseeksport af poster til Excel | Identificerer brugere, der eksporterer et stort antal poster fra Dynamics 365 til Excel, hvor antallet af eksporterede poster er betydeligt mere end nogen anden nylig aktivitet af den pågældende bruger. Store eksporter fra brugere uden seneste aktivitet identificeres ved hjælp af en foruddefineret tærskel. |
Eksportér mange poster fra Dataverse til Excel. Datakilder: - Dataverse DataverseActivity |
Eksfiltration |
| Dataverse – Massepostopdateringer | Registrerer ændringer af opdatering af masseposter i Dataverse og Dynamics 365, der overskrider en foruddefineret grænse. | Masseopdateringen af poster overskrider den grænse, der er defineret i KQL. Datakilder: - Dataverse DataverseActivity |
Indvirkning |
| Dataverse – Ny dataverseprogrambrugeraktivitetstype | Identificerer nye eller tidligere uset aktivitetstyper, der er knyttet til en bruger af et Dataverse-program (ikke-interaktivt). | Nye S2S-brugeraktivitetstyper. Datakilder: - Dataverse DataverseActivity |
CredentialAccess, Execution, PrivilegeEscalation |
| Dataverse – Ny ikke-interaktiv identitet tildelt adgang | Identificerer api-adgangstildelinger enten via delegerede tilladelser for et Microsoft Entra program eller ved direkte tildeling i Dataverse som programbruger. | Dataverse-tilladelser, der er føjet til ikke-interaktive brugere. Datakilder: - Dataverse DataverseActivity,– AzureActiveDirectory AuditLogs |
Persistens, LateralMovement, PrivilegeEscalation |
| Dataverse – Nyt logon fra et uautoriseret domæne | Identificerer dataverselogonaktivitet, der stammer fra brugere med UPN-suffikser, der ikke er blevet set tidligere inden for de sidste 14 dage, og som ikke findes på en foruddefineret liste over godkendte domæner. Almindelige interne brugere af Power Platform-systemet er udelukket som standard. |
Log på af eksterne brugere fra et uautoriseret domænesuffiks. Datakilder: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse – Ny brugeragenttype, der ikke blev brugt før | Identificerer brugere, der tilgår Dataverse fra en brugeragent, som ikke er blevet set i nogen Dataverse-forekomst inden for de sidste 14 dage. | Aktivitet i Dataverse fra en ny brugeragent. Datakilder: - Dataverse DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse – Ny brugeragenttype, der ikke blev brugt sammen med Office 365 | Identificerer de brugere, der får adgang til Dynamics, med en brugeragent, der ikke er blevet set i nogen Office 365 arbejdsbelastninger inden for de sidste 14 dage. | Aktivitet i Dataverse fra en ny brugeragent. Datakilder: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse – Ændrede organisationsindstillinger | Identificerer de ændringer, der er foretaget på organisationsniveau i Dataverse-miljøet. | Egenskaben på organisationsniveau, der er ændret i Dataverse. Datakilder: - Dataverse DataverseActivity |
Persistens |
| Dataverse – Fjernelse af blokerede filtypenavne | Identificerer ændringer af et miljøs blokerede filtypenavne og udtrækker det fjernede filtypenavn. | Fjernelse af blokerede filtypenavne i Dataverse-egenskaber. Datakilder: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse – SharePoint-websted til dokumenthåndtering er tilføjet eller opdateret | Identificerer ændringer af SharePoint-dokumenthåndteringsintegrationen. Dokumentstyring gør det muligt at lagre data, der er placeret eksternt på Dataverse. Kombiner denne analyseregel med Dataverse: Føj SharePoint-websteder til visningslistens playbook for automatisk at opdatere visningslisten for Dataverse-SharePointSites . Denne visningsliste kan bruges til at korrelere hændelser mellem Dataverse og SharePoint, når du bruger Office 365 dataconnector. |
Tilknytning af SharePoint-websted er tilføjet i Dokumenthåndtering. Datakilder: - Dataverse DataverseActivity |
Eksfiltration |
| Dataverse – Mistænkelige ændringer af sikkerhedsroller | Identificerer et usædvanligt mønster af hændelser, hvor der oprettes en ny rolle efterfulgt af forfatteren, der føjer medlemmer til rollen og senere fjerner medlemmet eller sletter rollen efter en kort tidsperiode. | Ændringer i sikkerhedsroller og rolletildelinger. Datakilder: - Dataverse DataverseActivity |
Rettighedsskalering |
| Dataverse – Mistænkelig brug af TDS-slutpunkt | Identificerer protokolbaserede forespørgsler af typen Dataverse TDS (Tabular Data Stream), hvor kildebrugeren eller IP-adressen har de seneste sikkerhedsbeskeder, og TDS-protokollen ikke tidligere er blevet brugt i destinationsmiljøet. | Pludselig brug af TDS-slutpunktet i korrelation med sikkerhedsbeskeder. Datakilder: - Dataverse DataverseActivity– AzureActiveDirectoryIdentityProtection SecurityAlert |
Exfiltration, InitialAccess |
| Dataverse – Mistænkelig brug af Web-API | Identificerer logon på tværs af flere Dataverse-miljøer, der overtræder en foruddefineret tærskel, og stammer fra en bruger med en IP-adresse, der blev brugt til at logge på en velkendt Microsoft Entra appregistrering. | Log på ved hjælp af WebAPI på tværs af flere miljøer ved hjælp af et velkendt offentligt program-id. Datakilder: - Dataverse DataverseActivity– AzureActiveDirectory SigninLogs |
Execution, Exfiltration, Reconnaissance, Discovery |
| Dataverse – TI-tilknytning af IP til DataverseActivity | Identificerer et match i DataverseActivity fra enhver IP-IOC fra Microsoft Sentinel Threat Intelligence. | Dataverse-aktivitet med IP-matchende IOC. Datakilder: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, LateralMovement, Discovery |
| Dataverse – URL-adresse til TI-tilknytning til DataverseActivity | Identificerer et match i DataverseActivity fra enhver URL-adresse-IOC fra Microsoft Sentinel Threat Intelligence. | Dataverseaktivitet med URL-adresse, der matcher IOC. Datakilder: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, Execution, Persistence |
| Dataverse – Afbrudt medarbejderudfiltrering via mail | Identificerer dataverse-exfiltration via mail af afskedigede medarbejdere. | Mails, der sendes til modtagerdomæner, der ikke er tillid til, efter at sikkerhedsbeskeder er korreleret med brugere på visningslisten TerminatedEmployees . Datakilder: MicrosoftThreatProtection EmailEventsIdentityInfo- AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
Eksfiltration |
| Dataverse – Afbrudt medarbejderudfiltrering til USB-drev | Identificerer filer, der er hentet fra Dataverse, ved at afgå eller afslutte medarbejdere og kopieres til USB-tilsluttede drev. | Files, der stammer fra Dataverse, som er kopieret til USB af en bruger på visningslisten TerminatedEmployees. Datakilder: - Dataverse DataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Eksfiltration |
| Dataverse – Usædvanligt logon efter deaktiveret beskyttelse mod IP-adressebaseret cookiebinding | Identificerer tidligere uset IP og brugeragenter i en Dataverse-forekomst efter deaktivering af beskyttelse mod cookiebinding. Du kan få flere oplysninger under Sikring af dataversesessioner med IP-cookiebinding. |
Ny logonaktivitet. Datakilder: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse – Massehentning af bruger uden for normal aktivitet | Identificerer brugere, der henter betydeligt flere poster fra Dataverse, end de har gjort i de seneste to uger. | Brugeren henter mange poster fra Dataverse og inklusive den KQL-definerede grænseværdi. Datakilder: - Dataverse DataverseActivity |
Eksfiltration |
Power Apps-regler
| Regelnavn | Beskrivelse | Kildehandling | Taktik |
|---|---|---|---|
| Power Apps – Appaktivitet fra uautoriseret geo | Identificerer Power Apps-aktivitet fra geografiske områder på en foruddefineret liste over uautoriseret geografiske områder. Denne registrering henter listen over ISO 3166-1 alpha-2-landekoder fra OBP (ISO Online Browsing Platform). Denne registrering bruger logge, der er hentet fra Microsoft Entra ID, og kræver, at du også aktiverer Microsoft Entra ID dataconnector. |
Kør en aktivitet i en Power App fra et geografisk område, der er på listen over uautoriseret landekode. Datakilder: – Microsoft Power Platform Administration-aktivitet PowerPlatformAdminActivity- Microsoft Entra ID SigninLogs |
Indledende adgang |
| Power Apps – flere apps er slettet | Identificerer massesletningsaktivitet, hvor flere Power Apps slettes, og matcher en foruddefineret grænse for det samlede antal slettede apps eller hændelser, der er slettet af apps på tværs af flere Power Platform-miljøer. | Slet mange Power Apps fra Power Platform Administration. Datakilder: – Microsoft Power Platform Administration-aktivitet PowerPlatformAdminActivity |
Indvirkning |
| Power Apps – Flere brugere, der får adgang til et skadeligt link, når de har startet en ny app | Identificerer en kæde af hændelser, når der oprettes en ny Power App, og efterfølges af disse hændelser: – Flere brugere starter appen i registreringsvinduet. – Flere brugere åbner den samme skadelige URL-adresse. Denne registrering krydskorrelerer Power Apps-udførelseslogge med skadelige URL-valghændelser fra en af følgende kilder: – Microsoft 365 Defender-dataconnectoren eller – Skadelige URL-indikatorer for kompromitteret (IOC) i Microsoft Sentinel Threat Intelligence med normaliseringsparser for ASIM-websessionen (Advanced Security Information Model). Denne registrering henter det entydige antal brugere, der starter eller vælger det skadelige link ved at oprette en forespørgsel. |
Flere brugere starter en ny PowerApp og åbner en kendt skadelig URL-adresse fra appen. Datakilder: – Microsoft Power Platform Administration-aktivitet PowerPlatformAdminActivity- Threat Intelligence ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
Indledende adgang |
| Power Apps – Massedeling af Power Apps til nyoprettede gæstebrugere | Identificerer usædvanlig massedeling af Power Apps med nyligt oprettede Microsoft Entra gæstebrugere. Usædvanlig massedeling er baseret på en foruddefineret grænse i forespørgslen. | Del en app med flere eksterne brugere. Datakilder: – Microsoft Power Platform Administration-aktivitet PowerPlatformAdminActivity- Microsoft Entra IDAuditLogs |
Ressourceudvikling, Indledende adgang, Tværgående bevægelse |
Power Automate-regler
| Regelnavn | Beskrivelse | Kildehandling | Taktik |
|---|---|---|---|
| Power Automate – Aktivitet i afgangsmedarbejderflow | Identificerer de tilfælde, hvor en medarbejder, der har fået besked eller allerede er afsluttet, er på visningslisten Opsagte medarbejdere , opretter eller ændrer et Power Automate-flow. | En bruger, der er defineret på visningslisten TerminatedEmployees , opretter eller opdaterer et Power Automate-flow. Datakilder: Microsoft Power Automate PowerAutomateActivityVisningsliste for afsluttetemployees |
Eksfiltration, indvirkning |
| Power Automate – Usædvanlig massesletning af flowressourcer | Identificerer massesletning af Power Automate-flow, der overskrider en foruddefineret grænse, der er defineret i forespørgslen, og afviger fra aktivitetsmønstre, der er observeret inden for de sidste 14 dage. | Massesletning af Power Automate-flow. Datakilder: - PowerAutomate PowerAutomateActivity |
Indvirkning Forsvarsunddragelse |
Power Platform-regler
| Regelnavn | Beskrivelse | Kildehandling | Taktik |
|---|---|---|---|
| Power Platform – Connector føjet til et følsomt miljø | Identificerer oprettelsen af nye API-connectors i Power Platform, der specifikt er målrettet til en foruddefineret liste over følsomme miljøer. | Tilføj en ny Power Platform-connector i et følsomt Power Platform-miljø. Datakilder: – Microsoft Power Platform Administration-aktivitet PowerPlatformAdminActivity |
Eksekvering, eksfiltration |
| Power Platform – DLP-politik opdateret eller fjernet | Identificerer ændringer af politikken til forebyggelse af datatab, især politikker, der opdateres eller fjernes. | Opdater eller fjern en politik til forebyggelse af datatab i Power Platform-miljøet. Datakilder: Microsoft Power Platform Administration-aktivitet PowerPlatformAdminActivity |
Forsvarsunddragelse |
| Power Platform – Muligvis kompromitteret bruger får adgang til Power Platform-tjenester | Identificerer brugerkonti, der er markeret med risiko i Microsoft Entra ID Protection, og korrelerer disse brugere med logonaktivitet i Power Platform, herunder Power Apps, Power Automate og Power Platform Administration Center. | Brugere med risikosignaler får adgang til Power Platform-portaler. Datakilder: - Microsoft Entra ID SigninLogs |
Indledende adgang, tværgående bevægelse |
| Power Platform – Konto føjet til privilegerede Microsoft Entra roller | Identificerer ændringer af følgende privilegerede mapperoller, der påvirker Power Platform: – Dynamics 365 administratorer – Administratorer af Power Platform – Fabric-administratorer |
Datakilder: AzureActiveDirectory AuditLogs |
Rettighedsskalering |
Jagtforespørgsler
Løsningen omfatter jagtforespørgsler, der kan bruges af analytikere til proaktivt at jage skadelig eller mistænkelig aktivitet i Dynamics 365- og Power Platform-miljøer.
| Regelnavn | Beskrivelse | Datakilde | Taktik |
|---|---|---|---|
| Dataverse – Aktivitet efter Microsoft Entra beskeder | Denne jagtforespørgsel søger efter brugere, der udfører dataverse/Dynamics 365 aktivitet kort efter en advarsel om beskyttelse af Microsoft Entra ID for den pågældende bruger. Forespørgslen søger kun efter brugere, der ikke har set før eller udfører Dynamics-aktiviteter, som ikke tidligere er set. |
- Dataverse DataverseActivity– AzureActiveDirectoryIdentityProtection SecurityAlert |
InitialAccess |
| Dataverse – Aktivitet efter mislykket logon | Denne jagtforespørgsel søger efter brugere, der udfører Dataverse/Dynamics 365 aktivitet kort efter mange mislykkede logons. Brug denne forespørgsel til at søge efter potentiel forceaktivitet efter brute. Juster tærskelværdien baseret på den falske positive sats. |
- DataverseDataverseActivity– AzureActiveDirectory SigninLogs |
InitialAccess |
| Dataverse – Eksportaktivitet for data på tværs af miljøer | Søger efter dataeksportaktivitet på tværs af et forudbestemt antal Dataverse-forekomster. Dataeksportaktivitet på tværs af flere miljøer kan indikere mistænkelig aktivitet, da brugerne typisk kun arbejder i nogle få miljøer. |
- DataverseDataverseActivity |
Eksfiltration, samling |
| Dataverse – Dataverse-eksport kopieret til USB-enheder | Bruger data fra Microsoft Defender XDR til at registrere filer, der er hentet fra en Dataverse-forekomst og kopieret til USB-drev. | - DataverseDataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Eksfiltration |
| Dataverse – Generisk klientapp, der bruges til at få adgang til produktionsmiljøer | Registrerer brugen af det indbyggede "Dynamics 365 eksempelprogram" til at få adgang til produktionsmiljøer. Denne generiske app kan ikke begrænses af Microsoft Entra ID godkendelseskontrolelementer og kan misbruges til at få uautoriseret adgang via Web-API' en. |
- DataverseDataverseActivity– AzureActiveDirectory SigninLogs |
Udførelse |
| Dataverse – Identitetsstyringsaktivitet uden for medlemskab af privilegeret mapperolle | Registrerer hændelser for identitetsadministration i dataverse/Dynamics 365 foretaget af konti, som ikke er medlemmer af følgende privilegerede mapperoller: Dynamics 365 administratorer, Power Platform-administratorer eller globale administratorer | - DataverseDataverseActivity- UEBA IdentityInfo |
Rettighedsskalering |
| Dataverse – Ændringer i identitetsstyring uden MFA | Bruges til at vise privilegerede identitetsadministrationshandlinger i Dataverse foretaget af konti, der er logget på uden brug af MFA. | - DataverseDataverseActivity– AzureActiveDirectory SigninLogs, DataverseActivity |
InitialAccess |
| Power Apps – Unormal massedeling af Power App med nyoprettede gæstebrugere | Forespørgslen registrerer unormale forsøg på at udføre massedeling af en Power App med nyoprettede gæstebrugere. |
Datakilder: PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess, LateralMovement, ResourceMovement |
Lærebøger
Denne løsning indeholder playbooks, som kan bruges til at automatisere sikkerhedssvar på hændelser og beskeder i Microsoft Sentinel.
| Navn på playbook | Beskrivelse |
|---|---|
| Sikkerhedsarbejdsproces: Beskedbekræftelse med ejere af arbejdsbelastninger | Denne strategiplan kan reducere byrden for SOC ved at aflaste bekræftelse af beskeder til it-administratorer for specifikke analyseregler. Den udløses, når der genereres en Microsoft Sentinel besked, opretter en meddelelse (og en tilknyttet meddelelsesmail) i arbejdsbelastningsejerens Microsoft Teams-kanal, der indeholder oplysninger om beskeden. Hvis ejeren af arbejdsbelastningen svarer, at aktiviteten ikke er godkendt, konverteres beskeden til en hændelse i Microsoft Sentinel, som SOC skal håndtere. |
| Dataverse: Send meddelelse til lederen | Denne playbook kan udløses, når der udløses en Microsoft Sentinel hændelse, og sender automatisk en mail til lederen for de berørte brugerenheder. Playbooken kan konfigureres til enten at sende til den Dynamics 365 leder eller til at bruge manageren i Office 365. |
| Dataverse: Føj bruger til listen over blokeringer (hændelsesudløser) | Denne playbook kan udløses, når der udløses en Microsoft Sentinel hændelse, og føjer automatisk berørte brugerobjekter til en foruddefineret Microsoft Entra gruppe, hvilket resulterer i blokeret adgang. Gruppen Microsoft Entra bruges sammen med Betinget adgang til at blokere logon til Dataverse. |
| Dataverse: Føj bruger til blokering af liste ved hjælp af Outlook-godkendelsesarbejdsproces | Denne playbook kan udløses, når der udløses en Microsoft Sentinel hændelse, og føjer automatisk berørte brugerobjekter til en foruddefineret Microsoft Entra gruppe ved hjælp af en Outlook-baseret godkendelsesarbejdsproces, hvilket resulterer i blokeret adgang. Gruppen Microsoft Entra bruges sammen med Betinget adgang til at blokere logon til Dataverse. |
| Dataverse: Føj bruger til blokeringsliste ved hjælp af Teams-godkendelsesarbejdsproces | Denne playbook kan udløses, når der udløses en Microsoft Sentinel hændelse, og føjer automatisk berørte brugerobjekter til en foruddefineret Microsoft Entra gruppe ved hjælp af en arbejdsproces til godkendelse af et tilpasset Teams-kort, hvilket resulterer i blokeret adgang. Gruppen Microsoft Entra bruges sammen med Betinget adgang til at blokere logon til Dataverse. |
| Dataverse: Føj bruger til blokeringsliste (beskedudløser) | Denne playbook kan udløses efter behov, når der udløses en besked om Microsoft Sentinel, hvilket giver analytikeren mulighed for at føje berørte brugerobjekter til en foruddefineret Microsoft Entra gruppe, hvilket resulterer i blokeret adgang. Gruppen Microsoft Entra bruges sammen med Betinget adgang til at blokere logon til Dataverse. |
| Dataverse: Fjern brugeren fra bloklisten | Denne playbook kan udløses efter behov, når der udløses en besked om Microsoft Sentinel, så analytikeren kan fjerne berørte brugerobjekter fra en foruddefineret Microsoft Entra gruppe, der bruges til at blokere adgang. Gruppen Microsoft Entra bruges sammen med Betinget adgang til at blokere logon til Dataverse. |
| Dataverse: Føj SharePoint-websteder til visningsliste | Denne playbook bruges til at tilføje nye eller opdaterede SharePoint-websteder til dokumenthåndtering på konfigurationsoversigtslisten. Når denne Playbook kombineres med en planlagt analyseregel, der overvåger dataverseaktivitetsloggen, udløses den, når der tilføjes en ny tilknytning af webstedet til dokumenthåndtering i SharePoint. Webstedet føjes til en visningsliste for at udvide overvågningsdækningen. |
Projektmapper
Microsoft Sentinel projektmapper kan tilpasses, interaktive dashboards i Microsoft Sentinel, der faciliterer analytikeres effektive visualisering, analyse og undersøgelse af sikkerhedsdata. Denne løsning indeholder projektmappen Dynamics 365 Aktivitet, der præsenterer en visuel repræsentation af aktiviteter i Microsoft Dynamics 365 Customer Engagement/Dataverse, herunder statistik for hentning af poster og et diagram over uregelmæssigheder.
Visningslister
Denne løsning indeholder visningslisten MSBizApps-Configuration og kræver, at brugerne opretter yderligere visningslister baseret på følgende visningslisteskabeloner:
- VIP-brugere
- Netværksadresser
- Afbrudteemployer
Du kan få flere oplysninger under Visningslister i Microsoft Sentinel og Opret visningslister.
Indbyggede fortolkere
Løsningen indeholder fortolkere, der bruges til at få adgang til data fra rådatatabellerne. Fortolkere sikrer, at de korrekte data returneres med et ensartet skema. Vi anbefaler, at du bruger fortolkerne i stedet for at sende en direkte forespørgsel til visningslisterne.
| Parser | Returnerede data | Tabel forespurgte |
|---|---|---|
| MSBizAppsOrgSettings | Liste over tilgængelige indstillinger for hele organisationen, der er tilgængelige i Dynamics 365 Customer Engagement/Dataverse | ikke tilgængelig |
| MSBizAppsVIPUsers | Parser for VIPUsers-visningslisten |
VIPUsers fra visningslisteskabelon |
| MSBizAppsNetworkAddresses | Parser for visningslisten NetworkAddresses |
NetworkAddresses fra visningslisteskabelon |
| MSBizAppsTerminatedEmployees | Parser for visningslisten TerminatedEmployees |
TerminatedEmployees fra visningslisteskabelon |
| DataverseSharePointSites | SharePoint-websteder, der bruges i Dataverse-dokumenthåndtering |
MSBizApps-Configuration visningsliste filtreret efter kategori 'SharePoint' |
Du kan finde flere oplysninger om analyseregler under Registrer trusler klar til brug.