Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Sicherheitsinhalte beschrieben, die für die Microsoft Sentinel Lösung für Power Platform verfügbar sind. Weitere Informationen zu dieser Lösung finden Sie unter Microsoft Sentinel Lösung für Microsoft Power Platform und Microsoft Dynamics 365 Customer Engagement– Übersicht.
Integrierte Analyseregeln
Die folgenden Analyseregeln sind enthalten, wenn Sie die Lösung für Power Platform installieren. Zu den aufgeführten Datenquellen gehören der Name und die Tabelle des Datenconnectors in Log Analytics.
Dataverse-Regeln
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| Dataverse – Benutzeraktivität für anomale Anwendungen | Identifiziert Anomalien in Aktivitätsmustern von Dataverse-Anwendungsbenutzern (nicht interaktiv), basierend auf Aktivitäten, die außerhalb des normalen Verwendungsmusters fallen. | Ungewöhnliche S2S-Benutzeraktivität in Dynamics 365/Dataverse. Datenquellen: – Dataverse DataverseActivity |
CredentialAccess, Execution, Persistenz |
| Dataverse – Löschen von Überwachungsprotokolldaten | Identifiziert die Aktivität zum Löschen von Überwachungsprotokolldaten in Dataverse. | Löschen von Dataverse-Überwachungsprotokollen. Datenquellen: – Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse: Überwachungsprotokollierung deaktiviert | Identifiziert eine Änderung in der Systemüberwachungskonfiguration, bei der die Überwachungsprotokollierung deaktiviert ist. | Globale Überwachung oder Überwachung auf Entitätsebene deaktiviert. Datenquellen: – Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse: Erneute Zuweisung oder Freigabe des Besitzes von Massendatensätzen | Identifiziert Änderungen im Besitz einzelner Datensätze, einschließlich: – Aufzeichnen der Freigabe für andere Benutzer/Teams – Besitzerumstellungen, die einen vordefinierten Schwellenwert überschreiten. |
Viele Datensatzbesitz- und Datensatzfreigabeereignisse, die innerhalb des Erkennungsfensters generiert wurden. Datenquellen: – Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse : Ausführbare Datei, die auf die SharePoint-Dokumentverwaltungswebsite hochgeladen wurde | Identifiziert ausführbare Dateien und Skripts, die auf SharePoint-Websites hochgeladen werden, die für die Dynamics-Dokumentverwaltung verwendet werden, und um native Dateierweiterungseinschränkungen in Dataverse zu umgehen. | Hochladen ausführbarer Dateien in der Dataverse-Dokumentverwaltung. Datenquellen: – Office365 OfficeActivity (SharePoint) |
Ausführung, Persistenz |
| Dataverse – Exportaktivität von einem beendeten oder benachrichtigten Mitarbeiter | Identifiziert die Dataverse-Exportaktivität, die durch das Beenden von Mitarbeitern oder Mitarbeitern ausgelöst wird, die das organization verlassen. | Datenexportereignisse, die Benutzern in der Watchlistvorlage TerminatedEmployees zugeordnet sind. Datenquellen: – Dataverse DataverseActivity |
Exfiltration |
| Dataverse: Exfiltration von Gastbenutzern nach Beeinträchtigung der Power Platform-Verteidigung | Identifiziert eine Kette von Ereignissen, die mit dem Deaktivieren der Mandantenisolation von Power Platform und dem Entfernen der Zugriffssicherheitsgruppe einer Umgebung beginnt. Diese Ereignisse korrelieren mit Dataverse-Exfiltrationswarnungen, die der betroffenen Umgebung zugeordnet sind und kürzlich Microsoft Entra Gastbenutzer erstellt wurden. Aktivieren Sie andere Dataverse-Analyseregeln mit der Mitre-Exfiltration-Taktik, bevor Sie diese Regel aktivieren. |
Als kürzlich erstellter Gastbenutzer lösen Sie Dataverse-Exfiltrationswarnungen aus, nachdem die Power Platform-Sicherheitskontrollen deaktiviert wurden. Datenquellen: – PowerPlatformAdmin PowerPlatformAdminActivity– Dataverse DataverseActivity |
Verteidigungsumgehung |
| Dataverse– Manipulation der Hierarchiesicherheit | Identifiziert verdächtige Verhaltensweisen in der Hierarchiesicherheit. | Änderungen an Sicherheitseigenschaften, einschließlich: – Hierarchiesicherheit deaktiviert. – Der Benutzer weist sich selbst als Manager zu. – Der Benutzer weist sich einer überwachten Position zu (in KQL festgelegt). Datenquellen: – Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse – Honeypot instance-Aktivität | Identifiziert Aktivitäten in einem vordefinierten Honeypot Dataverse-instance. Warnungen, wenn entweder eine Anmeldung bei Honeypot erkannt wird oder wenn auf überwachte Dataverse-Tabellen im Honeypot zugegriffen wird. |
Anmelden und Zugreifen auf Daten in einem bestimmten Honeypot Dataverse-instance in Power Platform mit aktivierter Überwachung. Datenquellen: – Dataverse DataverseActivity |
Ermittlung, Exfiltration |
| Dataverse : Anmeldung durch einen sensiblen privilegierten Benutzer | Identifiziert Dataverse- und Dynamics 365 Anmeldungen vertraulicher Benutzer. | Anmeldung durch Benutzer, die der VIPUsers-Watchlist hinzugefügt wurden, basierend auf tags, die in KQL festgelegt sind. Datenquellen: – Dataverse DataverseActivity |
InitialAccess, CredentialAccess, PrivilegeEscalation |
| Dataverse : Anmeldung über IP in der Sperrliste | Identifiziert die Dataverse-Anmeldeaktivität von IPv4-Adressen, die sich in einer vordefinierten Blockliste befinden. | Anmeldung durch einen Benutzer mit einer IP-Adresse, die Teil eines blockierten Netzwerkbereichs ist. Blockierte Netzwerkbereiche werden in der Watchlistvorlage NetworkAddresses verwaltet. Datenquellen: – Dataverse DataverseActivity |
InitialAccess |
| Dataverse: Anmeldung über IP-Adresse nicht in der Zulassungsliste | Identifiziert Anmeldungen von IPv4-Adressen, die nicht mit IPv4-Subnetzen übereinstimmen, die in einer Zulassungsliste verwaltet werden. | Anmelden durch einen Benutzer mit einer IP-Adresse, die nicht Teil eines zulässigen Netzwerkbereichs ist. Blockierte Netzwerkbereiche werden in der Watchlistvorlage NetworkAddresses verwaltet. Datenquellen: – Dataverse DataverseActivity |
InitialAccess |
| Dataverse – Schadsoftware, die auf der SharePoint-Dokumentverwaltungswebsite gefunden wurde | Identifiziert Schadsoftware, die über Dynamics 365 Dokumentverwaltung oder direkt in SharePoint hochgeladen wurde, was sich auf mit Dataverse verknüpfte SharePoint-Websites auswirkt. | Schädliche Datei auf der SharePoint-Website, die mit Dataverse verknüpft ist. Datenquellen: – Dataverse DataverseActivity– Office365 OfficeActivity (SharePoint) |
Ausführung |
| Dataverse – Massenlöschung von Datensätzen | Identifiziert umfangreiche Datensatzlöschvorgänge basierend auf einem vordefinierten Schwellenwert. Erkennt außerdem geplante Massenlöschaufträge. |
Löschen von Datensätzen, die den in KQL definierten Schwellenwert überschreiten. Datenquellen: – Dataverse DataverseActivity |
Auswirkung |
| Dataverse – Massendownload aus der SharePoint-Dokumentverwaltung | Identifiziert den Massendownload in der letzten Stunde von Dateien von SharePoint-Websites, die für die Dokumentverwaltung in Dynamics 365 konfiguriert sind. | Massendownload überschreitet den in KQL definierten Schwellenwert. Diese Analyseregel verwendet die Watchlist MSBizApps-Configuration, um SharePoint-Websites zu identifizieren, die für die Dokumentverwaltung verwendet werden. Datenquellen: – Office365 OfficeActivity (SharePoint) |
Exfiltration |
| Dataverse – Massenexport von Datensätzen nach Excel | Identifiziert Benutzer, die eine große Anzahl von Datensätzen aus Dynamics 365 nach Excel exportieren, wobei die Anzahl der exportierten Datensätze erheblich höher ist als bei jeder anderen letzten Aktivität dieses Benutzers. Große Exporte von Benutzern ohne aktuelle Aktivität werden mithilfe eines vordefinierten Schwellenwerts identifiziert. |
Exportieren Sie viele Datensätze aus Dataverse nach Excel. Datenquellen: – Dataverse DataverseActivity |
Exfiltration |
| Dataverse – Massendatensatzaktualisierungen | Erkennt Änderungen an massenhaftem Datensatzupdate in Dataverse und Dynamics 365, wobei ein vordefinierter Schwellenwert überschritten wird. | Die Massenaktualisierung von Datensätzen überschreitet den in KQL definierten Schwellenwert. Datenquellen: – Dataverse DataverseActivity |
Auswirkung |
| Dataverse– Neuer Benutzeraktivitätstyp der Dataverse-Anwendung | Identifiziert neue oder bisher unbekannte Aktivitätstypen, die einem Dataverse-Anwendungsbenutzer (nicht interaktiv) zugeordnet sind. | Neue S2S-Benutzeraktivitätstypen. Datenquellen: – Dataverse DataverseActivity |
CredentialAccess, Execution, PrivilegeEscalation |
| Dataverse: Neue nicht interaktive Identität, der Zugriff gewährt wird | Identifiziert Zugriffsgewährungen auf API-Ebene, entweder über die delegierten Berechtigungen einer Microsoft Entra-Anwendung oder durch direkte Zuweisung in Dataverse als Anwendungsbenutzer. | Dataverse-Berechtigungen, die nicht interaktiven Benutzern hinzugefügt wurden. Datenquellen: – Dataverse DataverseActivity,– AzureActiveDirectory AuditLogs |
Persistenz, LateralMovement, PrivilegeEscalation |
| Dataverse : Neue Anmeldung über eine nicht autorisierte Domäne | Identifiziert Dataverse-Anmeldeaktivitäten, die von Benutzern mit UPN-Suffixen stammen, die in den letzten 14 Tagen noch nicht gesehen wurden und nicht in einer vordefinierten Liste autorisierter Domänen vorhanden sind. Allgemeine interne Power Platform-Systembenutzer sind standardmäßig ausgeschlossen. |
Melden Sie sich von einem externen Benutzer über ein nicht autorisiertes Domänensuffix an. Datenquellen: – Dataverse DataverseActivity |
InitialAccess |
| Dataverse: Neuer Benutzer-Agent-Typ, der zuvor nicht verwendet wurde | Identifiziert Benutzer, die über einen Benutzer-Agent auf Dataverse zugreifen, der in den letzten 14 Tagen in keinem Dataverse-instance gesehen wurde. | Aktivität in Dataverse von einem neuen Benutzer-Agent. Datenquellen: – Dataverse DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse: Neuer Benutzer-Agent-Typ, der nicht mit Office 365 verwendet wurde | Identifiziert Benutzer, die auf Dynamics mit einem Benutzer-Agent zugreifen, der in den letzten 14 Tagen in keinem Office 365 Workloads zu sehen war. | Aktivität in Dataverse von einem neuen Benutzer-Agent. Datenquellen: – Dataverse DataverseActivity |
InitialAccess |
| Dataverse : Organisationseinstellungen geändert | Identifiziert Änderungen, die auf der organization-Ebene in der Dataverse-Umgebung vorgenommen wurden. | Eigenschaft auf Organisationsebene, die in Dataverse geändert wurde. Datenquellen: – Dataverse DataverseActivity |
Persistenz |
| Dataverse - Entfernen blockierter Dateierweiterungen | Identifiziert Änderungen an den blockierten Dateierweiterungen einer Umgebung und extrahiert die entfernte Erweiterung. | Entfernen von blockierten Dateierweiterungen in Dataverse-Eigenschaften. Datenquellen: – Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse : SharePoint-Dokumentverwaltungswebsite hinzugefügt oder aktualisiert | Identifiziert Änderungen der SharePoint-Dokumentverwaltungsintegration. Die Dokumentverwaltung ermöglicht die Speicherung von Daten, die sich extern in Dataverse befinden. Kombinieren Sie diese Analyseregel mit dem Playbook Dataverse: Hinzufügen von SharePoint-Websites zu Watchlists , um die Watchlist Dataverse-SharePointSites automatisch zu aktualisieren. Diese Watchlist kann verwendet werden, um Ereignisse zwischen Dataverse und SharePoint zu korrelieren, wenn der Office 365-Datenconnector verwendet wird. |
SharePoint-Websitezuordnung wurde in der Dokumentverwaltung hinzugefügt. Datenquellen: – Dataverse DataverseActivity |
Exfiltration |
| Dataverse – Verdächtige Änderungen an Sicherheitsrollen | Identifiziert ein ungewöhnliches Muster von Ereignissen, bei denen eine neue Rolle erstellt wird, gefolgt davon, dass der Ersteller Mitglieder zur Rolle hinzufügt und später das Mitglied entfernt oder die Rolle nach einem kurzen Zeitraum löscht. | Änderungen an Sicherheitsrollen und Rollenzuweisungen. Datenquellen: – Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse: Verdächtige Verwendung des TDS-Endpunkts | Identifiziert protokollbasierte Dataverse TDS-Abfragen (Tabular Data Stream), bei denen der Quellbenutzer oder die IP-Adresse aktuelle Sicherheitswarnungen aufweist und das TDS-Protokoll zuvor in der Zielumgebung nicht verwendet wurde. | Plötzliche Verwendung des TDS-Endpunkts in Korrelation mit Sicherheitswarnungen. Datenquellen: – Dataverse DataverseActivity– AzureActiveDirectoryIdentityProtection SecurityAlert |
Exfiltration, InitialAccess |
| Dataverse: Verdächtige Verwendung der Web-API | Identifiziert Anmeldungen in mehreren Dataverse-Umgebungen, die einen vordefinierten Schwellenwert verletzen und von einem Benutzer mit einer IP-Adresse stammen, die für die Anmeldung bei einer bekannten Microsoft Entra App-Registrierung verwendet wurde. | Melden Sie sich mit WebAPI in mehreren Umgebungen mit einer bekannten öffentlichen Anwendungs-ID an. Datenquellen: – Dataverse DataverseActivity– AzureActiveDirectory SigninLogs |
Ausführung, Exfiltration, Reconnaissance, Ermittlung |
| Dataverse – TI zuordnen der IP-Adresse zu DataverseActivity | Identifiziert eine Übereinstimmung in DataverseActivity von einem ip-IOC aus Microsoft Sentinel Threat Intelligence. | Dataverse-Aktivität mit IP-Übereinstimmenden IOC. Datenquellen: – Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, LateralMovement, Discovery |
| Dataverse – TI-Zuordnungs-URL zu DataverseActivity | Identifiziert eine Übereinstimmung in DataverseActivity von einem beliebigen URL-IOC aus Microsoft Sentinel Threat Intelligence. | Dataverse-Aktivität mit url-übereinstimmenden IOC. Datenquellen: – Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, Execution, Persistenz |
| Dataverse – Exfiltration des beendeten Mitarbeiters per E-Mail | Identifiziert die Dataverse-Exfiltration per E-Mail durch gekündigte Mitarbeiter. | An nicht vertrauenswürdige Empfängerdomänen gesendete E-Mails nach Sicherheitswarnungen, die mit Benutzern in der TerminatedEmployees-Watchlist korreliert sind. Datenquellen: MicrosoftThreatProtection EmailEventsIdentityInfo– AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
Exfiltration |
| Dataverse – Exfiltration des Mitarbeiters auf USB-Laufwerk beendet | Identifiziert Dateien, die aus Dataverse von ausscheidenden oder gekündigten Mitarbeitern heruntergeladen wurden und auf USB-eingebundene Laufwerke kopiert werden. | Files, die von Dataverse stammen, die von einem Benutzer auf der TerminatedEmployees-Watchlist auf USB kopiert wurden. Datenquellen: – Dataverse DataverseActivity– MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Exfiltration |
| Dataverse : Ungewöhnliche Anmeldung nach deaktivierter IP-Adressbindungsschutz | Identifiziert zuvor nicht angezeigte IP- und Benutzer-Agents in einem Dataverse-instance nachdem der Schutz vor Cookiebindung deaktiviert wurde. Weitere Informationen finden Sie unter Schützen von Dataverse-Sitzungen mit IP-Cookiebindung. |
Neue Anmeldeaktivität. Datenquellen: – Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse: Massenabruf von Benutzern außerhalb der normalen Aktivität | Identifiziert Benutzer, die deutlich mehr Datensätze aus Dataverse abgerufen haben als in den letzten zwei Wochen. | Der Benutzer ruft viele Datensätze aus Dataverse ab und schließt den von KQL definierten Schwellenwert ein. Datenquellen: – Dataverse DataverseActivity |
Exfiltration |
Power Apps-Regeln
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| Power Apps : App-Aktivität von nicht autorisierten geografischen Standorten | Identifiziert Power Apps-Aktivitäten aus geografischen Regionen in einer vordefinierten Liste nicht autorisierter geografischer Regionen. Diese Erkennung ruft die Liste der ISO 3166-1 Alpha-2-Ländercodes von ISO Online Browsing Platform (OBP) ab. Diese Erkennung verwendet Protokolle, die aus Microsoft Entra ID erfasst werden, und erfordert, dass Sie auch den Microsoft Entra ID-Datenconnector aktivieren. |
Führen Sie eine Aktivität in einer Power App aus einer geografischen Region aus, die sich in der Liste der nicht autorisierten Ländercodes befindet. Datenquellen: – Microsoft Power Platform Admin-Aktivität PowerPlatformAdminActivity– Microsoft Entra ID SigninLogs |
Erstzugriff |
| Power Apps – Mehrere Apps gelöscht | Identifiziert Massenlöschaktivitäten, bei denen mehrere Power Apps gelöscht werden, und entspricht einem vordefinierten Schwellenwert für die Gesamtanzahl gelöschter Apps oder gelöschter App-Ereignisse in mehreren Power Platform-Umgebungen. | Löschen Sie viele Power Apps aus dem Power Platform Admin Center. Datenquellen: – Microsoft Power Platform Admin-Aktivität PowerPlatformAdminActivity |
Auswirkung |
| Power Apps: Mehrere Benutzer greifen nach dem Starten einer neuen App auf einen schädlichen Link zu | Identifiziert eine Kette von Ereignissen, wenn eine neue Power App erstellt wird und auf die folgenden Ereignisse folgt: – Mehrere Benutzer starten die App im Erkennungsfenster. – Mehrere Benutzer öffnen dieselbe schädliche URL. Diese Erkennung korreliert Power Apps-Ausführungsprotokolle mit schädlichen URL-Auswahlereignissen aus einer der folgenden Quellen: – Der Microsoft 365 Defender-Datenconnector oder – Böswillige URL-Gefährdungsindikatoren (IOC) in Microsoft Sentinel Threat Intelligence mit dem ASIM-Websitzungsnormalisierungsparser (Advanced Security Information Model). Diese Erkennung ruft die unterschiedliche Anzahl von Benutzern ab, die den schädlichen Link durch Erstellen einer Abfrage starten oder auswählen. |
Mehrere Benutzer starten eine neue PowerApp und öffnen eine bekannte schädliche URL aus der App. Datenquellen: – Microsoft Power Platform Admin-Aktivität PowerPlatformAdminActivity– Threat Intelligence ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
Erstzugriff |
| Power Apps: Massenfreigabe von Power Apps für neu erstellte Gastbenutzer | Identifiziert die ungewöhnliche Massenfreigabe von Power Apps für neu erstellte Microsoft Entra Gastbenutzern. Ungewöhnliche Massenfreigabe basiert auf einem vordefinierten Schwellenwert in der Abfrage. | Freigeben einer App für mehrere externe Benutzer. Datenquellen: – Microsoft Power Platform Admin-Aktivität PowerPlatformAdminActivity– Microsoft Entra IDAuditLogs |
Ressourcenentwicklung, Erstzugriff, Laterale Bewegung |
Power Automate-Regeln
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| Power Automate – Ablauf der Mitarbeiterflowaktivität | Identifiziert Instanzen, in denen ein Mitarbeiter, der benachrichtigt wurde oder bereits gekündigt wurde, in der Watchlist Beendete Mitarbeiter einen Power Automate-Flow erstellt oder ändert. | Der in der Watchlist TerminatedEmployees definierte Benutzer erstellt oder aktualisiert einen Power Automate-Flow. Datenquellen: Microsoft Power Automate PowerAutomateActivityTerminatedEmployees-Watchlist |
Exfiltration, Auswirkung |
| Power Automate: Ungewöhnliches Massenlöschen von Flowressourcen | Identifiziert das Massenlöschen von Power Automate-Flows, die einen in der Abfrage definierten vordefinierten Schwellenwert überschreiten und von aktivitätsmustern abweichen, die in den letzten 14 Tagen beobachtet wurden. | Massenlöschung von Power Automate-Flows. Datenquellen: – PowerAutomate PowerAutomateActivity |
Auswirkungen Verteidigungsumgehung |
Power Platform-Regeln
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| Power Platform: Connector zu einer sensiblen Umgebung hinzugefügt | Identifiziert die Erstellung neuer API-Connectors in Power Platform, die speziell auf eine vordefinierte Liste vertraulicher Umgebungen ausgerichtet sind. | Fügen Sie einen neuen Power Platform-Connector in einer sensiblen Power Platform-Umgebung hinzu. Datenquellen: – Microsoft Power Platform Admin-Aktivität PowerPlatformAdminActivity |
Ausführung, Exfiltration |
| Power Platform: DLP-Richtlinie aktualisiert oder entfernt | Identifiziert Änderungen an der Richtlinie zur Verhinderung von Datenverlust, insbesondere Richtlinien, die aktualisiert oder entfernt werden. | Aktualisieren oder Entfernen einer Power Platform-Richtlinie zur Verhinderung von Datenverlust in der Power Platform-Umgebung. Datenquellen: Microsoft Power Platform Admin-Aktivität PowerPlatformAdminActivity |
Verteidigungsumgehung |
| Power Platform: Möglicherweise gefährdeter Benutzer greift auf Power Platform-Dienste zu | Identifiziert Benutzerkonten, die in Microsoft Entra ID Protection als gefährdet gekennzeichnet sind, und korreliert diese Benutzer mit Anmeldeaktivitäten in Power Platform, einschließlich Power Apps, Power Automate und Power Platform Admin Center. | Benutzer mit Risikosignalen greifen auf Power Platform-Portale zu. Datenquellen: – Microsoft Entra ID SigninLogs |
Erstzugriff, Lateral Movement |
| Power Platform: Konto, das privilegierten Microsoft Entra Rollen hinzugefügt wurde | Identifiziert Änderungen an den folgenden privilegierten Verzeichnisrollen, die sich auf Power Platform auswirken: – Dynamics 365-Administratoren: Power Platform-Administratoren– Fabric-Administratoren |
Datenquellen: AzureActiveDirectory AuditLogs |
PrivilegeEscalation |
Hunting-Abfragen
Die Lösung umfasst Hunting-Abfragen, die von Analysten verwendet werden können, um schädliche oder verdächtige Aktivitäten in den Dynamics 365- und Power Platform-Umgebungen proaktiv zu jagen.
| Regelname | Beschreibung | Datenquelle | Taktik |
|---|---|---|---|
| Dataverse – Aktivität nach Microsoft Entra Warnungen | Diese Suchabfrage sucht nach Benutzern, die Dataverse-/Dynamics 365-Aktivitäten kurz nach einer Microsoft Entra ID Protection-Warnung für diesen Benutzer ausführen. Die Abfrage sucht nur nach Benutzern, die zuvor nicht gesehen wurden, oder nach Dynamics-Aktivitäten, die zuvor nicht gesehen wurden. |
– Dataverse DataverseActivity– AzureActiveDirectoryIdentityProtection SecurityAlert |
InitialAccess |
| Dataverse – Aktivität nach fehlgeschlagenen Anmeldungen | Diese Suchabfrage sucht nach Benutzern, die Kurz nach vielen fehlgeschlagenen Anmeldungen Dataverse/Dynamics 365-Aktivitäten ausführen. Verwenden Sie diese Abfrage, um nach potenziellen Post-Brute-Force-Aktivitäten zu suchen. Passen Sie die Schwellenwertzahl basierend auf der Falsch-Positiv-Rate an. |
– DataverseDataverseActivity– AzureActiveDirectory SigninLogs |
InitialAccess |
| Dataverse: Umgebungsübergreifende Datenexportaktivität | Sucht nach Datenexportaktivitäten für eine vordefinierte Anzahl von Dataverse-Instanzen. Datenexportaktivitäten in mehreren Umgebungen können auf verdächtige Aktivitäten hinweisen, da Benutzer in der Regel nur in wenigen Umgebungen arbeiten. |
– DataverseDataverseActivity |
Exfiltration, Sammlung |
| Dataverse – Dataverse-Export auf USB-Geräte kopiert | Verwendet Daten aus Microsoft Defender XDR, um Dateien zu erkennen, die von einem Dataverse-instance heruntergeladen und auf ein USB-Laufwerk kopiert wurden. | – DataverseDataverseActivity– MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Exfiltration |
| Dataverse: Generische Client-App, die für den Zugriff auf Produktionsumgebungen verwendet wird | Erkennt die Verwendung der integrierten "Dynamics 365-Beispielanwendung" für den Zugriff auf Produktionsumgebungen. Diese generische App kann nicht durch Microsoft Entra ID Autorisierungssteuerelemente eingeschränkt und missbraucht werden, um nicht autorisierten Zugriff über die Web-API zu erhalten. |
– DataverseDataverseActivity– AzureActiveDirectory SigninLogs |
Ausführung |
| Dataverse: Identitätsverwaltungsaktivität außerhalb der Mitgliedschaft mit privilegierten Verzeichnisrollen | Erkennt Identitätsverwaltungsereignisse in Dataverse/Dynamics 365, die von Konten vorgenommen werden, wenn keine Mitglieder der folgenden privilegierten Verzeichnisrollen sind: Dynamics 365 Admins, Power Platform-Administratoren oder globale Administratoren | – DataverseDataverseActivity– UEBA IdentityInfo |
PrivilegeEscalation |
| Dataverse: Änderungen an der Identitätsverwaltung ohne MFA | Wird verwendet, um Verwaltungsvorgänge für privilegierte Identitäten in Dataverse anzuzeigen, die von Konten erstellt wurden, die sich ohne MFA angemeldet haben. | – DataverseDataverseActivity– AzureActiveDirectory SigninLogs, DataverseActivity |
InitialAccess |
| Power Apps: Anomale Massenfreigabe von Power App für neu erstellte Gastbenutzer | Die Abfrage erkennt anomale Versuche, eine Power App-Massenfreigabe für neu erstellte Gastbenutzer durchzuführen. |
Datenquellen: PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess, LateralMovement, ResourceDevelopment |
Playbooks
Diese Lösung enthält Playbooks, die verwendet werden können, um sicherheitsrelevante Reaktionen auf Vorfälle und Warnungen in Microsoft Sentinel zu automatisieren.
| Playbookname | Beschreibung |
|---|---|
| Sicherheitsworkflow: Warnungsüberprüfung mit Workloadbesitzern | Dieses Playbook kann die Belastung des SOC verringern, indem die Warnungsüberprüfung für bestimmte Analyseregeln an IT-Administratoren ausgelagert wird. Es wird ausgelöst, wenn eine Microsoft Sentinel Warnung generiert wird und eine Nachricht (und die zugehörige Benachrichtigungs-E-Mail) im Microsoft Teams-Kanal des Workloadbesitzers erstellt wird, die Details der Warnung enthält. Wenn der Workloadbesitzer antwortet, dass die Aktivität nicht autorisiert ist, wird die Warnung in Microsoft Sentinel in einen Incident konvertiert, damit der SOC behandelt werden kann. |
| Dataverse: Senden einer Benachrichtigung an den Manager | Dieses Playbook kann ausgelöst werden, wenn ein Microsoft Sentinel Incident ausgelöst wird, und sendet automatisch eine E-Mail-Benachrichtigung an den Manager der betroffenen Benutzerentitäten. Das Playbook kann so konfiguriert werden, dass es entweder an den Dynamics 365-Manager gesendet oder den Manager in Office 365 verwendet. |
| Dataverse: Benutzer zur Sperrliste hinzufügen (Incidenttrigger) | Dieses Playbook kann ausgelöst werden, wenn ein Microsoft Sentinel Incident ausgelöst wird. Betroffene Benutzerentitäten werden automatisch zu einer vordefinierten Microsoft Entra Gruppe hinzugefügt, was zu blockiertem Zugriff führt. Die Microsoft Entra Gruppe wird mit bedingtem Zugriff verwendet, um die Anmeldung bei Dataverse zu blockieren. |
| Dataverse: Hinzufügen eines Benutzers zur Sperrliste mithilfe des Outlook-Genehmigungsworkflows | Dieses Playbook kann ausgelöst werden, wenn ein Microsoft Sentinel Incident ausgelöst wird. Betroffene Benutzerentitäten werden automatisch zu einer vordefinierten Microsoft Entra Gruppe hinzugefügt, wobei ein Outlook-basierter Genehmigungsworkflow verwendet wird, was zu blockiertem Zugriff führt. Die Microsoft Entra Gruppe wird mit bedingtem Zugriff verwendet, um die Anmeldung bei Dataverse zu blockieren. |
| Dataverse: Hinzufügen eines Benutzers zur Sperrliste mithilfe des Teams-Genehmigungsworkflows | Dieses Playbook kann ausgelöst werden, wenn ein Microsoft Sentinel Incident ausgelöst wird, und fügt betroffene Benutzerentitäten automatisch zu einer vordefinierten Microsoft Entra Gruppe hinzu, wobei ein Adaptiver Karte-Genehmigungsworkflow für Teams verwendet wird, was zu blockiertem Zugriff führt. Die Microsoft Entra Gruppe wird mit bedingtem Zugriff verwendet, um die Anmeldung bei Dataverse zu blockieren. |
| Dataverse: Benutzer zur Sperrliste hinzufügen (Warnungstrigger) | Dieses Playbook kann bei Bedarf ausgelöst werden, wenn eine Microsoft Sentinel Warnung ausgelöst wird, sodass der Analyst betroffene Benutzerentitäten zu einer vordefinierten Microsoft Entra Gruppe hinzufügen kann, was zu blockiertem Zugriff führt. Die Microsoft Entra Gruppe wird mit bedingtem Zugriff verwendet, um die Anmeldung bei Dataverse zu blockieren. |
| Dataverse: Entfernen eines Benutzers aus der Sperrliste | Dieses Playbook kann bei Bedarf ausgelöst werden, wenn eine Microsoft Sentinel Warnung ausgelöst wird, sodass der Analyst betroffene Benutzerentitäten aus einer vordefinierten Microsoft Entra Gruppe entfernen kann, die zum Blockieren des Zugriffs verwendet wird. Die Microsoft Entra Gruppe wird mit bedingtem Zugriff verwendet, um die Anmeldung bei Dataverse zu blockieren. |
| Dataverse: Hinzufügen von SharePoint-Websites zur Watchlist | Dieses Playbook wird verwendet, um der Konfigurations-Watchlist neue oder aktualisierte SharePoint-Dokumentverwaltungswebsites hinzuzufügen. In Kombination mit einer geplanten Analyseregel, die das Dataverse-Aktivitätsprotokoll überwacht, wird dieses Playbook ausgelöst, wenn eine neue SharePoint-Dokumentverwaltungswebsitezuordnung hinzugefügt wird. Die Website wird einer Watchlist hinzugefügt, um die Überwachungsabdeckung zu erweitern. |
Arbeitsmappen
Microsoft Sentinel Arbeitsmappen sind anpassbare, interaktive Dashboards innerhalb Microsoft Sentinel, die Analysten die effiziente Visualisierung, Analyse und Untersuchung von Sicherheitsdaten erleichtern. Diese Lösung umfasst die Arbeitsmappe Dynamics 365 Aktivität, die eine visuelle Darstellung der Aktivität in Microsoft Dynamics 365 Customer Engagement/Dataverse darstellt, einschließlich Datensatzabrufstatistiken und eines Anomaliediagramms.
Watchlists
Diese Lösung enthält die Watchlist MSBizApps-Configuration und erfordert, dass Benutzer zusätzliche Watchlists basierend auf den folgenden Watchlistvorlagen erstellen:
- VIPUsers
- NetworkAddresses
- TerminatedEmployees
Weitere Informationen finden Sie unter Watchlists in Microsoft Sentinel und Erstellen von Watchlists.
Integrierte Parser
Die Lösung enthält Parser, die für den Zugriff auf Daten aus den Rohdatentabellen verwendet werden. Parser stellen sicher, dass die richtigen Daten mit einem konsistenten Schema zurückgegeben werden. Es wird empfohlen, die Parser zu verwenden, anstatt die Watchlists direkt abfragen zu müssen.
| Parser | Zurückgegebene Daten | Abgefragte Tabelle |
|---|---|---|
| MSBizAppsOrgSettings | Liste der verfügbaren organization verfügbaren Einstellungen in Dynamics 365 Customer Engagement/Dataverse | n/v |
| MSBizAppsVIPUsers | Parser für die VIPUsers-Watchlist |
VIPUsers aus watchlist-Vorlage |
| MSBizAppsNetworkAddresses | Parser für die NetworkAddresses-Watchlist |
NetworkAddresses aus watchlist-Vorlage |
| MSBizAppsTerminatedEmployees | Parser für die TerminatedEmployees-Watchlist |
TerminatedEmployees aus watchlist-Vorlage |
| DataverseSharePointSites | SharePoint-Websites, die in der Dataverse-Dokumentverwaltung verwendet werden |
MSBizApps-Configuration Watchlist gefiltert nach Kategorie "SharePoint" |
Weitere Informationen zu Analyseregeln finden Sie unter Sofort einsatzbereite Erkennung von Bedrohungen.