Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se detalla el contenido de seguridad disponible para la solución Microsoft Sentinel para Power Platform. Para obtener más información sobre esta solución, consulte Microsoft Sentinel solución para Microsoft Power Platform y Microsoft Dynamics 365 introducción a Customer Engagement.
Reglas de análisis integradas
Las siguientes reglas de análisis se incluyen al instalar la solución para Power Platform. Los orígenes de datos enumerados incluyen el nombre y la tabla del conector de datos en Log Analytics.
Reglas de dataverse
| Nombre de regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| Dataverse: actividad de usuario de aplicación anómala | Identifica anomalías en los patrones de actividad de los usuarios de aplicaciones de Dataverse (no interactivas), en función de la actividad que se encuentra fuera del patrón de uso normal. | Actividad de usuario de S2S inusual en Dynamics 365/Dataverse. Orígenes de datos: - Dataverse DataverseActivity |
CredentialAccess, Ejecución, Persistencia |
| Dataverse: eliminación de datos de registro de auditoría | Identifica la actividad de eliminación de datos de registro de auditoría en Dataverse. | Eliminación de registros de auditoría de Dataverse. Orígenes de datos: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse: registro de auditoría deshabilitado | Identifica un cambio en la configuración de auditoría del sistema por el que se desactiva el registro de auditoría. | Auditoría global o de nivel de entidad deshabilitada. Orígenes de datos: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse: reasignación o uso compartido de propiedad de registros masivos | Identifica los cambios en la propiedad de registros individuales, incluidos los siguientes: - Uso compartido de registros con otros usuarios o equipos - Reasignaciones de propiedad que superan un umbral predefinido. |
Muchos eventos de propiedad y uso compartido de registros generados en la ventana de detección. Orígenes de datos: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse: ejecutable cargado en el sitio de administración de documentos de SharePoint | Identifica los archivos ejecutables y los scripts que se cargan en sitios de SharePoint usados para la administración de documentos de Dynamics, lo que evita las restricciones de extensión de archivos nativos en Dataverse. | Carga de archivos ejecutables en la administración de documentos de Dataverse. Orígenes de datos: - Office365 OfficeActivity (SharePoint) |
Ejecución, persistencia |
| Dataverse: exportación de actividad de empleados terminados o notificados | Identifica la actividad de exportación de Dataverse desencadenada por la terminación de los empleados o los empleados a punto de abandonar la organización. | Eventos de exportación de datos asociados a los usuarios en la plantilla de lista de seguimiento TerminatedEmployees . Orígenes de datos: - Dataverse DataverseActivity |
Filtración |
| Dataverse: filtración de usuarios invitados después de un deterioro de la defensa de Power Platform | Identifica una cadena de eventos que comienza con la deshabilitación del aislamiento de inquilinos de Power Platform y la eliminación del grupo de seguridad de acceso de un entorno. Estos eventos se correlacionan con las alertas de filtración de Dataverse asociadas con el entorno afectado y los usuarios invitados creados recientemente Microsoft Entra. Active otras reglas de análisis de Dataverse con la táctica MITRE de filtración antes de habilitar esta regla. |
Como usuario invitado creado recientemente, desencadene alertas de filtración de Dataverse después de deshabilitar los controles de seguridad de Power Platform. Orígenes de datos: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity |
Evasión de defensa |
| Dataverse: Manipulación de seguridad de jerarquía | Identifica comportamientos sospechosos en la seguridad de la jerarquía. | Cambios en las propiedades de seguridad, entre los que se incluyen: - Seguridad de jerarquía deshabilitada. - El usuario se asigna a sí mismo como administrador. - El usuario se asigna a una posición supervisada (establecida en KQL). Orígenes de datos: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse: actividad de instancia de Honeypot | Identifica las actividades en una instancia predefinida de Honeypot Dataverse. Alertas cuando se detecta un inicio de sesión en Honeypot o cuando se accede a las tablas de Dataverse supervisadas en Honeypot. |
Inicie sesión y acceda a los datos en una instancia designada de Honeypot Dataverse en Power Platform con la auditoría habilitada. Orígenes de datos: - Dataverse DataverseActivity |
Detección, filtración |
| Dataverse: inicio de sesión por parte de un usuario con privilegios confidenciales | Identifica los inicios de sesión de Dataverse y Dynamics 365 por parte de usuarios confidenciales. | Los usuarios agregaron el inicio de sesión en la lista de reproducción VIPUsers en función de las etiquetas establecidas en KQL. Orígenes de datos: - Dataverse DataverseActivity |
InitialAccess, CredentialAccess, PrivilegeEscalation |
| Dataverse: inicio de sesión desde IP en la lista de bloques | Identifica la actividad de inicio de sesión de Dataverse a partir de direcciones IPv4 que se encuentran en una lista de bloques predefinida. | Inicie sesión por un usuario con una dirección IP que forme parte de un intervalo de red bloqueado. Los intervalos de red bloqueados se mantienen en la plantilla de lista de seguimiento NetworkAddresses . Orígenes de datos: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse: inicio de sesión desde IP que no está en la lista de permitidos | Identifica los inicios de sesión de direcciones IPv4 que no coinciden con las subredes IPv4 mantenidas en una lista de permitidos. | Inicie sesión por un usuario con una dirección IP que no forme parte de un intervalo de red permitido. Los intervalos de red bloqueados se mantienen en la plantilla de lista de seguimiento NetworkAddresses . Orígenes de datos: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse: malware encontrado en el sitio de administración de documentos de SharePoint | Identifica el malware cargado a través de Dynamics 365 administración de documentos o directamente en SharePoint, lo que afecta a los sitios de SharePoint asociados a Dataverse. | Archivo malintencionado en el sitio de SharePoint vinculado a Dataverse. Orígenes de datos: - Dataverse DataverseActivity- Office365 OfficeActivity (SharePoint) |
Ejecución |
| Dataverse: eliminación masiva de registros | Identifica las operaciones de eliminación de registros a gran escala en función de un umbral predefinido. También detecta trabajos de eliminación masiva programados. |
Eliminación de registros que superan el umbral definido en KQL. Orígenes de datos: - Dataverse DataverseActivity |
Impacto |
| Dataverse: descarga masiva de la administración de documentos de SharePoint | Identifica la descarga masiva en la última hora de archivos de sitios de SharePoint configurados para la administración de documentos en Dynamics 365. | Descarga masiva que supera el umbral definido en KQL. Esta regla de análisis usa la lista de reproducción MSBizApps-Configuration para identificar los sitios de SharePoint que se usan para la administración de documentos. Orígenes de datos: - Office365 OfficeActivity (SharePoint) |
Filtración |
| Dataverse: exportación masiva de registros a Excel | Identifica a los usuarios que exportan un gran número de registros de Dynamics 365 a Excel, donde el número de registros exportados es significativamente mayor que cualquier otra actividad reciente de ese usuario. Las exportaciones grandes de usuarios sin actividad reciente se identifican mediante un umbral predefinido. |
Exporte muchos registros de Dataverse a Excel. Orígenes de datos: - Dataverse DataverseActivity |
Filtración |
| Dataverse: actualizaciones de registros masivos | Detecta cambios de actualización de registros masivos en Dataverse y Dynamics 365, superando un umbral predefinido. | La actualización masiva de registros supera el umbral definido en KQL. Orígenes de datos: - Dataverse DataverseActivity |
Impacto |
| Dataverse: nuevo tipo de actividad de usuario de la aplicación Dataverse | Identifica los tipos de actividad nuevos o no visualizados anteriormente asociados a un usuario de aplicación de Dataverse (no interactivo). | Nuevos tipos de actividad de usuario de S2S. Orígenes de datos: - Dataverse DataverseActivity |
CredentialAccess, Execution, PrivilegeEscalation |
| Dataverse: nueva identidad no interactiva con acceso concedido | Identifica las concesiones de acceso a nivel de API, ya sea a través de los permisos delegados de una aplicación Microsoft Entra o mediante la asignación directa en Dataverse como usuario de la aplicación. | Permisos de dataverse agregados al usuario no interactivo. Orígenes de datos: - Dataverse DataverseActivity,- AzureActiveDirectory AuditLogs |
Persistencia, LateralMovement, PrivilegeEscalation |
| Dataverse: nuevo inicio de sesión desde un dominio no autorizado | Identifica la actividad de inicio de sesión de Dataverse que se origina en usuarios con sufijos UPN que no se han visto anteriormente en los últimos 14 días y que no están presentes en una lista predefinida de dominios autorizados. Los usuarios internos comunes del sistema de Power Platform se excluyen de forma predeterminada. |
Inicio de sesión por parte de un usuario externo desde un sufijo de dominio no autorizado. Orígenes de datos: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse: nuevo tipo de agente de usuario que no se usó antes | Identifica a los usuarios que acceden a Dataverse desde un agente de usuario que no se ha visto en ninguna instancia de Dataverse en los últimos 14 días. | Actividad en Dataverse desde un nuevo agente de usuario. Orígenes de datos: - Dataverse DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse: nuevo tipo de agente de usuario que no se usó con Office 365 | Identifica a los usuarios que acceden a Dynamics con un agente de usuario que no se ha visto en ninguna carga de trabajo de Office 365 en los últimos 14 días. | Actividad en Dataverse desde un nuevo agente de usuario. Orígenes de datos: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse: configuración de la organización modificada | Identifica los cambios realizados en el nivel de organización en el entorno de Dataverse. | Propiedad de nivel de organización modificada en Dataverse. Orígenes de datos: - Dataverse DataverseActivity |
Persistencia |
| Dataverse: eliminación de extensiones de archivo bloqueadas | Identifica las modificaciones en las extensiones de archivo bloqueadas de un entorno y extrae la extensión eliminada. | Eliminación de extensiones de archivo bloqueadas en las propiedades de Dataverse. Orígenes de datos: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse: sitio de administración de documentos de SharePoint agregado o actualizado | Identifica las modificaciones de la integración de administración de documentos de SharePoint. La administración de documentos permite el almacenamiento de datos ubicados externamente en Dataverse. Combine esta regla de análisis con el cuaderno de estrategias Dataverse: Add SharePoint sites to watchlist para actualizar automáticamente la lista de reproducción Dataverse-SharePointSites . Esta lista de seguimiento se puede usar para correlacionar eventos entre Dataverse y SharePoint cuando se usa el conector de datos Office 365. |
Asignación de sitio de SharePoint agregada en Administración de documentos. Orígenes de datos: - Dataverse DataverseActivity |
Filtración |
| Dataverse: modificaciones sospechosas del rol de seguridad | Identifica un patrón inusual de eventos por el que se crea un nuevo rol, seguido del creador que agrega miembros al rol y, posteriormente, quita el miembro o elimina el rol después de un breve período de tiempo. | Cambios en roles de seguridad y asignaciones de roles. Orígenes de datos: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse: uso sospechoso del punto de conexión de TDS | Identifica consultas basadas en protocolos de TDS de dataverse (datos tabulares Stream), donde el usuario de origen o la dirección IP tienen alertas de seguridad recientes y el protocolo TDS no se ha usado anteriormente en el entorno de destino. | Uso repentino del punto de conexión de TDS en correlación con las alertas de seguridad. Orígenes de datos: - Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
Filtración, InitialAccess |
| Dataverse: uso sospechoso de web API | Identifica los inicios de sesión en varios entornos de Dataverse que infringen un umbral predefinido y se originan en un usuario con una dirección IP que se usó para iniciar sesión en un registro conocido de Microsoft Entra aplicación. | Inicie sesión con WebAPI en varios entornos mediante un identificador de aplicación público conocido. Orígenes de datos: - Dataverse DataverseActivity- AzureActiveDirectory SigninLogs |
Ejecución, filtración, reconocimiento, detección |
| Dataverse: ip de asignación de TI a DataverseActivity | Identifica una coincidencia en DataverseActivity desde cualquier IOC de IP de Microsoft Sentinel Threat Intelligence. | Actividad de dataverse con IOC de coincidencia de IP. Orígenes de datos: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, LateralMovement, Discovery |
| Dataverse: dirección URL de asignación de TI a DataverseActivity | Identifica una coincidencia en DataverseActivity desde cualquier IOC de dirección URL de Microsoft Sentinel Threat Intelligence. | Actividad de dataverse con IOC de coincidencia de direcciones URL. Orígenes de datos: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, Execution, Persistence |
| Dataverse: filtración de empleados terminadas por correo electrónico | Identifica la filtración de Dataverse por correo electrónico por parte de los empleados terminados. | Los correos electrónicos enviados a dominios de destinatarios que no son de confianza después de las alertas de seguridad correlacionadas con los usuarios en la lista de reproducción TerminatedEmployees . Orígenes de datos: MicrosoftThreatProtection EmailEventsIdentityInfo- AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
Filtración |
| Dataverse: filtración de empleados terminada a una unidad USB | Identifica los archivos descargados de Dataverse si los empleados se marchan o finalizan, y se copian en unidades montadas en USB. | Files que se origina en Dataverse copiado a USB por un usuario en la lista de reproducción TerminatedEmployees. Orígenes de datos: - Dataverse DataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Filtración |
| Dataverse: inicio de sesión inusual después de la protección de enlace de cookies basada en direcciones IP deshabilitadas | Identifica la dirección IP y los agentes de usuario que no se han mostrado previamente en una instancia de Dataverse después de deshabilitar la protección de enlace de cookies. Para obtener más información, consulte Protección de sesiones de Dataverse con enlace de cookies IP. |
Nueva actividad de inicio de sesión. Orígenes de datos: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse: recuperación masiva del usuario fuera de la actividad normal | Identifica a los usuarios que recuperan significativamente más registros de Dataverse que en las últimas dos semanas. | El usuario recupera muchos registros de Dataverse e incluye el umbral definido por KQL. Orígenes de datos: - Dataverse DataverseActivity |
Filtración |
Reglas de Power Apps
| Nombre de regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| Power Apps: actividad de la aplicación desde una ubicación geográfica no autorizada | Identifica la actividad de Power Apps de regiones geográficas en una lista predefinida de regiones geográficas no autorizadas. Esta detección obtiene la lista de códigos de país ISO 3166-1 alfa-2 de iso plataforma de navegación en línea (OBP). Esta detección usa los registros ingeridos de Microsoft Entra ID y requiere que también habilite el conector de datos Microsoft Entra ID. |
Ejecute una actividad en una aplicación power desde una región geográfica que se encuentra en la lista de códigos de país no autorizado. Orígenes de datos: - Actividad de Administración de Microsoft Power Platform PowerPlatformAdminActivity- Microsoft Entra ID SigninLogs |
Acceso inicial |
| Power Apps: varias aplicaciones eliminadas | Identifica la actividad de eliminación masiva donde se eliminan varias aplicaciones de Power Apps, que coinciden con un umbral predefinido del total de aplicaciones eliminadas o eventos eliminados de aplicaciones en varios entornos de Power Platform. | Elimine muchas aplicaciones de Power Apps del Centro de administración de Power Platform. Orígenes de datos: - Actividad de Administración de Microsoft Power Platform PowerPlatformAdminActivity |
Impacto |
| Power Apps: varios usuarios que acceden a un vínculo malintencionado después de iniciar una nueva aplicación | Identifica una cadena de eventos cuando se crea una nueva aplicación power y va seguida de estos eventos: - Varios usuarios inician la aplicación dentro de la ventana de detección. - Varios usuarios abren la misma dirección URL malintencionada. Esta detección correlaciona los registros de ejecución de Power Apps con eventos de selección de direcciones URL malintencionados de cualquiera de los orígenes siguientes: - El conector de datos de Microsoft 365 Defender o - Indicadores de url malintencionadas de peligro (IOC) en Microsoft Sentinel Inteligencia sobre amenazas con el analizador de normalización de sesión web del modelo de información de seguridad avanzada (ASIM). Esta detección obtiene el número distinto de usuarios que inician o seleccionan el vínculo malintencionado mediante la creación de una consulta. |
Varios usuarios inician una nueva PowerApp y abren una dirección URL malintencionada conocida desde la aplicación. Orígenes de datos: - Actividad de Administración de Microsoft Power Platform PowerPlatformAdminActivity- Inteligencia sobre amenazas ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
Acceso inicial |
| Power Apps: uso compartido masivo de Power Apps para usuarios invitados recién creados | Identifica el uso compartido masivo inusual de Power Apps con los usuarios invitados recién creados Microsoft Entra. El uso compartido masivo inusual se basa en un umbral predefinido en la consulta. | Comparta una aplicación con varios usuarios externos. Orígenes de datos: - Actividad de Administración de Microsoft Power Platform PowerPlatformAdminActivity- Microsoft Entra IDAuditLogs |
Desarrollo de recursos, Acceso inicial, Movimiento lateral |
Reglas de Power Automate
| Nombre de regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| Power Automate: actividad de flujo de empleados salientes | Identifica las instancias en las que un empleado al que se ha notificado o ya ha terminado y está en la lista de seguimiento Empleados terminados , crea o modifica un flujo de Power Automate. | El usuario definido en la lista de reproducción TerminatedEmployees crea o actualiza un flujo de Power Automate. Orígenes de datos: Microsoft Power Automate PowerAutomateActivityLista de reproducción de TerminatedEmployees |
Filtración, impacto |
| Power Automate: eliminación masiva inusual de recursos de flujo | Identifica la eliminación masiva de flujos de Power Automate que superan un umbral predefinido definido en la consulta y se desvía de los patrones de actividad observados en los últimos 14 días. | Eliminación masiva de flujos de Power Automate. Orígenes de datos: - PowerAutomate PowerAutomateActivity |
Impacto, Evasión de defensa |
Reglas de Power Platform
| Nombre de regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| Power Platform: conector agregado a un entorno confidencial | Identifica la creación de nuevos conectores de API en Power Platform, específicamente destinados a una lista predefinida de entornos confidenciales. | Agregue un nuevo conector de Power Platform en un entorno de Power Platform confidencial. Orígenes de datos: - Actividad de Administración de Microsoft Power Platform PowerPlatformAdminActivity |
Ejecución, filtración |
| Power Platform: directiva DLP actualizada o eliminada | Identifica los cambios en la directiva de prevención de pérdida de datos, en concreto las directivas que se actualizan o quitan. | Actualice o quite una directiva de prevención de pérdida de datos de Power Platform en el entorno de Power Platform. Orígenes de datos: Actividad de Administración de Microsoft Power Platform PowerPlatformAdminActivity |
Evasión de defensa |
| Power Platform: es posible que un usuario en peligro acceda a los servicios de Power Platform | Identifica las cuentas de usuario marcadas en riesgo en Microsoft Entra ID Protection y correlaciona estos usuarios con la actividad de inicio de sesión en Power Platform, incluidos Power Apps, Power Automate y power platform Administración Center. | El usuario con señales de riesgo accede a los portales de Power Platform. Orígenes de datos: - Microsoft Entra ID SigninLogs |
Acceso inicial, movimiento lateral |
| Power Platform: cuenta agregada a roles de Microsoft Entra con privilegios | Identifica los cambios en los siguientes roles de directorio con privilegios que afectan a Power Platform: - Dynamics 365 Admins- Power Platform Admins- Fabric Admins |
Orígenes de datos: AzureActiveDirectory AuditLogs |
PrivilegeEscalation |
Consultas de búsqueda
La solución incluye consultas de búsqueda que pueden usar los analistas para buscar proactivamente actividades malintencionadas o sospechosas en los entornos de Dynamics 365 y Power Platform.
| Nombre de regla | Descripción | Origen de datos | Tácticas |
|---|---|---|---|
| Dataverse: actividad después de Microsoft Entra alertas | Esta consulta de búsqueda busca usuarios que realicen la actividad Dataverse/Dynamics 365 poco después de una alerta de protección de Microsoft Entra ID para ese usuario. La consulta solo busca usuarios que no se hayan visto antes o que realicen una actividad de Dynamics que no se haya visto previamente. |
- Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
InitialAccess |
| Dataverse: actividad después de inicios de sesión con errores | Esta consulta de búsqueda busca usuarios que realizan la actividad Dataverse/Dynamics 365 poco después de muchos inicios de sesión con errores. Use esta consulta para buscar posibles actividades posteriores a la fuerza bruta. Ajuste la cifra de umbral en función de la tasa de falsos positivos. |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
InitialAccess |
| Dataverse: actividad de exportación de datos entre entornos | Busca la actividad de exportación de datos en un número predeterminado de instancias de Dataverse. La actividad de exportación de datos en varios entornos podría indicar actividad sospechosa, ya que los usuarios suelen trabajar solo en algunos entornos. |
- DataverseDataverseActivity |
Filtración, Colección |
| Dataverse: exportación de Dataverse copiada en dispositivos USB | Usa datos de Microsoft Defender XDR para detectar archivos descargados de una instancia de Dataverse y copiados en una unidad USB. | - DataverseDataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Filtración |
| Dataverse: aplicación cliente genérica que se usa para acceder a entornos de producción | Detecta el uso de la "aplicación de ejemplo de Dynamics 365" integrada para acceder a los entornos de producción. Esta aplicación genérica no se puede restringir mediante Microsoft Entra ID controles de autorización y se puede abusar para obtener acceso no autorizado a través de la API web. |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
Ejecución |
| Dataverse: actividad de administración de identidades fuera de la pertenencia a roles de directorio con privilegios | Detecta eventos de administración de identidades en Dataverse/Dynamics 365 realizados por cuentas que no son miembros de los siguientes roles de directorio con privilegios: administradores de Dynamics 365, administradores de Power Platform o administradores globales | - DataverseDataverseActivity- UEBA IdentityInfo |
PrivilegeEscalation |
| Dataverse: cambios en la administración de identidades sin MFA | Se usa para mostrar las operaciones de administración de identidades con privilegios en Dataverse realizadas por cuentas que iniciaron sesión sin usar MFA. | - DataverseDataverseActivity- AzureActiveDirectory SigninLogs, DataverseActivity |
InitialAccess |
| Power Apps: uso compartido masivo anómalo de Power App para los usuarios invitados recién creados | La consulta detecta intentos anómalo de realizar el uso compartido masivo de una aplicación power a los usuarios invitados recién creados. |
Orígenes de datos: PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess, LateralMovement, ResourceDevelopment |
Cuadernos de estrategias
Esta solución contiene cuadernos de estrategias que se pueden usar para automatizar la respuesta de seguridad a incidentes y alertas en Microsoft Sentinel.
| Nombre del cuaderno de estrategias | Description |
|---|---|
| Flujo de trabajo de seguridad: comprobación de alertas con propietarios de cargas de trabajo | Este cuaderno de estrategias puede reducir la carga en el SOC mediante la descarga de la comprobación de alertas a los administradores de TI para reglas de análisis específicas. Se desencadena cuando se genera una alerta de Microsoft Sentinel, crea un mensaje (y un correo electrónico de notificación asociado) en el canal de Microsoft Teams del propietario de la carga de trabajo que contiene detalles de la alerta. Si el propietario de la carga de trabajo responde que la actividad no está autorizada, la alerta se convertirá en un incidente en Microsoft Sentinel para que el SOC lo controle. |
| Dataverse: Envío de una notificación al administrador | Este cuaderno de estrategias se puede desencadenar cuando se genera un incidente de Microsoft Sentinel y enviará automáticamente una notificación por correo electrónico al administrador de las entidades de usuario afectadas. El cuaderno de estrategias se puede configurar para enviarlo al administrador de Dynamics 365 o mediante el administrador en Office 365. |
| Dataverse: Agregar usuario a la lista de bloqueos (desencadenador de incidentes) | Este cuaderno de estrategias se puede desencadenar cuando se genera un incidente de Microsoft Sentinel y agregará automáticamente entidades de usuario afectadas a un grupo de Microsoft Entra predefinido, lo que da lugar a un acceso bloqueado. El grupo de Microsoft Entra se usa con acceso condicional para bloquear el inicio de sesión en Dataverse. |
| Dataverse: Agregar usuario a la lista de bloqueos mediante el flujo de trabajo de aprobación de Outlook | Este cuaderno de estrategias se puede desencadenar cuando se genera un incidente de Microsoft Sentinel y agregará automáticamente entidades de usuario afectadas a un grupo de Microsoft Entra predefinido, mediante un flujo de trabajo de aprobación basado en Outlook, lo que da lugar a un acceso bloqueado. El grupo de Microsoft Entra se usa con acceso condicional para bloquear el inicio de sesión en Dataverse. |
| Dataverse: Agregar usuario a la lista de bloqueos mediante el flujo de trabajo de aprobación de Teams | Este cuaderno de estrategias se puede desencadenar cuando se genera un incidente de Microsoft Sentinel y agregará automáticamente entidades de usuario afectadas a un grupo de Microsoft Entra predefinido, mediante un flujo de trabajo de aprobación de tarjeta adaptable de Teams, lo que da lugar a un acceso bloqueado. El grupo de Microsoft Entra se usa con acceso condicional para bloquear el inicio de sesión en Dataverse. |
| Dataverse: Agregar usuario a la lista de bloqueos (desencadenador de alertas) | Este cuaderno de estrategias se puede desencadenar a petición cuando se genera una alerta de Microsoft Sentinel, lo que permite al analista agregar entidades de usuario afectadas a un grupo de Microsoft Entra predefinido, lo que da lugar a un acceso bloqueado. El grupo de Microsoft Entra se usa con acceso condicional para bloquear el inicio de sesión en Dataverse. |
| Dataverse: eliminación del usuario de la lista de bloques | Este cuaderno de estrategias se puede desencadenar a petición cuando se genera una alerta de Microsoft Sentinel, lo que permite al analista quitar las entidades de usuario afectadas de un grupo de Microsoft Entra predefinido que se usa para bloquear el acceso. El grupo de Microsoft Entra se usa con acceso condicional para bloquear el inicio de sesión en Dataverse. |
| Dataverse: Agregar sitios de SharePoint a la lista de reproducción | Este cuaderno de estrategias se usa para agregar sitios de administración de documentos de SharePoint nuevos o actualizados a la lista de seguimiento de configuración. Cuando se combina con una regla de análisis programada que supervisa el registro de actividad de Dataverse, este cuaderno de estrategias se desencadenará cuando se agregue una nueva asignación de sitios de administración de documentos de SharePoint. El sitio se agregará a una lista de seguimiento para ampliar la cobertura de supervisión. |
Libros
Microsoft Sentinel libros son paneles interactivos personalizables dentro de Microsoft Sentinel que facilitan la visualización, el análisis y la investigación eficaces de los analistas de los datos de seguridad. Esta solución incluye el libro actividad de Dynamics 365, que presenta una representación visual de la actividad en Microsoft Dynamics 365 Customer Engagement/Dataverse, incluidas las estadísticas de recuperación de registros y un gráfico de anomalías.
Listas de reproducción
Esta solución incluye la lista de reproducción MSBizApps-Configuration y requiere que los usuarios creen listas de reproducción adicionales basadas en las siguientes plantillas de lista de seguimiento:
- VIPUsers
- NetworkAddresses
- TerminatedEmployees
Para obtener más información, vea Listas de reproducción en Microsoft Sentinel y Crear listas de reproducción.
Analizadores integrados
La solución incluye analizadores que se usan para acceder a los datos de las tablas de datos sin procesar. Los analizadores garantizan que los datos correctos se devuelven con un esquema coherente. Se recomienda usar los analizadores en lugar de consultar directamente las listas de reproducción.
| Analizador | especificado | Tabla consultada |
|---|---|---|
| MSBizAppsOrgSettings | Lista de la configuración disponible para toda la organización disponible en Dynamics 365 Customer Engagement/Dataverse | No aplicable |
| MSBizAppsVIPUsers | Analizador para la lista de reproducción VIPUsers |
VIPUsers desde la plantilla de lista de reproducción |
| MSBizAppsNetworkAddresses | Analizador de la lista de reproducción NetworkAddresses |
NetworkAddresses desde la plantilla de lista de reproducción |
| MSBizAppsTerminatedEmployees | Analizador de la lista de reproducción TerminatedEmployees |
TerminatedEmployees desde la plantilla de lista de reproducción |
| DataverseSharePointSites | Sitios de SharePoint usados en Dataverse Document Management |
MSBizApps-Configuration lista de reproducción filtrada por la categoría "SharePoint" |
Para obtener más información sobre las reglas analíticas, consulte Detección de amenazas de forma inmediata.