Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive in dettaglio il contenuto di sicurezza disponibile per la soluzione Microsoft Sentinel per Power Platform. Per altre informazioni su questa soluzione, vedere Microsoft Sentinel soluzione per Microsoft Power Platform e Microsoft Dynamics 365 panoramica di Customer Engagement.
Regole di analisi predefinite
Quando si installa la soluzione per Power Platform, vengono incluse le regole di analisi seguenti. Le origini dati elencate includono il nome e la tabella del connettore dati in Log Analytics.
Regole dataverse
| Nome regola | Descrizione | Azione di origine | Tattiche |
|---|---|---|---|
| Dataverse - Attività utente anomala dell'applicazione | Identifica le anomalie nei modelli di attività degli utenti dell'applicazione Dataverse (non interattivi), in base all'attività che non rientra nel normale modello di utilizzo. | Attività utente S2S insolita in Dynamics 365/Dataverse. Origini dati: - Dataverse DataverseActivity |
CredentialAccess, Execution, Persistence |
| Dataverse - Controllare l'eliminazione dei dati del log | Identifica l'attività di eliminazione dei dati del log di controllo in Dataverse. | Eliminazione dei log di controllo di Dataverse. Origini dati: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse - Registrazione di controllo disabilitata | Identifica una modifica nella configurazione di controllo del sistema in cui la registrazione di controllo è disattivata. | Controllo globale o a livello di entità disabilitato. Origini dati: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse - Riassgnazione o condivisione della proprietà dei record in blocco | Identifica le modifiche nella proprietà dei singoli record, tra cui: - Registrare la condivisione con altri utenti/team - Riassegnazioni di proprietà che superano una soglia predefinita. |
Molti eventi di proprietà e condivisione dei record generati all'interno della finestra di rilevamento. Origini dati: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse - Eseguibile caricato nel sito di gestione documenti di SharePoint | Identifica i file eseguibili e gli script caricati nei siti di SharePoint usati per la gestione dei documenti di Dynamics, aggirando le restrizioni di estensione dei file native in Dataverse. | Caricamento di file eseguibili nella gestione dei documenti dataverse. Origini dati: - Office365 OfficeActivity (SharePoint) |
Esecuzione, persistenza |
| Dataverse - Esportare l'attività da un dipendente terminato o informato | Identifica l'attività di esportazione dataverse attivata da dipendenti terminati o dipendenti che sta per lasciare l'organizzazione. | Eventi di esportazione dei dati associati agli utenti nel modello TerminateEmployees watchlist. Origini dati: - Dataverse DataverseActivity |
Sottrazione di dati |
| Dataverse - Esfiltrazione utente guest in seguito a problemi di difesa di Power Platform | Identifica una catena di eventi che iniziano con la disabilitazione dell'isolamento del tenant di Power Platform e la rimozione del gruppo di sicurezza di accesso di un ambiente. Questi eventi sono correlati agli avvisi di esfiltrazione dataverse associati all'ambiente interessato e creati di recente Microsoft Entra utenti guest. Attivare altre regole di analisi di Dataverse con la tattica MITRE esfiltrazione prima di abilitare questa regola. |
Come utente guest creato di recente, attivare gli avvisi di esfiltrazione dataverse dopo che i controlli di sicurezza di Power Platform sono stati disabilitati. Origini dati: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity |
Evasione delle difese |
| Dataverse - Manipolazione della sicurezza della gerarchia | Identifica i comportamenti sospetti nella sicurezza della gerarchia. | Modifiche alle proprietà di sicurezza, tra cui: - Sicurezza della gerarchia disabilitata. - L'utente si assegna come manager. - L'utente si assegna a una posizione monitorata (impostata in KQL). Origini dati: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse - Attività dell'istanza di Honeypot | Identifica le attività in un'istanza predefinita di Honeypot Dataverse. Avvisi quando viene rilevato un accesso a Honeypot o quando si accede alle tabelle Dataverse monitorate in Honeypot. |
Accedere e accedere ai dati in un'istanza di Honeypot Dataverse designata in Power Platform con il controllo abilitato. Origini dati: - Dataverse DataverseActivity |
Individuazione, esfiltrazione |
| Dataverse - Accesso da parte di un utente con privilegi sensibili | Identifica gli accessi dataverse e Dynamics 365 da parte degli utenti sensibili. | Accesso da parte degli utenti aggiunti nell'elenco di controllo VIPUsers in base ai tag impostati in KQL. Origini dati: - Dataverse DataverseActivity |
InitialAccess, CredentialAccess, PrivilegeEscalation |
| Dataverse - Accesso da IP nell'elenco dei blocchi | Identifica l'attività di accesso dataverse da indirizzi IPv4 che si trovano in un elenco di blocchi predefinito. | Accesso da parte di un utente con un indirizzo IP che fa parte di un intervallo di rete bloccato. Gli intervalli di rete bloccati vengono mantenuti nel modello watchlist NetworkAddresses . Origini dati: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse - Accesso da IP non incluso nell'elenco consentiti | Identifica gli accessi da indirizzi IPv4 che non corrispondono alle subnet IPv4 mantenute in un elenco di indirizzi consentiti. | Accesso da parte di un utente con un indirizzo IP che non fa parte di un intervallo di rete consentito. Gli intervalli di rete bloccati vengono mantenuti nel modello watchlist NetworkAddresses . Origini dati: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse - Malware trovato nel sito di gestione dei documenti di SharePoint | Identifica il malware caricato tramite Dynamics 365 gestione dei documenti o direttamente in SharePoint, interessando i siti di SharePoint associati a Dataverse. | File dannoso nel sito di SharePoint collegato a Dataverse. Origini dati: - Dataverse DataverseActivity- Office365 OfficeActivity (SharePoint) |
Esecuzione |
| Dataverse - Eliminazione di massa dei record | Identifica le operazioni di eliminazione di record su larga scala in base a una soglia predefinita. Rileva anche i processi di eliminazione bulk pianificati. |
Eliminazione di record che superano la soglia definita in KQL. Origini dati: - Dataverse DataverseActivity |
Impatto |
| Dataverse - Download in massa dalla gestione dei documenti di SharePoint | Identifica il download di massa nell'ultima ora di file dai siti di SharePoint configurati per la gestione dei documenti in Dynamics 365. | Download di massa che supera la soglia definita in KQL. Questa regola di analisi usa l'elenco di controllo MSBizApps-Configuration per identificare i siti di SharePoint usati per la gestione dei documenti. Origini dati: - Office365 OfficeActivity (SharePoint) |
Sottrazione di dati |
| Dataverse - Esportazione di massa di record in Excel | Identifica gli utenti che esportano un numero elevato di record da Dynamics 365 in Excel, dove il numero di record esportati è notevolmente superiore rispetto a qualsiasi altra attività recente da parte dell'utente. Le esportazioni di grandi dimensioni da utenti senza attività recenti vengono identificate usando una soglia predefinita. |
Esportare molti record da Dataverse in Excel. Origini dati: - Dataverse DataverseActivity |
Sottrazione di dati |
| Dataverse - Aggiornamenti dei record di massa | Rileva le modifiche di aggiornamento dei record di massa in Dataverse e Dynamics 365, superando una soglia predefinita. | L'aggiornamento di massa dei record supera la soglia definita in KQL. Origini dati: - Dataverse DataverseActivity |
Impatto |
| Dataverse - Nuovo tipo di attività utente dell'applicazione Dataverse | Identifica i tipi di attività nuovi o non invisibile in precedenza associati a un utente dell'applicazione Dataverse (non interattivo). | Nuovi tipi di attività utente S2S. Origini dati: - Dataverse DataverseActivity |
CredentialAccess, Execution, PrivilegeEscalation |
| Dataverse - Nuova identità non interattiva a cui è stato concesso l'accesso | Identifica le concessioni di accesso a livello di API, tramite le autorizzazioni delegate di un'applicazione Microsoft Entra o tramite assegnazione diretta all'interno di Dataverse come utente dell'applicazione. | Autorizzazioni dataverse aggiunte all'utente non interattivo. Origini dati: - Dataverse DataverseActivity,- AzureActiveDirectory AuditLogs |
Persistenza, LateralMovement, PrivilegeEscalation |
| Dataverse - Nuovo accesso da un dominio non autorizzato | Identifica l'attività di accesso dataverse proveniente da utenti con suffissi UPN che non sono stati visualizzati in precedenza negli ultimi 14 giorni e non sono presenti in un elenco predefinito di domini autorizzati. Per impostazione predefinita, gli utenti comuni del sistema Power Platform interno vengono esclusi. |
Accesso da parte di un utente esterno da un suffisso di dominio non autorizzato. Origini dati: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse - Nuovo tipo di agente utente non usato prima | Identifica gli utenti che accedono a Dataverse da un agente utente che non è stato visualizzato in alcuna istanza di Dataverse negli ultimi 14 giorni. | Attività in Dataverse da un nuovo agente utente. Origini dati: - Dataverse DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse - Nuovo tipo di agente utente non usato con Office 365 | Identifica gli utenti che accedono a Dynamics con un agente utente che non è stato visto in alcun carico di lavoro Office 365 negli ultimi 14 giorni. | Attività in Dataverse da un nuovo agente utente. Origini dati: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse - Impostazioni dell'organizzazione modificate | Identifica le modifiche apportate a livello di organizzazione nell'ambiente Dataverse. | Proprietà a livello di organizzazione modificata in Dataverse. Origini dati: - Dataverse DataverseActivity |
Persistenza |
| Dataverse - Rimozione delle estensioni di file bloccate | Identifica le modifiche alle estensioni di file bloccate di un ambiente ed estrae l'estensione rimossa. | Rimozione delle estensioni di file bloccate nelle proprietà Dataverse. Origini dati: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse - Sito di gestione documenti di SharePoint aggiunto o aggiornato | Identifica le modifiche dell'integrazione della gestione dei documenti di SharePoint. La gestione dei documenti consente l'archiviazione dei dati che si trovano esternamente in Dataverse. Combinare questa regola di analisi con Dataverse: Aggiungere siti di SharePoint al playbook watchlist per aggiornare automaticamente l'elenco di controllo Dataverse-SharePointSites . Questa watchlist può essere usata per correlare gli eventi tra Dataverse e SharePoint quando si usa il connettore dati Office 365. |
Mapping del sito di SharePoint aggiunto in Gestione documenti. Origini dati: - Dataverse DataverseActivity |
Sottrazione di dati |
| Dataverse - Modifiche sospette al ruolo di sicurezza | Identifica un modello insolito di eventi per cui viene creato un nuovo ruolo, seguito dall'autore che aggiunge membri al ruolo e successivamente rimuove il membro o elimina il ruolo dopo un breve periodo di tempo. | Modifiche nei ruoli di sicurezza e nelle assegnazioni di ruolo. Origini dati: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse - Uso sospetto dell'endpoint TDS | Identifica le query basate su protocollo Dataverse TDS (Tabular Data Stream), in cui l'utente o l'indirizzo IP di origine dispone di avvisi di sicurezza recenti e il protocollo TDS non è stato usato in precedenza nell'ambiente di destinazione. | Uso improvviso dell'endpoint TDS in correlazione con gli avvisi di sicurezza. Origini dati: - Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
Esfiltrazione, InitialAccess |
| Dataverse - Uso sospetto dell'API Web | Identifica gli accessi in più ambienti Dataverse che violano una soglia predefinita e provengono da un utente con un indirizzo IP usato per accedere a una nota registrazione dell'app Microsoft Entra. | Accedere usando WebAPI in più ambienti usando un ID applicazione pubblico noto. Origini dati: - Dataverse DataverseActivity- AzureActiveDirectory SigninLogs |
Esecuzione, esfiltrazione, ricognizione, individuazione |
| Dataverse - TI esegue il mapping dell'IP a DataverseActivity | Identifica una corrispondenza in DataverseActivity da qualsiasi IOC IP da Microsoft Sentinel Threat Intelligence. | Attività dataverse con IOC di corrispondenza IP. Origini dati: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, LateralMovement, Discovery |
| Dataverse - L'URL del mapping TI a DataverseActivity | Identifica una corrispondenza in DataverseActivity da qualsiasi IOC URL da Microsoft Sentinel Threat Intelligence. | Attività dataverse con IOC corrispondente all'URL. Origini dati: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, Execution, Persistence |
| Dataverse - Esfiltrazione dei dipendenti terminata tramite posta elettronica | Identifica l'esfiltrazione dataverse tramite posta elettronica da parte dei dipendenti terminati. | Messaggi di posta elettronica inviati a domini destinatari non attendibili in seguito ad avvisi di sicurezza correlati agli utenti nell'elenco di controllo TerminatedEmployees . Origini dati: MicrosoftThreatProtection EmailEventsIdentityInfo- AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
Sottrazione di dati |
| Dataverse - Esfiltrazione dipendente terminata nell'unità USB | Identifica i file scaricati da Dataverse da dipendenti in partenza o terminati e vengono copiati in unità montate usb. | Files provenienti da Dataverse copiati su USB da un utente nell'elenco di controllo TerminatedEmployees. Origini dati: - Dataverse DataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Sottrazione di dati |
| Dataverse - Accesso insolito dopo la protezione dell'associazione di cookie basata su indirizzi IP disabilitata | Identifica gli agenti IP e utente invisibile in precedenza in un'istanza di Dataverse a seguito della disabilitazione della protezione dell'associazione di cookie. Per altre informazioni, vedere Protezione delle sessioni Dataverse con l'associazione di cookie IP. |
Nuova attività di accesso. Origini dati: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse - Recupero in blocco dell'utente al di fuori dell'attività normale | Identifica gli utenti che recuperano più record da Dataverse rispetto alle ultime due settimane. | L'utente recupera molti record da Dataverse e include la soglia definita KQL. Origini dati: - Dataverse DataverseActivity |
Sottrazione di dati |
Regole di Power Apps
| Nome regola | Descrizione | Azione di origine | Tattiche |
|---|---|---|---|
| Power Apps - Attività dell'app da aree geografiche non autorizzate | Identifica l'attività di Power Apps dalle aree geografiche in un elenco predefinito di aree geografiche non autorizzate. Questo rilevamento ottiene l'elenco dei codici paese ISO 3166-1 alpha-2 da ISO Online Browsing Platform (OBP).This detection gets the list of ISO 3166-1 alpha-2 country codes from ISO Online Browsing Platform (OBP). Questo rilevamento usa i log inseriti da Microsoft Entra ID e richiede anche l'abilitazione del connettore dati Microsoft Entra ID. |
Eseguire un'attività in un'app Power da un'area geografica presente nell'elenco di codici paese non autorizzati. Origini dati: - Attività di Amministrazione di Microsoft Power Platform PowerPlatformAdminActivity- Microsoft Entra ID SigninLogs |
Accesso iniziale |
| Power Apps - Più app eliminate | Identifica l'attività di eliminazione di massa in cui vengono eliminate più app power, corrispondenti a una soglia predefinita per gli eventi totali delle app eliminate o eliminate dall'app in più ambienti Power Platform. | Eliminare molte app Power Apps dall'interfaccia di amministrazione di Power Platform. Origini dati: - Attività di Amministrazione di Microsoft Power Platform PowerPlatformAdminActivity |
Impatto |
| Power Apps - Più utenti che accedono a un collegamento dannoso dopo l'avvio di una nuova app | Identifica una catena di eventi quando viene creata una nuova power app ed è seguita da questi eventi: - Più utenti avviano l'app all'interno della finestra di rilevamento. - Più utenti aprono lo stesso URL dannoso. Questo rilevamento correla i log di esecuzione di Power Apps con gli eventi di selezione degli URL dannosi da una delle origini seguenti: - Connettore dati di Microsoft 365 Defender o - Indicatori url dannosi di compromissione (IOC) in Microsoft Sentinel Threat Intelligence con il parser di normalizzazione della sessione Web Advanced Security Information Model (ASIM). Questo rilevamento ottiene il numero distinto di utenti che avviano o selezionano il collegamento dannoso creando una query. |
Più utenti avviano un nuovo PowerApp e aprono un URL dannoso noto dall'app. Origini dati: - Attività di Amministrazione di Microsoft Power Platform PowerPlatformAdminActivity- Intelligence sulle minacce ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
Accesso iniziale |
| Power Apps - Condivisione in blocco di Power Apps con gli utenti guest appena creati | Identifica la condivisione bulk insolita di Power Apps con gli utenti guest Microsoft Entra appena creati. La condivisione bulk insolita si basa su una soglia predefinita nella query. | Condividere un'app con più utenti esterni. Origini dati: - Attività di Amministrazione di Microsoft Power Platform PowerPlatformAdminActivity- Microsoft Entra IDAuditLogs |
Sviluppo risorse, Accesso iniziale, Movimento laterale |
Regole di Power Automate
| Nome regola | Descrizione | Azione di origine | Tattiche |
|---|---|---|---|
| Power Automate - Attività di flusso dei dipendenti in partenza | Identifica le istanze in cui un dipendente che ha subito una notifica o è già terminato e si trova nell'elenco di controllo Dipendenti terminati , crea o modifica un flusso di Power Automate. | L'utente definito nell'elenco di controllo TerminatedEmployees crea o aggiorna un flusso di Power Automate. Origini dati: Microsoft Power Automate PowerAutomateActivityTerminatedEmployees watchlist |
Esfiltrazione, impatto |
| Power Automate - Eliminazione bulk insolita delle risorse del flusso | Identifica l'eliminazione bulk dei flussi di Power Automate che superano una soglia predefinita definita nella query e si discostano dai modelli di attività osservati negli ultimi 14 giorni. | Eliminazione in blocco dei flussi di Power Automate. Origini dati: - PowerAutomate PowerAutomateActivity |
Impatto Evasione delle difese |
Regole di Power Platform
| Nome regola | Descrizione | Azione di origine | Tattiche |
|---|---|---|---|
| Power Platform - Connettore aggiunto a un ambiente sensibile | Identifica la creazione di nuovi connettori API all'interno di Power Platform, destinati in particolare a un elenco predefinito di ambienti sensibili. | Aggiungere un nuovo connettore Power Platform in un ambiente Power Platform sensibile. Origini dati: - Attività di Amministrazione di Microsoft Power Platform PowerPlatformAdminActivity |
Esecuzione, esfiltrazione |
| Power Platform - Criteri di prevenzione della perdita dei dati aggiornati o rimossi | Identifica le modifiche ai criteri di prevenzione della perdita dei dati, in particolare i criteri aggiornati o rimossi. | Aggiornare o rimuovere criteri di prevenzione della perdita di dati di Power Platform nell'ambiente Power Platform. Origini dati: Attività di Amministrazione di Microsoft Power Platform PowerPlatformAdminActivity |
Evasione delle difese |
| Power Platform - L'utente potenzialmente compromesso accede ai servizi di Power Platform | Identifica gli account utente contrassegnati a rischio in Microsoft Entra ID Protection e correla questi utenti con l'attività di accesso in Power Platform, tra cui Power Apps, Power Automate e Power Platform Amministrazione Center. | L'utente con segnali di rischio accede ai portali di Power Platform. Origini dati: - Microsoft Entra ID SigninLogs |
Accesso iniziale, spostamento laterale |
| Power Platform - Account aggiunto ai ruoli di Microsoft Entra con privilegi | Identifica le modifiche ai ruoli di directory con privilegi seguenti che influiscono su Power Platform: - Dynamics 365 Admins- Power Platform Admins- Fabric Admins |
Origini dati: AzureActiveDirectory AuditLogs |
PrivilegeEscalation |
Ricerca di query
La soluzione include la ricerca di query che possono essere usate dagli analisti per la ricerca proattiva di attività dannose o sospette negli ambienti Dynamics 365 e Power Platform.
| Nome regola | Descrizione | Origine dati | Tattiche |
|---|---|---|---|
| Dataverse - Attività dopo Microsoft Entra avvisi | Questa query di ricerca cerca gli utenti che eseguono attività Dataverse/Dynamics 365 poco dopo un avviso di protezione Microsoft Entra ID per l'utente. La query cerca solo gli utenti non visti prima o che eseguono attività dynamics non visualizzate in precedenza. |
- Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
InitialAccess |
| Dataverse - Attività dopo accessi non riusciti | Questa query di ricerca cerca gli utenti che eseguono attività Dataverse/Dynamics 365 poco dopo molti accessi non riusciti. Usare questa query per cercare potenziali attività post-forza bruta. Modificare la cifra di soglia in base alla frequenza dei falsi positivi. |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
InitialAccess |
| Dataverse - Attività di esportazione dei dati tra ambienti | Cerca l'attività di esportazione dei dati in un numero predeterminato di istanze dataverse. L'attività di esportazione dei dati in più ambienti potrebbe indicare attività sospette in quanto gli utenti in genere lavorano solo in alcuni ambienti. |
- DataverseDataverseActivity |
Esfiltrazione, raccolta |
| Dataverse - Esportazione dataverse copiata in dispositivi USB | Usa i dati di Microsoft Defender XDR per rilevare i file scaricati da un'istanza di Dataverse e copiati nell'unità USB. | - DataverseDataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Sottrazione di dati |
| Dataverse - App client generica usata per accedere agli ambienti di produzione | Rileva l'uso dell'applicazione predefinita "Dynamics 365 esempio" per accedere agli ambienti di produzione. Questa app generica non può essere limitata dai controlli di autorizzazione Microsoft Entra ID e può essere abusata per ottenere l'accesso non autorizzato tramite l'API Web. |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
Esecuzione |
| Dataverse - Attività di gestione delle identità al di fuori dell'appartenenza al ruolo della directory con privilegi | Rileva gli eventi di amministrazione delle identità in Dataverse/Dynamics 365 eseguiti dagli account whthatich non sono membri dei ruoli di directory con privilegi seguenti: Dynamics 365 Admins, Power Platform Admins o Global Admins | - DataverseDataverseActivity- UEBA IdentityInfo |
PrivilegeEscalation |
| Dataverse - Modifiche alla gestione delle identità senza MFA | Usato per visualizzare le operazioni di amministrazione delle identità con privilegi in Dataverse eseguite da account che hanno eseguito l'accesso senza usare MFA. | - DataverseDataverseActivity- AzureActiveDirectory SigninLogs, DataverseActivity |
InitialAccess |
| Power Apps - Condivisione in blocco anomala di Power App con gli utenti guest appena creati | La query rileva i tentativi anomali di eseguire la condivisione in blocco di un'app Power agli utenti guest appena creati. |
Origini dati: PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess, LateralMovement, ResourceDevelopment |
Playbook
Questa soluzione contiene playbook che possono essere usati per automatizzare la risposta alla sicurezza a eventi imprevisti e avvisi in Microsoft Sentinel.
| Nome playbook | Descrizione |
|---|---|
| Flusso di lavoro di sicurezza: verifica degli avvisi con i proprietari del carico di lavoro | Questo playbook può ridurre l'onere per il SOC scaricando la verifica degli avvisi agli amministratori IT per regole di analisi specifiche. Viene attivato quando viene generato un avviso di Microsoft Sentinel, crea un messaggio (e il messaggio di posta elettronica di notifica associato) nel canale Microsoft Teams del proprietario del carico di lavoro contenente i dettagli dell'avviso. Se il proprietario del carico di lavoro risponde che l'attività non è autorizzata, l'avviso verrà convertito in un evento imprevisto in Microsoft Sentinel da gestire per il SOC. |
| Dataverse: inviare una notifica al gestore | Questo playbook può essere attivato quando viene generato un evento imprevisto Microsoft Sentinel e invia automaticamente una notifica tramite posta elettronica al responsabile delle entità utente interessate. Il Playbook può essere configurato per l'invio al gestore Dynamics 365 o tramite il gestore in Office 365. |
| Dataverse: aggiungere l'utente all'elenco di blocchi (trigger evento imprevisto) | Questo playbook può essere attivato quando viene generato un evento imprevisto Microsoft Sentinel e aggiunge automaticamente entità utente interessate a un gruppo di Microsoft Entra predefinito, con conseguente accesso bloccato. Il gruppo Microsoft Entra viene usato con l'accesso condizionale per bloccare l'accesso a Dataverse. |
| Dataverse: aggiungere un utente all'elenco di blocchi usando il flusso di lavoro di approvazione di Outlook | Questo playbook può essere attivato quando viene generato un evento imprevisto Microsoft Sentinel e aggiunge automaticamente entità utente interessate a un gruppo di Microsoft Entra predefinito, usando un flusso di lavoro di approvazione basato su Outlook, con conseguente accesso bloccato. Il gruppo Microsoft Entra viene usato con l'accesso condizionale per bloccare l'accesso a Dataverse. |
| Dataverse: aggiungere un utente a un elenco di blocchi usando il flusso di lavoro di approvazione di Teams | Questo playbook può essere attivato quando viene generato un evento imprevisto di Microsoft Sentinel e aggiunge automaticamente entità utente interessate a un gruppo di Microsoft Entra predefinito, usando un flusso di lavoro di approvazione adattivo delle schede di Teams, con conseguente blocco dell'accesso. Il gruppo Microsoft Entra viene usato con l'accesso condizionale per bloccare l'accesso a Dataverse. |
| Dataverse: aggiungere l'utente all'elenco di blocchi (trigger di avviso) | Questo playbook può essere attivato su richiesta quando viene generato un avviso di Microsoft Sentinel, consentendo all'analista di aggiungere entità utente interessate a un gruppo di Microsoft Entra predefinito, con conseguente accesso bloccato. Il gruppo Microsoft Entra viene usato con l'accesso condizionale per bloccare l'accesso a Dataverse. |
| Dataverse: Rimuovere l'utente dall'elenco blocchi | Questo playbook può essere attivato su richiesta quando viene generato un avviso di Microsoft Sentinel, consentendo all'analista di rimuovere le entità utente interessate da un gruppo di Microsoft Entra predefinito usato per bloccare l'accesso. Il gruppo Microsoft Entra viene usato con l'accesso condizionale per bloccare l'accesso a Dataverse. |
| Dataverse: Aggiungere siti di SharePoint all'elenco di controllo | Questo playbook viene usato per aggiungere siti di gestione documenti di SharePoint nuovi o aggiornati all'elenco di controllo della configurazione. In combinazione con una regola di analisi pianificata che monitora il log attività Dataverse, questo Playbook verrà attivato quando viene aggiunto un nuovo mapping del sito di gestione documenti di SharePoint. Il sito verrà aggiunto a una watchlist per estendere la copertura di monitoraggio. |
Cartelle
Microsoft Sentinel cartelle di lavoro sono dashboard interattivi personalizzabili all'interno di Microsoft Sentinel che facilitano la visualizzazione, l'analisi e l'analisi efficienti dei dati di sicurezza degli analisti. Questa soluzione include la cartella di lavoro attività Dynamics 365, che presenta una rappresentazione visiva dell'attività in Microsoft Dynamics 365 Customer Engagement/Dataverse, incluse le statistiche di recupero dei record e un grafico delle anomalie.
Watchlist
Questa soluzione include l'elenco di controllo MSBizApps-Configuration e richiede agli utenti di creare elenchi di controllo aggiuntivi in base ai modelli watchlist seguenti:
- VIPUsers
- NetworkAddresses
- TerminatedEmployees
Per altre informazioni, vedere Watchlists in Microsoft Sentinel e Create watchlists.For more information, see Watchlists in Microsoft Sentinel and Create watchlists.
Parser predefiniti
La soluzione include parser usati per accedere ai dati dalle tabelle dati non elaborate. I parser assicurano che i dati corretti vengano restituiti con uno schema coerente. È consigliabile usare i parser invece di eseguire direttamente query sulle watchlist.
| Parser | Dati restituiti | Tabella sottoposta a query |
|---|---|---|
| MSBizAppsOrgSettings | Elenco delle impostazioni a livello di organizzazione disponibili in Dynamics 365 Customer Engagement/Dataverse | n/d |
| MSBizAppsVIPUsers | Parser per l'elenco di controllo VIPUsers |
VIPUsers dal modello watchlist |
| MSBizAppsNetworkAddresses | Parser per l'elenco di controllo NetworkAddresses |
NetworkAddresses dal modello watchlist |
| MSBizAppsTerminatedEmployees | Parser per l'elenco di controllo TerminatedEmployees |
TerminatedEmployees dal modello watchlist |
| DataverseSharePointSites | Siti di SharePoint usati in Dataverse Document Management |
MSBizApps-Configuration watchlist filtrato in base alla categoria 'SharePoint' |
Per altre informazioni sulle regole di analisi, vedere Rilevare le minacce predefinite.