Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo detalha os conteúdos de segurança disponíveis para a solução de Microsoft Sentinel para o Power Platform. Para obter mais informações sobre esta solução, veja Microsoft Sentinel solução para o Microsoft Power Platform e descrição geral do Microsoft Dynamics 365 Customer Engagement.
Regras de análise incorporadas
As seguintes regras analíticas são incluídas quando instala a solução para o Power Platform. As origens de dados listadas incluem o nome e a tabela do conector de dados no Log Analytics.
Regras do Dataverse
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| Dataverse - Atividade anómalo do utilizador da aplicação | Identifica anomalias nos padrões de atividade dos utilizadores da aplicação Dataverse (não interativo), com base na atividade que está fora do padrão normal de utilização. | Atividade de utilizador S2S invulgar no Dynamics 365/Dataverse. Origens de dados: - Dataverse DataverseActivity |
CredentialAccess, Execution, Persistence |
| Dataverse - Eliminação de dados de registo de auditoria | Identifica a atividade de eliminação de dados de registo de auditoria no Dataverse. | Eliminação de registos de auditoria do Dataverse. Origens de dados: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse – Registo de auditoria desativado | Identifica uma alteração na configuração de auditoria do sistema através da qual o registo de auditoria está desativado. | Auditoria global ou ao nível da entidade desativada. Origens de dados: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse – Atribuição ou partilha da propriedade do registo em massa | Identifica as alterações na propriedade dos registos individuais, incluindo: - Partilha de registos com outros utilizadores/equipas - Reatribuições de propriedade que excedem um limiar predefinido. |
Muitos registos de propriedade e eventos de partilha de registos gerados na janela de deteção. Origens de dados: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse - Executável carregado para o site de gestão de documentos do SharePoint | Identifica ficheiros executáveis e scripts que são carregados para sites do SharePoint utilizados para a gestão de documentos do Dynamics, contornando as restrições de extensões de ficheiros nativos no Dataverse. | Carregamento de ficheiros executáveis na gestão de documentos Dataverse. Origens de dados: - Office365 OfficeActivity (SharePoint) |
Execução, Persistência |
| Dataverse - Exportar atividade de colaborador terminado ou notificado | Identifica a atividade de exportação do Dataverse acionada por funcionários terminados ou funcionários prestes a abandonar a organização. | Eventos de exportação de dados associados a utilizadores no modelo de lista de observação TerminatedEmployees . Origens de dados: - Dataverse DataverseActivity |
Exfiltração |
| Dataverse - Exfiltração de utilizador convidado após imparidade de defesa do Power Platform | Identifica uma cadeia de eventos que começa com a desativação do isolamento de inquilinos do Power Platform e a remoção do grupo de segurança de acesso de um ambiente. Estes eventos estão correlacionados com os alertas de exfiltração do Dataverse associados ao ambiente afetado e criados recentemente Microsoft Entra utilizadores convidados. Ative outras regras de análise do Dataverse com a tática MITRE Exfiltration antes de ativar esta regra. |
Como utilizador convidado criado recentemente, acione alertas de transferência de dados inversos após a desativação dos controlos de segurança do Power Platform. Origens de dados: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity |
Evasão à Defesa |
| Dataverse - Manipulação de segurança de hierarquia | Identifica comportamentos suspeitos na segurança da hierarquia. | Alterações às propriedades de segurança, incluindo: - Segurança da hierarquia desativada. - O utilizador atribui-se como gestor. - O utilizador atribui-se a uma posição monitorizada (definida no KQL). Origens de dados: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse - Atividade da instância honeypot | Identifica atividades numa instância predefinida do Honeypot Dataverse. Alertas quando é detetado um início de sessão no Honeypot ou quando são acedidas tabelas Dataverse monitorizadas no Honeypot. |
Dados de início de sessão e acesso numa instância do Honeypot Dataverse designada no Power Platform com auditoria ativada. Origens de dados: - Dataverse DataverseActivity |
Deteção, Exfiltração |
| Dataverse - Iniciar sessão por um utilizador com privilégios confidenciais | Identifica o Dataverse e Dynamics 365 inícios de sessão por utilizadores confidenciais. | Início de sessão por utilizadores adicionado na lista de observação VIPUsers com base em etiquetas definidas no KQL. Origens de dados: - Dataverse DataverseActivity |
InitialAccess, CredentialAccess, PrivilegeEscalation |
| Dataverse – Iniciar sessão a partir do IP na lista de blocos | Identifica a atividade de início de sessão dataverse a partir de endereços IPv4 que estão numa lista de blocos predefinida. | Inicie sessão por um utilizador com um endereço IP que faça parte de um intervalo de rede bloqueado. Os intervalos de rede bloqueados são mantidos no modelo de lista de observação NetworkAddresses . Origens de dados: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse – o início de sessão a partir do IP não está na lista de permissões | Identifica inícios de sessão de endereços IPv4 que não correspondem a sub-redes IPv4 mantidas numa lista de permissões. | Inicie sessão por um utilizador com um endereço IP que não faça parte de um intervalo de rede permitido. Os intervalos de rede bloqueados são mantidos no modelo de lista de observação NetworkAddresses . Origens de dados: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse - Software maligno encontrado no site de gestão de documentos do SharePoint | Identifica software maligno carregado através de Dynamics 365 gestão de documentos ou diretamente no SharePoint, afetando sites do SharePoint associados ao Dataverse. | Ficheiro malicioso no site do SharePoint ligado ao Dataverse. Origens de dados: - Dataverse DataverseActivity- Office365 OfficeActivity (SharePoint) |
Execução |
| Dataverse - Eliminação em massa de registos | Identifica operações de eliminação de registos de grande escala com base num limiar predefinido. Também deteta tarefas de eliminação em massa agendadas. |
Eliminação de registos que excedam o limiar definido no KQL. Origens de dados: - Dataverse DataverseActivity |
Impacto |
| Dataverse - Transferência em massa a partir da gestão de documentos do SharePoint | Identifica a transferência em massa na última hora de ficheiros de sites do SharePoint configurados para gestão de documentos no Dynamics 365. | Transferência em massa que excede o limiar definido no KQL. Esta regra de análise utiliza a lista de observação MSBizApps-Configuration para identificar os sites do SharePoint utilizados para a Gestão de Documentos. Origens de dados: - Office365 OfficeActivity (SharePoint) |
Exfiltração |
| Dataverse - Exportação em massa de registos para o Excel | Identifica os utilizadores que exportam um grande número de registos de Dynamics 365 para o Excel, onde o número de registos exportados é significativamente mais do que qualquer outra atividade recente desse utilizador. As exportações grandes de utilizadores sem atividade recente são identificadas com um limiar predefinido. |
Exportar muitos registos do Dataverse para o Excel. Origens de dados: - Dataverse DataverseActivity |
Exfiltração |
| Dataverse - Atualizações de registos em massa | Deteta alterações de atualização de registos em massa em Dataverse e Dynamics 365, excedendo um limiar predefinido. | A atualização em massa dos registos excede o limiar definido no KQL. Origens de dados: - Dataverse DataverseActivity |
Impacto |
| Dataverse – Novo tipo de atividade de utilizador da aplicação Dataverse | Identifica tipos de atividade novos ou anteriormente invisíveis associados a um utilizador da aplicação Dataverse (não interativo). | Novos tipos de atividade de utilizador S2S. Origens de dados: - Dataverse DataverseActivity |
CredentialAccess, Execution, PrivilegeEscalation |
| Dataverse – novo acesso concedido à identidade não interativa | Identifica as concessões de acesso ao nível da API, quer através das permissões delegadas de uma aplicação Microsoft Entra, quer através da atribuição direta no Dataverse como utilizador da aplicação. | Permissões dataverse adicionadas a utilizadores não interativos. Origens de dados: - Dataverse DataverseActivity,- AzureActiveDirectory AuditLogs |
Persistência, LateralMovement, PrivilegeEscalation |
| Dataverse - Novo início de sessão a partir de um domínio não autorizado | Identifica a atividade de início de sessão dataverse proveniente de utilizadores com sufixos UPN que não foram vistos anteriormente nos últimos 14 dias e não estão presentes numa lista predefinida de domínios autorizados. Os utilizadores comuns do sistema interno do Power Platform são excluídos por predefinição. |
Iniciar sessão por utilizador externo a partir de um sufixo de domínio não autorizado. Origens de dados: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse - Novo tipo de agente de utilizador que não foi utilizado antes | Identifica os utilizadores que acedem ao Dataverse a partir de um Agente de Utilizador que não foi visto em nenhuma instância do Dataverse nos últimos 14 dias. | Atividade no Dataverse a partir de um novo agente de utilizador. Origens de dados: - Dataverse DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse - Novo tipo de agente de utilizador que não foi utilizado com Office 365 | Identifica os utilizadores que acedem ao Dynamics com um Agente de Utilizador que não foi visto em nenhuma Office 365 cargas de trabalho nos últimos 14 dias. | Atividade no Dataverse a partir de um novo agente de utilizador. Origens de dados: - Dataverse DataverseActivity |
InitialAccess |
| Dataverse - Definições da organização modificadas | Identifica as alterações efetuadas ao nível da organização no ambiente Dataverse. | Propriedade ao nível da organização modificada em Dataverse. Origens de dados: - Dataverse DataverseActivity |
Persistência |
| Dataverse - Remoção de extensões de ficheiros bloqueados | Identifica as modificações às extensões de ficheiro bloqueadas de um ambiente e extrai a extensão removida. | Remoção de extensões de ficheiro bloqueadas nas propriedades do Dataverse. Origens de dados: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse – site de gestão de documentos do SharePoint adicionado ou atualizado | Identifica as modificações da integração de gestão de documentos do SharePoint. A gestão de documentos permite o armazenamento de dados localizados externamente no Dataverse. Combine esta regra de análise com o manual de observação Dataverse: Add SharePoint sites to watchlist (Dataverse: Adicionar sites do SharePoint à lista de observação) para atualizar automaticamente a lista de observação Dataverse-SharePointSites . Esta lista de observação pode ser utilizada para correlacionar eventos entre o Dataverse e o SharePoint ao utilizar o conector de dados Office 365. |
Mapeamento de sites do SharePoint adicionado na Gestão de Documentos. Origens de dados: - Dataverse DataverseActivity |
Exfiltração |
| Dataverse – Modificações suspeitas da função de segurança | Identifica um padrão invulgar de eventos em que é criada uma nova função, seguido pelo criador que adiciona membros à função e, posteriormente, remove o membro ou elimina a função após um curto período de tempo. | Alterações nas funções de segurança e atribuições de funções. Origens de dados: - Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse – Utilização suspeita do ponto final do TDS | Identifica consultas baseadas em protocolos dataverse TDS (Tabular Data Stream), em que o utilizador de origem ou endereço IP tem alertas de segurança recentes e o protocolo TDS não foi utilizado anteriormente no ambiente de destino. | Utilização súbita do ponto final do TDS em correlação com alertas de segurança. Origens de dados: - Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
Exfiltration, InitialAccess |
| Dataverse – Utilização suspeita da API Web | Identifica inícios de sessão em vários ambientes dataverse que violam um limiar predefinido e têm origem num utilizador com um endereço IP que foi utilizado para iniciar sessão num registo de aplicações bem conhecido Microsoft Entra. | Inicie sessão com WebAPI em vários ambientes com um ID de aplicação pública bem conhecido. Origens de dados: - Dataverse DataverseActivity- AzureActiveDirectory SigninLogs |
Execução, Exfiltração, Reconhecimento, Deteção |
| Dataverse - IP do mapa TI para DataverseActivity | Identifica uma correspondência em DataverseActivity a partir de qualquer COI IP do Microsoft Sentinel Threat Intelligence. | Atividade dataverse com COI correspondente a IP. Origens de dados: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, LateralMovement, Discovery |
| Dataverse - URL do mapa ti para DataverseActivity | Identifica uma correspondência em DataverseActivity a partir de qualquer COI de URL do Microsoft Sentinel Threat Intelligence. | Atividade dataverse com O URL correspondente a COI. Origens de dados: - Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, Execution, Persistence |
| Dataverse – Exfiltração de funcionários terminados por e-mail | Identifica o Dataverse exfiltration por e-mail por funcionários terminados. | E-mails enviados para domínios de destinatários não fidedignos após alertas de segurança correlacionados com utilizadores na lista de observação TerminatedEmployees . Origens de dados: MicrosoftThreatProtection EmailEventsIdentityInfo- AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
Exfiltração |
| Dataverse – Exfiltração de funcionários terminada para pen USB | Identifica os ficheiros transferidos do Dataverse por funcionários com saída ou terminados e são copiados para unidades montadas USB. | Files com origem no Dataverse copiado para USB por um utilizador na lista de observação TerminatedEmployees. Origens de dados: - Dataverse DataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Exfiltração |
| Dataverse – início de sessão invulgar após a proteção de enlace de cookies baseada em endereços IP desativada | Identifica agentes de UTILIZADOR e IP não vistos anteriormente numa instância do Dataverse após a desativação da proteção de enlace de cookies. Para obter mais informações, veja Safeguarding Dataverse sessions with IP cookie binding (Salvaguardar sessões dataverse com enlace de cookies IP). |
Nova atividade de início de sessão. Origens de dados: - Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse - Obtenção em massa do utilizador fora da atividade normal | Identifica os utilizadores que estão a obter significativamente mais registos do Dataverse do que nas últimas duas semanas. | O utilizador obtém muitos registos do Dataverse e incluindo o limiar definido pelo KQL. Origens de dados: - Dataverse DataverseActivity |
Exfiltração |
Regras do Power Apps
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| Power Apps – Atividade da aplicação a partir de área geográfica não autorizada | Identifica a atividade do Power Apps a partir de regiões geográficas numa lista predefinida de regiões geográficas não autorizadas. Esta deteção obtém a lista de códigos de país iso 3166-1 alfa-2 da Plataforma de Navegação Online (OBP) ISO. Esta deteção utiliza registos ingeridos a partir de Microsoft Entra ID e requer que também ative o conector de dados Microsoft Entra ID. |
Execute uma atividade numa Aplicação Power a partir de uma região geográfica que esteja na lista de códigos de país não autorizados. Origens de dados: - Atividade Administração do Microsoft Power Platform PowerPlatformAdminActivity- Microsoft Entra ID SigninLogs |
Acesso inicial |
| Power Apps – Várias aplicações eliminadas | Identifica a atividade de eliminação em massa onde são eliminados vários Power Apps, correspondendo a um limiar predefinido do total de aplicações eliminadas ou eventos eliminados da aplicação em vários ambientes do Power Platform. | Elimine muitos Power Apps do centro de administração do Power Platform. Origens de dados: - Atividade Administração do Microsoft Power Platform PowerPlatformAdminActivity |
Impacto |
| Power Apps – Vários utilizadores que acedem a uma ligação maliciosa após iniciarem a nova aplicação | Identifica uma cadeia de eventos quando uma nova Aplicação Power é criada e é seguida por estes eventos: - Vários utilizadores iniciam a aplicação na janela de deteção. - Vários utilizadores abrem o mesmo URL malicioso. Esta deteção cruzada correlaciona os registos de execução do Power Apps com eventos de seleção de URL maliciosos de qualquer uma das seguintes origens: - O conector de dados do Microsoft 365 Defender ou - Indicadores de URL maliciosos de comprometimento (COI) no Microsoft Sentinel Threat Intelligence com o analisador de normalização da sessão Web do Modelo de Informações de Segurança Avançada (ASIM). Esta deteção obtém o número distinto de utilizadores que iniciam ou selecionam a ligação maliciosa ao criar uma consulta. |
Vários utilizadores iniciam um novo PowerApp e abrem um URL malicioso conhecido a partir da aplicação. Origens de dados: - Atividade Administração do Microsoft Power Platform PowerPlatformAdminActivity- Informações sobre Ameaças ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
Acesso inicial |
| Power Apps – Partilha em massa do Power Apps para utilizadores convidados recém-criados | Identifica a partilha em massa invulgar do Power Apps para utilizadores convidados Microsoft Entra recém-criados. A partilha em massa invulgar baseia-se num limiar predefinido na consulta. | Partilhar uma aplicação com vários utilizadores externos. Origens de dados: - Atividade Administração do Microsoft Power Platform PowerPlatformAdminActivity- Microsoft Entra IDAuditLogs |
Desenvolvimento de Recursos, Acesso Inicial, Movimento Lateral |
Regras do Power Automate
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| Power Automate – Atividade de fluxo de funcionários de partida | Identifica instâncias em que um funcionário que foi notificado ou que já foi terminado e está na lista de observação Funcionários Terminados , cria ou modifica um fluxo do Power Automate. | O utilizador definido na lista de observação TerminatedEmployees cria ou atualiza um fluxo do Power Automate. Origens de dados: Microsoft Power Automate PowerAutomateActivityLista de observação TerminatedEmployees |
Exfiltração, impacto |
| Power Automate – Eliminação em massa invulgar de recursos de fluxo | Identifica a eliminação em massa de fluxos do Power Automate que excedem um limiar predefinido definido na consulta e desviam-se dos padrões de atividade observados nos últimos 14 dias. | Eliminação em massa dos fluxos do Power Automate. Origens de dados: - PowerAutomate PowerAutomateActivity |
Impacto, Evasão à Defesa |
Regras do Power Platform
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| Power Platform – Conector adicionado a um ambiente confidencial | Identifica a criação de novos conectores de API no Power Platform, especificamente destinados a uma lista predefinida de ambientes confidenciais. | Adicione um novo conector do Power Platform num ambiente sensível do Power Platform. Origens de dados: - Atividade Administração do Microsoft Power Platform PowerPlatformAdminActivity |
Execução, Exfiltração |
| Power Platform – política DLP atualizada ou removida | Identifica as alterações à política de prevenção de perda de dados, especificamente as políticas que são atualizadas ou removidas. | Atualizar ou remover uma política de prevenção de perda de dados do Power Platform no ambiente do Power Platform. Origens de dados: Atividade de Administração do Microsoft Power Platform PowerPlatformAdminActivity |
Evasão à Defesa |
| Power Platform – o utilizador possivelmente comprometido acede aos serviços do Power Platform | Identifica as contas de utilizador sinalizadas em risco no Microsoft Entra ID Protection e correlaciona estes utilizadores com a atividade de início de sessão no Power Platform, incluindo o Power Apps, o Power Automate e o Centro de Administração do Power Platform. | O utilizador com sinais de risco acede aos portais do Power Platform. Origens de dados: - Microsoft Entra ID SigninLogs |
Acesso Inicial, Movimento Lateral |
| Power Platform – Conta adicionada a funções de Microsoft Entra privilegiadas | Identifica as alterações às seguintes funções de diretório com privilégios que afetam o Power Platform: - Administradores do Dynamics 365 – Administradores do Power Platform – Administradores de Recursos de Infraestrutura |
Origens de dados: AzureActiveDirectory AuditLogs |
PrivilegeEscalation |
Consultas de investigação
A solução inclui consultas de investigação que podem ser utilizadas por analistas para investigar proativamente atividades maliciosas ou suspeitas nos ambientes do Dynamics 365 e do Power Platform.
| Nome da regra | Descrição | Origem de Dados | Táticas |
|---|---|---|---|
| Dataverse - Atividade após alertas de Microsoft Entra | Esta consulta de investigação procura utilizadores que realizem a atividade Dataverse/Dynamics 365 pouco depois de um alerta do Microsoft Entra ID Protection para esse utilizador. A consulta procura apenas utilizadores que não foram vistos antes ou que realizem atividades do Dynamics que não foram vistas anteriormente. |
- Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
InitialAccess |
| Dataverse - Atividade após inícios de sessão falhados | Esta consulta de investigação procura utilizadores que realizem a atividade Dataverse/Dynamics 365 pouco depois de muitos inícios de sessão falhados. Utilize esta consulta para procurar potenciais atividades pós-força bruta. Ajuste a figura do limiar com base na taxa de falsos positivos. |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
InitialAccess |
| Dataverse - Atividade de exportação de dados entre ambientes | Procura atividade de exportação de dados num número predeterminado de instâncias do Dataverse. A atividade de exportação de dados em vários ambientes pode indicar atividade suspeita, uma vez que os utilizadores trabalham normalmente apenas em alguns ambientes. |
- DataverseDataverseActivity |
Exfiltração, Coleção |
| Dataverse - Exportação do Dataverse copiada para dispositivos USB | Utiliza dados de Microsoft Defender XDR para detetar ficheiros transferidos de uma instância do Dataverse e copiados para a pen USB. | - DataverseDataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Exfiltração |
| Dataverse – aplicação cliente genérica utilizada para aceder a ambientes de produção | Deteta a utilização da "Aplicação de Exemplo Dynamics 365" incorporada para aceder a ambientes de produção. Esta aplicação genérica não pode ser restringida por controlos de autorização Microsoft Entra ID e pode ser abusada para obter acesso não autorizado através da API Web. |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
Execução |
| Dataverse – Atividade de gestão de identidades fora da associação à função de diretório com privilégios | Deteta eventos de administração de identidades no Dataverse/Dynamics 365 efetuados por contas que não são membros das seguintes funções de diretório com privilégios: Dynamics 365 Administradores, Administradores do Power Platform ou Administradores Globais | - DataverseDataverseActivity- UEBA IdentityInfo |
PrivilegeEscalation |
| Dataverse – Alterações de gestão de identidades sem MFA | Utilizado para mostrar operações de administração de identidades privilegiadas no Dataverse efetuadas por contas que iniciaram sessão sem utilizar a MFA. | - DataverseDataverseActivity- AzureActiveDirectory SigninLogs, DataverseActivity |
InitialAccess |
| Power Apps – Partilha em massa anómalo do Power App para utilizadores convidados recém-criados | A consulta deteta tentativas anómalos de efetuar a partilha em massa de uma Aplicação Power para utilizadores convidados recém-criados. |
Origens de dados: PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess, LateralMovement, ResourceDevelopment |
Manuais de procedimentos
Esta solução contém manuais de procedimentos que podem ser utilizados para automatizar a resposta de segurança a incidentes e alertas no Microsoft Sentinel.
| Nome do manual de procedimentos | Descrição |
|---|---|
| Fluxo de trabalho de segurança: verificação de alertas com proprietários de cargas de trabalho | Este manual de procedimentos pode reduzir a carga sobre o SOC ao descarregar a verificação de alertas para os administradores de TI para regras de análise específicas. É acionado quando é gerado um alerta de Microsoft Sentinel, cria uma mensagem (e um e-mail de notificação associado) no canal microsoft Teams do proprietário da carga de trabalho que contém detalhes do alerta. Se o proprietário da carga de trabalho responder que a atividade não está autorizada, o alerta será convertido num incidente no Microsoft Sentinel para o SOC processar. |
| Dataverse: Enviar notificação para o gestor | Este manual de procedimentos pode ser acionado quando um incidente de Microsoft Sentinel é gerado e envia automaticamente uma notificação por e-mail ao gestor das entidades de utilizador afetadas. O Manual de Procedimentos pode ser configurado para enviar para o gestor de Dynamics 365 ou para utilizar o gestor no Office 365. |
| Dataverse: Adicionar utilizador à lista de bloqueios (acionador de incidentes) | Este manual de procedimentos pode ser acionado quando um incidente de Microsoft Sentinel é gerado e adiciona automaticamente entidades de utilizador afetadas a um grupo de Microsoft Entra predefinido, o que resulta num acesso bloqueado. O grupo Microsoft Entra é utilizado com o Acesso Condicional para bloquear o início de sessão no Dataverse. |
| Dataverse: Adicionar utilizador à lista de bloqueios com o fluxo de trabalho de aprovação do Outlook | Este manual de procedimentos pode ser acionado quando um incidente de Microsoft Sentinel é gerado e adiciona automaticamente entidades de utilizador afetadas a um grupo de Microsoft Entra predefinido, através de um fluxo de trabalho de aprovação baseado no Outlook, o que resulta num acesso bloqueado. O grupo Microsoft Entra é utilizado com o Acesso Condicional para bloquear o início de sessão no Dataverse. |
| Dataverse: Adicionar utilizador à lista de bloqueios com o fluxo de trabalho de aprovação do Teams | Este manual de procedimentos pode ser acionado quando um incidente de Microsoft Sentinel é gerado e adiciona automaticamente entidades de utilizador afetadas a um grupo de Microsoft Entra predefinido, através de um fluxo de trabalho de aprovação de cartões adaptáveis do Teams, o que resulta num acesso bloqueado. O grupo Microsoft Entra é utilizado com o Acesso Condicional para bloquear o início de sessão no Dataverse. |
| Dataverse: Adicionar utilizador à lista de bloqueios (acionador de alerta) | Este manual de procedimentos pode ser acionado a pedido quando é gerado um alerta de Microsoft Sentinel, permitindo ao analista adicionar entidades de utilizador afetadas a um grupo de Microsoft Entra predefinido, o que resulta num acesso bloqueado. O grupo Microsoft Entra é utilizado com o Acesso Condicional para bloquear o início de sessão no Dataverse. |
| Dataverse: Remover utilizador da lista de blocos | Este manual de procedimentos pode ser acionado a pedido quando é gerado um alerta de Microsoft Sentinel, permitindo ao analista remover as entidades de utilizador afetadas de um grupo de Microsoft Entra predefinido utilizado para bloquear o acesso. O grupo Microsoft Entra é utilizado com o Acesso Condicional para bloquear o início de sessão no Dataverse. |
| Dataverse: Adicionar sites do SharePoint à lista de observação | Este manual de procedimentos é utilizado para adicionar sites de gestão de documentos do SharePoint novos ou atualizados à lista de observação de configuração. Quando combinado com uma regra de análise agendada que monitoriza o registo de atividades dataverse, este Manual de Procedimentos será acionado quando é adicionado um novo mapeamento do site de gestão de documentos do SharePoint. O site será adicionado a uma lista de observação para expandir a cobertura de monitorização. |
Livros
Microsoft Sentinel livros são dashboards interativos personalizáveis no Microsoft Sentinel que facilitam a visualização, análise e investigação eficientes dos analistas sobre dados de segurança. Esta solução inclui o livro atividade Dynamics 365, que apresenta uma representação visual da atividade no Microsoft Dynamics 365 Customer Engagement/Dataverse, incluindo estatísticas de obtenção de registos e um gráfico de anomalias.
Listas de observação
Esta solução inclui a lista de observação MSBizApps-Configuration e requer que os utilizadores criem listas de observação adicionais com base nos seguintes modelos de lista de observação:
- VIPUsers
- Endereços de Rede
- TerminatedEmployees
Para obter mais informações, veja Listas de observação no Microsoft Sentinel e Criar listas de observação.
Analisadores incorporados
A solução inclui analisadores que são utilizados para aceder aos dados das tabelas de dados não processados. Os analisadores garantem que os dados corretos são devolvidos com um esquema consistente. Recomendamos que utilize os analisadores em vez de consultar diretamente as listas de observação.
| Analisador | Dados devolvidos | Tabela consultada |
|---|---|---|
| MSBizAppsOrgSettings | Lista de definições disponíveis disponíveis para toda a organização no Dynamics 365 Customer Engagement/Dataverse | n/a |
| MSBizAppsVIPUsers | Analisador da lista de observação VIPUsers |
VIPUsers do modelo de lista de observação |
| MSBizAppsNetworkAddresses | Analisador da lista de observação NetworkAddresses |
NetworkAddresses do modelo de lista de observação |
| MSBizAppsTerminatedEmployees | Analisador da lista de observação TerminatedEmployees |
TerminatedEmployees do modelo de lista de observação |
| DataverseSharePointSites | Sites do SharePoint utilizados na Gestão de Documentos Do Dataverse |
MSBizApps-Configuration lista de observação filtrada pela categoria "SharePoint" |
Para obter mais informações sobre regras analíticas, consulte Detetar ameaças fora da caixa.