Справочник по содержимому по безопасности для Microsoft Power Platform и Microsoft Dynamics 365 Customer Engagement

В этой статье подробно описано содержимое системы безопасности, доступное для решения Microsoft Sentinel для Power Platform. Дополнительные сведения об этом решении см. в разделах Microsoft Sentinel решение для Microsoft Power Platform и Microsoft Dynamics 365 Обзор взаимодействия с клиентами.

Встроенные правила аналитики

При установке решения для Power Platform включаются следующие правила аналитики. Перечисленные источники данных включают имя соединителя данных и таблицу в Log Analytics.

Правила Dataverse

Имя правила Описание Исходное действие Тактики
Dataverse — аномальные действия пользователей приложения Определяет аномалии в шаблонах действий пользователей приложения Dataverse (неинтерактивных) на основе действий, которые выходят за рамки обычной модели использования. Необычные действия пользователей S2S в Dynamics 365 / Dataverse.

Источники данных:
— Dataverse
DataverseActivity
CredentialAccess, Execution, Persistence
Dataverse — удаление данных журнала аудита Определяет действия по удалению данных журнала аудита в Dataverse. Удаление журналов аудита Dataverse.

Источники данных:
— Dataverse
DataverseActivity
DefenseEvasion
Dataverse — ведение журнала аудита отключено Определяет изменение в конфигурации аудита системы, при котором ведение журнала аудита отключено. Глобальный аудит или аудит на уровне сущностей отключен.

Источники данных:
— Dataverse
DataverseActivity
DefenseEvasion
Dataverse — массовое повторное назначение владения записью или общий доступ Определяет изменения в владении отдельными записями, в том числе:
— Общий доступ к записям с другими пользователями или командами
— переназначения владения, превышающие предопределенное пороговое значение.
Многие события владения записями и совместного использования записей, созданные в окне обнаружения.

Источники данных:
— Dataverse
DataverseActivity
PrivilegeEscalation
Dataverse — исполняемый файл, отправленный на сайт управления документами SharePoint Определяет исполняемые файлы и скрипты, которые отправляются на сайты SharePoint, используемые для управления документами Dynamics, в обход ограничений расширения собственных файлов в Dataverse. Отправка исполняемых файлов в управление документами Dataverse.

Источники данных:
— Office365
OfficeActivity (SharePoint)
Выполнение, сохраняемость
Dataverse — экспорт действий из уволенного или уведомленного сотрудника Определяет действия по экспорту Dataverse, вызванные увольнением сотрудников или сотрудников, которые покинут организацию. События экспорта данных, связанные с пользователями в шаблоне списка отслеживания TerminatedEmployees .

Источники данных:
— Dataverse
DataverseActivity
Кража данных
Dataverse — кража гостевых пользователей после нарушения защиты Power Platform Определяет цепочку событий, начиная с отключения изоляции клиента Power Platform и удаления группы безопасности доступа среды.

Эти события коррелируются с оповещениями о краже Dataverse, связанными с затронутой средой и недавно созданными Microsoft Entra гостевых пользователей.

Активируйте другие правила аналитики Dataverse с помощью тактики Exfiltration MITRE перед включением этого правила.
Как недавно созданный гостевой пользователь, активируйте оповещения о краже Данных после отключения элементов управления безопасностью Power Platform.

Источники данных:
— PowerPlatformAdmin
PowerPlatformAdminActivity
— Dataverse
DataverseActivity
Обход мер защиты
Dataverse — управление безопасностью иерархии Определяет подозрительное поведение в системе безопасности иерархии. Изменения свойств безопасности, в том числе:
— безопасность иерархии отключена.
— Пользователь назначает себя в качестве руководителя.
— Пользователь назначает себя в отслеживаемую позицию (заданную в KQL).

Источники данных:
— Dataverse
DataverseActivity
PrivilegeEscalation
Dataverse — действие экземпляра Honeypot Определяет действия в предопределенном экземпляре Honeypot Dataverse.

Оповещает об обнаружении входа в Honeypot или при доступе к отслеживаемой таблице Dataverse в Honeypot.
Вход и доступ к данным в указанном экземпляре Honeypot Dataverse в Power Platform с включенным аудитом.

Источники данных:
— Dataverse
DataverseActivity
Обнаружение, кража
Dataverse — вход конфиденциального привилегированного пользователя Определяет Dataverse и Dynamics 365 входа конфиденциальных пользователей. Вход пользователей, добавленных в список просмотров VIPUsers на основе тегов, заданных в KQL.

Источники данных:
— Dataverse
DataverseActivity
InitialAccess, CredentialAccess, PrivilegeEscalation
Dataverse — вход с IP-адреса в списке блокировок Определяет действия входа в Dataverse из IPv4-адресов, которые находятся в предопределенном списке блокировок. Вход пользователя с IP-адресом, который является частью заблокированного диапазона сети. Заблокированные диапазоны сети сохраняются в шаблоне Список отслеживания NetworkAddresses .

Источники данных:
— Dataverse
DataverseActivity
InitialAccess
Dataverse — вход с IP-адреса отсутствует в списке разрешенных Определяет входы из IPv4-адресов, которые не соответствуют подсетям IPv4, которые хранятся в списке разрешений. Вход пользователя с IP-адресом, который не входит в допустимый диапазон сети. Заблокированные диапазоны сети сохраняются в шаблоне Список отслеживания NetworkAddresses .

Источники данных:
— Dataverse
DataverseActivity
InitialAccess
Dataverse — обнаруженная вредоносная программа на сайте управления документами SharePoint Определяет вредоносные программы, отправленные с помощью Dynamics 365 управления документами или непосредственно в SharePoint, влияя на сайты SharePoint, связанные с Dataverse. Вредоносный файл на сайте SharePoint, связанный с Dataverse.

Источники данных:
— Dataverse
DataverseActivity
— Office365
OfficeActivity (SharePoint)
Выполнение
Dataverse — массовое удаление записей Определяет операции удаления больших записей на основе предопределенного порогового значения.
Также обнаруживает запланированные задания массового удаления.
Удаление записей, превышающих пороговое значение, определенное в KQL.

Источники данных:
— Dataverse
DataverseActivity
Влияние
Dataverse — массовое скачивание из управления документами SharePoint Определяет массовое скачивание за последний час файлов с сайтов SharePoint, настроенных для управления документами в Dynamics 365. Массовое скачивание превышает пороговое значение, определенное в KQL.

Это правило аналитики использует список отслеживания MSBizApps-Configuration для идентификации сайтов SharePoint, используемых для управления документами.

Источники данных:
— Office365
OfficeActivity (SharePoint)
Кража данных
Dataverse — массовый экспорт записей в Excel Определяет пользователей, экспортируемых большое количество записей из Dynamics 365 в Excel, где количество экспортированных записей значительно больше, чем любое другое последнее действие этого пользователя.

Большие объемы экспорта от пользователей без последних действий определяются с помощью предопределенного порогового значения.
Экспорт большого количества записей из Dataverse в Excel.

Источники данных:
— Dataverse
DataverseActivity
Кража данных
Dataverse — массовые обновления записей Обнаруживает изменения массового обновления записей в Dataverse и Dynamics 365, превышающие предопределенное пороговое значение. Массовое обновление записей превышает пороговое значение, определенное в KQL.

Источники данных:
— Dataverse
DataverseActivity
Влияние
Dataverse — новый тип действия пользователя приложения Dataverse Определяет новые или ранее невидимые типы действий, связанные с пользователем приложения Dataverse (неинтерактивно). Новые типы действий пользователей S2S.

Источники данных:
— Dataverse
DataverseActivity
CredentialAccess, Execution, PrivilegeEscalation
Dataverse — доступ к новым неинтерактивным удостоверениям Определяет предоставление доступа на уровне API через делегированные разрешения приложения Microsoft Entra или путем прямого назначения в Dataverse в качестве пользователя приложения. Разрешения Dataverse, добавленные для неинтерактивного пользователя.

Источники данных:
— Dataverse
DataverseActivity,
— AzureActiveDirectory
AuditLogs
Сохраняемость, Боковое перемещение, PrivilegeEscalation
Dataverse — новый вход из несанкционированного домена Определяет действия входа в Dataverse, исходящие от пользователей с суффиксами имени участника-пользователя, которые не видели ранее в течение последних 14 дней и отсутствуют в предопределенном списке авторизованных доменов.

Общие внутренние системные пользователи Power Platform по умолчанию исключаются.
Вход внешним пользователем из несанкционированного суффикса домена.

Источники данных:
— Dataverse
DataverseActivity
InitialAccess
Dataverse — новый тип агента пользователя, который ранее не использовался Определяет пользователей, обращаюющихся к Dataverse из агента пользователя, который не был замечен ни в одном экземпляре Dataverse за последние 14 дней. Действие в Dataverse из нового агента пользователя.

Источники данных:
— Dataverse
DataverseActivity
InitialAccess, DefenseEvasion
Dataverse — новый тип агента пользователя, который не использовался с Office 365 Идентифицирует пользователей, обращаюющихся к Dynamics с помощью агента пользователя, который не был замечен в рабочих нагрузках Office 365 за последние 14 дней. Действие в Dataverse из нового агента пользователя.

Источники данных:
— Dataverse
DataverseActivity
InitialAccess
Dataverse — изменены параметры организации Определяет изменения, внесенные на уровне организации в среде Dataverse. Свойство уровня организации изменено в Dataverse.

Источники данных:
— Dataverse
DataverseActivity
Сохранение
Dataverse — удаление заблокированных расширений файлов Определяет изменения заблокированных расширений файлов среды и извлекает удаленное расширение. Удаление заблокированных расширений файлов в свойствах Dataverse.

Источники данных:
— Dataverse
DataverseActivity
DefenseEvasion
Dataverse — добавлен или обновлен сайт управления документами SharePoint Определяет изменения интеграции управления документами SharePoint.

Управление документами позволяет хранить данные, расположенные за пределами Dataverse. Объедините это правило аналитики с dataverse: добавление сайтов SharePoint в сборник схем для просмотра , чтобы автоматически обновить список отслеживания Dataverse-SharePointSites .

Этот список отслеживания можно использовать для корреляции событий между Dataverse и SharePoint при использовании соединителя данных Office 365.
Сопоставление сайтов SharePoint добавлено в управление документами.

Источники данных:
— Dataverse
DataverseActivity
Кража данных
Dataverse — подозрительные изменения ролей безопасности Определяет необычный шаблон событий, в результате которого создается новая роль, а затем создатель добавляет участников в роль, а затем удаляет участника или удаляет роль через короткий период времени. Изменения в ролях безопасности и назначениях ролей.

Источники данных:
— Dataverse
DataverseActivity
PrivilegeEscalation
Dataverse — подозрительное использование конечной точки TDS Определяет запросы на основе протокола Dataverse TDS (табличные данные Stream), где у исходного пользователя или IP-адреса есть последние оповещения системы безопасности, а протокол TDS ранее не использовался в целевой среде. Внезапное использование конечной точки TDS в корреляции с оповещениями системы безопасности.

Источники данных:
— Dataverse
DataverseActivity
— AzureActiveDirectoryIdentityProtection
SecurityAlert
Кража, InitialAccess
Dataverse — подозрительное использование веб-API Определяет входы в нескольких средах Dataverse, которые нарушают предопределенное пороговое значение и исходят от пользователя с IP-адресом, который использовался для входа в хорошо известный Microsoft Entra регистрации приложения. Вход с помощью WebAPI в нескольких средах с использованием известного общедоступного идентификатора приложения.

Источники данных:
— Dataverse
DataverseActivity
— AzureActiveDirectory
SigninLogs
Выполнение, кража, рекогносцировка, обнаружение
Dataverse — IP-адрес сопоставления TI с DataverseActivity Идентифицирует совпадение в DataverseActivity из любого IP-объекта IOC из Microsoft Sentinel Threat Intelligence. Действие Dataverse с IP-адресом, соответствующим IOC.

Источники данных:
— Dataverse
DataverseActivity
ThreatIntelligence
ThreatIntelIndicators
InitialAccess, LateralMovement, Discovery
Dataverse — URL-адрес сопоставления TI с DataverseActivity Определяет совпадение в DataverseActivity из любого IOC URL-адреса из Microsoft Sentinel аналитики угроз. Действие Dataverse с URL-адресом, соответствующим IOC.

Источники данных:
— Dataverse
DataverseActivity
ThreatIntelligence
ThreatIntelIndicators
InitialAccess, Execution, Persistence
Dataverse — прекращение кражи сотрудников по электронной почте Определяет кражу dataverse по электронной почте уволенными сотрудниками. Сообщения электронной почты, отправленные в домены недоверенных получателей после оповещений системы безопасности, коррелируются с пользователями в списке отслеживания TerminatedEmployees .

Источники данных:
MicrosoftThreatProtection
EmailEvents
IdentityInfo
— AzureActiveDirectoryIdentityProtection, IdentityInfo
SecurityAlert
Кража данных
Dataverse — прекращение кражи сотрудников на USB-накопитель Определяет файлы, скачанные из Dataverse уволенными или уволенными сотрудниками, и копируются на подключенные к USB-накопителям. Files из Dataverse, скопированных на USB пользователем в списке отслеживания TerminatedEmployees.

Источники данных:
— Dataverse
DataverseActivity
— MicrosoftThreatProtection
DeviceInfo
DeviceEvents
DeviceFileEvents
Кража данных
Dataverse — необычный вход после отключения защиты от привязки файлов cookie на основе IP-адреса Определяет ранее невидимые IP-адреса и пользовательские агенты в экземпляре Dataverse после отключения защиты привязки файлов cookie.

Дополнительные сведения см. в разделе Защита сеансов Dataverse с привязкой IP-файлов cookie.
Новое действие входа.


Источники данных:
— Dataverse
DataverseActivity
DefenseEvasion
Dataverse — массовое получение пользователем за пределами обычной активности Определяет пользователей, получающих значительно больше записей из Dataverse, чем за последние две недели. Пользователь получает много записей из Dataverse, включая определенное KQL пороговое значение.

Источники данных:
— Dataverse
DataverseActivity
Кража данных

Правила Power Apps

Имя правила Описание Исходное действие Тактики
Power Apps — действия приложений из несанкционированного географического расположения Определяет действия Power Apps из географических регионов в предопределенном списке неавторизованных географических регионов.

Это обнаружение получает список кодов стран ISO 3166-1 alpha-2 из ISO Online Browsing Platform (OBP).

В этом обнаружении используются журналы, полученные из Microsoft Entra ID, и требуется также включить соединитель данных Microsoft Entra ID.
Выполнение действия в Power App из географического региона, который находится в списке несанкционированных кодов страны.

Источники данных:
— Действия microsoft Power Platform Администратор
PowerPlatformAdminActivity
— Microsoft Entra ID
SigninLogs
Начальный доступ
Power Apps — несколько удаленных приложений Определяет действия массового удаления, в которых удаляется несколько Приложений Power Apps, соответствующее предопределенное пороговое значение общего числа удаленных приложений или удаленных событий приложений в нескольких средах Power Platform. Удалите многие приложения Power Apps из Центра администрирования Power Platform.

Источники данных:
— Действия microsoft Power Platform Администратор
PowerPlatformAdminActivity
Влияние
Power Apps — несколько пользователей, обращаюющихся к вредоносной ссылке после запуска нового приложения Определяет цепочку событий при создании нового приложения Power App, за которой следуют следующие события:
— Несколько пользователей запускают приложение в окне обнаружения.
— Несколько пользователей открывают один и тот же вредоносный URL-адрес.

Это обнаружение перекрестно сопоставляет журналы выполнения Power Apps с событиями выбора вредоносных URL-адресов из любого из следующих источников:
— соединитель данных Microsoft 365 Defender или
— индикаторы компрометации вредоносных URL-адресов (IOC) в Microsoft Sentinel Аналитика угроз с помощью средства синтаксического анализа веб-сеансов Расширенной информационной модели безопасности (ASIM).

Это обнаружение получает определенное число пользователей, которые запускают или выбирают вредоносную ссылку путем создания запроса.
Несколько пользователей запускают новое приложение PowerApp и открывают из приложения известный вредоносный URL-адрес.

Источники данных:
— Действия microsoft Power Platform Администратор
PowerPlatformAdminActivity
— Аналитика угроз
ThreatIntelIndicators
— Microsoft Defender XDR
UrlClickEvents
Начальный доступ
Power Apps — массовый общий доступ к Power Apps только что созданным гостевым пользователям Определяет необычный массовый доступ к Power Apps только что созданным Microsoft Entra гостевым пользователям. Необычный массовый общий доступ основан на предопределенном пороге в запросе. Предоставление общего доступа к приложению нескольким внешним пользователям.

Источники данных:
— Действия microsoft Power Platform Администратор
PowerPlatformAdminActivity— Microsoft Entra ID
AuditLogs
Разработка ресурсов,
Начальный доступ,
Боковое смещение

Правила Power Automate

Имя правила Описание Исходное действие Тактики
Power Automate — действие потока увольнения сотрудников Определяет случаи, когда сотрудник, который был уведомлен или уже уволен, и находится в списке отслеживания уволенных сотрудников , создает или изменяет поток Power Automate. Пользователь, определенный в списке отслеживания TerminatedEmployees , создает или обновляет поток Power Automate.

Источники данных:
Microsoft Power Automate
PowerAutomateActivity
Список просмотров terminatedEmployees
Кража, влияние
Power Automate — необычное массовое удаление ресурсов потока Определяет массовое удаление потоков Power Automate, которые превышают предопределенное пороговое значение, определенное в запросе, и отклоняются от шаблонов действий, наблюдаемых за последние 14 дней. Массовое удаление потоков Power Automate.

Источники данных:
— PowerAutomate
PowerAutomateActivity
Влияние
Обход мер защиты

Правила Power Platform

Имя правила Описание Исходное действие Тактики
Power Platform — соединитель добавлен в чувствительную среду Определяет создание новых соединителей API в Power Platform, в частности для предопределенного списка конфиденциальных сред. Добавьте новый соединитель Power Platform в чувствительной среде Power Platform.

Источники данных:
— Действия microsoft Power Platform Администратор
PowerPlatformAdminActivity
Выполнение, кража
Power Platform — обновлена или удалена политика защиты от потери данных Определяет изменения в политике защиты от потери данных, в частности политики, которые обновляются или удаляются. Обновление или удаление политики защиты от потери данных Power Platform в среде Power Platform.

Источники данных:
Действия microsoft Power Platform Администратор
PowerPlatformAdminActivity
Обход мер защиты
Power Platform — возможно скомпрометированный пользователь обращается к службам Power Platform Определяет учетные записи пользователей, помеченные как подверженные риску в Microsoft Entra ID Protection, и сопоставляет этих пользователей с действиями входа в Power Platform, включая Power Apps, Power Automate и Power Platform Администратор Center. Пользователь с сигналами риска обращается к порталам Power Platform.

Источники данных:
— Microsoft Entra ID
SigninLogs
Начальный доступ, боковое смещение
Power Platform — учетная запись, добавленная к привилегированным Microsoft Entra ролям Определяет изменения в следующих привилегированных ролях каталогов, влияющих на Power Platform:
— администраторы Dynamics 365 — администраторы Power Platform — администраторы Fabric
Источники данных:
AzureActiveDirectory
AuditLogs
PrivilegeEscalation

Охота на запросы

Решение включает поисковые запросы, которые могут использоваться аналитиками для упреждающего поиска вредоносных или подозрительных действий в средах Dynamics 365 и Power Platform.

Имя правила Описание Источник данных Тактики
Dataverse — действия после Microsoft Entra оповещений Этот запрос поиска ищет пользователей, выполняющих действия Dataverse/Dynamics 365 вскоре после оповещения защиты Microsoft Entra ID для этого пользователя.

Запрос ищет только пользователей, не замеченных ранее или выполняющих действия Dynamics, которые не видели ранее.

— Dataverse
DataverseActivity
— AzureActiveDirectoryIdentityProtection
SecurityAlert
InitialAccess
Dataverse — действие после неудачного входа Этот запрос поиска ищет пользователей, выполняющих действия Dataverse/Dynamics 365 вскоре после многих неудачных входов.

Используйте этот запрос для поиска потенциальных действий после подбора. Настройте пороговое значение на основе коэффициента ложноположительных результатов.
— Dataverse
DataverseActivity
— AzureActiveDirectory
SigninLogs
InitialAccess
Dataverse — действие экспорта данных в разных средах Выполняет поиск действий по экспорту данных в заранее заданном количестве экземпляров Dataverse.

Действие экспорта данных в нескольких средах может указывать на подозрительные действия, так как пользователи обычно работают только в нескольких средах.
— Dataverse
DataverseActivity
Exfiltration, Collection
Dataverse — экспорт Dataverse, скопированный на USB-устройства Использует данные из Microsoft Defender XDR для обнаружения файлов, скачанных из экземпляра Dataverse и скопированных на USB-накопитель. — Dataverse
DataverseActivity
— MicrosoftThreatProtection
DeviceInfo
DeviceFileEvents
DeviceEvents
Кража данных
Dataverse — универсальное клиентское приложение, используемое для доступа к рабочим средам Обнаруживает использование встроенного примера приложения Dynamics 365 для доступа к рабочим средам.

Это универсальное приложение не может быть ограничено Microsoft Entra ID элементами управления авторизации и может быть злоупотреблять для получения несанкционированного доступа через веб-API.
— Dataverse
DataverseActivity
— AzureActiveDirectory
SigninLogs
Выполнение
Dataverse — действия по управлению удостоверениями за пределами членства в роли привилегированного каталога Обнаруживает события администрирования удостоверений в Dataverse/Dynamics 365, созданные учетными записями, которые не являются членами следующих привилегированных ролей каталога: администраторы Dynamics 365, администраторы Power Platform или глобальные администраторы — Dataverse
DataverseActivity
- UEBA
IdentityInfo
PrivilegeEscalation
Dataverse — изменения в управлении удостоверениями без MFA Используется для отображения операций администрирования привилегированных удостоверений в Dataverse, выполняемых учетными записями, которые вошли в систему без использования MFA. — Dataverse
DataverseActivity
— AzureActiveDirectory
SigninLogs, DataverseActivity
InitialAccess
Power Apps — аномальный массовый общий доступ к Power App только что созданным гостевым пользователям Запрос обнаруживает аномальные попытки выполнить массовый общий доступ к Power App только что созданным гостевым пользователям. Источники данных:
PowerPlatformAdmin, AzureActiveDirectory
AuditLogs, PowerPlatformAdminActivity
InitialAccess, LateralMovement, ResourceDevelopment

Сборники схем

Это решение содержит сборники схем, которые можно использовать для автоматизации реагирования системы безопасности на инциденты и оповещения в Microsoft Sentinel.

Имя сборника схем Описание
Рабочий процесс безопасности: проверка оповещений с владельцами рабочей нагрузки Этот сборник схем позволяет снизить нагрузку на SOC, разгрузив ит-администраторам проверку оповещений для определенных правил аналитики. Он активируется при создании оповещения Microsoft Sentinel, создает сообщение (и связанное с ним электронное письмо с уведомлением) в канале Microsoft Teams владельца рабочей нагрузки с подробными сведениями об оповещении. Если владелец рабочей нагрузки ответит, что действие не авторизовано, оповещение будет преобразовано в инцидент в Microsoft Sentinel для обработки SOC.
Dataverse: отправка уведомления руководителю Этот сборник схем может активироваться при возникновении инцидента Microsoft Sentinel и автоматически отправляет уведомление по электронной почте руководителю затронутых сущностей пользователей. Сборник схем можно настроить для отправки в диспетчер Dynamics 365 или с помощью диспетчера в Office 365.
Dataverse: добавление пользователя в список блокировок (триггер инцидента) Этот сборник схем может активироваться при возникновении инцидента Microsoft Sentinel и автоматически добавлять затронутые сущности пользователей в предварительно определенную группу Microsoft Entra, что приведет к блокировке доступа. Группа Microsoft Entra используется с условным доступом для блокировки входа в Dataverse.
Dataverse: добавление пользователя в список блокировок с помощью рабочего процесса утверждения Outlook Этот сборник схем может активироваться при возникновении инцидента Microsoft Sentinel и автоматически добавлять затронутые сущности пользователей в предварительно определенную группу Microsoft Entra с помощью рабочего процесса утверждения на основе Outlook, что приведет к блокировке доступа. Группа Microsoft Entra используется с условным доступом для блокировки входа в Dataverse.
Dataverse: добавление пользователя в список блокировок с помощью рабочего процесса утверждения Teams Этот сборник схем может активироваться при возникновении инцидента Microsoft Sentinel и автоматически добавлять затронутые сущности пользователей в предварительно определенную группу Microsoft Entra с помощью рабочего процесса адаптивного карта утверждения Teams, что приведет к блокировке доступа. Группа Microsoft Entra используется с условным доступом для блокировки входа в Dataverse.
Dataverse: добавление пользователя в список блокировок (триггер оповещения) Этот сборник схем можно активировать по запросу при вызове оповещения Microsoft Sentinel, что позволяет аналитику добавлять затронутые сущности пользователей в предварительно определенную группу Microsoft Entra, что приводит к блокировке доступа. Группа Microsoft Entra используется с условным доступом для блокировки входа в Dataverse.
Dataverse: удаление пользователя из списка блокировок Этот сборник схем можно активировать по запросу при возникновении оповещения Microsoft Sentinel, что позволяет аналитику удалять затронутые сущности пользователей из предварительно определенной Microsoft Entra группы, используемой для блокировки доступа. Группа Microsoft Entra используется с условным доступом для блокировки входа в Dataverse.
Dataverse: добавление сайтов SharePoint в список отслеживания Этот сборник схем используется для добавления новых или обновленных сайтов управления документами SharePoint в список отслеживания конфигурации. В сочетании с запланированным правилом аналитики, отслеживая журнал действий Dataverse, этот сборник схем активируется при добавлении нового сопоставления сайта управления документами SharePoint. Сайт будет добавлен в список отслеживания для расширения охвата мониторинга.

Книги

Microsoft Sentinel книги — это настраиваемые интерактивные панели мониторинга в Microsoft Sentinel, которые упрощают эффективную визуализацию, анализ и исследование данных безопасности аналитиками. Это решение включает в себя книгу действий Dynamics 365, в которой представлено визуальное представление действий в Microsoft Dynamics 365 Customer Engagement/Dataverse, включая статистику получения записей и диаграмму аномалий.

Списки просмотров

Это решение включает список отслеживания MSBizApps-Configuration и требует, чтобы пользователи создавали дополнительные списки отслеживания на основе следующих шаблонов списков отслеживания:

  • VIPUsers
  • NetworkAddresses
  • TerminatedEmployees

Дополнительные сведения см. в разделах Списки просмотра в Microsoft Sentinel и Создание списков отслеживания.

Встроенные средства синтаксического анализа

Решение включает средства синтаксического анализа, которые используются для доступа к данным из необработанных таблиц данных. Средства синтаксического анализа гарантируют, что правильные данные возвращаются с согласованной схемой. Рекомендуется использовать средства синтаксического анализа, а не напрямую запрашивать списки отслеживания.

Анализатора Возвращаемые данные Таблица запрашивается
MSBizAppsOrgSettings Список доступных параметров для всей организации, доступных в Dynamics 365 Customer Engagement / Dataverse н/д
MSBizAppsVIPUsers Средство синтаксического анализа для списка просмотров VIPUsers VIPUsers из шаблона списка отслеживания
MSBizAppsNetworkAddresses Средство синтаксического анализа для списка отслеживания NetworkAddresses NetworkAddresses из шаблона списка отслеживания
MSBizAppsTerminatedEmployees Средство синтаксического анализа для списка отслеживания TerminatedEmployees TerminatedEmployees из шаблона списка отслеживания
DataverseSharePointSites Сайты SharePoint, используемые в управлении документами Dataverse MSBizApps-Configuration Список просмотров, отфильтрованный по категории "SharePoint"

Дополнительные сведения о правилах аналитики см. в статье Обнаружение угроз в готовом режиме.