Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье подробно описано содержимое системы безопасности, доступное для решения Microsoft Sentinel для Power Platform. Дополнительные сведения об этом решении см. в разделах Microsoft Sentinel решение для Microsoft Power Platform и Microsoft Dynamics 365 Обзор взаимодействия с клиентами.
Встроенные правила аналитики
При установке решения для Power Platform включаются следующие правила аналитики. Перечисленные источники данных включают имя соединителя данных и таблицу в Log Analytics.
Правила Dataverse
| Имя правила | Описание | Исходное действие | Тактики |
|---|---|---|---|
| Dataverse — аномальные действия пользователей приложения | Определяет аномалии в шаблонах действий пользователей приложения Dataverse (неинтерактивных) на основе действий, которые выходят за рамки обычной модели использования. | Необычные действия пользователей S2S в Dynamics 365 / Dataverse. Источники данных: — Dataverse DataverseActivity |
CredentialAccess, Execution, Persistence |
| Dataverse — удаление данных журнала аудита | Определяет действия по удалению данных журнала аудита в Dataverse. | Удаление журналов аудита Dataverse. Источники данных: — Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse — ведение журнала аудита отключено | Определяет изменение в конфигурации аудита системы, при котором ведение журнала аудита отключено. | Глобальный аудит или аудит на уровне сущностей отключен. Источники данных: — Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse — массовое повторное назначение владения записью или общий доступ | Определяет изменения в владении отдельными записями, в том числе: — Общий доступ к записям с другими пользователями или командами — переназначения владения, превышающие предопределенное пороговое значение. |
Многие события владения записями и совместного использования записей, созданные в окне обнаружения. Источники данных: — Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse — исполняемый файл, отправленный на сайт управления документами SharePoint | Определяет исполняемые файлы и скрипты, которые отправляются на сайты SharePoint, используемые для управления документами Dynamics, в обход ограничений расширения собственных файлов в Dataverse. | Отправка исполняемых файлов в управление документами Dataverse. Источники данных: — Office365 OfficeActivity (SharePoint) |
Выполнение, сохраняемость |
| Dataverse — экспорт действий из уволенного или уведомленного сотрудника | Определяет действия по экспорту Dataverse, вызванные увольнением сотрудников или сотрудников, которые покинут организацию. | События экспорта данных, связанные с пользователями в шаблоне списка отслеживания TerminatedEmployees . Источники данных: — Dataverse DataverseActivity |
Кража данных |
| Dataverse — кража гостевых пользователей после нарушения защиты Power Platform | Определяет цепочку событий, начиная с отключения изоляции клиента Power Platform и удаления группы безопасности доступа среды. Эти события коррелируются с оповещениями о краже Dataverse, связанными с затронутой средой и недавно созданными Microsoft Entra гостевых пользователей. Активируйте другие правила аналитики Dataverse с помощью тактики Exfiltration MITRE перед включением этого правила. |
Как недавно созданный гостевой пользователь, активируйте оповещения о краже Данных после отключения элементов управления безопасностью Power Platform. Источники данных: — PowerPlatformAdmin PowerPlatformAdminActivity— Dataverse DataverseActivity |
Обход мер защиты |
| Dataverse — управление безопасностью иерархии | Определяет подозрительное поведение в системе безопасности иерархии. | Изменения свойств безопасности, в том числе: — безопасность иерархии отключена. — Пользователь назначает себя в качестве руководителя. — Пользователь назначает себя в отслеживаемую позицию (заданную в KQL). Источники данных: — Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse — действие экземпляра Honeypot | Определяет действия в предопределенном экземпляре Honeypot Dataverse. Оповещает об обнаружении входа в Honeypot или при доступе к отслеживаемой таблице Dataverse в Honeypot. |
Вход и доступ к данным в указанном экземпляре Honeypot Dataverse в Power Platform с включенным аудитом. Источники данных: — Dataverse DataverseActivity |
Обнаружение, кража |
| Dataverse — вход конфиденциального привилегированного пользователя | Определяет Dataverse и Dynamics 365 входа конфиденциальных пользователей. | Вход пользователей, добавленных в список просмотров VIPUsers на основе тегов, заданных в KQL. Источники данных: — Dataverse DataverseActivity |
InitialAccess, CredentialAccess, PrivilegeEscalation |
| Dataverse — вход с IP-адреса в списке блокировок | Определяет действия входа в Dataverse из IPv4-адресов, которые находятся в предопределенном списке блокировок. | Вход пользователя с IP-адресом, который является частью заблокированного диапазона сети. Заблокированные диапазоны сети сохраняются в шаблоне Список отслеживания NetworkAddresses . Источники данных: — Dataverse DataverseActivity |
InitialAccess |
| Dataverse — вход с IP-адреса отсутствует в списке разрешенных | Определяет входы из IPv4-адресов, которые не соответствуют подсетям IPv4, которые хранятся в списке разрешений. | Вход пользователя с IP-адресом, который не входит в допустимый диапазон сети. Заблокированные диапазоны сети сохраняются в шаблоне Список отслеживания NetworkAddresses . Источники данных: — Dataverse DataverseActivity |
InitialAccess |
| Dataverse — обнаруженная вредоносная программа на сайте управления документами SharePoint | Определяет вредоносные программы, отправленные с помощью Dynamics 365 управления документами или непосредственно в SharePoint, влияя на сайты SharePoint, связанные с Dataverse. | Вредоносный файл на сайте SharePoint, связанный с Dataverse. Источники данных: — Dataverse DataverseActivity— Office365 OfficeActivity (SharePoint) |
Выполнение |
| Dataverse — массовое удаление записей | Определяет операции удаления больших записей на основе предопределенного порогового значения. Также обнаруживает запланированные задания массового удаления. |
Удаление записей, превышающих пороговое значение, определенное в KQL. Источники данных: — Dataverse DataverseActivity |
Влияние |
| Dataverse — массовое скачивание из управления документами SharePoint | Определяет массовое скачивание за последний час файлов с сайтов SharePoint, настроенных для управления документами в Dynamics 365. | Массовое скачивание превышает пороговое значение, определенное в KQL. Это правило аналитики использует список отслеживания MSBizApps-Configuration для идентификации сайтов SharePoint, используемых для управления документами. Источники данных: — Office365 OfficeActivity (SharePoint) |
Кража данных |
| Dataverse — массовый экспорт записей в Excel | Определяет пользователей, экспортируемых большое количество записей из Dynamics 365 в Excel, где количество экспортированных записей значительно больше, чем любое другое последнее действие этого пользователя. Большие объемы экспорта от пользователей без последних действий определяются с помощью предопределенного порогового значения. |
Экспорт большого количества записей из Dataverse в Excel. Источники данных: — Dataverse DataverseActivity |
Кража данных |
| Dataverse — массовые обновления записей | Обнаруживает изменения массового обновления записей в Dataverse и Dynamics 365, превышающие предопределенное пороговое значение. | Массовое обновление записей превышает пороговое значение, определенное в KQL. Источники данных: — Dataverse DataverseActivity |
Влияние |
| Dataverse — новый тип действия пользователя приложения Dataverse | Определяет новые или ранее невидимые типы действий, связанные с пользователем приложения Dataverse (неинтерактивно). | Новые типы действий пользователей S2S. Источники данных: — Dataverse DataverseActivity |
CredentialAccess, Execution, PrivilegeEscalation |
| Dataverse — доступ к новым неинтерактивным удостоверениям | Определяет предоставление доступа на уровне API через делегированные разрешения приложения Microsoft Entra или путем прямого назначения в Dataverse в качестве пользователя приложения. | Разрешения Dataverse, добавленные для неинтерактивного пользователя. Источники данных: — Dataverse DataverseActivity,— AzureActiveDirectory AuditLogs |
Сохраняемость, Боковое перемещение, PrivilegeEscalation |
| Dataverse — новый вход из несанкционированного домена | Определяет действия входа в Dataverse, исходящие от пользователей с суффиксами имени участника-пользователя, которые не видели ранее в течение последних 14 дней и отсутствуют в предопределенном списке авторизованных доменов. Общие внутренние системные пользователи Power Platform по умолчанию исключаются. |
Вход внешним пользователем из несанкционированного суффикса домена. Источники данных: — Dataverse DataverseActivity |
InitialAccess |
| Dataverse — новый тип агента пользователя, который ранее не использовался | Определяет пользователей, обращаюющихся к Dataverse из агента пользователя, который не был замечен ни в одном экземпляре Dataverse за последние 14 дней. | Действие в Dataverse из нового агента пользователя. Источники данных: — Dataverse DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse — новый тип агента пользователя, который не использовался с Office 365 | Идентифицирует пользователей, обращаюющихся к Dynamics с помощью агента пользователя, который не был замечен в рабочих нагрузках Office 365 за последние 14 дней. | Действие в Dataverse из нового агента пользователя. Источники данных: — Dataverse DataverseActivity |
InitialAccess |
| Dataverse — изменены параметры организации | Определяет изменения, внесенные на уровне организации в среде Dataverse. | Свойство уровня организации изменено в Dataverse. Источники данных: — Dataverse DataverseActivity |
Сохранение |
| Dataverse — удаление заблокированных расширений файлов | Определяет изменения заблокированных расширений файлов среды и извлекает удаленное расширение. | Удаление заблокированных расширений файлов в свойствах Dataverse. Источники данных: — Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse — добавлен или обновлен сайт управления документами SharePoint | Определяет изменения интеграции управления документами SharePoint. Управление документами позволяет хранить данные, расположенные за пределами Dataverse. Объедините это правило аналитики с dataverse: добавление сайтов SharePoint в сборник схем для просмотра , чтобы автоматически обновить список отслеживания Dataverse-SharePointSites . Этот список отслеживания можно использовать для корреляции событий между Dataverse и SharePoint при использовании соединителя данных Office 365. |
Сопоставление сайтов SharePoint добавлено в управление документами. Источники данных: — Dataverse DataverseActivity |
Кража данных |
| Dataverse — подозрительные изменения ролей безопасности | Определяет необычный шаблон событий, в результате которого создается новая роль, а затем создатель добавляет участников в роль, а затем удаляет участника или удаляет роль через короткий период времени. | Изменения в ролях безопасности и назначениях ролей. Источники данных: — Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse — подозрительное использование конечной точки TDS | Определяет запросы на основе протокола Dataverse TDS (табличные данные Stream), где у исходного пользователя или IP-адреса есть последние оповещения системы безопасности, а протокол TDS ранее не использовался в целевой среде. | Внезапное использование конечной точки TDS в корреляции с оповещениями системы безопасности. Источники данных: — Dataverse DataverseActivity— AzureActiveDirectoryIdentityProtection SecurityAlert |
Кража, InitialAccess |
| Dataverse — подозрительное использование веб-API | Определяет входы в нескольких средах Dataverse, которые нарушают предопределенное пороговое значение и исходят от пользователя с IP-адресом, который использовался для входа в хорошо известный Microsoft Entra регистрации приложения. | Вход с помощью WebAPI в нескольких средах с использованием известного общедоступного идентификатора приложения. Источники данных: — Dataverse DataverseActivity— AzureActiveDirectory SigninLogs |
Выполнение, кража, рекогносцировка, обнаружение |
| Dataverse — IP-адрес сопоставления TI с DataverseActivity | Идентифицирует совпадение в DataverseActivity из любого IP-объекта IOC из Microsoft Sentinel Threat Intelligence. | Действие Dataverse с IP-адресом, соответствующим IOC. Источники данных: — Dataverse DataverseActivityThreatIntelligence ThreatIntelIndicators |
InitialAccess, LateralMovement, Discovery |
| Dataverse — URL-адрес сопоставления TI с DataverseActivity | Определяет совпадение в DataverseActivity из любого IOC URL-адреса из Microsoft Sentinel аналитики угроз. | Действие Dataverse с URL-адресом, соответствующим IOC. Источники данных: — Dataverse DataverseActivityThreatIntelligence ThreatIntelIndicators |
InitialAccess, Execution, Persistence |
| Dataverse — прекращение кражи сотрудников по электронной почте | Определяет кражу dataverse по электронной почте уволенными сотрудниками. | Сообщения электронной почты, отправленные в домены недоверенных получателей после оповещений системы безопасности, коррелируются с пользователями в списке отслеживания TerminatedEmployees . Источники данных: MicrosoftThreatProtection EmailEventsIdentityInfo— AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
Кража данных |
| Dataverse — прекращение кражи сотрудников на USB-накопитель | Определяет файлы, скачанные из Dataverse уволенными или уволенными сотрудниками, и копируются на подключенные к USB-накопителям. | Files из Dataverse, скопированных на USB пользователем в списке отслеживания TerminatedEmployees. Источники данных: — Dataverse DataverseActivity— MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Кража данных |
| Dataverse — необычный вход после отключения защиты от привязки файлов cookie на основе IP-адреса | Определяет ранее невидимые IP-адреса и пользовательские агенты в экземпляре Dataverse после отключения защиты привязки файлов cookie. Дополнительные сведения см. в разделе Защита сеансов Dataverse с привязкой IP-файлов cookie. |
Новое действие входа. Источники данных: — Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse — массовое получение пользователем за пределами обычной активности | Определяет пользователей, получающих значительно больше записей из Dataverse, чем за последние две недели. | Пользователь получает много записей из Dataverse, включая определенное KQL пороговое значение. Источники данных: — Dataverse DataverseActivity |
Кража данных |
Правила Power Apps
| Имя правила | Описание | Исходное действие | Тактики |
|---|---|---|---|
| Power Apps — действия приложений из несанкционированного географического расположения | Определяет действия Power Apps из географических регионов в предопределенном списке неавторизованных географических регионов. Это обнаружение получает список кодов стран ISO 3166-1 alpha-2 из ISO Online Browsing Platform (OBP). В этом обнаружении используются журналы, полученные из Microsoft Entra ID, и требуется также включить соединитель данных Microsoft Entra ID. |
Выполнение действия в Power App из географического региона, который находится в списке несанкционированных кодов страны. Источники данных: — Действия microsoft Power Platform Администратор PowerPlatformAdminActivity— Microsoft Entra ID SigninLogs |
Начальный доступ |
| Power Apps — несколько удаленных приложений | Определяет действия массового удаления, в которых удаляется несколько Приложений Power Apps, соответствующее предопределенное пороговое значение общего числа удаленных приложений или удаленных событий приложений в нескольких средах Power Platform. | Удалите многие приложения Power Apps из Центра администрирования Power Platform. Источники данных: — Действия microsoft Power Platform Администратор PowerPlatformAdminActivity |
Влияние |
| Power Apps — несколько пользователей, обращаюющихся к вредоносной ссылке после запуска нового приложения | Определяет цепочку событий при создании нового приложения Power App, за которой следуют следующие события: — Несколько пользователей запускают приложение в окне обнаружения. — Несколько пользователей открывают один и тот же вредоносный URL-адрес. Это обнаружение перекрестно сопоставляет журналы выполнения Power Apps с событиями выбора вредоносных URL-адресов из любого из следующих источников: — соединитель данных Microsoft 365 Defender или — индикаторы компрометации вредоносных URL-адресов (IOC) в Microsoft Sentinel Аналитика угроз с помощью средства синтаксического анализа веб-сеансов Расширенной информационной модели безопасности (ASIM). Это обнаружение получает определенное число пользователей, которые запускают или выбирают вредоносную ссылку путем создания запроса. |
Несколько пользователей запускают новое приложение PowerApp и открывают из приложения известный вредоносный URL-адрес. Источники данных: — Действия microsoft Power Platform Администратор PowerPlatformAdminActivity— Аналитика угроз ThreatIntelIndicators— Microsoft Defender XDR UrlClickEvents |
Начальный доступ |
| Power Apps — массовый общий доступ к Power Apps только что созданным гостевым пользователям | Определяет необычный массовый доступ к Power Apps только что созданным Microsoft Entra гостевым пользователям. Необычный массовый общий доступ основан на предопределенном пороге в запросе. | Предоставление общего доступа к приложению нескольким внешним пользователям. Источники данных: — Действия microsoft Power Platform Администратор PowerPlatformAdminActivity— Microsoft Entra IDAuditLogs |
Разработка ресурсов, Начальный доступ, Боковое смещение |
Правила Power Automate
| Имя правила | Описание | Исходное действие | Тактики |
|---|---|---|---|
| Power Automate — действие потока увольнения сотрудников | Определяет случаи, когда сотрудник, который был уведомлен или уже уволен, и находится в списке отслеживания уволенных сотрудников , создает или изменяет поток Power Automate. | Пользователь, определенный в списке отслеживания TerminatedEmployees , создает или обновляет поток Power Automate. Источники данных: Microsoft Power Automate PowerAutomateActivityСписок просмотров terminatedEmployees |
Кража, влияние |
| Power Automate — необычное массовое удаление ресурсов потока | Определяет массовое удаление потоков Power Automate, которые превышают предопределенное пороговое значение, определенное в запросе, и отклоняются от шаблонов действий, наблюдаемых за последние 14 дней. | Массовое удаление потоков Power Automate. Источники данных: — PowerAutomate PowerAutomateActivity |
Влияние Обход мер защиты |
Правила Power Platform
| Имя правила | Описание | Исходное действие | Тактики |
|---|---|---|---|
| Power Platform — соединитель добавлен в чувствительную среду | Определяет создание новых соединителей API в Power Platform, в частности для предопределенного списка конфиденциальных сред. | Добавьте новый соединитель Power Platform в чувствительной среде Power Platform. Источники данных: — Действия microsoft Power Platform Администратор PowerPlatformAdminActivity |
Выполнение, кража |
| Power Platform — обновлена или удалена политика защиты от потери данных | Определяет изменения в политике защиты от потери данных, в частности политики, которые обновляются или удаляются. | Обновление или удаление политики защиты от потери данных Power Platform в среде Power Platform. Источники данных: Действия microsoft Power Platform Администратор PowerPlatformAdminActivity |
Обход мер защиты |
| Power Platform — возможно скомпрометированный пользователь обращается к службам Power Platform | Определяет учетные записи пользователей, помеченные как подверженные риску в Microsoft Entra ID Protection, и сопоставляет этих пользователей с действиями входа в Power Platform, включая Power Apps, Power Automate и Power Platform Администратор Center. | Пользователь с сигналами риска обращается к порталам Power Platform. Источники данных: — Microsoft Entra ID SigninLogs |
Начальный доступ, боковое смещение |
| Power Platform — учетная запись, добавленная к привилегированным Microsoft Entra ролям | Определяет изменения в следующих привилегированных ролях каталогов, влияющих на Power Platform: — администраторы Dynamics 365 — администраторы Power Platform — администраторы Fabric |
Источники данных: AzureActiveDirectory AuditLogs |
PrivilegeEscalation |
Охота на запросы
Решение включает поисковые запросы, которые могут использоваться аналитиками для упреждающего поиска вредоносных или подозрительных действий в средах Dynamics 365 и Power Platform.
| Имя правила | Описание | Источник данных | Тактики |
|---|---|---|---|
| Dataverse — действия после Microsoft Entra оповещений | Этот запрос поиска ищет пользователей, выполняющих действия Dataverse/Dynamics 365 вскоре после оповещения защиты Microsoft Entra ID для этого пользователя. Запрос ищет только пользователей, не замеченных ранее или выполняющих действия Dynamics, которые не видели ранее. |
— Dataverse DataverseActivity— AzureActiveDirectoryIdentityProtection SecurityAlert |
InitialAccess |
| Dataverse — действие после неудачного входа | Этот запрос поиска ищет пользователей, выполняющих действия Dataverse/Dynamics 365 вскоре после многих неудачных входов. Используйте этот запрос для поиска потенциальных действий после подбора. Настройте пороговое значение на основе коэффициента ложноположительных результатов. |
— DataverseDataverseActivity— AzureActiveDirectory SigninLogs |
InitialAccess |
| Dataverse — действие экспорта данных в разных средах | Выполняет поиск действий по экспорту данных в заранее заданном количестве экземпляров Dataverse. Действие экспорта данных в нескольких средах может указывать на подозрительные действия, так как пользователи обычно работают только в нескольких средах. |
— DataverseDataverseActivity |
Exfiltration, Collection |
| Dataverse — экспорт Dataverse, скопированный на USB-устройства | Использует данные из Microsoft Defender XDR для обнаружения файлов, скачанных из экземпляра Dataverse и скопированных на USB-накопитель. | — DataverseDataverseActivity— MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Кража данных |
| Dataverse — универсальное клиентское приложение, используемое для доступа к рабочим средам | Обнаруживает использование встроенного примера приложения Dynamics 365 для доступа к рабочим средам. Это универсальное приложение не может быть ограничено Microsoft Entra ID элементами управления авторизации и может быть злоупотреблять для получения несанкционированного доступа через веб-API. |
— DataverseDataverseActivity— AzureActiveDirectory SigninLogs |
Выполнение |
| Dataverse — действия по управлению удостоверениями за пределами членства в роли привилегированного каталога | Обнаруживает события администрирования удостоверений в Dataverse/Dynamics 365, созданные учетными записями, которые не являются членами следующих привилегированных ролей каталога: администраторы Dynamics 365, администраторы Power Platform или глобальные администраторы | — DataverseDataverseActivity- UEBA IdentityInfo |
PrivilegeEscalation |
| Dataverse — изменения в управлении удостоверениями без MFA | Используется для отображения операций администрирования привилегированных удостоверений в Dataverse, выполняемых учетными записями, которые вошли в систему без использования MFA. | — DataverseDataverseActivity— AzureActiveDirectory SigninLogs, DataverseActivity |
InitialAccess |
| Power Apps — аномальный массовый общий доступ к Power App только что созданным гостевым пользователям | Запрос обнаруживает аномальные попытки выполнить массовый общий доступ к Power App только что созданным гостевым пользователям. |
Источники данных: PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess, LateralMovement, ResourceDevelopment |
Сборники схем
Это решение содержит сборники схем, которые можно использовать для автоматизации реагирования системы безопасности на инциденты и оповещения в Microsoft Sentinel.
| Имя сборника схем | Описание |
|---|---|
| Рабочий процесс безопасности: проверка оповещений с владельцами рабочей нагрузки | Этот сборник схем позволяет снизить нагрузку на SOC, разгрузив ит-администраторам проверку оповещений для определенных правил аналитики. Он активируется при создании оповещения Microsoft Sentinel, создает сообщение (и связанное с ним электронное письмо с уведомлением) в канале Microsoft Teams владельца рабочей нагрузки с подробными сведениями об оповещении. Если владелец рабочей нагрузки ответит, что действие не авторизовано, оповещение будет преобразовано в инцидент в Microsoft Sentinel для обработки SOC. |
| Dataverse: отправка уведомления руководителю | Этот сборник схем может активироваться при возникновении инцидента Microsoft Sentinel и автоматически отправляет уведомление по электронной почте руководителю затронутых сущностей пользователей. Сборник схем можно настроить для отправки в диспетчер Dynamics 365 или с помощью диспетчера в Office 365. |
| Dataverse: добавление пользователя в список блокировок (триггер инцидента) | Этот сборник схем может активироваться при возникновении инцидента Microsoft Sentinel и автоматически добавлять затронутые сущности пользователей в предварительно определенную группу Microsoft Entra, что приведет к блокировке доступа. Группа Microsoft Entra используется с условным доступом для блокировки входа в Dataverse. |
| Dataverse: добавление пользователя в список блокировок с помощью рабочего процесса утверждения Outlook | Этот сборник схем может активироваться при возникновении инцидента Microsoft Sentinel и автоматически добавлять затронутые сущности пользователей в предварительно определенную группу Microsoft Entra с помощью рабочего процесса утверждения на основе Outlook, что приведет к блокировке доступа. Группа Microsoft Entra используется с условным доступом для блокировки входа в Dataverse. |
| Dataverse: добавление пользователя в список блокировок с помощью рабочего процесса утверждения Teams | Этот сборник схем может активироваться при возникновении инцидента Microsoft Sentinel и автоматически добавлять затронутые сущности пользователей в предварительно определенную группу Microsoft Entra с помощью рабочего процесса адаптивного карта утверждения Teams, что приведет к блокировке доступа. Группа Microsoft Entra используется с условным доступом для блокировки входа в Dataverse. |
| Dataverse: добавление пользователя в список блокировок (триггер оповещения) | Этот сборник схем можно активировать по запросу при вызове оповещения Microsoft Sentinel, что позволяет аналитику добавлять затронутые сущности пользователей в предварительно определенную группу Microsoft Entra, что приводит к блокировке доступа. Группа Microsoft Entra используется с условным доступом для блокировки входа в Dataverse. |
| Dataverse: удаление пользователя из списка блокировок | Этот сборник схем можно активировать по запросу при возникновении оповещения Microsoft Sentinel, что позволяет аналитику удалять затронутые сущности пользователей из предварительно определенной Microsoft Entra группы, используемой для блокировки доступа. Группа Microsoft Entra используется с условным доступом для блокировки входа в Dataverse. |
| Dataverse: добавление сайтов SharePoint в список отслеживания | Этот сборник схем используется для добавления новых или обновленных сайтов управления документами SharePoint в список отслеживания конфигурации. В сочетании с запланированным правилом аналитики, отслеживая журнал действий Dataverse, этот сборник схем активируется при добавлении нового сопоставления сайта управления документами SharePoint. Сайт будет добавлен в список отслеживания для расширения охвата мониторинга. |
Книги
Microsoft Sentinel книги — это настраиваемые интерактивные панели мониторинга в Microsoft Sentinel, которые упрощают эффективную визуализацию, анализ и исследование данных безопасности аналитиками. Это решение включает в себя книгу действий Dynamics 365, в которой представлено визуальное представление действий в Microsoft Dynamics 365 Customer Engagement/Dataverse, включая статистику получения записей и диаграмму аномалий.
Списки просмотров
Это решение включает список отслеживания MSBizApps-Configuration и требует, чтобы пользователи создавали дополнительные списки отслеживания на основе следующих шаблонов списков отслеживания:
- VIPUsers
- NetworkAddresses
- TerminatedEmployees
Дополнительные сведения см. в разделах Списки просмотра в Microsoft Sentinel и Создание списков отслеживания.
Встроенные средства синтаксического анализа
Решение включает средства синтаксического анализа, которые используются для доступа к данным из необработанных таблиц данных. Средства синтаксического анализа гарантируют, что правильные данные возвращаются с согласованной схемой. Рекомендуется использовать средства синтаксического анализа, а не напрямую запрашивать списки отслеживания.
| Анализатора | Возвращаемые данные | Таблица запрашивается |
|---|---|---|
| MSBizAppsOrgSettings | Список доступных параметров для всей организации, доступных в Dynamics 365 Customer Engagement / Dataverse | н/д |
| MSBizAppsVIPUsers | Средство синтаксического анализа для списка просмотров VIPUsers |
VIPUsers из шаблона списка отслеживания |
| MSBizAppsNetworkAddresses | Средство синтаксического анализа для списка отслеживания NetworkAddresses |
NetworkAddresses из шаблона списка отслеживания |
| MSBizAppsTerminatedEmployees | Средство синтаксического анализа для списка отслеживания TerminatedEmployees |
TerminatedEmployees из шаблона списка отслеживания |
| DataverseSharePointSites | Сайты SharePoint, используемые в управлении документами Dataverse |
MSBizApps-Configuration Список просмотров, отфильтрованный по категории "SharePoint" |
Дополнительные сведения о правилах аналитики см. в статье Обнаружение угроз в готовом режиме.