Solução Microsoft Sentinel para Microsoft Power Platform: referência de conteúdo de segurança
Este artigo detalha o conteúdo de segurança disponível para a solução Microsoft Sentinel para Power Platform. Para obter mais informações sobre essa solução, consulte Visão geral da solução Microsoft Sentinel para Microsoft Power Platform.
Importante
- A solução Microsoft Sentinel para Power Platform está atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
- A solução é uma oferta premium. As informações de preços estarão disponíveis antes que a solução se torne disponível ao público.
- Forneça feedback sobre esta solução preenchendo esta pesquisa: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Regras de análise incorporadas
As regras analíticas a seguir são incluídas quando você instala a solução para Power Platform. As fontes de dados listadas incluem o nome do conector de dados e a tabela no Log Analytics. Para evitar a falta de dados nas fontes de inventário, recomendamos que você não altere o período de retrospetiva padrão definido nos modelos de regra analítica.
| Nome da regra | Description | Ação de origem | Táticas |
|---|---|---|---|
| PowerApps - Atividade de aplicativos de geo não autorizada | Identifica a atividade do Power Apps de países em uma lista predefinida de países não autorizados. Obtenha a lista de códigos de país ISO 3166-1 alpha-2 da ISO Online Browsing Platform (OBP). Essa deteção usa logs ingeridos do Microsoft Entra ID e requer que você também habilite o conector de dados do Microsoft Entra ID. |
Execute uma atividade no Power App a partir de um país que esteja na lista de códigos de país não autorizados. Fontes de dados: - Power Platform Inventory (usando o Azure Functions) InventoryAppsInventoryEnvironments- Atividade de administração da Microsoft Power Platform (visualização) PowerPlatformAdminActivity- ID do Microsoft Entra SigninLogs |
Acesso inicial |
| PowerApps - Vários aplicativos excluídos | Identifica a atividade de exclusão em massa em que vários Power Apps são excluídos, correspondendo a um limite predefinido de total de aplicativos excluídos ou eventos excluídos de aplicativos em vários ambientes da Power Platform. | Elimine muitas Power Apps do centro de administração da Power Platform. Origens de Dados: - Power Platform Inventory (usando o Azure Functions) InventoryAppsInventoryEnvironments- Atividade de administração da Microsoft Power Platform (visualização) PowerPlatformAdminActivity |
Impacto |
| PowerApps - Destruição de dados após a publicação de um novo aplicativo | Identifica uma cadeia de eventos quando um novo aplicativo é criado ou publicado e é seguido dentro de 1 hora por eventos de atualização ou exclusão em massa no Dataverse. Se o editor do aplicativo estiver na lista de usuários no modelo de lista de observação TerminatedEmployees , a gravidade do incidente será aumentada. | Exclua vários registros no Power Apps dentro de 1 hora após o Power App ser criado ou publicado. Origens de Dados: - Power Platform Inventory (usando o Azure Functions) InventoryAppsInventoryEnvironments- Atividade de administração da Microsoft Power Platform (visualização) PowerPlatformAdminActivity- Microsoft Dataverse (Pré-visualização) DataverseActivity |
Impacto |
| PowerApps - Vários usuários acessando um link mal-intencionado após iniciar um novo aplicativo | Identifica uma cadeia de eventos quando um novo Power App é criado e é seguido por estes eventos: - Vários usuários iniciam o aplicativo dentro da janela de deteção. - Vários utilizadores abrem o mesmo URL malicioso. Essa deteção correlaciona os logs de execução do Power Apps com eventos de clique em URL mal-intencionados de uma das seguintes fontes: - O conector de dados Microsoft 365 Defender ou - Indicadores maliciosos de comprometimento de URL (IOC) no Microsoft Sentinel Threat Intelligence com o analisador de normalização de sessão web Advanced Security Information Model (ASIM). Obtenha o número distinto de usuários que iniciam ou clicam no link mal-intencionado criando uma consulta. |
Vários usuários iniciam um novo PowerApp e abrem uma URL maliciosa conhecida do aplicativo. Origens de Dados: - Power Platform Inventory (usando o Azure Functions) InventoryAppsInventoryEnvironments- Atividade de administração da Microsoft Power Platform (visualização) PowerPlatformAdminActivity- Inteligência de ameaças ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
Acesso inicial |
| PowerAutomate - Atividade de fluxo de funcionários que sai | Identifica instâncias em que um funcionário que foi notificado ou já foi demitido e está na lista de observação Funcionários Demitidos, cria ou modifica um fluxo de Power Automatic. | O usuário definido na lista de observação Funcionários demitidos cria ou atualiza um fluxo do Power Automatic. Origens de Dados: Microsoft Power Automate (Pré-visualização) PowerAutomateActivity- Power Platform Inventory (usando o Azure Functions) InventoryFlowsInventoryEnvironmentsLista de observação de funcionários demitidos |
Exfiltração, impacto |
| PowerPlatform - Conector adicionado a um ambiente sensível | Identifica a criação de novos conectores de API dentro da Power Platform, visando especificamente uma lista predefinida de ambientes sensíveis. | Adicione um novo conector Power Platform em um ambiente confidencial Power Platform. Origens de Dados: - Atividade de administração da Microsoft Power Platform (visualização) PowerPlatformAdminActivity- Power Platform Inventory (usando o Azure Functions) InventoryAppsInventoryEnvironmentsInventoryAppsConnections |
Execução, Exfiltração |
| PowerPlatform - Política de DLP atualizada ou removida | Identifica alterações na política de prevenção de perda de dados, especificamente políticas que são atualizadas ou removidas. | Atualize ou remova uma política de prevenção de perda de dados da Power Platform no ambiente da Power Platform. Origens de Dados: Atividade de administração da Microsoft Power Platform (Pré-visualização) PowerPlatformAdminActivity |
Evasão de Defesa |
| Dataverse - Exfiltração do usuário convidado após comprometimento da defesa da Power Platform | Identifica uma cadeia de eventos que começa com a desativação do isolamento do locatário da Power Platform e a remoção do grupo de segurança de acesso de um ambiente. Esses eventos estão correlacionados com alertas de exfiltração do Dataverse associados ao ambiente afetado e aos usuários convidados do Microsoft Entra criados recentemente. Ative outras regras de análise do Dataverse com a tática MITRE 'Exfiltração' antes de ativar esta regra. |
Como um usuário convidado criado recentemente, acione alertas de exfiltração do Dataverse depois que os controles de segurança da Power Platform forem desativados. Origens de Dados: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity- Power Platform Inventory (usando o Azure Functions) InventoryEnvironments |
Evasão de Defesa |
| Dataverse - Exportação em massa de registros para o Excel | Identifica usuários que exportam uma grande quantidade de registros do Dynamics 365 para o Excel. A quantidade de registros exportados é significativamente maior do que qualquer outra atividade recente desse usuário. Grandes exportações de usuários sem atividade recente são identificadas usando um limite predefinido. | Exporte muitos registros do Dataverse para o Excel. Origens de Dados: - Dataverse DataverseActivity- Power Platform Inventory (usando o Azure Functions) InventoryEnvironments |
Exfiltração |
| Dataverse - Recuperação em massa do usuário fora da atividade normal | Identifica usuários recuperando significativamente mais registros do Dataverse do que nas últimas 2 semanas. | O usuário recupera muitos registros do Dataverse Origens de Dados: - Dataverse DataverseActivity- Power Platform Inventory (usando o Azure Functions) InventoryEnvironments |
Exfiltração |
| Power Apps - Compartilhamento em massa de Power Apps para usuários convidados recém-criados | Identifica o compartilhamento em massa incomum de Power Apps para usuários convidados recém-criados do Microsoft Entra. O compartilhamento em massa incomum é baseado em um limite predefinido na consulta. | Partilhe uma aplicação com vários utilizadores externos. Origens de Dados: - Atividade de administração da Microsoft Power Platform (visualização) PowerPlatformAdminActivity- Power Platform Inventory (usando o Azure Functions) InventoryAppsInventoryEnvironments- ID do Microsoft Entra AuditLogs |
Desenvolvimento de Recursos, Acesso inicial, Movimento Lateral |
| Power Automate - Exclusão em massa incomum de recursos de fluxo | Identifica a exclusão em massa de fluxos do Power Automate que excedem um limite predefinido definido na consulta e se desviam dos padrões de atividade observados nos últimos 14 dias. | Exclusão em massa de fluxos do Power Automatic. Origens de Dados: - PowerAutomate PowerAutomateActivity |
Impacto, Evasão de Defesa |
| Power Platform - Acessos de usuários possivelmente comprometidos aos serviços da Power Platform | Identifica contas de usuário sinalizadas em risco no Microsoft Entra Identity Protection e correlaciona esses usuários com a atividade de entrada no Power Platform, incluindo Power Apps, Power Automate e Power Platform Admin Center. | O utilizador com sinais de risco acede aos portais da Power Platform. Origens de Dados: - ID do Microsoft Entra SigninLogs |
Acesso Inicial, Movimento Lateral |
Analisadores integrados
A solução inclui analisadores que são usados para acessar dados das tabelas de dados brutos. Os analisadores garantem que os dados corretos sejam retornados com um esquema consistente. Recomendamos que você use os analisadores em vez de consultar diretamente as tabelas de inventário e as listas de observação. Os analisadores relacionados ao inventário da Power Platform retornam dados dos últimos 7 dias.
| Analisador | Dados retornados | Tabela consultada |
|---|---|---|
InventoryApps |
Inventário de aplicativos de energia | PowerApps_CL |
InventoryAppsConnections |
Conexões do Power Apps Inventárioconexões | PowerAppsConnections_CL |
InventoryEnvironments |
Inventário de ambientes de plataforma de energia | PowerPlatrformEnvironments_CL |
InventoryFlows |
Automatize os fluxos de energia Inventário | PowerAutomateFlows_CL |
MSBizAppsTerminatedEmployees |
Lista de observação de funcionários demitidos (do modelo de lista de observação) | TerminatedEmployees |
GetPowerAppsEventDetails |
Retorna detalhes de eventos analisados para Power Apps / Connections | PowerPlatformAdminActivity |
Para obter mais informações sobre regras analíticas, consulte Detetar ameaças prontas para uso.