Référence de contenu de sécurité pour Microsoft Power Platform et Microsoft Dynamics 365 Customer Engagement
Cet article détaille le contenu de sécurité disponible pour la solution Microsoft Sentinel pour Power Platform. Pour plus d’informations sur cette solution, consultez solution Microsoft Sentinel pour Microsoft Power Platform et Microsoft Dynamics 365 Customer Engagement.
Important
- La solution Microsoft Sentinel pour Power Platform est actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
- Il s’agit d’une offre premium. Les informations sur la tarification seront disponibles avant que la solution soit accessible à tous.
- Envoyez des commentaires pour cette solution en remplissant cette enquête : https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Règles analytiques intégrées
Les règles analytiques suivantes sont incluses lorsque vous installez la solution pour Power Platform. Les sources de données répertoriées incluent le nom et la table du connecteur de données dans Log Analytics.
Règles Dataverse
| Nom de la règle | Description | Action source | Tactique |
|---|---|---|---|
| Dataverse - Activité utilisateur anormale de l’application | Identifie les anomalies dans les modèles d’activité des utilisateurs de l’application Dataverse (non interactive), en fonction de l’activité qui se situe en dehors du modèle normal d’utilisation. | Activité utilisateur S2S inhabituelle dans Dynamics 365 / Dataverse. Sources de données : – Dataverse DataverseActivity |
CredentialAccess, Exécution, Persistance |
| Dataverse - Suppression des données du journal d’audit | Identifie l’activité de suppression des données du journal d’audit dans Dataverse. | Suppression des journaux d’audit Dataverse. Sources de données : – Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse - Journalisation d’audit désactivée | Identifie une modification de la configuration d’audit du système dans laquelle la journalisation de l’audit est désactivée. | Audit global ou au niveau de l’entité désactivé. Sources de données : – Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse - Re-affectation ou partage de propriété d’enregistrement en bloc | Identifie les modifications apportées à la propriété d’enregistrement individuelle, notamment : - Partage d’enregistrements avec d’autres utilisateurs/équipes - Réaffectations de propriété qui dépassent un seuil prédéfini. |
De nombreux événements de propriété et de partage d’enregistrements générés dans la fenêtre de détection. Sources de données : – Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse - Exécutable chargé sur le site de gestion des documents SharePoint | Identifie les fichiers exécutables et les scripts chargés sur des sites SharePoint utilisés pour la gestion des documents Dynamics, en contournant les restrictions d’extension de fichier natives dans Dataverse. | Chargement de fichiers exécutables dans la gestion des documents Dataverse. Sources de données : - Office365 OfficeActivity (SharePoint) |
Exécution, persistance |
| Dataverse - Exporter l’activité à partir d’un employé arrêté ou averti | Identifie l’activité d’exportation Dataverse déclenchée par l’arrêt des employés ou les employés sur le point de quitter l’organisation. | Événements d’exportation de données associés aux utilisateurs sur le modèle watchlist TerminatedEmployees. Sources de données : – Dataverse DataverseActivity |
Exfiltration |
| Dataverse : exfiltration des données par un utilisateur invité suite à une altération de la défense de Power Platform | Identifie une chaîne d’événements commençant par la désactivation de l’isolation du locataire de Power Platform et la suppression du groupe de sécurité d’accès d’un environnement. Ces événements sont corrélés avec les alertes d’exfiltration Dataverse associées à l’environnement concerné et les utilisateurs invités Microsoft Entra récemment créés. Activez d’autres règles d’analytique Dataverse avec la tactique d’exfiltration MITRE avant d’activer cette règle. |
En tant que nouvel utilisateur invité, déclenchez des alertes d’exfiltration Dataverse après la désactivation des contrôles de sécurité Power Platform. Sources de données : – PowerPlatformAdmin PowerPlatformAdminActivity– Dataverse DataverseActivity |
Évasion de défense |
| Dataverse - Manipulation de la sécurité de la hiérarchie | Identifie les comportements suspects dans la sécurité de la hiérarchie. | Modifications apportées aux propriétés de sécurité, notamment : - Sécurité de la hiérarchie désactivée. - L’utilisateur se assigne lui-même en tant que responsable. - L’utilisateur s’affecte à une position surveillée (définie dans KQL). Sources de données : – Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse - Activité d’instance Honeypot | Identifie les activités dans une instance Honeypot Dataverse prédéfinie. Alertes lorsqu’une connexion à Honeypot est détectée ou quand des tables Dataverse surveillées dans Honeypot sont accessibles. |
Connectez-vous et accédez aux données dans une instance Honeypot Dataverse désignée dans Power Platform avec l’audit activé. Sources de données : – Dataverse DataverseActivity |
Découverte, Exfiltration |
| Dataverse - Connexion par un utilisateur privilégié sensible | Identifie les connexions Dataverse et Dynamics 365 par les utilisateurs sensibles. | Connectez-vous par les utilisateurs ajoutés sur la watchlist VIPUsers en fonction des balises définies dans KQL. Sources de données : – Dataverse DataverseActivity |
InitialAccess, CredentialAccess, PrivilegeEscalation |
| Dataverse - Connexion à partir d’une adresse IP dans la liste de blocs | Identifie l’activité de connexion Dataverse à partir d’adresses IPv4 qui se trouvent sur une liste de blocs prédéfinie. | Connectez-vous par un utilisateur avec une adresse IP qui fait partie d’une plage réseau bloquée. Les plages réseau bloquées sont conservées dans le modèle watchlist NetworkAddresses. Sources de données : – Dataverse DataverseActivity |
InitialAccess |
| Dataverse - Connexion à partir de l’adresse IP non dans la liste verte | Identifie les connexions à partir d’adresses IPv4 qui ne correspondent pas aux sous-réseaux IPv4 gérés sur une liste verte. | Connectez-vous par un utilisateur avec une adresse IP qui ne fait pas partie d’une plage réseau autorisée. Les plages réseau bloquées sont conservées dans le modèle watchlist NetworkAddresses. Sources de données : – Dataverse DataverseActivity |
InitialAccess |
| Dataverse - Programmes malveillants trouvés dans le site de gestion de documents SharePoint | Identifie les programmes malveillants chargés via la gestion de documents Dynamics 365 ou directement dans SharePoint, affectant les sites SharePoint associés à Dataverse. | Fichier malveillant dans le site SharePoint lié à Dataverse. Sources de données : – Dataverse DataverseActivity- Office365 OfficeActivity (SharePoint) |
Exécution |
| Dataverse - Suppression massive d’enregistrements | Identifie les opérations de suppression d’enregistrements à grande échelle en fonction d’un seuil prédéfini. Détecte également les travaux de suppression en bloc planifiés. |
Suppression d’enregistrements dépassant le seuil défini dans KQL. Sources de données : – Dataverse DataverseActivity |
Impact |
| Dataverse - Téléchargement en masse à partir de la gestion des documents SharePoint | Identifie le téléchargement en masse au cours de la dernière heure de fichiers à partir de sites SharePoint configurés pour la gestion des documents dans Dynamics 365. | Téléchargement en masse dépassant le seuil défini dans KQL. Cette règle d’analyse utilise la liste de surveillance MSBizApps-Configuration pour identifier les sites SharePoint utilisés pour la gestion des documents. Sources de données : - Office365 OfficeActivity (SharePoint) |
Exfiltration |
| Dataverse : exportation massive d’enregistrements vers Excel | Identifie les utilisateurs qui exportent un grand nombre d’enregistrements de Dynamics 365 vers Excel, où le nombre d’enregistrements exportés est nettement supérieur à toute autre activité récente par cet utilisateur. De grandes exportations provenant d’utilisateurs sans activité récente sont identifiées à l’aide d’un seuil prédéfini. |
Exportez de nombreux enregistrements de Dataverse vers Excel. Sources de données : – Dataverse DataverseActivity |
Exfiltration |
| Dataverse - Mises à jour des enregistrements de masse | Détecte les modifications de mise à jour des enregistrements de masse dans Dataverse et Dynamics 365, dépassant un seuil prédéfini. | La mise à jour massive des enregistrements dépasse le seuil défini dans KQL. Sources de données : – Dataverse DataverseActivity |
Impact |
| Dataverse - Nouveau type d’activité utilisateur de l’application Dataverse | Identifie les types d’activité nouveaux ou précédemment invisibles associés à un utilisateur d’application Dataverse (non interactif). | Nouveaux types d’activités utilisateur S2S. Sources de données : – Dataverse DataverseActivity |
CredentialAccess, Execution, PrivilegeEscalation |
| Dataverse - Nouvelle identité non interactive accordée à l’accès | Identifie les octrois d’accès au niveau de l’API, soit via les autorisations déléguées d’une application Microsoft Entra, soit par affectation directe dans Dataverse en tant qu’utilisateur d’application. | Autorisations Dataverse ajoutées à un utilisateur non interactif. Sources de données : – Dataverse DataverseActivity- AzureActiveDirectory AuditLogs |
Persistance, LateralMovement, PrivilegeEscalation |
| Dataverse - Nouvelle connexion à partir d’un domaine non autorisé | Identifie l’activité de connexion Dataverse provenant d’utilisateurs avec des suffixes UPN qui n’ont pas été vus précédemment au cours des 14 derniers jours et qui ne sont pas présents sur une liste prédéfinie de domaines autorisés. Les utilisateurs courants du système Power Platform interne sont exclus par défaut. |
Connectez-vous par un utilisateur externe à partir d’un suffixe de domaine non autorisé. Sources de données : – Dataverse DataverseActivity |
InitialAccess |
| Dataverse - Nouveau type d’agent utilisateur qui n’a pas été utilisé avant | Identifie les utilisateurs accédant à Dataverse à partir d’un agent utilisateur qui n’a pas été vu dans une instance Dataverse au cours des 14 derniers jours. | Activité dans Dataverse à partir d’un nouvel agent utilisateur. Sources de données : – Dataverse DataverseActivity |
InitialAccess, DefenseEvasion |
| Dataverse - Nouveau type d’agent utilisateur qui n’a pas été utilisé avec Office 365 | Identifie les utilisateurs accédant à Dynamics avec un agent utilisateur qui n’a pas été vu dans les charges de travail Office 365 au cours des 14 derniers jours. | Activité dans Dataverse à partir d’un nouvel agent utilisateur. Sources de données : – Dataverse DataverseActivity |
InitialAccess |
| Dataverse - Paramètres de l’organisation modifiés | Identifie les modifications apportées au niveau de l’organisation dans l’environnement Dataverse. | Propriété au niveau de l’organisation modifiée dans Dataverse. Sources de données : – Dataverse DataverseActivity |
Persistance |
| Dataverse - Suppression des extensions de fichier bloquées | Identifie les modifications apportées aux extensions de fichier bloquées d’un environnement et extrait l’extension supprimée. | Suppression des extensions de fichier bloquées dans les propriétés Dataverse. Sources de données : – Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse - Site de gestion des documents SharePoint ajouté ou mis à jour | Identifie les modifications de l’intégration de la gestion des documents SharePoint. La gestion des documents permet de stocker des données situées en externe vers Dataverse. Combinez cette règle d’analyse avec le Dataverse : ajoutez des sites SharePoint à la liste de surveillance playbook pour mettre à jour automatiquement la watchlist Dataverse-SharePointSites. Cette liste de surveillance peut être utilisée pour mettre en corrélation les événements entre Dataverse et SharePoint lors de l’utilisation du connecteur de données Office 365. |
Mappage de site SharePoint ajouté dans Gestion des documents. Sources de données : – Dataverse DataverseActivity |
Exfiltration |
| Dataverse - Modifications suspectes du rôle de sécurité | Identifie un modèle inhabituel d’événements dans lequel un nouveau rôle est créé, suivi du créateur qui ajoute des membres au rôle et supprime ultérieurement le membre ou supprime le rôle après une courte période. | Modifications apportées aux rôles de sécurité et aux attributions de rôles. Sources de données : – Dataverse DataverseActivity |
PrivilegeEscalation |
| Dataverse - Utilisation suspecte du point de terminaison TDS | Identifie les requêtes basées sur le protocole Dataverse TDS (Flux de données tabulaires), où l’utilisateur source ou l’adresse IP a des alertes de sécurité récentes et que le protocole TDS n’a pas été utilisé précédemment dans l’environnement cible. | Utilisation soudaine du point de terminaison TDS en corrélation avec les alertes de sécurité. Sources de données : – Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
Exfiltration, InitialAccess |
| Dataverse - Utilisation suspecte de l’API web | Identifie les connexions entre plusieurs environnements Dataverse qui dépassent un seuil prédéfini et proviennent d’un utilisateur avec une adresse IP utilisée pour se connecter à une inscription d’application Microsoft Entra connue. | Connectez-vous à l’aide de WebAPI dans plusieurs environnements à l’aide d’un ID d’application publique connu. Sources de données : – Dataverse DataverseActivity- AzureActiveDirectory SigninLogs |
Exécution, Exfiltration, Reconnaissance, Découverte |
| Dataverse - TI mappez l’adresse IP à DataverseActivity | Identifie une correspondance dans DataverseActivity à partir de n’importe quel CIO IP de Microsoft Sentinel Threat Intelligence. | Activité Dataverse avec le CIO correspondant à l’adresse IP. Sources de données : – Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, LateralMovement, Discovery |
| Dataverse - URL de mappage TI vers DataverseActivity | Identifie une correspondance dans DataverseActivity à partir de n’importe quel CIO d’URL de Microsoft Sentinel Threat Intelligence. | Activité Dataverse avec URL correspondant au CIO. Sources de données : – Dataverse DataverseActivityThreatIntelligence ThreatIntelligenceIndicator |
InitialAccess, Exécution, Persistance |
| Dataverse - Exfiltration des employés arrêtés par e-mail | Identifie l’exfiltration Dataverse par e-mail en mettant fin aux employés. | E-mails envoyés à des domaines de destinataires non approuvés après les alertes de sécurité corrélées avec les utilisateurs sur la watchlist TerminatedEmployees. Sources de données : MicrosoftThreatProtection EmailEventsIdentityInfo- AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
Exfiltration |
| Dataverse - Exfiltration des employés arrêtés sur un lecteur USB | Identifie les fichiers téléchargés à partir de Dataverse par des employés sortants ou arrêtés, et sont copiés sur des lecteurs montés sur USB. | Fichiers provenant de Dataverse copiés vers USB par un utilisateur sur la watchlist TerminatedEmployees. Sources de données : – Dataverse DataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
Exfiltration |
| Dataverse - Connexion inhabituelle après la protection de liaison de cookie basée sur l’adresse IP désactivée | Identifie les agents IP et utilisateur précédemment invisibles dans une instance Dataverse après la désactivation de la protection de liaison de cookie. Pour plus d’informations, consultez protection des sessions Dataverse avec la liaison de cookies IP. |
Nouvelle activité de connexion. Sources de données : – Dataverse DataverseActivity |
DefenseEvasion |
| Dataverse : récupération en masse d’utilisateurs en dehors de l’activité normale | Identifie les utilisateurs qui récupèrent beaucoup plus d’enregistrements à partir de Dataverse qu’au cours des deux dernières semaines. | L’utilisateur récupère de nombreux enregistrements à partir de Dataverse et inclut le seuil défini par KQL. Sources de données : – Dataverse DataverseActivity |
Exfiltration |
Règles Power Apps
| Nom de la règle | Description | Action source | Tactique |
|---|---|---|---|
| Power Apps - Activité d’application à partir d’une zone géographique non autorisée | Identifie l’activité Power Apps à partir de régions géographiques dans une liste prédéfinie de régions géographiques non autorisées. Cette détection obtient la liste des codes pays ISO 3166-1 alpha-2 de plateforme de navigation ISO Online (OBP). Cette détection utilise les journaux ingérés à partir de Microsoft Entra ID, et vous oblige également à activer le connecteur de données Microsoft Entra ID. |
Exécutez une activité dans une application Power App à partir d’une région géographique qui se trouve dans la liste de codes pays non autorisé. Sources de données : – Activité administrative Microsoft Power Platform (Préversion) PowerPlatformAdminActivity- Microsoft Entra ID SigninLogs |
Accès initial |
| Power Apps - Plusieurs applications supprimées | Identifie l’activité de suppression en masse lorsque plusieurs applications Power Apps sont supprimées, correspondant à un seuil prédéfini du nombre total d’applications supprimées ou d’événements supprimés d’application dans plusieurs environnements Power Platform. | Supprimez de nombreuses applications Power Apps du Centre d’administration Power Platform. Sources de données : – Activité administrative Microsoft Power Platform (Préversion) PowerPlatformAdminActivity |
Impact |
| Power Apps - Destruction des données après la publication d’une nouvelle application | Identifie une chaîne d’événements lorsqu’une nouvelle application est créée ou publiée et est suivie dans un délai de 1 heure par une mise à jour de masse ou un événement de suppression dans Dataverse. | Supprimez de nombreux enregistrements dans Power Apps dans un délai de 1 heure après la création ou la publication de Power App. Si l'éditeur de l'application figure dans la liste des utilisateurs du modèle de liste de surveillance TerminatedEmployees, la gravité de l’incident est augmentée. Sources de données : – Activité administrative Microsoft Power Platform (Préversion) PowerPlatformAdminActivity– Microsoft Dataverse (Préversion) DataverseActivity |
Impact |
| Power Apps - Plusieurs utilisateurs accédant à un lien malveillant après le lancement d’une nouvelle application | Identifie une séquence d’événements lorsqu’une nouvelle application Power App est créée et suivie de ces événements : – Plusieurs utilisateurs lancent l’application dans la fenêtre de détection. – Plusieurs utilisateurs ouvrent la même URL malveillante. Cette détection met en corrélation les journaux d’exécution De Power Apps avec des événements de sélection d’URL malveillants à partir de l’une des sources suivantes : – le connecteur de données Microsoft 365 Defender ou ; – les indicateurs de compromission d’URL malveillantes dans Microsoft Sentinel Threat Intelligence avec l’analyseur de normalisation de session web ASIM (Advanced Security Information Model). Cette détection obtient le nombre distinct d’utilisateurs qui lancent ou sélectionnent le lien malveillant en créant une requête. |
Plusieurs utilisateurs lancent une nouvelle application PowerApp et ouvrent une URL malveillante connue à partir de l’application. Sources de données : – Activité administrative Microsoft Power Platform (Préversion) PowerPlatformAdminActivity– Veille des menaces ThreatIntelligenceIndicator– Microsoft Defender XDR UrlClickEvents |
Accès initial |
| Power Apps : partage en masse de Power Apps pour les utilisateurs invités nouvellement créés | Identifie le partage en masse inhabituel de Power Apps pour les utilisateurs invités Microsoft Entra nouvellement créés. Le partage en masse inhabituel est basé sur un seuil prédéfini dans la requête. | Partagez une application avec plusieurs utilisateurs externes. Sources de données : – Activité administrative Microsoft Power Platform (Préversion) PowerPlatformAdminActivity- Microsoft Entra IDAuditLogs |
Développement de ressources, Accès initial, Mouvement latéral |
Règles Power Automate
| Nom de la règle | Description | Action source | Tactique |
|---|---|---|---|
| Power Automate - Activité de flux des employés sortants | Identifie les instances où un employé qui a été alerté ou qui ne fait plus partie de l’entreprise et se trouve sur la Watchlist Employés licenciés, crée ou modifie un flux Power Automate. | L’utilisateur défini dans la watchlist TerminatedEmployees crée ou met à jour un flux Power Automate. Sources de données : Microsoft Power Automate (Préversion) PowerAutomateActivityWatchlist TerminatedEmployees |
Exfiltration, impact |
| Power Automate : suppression en masse inhabituelle des ressources de flux | Identifie la suppression en masse des flux Power Automate qui dépassent un seuil prédéfini défini dans la requête et s’écartent des modèles d’activité observés au cours des 14 derniers jours. | Suppression en masse des flux Power Automate. Sources de données : – PowerAutomate PowerAutomateActivity |
Impact, Évasion de défense |
Règles Power Platform
| Nom de la règle | Description | Action source | Tactique |
|---|---|---|---|
| Power Platform - Connecteur ajouté à un environnement sensible | Identifie la création de connecteurs d’API dans Power Platform, ciblant spécifiquement une liste prédéfinie d’environnements sensibles. | Ajoutez un nouveau connecteur Power Platform dans un environnement Power Platform sensible. Sources de données : – Activité administrative Microsoft Power Platform (Préversion) PowerPlatformAdminActivity |
Exécution, Exfiltration |
| Power Platform - Stratégie DLP mise à jour ou supprimée | Identifie les modifications apportées à la stratégie de prévention de la perte de données, en particulier les stratégies mises à jour ou supprimées. | Mettez à jour ou supprimez une stratégie de protection contre la perte de données Power Platform dans l’environnement Power Platform. Sources de données : Activité administrative Microsoft Power Platform (Préversion) PowerPlatformAdminActivity |
Évasion de défense |
| Power Platform : un utilisateur potentiellement compromis accède aux services Power Platform | Identifie les comptes d’utilisateur marqués au risque dans Microsoft Entra ID Protection et met en corrélation ces utilisateurs avec l’activité de connexion dans Power Platform, notamment Power Apps, Power Automate et Power Platform Admin Center. | Un utilisateur présentant des signaux de risque accède aux portails Power Platform. Sources de données : - Microsoft Entra ID SigninLogs |
Accès initial, Déplacement latéral |
| Power Platform - Compte ajouté aux rôles Microsoft Entra privilégiés | Identifie les modifications apportées aux rôles d’annuaire privilégiés suivants qui affectent Power Platform : - Administrateurs Dynamics 365 - Administrateurs Power Platform - Administrateurs Fabric |
Sources de données : AzureActiveDirectory AuditLogs |
PrivilegeEscalation |
Requêtes de chasse
La solution inclut des requêtes de chasse qui peuvent être utilisées par les analystes pour chasser de manière proactive des activités malveillantes ou suspectes dans les environnements Dynamics 365 et Power Platform.
| Nom de la règle | Description | Source de données | Tactique |
|---|---|---|---|
| Dataverse - Activité après les alertes Microsoft Entra | Cette requête de repérage recherche les utilisateurs qui effectuent une activité Dataverse/Dynamics 365 peu après une alerte Protection Microsoft Entra ID pour cet utilisateur. La requête recherche uniquement les utilisateurs qui ne sont pas vus avant ou qui effectuent une activité Dynamics qui n’a pas été vue précédemment. |
– Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
InitialAccess |
| Dataverse - Activité après échec de l’ouverture de session | Cette requête de repérage recherche les utilisateurs qui effectuent une activité Dataverse/Dynamics 365 peu après l’échec de plusieurs connexions. Utilisez cette requête pour rechercher une activité post-brute potentielle. Ajustez la figure de seuil en fonction du taux faux positif. |
– DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
InitialAccess |
| Dataverse - Activité d’exportation de données inter-environnements | Recherche l’activité d’exportation de données sur un nombre prédéterminé d’instances Dataverse. L’activité d’exportation de données dans plusieurs environnements peut indiquer une activité suspecte, car les utilisateurs travaillent généralement sur quelques environnements uniquement. |
– DataverseDataverseActivity |
Exfiltration, Collection |
| Dataverse - Exportation Dataverse copiée sur des périphériques USB | Utilise des données de Microsoft Defender XDR pour détecter les fichiers téléchargés à partir d’une instance Dataverse et copiés sur un lecteur USB. | – DataverseDataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
Exfiltration |
| Dataverse - Application cliente générique utilisée pour accéder aux environnements de production | Détecte l’utilisation de l'« exemple d’application Dynamics 365 » intégrée pour accéder aux environnements de production. Cette application générique ne peut pas être restreinte par les contrôles d’autorisation Microsoft Entra ID et peut être abusée pour obtenir un accès non autorisé via l’API web. |
– DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
Exécution |
| Dataverse - Activité de gestion des identités en dehors de l’appartenance au rôle d’annuaire privilégié | Détecte les événements d’administration des identités dans Dataverse/Dynamics 365 effectués par les comptes qui ne sont pas membres des rôles d’annuaire privilégiés suivants : Administrateurs Dynamics 365, Administrateurs Power Platform ou Administrateurs généraux | – DataverseDataverseActivity- UEBA IdentityInfo |
PrivilegeEscalation |
| Dataverse - Modifications de gestion des identités sans authentification multifacteur | Utilisé pour afficher les opérations d’administration d’identité privilégiées dans Dataverse effectuées par des comptes connectés sans utiliser l’authentification multifacteur. | – DataverseDataverseActivity- AzureActiveDirectory SigninLogs, DataverseActivity |
InitialAccess |
| Power Apps - Partage anormal de Power App pour les utilisateurs invités nouvellement créés | La requête détecte les tentatives anormales d’effectuer le partage en bloc d’une application Power App pour les utilisateurs invités nouvellement créés. | Sources de données : PowerPlatformAdmin, AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
InitialAccess, LateralMovement, ResourceDevelopment |
Playbooks
Cette solution contient des playbooks qui peuvent être utilisés pour automatiser la réponse à la sécurité aux incidents et aux alertes dans Microsoft Sentinel.
| Nom du playbook | Description |
|---|---|
| Flux de travail de sécurité : vérification des alertes avec les propriétaires de charge de travail | Ce playbook peut réduire la charge sur le SOC en déchargeant la vérification des alertes auprès des administrateurs informatiques pour des règles d’analytique spécifiques. Il est déclenché lorsqu’une alerte Microsoft Sentinel est générée, crée un message (et un e-mail de notification associé) dans le canal Microsoft Teams du propriétaire de la charge de travail contenant les détails de l’alerte. Si le propriétaire de la charge de travail répond que l’activité n’est pas autorisée, l’alerte est convertie en incident dans Microsoft Sentinel pour que le SOC gère. |
| Dataverse : Envoyer une notification au gestionnaire | Ce playbook peut être déclenché lorsqu’un incident Microsoft Sentinel est déclenché et envoie automatiquement une notification par e-mail au responsable des entités utilisateur concernées. Le Playbook peut être configuré pour envoyer soit au gestionnaire Dynamics 365, soit à l’aide du gestionnaire dans Office 365. |
| Dataverse : Ajouter un utilisateur à liste de blocage (déclencheur d’incident) | Ce playbook peut être déclenché lorsqu’un incident Microsoft Sentinel est déclenché et ajoute automatiquement des entités utilisateur affectées à un groupe Microsoft Entra prédéfini, ce qui entraîne un accès bloqué. Le groupe Microsoft Entra est utilisé avec l’accès conditionnel pour bloquer la connexion au Dataverse. |
| Dataverse : Ajouter un utilisateur à la liste de blocage à l’aide du flux de travail d’approbation Outlook | Ce playbook peut être déclenché lorsqu’un incident Microsoft Sentinel est déclenché et ajoute automatiquement des entités utilisateur affectées à un groupe Microsoft Entra prédéfini, à l’aide d’un flux de travail d’approbation basé sur Outlook, ce qui entraîne un accès bloqué. Le groupe Microsoft Entra est utilisé avec l’accès conditionnel pour bloquer la connexion au Dataverse. |
| Dataverse : Ajouter un utilisateur à la liste de blocage à l’aide du flux de travail d’approbation Teams | Ce playbook peut être déclenché lorsqu’un incident Microsoft Sentinel est déclenché et ajoute automatiquement des entités utilisateur affectées à un groupe Microsoft Entra prédéfini, à l’aide d’un flux de travail d’approbation de carte adaptative Teams, ce qui bloque l’accès. Le groupe Microsoft Entra est utilisé avec l’accès conditionnel pour bloquer la connexion au Dataverse. |
| Dataverse : Ajouter un utilisateur à blocklist (déclencheur d’alerte) | Ce playbook peut être déclenché à la demande lorsqu’une alerte Microsoft Sentinel est déclenchée, ce qui permet à l’analyste d’ajouter des entités utilisateur affectées à un groupe Microsoft Entra prédéfinis, ce qui entraîne un accès bloqué. Le groupe Microsoft Entra est utilisé avec l’accès conditionnel pour bloquer la connexion au Dataverse. |
| Dataverse : Supprimer l’utilisateur de la liste de blocage | Ce playbook peut être déclenché à la demande lorsqu’une alerte Microsoft Sentinel est déclenchée, ce qui permet à l’analyste de supprimer les entités utilisateur affectées d’un groupe Microsoft Entra prédéfinis utilisé pour bloquer l’accès. Le groupe Microsoft Entra est utilisé avec l’accès conditionnel pour bloquer la connexion au Dataverse. |
| Dataverse : Ajouter des sites SharePoint à la liste de surveillance | Ce playbook est utilisé pour ajouter des sites de gestion de documents SharePoint nouveaux ou mis à jour dans la liste de surveillance de configuration. Lorsqu’il est combiné à une règle d’analytique planifiée qui surveille le journal d’activité Dataverse, ce Playbook se déclenche lorsqu’un nouveau mappage de site de gestion de documents SharePoint est ajouté. Le site sera ajouté à une liste de surveillance pour étendre la couverture de surveillance. |
Workbooks
Les classeurs Microsoft Sentinel sont des tableaux de bord interactifs personnalisables au sein de Microsoft Sentinel qui facilitent la visualisation, l’analyse et l’examen efficaces des données de sécurité des analystes. Cette solution inclut le classeur d’activité Dynamics 365, qui présente une représentation visuelle de l’activité dans Microsoft Dynamics 365 Customer Engagement / Dataverse, y compris les statistiques d’extraction d’enregistrements et un graphique d’anomalies.
Watchlists
Cette solution inclut la watchlist MSBizApps-Configuration, et nécessite que les utilisateurs créent des watchlists supplémentaires en fonction des modèles watchlist suivants :
- VIPUsers
- NetworkAddresses
- TerminatedEmployees
Pour plus d’informations, consultez Watchlists dans Microsoft Sentinel et Créer des watchlists.
Analyseurs intégrés
La solution inclut des analyseurs utilisés pour accéder aux données à partir de tables de données brutes. Les analyseurs veillent à ce que les données correctes soient retournées avec un schéma cohérent. Nous vous recommandons d’utiliser les analyseurs au lieu d’interroger directement les watchlists.
| Parser | Données retournées | Table interrogée |
|---|---|---|
| MSBizAppsOrgSettings | Liste des paramètres à l’échelle de l’organisation disponibles dans Dynamics 365 Customer Engagement / Dataverse | n/a |
| MSBizAppsVIPUsers | Analyseur pour la watchlist VIPUsers | VIPUsers à partir du modèle watchlist |
| MSBizAppsNetworkAddresses | Analyseur pour la watchlist NetworkAddresses | NetworkAddresses à partir du modèle watchlist |
| MSBizAppsTerminatedEmployees | Analyseur pour la watchlist TerminatedEmployees | TerminatedEmployees à partir du modèle watchlist |
| DataverseSharePointSites | Sites SharePoint utilisés dans Dataverse Document Management | MSBizApps-Configuration watchlist filtrée par catégorie « SharePoint » |
Pour plus d’informations sur les règles analytiques, consultez Détection des menaces prête à l’emploi.