Microsoft Power Platform と Microsoft Dynamics 365 Customer Engagement のセキュリティ コンテンツ リファレンス
この記事では、Power Platform 向けの Microsoft Sentinel ソリューションで使用できるセキュリティ コンテンツについて詳しく説明します。 このソリューションについて詳しくは、Microsoft Power Platform 向け Microsoft Sentinel ソリューションと Microsoft Dynamics 365 Customer Engagementの概要をご覧ください。
重要
- Power Platform 向け Microsoft Sentinel ソリューションは、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
- このソリューションは Premium オファーです。 価格情報は、ソリューションが一般公開される前に入手できます。
- 次のアンケートに記入して、このソリューションのフィードバックをご提供ください: https://aka.ms/SentinelPowerPlatformSolutionSurvey。
組み込みの分析ルール
Power Platform 向けソリューションのインストールには、次の分析ルールが含まれます。 一覧のデータ ソースには、Log Analytics のデータ コネクタ名とテーブルが含まれます。
Dataverse ルール
| 規則名 | 説明 | ソース アクション | 方針 |
|---|---|---|---|
| Dataverse - 異常なアプリケーション ユーザー アクティビティ | 通常の使用パターンに該当しないアクティビティに基づいて、Dataverse アプリケーション (非対話型) ユーザーのアクティビティ パターンの異常を識別します。 | Dynamics 365 / Dataverse での通常とは異なる S2S ユーザー アクティビティ。 データ ソース: - Dataverse DataverseActivity |
資格情報アクセス、実行、永続化 |
| Dataverse - 監査ログ データの削除 | Dataverse の監査ログ データの削除アクティビティを識別します。 | Dataverse の監査ログの削除。 データ ソース: - Dataverse DataverseActivity |
防御回避 |
| Dataverse - 監査ログが無効 | 監査ログがオフになっているシステム監査構成の変更を識別します。 | グローバルまたはエンティティ レベルの監査が無効になっています。 データ ソース: - Dataverse DataverseActivity |
防御回避 |
| Dataverse - 一括レコードの所有権の再割り当てまたは共有 | 以下を含む、個々のレコード所有権の変更を識別します。 - 他のユーザー/チームとの共有の記録 - 定義済みのしきい値を超える所有権の再割り当て。 |
検出ウィンドウ内で生成される多くのレコード所有権とレコード共有イベント。 データ ソース: - Dataverse DataverseActivity |
特権エスカレーション |
| Dataverse - SharePoint ドキュメント管理サイトにアップロードされた実行可能ファイル | Dynamics ドキュメント管理に使用される SharePoint サイトにアップロードされる実行可能ファイルとスクリプトを識別して、Dataverse のネイティブ ファイル拡張子の制限を回避します。 | Dataverse ドキュメント管理での実行可能ファイルのアップロード。 データ ソース: - Office365 OfficeActivity (SharePoint) |
実行、永続化 |
| Dataverse - 退職した従業員または通知された従業員からアクティビティをエクスポートする | 退職した従業員、または退職しようとしている従業員によってトリガーされる Dataverse エクスポート アクティビティを識別します。 | TerminatedEmployees ウォッチリスト テンプレートのユーザーに関連付けられたデータ エクスポート イベント。 データ ソース: - Dataverse DataverseActivity |
流出 |
| Dataverse - Power Platform の防御障害に続くゲスト ユーザーの流出 | Power Platform テナントの分離の無効化と、環境のアクセス セキュリティ グループの削除から始まる、イベントのチェーンを識別します。 これらのイベントは、影響を受けた環境および最近作成された Microsoft Entra ゲスト ユーザーに関連する Dataverse 流出アラートに関連付けられています。 このルールを有効にする前に、流出 MITRE 戦術を使用して、他の Dataverse 分析ルールをアクティブ化します。 |
最近作成したゲスト ユーザーとして、Power Platform のセキュリティ制御が無効にされた後で、Dataverse 流出アラートをトリガーします。 データ ソース: - PowerPlatformAdmin PowerPlatformAdminActivity- Dataverse DataverseActivity |
防御回避 |
| Dataverse - 階層のセキュリティ操作 | 階層セキュリティの疑わしい動作を識別します。 | 以下を含む、セキュリティ プロパティの変更: - 階層セキュリティが無効になっている。 - ユーザーが自分自身をマネージャーとして割り当てる。 - ユーザーが自分自身を監視対象の職務 (KQL で設定) に割り当てる。 データ ソース: - Dataverse DataverseActivity |
特権エスカレーション |
| Dataverse - Honeypot インスタンス アクティビティ | 定義済みの Honeypot Dataverse インスタンス内のアクティビティを識別します。 Honeypot へのサインインが検出されたとき、または Honeypot で監視対象の Dataverse テーブルにアクセスしたときにアラートが生成されます。 |
監査が有効になっている Power Platform の指定された Honeypot Dataverse インスタンスにサインインし、データにアクセスします。 データ ソース: - Dataverse DataverseActivity |
検出、窃盗 |
| Dataverse - 機密性の高い特権ユーザーによるログイン | 機密ユーザーによる Dataverse および Dynamics 365 サインインを識別します。 | KQL 内で設定されたタグに基づいて、VIPUsers ウォッチリストに追加されたユーザーによるサインイン。 データ ソース: - Dataverse DataverseActivity |
初期アクセス、資格情報アクセス、特権エスカレーション |
| Dataverse - ブロック リストの IP からのログイン | 定義済みのブロックリスト上にある IPv4 アドレスからの Dataverse サインイン アクティビティを識別します。 | ブロックされたネットワーク範囲の一部に属する IP アドレスを持つユーザーによるサインイン。 ブロックされたネットワーク範囲は、NetworkAddresses ウォッチリスト テンプレートに保持されます。 データ ソース: - Dataverse DataverseActivity |
初期アクセス |
| Dataverse - 許可リストにない IP からのログイン | 許可リストに保持されている IPv4 サブネットと一致しない IPv4 アドレスからのサインインを識別します。 | 許可されたネットワーク範囲に含まれていない IP アドレスを持つユーザーによるサインイン。 ブロックされたネットワーク範囲は、NetworkAddresses ウォッチリスト テンプレートに保持されます。 データ ソース: - Dataverse DataverseActivity |
初期アクセス |
| Dataverse - SharePoint ドキュメント管理サイトで検出されたマルウェア | Dynamics 365 ドキュメント管理を介して、または SharePoint で直接アップロードされたマルウェアを識別し、Dataverse 関連の SharePoint サイトに影響を与えます。 | Dataverse にリンクされている SharePoint サイトの悪意のあるファイル。 データ ソース: - Dataverse DataverseActivity- Office365 OfficeActivity (SharePoint) |
実行 |
| Dataverse - レコードの一括削除 | 定義済みのしきい値に基づいて、大規模なレコード削除操作を識別します。 また、スケジュールされた一括削除ジョブも検出します。 |
KQL で定義されているしきい値を超えるレコードの削除。 データ ソース: - Dataverse DataverseActivity |
影響 |
| Dataverse - SharePoint ドキュメント管理からの一括ダウンロード | Dynamics 365 でドキュメント管理用に構成された SharePoint サイトからのファイルの過去 1 時間以内の一括ダウンロードを識別します。 | KQL で定義されているしきい値を超える一括ダウンロード。 この分析ルールでは、MSBizApps-Configuration ウォッチリストを使用して、ドキュメント管理に使用される SharePoint サイトを識別します。 データ ソース: - Office365 OfficeActivity (SharePoint) |
流出 |
| Dataverse - Excel へのレコードの一括エクスポート | Dynamics 365 から Excel に多数のレコードをエクスポートするユーザーを識別します。エクスポートされたレコードの数は、そのユーザーが最近行った他のアクティビティよりも大幅に多くなります。 最近のアクティビティがないユーザーからの大量のエクスポートが、定義済みのしきい値を使って識別されます。 |
Dataverse から Excel に多数のレコードをエクスポートします。 データ ソース: - Dataverse DataverseActivity |
流出 |
| Dataverse - レコードの一括更新 | 定義済みのしきい値を超える、Dataverse および Dynamics 365 のレコードの一括更新を検出します。 | KQL で定義されているしきい値を超えるレコードの一括更新。 データ ソース: - Dataverse DataverseActivity |
影響 |
| Dataverse - 新しい Dataverse アプリケーションのユーザー アクティビティの種類 | Dataverse アプリケーション (非対話型) ユーザーに関連付けられている新しいアクティビティの種類または以前に表示されていないアクティビティの種類を識別します。 | 新しい S2S ユーザー アクティビティの種類。 データ ソース: - Dataverse DataverseActivity |
資格情報アクセス、実行、権限エスカレーション |
| Dataverse - アクセス権が付与された新しい非対話型 ID | Microsoft Entra アプリケーションの委任されたアクセス許可を使用するか、Dataverse 内でアプリケーション ユーザーとして直接割り当てることによって、API レベルのアクセス許可を識別します。 | 非対話型ユーザーに追加された Dataverse のアクセス許可。 データ ソース: - Dataverse DataverseActivity,- AzureActiveDirectory AuditLogs |
永続化、横移動、特権エスカレーション |
| Dataverse - 承認されていないドメインからの新しいサインイン | 過去 14 日間に表示されていない UPN サフィックスを持ち、承認済みドメインの定義済みリストに存在しない UPN サフィックスを持つユーザーから送信された Dataverse サインイン アクティビティを識別します。 既定では一般的な内部 Power Platform システム ユーザーが除外されます。 |
承認されていないドメイン サフィックスからの外部ユーザーによるサインイン。 データ ソース: - Dataverse DataverseActivity |
初期アクセス |
| Dataverse - 以前は使用されていなかった新しいユーザー エージェントの種類 | 過去 14 日間に Dataverse インスタンスに表示されていないユーザー エージェントから Dataverse にアクセスするユーザーを識別します。 | Dataverse での新しいユーザー エージェントからのアクティビティ。 データ ソース: - Dataverse DataverseActivity |
初回アクセス、防衛回避 |
| Dataverse - Office 365 で使用されていなかった新しいユーザー エージェントの種類 | 過去 14 日間に Office 365 ワークロードに表示されていないユーザー エージェントを使用して Dynamics にアクセスするユーザーを識別します。 | Dataverse での新しいユーザー エージェントからのアクティビティ。 データ ソース: - Dataverse DataverseActivity |
初期アクセス |
| Dataverse - 組織の設定が変更 | Dataverse 環境の組織レベルで行われた変更を識別します。 | Dataverse で変更された組織レベルのプロパティ。 データ ソース: - Dataverse DataverseActivity |
永続化 |
| Dataverse - ブロックされたファイル拡張子の削除 | 環境のブロックされたファイル拡張子に対する変更を識別し、削除された拡張子を抽出します。 | Dataverse プロパティのブロックされたファイル拡張子の削除。 データ ソース: - Dataverse DataverseActivity |
防御回避 |
| Dataverse - SharePoint ドキュメント管理サイトの追加または更新 | SharePoint ドキュメント管理統合の変更を識別します。 ドキュメント管理を使用すると、Dataverse の外部にあるデータを格納できます。 この分析ルールと Dataverse: ウォッチリストに SharePoint サイトを追加 プレイブックを使用して、Dataverse-SharePointSites ウォッチリストを自動的に更新します。 このウォッチリストは、Office 365 データ コネクタを使用する場合に Dataverse と SharePoint の間でイベントを関連付けるために使用できます。 |
ドキュメント管理に追加された SharePoint サイト マッピング。 データ ソース: - Dataverse DataverseActivity |
流出 |
| Dataverse - 疑わしいセキュリティ ロールの変更 | 通常とは異なるイベント パターン (新しいロールが作成され、作成者がロールにメンバーを追加し、後でメンバーを削除するか、短時間後にロールを削除する) を識別します。 | セキュリティ ロールとロールの割り当ての変更。 データ ソース: - Dataverse DataverseActivity |
特権エスカレーション |
| Dataverse - TDS エンドポイントの疑わしい使用 | Dataverse TDS (表形式データ ストリーム) プロトコル ベースの、ソース ユーザーまたは IP アドレスに最近のセキュリティ アラートがあり、TDS プロトコルがターゲット環境で以前に使用されていないクエリを識別します。 | セキュリティ アラートとの相関関係における TDS エンドポイントの突然の使用。 データ ソース: - Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
窃盗、初期アクセス |
| Dataverse - Web API の疑わしい使用 | 定義済みのしきい値を超え、既知の Microsoft Entra アプリ登録へのサインインに使用された IP アドレスを持つユーザーから送信された複数の Dataverse 環境でのサインインを識別します。 | 既知のパブリック アプリケーション ID を使用して、複数の環境で WebAPI を使用してサインインします。 データ ソース: - Dataverse DataverseActivity- AzureActiveDirectory SigninLogs |
実行、流出、偵察、検出 |
| Dataverse - TI で IP を DataverseActivity にマップする | Microsoft Sentinel 脅威インテリジェンスの任意の IP IOC の DataverseActivity の一致を識別します。 | IOC に一致する IP を持つ Dataverse アクティビティ。 データ ソース: - Dataverse DataverseActivity脅威インテリジェンス ThreatIntelligenceIndicator |
初回アクセス、横移動、検出 |
| Dataverse - TI で URL を DataverseActivity にマップする | Microsoft Sentinel 脅威インテリジェンスの任意の URL IOC の DataverseActivity の一致を識別します。 | IOC に一致する URL を持つ Dataverse アクティビティ。 データ ソース: - Dataverse DataverseActivity脅威インテリジェンス ThreatIntelligenceIndicator |
初回アクセス、実行、永続化 |
| Dataverse - 退職した従業員の電子メールからの流出 | 退職した従業員の電子メールによる Dataverse 流出を識別します。 | TerminatedEmployees ウォッチリストのユーザーと関連付けられたセキュリティ アラートに従って、信頼されていない受信者ドメインに送信された電子メール。 データ ソース: MicrosoftThreatProtection EmailEventsIdentityInfo- AzureActiveDirectoryIdentityProtection, IdentityInfo SecurityAlert |
流出 |
| Dataverse - 退職した従業員の USB ドライブへの流出 | 会社を離れたまたは退職した従業員が Dataverse からダウンロードしたファイルを識別し、USB マウント ドライブにコピーします。 | TerminatedEmployees ウォッチリスト上のユーザーによって USB にコピーされた Dataverse から生成されたファイル。 データ ソース: - Dataverse DataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceEventsDeviceFileEvents |
流出 |
| Dataverse - 無効にされた IP アドレスベースの Cookie バインディング保護に従った通常とは異なるサインイン | Cookie バインディング保護を無効にした後の、Dataverse インスタンス内の以前に表示されていない IP エージェントとユーザー エージェントを識別します。 詳細については、IP Cookie バインディングを使用した Dataverse セッションの保護を参照してください。 |
新しいサインイン アクティビティ。 データ ソース: - Dataverse DataverseActivity |
防御回避 |
| Dataverse - 通常のアクティビティではないユーザーの一括取得 | Dataverse から取得したレコードの数が過去 2 週間よりも大幅に多いユーザーを識別します。 | ユーザーが Dataverse から多数のレコードを取得し、KQL で定義されたしきい値を含めます。 データ ソース: - Dataverse DataverseActivity |
流出 |
Power Apps のルール
| 規則名 | 説明 | ソース アクション | 方針 |
|---|---|---|---|
| Power Apps - 承認されていない地域からのアプリ アクティビティ | 承認されていない地域/リージョンの定義済みのリストに含まれる地域/リージョンからの Power Apps アクティビティを特定します。 この検出により、ISO 3166-1 alpha-2 の国番号の一覧が ISO Online Browsing Platform (OBP) から取得されます。 この検出では、Microsoft Entra ID から取り込まれたログが使用され、Microsoft Entra ID データ コネクタも有効にする必要があります。 |
承認されていない国コード リストに含まれる地域/リージョンから Power App でアクティビティを実行します。 データ ソース: - Microsoft Power Platform 管理者アクティビティ (プレビュー) PowerPlatformAdminActivity- Microsoft Entra ID SigninLogs |
初期アクセス |
| Power Apps - 複数のアプリが削除された | 複数の Power Platform 環境を対象とする合計アプリ削除数またはアプリ削除イベント数の定義済みしきい値と一致する、複数の Power アプリが削除される一括削除アクティビティを識別します。 | Power Platform 管理センターから多数の Power アプリを削除します。 データ ソース: - Microsoft Power Platform 管理者アクティビティ (プレビュー) PowerPlatformAdminActivity |
影響 |
| Power Apps - 新しいアプリの発行後のデータの破棄 | 新しいアプリが作成または発行された後、1 時間以内に Dataverse で一括更新または削除イベントが発生する、イベントのチェーンを識別します。 | Power アプリが作成または公開されてから 1 時間以内に、Power Apps で多数のレコードを削除します。 アプリの発行元が TerminatedEmployees ウォッチリスト テンプレートのユーザーの一覧に含まれる場合、インシデントの重大度が発生します。 データ ソース: - Microsoft Power Platform 管理者アクティビティ (プレビュー) PowerPlatformAdminActivity- Microsoft Dataverse (プレビュー) DataverseActivity |
影響 |
| Power Apps - 新しいアプリの起動後に悪意のあるリンクにアクセスする複数のユーザー | 新しい Power アプリが作成された後でこれらのイベントが発生する、イベントのチェーンを識別します。 - 複数のユーザーが検出ウィンドウ内でアプリを起動します。 - 複数のユーザーが同じ悪意のある URL を開きます。 この検出クロスは、Power Apps の実行ログと、次のいずれかのソースからの悪意のある URL 選択イベントを関連付けます。 - Microsoft 365 Defender データ コネクタ - Advanced Security Information Model (ASIM) Web セッション正規化パーサーを使用する Microsoft Sentinel 脅威インテリジェンスでの、悪意のある URL 侵害インジケーター (IOC)。 この検出により、クエリを作成して悪意のあるリンクを起動または選択した個別のユーザーの数が取得されます。 |
複数のユーザーが新しい Power アプリを起動し、アプリから既知の悪意のある URL を開きます。 データ ソース: - Microsoft Power Platform 管理者アクティビティ (プレビュー) PowerPlatformAdminActivity- 脅威インテリジェンス ThreatIntelligenceIndicator- Microsoft Defender XDR UrlClickEvents |
初期アクセス |
| Power Apps - 新しく作成されたゲスト ユーザーへの Power Apps の一括共有 | 新しく作成された Microsoft Entra ゲスト ユーザーへの Power Apps の普通ではない一括共有を識別します。 通常とは異なる一括共有は、クエリでの定義済みしきい値に基づきます。 | 複数の外部ユーザーとアプリを共有します。 データ ソース: - Microsoft Power Platform 管理者アクティビティ (プレビュー) PowerPlatformAdminActivity- Microsoft Entra IDAuditLogs |
リソース開発、 初期アクセス、 侵入拡大 |
Power Automate ルール
| 規則名 | 説明 | ソース アクション | 方針 |
|---|---|---|---|
| Power Automate - 退職する従業員のフロー アクティビティ | 退職することを通知され、または既に退職し、退職した従業員ウォッチリストに含まれている従業員による、Power Automate フローの作成または変更の発生を識別します。 | TerminatedEmployees ウォッチリストで定義されているユーザーが、Power Automate フローを作成または更新します。 データ ソース: Microsoft Power Automate (プレビュー) PowerAutomateActivityTerminatedEmployees ウォッチリスト |
流出、影響 |
| Power Automate - フロー リソースの普通ではない一括削除 | クエリで定義されているしきい値を超え、過去 14 日間に観察されたアクティビティ パターンから逸脱している、Power Automate フローの一括削除を識別します。 | Power Automate フローの一括削除。 データ ソース: - PowerAutomate PowerAutomateActivity |
影響、 防御回避 |
Power Platform ルール
| 規則名 | 説明 | ソース アクション | 方針 |
|---|---|---|---|
| Power Platform - 機密性の高い環境に追加されたコネクタ | 特に機密性の高い環境の定義済みの一覧を対象とする、Power Platform 内での新しい API コネクタの作成を識別します。 | 機密性の高い Power Platform 環境に新しい Power Platform コネクタを追加します。 データ ソース: - Microsoft Power Platform 管理者アクティビティ (プレビュー) PowerPlatformAdminActivity |
実行、流出 |
| Power Platform - DLP ポリシーの更新または削除 | データ損失防止ポリシーに対する変更を識別します (特に、更新または削除されたポリシー)。 | Power Platform 環境で Power Platform データ損失防止ポリシーを更新または削除します。 データ ソース: Microsoft Power Platform 管理者アクティビティ (プレビュー) PowerPlatformAdminActivity |
防御回避 |
| Power Platform - 侵害された可能性があるユーザーが Power Platform サービスにアクセスする | Microsoft Entra ID 保護でリスクのフラグが設定されたユーザー アカウントを識別し、Power Apps、Power Automate、Power Platform 管理センターなどの Power Platform でのサインイン アクティビティに、これらのユーザーを関連付けます。 | リスクがあることが示されているユーザーが、Power Platform ポータルにアクセスします。 データ ソース: - Microsoft Entra ID SigninLogs |
初期アクセス、侵入拡大 |
| Power Platform - 特権を持つ Microsoft Entra ロールに追加されたアカウント | Power Platform に影響を与える次の特権ディレクトリ ロールへの変更を識別します。 - Dynamics 365 Admins - Power Platform Admins - Fabric Admins |
データ ソース: AzureActiveDirectory AuditLogs |
特権エスカレーション |
ハンティング クエリ
このソリューションには、アナリストが Dynamics 365 および Power Platform 環境で悪意のあるアクティビティや疑わしいアクティビティを事前に検出するために使用できるハンティング クエリが含まれています。
| 規則名 | 説明 | データ ソース | 方針 |
|---|---|---|---|
| Dataverse - Microsoft Entra アラート後のアクティビティ | このハンティング クエリでは、そのユーザーに対する Microsoft Entra ID Protection アラートの直後に Dataverse/Dynamics 365 アクティビティを実行しているユーザーを検索します。 このクエリでは、前に表示されていないユーザー、または以前に表示されていない Dynamics アクティビティを実行しているユーザーのみが検索されます。 |
- Dataverse DataverseActivity- AzureActiveDirectoryIdentityProtection SecurityAlert |
初期アクセス |
| Dataverse - ログオン失敗後のアクティビティ | このハンティング クエリでは、多数のサインインが失敗した直後に Dataverse/Dynamics 365 アクティビティを実行しているユーザーを検索します。 このクエリを使用して、ブルート フォース後の潜在的なアクティビティを検出します。 誤検知率に基づいてしきい値の数値を調整します。 |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
初期アクセス |
| Dataverse - クロス環境データ エクスポート アクティビティ | 事前に定義された数の Dataverse インスタンス間でデータ エクスポート アクティビティを検索します。 複数の環境にわたるデータ エクスポート アクティビティは、ユーザーが通常は少数の環境でのみ作業するため、疑わしいアクティビティを示している可能性があります。 |
- DataverseDataverseActivity |
窃盗、コレクション |
| Dataverse - USB デバイスにコピーされた Dataverse エクスポート | Microsoft Defender XDR のデータを使用して、Dataverse インスタンスからダウンロードされ、USB ドライブにコピーされたファイルを検出します。 | - DataverseDataverseActivity- MicrosoftThreatProtection DeviceInfoDeviceFileEventsDeviceEvents |
流出 |
| Dataverse - 運用環境へのアクセスに使用される汎用クライアント アプリ | 組み込みの "Dynamics 365 Example Application" を使用した運用環境へのアクセスを検出します。 この汎用アプリは Microsoft Entra ID 承認制御によって制限される可能性があり、Web API 経由での不正アクセスのために悪用される可能性があります。 |
- DataverseDataverseActivity- AzureActiveDirectory SigninLogs |
実行 |
| Dataverse - 特権ディレクトリ ロール メンバーシップ以外の ID 管理アクティビティ | アカウントによって作成された Dataverse/Dynamics 365 の ID 管理イベントが、Dynamics 365 Admins、Power Platform Admins、または Global Admins の特権ディレクトリ ロールのメンバーでないことを検出します。 | - DataverseDataverseActivity- UEBA IdentityInfo |
特権エスカレーション |
| Dataverse - MFA を使用しない ID 管理の変更 | MFA を使用せずにサインインしたアカウントによって行われた Dataverse の特権 ID 管理操作を表示するために使用されます。 | - DataverseDataverseActivity- AzureActiveDirectory SigninLogs, DataverseActivity |
初期アクセス |
| Power Apps - 新しく作成されたゲスト ユーザーへの Power App の異常な一括共有 | このクエリは、新しく作成されたゲスト ユーザーに対して Power App の一括共有を実行する異常な試行を検出します。 | データ ソース: PowerPlatform 管理、AzureActiveDirectory AuditLogs, PowerPlatformAdminActivity |
初回アクセス、横移動、リソース開発 |
プレイブック
このソリューションには、Microsoft Sentinel のインシデントとアラートに対するセキュリティ対応を自動化するために使用できるプレイブックが含まれています。
| プレイブック名 | 説明 |
|---|---|
| セキュリティ ワークフロー: ワークロード所有者によるアラートの検証 | このプレイブックでは、特定の分析ルールについて IT 管理者にアラート検証をオフロードすることで、SOC の負担を軽減できます。 これは、Microsoft Sentinel アラートが生成されたときにトリガーされ、アラートの詳細を含むメッセージ (および関連する通知電子メール) をワークロード所有者のMicrosoft Teams チャネルに作成します。 ワークロード所有者がアクティビティが承認されていないと応答した場合、アラートは Microsoft Sentinel のインシデントに変換され、SOC で処理されます。 |
| Dataverse: マネージャーに通知を送信する | このプレイブックは、Microsoft Sentinel インシデントが発生したときにトリガーされ、影響を受けるユーザー エンティティのマネージャーに電子メール通知を自動的に送信します。 このプレイブックは、Dynamics 365 マネージャーに送信するか、Office 365 のマネージャーを使用するように構成できます。 |
| Dataverse: ブロックリストにユーザーを追加する (インシデント トリガー) | このプレイブックは、Microsoft Sentinel インシデントが発生したときにトリガーされ、影響を受けるユーザー エンティティが定義済みの Microsoft Entra グループに自動的に追加され、アクセスがブロックされます。 Microsoft Entra グループは、条件付きアクセスと共に使用され、Dataverse へのサインインをブロックします。 |
| Dataverse: Outlook 承認ワークフローを使用してブロックリストにユーザーを追加する | このプレイブックは、Microsoft Sentinel インシデントが発生したときにトリガーできます。Outlook ベースの承認ワークフローを使用して、影響を受けるユーザー エンティティを事前に定義された Microsoft Entra グループに自動的に追加し、アクセスをブロックします。 Microsoft Entra グループは、条件付きアクセスと共に使用され、Dataverse へのサインインをブロックします。 |
| Dataverse: Teams 承認ワークフローを使用してブロックリストにユーザーを追加する | このプレイブックは、Microsoft Sentinel インシデントが発生したときにトリガーされます。Teams アダプティブ カード承認ワークフローを使用して、影響を受けるユーザー エンティティを事前に定義された Microsoft Entra グループに自動的に追加し、アクセスをブロックします。 Microsoft Entra グループは、条件付きアクセスと共に使用され、Dataverse へのサインインをブロックします。 |
| Dataverse: ブロックリストにユーザーを追加する (アラート トリガー) | このプレイブックは、Microsoft Sentinel アラートが発生したときにオンデマンドでトリガーできます。これにより、アナリストは影響を受けるユーザー エンティティを定義済みの Microsoft Entra グループに追加でき、アクセスがブロックされます。 Microsoft Entra グループは、条件付きアクセスと共に使用され、Dataverse へのサインインをブロックします。 |
| Dataverse: ブロックリストからユーザーを削除する | このプレイブックは、Microsoft Sentinel アラートが発生したときにオンデマンドでトリガーできます。アナリストは、アクセスをブロックするために使用される定義済みの Microsoft Entra グループから影響を受けるユーザー エンティティを削除できます。 Microsoft Entra グループは、条件付きアクセスと共に使用され、Dataverse へのサインインをブロックします。 |
| Dataverse: ウォッチリストに SharePoint サイトを追加する | このプレイブックは、新しい SharePoint ドキュメント管理サイトまたは更新された SharePoint ドキュメント管理サイトを構成ウォッチリストに追加するために使用されます。 このプレイブックは、Dataverse アクティビティ ログを監視するスケジュールされた分析ルールと組み合わせた場合、新しい SharePoint ドキュメント管理サイト マッピングが追加されたときにトリガーされます。 サイトがウォッチリストに追加され、監視対象範囲が拡張されます。 |
Workbooks
Microsoft Sentinel ブックは、アナリストによるセキュリティ データの効率的な視覚化、分析、調査を容易にする、Microsoft Sentinel 内のカスタマイズ可能な対話型ダッシュボードです。 このソリューションには、Dynamics 365 アクティビティ ブックが含まれています。このブックには、レコード取得統計や異常グラフなど、Microsoft Dynamics 365 Customer Engagement/Dataverse でのアクティビティの視覚的な表現が表示されます。
ウォッチリスト
このソリューションには、MSBizApps-Configuration ウォッチリストが含まれており、ユーザーは次のウォッチリスト テンプレートに基づいて追加のウォッチリストを作成する必要があります。
- VIPUsers
- NetworkAddresses
- TerminatedEmployees
詳細については、Microsoft Sentinel のウォッチリストおよびウォッチリストの作成を参照してください。
組み込みのパーサー
このソリューションには、生データ テーブルのデータにアクセスするために使われるパーサーが含まれます。 パーサーは、正しいデータが一貫したスキーマで返されることを確認します。 ウォッチリストに直接クエリを実行するのではなく、パーサーを使用することをお勧めします。
| パーサー | 返されるデータ | クエリ対象のテーブル |
|---|---|---|
| MSBizAppsOrgSettings | Dynamics 365 Customer Engagement /Dataverse で使用可能な組織全体の設定の一覧 | 該当なし |
| MSBizAppsVIPUsers | VIPUsers ウォッチリストのパーサー | ウォッチリスト テンプレートのVIPUsers |
| MSBizAppsNetworkAddresses | NetworkAddresses ウォッチリストのパーサー | ウォッチリスト テンプレートのNetworkAddresses |
| MSBizAppsTerminatedEmployees | TerminatedEmployees ウォッチリストのパーサー | ウォッチリスト テンプレートのTerminatedEmployees |
| DataverseSharePointSites | Dataverse ドキュメント管理で使用される SharePoint サイト | カテゴリ 'SharePoint' でフィルター処理されたMSBizApps-Configuration ウォッチリスト |
分析ルールについて詳しくは、「難しい設定なしで脅威を検出する」をご覧ください。