随着对数字技术和人工智能集成的依赖不断增加,推动企业解决方案的依赖不断增加,检测威胁变得越来越重要。 网络犯罪正在上升,数据泄露每年都越来越频繁地发生。
通过使用有效的威胁检测,在潜在的安全事件升级为重大违规行为之前缓解它们。 通过实施强大的监控和警报系统,您可以快速检测可疑活动并及时响应以保护数据和应用程序。
本文概述了可用于有效管理和保护环境的 Power Platform 威胁检测功能。
Microsoft Sentinel
Microsoft Sentinel 为管理员提供了全面的安全和监控解决方案,可智能检测和响应可疑活动,例如从未经授权的地理位置删除大量数据或应用程序执行。
Microsoft Sentinel 解决方案允许客户调查检测到的威胁,并识别可疑应用的名称、其环境、创建或修改该应用的用户、使用它的用户等。 它可以帮助组织:
- 将活动日志、审核和事件收集 Power Platform 到 Microsoft Sentinel 工作区中。
- 检测内部可疑、恶意或非法活动的执行 Power Platform。
- 调查在组织中 Power Platform 检测到的威胁,并将其与整个组织的其他用户活动进行上下文关联。
- Power Platform手动、自动或通过预定义的工作流响应相关威胁和事件。
Microsoft Sentinel 解决方案包括 针对业务应用程序中常见的以下方案的内置威胁覆盖范围 :
- Power Apps 来自未经授权的地理位置的活动
- 通过以下方式访问恶意链接 Power Apps
- 批量删除 Power Apps 数据
- 数据销 Power Apps 毁 Dataverse
- 敏感环境中的新 Power Platform 连接器
- 离职员工的自动化 Power Automate 活动
- 更改或删除 Power Platform 数据策略
SecOps 团队可以使用 Microsoft Sentinel 工具来调查和响应这些事件。 以下屏幕截图显示了事件示例: Power Automate 由被解雇的员工创建的流。
设置 Microsoft Sentinel 收集 Power Platform 数据后,使用 威胁检测规则 定期运行,查询收集的数据,并对其进行分析以发现威胁。 首先使用 内置分析规则 创建这些规则。 这些规则在检测到特定条件时生成警报。 警报将聚合到可以分配和调查的事件中。 您还可以在规则的配置中构建预先确定的自动响应。
了解详细信息:
身份
监视潜在泄漏身份的身份相关风险事件,并补救这些风险。 使用以下方法查看报告的风险事件:
Microsoft Entra ID 使用自适应机器学习算法、启发式方法和已知的泄露凭据(用户名和密码对)来检测与您的用户帐户相关的可疑作。 这些用户名和密码对是通过监视公共和暗网,以及与安全研究人员、执法部门、Microsoft 的安全团队等合作而出现的。
活动日志记录
Power Apps、 Power Automate、 Copilot Studio、 连接器、 Power Pages、 数据策略活动日志记录和 Power Platform 管理 活动日志记录从 Microsoft Purview 进行跟踪和查看。 了解 Microsoft Purview。
Dataverse 审核记录 在具有数据库的 Dataverse 环境中对客户记录所做的更改。 Dataverse 审核还记录用户通过应用或通过环境中的 SDK 进行的访问。 此审核在环境级别启用,需要对各个表和列进行额外配置。
Microsoft Power Platform 管理员使用 Microsoft Defender 或 Microsoft Sentinel 等 应用程序来监视某些类型的安全威胁,并使用可用 API 生成审核报告。
持续、全面的威胁检测和应用预防性护栏的能力对于实现无摩擦的生产力同时最大限度地降低网络风险至关重要。
威胁分析
在工作负荷的设计阶段期间,识别威胁、攻击、漏洞和应对措施的全面分析至关重要。 威胁建模是一种工程练习,包括定义安全要求、识别和缓解威胁以及验证这些缓解措施。 可以在应用程序开发或生产的任何阶段使用此技术,但它在新功能的设计阶段最为有效。
了解更多: 威胁分析建议
后续步骤
查看本系列中的其他文章,以进一步增强安全状况:
查看文章后,查看安全清单,以确保 Power Platform 部署可靠、有弹性并符合最佳做法。