Verbinden von Microsoft Power Platform und Microsoft Dynamics 365 Customer Engagement mit Microsoft Sentinel

Dieser Artikel beschreibt, wie Sie die Microsoft Sentinel-Lösung für Microsoft Business Apps bereitstellen, um Ihr Microsoft Power Platform- und Microsoft Dynamics 365 Customer Engagement-System mit Microsoft Sentinel zu verbinden. Die Lösung sammelt Überwachungs- und Aktivitätsprotokolle, um Bedrohungen, verdächtige Aktivitäten, unzulässige Aktivitäten und vieles mehr zu erkennen.

Wichtig

• Die Microsoft Sentinel-Lösung für Microsoft Business Apps befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
• Die Lösung ist ein Premium-Angebot. Preisinformationen werden zur Verfügung gestellt, bevor die Lösung allgemein verfügbar wird.

Voraussetzungen

Stellen Sie vor der Bereitstellung der Microsoft Sentinel-Lösung für Microsoft Business Apps sicher, dass die folgenden Voraussetzungen erfüllt sind:

• Der Log Analytics-Arbeitsbereich muss für Microsoft Sentinel aktiviert sein

• Sie benötigen Lese- und Schreibzugriff auf den Arbeitsbereich. Sie müssen in der Lage sein, Folgendes zu erstellen:

  • Datensammlungsregeln/Endpunkte mit Microsoft.Insights/DataCollectionEndpoints und Microsoft.Insights/DataCollectionRules

• Ihre Organisation muss Dynamics 365 Customer Engagement und/oder mindestens eine der Power Platform-Workloads verwenden.

• Die Überwachungsprotokollierung muss auch in Microsoft Purview aktiviert sein. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachung für Microsoft Purview.

• Wenn Sie mit Microsoft Dataverse arbeiten, wird die Überwachungsprotokollierung nur für Produktionsumgebungen unterstützt. Weitere Informationen finden Sie unter Anforderungen für die Aktivitätsprotokollierung für Microsoft Dataverse und modellgesteuerte Apps.

Installieren der Lösung und Bereitstellung der Datenconnectors

1. Installieren Sie zunächst die Microsoft Sentinel-Lösung für Microsoft Business Applications aus dem Inhaltshub von Microsoft Sentinel.

   Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte.

2. Wählen Sie Konfiguration > Datenconnectors aus, und suchen Sie einen der folgenden Datenconnectors, die Sie bereitstellen möchten:

   • Microsoft Dataverse

   • Microsoft Power Platform Admin Activity

   • Microsoft Power Automate

3. Wählen Sie für jeden Datenconnector im Seitenbereich Connectorseite öffnen> Verbinden aus.

Konfigurieren der Datensammlung für Dataverse

Bei der Arbeit mit Microsoft Dataverse ist die Dataverse-Aktivitätsprotokollierung nur für Produktionsumgebungen verfügbar und standardmäßig nicht aktiviert. Aktivieren Sie die Überwachung auf globaler Ebene für Dataverse und für jede Dataverse-Entität:

• Um die Überwachung für Standardentitäten zu aktivieren, importieren Sie eine der folgenden verwalteten Power Platform-Lösungen:

  • Für die Verwendung mit Dynamics 365 CE-Apps importieren Sie https://aka.ms/AuditSettings/Dynamics.
  • Anderenfalls importieren Sie https://aka.ms/AuditSettings/DataverseOnly.

  Diese Lösung ermöglicht eine detaillierte Überwachung für alle Standardentitäten, die in der folgenden Datei aufgeführt sind: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g.

• Um die Überwachung für benutzerdefinierte Entitäten zu aktivieren, müssen Sie die detaillierte Überwachung für jede der benutzerdefinierten Entitäten manuell aktivieren. Weitere Informationen finden Sie unter Dataverse-Überwachung verwalten.

  Um den vollständigen Wert der Vorfallerkennung der Lösung zu erhalten, empfehlen wir für jede Dataverse-Entität, die Sie überwachen möchten, die folgenden Optionen auf der Registerkarte Allgemein der Seite „Dataverse-Entitätseinstellungen“ zu aktivieren:

  • Wählen Sie im Abschnitt Data Services die Option Überwachung aus.
  • Wählen Sie im Abschnitt Überwachung die Optionen Überwachung einzelner Datensätze und Überwachung mehrerer Datensätze aus.

  Achten Sie darauf, Ihre Anpassungen zu speichern und zu veröffentlichen.

Überprüfen der Protokollerfassung in Microsoft Sentinel

1. Nachdem Sie Ihre Datenconnectors bereitgestellt und die Datensammlung konfiguriert haben, führen Sie Aktivitäten wie Erstellen, Aktualisieren und Löschen aus, um Protokolle für Daten zu generieren, für die Sie die Überwachung aktiviert haben.

2. Für Power Platform-Aktivitätsprotokolle müssen Sie 60 Minuten warten, bis Microsoft Sentinel die Daten erfasst.

3. Um zu überprüfen, ob Microsoft Sentinel die erwarteten Daten abruft, führen Sie KQL-Abfragen für die Datentabellen aus, die Protokolle von Ihren Datenconnectors sammeln.

   Führen Sie für Microsoft Sentinel im Azure-Portal KQL-Abfragen auf der Seite Allgemein>Protokolle aus. Führen Sie im Defender-Portal KQL-Abfragen in Untersuchung und Reaktion>Bedrohungssuche>Erweiterte Bedrohungssuche aus.

   Führen Sie beispielsweise die folgende Abfrage aus, um die Protokollerfassung der Power Platform zu überprüfen und 50 Zeilen aus der Tabelle mit den Aktivitätsprotokollen von Power Apps zurückzugeben.

   PowerPlatformAdminActivity
   | take 50
   

In der folgenden Tabelle sind die Tabellen der Protokollanalyse aufgeführt, die abgefragt werden sollen.

Log Analytics-Tabellen	Gesammelte Daten
PowerPlatformAdminActivity	Power Platform-Administrationsprotokolle
PowerAutomateActivity	Power Automate-Aktivitätsprotokolle
DataverseActivity	Dataverse und modellgesteuerte App-Aktivitätsprotokollierung

Zugehöriger Inhalt

• Was ist die Microsoft Sentinel-Lösung für Microsoft Business Apps?

• Referenz zu Sicherheitsinhalten für Microsoft Power Platform und Microsoft Dynamics 365 Customer Engagement