Conexión de Microsoft Power Platform y Microsoft Dynamics 365 Customer Engagement a Microsoft Sentinel
En este artículo se describe cómo implementar la solución Microsoft Sentinel para Microsoft Business Applications para conectar el sistema Microsoft Power Platform y Microsoft Dynamics 365 Customer Engagement a Microsoft Sentinel. La solución recopila registros de auditoría y actividad para detectar amenazas, actividades sospechosas, actividades ilegítimas, etc.
Importante
- La solución de Microsoft Sentinel para Microsoft Business Applications se encuentra actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
- La solución es una oferta premium. La información de precios estará disponible antes de que la solución esté disponible con carácter general.
Requisitos previos
Antes de implementar la solución Microsoft Sentinel para Microsoft Business Applications, asegúrese de cumplir los siguientes requisitos previos:
El área de trabajo de Log Analytics debe estar habilitada para Microsoft Sentinel
Debe tener acceso de lectura y escritura al área de trabajo. Debe poder crear lo siguiente:
- Reglas o puntos de conexión de recopilación de datos, con
Microsoft.Insights/DataCollectionEndpointsyMicrosoft.Insights/DataCollectionRules.
- Reglas o puntos de conexión de recopilación de datos, con
Su organización debe usar Dynamics 365 Customer Engagement o una o varias de las cargas de trabajo de Power Platform.
El registro de auditoría también está habilitado en Microsoft Purview. Para más información, consulte Activación o desactivación de auditorías en Microsoft Purview.
Si está trabajando con Microsoft Dataverse, el registro de auditoría solo se admite para entornos de producción. Para obtener más información, consulte los requisitos de registro de actividad de aplicaciones controladas por modelos y Microsoft Dataverse.
Instalar la solución e implementar los conectores de datos
Empiece por instalar la solución Microsoft Sentinel para Microsoft Business Applications desde el centro de contenido de Microsoft Sentinel.
Para más información, consulte Descubra y administre el contenido listo para usar de Microsoft Sentinel.
Seleccione Configuración > Conectores de datosy busque cualquiera de los siguientes conectores de datos que quiera implementar:
Microsoft Dataverse
Actividad de administración de Power Platform
Microsoft Power Automate
Para cada conector de datos, en el panel lateral, seleccione Abrir página del conector > Conectar.
Configuración de la recopilación de datos para Dataverse
Cuando se trabaja con Microsoft Dataverse, el registro de actividad de Dataverse solo está disponible para entornos de producción y no está habilitado de forma predeterminada. Habilite la auditoría a nivel global para Dataverse y para todas las entidades de Dataverse:
Para habilitar la auditoría en las entidades predeterminadas, importe una de las siguientes soluciones administradas de Power Platform:
- Para su uso con Aplicaciones de Dynamics 365 CE, importe https://aka.ms/AuditSettings/Dynamics.
- De lo contrario, importe https://aka.ms/AuditSettings/DataverseOnly.
La solución habilita la auditoría detallada en todas las entidades predeterminadas que se enumeran en el siguiente archivo: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g.
Para habilitar la auditoría en entidades personalizadas, debe habilitar manualmente la auditoría detallada en todas las entidades personalizadas. Para obtener más información, consulte Administrar la auditoría de Dataverse.
Para obtener todo el valor de detección de incidentes de la solución, se recomienda habilitar en todas las entidades de Dataverse que se deseen auditar las siguientes opciones en la pestaña General de la página de configuración de entidades de Dataverse:
- En la sección Data Services, seleccione Auditoría.
- En la sección Auditoría, seleccione Auditoría de registros individuales y Auditoría de varios registros.
Asegúrese de guardar y publicar sus personalizaciones.
Comprobación de la ingesta de registros en Microsoft Sentinel
Después de implementar los conectores de datos y configurar la recopilación de datos, ejecute actividades como crear, actualizar y eliminar para generar registros para los datos que ha habilitado para la supervisión.
En el caso de los registros de actividad de Power Platform, espere 60 minutos para que Microsoft Sentinel ingiera los datos.
Para comprobar que Microsoft Sentinel obtiene los datos esperados, ejecute consultas KQL en las tablas de datos que recopilan registros de los conectores de datos.
Para Microsoft Sentinel en Azure Portal, ejecute consultas KQL en la página General>Registros. En el portal de Defender, ejecute consultas KQL en Investigación y respuesta>Búsqueda>Búsqueda avanzada.
Por ejemplo, para comprobar la ingesta de registros de Power Platform, ejecute la siguiente consulta para devolver 50 filas de la tabla con los registros de actividad de Power Apps.
PowerPlatformAdminActivity | take 50
En la tabla siguiente se enumeran las tablas de Log Analytics que se van a consultar.
| Tablas de Log Analytics | Datos recopilados |
|---|---|
| PowerPlatformAdminActivity | Registros administrativos de Power Platform |
| PowerAutomateActivity | Registros de actividad de Power Automate |
| DataverseActivity | Registro de actividad de aplicaciones controladas por modelos y Dataverse |