Déployer la Solution Microsoft Sentinel pour Microsoft Power Platform

La Solution Microsoft Sentinel pour Power Platform vous permet de monitorer et de détecter des activités suspectes ou malveillante dans votre environnement Power Platform. La solution collecte des journaux d’activité à partir de divers composants et données d’inventaire de Power Platform. Pour obtenir plus d’informations, consultez Solution Microsoft Sentinel pour Microsoft Power Platform : vue d’ensemble.

Important

• La solution Microsoft Sentinel pour Power Platform est actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
• Il s’agit d’une offre premium. Les informations sur la tarification seront disponibles avant que la solution soit accessible à tous.
• Envoyez des commentaires pour cette solution en remplissant cette enquête : https://aka.ms/SentinelPowerPlatformSolutionSurvey.

Prérequis

• Votre solution Microsoft Sentinel est bien activée.
• Vous disposez d’un espace de travail Microsoft Sentinel défini et d’autorisations de lecture et d’écriture sur l’espace de travail.
• Votre organisation utilise Power Platform pour créer et utiliser Power Apps.
• Vous pouvez créer une application de fonction Azure avec les autorisations Microsoft.Web/Sites, Microsoft.Web/ServerFarms, Microsoft.Insights/Components et Microsoft.Storage/StorageAccounts.
• Vous pouvez créer des Points de terminaison-règle de collecte de données avec les autorisations suivantes :
  • Microsoft.Insights/DataCollectionEndpoints et Microsoft.Insights/DataCollectionRules.
  • Affectez le rôle Publication des métriques de surveillance à la fonction Azure.
• Journalisation d’audit activée dans Microsoft Purview. Pour obtenir plus d’informations, voir Activer ou désactiver l’audit pour Microsoft Purview
• Pour le connecteur d’inventaire Power Platform, configurez les ressources et les configurations suivantes.
  • Un compte de stockage à utiliser avec Azure Data Lake Storage Gen2. Pour obtenir d’autres informations, consultez Créer un compte de stockage à utiliser avec Azure Data Lake Storage Gen2.
  • URL de point de terminaison de service BLOB pour le compte de stockage. Pour obtenir d’autres informations, consultez Obtenir des points de terminaison de service pour les comptes de stockage.
  • Analyses en libre-service Power Platform configurées pour utiliser le compte de stockage Azure Data Lake Storage Gen2. L’activation de ce processus peut prendre jusqu’à 48 heures. Pour obtenir plus d’informations, consultez Configurer des analyses en libre-service Microsoft Power Platform pour exporter des données d’utilisation et d’inventaire Power Platform. Passez en revue les conditions préalables et les exigences pour la fonctionnalité d’analyses en libre-service de Power Platform. Les exigences incluent votre activation de l’accès public au compte de stockage et que vous ayez les autorisations requises pour configurer l’exportation des données.
  • Autorisations pour attribuer le rôle Lecteur de données blob du stockage à la fonction Azure

L’activation du connecteur de données d’inventaire Power Platform est recommandée, sans être exigée, pour déployer complètement la solution Microsoft Power Platform. Pour obtenir plus d’informations, consultez Connecteur de données d’inventaire Power Platform.

Installer la solution Power Platform dans Microsoft Sentinel

Installez la solution à partir du hub de contenu dans Microsoft Sentinel en utilisant les étapes suivantes.

1. Dans le portail Azure, recherchez et sélectionnez Microsoft Sentinel.
2. Sélectionnez l’espace de travail Microsoft Sentinel dans lequel vous prévoyez de déployer la solution.
3. Sous Gestion de contenu, sélectionnez Hub de contenu.
4. Recherchez et sélectionnez Power Platform.
5. Sélectionnez Installer.
6. Dans la page des détails de la solution, sélectionnez Créer.
7. Dans l’onglet De base, entrez l’abonnement, le groupe de ressources et l’espace de travail dans lequel vous déployez la solution.
8. Sélectionnez Vérifier + créer>Créer pour déployer la solution.

Activer les connecteurs de données

Dans Microsoft Sentinel, activez les six connecteurs de données pour collecter les données d’inventaire et les journaux d’activité à partir des composants Power Platform.

Connecteur de données d’inventaire Power Platform

Le connecteur de données d’inventaire Power Platform vous permet de résoudre les GUID pour des environnements Power Platform et Power Apps dans les détails de l’incident des noms lisibles par l’homme qui s’affichent dans le Centre d’administration Power Platform et le portail créateur de Power Apps. Nous recommandons l’activation de ce connecteur de données, mais ce n’est pas requis pour déployer complètement la solution Microsoft Power Platform.

Pour optimiser l’ingestion, le connecteur de données d’inventaire Power Platform ingère en totalité des données tous les 7 jours et des mise à jour incrémentielles chaque jour. Les mises à jour incrémentielles incluent uniquement des ressources d’inventaire ayant fait l’objet de modifications depuis le jour précédent.

Pour collecter des données d’inventaire Power Apps et Power Automate, déployer le modèle Azure Resource Manager pour créer une application de fonction. Pour effectuer le déploiement, vous avez besoin de l’URL de service BLOB pour votre compte de stockage Azure Data Lake Storage Gen2. Après la création de votre application de fonction, accordez à l’identité managée de l’application de fonction l’accès au compte de stockage.

1. Dans Microsoft Sentinel, sous Configuration, sélectionnez Connecteurs de données.
2. Recherchez et sélectionnez Inventaire Power Platform (en utilisant Azure Functions).
3. Sélectionnez Ouvrir la page du connecteur.
4. Si vous n’avez pas activé la fonctionnalité des analyses en libre-service de Power Platform, suivez les étapes 1 et 2 sous Configuration.
5. Sous Configuration>Étape 3 : modèle Azure Resource Manager (ARM), sélectionnez Déployer vers Azure.
6. Suivez toutes les étapes dans l’Assistant de déploiement de modèle Azure Resource Manager, puis sélectionnez Vérifier + créer>Créer.
7. Si vous ne disposez pas des autorisations requises pour les attributions de rôle pendant le déploiement du modèle Resource Manager, suivez les étapes 4 et 5 sous Configuration.

Autres connecteurs de données

Connectez chacun des connecteurs de données restants en effectuant les étapes suivantes.

1. Dans Microsoft Sentinel, sous Configuration, sélectionnez Connecteurs de données.
2. Recherchez et sélectionnez les connecteurs de données dans la solution que vous devez connecter, par exemple Activité administrative Microsoft Power Platform.
3. Sélectionnez Ouvrir la page du connecteur>Connecter.
4. Répétez ces étapes pour chacun des connecteurs de données suivants qui font partie de la solution Power Platform.
   • Activité administrative Microsoft Power Platform
   • Microsoft Power Automate
   • Microsoft Dataverse

Activer l’audit dans votre environnement Microsoft Dataverse

La journalisation de l’activité Dataverse est disponible uniquement pour les environnements Dataverse de production. Les autres types d’environnement, tels que le bac à sable, ne prennent pas en charge la journalisation de l’activité. Consultez Exigences de la journalisation des activités des applications pilotées par modèle et Microsoft Dataverse. La journalisation de l’activité Dataverse n’est pas activée par défaut. Activez l’audit au niveau global pour Dataverse et chaque entité Dataverse.

Audit au niveau global

Dans votre environnement Dataverse, accédez à Paramètres>Paramètres d’audit. Sous Audit, cochez les trois cases.

• Démarrer l’audit
• Accès aux journaux
• Lire les journaux

Pour obtenir plus d’informations sur ces étapes, consultez Gérer l’audit Dataverse.

Auditer des entités Dataverse

Activez l’audit détaillé sur chacune des entités Dataverse. Pour activer l’audit sur des entités par défaut, importez une solution managée Power Platform. Pour activer l’audit sur des entités personnalisées, vous devez activer manuellement l’audit détaillé sur chacune des entités personnalisées.

Activer automatiquement l’audit sur des entités par défaut

Le moyen le plus rapide pour activer les paramètres d’audit par défaut pour toutes les entités Dataverse consiste à importer la solution managée Power Platform appropriée dans votre environnement Power Platform. Cette solution managée permet un audit détaillé pour chacune des entités par défaut répertoriées dans le fichier suivant : https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g. Pour activer l’audit sur des entités personnalisées, vous devez activer manuellement l’audit détaillé sur chacune des entités personnalisées.

Si vous souhaitez activer automatiquement l’audit d’entités, effectuez les étapes suivantes.

1. Accédez à https://make.powerapps.com.

2. Choisissez l’environnement que vous souhaitez monitorer en haut à droite de la page.

3. Accédez à Solutions>Importer une solution.

4. Importez l’une des solutions suivantes selon que Dynamics 365 CE Apps utilise ou non votre environnement Power Platform.

   • Pour une utilisation avec Dynamics 365CE Apps, importez https://aka.ms/AuditSettings/Dynamics.
   • Sinon, importez https://aka.ms/AuditSettings/DataverseOnly.

Activer manuellement l’audit des entités

Si vous souhaitez activer manuellement l’audit sur chaque entité Dataverse, notamment les entités personnalisées, suivez les étapes de la section Activer ou désactiver des entités et des champs pour l’audit dans Gérer l’audit Dataverse.

Pour obtenir la valeur de détection complète des incidents de la solution, nous vous recommandons d’activer, pour chaque entité Dataverse que vous souhaitez auditer, les options suivantes sous l’onglet Général de la page des paramètres d’entité Dataverse :

• Sous la section Data Services, sélectionnez Audit.
• Sous la section Audit, sélectionnez Enregistrement unique d’audit et Plusieurs enregistrements d’audit.

Enregistrez et publiez vos personnalisations.

Vérifier que le connecteur de données ingère les journaux dans Microsoft Sentinel

Pour vérifier que l’ingestion des journaux fonctionne, effectuez les étapes suivantes.

Générer des journaux d’inventaire et d’activité

1. Exploitez des activités telles que la création, la mise à jour et la suppression afin de générer des journaux des données activées pour le monitoring.
2. Attendez que Microsoft Sentinel ingère les journaux d’activité dans la table des journaux de l’espace de travail. Cette opération peut prendre jusqu’à 60 minutes.
3. Pour les données d’inventaire Power Platform, l’ingestion par Microsoft Sentinel des données dans les tables des journaux de l’espace de travail peut prendre jusqu’à 24 heures.

Afficher les données ingérées dans Microsoft Sentinel

Après avoir attendu l’ingestion des données par Microsoft Sentinel, effectuez les étapes suivantes pour vérifier que vous recevez les données que vous attendez.

1. Dans Microsoft Sentinel, sélectionnez Journaux.

2. Exécutez des requêtes KQL sur les tables qui collectent les journaux d’activité à partir des connecteurs de données. Par exemple, exécutez la requête suivante pour retourner 50 lignes à partir de la table avec les journaux d’activité Power Apps.

    PowerPlatformAdminActivity
    | take 50
   

   Le tableau suivant répertorie les tables Log Analytics à interroger.

   Tableaux Log Analytics	Données collectées
   PowerPlatformAdminActivity	Journaux administratifs Power Platform
   PowerAutomateActivity	Journaux d’activité Power Automate
   DataverseActivity	Journalisation des activités des applications pilotées par modèle et Dataverse

   Utilisez les analyseurs suivants pour retourner les données de Watchlist et d’inventaire.

   Parser	Données retournées
   InventoryApps	Inventaire Power Apps
   InventoryAppsConnections	Inventoryconnections des connexions Power Apps
   InventoryEnvironments	Inventaire des environnements Power Platform
   InventoryFlows	Inventaire des flux Power Automate
   MSBizAppsTerminatedEmployees	Watchlist des employés ayant quitté l’entreprise

3. Vérifiez que les résultats pour chaque table affichent les activités que vous avez générées.

Étapes suivantes

Dans cet article, vous avez appris à déployer la Solution Microsoft Sentinel pour Power Platform.

• Pour passer en revue le contenu de solution disponible avec cette solution, consultez Solution Microsoft Sentinel pour Microsoft Power Platform : informations de référence relatives au contenu de sécurité.
• Pour gérer les composants de la solution et activer le contenu de sécurité, consultez Découvrir et déployer du contenu prêt à l’emploi.