Microsoft Power Platform 向け Microsoft Sentinel ソリューションの概要
Power Platform 用の Microsoft Sentinel ソリューションを使用すると、Power Platform 環境内の疑わしいアクティビティや悪意のあるアクティビティを監視および検出できます。 このソリューションでは、さまざまな Power Platform コンポーネントとインベントリ データからアクティビティ ログを収集します。 これらのアクティビティ ログを分析して、次のような脅威や疑わしいアクティビティを検出します:
- 承認されていない地域からの Power Apps の実行
- Power Apps による疑わしいデータの破壊
- Power Apps の大量削除
- Power Apps を介して可能になったフィッシング攻撃
- 退職する従業員による Power Automate フロー アクティビティ
- 環境に追加された Microsoft Power Platform コネクタ
- Microsoft Power Platform のデータ損失防止ポリシーの更新または削除
重要
- Power Platform 向け Microsoft Sentinel ソリューションは、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
- このソリューションは Premium オファーです。 価格情報は、ソリューションが一般公開される前に入手できます。
- 次のアンケートに記入して、このソリューションのフィードバックをご提供ください: https://aka.ms/SentinelPowerPlatformSolutionSurvey。
ソリューションをインストールする理由
Microsoft Power Platform 向け Microsoft Sentinel ソリューションは、組織が次のこと実施するのに役立ちます:
- Microsoft Power Platform と Power Apps のアクティビティ ログ、監査、イベントを Microsoft Sentinel ワークスペースに収集します。
- Microsoft Power Platform と Power Apps 内での疑わしい、悪意のある、または違法なアクティビティの実行を検出します。
- Microsoft Power Platform と Power Apps で検出された脅威を調査し、組織全体の他のユーザー アクティビティとコンテキスト化します。
- Microsoft Power Platform 関連および Power Apps 関連の脅威とインシデントに、手動で、自動的に、または定義済みのワークフローを使用して、簡単かつ簡単な方法で対応します。
ソリューションの更新プログラム
2024 年 10 月 17 日以降、Power Apps、Power Platform DLP、Power Platform コネクタの監査ログ データは、PowerAppsActivity
、PowerPlatformDlpActivity
、PowerPlatformConnectorActivity
テーブルではなく PowerPlatformAdminActivity
テーブルにルーティングされます。
Microsoft Power Platform 用 Microsoft Sentinel ソリューションのセキュリティ コンテンツは、Power Apps、Power Platform DLP、Power Platform コネクタの新しいテーブルとスキーマで更新されます。 ワークスペース内の Power Platform ソリューションを最新バージョンに更新し、更新された分析ルール テンプレートを適用して変更の恩恵を受けられるようにすることをお勧めします。 詳細については、「コンテンツのインストールまたは更新」を参照してください。
Power Apps、Power Platform DLP、Power Platform Connector に非推奨のデータ コネクタを使用しているお客様は、Microsoft Sentinel ワークスペースからこれらのコネクタを安全に切断して削除できます。 関連付けられているすべてのデータ フローは、Power Platform Admin Activity コネクタを使用して取り込まれます。
詳細については、「メッセージ センター」を参照してください。
このソリューションの内容
Power Platform 向け Microsoft Sentinel ソリューションには、いくつかのデータ コネクタと分析ルールが含まれています。
データ コネクタ
Power Platform 向け Microsoft Sentinel ソリューションでは、複数のソースからのアクティビティ ログとインベントリ データを取り込んで相互に関連付けることができます。 そのため、ソリューションでは、ソリューションの一部として使用できる次のデータ コネクタを有効にする必要があります。
コネクタ名 | 収集されるデータ | Log Analytics のテーブル |
---|---|---|
Power Platform インベントリ (Azure Functions を使用) | Power Apps と Power Automate のインベントリ データ 詳細については、「Power Platform のインベントリと使用状況データをエクスポートするように Microsoft Power Platform のセルフサービス分析を設定する」を参照してください。 |
PowerApps_CL、 PowerPlatrformEnvironments_CL、 PowerAutomateFlows_CL、 PowerAppsConnections_CL |
Microsoft Power Platform 管理者アクティビティ (プレビュー) | Power Platform 管理者のアクティビティ ログ 詳細については、「Microsoft Purview (プレビュー) の監査ソリューションを使用して Power Platform の管理ログを表示する」を参照してください。 |
PowerPlatformAdminActivity |
Microsoft Dataverse (プレビュー) | Dataverse およびモデル駆動型アプリのアクティビティ ログ 詳細については、「Microsoft Dataverse およびモデル駆動型アプリのアクティビティ ログ」を参照してください。 Dynamics 365 のデータ コネクタを使用している場合は、Microsoft Dataverse のデータ コネクタに移行します。 このデータ コネクタは、Dynamics 365 のレガシ データ コネクタを置き換え、データ収集ルールをサポートします。 |
DataverseActivity |
分析ルール
このソリューションには、Power Platform 環境で脅威や疑わしいアクティビティを検出するための分析ルールが含まれています。 これらのアクティビティには、承認されていない地域から実行されている Power Apps、Power Apps による疑わしいデータの破壊、Power Apps の大量削除などがあります。 詳細については、「Microsoft Power Platform 向け Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス」を参照してください。
パーサー
このソリューションには、生データ テーブルのデータにアクセスするために使われるパーサーが含まれます。 パーサーは、正しいデータが一貫したスキーマで返されることを確認します。 インベントリ テーブルとウォッチリストのクエリを直接実行する代わりに、パーサーを使うことをお勧めします。 詳細については、「Microsoft Power Platform 向け Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス」を参照してください。
次のステップ
Microsoft Power Platform 向け Microsoft Sentinel ソリューションをデプロイする