Microsoft Power Platform en Microsoft Dynamics 365 Customer Engagement verbinden met Microsoft Sentinel

In dit artikel wordt beschreven hoe u de Microsoft Sentinel-oplossing voor Microsoft Business Apps implementeert om uw Microsoft Power Platform- en Microsoft Dynamics 365 Customer Engagement-systeem te verbinden met Microsoft Sentinel. De oplossing verzamelt audit- en activiteitenlogboeken om bedreigingen, verdachte activiteiten, onwettige activiteiten en meer te detecteren.

Belangrijk

• De Microsoft Sentinel-oplossing voor Microsoft Business Apps is momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
• De oplossing is een premium-aanbieding. Prijsinformatie is beschikbaar voordat de oplossing algemeen beschikbaar wordt.

Vereisten

Voordat u de Microsoft Sentinel-oplossing voor Microsoft Business Apps implementeert, moet u ervoor zorgen dat u voldoet aan de volgende vereisten:

• Uw Log Analytics-werkruimte moet zijn ingeschakeld voor Microsoft Sentinel

• U moet lees- en schrijftoegang hebben tot de werkruimte. U moet het volgende kunnen maken:

  • Regels/eindpunten voor gegevensverzameling, met de Microsoft.Insights/DataCollectionEndpointsen Microsoft.Insights/DataCollectionRules

• Uw organisatie moet Dynamics 365 Customer Engagement en/of een of meer van de Power Platform-workloads gebruiken.

• Auditlogboekregistratie moet ook zijn ingeschakeld in Microsoft Purview. Zie Controle in- of uitschakelen voor Microsoft Purview voor meer informatie

• Als u met Microsoft Dataverse werkt, wordt auditlogboekregistratie alleen ondersteund voor productieomgevingen. Zie De vereisten voor activiteitenlogboekregistratie van Microsoft Dataverse en modelgestuurde apps voor meer informatie.

De oplossing installeren en uw gegevensconnectors implementeren

1. Begin met het installeren van de Microsoft Sentinel-oplossing voor Microsoft Business Applications vanuit de Microsoft Sentinel Content Hub.

   Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie.

2. Selecteer Connectors voor configuratiegegevens >en zoek een van de volgende gegevensconnectors die u wilt implementeren:

   • Microsoft Dataverse

   • Microsoft Power Platform-beheeractiviteit

   • Microsoft Power Automate

3. Voor elke gegevensconnector selecteert u in het zijdeelvenster Connectorpagina > Verbinding maken openen.

Gegevensverzameling configureren voor Dataverse

Wanneer u met Microsoft Dataverse werkt, is logboekregistratie van Dataverse-activiteiten alleen beschikbaar voor productieomgevingen en is deze niet standaard ingeschakeld. Schakel controle in op zowel het globale niveau voor Dataverse als voor elke Dataverse-entiteit:

• Als u controle wilt inschakelen voor standaardentiteiten, importeert u een van de volgende door Power Platform beheerde oplossingen:

  • Voor gebruik met Dynamics 365 CE-apps importeert u https://aka.ms/AuditSettings/Dynamics.
  • Anders importeert u https://aka.ms/AuditSettings/DataverseOnly.

  De oplossing maakt gedetailleerde controle mogelijk voor elk van de standaardentiteiten die worden vermeld in het volgende bestand: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g

• Als u controle wilt inschakelen voor aangepaste entiteiten, moet u handmatig gedetailleerde controle inschakelen voor elk van de aangepaste entiteiten. Zie Dataverse-controle beheren voor meer informatie.

  Als u de volledige waarde voor incidentdetectie van de oplossing wilt ophalen, raden we u aan om voor elke Dataverse-entiteit die u wilt controleren, de volgende opties in te schakelen op het tabblad Algemeen van de pagina Instellingen van de Dataverse-entiteit:

  • Selecteer Controle in de sectie Data Services.
  • Selecteer in de sectie Controle de optie Controle van één record en Controle van meerdere records.

  Zorg ervoor dat u uw aanpassingen opslaat en publiceert.

Logboekopname naar Microsoft Sentinel controleren

1. Nadat u uw gegevensconnectors hebt geïmplementeerd en gegevensverzameling hebt geconfigureerd, voert u activiteiten uit zoals maken, bijwerken en verwijderen om logboeken te genereren voor gegevens die u hebt ingeschakeld voor bewaking.

2. Wacht 60 minuten totdat Microsoft Sentinel de gegevens heeft opgenomen voor activiteitenlogboeken van Power Platform.

3. Als u wilt controleren of Microsoft Sentinel de verwachte gegevens krijgt, voert u KQL-query's uit op de gegevenstabellen die logboeken van uw gegevensconnectors verzamelen.

   Voor Microsoft Sentinel in Azure Portal voert u KQL-query's uit op de pagina Algemene>logboeken. Voer in de Defender-portal KQL-query's uit in de Opsporings- en respons>opsporing>geavanceerde opsporing.

   Als u bijvoorbeeld de opname van uw Power Platform-logboek wilt controleren, voert u de volgende query uit om 50 rijen uit de tabel met de Power Apps-activiteitenlogboeken te retourneren.

   PowerPlatformAdminActivity
   | take 50
   

De volgende tabel bevat de Log Analytics-tabellen die moeten worden opvraagt.

Log Analytics-tabellen	Verzamelde gegevens
PowerPlatformAdminActivity	Power Platform-beheerlogboeken
PowerAutomateActivity	Power Automate-activiteitenlogboeken
DataverseActivity	Activiteitenlogboek voor dataverse en modelgestuurde apps

Gerelateerde inhoud

• Wat is de Microsoft Sentinel-oplossing voor Microsoft Business Apps?

• Naslaginformatie over beveiligingsinhoud voor Microsoft Power Platform en Microsoft Dynamics 365 Customer Engagement