Łączenie platformy Microsoft Power Platform i platformy Microsoft Dynamics 365 Customer Engagement z usługą Microsoft Sentinel

W tym artykule opisano sposób wdrażania rozwiązania Microsoft Sentinel dla aplikacji firmy Microsoft w celu połączenia platformy Microsoft Power Platform i systemu Microsoft Dynamics 365 Customer Engagement z usługą Microsoft Sentinel. Rozwiązanie zbiera dzienniki inspekcji i aktywności w celu wykrywania zagrożeń, podejrzanych działań, bezprawnych działań i nie tylko.

Ważne

• Rozwiązanie Microsoft Sentinel dla aplikacji firmy Microsoft jest obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
• Rozwiązanie to oferta premium. Informacje o cenach będą dostępne, zanim rozwiązanie stanie się ogólnie dostępne.

Wymagania wstępne

Przed wdrożeniem rozwiązania Microsoft Sentinel dla aplikacji firmy Microsoft upewnij się, że spełniono następujące wymagania wstępne:

• Obszar roboczy usługi Log Analytics musi być włączony dla usługi Microsoft Sentinel

• Musisz mieć dostęp do odczytu i zapisu w obszarze roboczym. Musisz mieć możliwość utworzenia:

  • Reguły zbierania danych/punkty końcowe z elementami Microsoft.Insights/DataCollectionEndpointsi Microsoft.Insights/DataCollectionRules

• Organizacja musi używać usługi Dynamics 365 Customer Engagement i/lub co najmniej jednego obciążenia platformy Power Platform.

• Rejestrowanie inspekcji musi być również włączone w usłudze Microsoft Purview. Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie inspekcji dla usługi Microsoft Purview

• Jeśli pracujesz z usługą Microsoft Dataverse, rejestrowanie inspekcji jest obsługiwane tylko w środowiskach produkcyjnych. Aby uzyskać więcej informacji, zobacz Microsoft Dataverse i wymagania dotyczące rejestrowania aktywności aplikacji opartych na modelu.

Instalowanie rozwiązania i wdrażanie łączników danych

1. Zacznij od zainstalowania rozwiązania Microsoft Sentinel dla aplikacji biznesowych firmy Microsoft z centrum zawartości usługi Microsoft Sentinel.

   Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.

2. Wybierz pozycję Łączniki danych konfiguracji > i znajdź dowolne z następujących łączników danych, które chcesz wdrożyć:

   • Microsoft Dataverse

   • Aktywność administratora platformy Microsoft Power Platform

   • Microsoft Power Automate

3. Dla każdego łącznika danych w okienku bocznym wybierz pozycję Otwórz stronę > łącznika Połącz.

Konfigurowanie zbierania danych dla usługi Dataverse

Podczas pracy z usługą Microsoft Dataverse rejestrowanie aktywności usługi Dataverse jest dostępne tylko dla środowisk produkcyjnych i nie jest domyślnie włączone. Włącz inspekcję na poziomie globalnym dla usługi Dataverse i dla każdej jednostki usługi Dataverse:

• Aby włączyć inspekcję dla jednostek domyślnych, zaimportuj jedno z następujących rozwiązań zarządzanych przez platformę Power Platform:

  • Do użycia z aplikacjami Dynamics 365 CE zaimportuj plik https://aka.ms/AuditSettings/Dynamics.
  • W przeciwnym razie zaimportuj plik https://aka.ms/AuditSettings/DataverseOnly.

  Rozwiązanie umożliwia szczegółową inspekcję dla każdej z domyślnych jednostek wymienionych w następującym pliku: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g.

• Aby włączyć inspekcję jednostek niestandardowych, należy ręcznie włączyć szczegółową inspekcję dla każdej z jednostek niestandardowych. Aby uzyskać więcej informacji, zobacz Zarządzanie inspekcją usługi Dataverse.

  Aby uzyskać pełną wartość wykrywania zdarzeń rozwiązania, zalecamy włączenie dla każdej jednostki usługi Dataverse, którą chcesz przeprowadzić inspekcję, następujące opcje na karcie Ogólne na stronie Ustawień jednostki usługi Dataverse:

  • W sekcji Usługi danych wybierz pozycję Inspekcja.
  • W sekcji Inspekcja wybierz pozycję Inspekcja pojedynczego rekordu i Inspekcja wielu rekordów.

  Pamiętaj, aby zapisać i opublikować dostosowania.

Weryfikowanie pozyskiwania dzienników w usłudze Microsoft Sentinel

1. Po wdrożeniu łączników danych i skonfigurowaniu zbierania danych uruchom działania, takie jak tworzenie, aktualizowanie i usuwanie, aby wygenerować dzienniki dla danych, które zostały włączone do monitorowania.

2. W przypadku dzienników aktywności platformy Power Platform poczekaj 60 minut na pozyskiwanie danych przez usługę Microsoft Sentinel.

3. Aby sprawdzić, czy usługa Microsoft Sentinel pobiera oczekiwane dane, uruchom zapytania KQL względem tabel danych, które zbierają dzienniki z łączników danych.

   W przypadku usługi Microsoft Sentinel w witrynie Azure Portal uruchom zapytania KQL na stronie Dzienniki ogólne>. W portalu usługi Defender uruchom zapytania KQL w obszarze Zaawansowane wyszukiwanie zagrożeń badania i odpowiedzi>>.

   Aby na przykład zweryfikować pozyskiwanie dzienników platformy Power Platform, uruchom następujące zapytanie, aby zwrócić 50 wierszy z tabeli przy użyciu dzienników aktywności usługi Power Apps.

   PowerPlatformAdminActivity
   | take 50
   

W poniższej tabeli wymieniono tabele usługi Log Analytics do wykonywania zapytań.

Tabele usługi Log Analytics	Zebrane dane
PowerPlatformAdminActivity	Dzienniki administracyjne platformy Power Platform
PowerAutomateActivity	Dzienniki aktywności usługi Power Automate
DataverseActivity	Rejestrowanie aktywności aplikacji opartych na modelu i aplikacji opartych na modelu

Powiązana zawartość

• Co to jest rozwiązanie usługi Microsoft Sentinel dla aplikacji firmy Microsoft?

• Dokumentacja zawartości zabezpieczeń dla platform Microsoft Power Platform i microsoft Dynamics 365 Customer Engagement