Conectar o Microsoft Power Platform e o Microsoft Dynamics 365 Customer Engagement ao Microsoft Sentinel
Este artigo descreve como implantar a Solução do Microsoft Sentinel para Microsoft Business Apps para conectar ao sistema do Microsoft Power Platform e Microsoft Dynamics 365 Customer Engagement no Microsoft Sentinel. A solução coleta logs de auditoria e de atividade para detectar ameaças, atividades suspeitas, atividades ilegítimas e muito mais.
Importante
- A solução do Microsoft Sentinel para Microsoft Business Apps está atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
- A solução é uma oferta premium. As informações de preços estarão disponíveis antes que a solução esteja em disponibilidade geral.
Pré-requisitos
Antes de implantar a solução do Microsoft Sentinel para Microsoft Business Apps, verifique se você atende aos seguintes pré-requisitos:
Seu workspace do Log Analytics deve estar habilitado para o Microsoft Sentinel
Você deve ter acesso de leitura e gravação ao workspace. Você deve conseguir criar:
- Regras/pontos de extremidade de coleta de dados com
Microsoft.Insights/DataCollectionEndpointseMicrosoft.Insights/DataCollectionRules
- Regras/pontos de extremidade de coleta de dados com
Sua organização deve usar o Dynamics 365 Customer Engagement e/ou uma ou mais cargas de trabalho do Power Platform.
O log de auditoria também deve estar habilitado no Microsoft Purview. Para obter mais informações, consulte Ativar ou desativar a auditoria do Microsoft Purview.
Se você estiver trabalhando com o Microsoft Dataverse, o log de auditoria terá suporte apenas para ambientes de produção. Para obter mais informações, consulte Requisitos de registro em log de atividades de aplicativos baseados em modelos e do Microsoft Dataverse.
Instalar a solução e implantar conectores de dados
Comece instalando a solução do Microsoft Sentinel para Microsoft Business Applications no Hub de Conteúdo do Microsoft Sentinel.
Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.
Selecione Configuração > Conectores de dados e localize qualquer um dos seguintes conectores de dados que você deseja implantar:
Microsoft Dataverse
Atividade do administrador do Microsoft Power Platform
Microsoft Power Automate
Para cada conector de dados, no painel lateral, selecione Abrir página do conector > Conectar.
Configurar a coleta de dados para Dataverse
Ao trabalhar com o Microsoft Dataverse, o log de atividades do Dataverse está disponível apenas para ambientes de produção e não está habilitado por padrão. Habilite a auditoria no nível global do Dataverse e para cada entidade do Dataverse:
Para habilitar a auditoria em entidades padrão, importe uma das seguintes soluções gerenciadas do Power Platform:
- Para uso com os aplicativos do Dynamics 365 CE, importe https://aka.ms/AuditSettings/Dynamics.
- Caso contrário, importe https://aka.ms/AuditSettings/DataverseOnly.
A solução permite a auditoria detalhada de cada uma das entidades padrão listadas no seguinte arquivo: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g.
Para habilitar a auditoria em entidades personalizadas, você precisa habilitar manualmente a auditoria detalhada em cada uma das entidades personalizadas. Para obter mais informações, consulte Gerenciar auditoria do Dataverse.
Para obter o valor completo de detecção de incidentes da solução, recomendamos que você habilite, para cada entidade do Dataverse que você deseja auditar, as seguintes opções na guia Geral da página de configurações de entidade do Dataverse:
- Na seção Serviços de Dados, selecione Auditoria.
- Na seção Auditoria, selecione Auditoria de registro único e Auditoria de vários registros.
Salve e publique suas personalizações.
Verificar a ingestão de log no Microsoft Sentinel
Depois de implantar seus conectores de dados e configurar a coleta de dados, execute atividades como criar, atualizar e excluir para gerar logs de dados que você habilitou para monitoramento.
Para logs de atividades do Power Platform, aguarde 60 minutos para o Microsoft Sentinel ingerir os dados.
Para verificar se o Microsoft Sentinel está obtendo os dados esperados, execute consultas KQL nas tabelas de dados que coletam logs de seus conectores de dados.
Para o Microsoft Sentinel no portal do Azure, execute consultas KQL na página Geral>Logs. No portal do Defender, execute consultas KQL em Investigação e resposta>Busca>Busca avançada de ameaças.
Por exemplo, para verificar a ingestão de logs do Power Platform, execute a consulta a seguir para retornar 50 linhas da tabela com os logs de atividades do Power Apps.
PowerPlatformAdminActivity | take 50
A tabela a seguir lista as tabelas do Log Analytics a serem consultadas.
| Tabelas do Log Analytics | Dados coletados |
|---|---|
| PowerPlatformAdminActivity | Logs administrativos do Power Platform |
| PowerAutomateActivity | Logs de atividades do Power Automate |
| DataverseActivity | Registro em log de atividades do Dataverse e aplicativos baseados em modelos |