Поделиться через


Развертывание решения Microsoft Sentinel для Microsoft Power Platform

Решение Microsoft Sentinel для Power Platform позволяет отслеживать и обнаруживать подозрительные или вредоносные действия в среде Power Platform. Решение собирает журналы действий из различных компонентов Power Platform и данных инвентаризации. Дополнительные сведения см. в обзоре решения Microsoft Sentinel для Microsoft Power Platform.

Внимание

  • Решение Microsoft Sentinel для Power Platform в настоящее время находится в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
  • Решение — это предложение уровня "Премиум". Сведения о ценах будут доступны до того, как решение станет общедоступным.
  • Предоставьте отзыв об этом решении, выполнив следующий опрос: https://aka.ms/SentinelPowerPlatformSolutionSurvey

Необходимые компоненты

  • Решение Microsoft Sentinel включено.
  • У вас есть определенная рабочая область Microsoft Sentinel и есть разрешения на чтение и запись в рабочую область.
  • Ваша организация использует Power Platform для создания и использования Power Apps.
  • Вы можете создать приложение-функцию Azure с разрешениями Microsoft.Web/SitesMicrosoft.Web/ServerFarmsMicrosoft.Insights/Componentsи Microsoft.Storage/StorageAccounts разрешениями.
  • Вы можете создать правила или конечные точки сбора данных с разрешениями:
    • Microsoft.Insights/DataCollectionEndpoints и Microsoft.Insights/DataCollectionRules.
    • Назначьте роль издателя метрик мониторинга функции Azure.
  • Ведение журнала аудита вКлючено в Microsoft Purview. Дополнительные сведения см. в разделе "Включение или отключение аудита" для Microsoft Purview
  • Для соединителя инвентаризации Power Platform настроены следующие ресурсы и конфигурации.
    • Учетная запись хранения для использования с Azure Data Lake Storage 2-го поколения. Дополнительные сведения см. в статье "Создание учетной записи хранения для использования с Azure Data Lake Storage 2-го поколения".
    • URL-адрес конечной точки службы BLOB-объектов для учетной записи хранения. Дополнительные сведения см. в разделе "Получение конечных точек службы" для учетной записи хранения.
    • Самостоятельная аналитика Power Platform, настроенная для использования учетной записи хранения Azure Data Lake Storage 2-го поколения. Для активации этого процесса может потребоваться до 48 часов. Дополнительные сведения см. в статье Настройка самостоятельной аналитики Microsoft Power Platform для экспорта данных инвентаризации и использования Power Platform. Ознакомьтесь с предварительными требованиями и требованиями к функции самостоятельной аналитики Power Platform. К этим требованиям относятся включение общедоступного доступа к учетной записи хранения и наличие разрешений, необходимых для настройки экспорта данных.
    • Разрешения на назначение роли чтения данных BLOB-объектов хранилища функции Azure

Включение соединителя данных инвентаризации Power Platform рекомендуется, но не требуется для полного развертывания решения Microsoft Power Platform. Дополнительные сведения см. в разделе Соединитель данных инвентаризации Power Platform.

Установка решения Power Platform в Microsoft Sentinel

Установите решение из центра содержимого в Microsoft Sentinel, выполнив следующие действия.

  1. В портал Azure найдите и выберите Microsoft Sentinel.
  2. Выберите рабочую область Microsoft Sentinel, в которой планируется развернуть решение.
  3. В разделе Управление содержимым выберите центр содержимого.
  4. Найдите и выберите Power Platform.
  5. Выберите Установить.
  6. На странице сведений о решении нажмите кнопку "Создать".
  7. На вкладке "Основные сведения" введите подписку, группу ресурсов и рабочую область для развертывания решения.
  8. Нажмите кнопку "Просмотр и создание">, чтобы развернуть решение.

Включение соединителей данных

В Microsoft Sentinel включите шесть соединителей данных для сбора журналов действий и данных инвентаризации из компонентов Power Platform.

Соединитель данных инвентаризации Power Platform

Соединитель данных инвентаризации Power Platform позволяет разрешать идентификаторы GUID для сред Power Platform и PowerApps в сведениях об инциденте с именами, которые отображаются в Центре администрирования Power Platform и на портале разработчика Power Apps. Рекомендуется включить этот соединитель данных, но не требуется полностью развернуть решение Microsoft Power Platform.

Для оптимизации приема соединитель данных инвентаризации Power Platform получает данные в полном объеме каждые 7 дней и ежедневно обновляет добавочные обновления. Добавочные обновления включают только ресурсы инвентаризации, которые имеют изменения с предыдущего дня.

Чтобы собрать данные инвентаризации Power Apps и Power Automate, разверните шаблон Azure Resource Manager для создания приложения-функции. Чтобы завершить развертывание, вам потребуется URL-адрес службы BLOB-объектов для учетной записи хранения Azure Data Lake Storage 2-го поколения. После создания приложения-функции предоставьте управляемому удостоверению доступ приложения-функции к учетной записи хранения.

  1. В Microsoft Sentinel в разделе "Конфигурация" выберите соединители данных.
  2. Найдите и выберите "Инвентаризация Power Platform" (с помощью Функции Azure).
  3. Выберите Открыть страницу соединителя.
  4. Если вы не включите функцию самостоятельной аналитики Power Platform, в разделе "Конфигурация" выполните действия 1 и 2.
  5. В разделе "Конфигурация>" 3. Шаблон Azure Resource Manager (ARM) выберите "Развернуть в Azure".
  6. Выполните все действия в мастере развертывания шаблонов Azure Resource Manager и выберите "Проверить и создать>".
  7. Если у вас нет необходимых разрешений для назначений ролей во время развертывания шаблона Resource Manager, в разделе "Конфигурация" выполните действия 4 и 5.

Другие соединители данных

Подключите каждый из оставшихся соединителей данных, выполнив следующие действия.

  1. В Microsoft Sentinel в разделе "Конфигурация" выберите соединители данных.
  2. Найдите и выберите соединители данных в решении, которое необходимо подключить, например действие администратора Microsoft Power Platform.
  3. Выберите "Открыть соединитель" на странице>"Подключиться".
  4. Повторите эти действия для каждого из следующих соединителей данных, которые являются частью решения Power Platform.
    • Действие администратора Microsoft Power Platform
    • Microsoft Power Automate
    • Microsoft Dataverse

Включение аудита в среде Microsoft Dataverse

Ведение журнала действий dataverse доступно только для рабочих сред с обратными данными. Другие типы сред, например песочница, не поддерживают ведение журнала действий. См . требования к ведению журнала действий приложений на основе моделей и Microsoft Dataverse. Ведение журнала действий dataverse не включено по умолчанию. Включите аудит на глобальном уровне для Dataverse и для каждой сущности Dataverse.

Аудит на глобальном уровне

В среде Dataverse перейдите к >параметрам аудита параметров. В разделе "Аудит" установите все три флажка.

  • Запуск аудита
  • Доступ к журналам
  • Чтение журналов

Дополнительные сведения об этих шагах см. в разделе "Управление аудитом Dataverse".

Аудит сущностей Dataverse

Включите подробный аудит для каждой сущности Dataverse. Чтобы включить аудит сущностей по умолчанию, импортируйте управляемое решение Power Platform. Чтобы включить аудит пользовательских сущностей, необходимо вручную включить подробный аудит для каждой из пользовательских сущностей.

Автоматическое включение аудита для сущностей по умолчанию

Самый быстрый способ включить параметры аудита по умолчанию для всех сущностей Dataverse — импортировать соответствующее управляемое решение Power Platform в среде Power Platform. Это управляемое решение обеспечивает подробный аудит для каждой сущности по умолчанию, указанной в следующем файле. https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g Чтобы включить аудит пользовательских сущностей, необходимо вручную включить подробный аудит для каждой из пользовательских сущностей.

Чтобы автоматически включить аудит сущностей, выполните следующие действия.

  1. Переход к https://make.powerapps.com.

  2. Выберите среду, которую вы хотите отслеживать в правой верхней части страницы.

  3. Перейдите к решению импорта решений>.

  4. Импортируйте одно из следующих решений в зависимости от того, используется ли среда Power Platform для приложений Dynamics 365 CE или нет.

Включение аудита сущностей вручную

Чтобы включить аудит для каждой сущности Dataverse вручную, включая пользовательские сущности, выполните действия, описанные в разделе "Включение или отключение сущностей и полей для аудита в управлении аудитом Dataverse".

Чтобы получить полное значение обнаружения инцидентов решения, рекомендуется включить для каждой сущности Dataverse, которую вы хотите проверить, следующие параметры на вкладке "Общие " на странице параметров сущности Dataverse:

  • В разделе "Службы данных" выберите "Аудит".
  • В разделе "Аудит" выберите "Аудит одной записи" и "Несколько записей".

Сохраните и опубликуйте свои настройки.

Убедитесь, что соединитель данных прием журналов в Microsoft Sentinel

Чтобы убедиться, что прием журналов работает, выполните следующие действия.

Создание журналов действий и инвентаризации

  1. Выполните такие действия, как создание, обновление и удаление, чтобы создать журналы для данных, включенных для мониторинга.
  2. Подождите до 60 минут, чтобы Microsoft Sentinel отправлял журналы действий в таблицу журналов в рабочей области.
  3. Для данных инвентаризации Power Platform подождите до 24 часов, чтобы Microsoft Sentinel отправлял данные в таблицы журналов в рабочей области.

Просмотр приема данных в Microsoft Sentinel

После ожидания приема данных Microsoft Sentinel выполните следующие действия, чтобы убедиться, что вы получите ожидаемые данные.

  1. В Microsoft Sentinel выберите журналы.

  2. Запустите запросы KQL к таблицам, которые собирают журналы действий из соединителей данных. Например, выполните следующий запрос, чтобы вернуть 50 строк из таблицы с журналами действий Power Apps.

     PowerPlatformAdminActivity
     | take 50
    

    В следующей таблице перечислены таблицы Log Analytics для запроса.

    Таблицы Log Analytics Собираемые данные
    PowerPlatformAdminActivity Административные журналы Power Platform
    PowerAutomateActivity Журналы действий Power Automate
    DataverseActivity Ведение журнала действий приложений на основе данных и моделей

    Используйте следующие средства синтаксического анализа для возврата данных инвентаризации и списка наблюдения.

    Средство синтаксического анализа Возвращенные данные
    InventoryApps Инвентаризация Power Apps
    InventoryAppsConnections Подключения Power Apps к инвентаризации
    InventoryEnvironments Инвентаризация сред Power Platform
    InventoryFlows Инвентаризация потоков Power Automate
    MSBizAppsTerminatedEmployees Список отслеживания завершенных сотрудников
  3. Убедитесь, что результаты для каждой таблицы отображают созданные вами действия.

Следующие шаги

Из этой статьи вы узнали, как развернуть решение Microsoft Sentinel для Power Platform.