Подключение Microsoft Power Platform и Microsoft Dynamics 365 Customer Engagement к Microsoft Sentinel

В этой статье описывается, как развернуть решение Microsoft Sentinel для Microsoft Business Apps для подключения системы Microsoft Power Platform и Microsoft Dynamics 365 Customer Engagement к Microsoft Sentinel. Решение собирает журналы аудита и действий для обнаружения угроз, подозрительных действий, нелегитимных действий и т. д.

Внимание

• Решение Microsoft Sentinel для Microsoft Business Apps в настоящее время находится в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
• Решение — это предложение уровня "Премиум". Сведения о ценах будут доступны до того, как решение станет общедоступным.

Необходимые компоненты

Перед развертыванием решения Microsoft Sentinel для Microsoft Business Apps убедитесь, что выполнены следующие предварительные требования:

• Рабочая область Log Analytics должна быть включена для Microsoft Sentinel

• У вас должен быть доступ на чтение и запись в рабочую область. Вы должны иметь возможность создавать следующие возможности:

  • Правила сбора данных и конечные точки с Microsoft.Insights/DataCollectionEndpointsпомощью и Microsoft.Insights/DataCollectionRules

• Ваша организация должна использовать Dynamics 365 Customer Engagement и (или) одну или несколько рабочих нагрузок Power Platform.

• Ведение журнала аудита также должно быть включено в Microsoft Purview. Дополнительные сведения см. в разделе "Включение или отключение аудита" для Microsoft Purview

• Если вы работаете с Microsoft Dataverse, ведение журнала аудита поддерживается только для рабочих сред. Дополнительные сведения см. в статье Microsoft Dataverse и требования к ведению журналов действий приложений на основе моделей.

Установка решения и развертывание соединителей данных

1. Начните с установки решения Microsoft Sentinel для бизнес-приложений из Центра содержимого Microsoft Sentinel.

   Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".

2. Выберите соединители данных конфигурации >и найдите любой из следующих соединителей данных, которые требуется развернуть:

   • Microsoft Dataverse

   • Действие администратора Microsoft Power Platform

   • Microsoft Power Automate

3. Для каждого соединителя данных на боковой панели выберите "Открыть соединитель" на странице > Connect.

Настройка сбора данных для Dataverse

При работе с Microsoft Dataverse ведение журнала действий Dataverse доступно только для рабочих сред и не включено по умолчанию. Включите аудит как на глобальном уровне для Dataverse, так и для каждой сущности Dataverse:

• Чтобы включить аудит сущностей по умолчанию, импортируйте одно из следующих управляемых решений Power Platform:

  • Для использования с приложениями Dynamics 365 CE импортируйте https://aka.ms/AuditSettings/Dynamics.
  • В противном случае импортируйте https://aka.ms/AuditSettings/DataverseOnly.

  Решение включает подробный аудит для каждой сущности по умолчанию, указанной в следующем файле. https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g

• Чтобы включить аудит пользовательских сущностей, необходимо вручную включить подробный аудит для каждой из пользовательских сущностей. Дополнительные сведения см. в разделе "Управление аудитом dataverse".

  Чтобы получить полное значение обнаружения инцидентов решения, рекомендуется включить для каждой сущности Dataverse, которую вы хотите проверить, следующие параметры на вкладке "Общие " на странице параметров сущности Dataverse:

  • В разделе "Службы данных" выберите "Аудит".
  • В разделе "Аудит" выберите "Аудит одной записи" и "Несколько записей".

  Обязательно сохраните и опубликуйте настройки.

Проверка приема журналов в Microsoft Sentinel

1. После развертывания соединителей данных и настройки сбора данных выполните такие действия, как создание, обновление и удаление, чтобы создать журналы для данных, включенных для мониторинга.

2. Для журналов действий Power Platform подождите 60 минут, пока Microsoft Sentinel не будет прием данных.

3. Чтобы убедиться, что Microsoft Sentinel получает ожидаемые данные, запустите запросы KQL к таблицам данных, которые собирают журналы из соединителей данных.

   Для Microsoft Sentinel в портал Azure выполните запросы KQL на странице "Общие>журналы". На портале Defender выполните запросы KQL в расширенной охоте на поиск и ответ>>.

   Например, чтобы проверить прием журнала Power Platform, выполните следующий запрос, чтобы вернуть 50 строк из таблицы с журналами действий Power Apps.

   PowerPlatformAdminActivity
   | take 50
   

В следующей таблице перечислены таблицы Log Analytics для запроса.

Таблицы Log Analytics	Собираемые данные
PowerPlatformAdminActivity	Административные журналы Power Platform
PowerAutomateActivity	Журналы действий Power Automate
DataverseActivity	Ведение журнала действий приложений на основе данных и моделей

Связанный контент

• Что такое решение Microsoft Sentinel для приложений Microsoft Business Apps?

• Справочник по содержимому безопасности для Microsoft Power Platform и Microsoft Dynamics 365 Customer Engagement