Ansluta Microsoft Power Platform och Microsoft Dynamics 365 Customer Engagement till Microsoft Sentinel

Den här artikeln beskriver hur du distribuerar Microsoft Sentinel-lösningen för Microsoft Business Apps för att ansluta ditt Microsoft Power Platform- och Microsoft Dynamics 365 Customer Engagement-system till Microsoft Sentinel. Lösningen samlar in gransknings- och aktivitetsloggar för att identifiera hot, misstänkta aktiviteter, olagliga aktiviteter med mera.

Viktigt!

• Microsoft Sentinel-lösningen för Microsoft Business Apps är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
• Lösningen är ett premiumerbjudande. Prisinformation kommer att vara tillgänglig innan lösningen blir allmänt tillgänglig.

Förutsättningar

Innan du distribuerar Microsoft Sentinel-lösningen för Microsoft Business Apps ska du se till att du uppfyller följande krav:

• Log Analytics-arbetsytan måste vara aktiverad för Microsoft Sentinel

• Du måste ha läs- och skrivåtkomst till arbetsytan. Du måste kunna skapa:

  • Regler/slutpunkter för datainsamling med Microsoft.Insights/DataCollectionEndpoints, och Microsoft.Insights/DataCollectionRules

• Din organisation måste använda Dynamics 365 Customer Engagement och/eller en eller flera av Power Platform-arbetsbelastningarna.

• Granskningsloggning måste också vara aktiverat i Microsoft Purview. Mer information finns i Aktivera eller inaktivera granskning för Microsoft Purview

• Om du arbetar med Microsoft Dataverse stöds granskningsloggning endast för produktionsmiljöer. Mer information finns i Aktivitetsloggningskrav för Microsoft Dataverse och modelldrivna appar.

Installera lösningen och distribuera dina dataanslutningar

1. Börja med att installera Microsoft Sentinel-lösningen för Microsoft Business-program från Microsoft Sentinel-innehållshubben.

   Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.

2. Välj Konfigurationsdataanslutningar >och leta upp någon av följande dataanslutningar som du vill distribuera:

   • Microsoft Dataverse

   • Administratörsaktivitet för Microsoft Power Platform

   • Microsoft Power Automate

3. För varje dataanslutning går du till sidofönstret och väljer Öppna anslutningssidan > Anslut.

Konfigurera datainsamling för Dataverse

När du arbetar med Microsoft Dataverse är Dataverse-aktivitetsloggning endast tillgänglig för produktionsmiljöer och är inte aktiverad som standard. Aktivera granskning på både global nivå för Dataverse och för varje Dataverse-entitet:

• Om du vill aktivera granskning av standardentiteter importerar du någon av följande hanterade Power Platform-lösningar:

  • Importera för användning med Dynamics 365 CE-appar https://aka.ms/AuditSettings/Dynamics.
  • Annars importerar du https://aka.ms/AuditSettings/DataverseOnly.

  Lösningen möjliggör detaljerad granskning för var och en av standardentiteterna som anges i följande fil: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g.

• Om du vill aktivera granskning av anpassade entiteter måste du manuellt aktivera detaljerad granskning av var och en av de anpassade entiteterna. Mer information finns i Hantera Dataverse-granskning.

  För att få det fullständiga incidentidentifieringsvärdet för lösningen rekommenderar vi att du aktiverar följande alternativ på fliken Allmänt på sidan Dataverse-entitetsinställningar för varje Dataverse-entitet som du vill granska:

  • Under avsnittet Datatjänster väljer du Granskning.
  • Under avsnittet Granskning väljer du Granskning av enskilda poster och Granskning av flera poster.

  Spara och publicera dina anpassningar.

Verifiera logginmatning till Microsoft Sentinel

1. När du har distribuerat dina dataanslutningsprogram och konfigurerat datainsamling kör du aktiviteter som att skapa, uppdatera och ta bort för att generera loggar för data som du har aktiverat för övervakning.

2. För Power Platform-aktivitetsloggar väntar du 60 minuter på att Microsoft Sentinel ska mata in data.

3. Kontrollera att Microsoft Sentinel hämtar de data du förväntar dig genom att köra KQL-frågor mot de datatabeller som samlar in loggar från dina dataanslutningar.

   För Microsoft Sentinel i Azure Portal kör du KQL-frågor på sidan Allmänna>loggar. I Defender-portalen kör du KQL-frågor i undersöknings- och svarsjakt>>avancerad jakt.

   Om du till exempel vill verifiera din Power Platform-logginmatning kör du följande fråga för att returnera 50 rader från tabellen med Power Apps-aktivitetsloggarna.

   PowerPlatformAdminActivity
   | take 50
   

I följande tabell visas de Log Analytics-tabeller som ska frågas.

Log Analytics-tabeller	Insamlade data
PowerPlatformAdminActivity	Administrativa loggar för Power Platform
PowerAutomateActivity	Power Automate-aktivitetsloggar
DataverseActivity	Aktivitetsloggning för dataversum och modelldrivna appar

Relaterat innehåll

• Vad är Microsoft Sentinel-lösningen för Microsoft Business Apps?

• Referens för säkerhetsinnehåll för Microsoft Power Platform och Microsoft Dynamics 365 Customer Engagement