你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 Microsoft Power Platform 和 Microsoft Dynamics 365 Customer Engagement 连接到 Microsoft Sentinel
本文介绍如何部署适用于 Microsoft Business Apps 的 Microsoft Sentinel 解决方案,以将 Microsoft Power Platform 和 Microsoft Dynamics 365 Customer Engagement 系统连接到 Microsoft Sentinel。 该解决方案可收集审核和活动日志,以检测威胁、可疑活动、非法活动等。
重要
- 适用于 Microsoft Business Apps 的 Microsoft Sentinel 解决方案当前为预览版。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
- 该解决方案是一款高级产品/服务。 我们将在正式发布该解决方案之前提供定价信息。
先决条件
在部署适用于 Microsoft Business Apps 的 Microsoft Sentinel 解决方案之前,请确保满足以下先决条件:
必须为 Microsoft Sentinel 启用 Log Analytics 工作区
必须具有对该工作区的读写权限。 必须能够创建:
- 数据收集规则/终结点(具有
Microsoft.Insights/DataCollectionEndpoints和Microsoft.Insights/DataCollectionRules)
- 数据收集规则/终结点(具有
你的组织必须使用 Dynamics 365 Customer Engagement 和/或一个或多个 Power Platform 工作负载。
还必须在 Microsoft Purview 中启用审核日志。 有关详细信息,请参阅打开或关闭 Microsoft Purview 审核
如果你使用的是 Microsoft Dataverse,则审核日志仅在生产环境中受支持。 有关详细信息,请参阅 Microsoft Dataverse 和模型驱动应用活动日志记录要求。
安装解决方案和部署数据连接器
首先,请从 Microsoft Sentinel 内容中心安装适用于 Microsoft Business Applications 的 Microsoft Sentinel 解决方案。
有关更多信息,请参阅发现和管理 Microsoft Sentinel 的现成内容。
选择“配置”>“数据连接器”,然后找到要部署的以下任何数据连接器:
Microsoft Dataverse
Microsoft Power Platform 管理活动
Microsoft Power Automate
对于每个数据连接器,在侧窗格上,选择“打开连接器”页面>“连接”。
为 Dataverse 配置数据收集
在使用 Microsoft Dataverse 时,Dataverse 活动日志记录仅在生产环境中可用,默认情况下未启用。 在全局级别为 Dataverse 和每个 Dataverse 实体启用审核:
若要对默认实体启用审核,请导入以下 Power Platform 托管解决方案之一:
- 若要与 Dynamics 365 CE 应用一起使用,请导入 https://aka.ms/AuditSettings/Dynamics。
- 否则,导入 https://aka.ms/AuditSettings/DataverseOnly。
该解决方案可对以下文件中列出的每个默认实体进行详细审核:https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g。
若要对自定义实体启用审核,必须手动对每个自定义实体启用详细审核。 有关详细信息,请参阅管理 Dataverse 审核。
若要获取解决方案的完整事件检测值,建议为要审核的每个 Dataverse 实体启用 Dataverse 实体设置页面的“常规”选项卡中的以下选项:
- 在“数据服务”部分下,选择“审核”。
- 在“审核”部分下,选择“单个记录审核”和“多个记录审核”。
请确保保存并发布自定义项。
验证日志是否引入到 Microsoft Sentinel
部署数据连接器并配置数据收集后,请运行创建、更新和删除等活动,以便为启用监视的数据生成日志。
对于 Power Platform 活动日志,请等待 60 分钟,以便 Microsoft Sentinel 引入数据。
若要验证 Microsoft Sentinel 是否获得了你期望的数据,请对从数据连接器收集日志的数据表运行 KQL 查询。
对于 Azure 门户中的 Microsoft Sentinel,请在“常规”>“日志”页面上运行 KQL 查询。 在 Defender 门户中,请在“调查和响应”>“搜寻”>“高级搜寻”中运行 KQL 查询。
例如,若要验证 Power Platform 日志导入情况,请运行以下查询以从包含 Power Apps 活动日志的表中返回 50 行。
PowerPlatformAdminActivity | take 50
下表列出了要查询的 Log Analytics 表。
| Log Analytics 表 | 收集的数据 |
|---|---|
| PowerPlatformAdminActivity | Power Platform 管理日志 |
| PowerAutomateActivity | Power Automate 活动日志 |
| DataverseActivity | Dataverse 和模型驱动应用活动日志记录 |