將 Microsoft Power Platform 和 Microsoft Dynamics 365 Customer Engagement 連線到 sentinel Microsoft

本文說明如何部署 Microsoft Business Apps Microsoft Sentinel 解決方案，以將 Microsoft Power Platform 和 Microsoft Dynamics 365 Customer Engagement 系統連線至 Microsoft Sentinel。 解決方案會收集稽核和活動記錄，以偵測威脅、可疑活動、非法活動等等。

重要

• Microsoft Business Apps 的 Microsoft Sentinel 解決方案目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未發行的版本) 的其他法律條款。
• 此解決方案是進階供應項目。 在此解決方案正式推出之前，將會提供價格資訊。

必要條件

在部署 Microsoft Business Apps Microsoft Sentinel 解決方案之前，請確定您符合下列必要條件：

• 您的 Log Analytics 工作區必須啟用 Microsoft Sentinel

• 您必須具有工作區的讀取和寫入許可權。 您必須建立：

  • 具有、 和的Microsoft.Insights/DataCollectionEndpoints資料收集規則/端點Microsoft.Insights/DataCollectionRules

• 您的組織必須使用 Dynamics 365 Customer Engagement 和/或一或多個 Power Platform 工作負載。

• 稽核記錄也必須在 purview 中啟用Microsoft。 如需詳細資訊，請參閱 開啟或關閉 Microsoft Purview 的稽核

• 如果您使用 Microsoft Dataverse，則僅支援生產環境的稽核記錄。 如需詳細資訊，請參閱 Microsoft Dataverse 和模型驅動應用程式活動記錄需求。

安裝解決方案並部署您的資料連接器

1. 從從 Microsoft Sentinel 內容中樞安裝 Microsoft Business Applications Microsoft Sentinel 解決方案開始。

   如需詳細資訊，請參閱探索和管理 Microsoft Sentinel 現成可用的內容。

2. 選取[ 設定 > 資料連接器]，然後找出您想要部署的下列任何資料連接器：

   • Microsoft Dataverse

   • Microsoft Power Platform 管理活動

   • Microsoft Power Automate

3. 針對每個數據連接器，在側邊窗格中，選取 [ 開啟連接器] 頁面 > [連線器]。

設定 Dataverse 的數據收集

使用 Microsoft Dataverse 時，Dataverse 活動記錄僅適用於生產環境，而且預設不會啟用。 針對 Dataverse 和每個 Dataverse 實體啟用全域層級的稽核：

• 若要在默認實體上啟用稽核，請匯入下列其中一個 Power Platform 受控解決方案：

  • 若要搭配 Dynamics 365 CE Apps 使用，請匯入 https://aka.ms/AuditSettings/Dynamics。
  • 否則，請匯入 https://aka.ms/AuditSettings/DataverseOnly。

  解決方案會針對下列檔案中列出的每個默認實體啟用詳細的稽核： https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g。

• 若要在自定義實體上啟用稽核，您必須手動啟用每個自定義實體的詳細稽核。 如需詳細資訊，請參閱 管理 Dataverse 稽核。

  若要取得解決方案的完整事件偵測值，建議您針對您想要稽核的每個 Dataverse 實體啟用下列選項： Dataverse 實體設定頁面的 [一般 ] 索引卷標：

  • 在 [ 數據服務 ] 區段底下，選取 [ 稽核]。
  • 在 [稽核] 區段底下，選取 [單一記錄稽核] 和 [多重記錄稽核]。

  請務必儲存併發佈您的自定義專案。

確認記錄擷取至 Microsoft Sentinel

1. 部署數據連接器並設定資料收集之後，請執行建立、更新和刪除等活動，以產生您啟用監視之數據的記錄。

2. 針對 Power Platform 活動記錄，請等候 60 分鐘，Microsoft Sentinel 擷取數據。

3. 若要確認Microsoft Sentinel 取得您預期的數據，請對從數據連接器收集記錄的數據表執行 KQL 查詢。

   針對 Azure 入口網站 中的 Microsoft Sentinel，請在 [一般>記錄] 頁面上執行 KQL 查詢。 在 Defender 入口網站中，在調查與回應>搜捕進階搜捕>中執行 KQL 查詢。

   例如，若要確認 Power Platform 記錄擷取，請執行下列查詢，以使用 Power Apps 活動記錄從數據表傳回 50 個數據列。

   PowerPlatformAdminActivity
   | take 50
   

下表列出要查詢的Log Analytics數據表。

Log Analytics 資料表	收集的資料
PowerPlatformAdminActivity	Power Platform 系統管理記錄
PowerAutomateActivity	Power Automate 活動記錄
DataverseActivity	Dataverse 和模型驅動應用程式活動記錄

相關內容

• Microsoft Business Apps 的 Microsoft Sentinel 解決方案為何？

• Microsoft Power Platform 和 Microsoft Dynamics 365 Customer Engagement 的安全性內容參考