مشاركة عبر

نشر حل Microsoft Sentinel ل Microsoft Power Platform

  • مقالة

يسمح لك حل Microsoft Sentinel ل Power Platform بمراقبة الأنشطة المشبوهة أو الضارة والكشف عنها في بيئة Power Platform. يجمع الحل سجلات النشاط من مكونات Power Platform مختلفة وبيانات المخزون. لمزيد من المعلومات، راجع حل Microsoft Sentinel لنظرة عامة على Microsoft Power Platform.

هام

  • حل Microsoft Sentinel ل Power Platform قيد المعاينة حاليا. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
  • الحل هو عرض متميز. ستتوفر معلومات التسعير قبل أن يصبح الحل متاحا بشكل عام.
  • قدم ملاحظات حول هذا الحل من خلال إكمال هذا الاستطلاع: https://aka.ms/SentinelPowerPlatformSolutionSurvey.

المتطلبات الأساسية

  • تم تمكين حل Microsoft Sentinel.
  • لديك مساحة عمل Microsoft Sentinel محددة ولديك أذونات القراءة والكتابة إلى مساحة العمل.
  • تستخدم مؤسستك Power Platform لإنشاء Power Apps واستخدامها.
  • يمكنك إنشاء تطبيق Azure Function باستخدام الأذونات Microsoft.Web/SitesMicrosoft.Web/ServerFarmsMicrosoft.Insights/Componentsو و.Microsoft.Storage/StorageAccounts
  • يمكنك إنشاء قواعد تجميع البيانات/نقاط النهاية مع الأذونات ل:
    • Microsoft.Insights/DataCollectionEndpoints، و Microsoft.Insights/DataCollectionRules.
    • تعيين دور Monitoring Metrics Publisher إلى Azure Function.
  • يتم تمكين تسجيل التدقيق في Microsoft Purview. لمزيد من المعلومات، راجع تشغيل التدقيق أو إيقاف تشغيله ل Microsoft Purview
  • بالنسبة إلى موصل مخزون Power Platform، قم بإعداد الموارد والتكوينات التالية.
    • حساب التخزين المراد استخدامه مع Azure Data Lake Storage Gen2. لمزيد من المعلومات، راجع إنشاء حساب تخزين لاستخدامه مع Azure Data Lake Storage Gen2.
    • عنوان URL لنقطة نهاية خدمة Blob لحساب التخزين. لمزيد من المعلومات، راجع الحصول على نقاط نهاية الخدمة لحساب التخزين.
    • تم تكوين تحليلات الخدمة الذاتية ل Power Platform لاستخدام حساب تخزين Azure Data Lake Storage Gen2. قد تستغرق هذه العملية ما يصل إلى 48 ساعة للتنشيط. لمزيد من المعلومات، راجع إعداد تحليلات الخدمة الذاتية ل Microsoft Power Platform لتصدير بيانات المخزون والاستخدام في Power Platform. راجع المتطلبات الأساسية والمتطلبات لميزة تحليلات الخدمة الذاتية ل Power Platform. تتضمن المتطلبات تمكين الوصول العام إلى حساب التخزين وأن لديك الأذونات المطلوبة لإعداد تصدير البيانات.
    • أذونات لتعيين دور Storage Blob Data Reader إلى Azure Function

يوصى بتمكين موصل بيانات مخزون Power Platform ولكن ليس مطلوبا لنشر حل Microsoft Power Platform بالكامل. لمزيد من المعلومات، راجع موصل بيانات مخزون Power Platform.

تثبيت حل Power Platform في Microsoft Sentinel

قم بتثبيت الحل من مركز المحتوى في Microsoft Sentinel باستخدام الخطوات التالية.

  1. في مدخل Microsoft Azure، ابحث عن Microsoft Sentinel وحدده.
  2. حدد مساحة عمل Microsoft Sentinel حيث تخطط لنشر الحل.
  3. ضمن إدارة المحتوى، حدد مركز المحتوى.
  4. ابحث عن Power Platform وحددها.
  5. حدد تثبيت.
  6. في صفحة تفاصيل الحل، حدد إنشاء.
  7. في علامة التبويب Basics ، أدخل الاشتراك ومجموعة الموارد ومساحة العمل لنشر الحل.
  8. حدد Review + create>Create لنشر الحل.

تمكين موصلات البيانات

في Microsoft Sentinel، قم بتمكين موصلات البيانات الستة لجمع سجلات النشاط وبيانات المخزون من مكونات Power Platform.

موصل بيانات مخزون Power Platform

يسمح لك موصل بيانات مخزون Power Platform بحل GUIDs لبيئات Power Platform وPowerApps في تفاصيل الحادث للأسماء القابلة للقراءة البشرية التي تظهر في مركز إدارة Power Platform ومدخل صانع Power Apps. نوصي بتمكين موصل البيانات هذا ولكن ليس مطلوبا نشر حل Microsoft Power Platform بشكل كامل.

لتحسين الاستيعاب، يخزن موصل بيانات مخزون Power Platform البيانات بالكامل كل 7 أيام والتحديثات المتزايدة يوميا. تتضمن التحديثات التزايدية فقط أصول المخزون التي لها تغييرات منذ اليوم السابق.

لتجميع بيانات مخزون Power Apps وPower Automate، انشر قالب Azure Resource Manager لإنشاء تطبيق دالة. لإكمال النشر، تحتاج إلى عنوان URL لخدمة blob لحساب تخزين Azure Data Lake Storage Gen2. بعد إنشاء تطبيق الوظائف، امنح الهوية المدارة لتطبيق الوظائف حق الوصول إلى حساب التخزين.

  1. في Microsoft Sentinel، ضمن Configuration، حدد Data connectors.
  2. ابحث عن Power Platform Inventory (باستخدام Azure Functions) وحدده.
  3. حدد فتح صفحة الموصل.
  4. إذا لم تقم بتمكين ميزة تحليلات الخدمة الذاتية ل Power Platform، ضمن التكوين اتبع الخطوات 1 و2.
  5. ضمن Configuration>Step 3 - Azure Resource Manager (ARM) Template، حدد Deploy to Azure.
  6. اتبع جميع الخطوات في معالج نشر قالب Azure Resource Manager وحدد Review + create>Create.
  7. إذا لم يكن لديك الأذونات المطلوبة لتعيينات الأدوار أثناء نشر قالب Resource Manager، ضمن التكوين، اتبع الخطوتين 4 و5.

موصلات بيانات أخرى

قم بتوصيل كل موصل من موصلات البيانات المتبقية عن طريق إكمال الخطوات التالية.

  1. في Microsoft Sentinel، ضمن Configuration، حدد Data connectors.
  2. ابحث عن موصلات البيانات وحددها في الحل الذي تحتاج إلى توصيله، مثل نشاط مسؤول Microsoft Power Platform.
  3. حدد Open connector page>Connect.
  4. كرر هذه الخطوات لكل موصل من موصلات البيانات التالية التي تعد جزءا من حل Power Platform.
    • نشاط مسؤول Microsoft Power Platform
    • Microsoft Power Automate
    • Microsoft Dataverse

تمكين التدقيق في بيئة Microsoft Dataverse

يتوفر تسجيل نشاط Dataverse لبيئات Production dataverse فقط. لا تدعم أنواع أخرى من البيئات، مثل بيئة الاختبار المعزولة، تسجيل النشاط. راجع متطلبات تسجيل نشاط Microsoft Dataverse والتطبيقات المستندة إلى النموذج. لا يتم تمكين تسجيل نشاط Dataverse بشكل افتراضي. تمكين التدقيق على المستوى العمومي ل Dataverse ولكل كيان Dataverse.

مراجعة الحسابات على المستوى العالمي

في بيئة Dataverse، انتقل إلى إعدادات تدقيق الإعدادات>. ضمن Auditing، حدد جميع خانات الاختيار الثلاثة.

  • بدء التدقيق
  • الوصول إلى السجل
  • قراءة السجلات

لمزيد من المعلومات حول هذه الخطوات، راجع إدارة تدقيق Dataverse.

تدقيق كيانات Dataverse

تمكين التدقيق التفصيلي على كل كيان من كيانات Dataverse. لتمكين التدقيق على الكيانات الافتراضية، قم باستيراد حل مدار بواسطة Power Platform. لتمكين التدقيق على الكيانات المخصصة، يجب تمكين التدقيق التفصيلي يدويا على كل كيان من الكيانات المخصصة.

تمكين التدقيق تلقائيا على الكيانات الافتراضية

أسرع طريقة لتمكين إعدادات التدقيق الافتراضية لجميع كيانات Dataverse هي استيراد حل Power Platform المدار المناسب في بيئة Power Platform. يتيح هذا الحل المدار التدقيق التفصيلي لكل من الكيانات الافتراضية المدرجة في الملف التالي: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g. لتمكين التدقيق على الكيانات المخصصة، يجب تمكين التدقيق التفصيلي يدويا على كل كيان من الكيانات المخصصة.

لتمكين تدقيق الكيان تلقائيا، أكمل الخطوات التالية.

  1. انتقل إلى https://make.powerapps.com.

  2. اختر البيئة التي تريد مراقبتها من الجانب الأيمن العلوي من الصفحة.

  3. انتقل إلى حل استيراد الحلول>.

  4. قم باستيراد أحد الحلول التالية استنادا إلى ما إذا كانت بيئة Power Platform تستخدم Dynamics 365 تطبيقات CE أم لا.

تمكين تدقيق الكيان يدويا

لتمكين التدقيق على كل كيان Dataverse يدويا، بما في ذلك الكيانات المخصصة، اتبع الخطوات الواردة في القسم تمكين الكيانات والحقول أو تعطيلها للتدقيق في إدارة تدقيق Dataverse.

للحصول على قيمة الكشف الكامل عن الحوادث للحل، نوصي بتمكين الخيارات التالية لكل كيان Dataverse تريد تدقيقه في علامة التبويب عام في صفحة إعدادات كيان Dataverse:

  • ضمن قسم خدمات البيانات، حدد التدقيق.
  • ضمن قسم Auditing ، حدد Single record auditing and Multiple record auditing.

حفظ ونشر التخصيصات الخاصة بك.

تحقق من أن موصل البيانات ي استيعاب السجلات إلى Microsoft Sentinel

للتحقق من أن استيعاب السجل يعمل، أكمل الخطوات التالية.

إنشاء سجلات النشاط والمخزون

  1. قم بتشغيل أنشطة مثل الإنشاء والتحديث والحذف لإنشاء سجلات للبيانات التي قمت بتمكينها للمراقبة.
  2. انتظر حتى 60 دقيقة حتى يقوم Microsoft Sentinel ب استيعاب سجلات النشاط إلى جدول السجلات في مساحة العمل.
  3. بالنسبة لبيانات مخزون Power Platform، انتظر حتى 24 ساعة حتى يقوم Microsoft Sentinel ب استيعاب البيانات في جداول السجل في مساحة العمل.

عرض البيانات التي تم استيعابها في Microsoft Sentinel

بعد انتظار Microsoft Sentinel لاستيعاب البيانات، أكمل الخطوات التالية للتحقق من حصولك على البيانات التي تتوقعها.

  1. في Microsoft Sentinel، حدد Logs.

  2. قم بتشغيل استعلامات KQL مقابل الجداول التي تجمع سجلات النشاط من موصلات البيانات. على سبيل المثال، قم بتشغيل الاستعلام التالي لإرجاع 50 صفا من الجدول مع سجلات نشاط Power Apps.

     PowerPlatformAdminActivity
 | take 50

    يسرد الجدول التالي جداول Log Analytics للاستعلام.

    جداول Log Analytics البيانات التي تم جمعها
    PowerPlatformAdminActivity سجلات Power Platform الإدارية
    نشاط PowerAutomate سجلات نشاط Power Automate
    DataverseActivity تسجيل نشاط التطبيقات المستندة إلى نموذج وDataverse

    استخدم المحللات التالية لإرجاع بيانات المخزون وقائمة المشاهدة.

    المحلل البيانات التي تم إرجاعها
    InventoryApps مخزون Power Apps
    InventoryAppsConnections اتصالات Power Apps اتصالات المخزون
    InventoryEnvironments مخزون بيئات Power Platform
    InventoryFlows مخزون تدفقات Power Automate
    MSBizAppsTerminatedEmployees قائمة مراقبة الموظفين المنتهية

  3. تحقق من أن نتائج كل جدول تظهر الأنشطة التي أنشأتها.

الخطوات التالية

في هذه المقالة، تعلمت كيفية نشر حل Microsoft Sentinel ل Power Platform.