Sdílet prostřednictvím

Nasazení řešení Microsoft Sentinel pro Microsoft Power Platform

  • Článek

Řešení Microsoft Sentinel pro Power Platform umožňuje monitorovat a zjišťovat podezřelé nebo škodlivé aktivity v prostředí Power Platform. Řešení shromažďuje protokoly aktivit z různých komponent Power Platform a dat inventáře. Další informace najdete v tématu Řešení Microsoft Sentinel pro Microsoft Power Platform – přehled.

Důležité

  • Řešení Microsoft Sentinel pro Power Platform je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
  • Řešení je prémiová nabídka. Informace o cenách budou k dispozici dříve, než bude řešení obecně dostupné.
  • Zadejte zpětnou vazbu k tomuto řešení dokončením tohoto průzkumu: https://aka.ms/SentinelPowerPlatformSolutionSurvey.

Požadavky

  • Řešení Microsoft Sentinel je povolené.
  • Máte definovaný pracovní prostor Služby Microsoft Sentinel a máte oprávnění ke čtení a zápisu do pracovního prostoru.
  • Vaše organizace používá Power Platform k vytváření a používání Power Apps.
  • Aplikaci Azure Function App můžete vytvořit pomocí objektu Microsoft.Web/Sites, Microsoft.Web/ServerFarmsMicrosoft.Insights/Components, a Microsoft.Storage/StorageAccounts oprávnění.
  • Můžete vytvořit pravidla shromažďování dat nebo koncové body s oprávněními pro:
    • Microsoft.Insights/DataCollectionEndpointsa Microsoft.Insights/DataCollectionRules.
    • Přiřaďte funkci Azure Functions roli Vydavatele metrik monitorování.
  • Protokolování auditu je povolené v Microsoft Purview. Další informace naleznete v tématu Zapnutí nebo vypnutí auditování pro Microsoft Purview
  • Pro inventarizační konektor Power Platform máte nastavené následující prostředky a konfigurace.

Povolení datového konektoru inventáře Power Platform se doporučuje, ale nevyžaduje se k úplnému nasazení řešení Microsoft Power Platform. Další informace najdete v tématu Konektor dat inventáře Power Platform.

Instalace řešení Power Platform v Microsoft Sentinelu

Pomocí následujícího postupu nainstalujte řešení z centra obsahu v Microsoft Sentinelu.

  1. Na webu Azure Portal vyhledejte a vyberte Microsoft Sentinel.
  2. Vyberte pracovní prostor Microsoft Sentinelu, ve kterém plánujete řešení nasadit.
  3. V části Správa obsahu vyberte Centrum obsahu.
  4. Vyhledejte a vyberte Power Platform.
  5. Vyberte volbu Instalovat.
  6. Na stránce s podrobnostmi řešení vyberte Vytvořit.
  7. Na kartě Základy zadejte předplatné, skupinu prostředků a pracovní prostor pro nasazení řešení.
  8. Vyberte Zkontrolovat a vytvořit vytvořit>a nasaďte řešení.

Povolení datových konektorů

V Microsoft Sentinelu povolte šesti datovým konektorům shromažďovat protokoly aktivit a data inventáře z komponent Power Platform.

Datový konektor inventáře Power Platform

Datový konektor inventáře Power Platform umožňuje přeložit identifikátory GUID pro prostředí Power Platform a PowerApps v podrobnostech incidentu na čitelné názvy lidí, které se zobrazují v Centru pro správu Power Platform a na portálu pro tvůrce Power Apps. Tento datový konektor doporučujeme povolit, ale není nutné plně nasadit řešení Microsoft Power Platform.

Pro optimalizaci příjmu dat konektoru dat inventáře Power Platform ingestuje data v plném rozsahu každých 7 dnů a přírůstkové aktualizace každý den. Přírůstkové aktualizace zahrnují pouze inventarizační prostředky, které mají změny od předchozího dne.

Pokud chcete shromažďovat data inventáře Power Apps a Power Automate, nasaďte šablonu Azure Resource Manageru a vytvořte aplikaci funkcí. K dokončení nasazení potřebujete adresu URL služby Blob Service pro váš účet úložiště Azure Data Lake Storage Gen2. Po vytvoření aplikace funkcí udělte spravované identitě pro aplikaci funkcí přístup k účtu úložiště.

  1. V Microsoft Sentinelu v části Konfigurace vyberte Datové konektory.
  2. Vyhledejte a vyberte Inventář Power Platform (pomocí Azure Functions).
  3. Vyberte Otevřít stránku konektoru.
  4. Pokud jste nepovolili funkci samoobslužné analýzy Power Platform, postupujte podle kroků 1 a 2 v části Konfigurace .
  5. V části Krok konfigurace>3 – Šablona Azure Resource Manageru (ARM) vyberte Nasadit do Azure.
  6. Postupujte podle všech kroků v průvodci nasazením šablony Azure Resource Manageru a vyberte Zkontrolovat a vytvořit vytvořit>.
  7. Pokud nemáte požadovaná oprávnění pro přiřazení rolí během nasazení šablony Resource Manageru, postupujte podle kroků 4 a 5 v části Konfigurace.

Další datové konektory

Jednotlivé zbývající datové konektory propojte provedením následujících kroků.

  1. V Microsoft Sentinelu v části Konfigurace vyberte Datové konektory.
  2. Vyhledejte a vyberte datové konektory v řešení, které potřebujete připojit, jako je aktivita správce Microsoft Power Platform.
  3. Vyberte Otevřít stránku>konektoru Připojit.
  4. Tento postup opakujte pro každý z následujících datových konektorů, které jsou součástí řešení Power Platform.
    • Aktivita správce Microsoft Power Platform
    • Microsoft Power Automate
    • Microsoft Dataverse

Povolení auditování v prostředí Microsoft Dataverse

Protokolování aktivity Dataverse je k dispozici pouze pro produkční prostředí dataverse. Jiné typy prostředí, jako je sandbox, nepodporují protokolování aktivit. Viz požadavky na protokolování aktivit microsoft Dataverse a modelem řízené aplikace. Protokolování aktivity Dataverse není ve výchozím nastavení povolené. Povolte auditování na globální úrovni pro Dataverse a pro každou entitu Dataverse.

Auditování na globální úrovni

V prostředí Dataverse přejděte do nastavení auditování nastavení>. V části Auditování zaškrtněte všechna tři políčka.

  • Zahájení auditování
  • Přístup k protokolům
  • Čtení protokolů

Další informace o těchto krocích najdete v tématu Správa auditování Dataverse.

Auditování entit Dataverse

Povolte podrobné auditování u každé entity Dataverse. Pokud chcete povolit auditování u výchozích entit, naimportujte spravované řešení Power Platform. Pokud chcete povolit auditování u vlastních entit, musíte u každé vlastní entity povolit podrobné auditování ručně.

Automatické povolení auditování u výchozích entit

Nejrychlejší způsob, jak povolit výchozí nastavení auditu pro všechny entity Dataverse, je importovat příslušné řešení spravované platformou Power Platform ve vašem prostředí Power Platform. Toto spravované řešení umožňuje podrobné auditování pro každou z výchozích entit uvedených v následujícím souboru: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g. Pokud chcete povolit auditování u vlastních entit, musíte u každé vlastní entity povolit podrobné auditování ručně.

Pokud chcete auditování entit automaticky povolit, proveďte následující kroky.

  1. Přejděte na https://make.powerapps.com .

  2. V pravém horním rohu stránky vyberte prostředí, které chcete monitorovat.

  3. Přejděte do >řešení importu řešení.

  4. Naimportujte jedno z následujících řešení v závislosti na tom, jestli se vaše prostředí Power Platform používá pro Dynamics 365 aplikace CE, nebo ne.

Ruční povolení auditování entit

Pokud chcete u každé entity Dataverse povolit auditování ručně, včetně vlastních entit, postupujte podle pokynů v části Povolení nebo zakázání entit a polí pro auditování v části Správa auditování Dataverse.

Pokud chcete získat úplnou hodnotu detekce incidentů řešení, doporučujeme povolit pro každou entitu Dataverse, kterou chcete auditovat, následující možnosti na kartě Obecné na stránce Nastavení entity Dataverse:

  • V části Datové služby vyberte Auditování.
  • V části Auditování vyberte auditování jednoho záznamu a auditování více záznamů.

Uložte a publikujte vlastní nastavení.

Ověřte, že datový konektor ingestuje protokoly do Služby Microsoft Sentinel.

Pokud chcete ověřit, že příjem protokolů funguje, proveďte následující kroky.

Generování protokolů aktivit a inventáře

  1. Spouštění aktivit, jako je vytvoření, aktualizace a odstranění, pro generování protokolů pro data, která jste povolili pro monitorování
  2. Počkejte až 60 minut, než Microsoft Sentinel ingestuje protokoly aktivit do tabulky protokolů v pracovním prostoru.
  3. V případě dat inventáře Power Platform počkejte až 24 hodin, než Microsoft Sentinel ingestuje data do tabulek protokolů v pracovním prostoru.

Zobrazení přijatých dat v Microsoft Sentinelu

Jakmile počkáte, až Microsoft Sentinel data ingestuje, proveďte následující kroky a ověřte, že získáte očekávaná data.

  1. V Microsoft Sentinelu vyberte Protokoly.

  2. Spusťte dotazy KQL na tabulky, které shromažďují protokoly aktivit z datových konektorů. Spuštěním následujícího dotazu například vrátíte z tabulky 50 řádků s protokoly aktivit Power Apps.

     PowerPlatformAdminActivity
 | take 50

    Následující tabulka uvádí tabulky Log Analytics, které se mají dotazovat.

    Tabulky Log Analytics Shromážděná data
    PowerPlatformAdminActivity Protokoly pro správu Power Platform
    PowerAutomateActivity Protokoly aktivit Power Automate
    DataverseActivity Protokolování aktivit aplikací řízených modelem a dataverse

    K vrácení dat inventáře a seznamu ke zhlédnutí použijte následující analyzátory.

    Syntaktický analyzátor Vrácená data
    InventoryApps Inventář Power Apps
    InventoryAppsConnections Připojení k Power Apps – Připojení inventáře
    InventoryEnvironments Inventář prostředí Power Platform
    InventoryFlows Inventář toků Power Automate
    MSBizAppsTerminatedEmployees Seznam ke zhlédnutí ukončených zaměstnanců

  3. Ověřte, že výsledky pro každou tabulku zobrazují aktivity, které jste vygenerovali.

Další kroky

V tomto článku jste zjistili, jak nasadit řešení Microsoft Sentinel pro Power Platform.