Microsoft Sentinel-Lösung für Microsoft Power Platform bereitstellen

Mit der Microsoft Sentinel-Lösung für Power Platform können Sie verdächtige oder schädliche Aktivitäten in Ihrer Power Platform-Umgebung überwachen und erkennen. Die Lösung sammelt Aktivitätsprotokolle aus verschiedenen Power Platform-Komponenten und Bestandsdaten. Weitere Informationen finden Sie unter Übersicht über die Microsoft Sentinel-Lösung für Microsoft Power Platform.

Wichtig

• Die Microsoft Sentinel-Lösung für Power Platform befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
• Die Lösung ist ein Premium-Angebot. Preisinformationen werden zur Verfügung gestellt, bevor die Lösung allgemein verfügbar wird.
• Geben Sie Feedback zu dieser Lösung, indem Sie diese Umfrage beantworten: https://aka.ms/SentinelPowerPlatformSolutionSurvey.

Voraussetzungen

• Sie haben die Microsoft Sentinel-Lösung aktiviert.
• Sie verfügen über einen definierten Microsoft Sentinel-Arbeitsbereich sowie über Lese- und Schreibberechtigungen für den Arbeitsbereich.
• Ihre Organisation verwendet Power Platform zum Erstellen und Verwenden von Power Apps.
• Sie können eine Azure-Funktions-App mit den Berechtigungen Microsoft.Web/Sites, Microsoft.Web/ServerFarms, Microsoft.Insights/Components und Microsoft.Storage/StorageAccounts erstellen.
• Sie können Datensammlungsregeln/Endpunkte mit den folgenden Berechtigungen erstellen:
  • Microsoft.Insights/DataCollectionEndpoints und Microsoft.Insights/DataCollectionRules.
  • Weisen Sie der Azure-Funktion die Rolle „Herausgeber von Überwachungsmetriken“ zu.
• Die Überwachungsprotokollierung ist in Microsoft Purview aktiviert. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachung für Microsoft Purview.
• Lassen Sie für den Power Platform-Bestandsconnector die folgenden Ressourcen und Konfigurationen einrichten.
  • Ein Speicherkonto für die Verwendung mit Azure Data Lake Storage Gen2. Weitere Informationen finden Sie unter Erstellen eines Speicherkontos für die Verwendung mit Azure Data Lake Storage Gen2.
  • Blob-Dienstendpunkt-URL für das Speicherkonto. Weitere Informationen finden Sie unter Abrufen von Dienstendpunkten für das Speicherkonto.
  • Self-Service-Analysen von Power Platform, die für die Verwendung des Azure Data Lake Storage Gen2-Speicherkontos konfiguriert sind. Die Aktivierung dieses Prozesses kann bis zu 48 Stunden dauern. Weitere Informationen finden Sie unter Einrichten von Self-Service-Analysen von Microsoft Power Platform zum Exportieren von Bestands- und Nutzungsdaten von Power Platform. Überprüfen Sie die Voraussetzungen und Anforderungen für die Funktion für Self-Service-Analysen von Power Platform. Die Anforderungen umfassen die Aktivierung des öffentlichen Zugriffs auf das Speicherkonto und die zum Einrichten des Datenexports erforderlichen Berechtigungen.
  • Berechtigungen zum Zuweisen der Rolle „Storage-Blodatenleser“ zur Azure-Funktion

Das Aktivieren des Power Platform-Bestandsdatenconnectors wird zwar empfohlen, ist jedoch für eine vollständige Bereitstellung der Microsoft Power Platform-Lösung nicht erforderlich. Weitere Informationen finden Sie unter Power Platform-Bestandsdatenconnector.

Installieren der Power Platform-Lösung in Microsoft Sentinel

Installieren Sie die Lösung aus dem Content Hub in Microsoft Sentinel anhand der folgenden Schritte.

1. Suchen Sie im Azure-Portal nach Microsoft Sentinel, und wählen Sie den Eintrag aus.
2. Wählen Sie den Microsoft Sentinel-Arbeitsbereich aus, in dem Sie die Lösung bereitstellen möchten.
3. Wählen Sie unter Inhaltsverwaltungdie Option Content Hubaus.
4. Suchen Sie nach Power Platform, und wählen Sie sie aus.
5. Wählen Sie Installieren aus.
6. Wählen Sie auf der Seite mit den Lösungsdetails die Option Erstellen aus.
7. Geben Sie auf der Registerkarte Grundlagen das Abonnement, die Ressourcengruppe und den Arbeitsbereich ein, um die Lösung bereitzustellen.
8. Wählen Sie Überprüfen + Erstellen>Erstellen aus, um die Lösung bereitzustellen.

Aktivieren der Datenconnectors

Aktivieren Sie in Microsoft Sentinel die sechs Datenconnectors, um Aktivitätsprotokolle und Bestandsdaten aus den Power Platform-Komponenten zu sammeln.

Power Platform-Bestandsdatenconnector

Mit dem Power Platform-Bestandsdatenconnector können Sie die GUIDs für Power Platform- und PowerApps-Umgebungen in den Vorfalldetails in die lesbaren Namen auflösen, die im Power Platform Admin Center und im Power Apps Maker-Portal angezeigt werden. Das Aktivieren dieses Datenconnectors wird zwar empfohlen, ist jedoch für eine vollständige Bereitstellung der Microsoft Power Platform-Lösung nicht erforderlich.

Um die Erfassung zu optimieren, erfasst der Power Platform-Bestandsdatenconnector Daten alle 7 Tage vollständig und inkrementelle Updates täglich. Die inkrementellen Updates enthalten nur Bestandsressourcen, die seit dem vorherigen Tag Änderungen aufweisen.

Zur Erfassung der Power Apps- und Power Automate-Bestandsdaten stellen Sie die Azure Resource Manager-Vorlage bereit, um eine Funktions-App zu erstellen. Um die Bereitstellung abzuschließen, benötigen Sie die Blob-Dienst-URL für Ihr Azure Data Lake Storage Gen2-Speicherkonto. Nach dem Erstellen der Funktions-App gewähren Sie der verwalteten Identität für die Funktions-App Zugriff auf das Speicherkonto.

1. Wählen Sie in Microsoft Sentinel unter Konfiguration die Option Datenconnectors aus.
2. Suchen Sie Power Platform-Bestand (mit Azure Functions), und wählen Sie diese Option aus.
3. Wählen Sie Connectorseite öffnen aus.
4. Wenn Sie die Funktion für Self-Service-Analysen von Power Platform nicht aktiviert haben, führen Sie unter Konfiguration die Schritte 1 und 2 aus.
5. Wählen Sie unter Konfiguration>Schritt 3 – ARM-Vorlage (Azure Resource Manager) die Option In Azure bereitstellen aus.
6. Führen Sie alle Schritte im Bereitstellungs-Assistenten für Azure Resource Manager-Vorlagen aus, und wählen Sie Überprüfen + erstellen>Erstellen aus.
7. Wenn Sie während der Resource Manager-Vorlagenbereitstellung nicht über die erforderlichen Berechtigungen für Rollenzuweisungen verfügen, führen Sie unter Konfiguration die Schritte 4 und 5 aus.

Andere Datenconnectors

Verbinden Sie alle verbleibenden Datenconnectors, indem Sie die folgenden Schritte ausführen.

1. Wählen Sie in Microsoft Sentinel unter Konfiguration die Option Datenconnectors aus.
2. Suchen Sie die Datenconnectors in der Lösung, die Sie verbinden müssen, und wählen Sie sie aus, z. B. Microsoft Power Platform-Administratoraktivität.
3. Wählen Sie Connectorseite öffnen>Verbinden aus.
4. Wiederholen Sie diese Schritte für alle folgenden Datenconnectors, die Teil der Power Platform-Lösung sind.
   • Microsoft Power Platform Admin Activity
   • Microsoft Power Automate
   • Microsoft Dataverse

Überwachung in Ihrer Microsoft Dataverse-Umgebung aktivieren

Die Dataverse-Aktivitätsprotokollierung ist nur für Dataverse-Produktionsumgebungen verfügbar. Andere Typen von Umgebungen, z. B. Sandbox, unterstützen die Aktivitätsprotokollierung nicht. Siehe Anforderungen für die Aktivitätsprotokollierung für Microsoft Dataverse- und modellgesteuerte Apps. Die Dataverse-Aktivitätsprotokollierung ist standardmäßig nicht aktiviert. Aktivieren Sie die Überwachung auf globaler Ebene für Dataverse und für jede Dataverse-Entität.

Überwachung auf globaler Ebene

Wechseln Sie in Ihrer Dataverse-Umgebung zu Einstellungen>Überwachungseinstellungen. Aktivieren Sie unter Überwachung alle drei Kontrollkästchen.

• Überwachung starten
• Zugriff protokollieren
• Protokolle lesen

Weitere Informationen zu diesen Schritten finden Sie unter Verwalten der Dataverse-Überwachung.

Dataverse-Entitäten überwachen

Aktivieren Sie die detaillierte Überwachung der einzelnen Dataverse-Entitäten. Um die Überwachung für Standardentitäten zu aktivieren, importieren Sie eine verwaltete Power Platform-Lösung. Um die Überwachung für benutzerdefinierte Entitäten zu aktivieren, müssen Sie die detaillierte Überwachung für jede der benutzerdefinierten Entitäten manuell aktivieren.

Automatisches Aktivieren der Überwachung für Standardentitäten

Die schnellste Möglichkeit zum Aktivieren der Standardüberwachungseinstellungen für alle Dataverse-Entitäten besteht darin, die entsprechende verwaltete Power Platform-Lösung in Ihre Power Platform-Umgebung zu importieren. Diese verwaltete Lösung ermöglicht eine detaillierte Überwachung für jede der Standardentitäten, die in der folgenden Datei aufgeführt sind: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g. Um die Überwachung für benutzerdefinierte Entitäten zu aktivieren, müssen Sie die detaillierte Überwachung für jede der benutzerdefinierten Entitäten manuell aktivieren.

Führen Sie die folgenden Schritte aus, um die Entitätsüberwachung automatisch zu aktivieren.

1. Wechseln Sie zu https://make.powerapps.com.

2. Wählen Sie oben rechts auf der Seite die Umgebung aus, die Sie überwachen möchten.

3. Wechseln Sie zu Lösungen>Lösung importieren.

4. Importieren Sie eine der folgenden Lösungen, je nachdem, ob Ihre Power Platform-Umgebung für Dynamics 365 CE-Apps verwendet wird oder nicht.

   • Für die Verwendung mit Dynamics 365 CE-Apps importieren Sie https://aka.ms/AuditSettings/Dynamics.
   • Anderenfalls importieren Sie https://aka.ms/AuditSettings/DataverseOnly.

Manuelles Aktivieren der Entitätsüberwachung

Um die Überwachung für jede Dataverse-Entität manuell zu aktivieren, einschließlich benutzerdefinierter Entitäten, führen Sie die Schritte im Abschnitt Aktivieren oder Deaktivieren von Entitäten und Feldern für die Überwachung in Verwalten der Dataverse-Überwachung aus.

Um den vollständigen Wert der Vorfallerkennung der Lösung zu erhalten, empfehlen wir für jede Dataverse-Entität, die Sie überwachen möchten, die folgenden Optionen auf der Registerkarte Allgemein der Seite „Dataverse-Entitätseinstellungen“ zu aktivieren:

• Wählen Sie im Abschnitt Data Services die Option Überwachung aus.
• Wählen Sie im Abschnitt Überwachung die Optionen Überwachung einzelner Datensätze und Überwachung mehrerer Datensätze aus.

Speichern und veröffentlichen Sie Ihre Anpassungen.

Überprüfen, ob der Datenconnector Protokolle in Microsoft Sentinel erfasst

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die Protokollerfassung funktioniert.

Generieren von Aktivitäts- und Bestandsprotokollen

1. Führen Sie Aktivitäten wie Erstellen, Aktualisieren und Löschen aus, um Protokolle für Daten zu generieren, die Sie für die Überwachung aktiviert haben.
2. Warten Sie bis zu 60 Minuten, bis Microsoft Sentinel die Aktivitätsprotokolle in der Protokolltabelle im Arbeitsbereich erfasst hat.
3. Warten Sie bei Power Platform-Bestandsdaten bis zu 24 Stunden, bis Microsoft Sentinel die Daten in die Protokolltabellen im Arbeitsbereich aufgenommen hat.

Anzeigen der in Microsoft Sentinel erfassten Daten

Nachdem Sie gewartet haben, bis Microsoft Sentinel die Daten erfasst hat, führen Sie die folgenden Schritte aus, um zu überprüfen, ob Sie die erwarteten Daten erhalten.

1. Wählen Sie in Microsoft Sentinel Protokolle aus.

2. Führen Sie KQL-Abfragen für die Tabellen aus, die die Aktivitätsprotokolle aus den Datenconnectors sammeln. Führen Sie beispielsweise die folgende Abfrage aus, um 50 Zeilen aus der Tabelle mit den Power Apps-Aktivitätsprotokollen zurückzugeben.

    PowerPlatformAdminActivity
    | take 50
   

   In der folgenden Tabelle sind die Tabellen der Protokollanalyse aufgeführt, die abgefragt werden sollen.

   Log Analytics-Tabellen	Gesammelte Daten
   PowerPlatformAdminActivity	Power Platform-Administrationsprotokolle
   PowerAutomateActivity	Power Automate-Aktivitätsprotokolle
   DataverseActivity	Dataverse und modellgesteuerte App-Aktivitätsprotokollierung

   Verwenden Sie die folgenden Parser, um Bestands- und Überwachungslistendaten zurückzugeben.

   Parser	Zurückgegebene Daten
   InventoryApps	Power Apps-Bestand
   InventoryAppsConnections	Power Apps-Verbindungen, Bestandsverbindungen
   InventoryEnvironments	Bestand an Power Platform-Umgebungen
   InventoryFlows	Bestand an Power Automate-Flows
   MSBizAppsTerminatedEmployees	Watchlist für ausgeschiedene Mitarbeiter

3. Überprüfen Sie, ob die Ergebnisse für die jeweilige Tabelle die von Ihnen generierten Aktivitäten enthalten.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie die Microsoft Sentinel-Lösung für Power Platform bereitstellen.

• Weitere Informationen zur Überprüfung der in dieser Lösung enthaltenen Lösungsinhalte finden Sie unter Microsoft Sentinel-Lösung für Microsoft Power Platform: Referenz zu Sicherheitsinhalten.
• Weitere Informationen zum Verwalten der Lösungskomponenten und zum Aktivieren von Sicherheitsinhalten finden Sie unter Ermitteln und Bereitstellen von standardmäßig vorhandenen Inhalten.