Übersicht über die Microsoft Sentinel-Lösung für Microsoft Power Platform
Mit der Microsoft Sentinel-Lösung für Power Platform können Sie verdächtige oder schädliche Aktivitäten in Ihrer Power Platform-Umgebung überwachen und erkennen. Die Lösung sammelt Aktivitätsprotokolle aus verschiedenen Power Platform-Komponenten und Bestandsdaten. Sie analysiert diese Aktivitätsprotokolle, um Bedrohungen und verdächtige Aktivitäten wie die folgenden Aktivitäten zu erkennen:
- Power Apps-Ausführung aus nicht autorisierten Regionen
- Verdächtige Datenvernichtung durch Power Apps
- Massenlöschung von Power Apps
- Phishingangriffe, die durch Power Apps ermöglicht werden
- Power Automate-Aktivitäten durch Mitarbeiter, die das Unternehmen verlassen
- Microsoft Power Platform-Konnektoren, die der Umgebung hinzugefügt wurden
- Aktualisierung oder Entfernung von Microsoft Power Platform-Richtlinien zum Verhindern von Datenverlust
Wichtig
- Die Microsoft Sentinel-Lösung für Power Platform befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
- Die Lösung ist ein Premium-Angebot. Preisinformationen werden zur Verfügung gestellt, bevor die Lösung allgemein verfügbar wird.
- Geben Sie Feedback zu dieser Lösung, indem Sie diese Umfrage beantworten: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Warum Sie die Lösung installieren sollten
Die Microsoft Sentinel-Lösung für Microsoft Power Platform unterstützt Organisationen bei den folgenden Aufgaben:
- Sammeln von Aktivitätsprotokollen, Überprüfungen und Ereignissen von Microsoft Power Platform und Power Apps im Microsoft Sentinel-Arbeitsbereich.
- Erkennen der Ausführung verdächtiger, böswilliger oder unzulässiger Aktivitäten innerhalb von Microsoft Power Platform und Power Apps.
- Untersuchen von Bedrohungen, die in Microsoft Power Platform und Power Apps erkannt wurden, und Kontextualisieren dieser Bedrohungen mit anderen Benutzeraktivitäten in der gesamten Organisation.
- Reagieren auf Bedrohungen und Vorfälle in Microsoft Power Platform und Power Apps auf einfache und vordefinierte Weise, entweder manuell, automatisch oder über einen vordefinierten Workflow.
Lösungsupdates
Ab dem 17. Oktober 2024 werden Überwachungsprotokollierungsdaten für Power Apps, Power Platform DLP und Power Platform Connectors anstelle der PowerPlatformAdminActivity-Tabelle an die PowerAppsActivity-, PowerPlatformDlpActivity- und PowerPlatformConnectorActivity-Tabellen weitergeleitet.
Sicherheitsinhalte in der Microsoft Sentinel-Lösung für Microsoft Power Platform werden mit der neuen Tabelle und Schemas für Power Apps, Power Platform DLP und Power Platform Connectors aktualisiert. Es wird empfohlen, die Power Platform-Lösung in Ihrem Arbeitsbereich auf die neueste Version zu aktualisieren und die aktualisierten Analyseregelvorlagen anzuwenden, um von den Änderungen zu profitieren. Weitere Informationen finden Sie unter Installieren oder Aktualisieren von Inhalten.
Kunden, die veraltete Datenconnectors für Power Apps, Power Platform DLP und Power Platform Connectors verwenden, können diese Connectors sicher trennen und aus ihrem Microsoft Sentinel-Arbeitsbereich entfernen. Alle zugehörigen Datenflüsse werden mithilfe des Power Platform Admin Activity Connectors erfasst.
Weitere Informationen finden Sie unter Nachrichtencenter.
Umfang der Lösung
Die Microsoft Sentinel-Lösung für Power Platform umfasst mehrere Datenkonnektoren und Analyseregeln.
Datenconnectors
Die Microsoft Sentinel-Lösung für Power Platform erfasst und korreliert Aktivitätsprotokolle und Bestandsdaten aus mehreren Quellen. Daher erfordert die Lösung, dass Sie die folgenden Datenkonnektoren aktivieren, die als Teil der Lösung verfügbar sind.
| Konnektorname | Gesammelte Daten | Log Analytics-Tabellen |
|---|---|---|
| Power Platform-Bestand (mit Azure Functions) | Bestandsdaten aus Power Apps und Power Automate Weitere Informationen finden Sie unter Einrichten von Self-Service-Analysen von Microsoft Power Platform zum Exportieren von Bestands- und Nutzungsdaten von Power Platform. |
PowerApps_CL, PowerPlatrformEnvironments_CL, PowerAutomateFlows_CL, PowerAppsConnections_CL |
| Microsoft Power Platform Admin Activity (Vorschau) | Aktivitätsprotokolle für Power Platform-Administratoren Weitere Informationen finden Sie unter Anzeigen von Power Platform-Administrationsprotokollen mithilfe von Überprüfungslösungen in Microsoft Purview (Vorschau). |
PowerPlatformAdminActivity |
| Microsoft Dataverse (Vorschau) | Dataverse und modellgesteuerte App-Aktivitätsprotokollierung Weitere Informationen finden Sie unter Microsoft Dataverse und modellgesteuerte App-Aktivitätsprotokollierung. Wenn Sie den Datenkonnektor für Dynamics 365 verwenden, migrieren Sie zum Datenkonnektor für Microsoft Dataverse. Dieser Datenkonnektor ersetzt den Legacy-Datenkonnektor für Dynamics 365 und unterstützt Datensammlungsregeln. |
DataverseActivity |
Analyseregeln
Die Lösung enthält Analyseregeln zum Erkennen von Bedrohungen und verdächtigen Aktivitäten in Ihrer Power Platform-Umgebung. Zu diesen Aktivitäten gehören Power Apps, die von nicht autorisierten Regionen ausgeführt werden, verdächtige Datenvernichtung durch Power Apps, Massenlöschung von Power Apps und mehr. Weitere Informationen finden Sie unter Microsoft Sentinel-Lösung für Microsoft Power Platform: Referenz zu Sicherheitsinhalten.
Parser
Die Lösung enthält Parser, die für den Zugriff auf Daten aus den Rohdatentabellen verwendet werden. Parser stellen sicher, dass die richtigen Daten mit einem einheitlichen Schema zurückgegeben werden. Es wird empfohlen, die Parser zu verwenden, anstatt die Bestandstabellen und Watchlists direkt abzufragen. Weitere Informationen finden Sie unter Microsoft Sentinel-Lösung für Microsoft Power Platform: Referenz zu Sicherheitsinhalten.
Nächste Schritte
Bereitstellen der Microsoft Sentinel-Lösung für Microsoft Power Platform