Implementación de la solución Microsoft Sentinel para Power Platform

  • Artículo

La solución Microsoft Sentinel para Power Platform permite supervisar el entorno de Power Platform, con el fin de detectar actividades sospechosas o malintencionadas. La solución recopila los registros de actividad de los diferentes componentes de Power Platform, así como datos de inventario. Para más información sobre esta solución, consulte Introducción a la solución Microsoft Sentinel para Power Platform.

Importante

  • La solución Microsoft Sentinel para Power Platform se encuentra actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
  • La solución es una oferta premium. La información de precios estará disponible antes de que la solución esté disponible con carácter general.
  • Realice esta encuentra para proporcionar comentarios sobre esta solución: https://aka.ms/SentinelPowerPlatformSolutionSurvey.

Requisitos previos

  • La solución de Microsoft Sentinel está habilitada.
  • Tiene un área de trabajo de Microsoft Sentinel definida y tiene permisos de lectura y escritura en el área de trabajo.
  • Su organización usa Power Platform para crear y usar Power Apps.
  • Puede crear una instancia de Azure Function App con los permisos Microsoft.Web/Sites, Microsoft.Web/ServerFarms, Microsoft.Insights/Components y Microsoft.Storage/StorageAccounts.
  • Puede crear reglas o puntos de conexión de recopilación de datos con los permisos para:
    • Microsoft.Insights/DataCollectionEndpoints y Microsoft.Insights/DataCollectionRules.
    • Asigne el rol Publicador de métricas de supervisión a la función de Azure.
  • El registro de auditoría está habilitado en Microsoft Purview. Para más información, consulte Activación o desactivación de auditorías en Microsoft Purview.
  • En el caso del conector de inventario de Power Platform, deben estar configurados los siguientes recursos y valores.

Se recomienda habilitar el conector de datos de inventario de Power Platform, pero no es un requisito imprescindible para implementar completamente la solución Microsoft Power Platform. Para más información, consulte Conector de datos de inventario de Power Platform.

Instalación de la solución Power Platform en Microsoft Sentinel

Siga los pasos que se indican a continuación para instalar la solución desde el centro de contenido de Microsoft Sentinel.

  1. En Azure Portal, busque y seleccione Microsoft Sentinel.
  2. Seleccione el área de trabajo de Microsoft Sentinel donde planea implementar la solución.
  3. En Administración de contenido, seleccione Centro de contenido.
  4. Busque y seleccione Power Platform.
  5. Seleccione Instalar.
  6. En la página de detalles de la solución, seleccione Crear.
  7. En la pestaña Datos básicos, escriba la suscripción, el grupo de recursos y el área de trabajo en el que se va a implementar la solución.
  8. Seleccione Revisar y crear>Crear para implementar la solución.

Habilitación de los conectores de datos

En Microsoft Sentinel, habilite los seis conectores de datos para recopilar registros de actividad y datos de inventario de los componentes de Power Platform.

Conector de datos de inventario de Power Platform

El conector de datos de inventario de Power Platform permite resolver los identificadores únicos de los entornos de Power Platform y PowerApps que aparecen en los detalles del incidente y convertirlos en los nombres legibles que aparecen en el Centro de administración de Power Platform y en el portal de creadores de Power Apps. Se recomienda habilitar este conector de datos, pero no imprescindible hacerlo para implementar completamente la solución Microsoft Power Platform.

Para optimizar la ingesta, el conector de datos de inventario de Power Platform ingiere todos los datos cada siete días y las actualizaciones incrementales a diario. Estas últimas solo incluyen aquellos recursos del inventario en los que se hayan producido cambios desde el día anterior.

Para recopilar datos de inventario de Power Apps y Power Automate, implemente la plantilla de Azure Resource Manager para crear una aplicación de funciones. Para completar la implementación, necesita la dirección URL del servicio de blobs para la cuenta de almacenamiento de Azure Data Lake Storage Gen2. Después de crear la aplicación de funciones, conceda a la identidad administrada el acceso de la aplicación de funciones a la cuenta de almacenamiento.

  1. En Microsoft Sentinel, en Configuración, seleccione Conectores de datos.
  2. Busque y seleccione Inventario de Power Platform (mediante Azure Functions).
  3. Seleccione Open connector page (Abrir página del conector).
  4. Si no ha habilitado la característica de análisis de autoservicio de Power Platform, en Configuración, siga los pasos 1 y 2.
  5. En Configuración>Paso 3: plantilla de Azure Resource Manager (ARM), seleccione Implementar en Azure.
  6. Siga todos los pasos del Asistente para la implementación de plantillas de Azure Resource Manager y seleccione Revisar y crear.>Crear.
  7. Si no tiene los permisos necesarios para las asignaciones de roles durante la implementación de la plantilla de Resource Manager, en Configuración, siga los pasos 4 y 5.

Otros conectores de datos

Para conectar los restantes conectores de datos, siga los pasos que se indican a continuación.

  1. En Microsoft Sentinel, en Configuración, seleccione Conectores de datos.
  2. Busque los conectores de datos de la solución que necesita para conectarse como Microsoft Power Apps y selecciónelos.
  3. Seleccione Abrir página del conector>Conectar.
  4. Repita estos pasos para todos los siguientes conectores de datos que forman parte de la solución Power Platform.
    • Microsoft Power Automate
    • Conectores de Power Platform
    • DLP de Power Platform
    • Actividad de administración de Power Platform
    • Microsoft Dataverse

Habilitación de la auditoría en entornos de Microsoft Dataverse

El registro de actividad de Dataverse solo está disponible para entornos de dataverse de producción. Otros tipos de entornos, como el espacio aislado, no admiten el registro de actividad. Consulte Requisitos del registro de actividad de aplicaciones controladas por modelos y de Microsoft Dataverse. El registro de actividad de Dataverse no está habilitado de forma predeterminada. Habilite la auditoría a nivel global para Dataverse, así como para todas las entidades de Dataverse.

Auditoría a nivel global

En el entorno de Dataverse, vaya a Configuración>Configuración de auditoría. En Auditoría, active las tres casillas.

  • Iniciar auditoría
  • Acceso al registro
  • Leer registros

Para más información sobre estos pasos, consulte Administración de auditorías de Dataverse.

Auditoría de entidades de Dataverse

Habilite la auditoría detallada en todas las entidades de Dataverse. Para habilitar la auditoría en las entidades predeterminadas, importe una solución administrada de Power Platform. Para habilitar la auditoría en entidades personalizadas, debe habilitar manualmente la auditoría detallada en todas las entidades personalizadas.

Habilitación automática de auditorías en entidades predeterminadas

La forma más rápida de habilitar la configuración de auditoría predeterminada para todas las entidades de Dataverse es importar la solución administrada de Power Platform adecuada en el entorno de Power Platform. Esta solución administrada habilita la auditoría detallada en todas las entidades predeterminadas que se enumeran en el siguiente archivo: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g. Para habilitar la auditoría en entidades personalizadas, debe habilitar manualmente la auditoría detallada en todas las entidades personalizadas.

Para habilitar automáticamente la auditoría de entidades, siga los pasos que se indican a continuación.

  1. Ir a https://make.powerapps.com.

  2. Elija el entorno que desea supervisar en la parte superior derecha de la página.

  3. Vaya a Soluciones>Importar solución.

  4. Importe una de las siguientes soluciones, en función de si el entorno de Power Platform se usa para Aplicaciones de Dynamics 365 CE, o no.

Habilitación manual de la auditoría de entidades

Para habilitar la auditoría manual de todas las entidades de Dataverse, incluidas las entidades personalizadas, siga los pasos descritos en la sección Habilitación o deshabilitación de entidades y campos para la auditoría de Administración de auditorías en Dataverse.

Para obtener todo el valor de detección de incidentes de la solución, se recomienda habilitar en todas las entidades de Dataverse que se deseen auditar las siguientes opciones en la pestaña General de la página de configuración de entidades de Dataverse:

  • En la sección Data Services, seleccione Auditoría.
  • En la sección Auditoría, seleccione Auditoría de registros individuales y Auditoría de varios registros.

Guarde y publique sus personalizaciones.

Compruebe que el conector de datos está ingierendo registros en Microsoft Sentinel.

Para comprobar que la ingesta de registros funciona, siga estos pasos.

Generación de registros de actividad y de inventario

  1. Ejecute actividades como crear, actualizar y eliminar para generar registros de los datos que ha habilitado para la supervisión.
  2. Espere un máximo de 60 minutos para que Microsoft Sentinel ingiera los registros de actividad en la tabla de registros del área de trabajo.
  3. En el caso de los datos de inventario de Power Platform, espere un máximo de 24 horas para que Microsoft Sentinel ingiera los datos en las tablas de registro del área de trabajo.

Visualización de los datos ingeridos en Microsoft Sentinel

Tras esperar a que Microsoft Sentinel ingiera los datos, siga los pasos que se indican a continuación para comprobar que obtiene los datos que espera.

  1. En Microsoft Sentinel, seleccione Registros.

  2. Ejecute consultas KQL en las tablas que recopilan los registros de actividad de los conectores de datos. Por ejemplo, ejecute la consulta siguiente para devolver 50 filas de la tabla con los registros de actividad de Power Apps.

     PowerAppsActivity
 | take 50

    En la tabla siguiente se enumeran las tablas de Log Analytics que se van a consultar.

    Tablas de Log Analytics Datos recopilados
    PowerAppsActivity Registros de actividad de Power Apps
    PowerAutomateActivity Registros de actividad de Power Automate
    PowerPlatformConnectorActivity Registros de actividad del conector de Power Platform
    PowerPlatformDlpActivity Registros de actividad de prevención de pérdida de datos
    PowerPlatformAdminActivity Registros administrativos de Power Platform
    DataverseActivity Registro de actividad de aplicaciones controladas por modelos y Dataverse

    Use los siguientes analizadores para devolver los datos de inventario y de la lista de reproducción.

    Analizador Datos devueltos
    InventoryApps Inventario de Power Apps
    InventoryAppsConnections Conexiones de inventario de conexiones de Power Apps
    InventoryEnvironments Inventario de entornos de Power Platform
    InventoryFlows Inventario de flujos de Power Automate
    MSBizAppsTerminatedEmployees Lista de reproducción de empleados con el contrato finalizado

  3. Compruebe que los resultados de cada tabla muestran las actividades que ha generado.

Pasos siguientes

En este artículo, ha aprendido a implementar la solución Microsoft Sentinel para Power Platform.