Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment déployer la solution Microsoft Sentinel pour Microsoft Business Apps pour connecter votre système Microsoft Power Platform et Microsoft Dynamics 365 Customer Engagement à Microsoft Sentinel. La solution collecte des journaux d’audit et d’activité pour détecter les menaces, les activités suspectes, les activités illicites, etc.
Prérequis
Avant de déployer la solution Microsoft Sentinel pour Microsoft Business Apps, veillez à respecter les conditions préalables suivantes :
Votre espace de travail Log Analytics doit être activé pour Microsoft Sentinel.
Vous devez disposer d’un accès en lecture et en écriture à l’espace de travail. Vous devez être en mesure de créer :
-
Des règles/points de terminaison de collecte de données avec
Microsoft.Insights/DataCollectionEndpointsetMicrosoft.Insights/DataCollectionRules
-
Des règles/points de terminaison de collecte de données avec
Votre organisation doit utiliser Dynamics 365 Customer Engagement et/ou une ou plusieurs des charges de travail Power Platform.
La journalisation d’audit doit également être activée dans Microsoft Purview. Pour obtenir plus d’informations, voir Activer ou désactiver l’audit pour Microsoft Purview
Si vous utilisez Microsoft Dataverse, la journalisation d’audit est prise en charge uniquement pour les environnements de production. Pour en savoir plus, voir la section Conditions requises de l’article Journalisation des activités des applications pilotées par modèle et Microsoft Dataverse.
Installer la solution et déployer vos connecteurs de données
Commencez par installer la solution Microsoft Sentinel pour Microsoft Business Applications à partir du hub de contenu Microsoft Sentinel.
Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.
Sélectionnez Configuration > Connecteurs de données, puis recherchez l’un des connecteurs de données suivants à déployer :
- Microsoft Dataverse
- Activité administrative Microsoft Power Platform
- Microsoft Power Automate
Remarque
Le connecteur Dynamics 365 Finance and Operations est également inclus dans le cadre de la solution. Pour plus d’informations, consultez Déployer pour Dynamics 365 Finance and Operations.
Pour chaque connecteur de données, dans le volet latéral, sélectionnez Ouvrir la page du connecteur > Connecter.
Configurer la collecte de données pour Dataverse
Lorsque vous utilisez Microsoft Dataverse, la journalisation des activités Dataverse est disponible uniquement pour les environnements de production et n’est pas activée par défaut. Activez l’audit au niveau global pour Dataverse et pour chaque entité Dataverse :
Pour activer l’audit sur des entités par défaut, importez l’une des solutions managées Power Platform suivantes :
- Pour une utilisation avec Dynamics 365CE Apps, importez https://aka.ms/AuditSettings/Dynamics.
- Sinon, importez https://aka.ms/AuditSettings/DataverseOnly.
La solution active l’audit détaillé pour chacune des entités par défaut répertoriées dans l’article, Paramètres d’audit pour Dataverse.
Pour activer l’audit sur des entités personnalisées, vous devez activer manuellement l’audit détaillé sur chacune des entités personnalisées. Pour en savoir plus, consultez Gérer les audits Dataverse.
Pour obtenir la valeur de détection complète des incidents de la solution, nous vous recommandons d’activer, pour chaque entité Dataverse que vous souhaitez auditer, les options suivantes sous l’onglet Général de la page des paramètres d’entité Dataverse :
- Sous la section Data Services, sélectionnez Audit.
- Sous la section Audit, sélectionnez Enregistrement unique d’audit et Plusieurs enregistrements d’audit.
Veillez à enregistrer et publier vos personnalisations.
Vérifier l’ingestion des journaux dans Microsoft Sentinel
Après avoir déployé vos connecteurs de données et configuré la collecte de données, exécutez des activités telles que créer, mettre à jour et supprimer pour générer des journaux pour les données dont vous avez activé la surveillance.
Pour les journaux d’activité Power Platform, attendez 60 minutes pour que Microsoft Sentinel ingère les données.
Pour vérifier que Microsoft Sentinel obtient les données attendues, exécutez des requêtes KQL sur les tables de données issues de vos connecteurs de données.
Pour Microsoft Sentinel dans le portail Azure, exécutez des requêtes KQL sur la page Général>Journaux. Dans le portail Defender, exécutez des requêtes KQL dans Enquête et réponse>Repérage>Repérage avancé.
Par exemple, pour vérifier l’ingestion des journaux Power Platform, exécutez la requête suivante pour retourner 50 lignes à partir de la table avec les journaux d’activité Power Apps.
PowerPlatformAdminActivity | take 50
Le tableau suivant répertorie les tables Log Analytics à interroger.
| Tableaux Log Analytics | Données collectées |
|---|---|
| PowerPlatformAdminActivity | Journaux administratifs Power Platform |
| PowerAutomateActivity | Journaux d’activité Power Automate |
| DataverseActivity | Journalisation des activités des applications pilotées par modèle et Dataverse |