Distribuire la soluzione Microsoft Sentinel per Microsoft Power Platform

La soluzione Microsoft Sentinel per Power Platform consente di monitorare e rilevare attività sospette o dannose nell'ambiente Power Platform. La soluzione raccoglie i log attività da diversi componenti di Power Platform e dati di inventario. Per altre informazioni, vedere Panoramica della soluzione Microsoft Sentinel per Microsoft Power Platform.

Importante

• La soluzione Microsoft Sentinel per Power Platform è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
• La soluzione è un'offerta premium. Le informazioni sui prezzi saranno disponibili prima che la soluzione diventi disponibile a livello generale.
• Fornire commenti e suggerimenti per questa soluzione completando questo sondaggio: https://aka.ms/SentinelPowerPlatformSolutionSurvey.

Prerequisiti

• La soluzione Microsoft Sentinel è abilitata.
• Si dispone di un'area di lavoro di Microsoft Sentinel definita e si dispone delle autorizzazioni in lettura e scrittura per l'area di lavoro.
• L'organizzazione usa Power Platform per creare e usare Power Apps.
• È possibile creare un'app per le funzioni di Azure con le Microsoft.Web/Sitesautorizzazioni , Microsoft.Web/ServerFarmsMicrosoft.Insights/Components, e Microsoft.Storage/StorageAccounts .
• È possibile creare regole/endpoint di raccolta dati con le autorizzazioni per:
  • Microsoft.Insights/DataCollectionEndpoints e Microsoft.Insights/DataCollectionRules.
  • Assegnare il ruolo Publisher di metriche di monitoraggio a Funzioni di Azure.
• La registrazione di controllo è abilitata in Microsoft Purview. Per altre informazioni, vedere Attivare o disattivare il controllo per Microsoft Purview
• Per il connettore di inventario di Power Platform, sono configurate le risorse e le configurazioni seguenti.
  • Account di archiviazione da usare con Azure Data Lake Storage Gen2. Per altre informazioni, vedere Creare un account di archiviazione da usare con Azure Data Lake Storage Gen2.
  • URL dell'endpoint del servizio BLOB per l'account di archiviazione. Per altre informazioni, vedere Ottenere gli endpoint di servizio per l'account di archiviazione.
  • Analisi self-service di Power Platform configurata per l'uso dell'account di archiviazione azure Data Lake Storage Gen2. L'attivazione di questo processo può richiedere fino a 48 ore. Per altre informazioni, vedere Configurare l'analisi self-service di Microsoft Power Platform per esportare i dati di utilizzo e inventario di Power Platform. Esaminare i prerequisiti e i requisiti per la funzionalità di analisi self-service di Power Platform. I requisiti includono l'abilitazione dell'accesso pubblico all'account di archiviazione e le autorizzazioni necessarie per configurare l'esportazione dei dati.
  • Autorizzazioni per assegnare il ruolo lettore di dati BLOB di archiviazione alla funzione di Azure

L'abilitazione del connettore dati di inventario di Power Platform è consigliata, ma non è necessaria per distribuire completamente la soluzione Microsoft Power Platform. Per altre informazioni, vedere Connettore dati di inventario di Power Platform.

Installare la soluzione Power Platform in Microsoft Sentinel

Installare la soluzione dall'hub del contenuto in Microsoft Sentinel seguendo questa procedura.

1. Nel portale di Azure cercare e selezionare Microsoft Sentinel.
2. Selezionare l'area di lavoro di Microsoft Sentinel in cui si prevede di distribuire la soluzione.
3. In Gestione contenuto selezionare Hub contenuto.
4. Cercare e selezionare Power Platform.
5. Selezionare Installa.
6. Nella pagina dei dettagli della soluzione selezionare Crea.
7. Nella scheda Informazioni di base immettere la sottoscrizione, il gruppo di risorse e l'area di lavoro per distribuire la soluzione.
8. Selezionare Rivedi e crea>crea per distribuire la soluzione.

Abilitare i connettori dati

In Microsoft Sentinel abilitare i sei connettori dati per raccogliere i log attività e i dati di inventario dai componenti di Power Platform.

Connettore dati di inventario di Power Platform

Il connettore dati di inventario di Power Platform consente di risolvere i GUID per gli ambienti Power Platform e PowerApps nei dettagli dell'evento imprevisto in base ai nomi leggibili visualizzati nell'interfaccia di amministrazione di Power Platform e nel portale di Power Apps Maker. È consigliabile abilitare questo connettore dati, ma non è necessario distribuire completamente la soluzione Microsoft Power Platform.

Per ottimizzare l'inserimento, il connettore dati di inventario di Power Platform inserisce i dati completi ogni 7 giorni e gli aggiornamenti incrementali ogni giorno. Gli aggiornamenti incrementali includono solo gli asset di inventario che hanno modifiche rispetto al giorno precedente.

Per raccogliere i dati di inventario di Power Apps e Power Automate, distribuire il modello di Azure Resource Manager per creare un'app per le funzioni. Per completare la distribuzione, è necessario l'URL del servizio BLOB per l'account di archiviazione di Azure Data Lake Storage Gen2. Dopo aver creato l'app per le funzioni, concedere all'identità gestita per l'app per le funzioni l'accesso all'account di archiviazione.

1. In Configurazione di Microsoft Sentinel selezionare Connettori dati.
2. Cercare e selezionare Power Platform Inventory (usando Funzioni di Azure).
3. Selezionare Apri la pagina del connettore.
4. Se non è stata abilitata la funzionalità di analisi self-service di Power Platform, in Configurazione seguire i passaggi 1 e 2.
5. In Passaggio di configurazione>3 - Modello di Azure Resource Manager (ARM) selezionare Distribuisci in Azure.
6. Seguire tutti i passaggi della distribuzione guidata dei modelli di Azure Resource Manager e selezionare Rivedi e crea>crea.
7. Se non si dispone delle autorizzazioni necessarie per le assegnazioni di ruolo durante la distribuzione del modello di Resource Manager, in Configurazione seguire i passaggi 4 e 5.

Altri connettori dati

Connettere ognuno dei connettori dati rimanenti completando i passaggi seguenti.

1. In Configurazione di Microsoft Sentinel selezionare Connettori dati.
2. Cercare e selezionare i connettori dati nella soluzione che è necessario connettere, ad esempio l'attività di amministrazione di Microsoft Power Platform.
3. Selezionare La pagina>Apri connettore Connetti.
4. Ripetere questi passaggi per ognuno dei connettori dati seguenti che fanno parte della soluzione Power Platform.
   • Attività di amministrazione di Microsoft Power Platform
   • Microsoft Power Automate
   • Microsoft Dataverse

Abilitare il controllo nell'ambiente Microsoft Dataverse

La registrazione delle attività di Dataverse è disponibile solo per gli ambienti dataverse di produzione. Altri tipi di ambienti, ad esempio sandbox, non supportano la registrazione delle attività. Vedere Requisiti di registrazione delle attività delle app basate su modelli e Microsoft Dataverse. La registrazione delle attività di Dataverse non è abilitata per impostazione predefinita. Abilitare il controllo a livello globale per Dataverse e per ogni entità Dataverse.

Controllo a livello globale

Nell'ambiente Dataverse passare a Impostazioni Impostazioni Impostazioni>. In Controllo selezionare tutte e tre le caselle di controllo.

• Avviare il controllo
• Accesso al log
• Leggere i log

Per altre informazioni su questi passaggi, vedere Gestire il controllo dataverse.

Controllare le entità di Dataverse

Abilitare il controllo dettagliato in ognuna delle entità Dataverse. Per abilitare il controllo sulle entità predefinite, importare una soluzione gestita di Power Platform. Per abilitare il controllo sulle entità personalizzate, è necessario abilitare manualmente il controllo dettagliato in ognuna delle entità personalizzate.

Abilitare automaticamente il controllo sulle entità predefinite

Il modo più rapido per abilitare le impostazioni di controllo predefinite per tutte le entità Dataverse consiste nell'importare la soluzione gestita di Power Platform appropriata nell'ambiente Power Platform. Questa soluzione gestita consente il controllo dettagliato per ognuna delle entità predefinite elencate nel file seguente: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g. Per abilitare il controllo sulle entità personalizzate, è necessario abilitare manualmente il controllo dettagliato in ognuna delle entità personalizzate.

Per abilitare automaticamente il controllo delle entità, completare la procedura seguente.

1. Vai a https://make.powerapps.com.

2. Scegliere l'ambiente da monitorare dal lato superiore destro della pagina.

3. Passare a Soluzioni>Importa soluzione.

4. Importare una delle soluzioni seguenti a seconda che l'ambiente Power Platform venga usato per Dynamics 365 app CE o meno.

   • Per l'uso con le app ce di Dynamics 365, importare https://aka.ms/AuditSettings/Dynamics.
   • In caso contrario, importare https://aka.ms/AuditSettings/DataverseOnly.

Abilitare manualmente il controllo delle entità

Per abilitare il controllo su ogni entità Dataverse manualmente, incluse le entità personalizzate, seguire la procedura descritta nella sezione Abilitare o disabilitare entità e campi per il controllo in Gestire il controllo di Dataverse.

Per ottenere il valore completo del rilevamento degli eventi imprevisti della soluzione, è consigliabile abilitare, per ogni entità Dataverse da controllare, le opzioni seguenti nella scheda Generale della pagina Impostazioni entità Dataverse:

• Nella sezione Servizi dati selezionare Controllo.
• Nella sezione Controllo selezionare Controllo singolo record e Controllo di più record.

Salvare e pubblicare le personalizzazioni.

Verificare che il connettore dati stia inserendo i log in Microsoft Sentinel

Per verificare che l'inserimento dei log funzioni, completare la procedura seguente.

Generare log di attività e inventario

1. Eseguire attività come creare, aggiornare ed eliminare per generare log per i dati abilitati per il monitoraggio.
2. Attendere fino a 60 minuti affinché Microsoft Sentinel inserisca i log attività nella tabella dei log nell'area di lavoro.
3. Per i dati di inventario di Power Platform, attendere fino a 24 ore affinché Microsoft Sentinel inserisca i dati nelle tabelle di log nell'area di lavoro.

Visualizzare i dati inseriti in Microsoft Sentinel

Dopo aver aspettato che Microsoft Sentinel inserisca i dati, completare i passaggi seguenti per verificare di ottenere i dati previsti.

1. In Microsoft Sentinel selezionare Log.

2. Eseguire query KQL sulle tabelle che raccolgono i log attività dai connettori dati. Ad esempio, eseguire la query seguente per restituire 50 righe dalla tabella con i log attività di Power Apps.

    PowerPlatformAdminActivity
    | take 50
   

   Nella tabella seguente sono elencate le tabelle di Log Analytics su cui eseguire query.

   Tabelle di Log Analytics	Dati raccolti
   PowerPlatformAdminActivity	Log amministrativi di Power Platform
   PowerAutomateActivity	Log attività di Power Automate
   DataverseActivity	Registrazione delle attività delle app basate su modello e dataverse

   Usare i parser seguenti per restituire i dati di inventario e watchlist.

   Parser	Dati restituiti
   InventoryApps	Inventario di Power Apps
   InventoryAppsConnections	Connessioni Power AppsConnessioni di inventario
   InventoryEnvironments	Inventario degli ambienti Power Platform
   InventoryFlows	Inventario dei flussi di Power Automate
   MSBizAppsTerminatedEmployees	Elenco di controllo dipendenti terminati

3. Verificare che i risultati di ogni tabella mostrino le attività generate.

Passaggi successivi

In questo articolo si è appreso come distribuire la soluzione Microsoft Sentinel per Power Platform.

• Per esaminare il contenuto della soluzione disponibile con questa soluzione, vedere La soluzione Microsoft Sentinel per Microsoft Power Platform: informazioni di riferimento sui contenuti di sicurezza.
• Per gestire i componenti della soluzione e abilitare il contenuto della sicurezza, vedere Individuare e distribuire contenuti predefiniti.