Microsoft Power Platform 向け Microsoft Sentinel ソリューションをデプロイする

Power Platform 向け Microsoft Sentinel ソリューションを使用すると、Power Platform 環境内の疑わしいか悪意のあるアクティビティを監視して検出できます。 このソリューションでは、さまざまな Power Platform コンポーネントとインベントリ データからアクティビティ ログを収集し、 詳細については、Microsoft Power Platform 向け Microsoft Sentinel ソリューションの概要に関する記事をご覧ください。

重要

• Power Platform 向け Microsoft Sentinel ソリューションは、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
• このソリューションは Premium オファーです。 価格情報は、ソリューションが一般公開される前に入手できます。
• 次のアンケートに記入して、このソリューションのフィードバックをご提供ください: https://aka.ms/SentinelPowerPlatformSolutionSurvey。

前提条件

• Microsoft Sentinel ソリューションが有効になっている。
• Microsoft Sentinel ワークスペースを定義済みで、そのワークスペースへの読み取りと書き込みのアクセス許可がある。
• 組織では、Power Platform を使用して Power Apps を作成して使用している。
• Microsoft.Web/Sites、Microsoft.Web/ServerFarms、Microsoft.Insights/Components、Microsoft.Storage/StorageAccounts のアクセス許可で Azure 関数アプリを作成できる。
• 以下のアクセス許可でデータ収集ルール/エンドポイントを作成できる。
  • Microsoft.Insights/DataCollectionEndpoints、および Microsoft.Insights/DataCollectionRules
  • Azure 関数への監視メトリック パブリッシャー ロールの割り当て。
• 監査ログが Microsoft Purview 内で有効になっている。 詳細については、Microsoft Purview の監査のオンとオフの切り替えに関する記事を参照してください
• Power Platform インベントリ コネクタで、次のリソースと構成が設定されている。
  • Azure Data Lake Storage Gen2 で使用するストレージ アカウント。 詳細については、「Azure Data Lake Storage Gen2 で使用するストレージ アカウントを作成する」を参照してください。
  • ストレージ アカウントの Blob service エンドポイント URL。 詳細については、「ストレージ アカウントのサービス エンドポイントを取得する」を参照してください。
  • Azure Data Lake Storage Gen2 ストレージ アカウントを使用するように構成された Power Platform セルフサービス分析。 このプロセスをアクティブにするには最大で 48 時間かかる可能性があります。 詳細については、Microsoft Power Platform セルフサービス分析を設定して、Power Platform のインベントリと使用状況のデータをエクスポートに関する記事を参照してください。 Power Platform セルフサービス分析機能の前提条件と要件を確認します。 要件には、ストレージ アカウントへのパブリック アクセスを有効にすることと、データ エクスポートを設定するために必要なアクセス許可があることが含まれます。
  • ストレージ BLOB データ閲覧者ロールを Azure 関数に割り当てるためのアクセス許可

Power Platform インベントリ データ コネクタを有効にすることをお勧めしますが、Microsoft Power Platform ソリューションを完全にデプロイする必要はありません。 詳細については、Power Platform インベントリ データ コネクタに関する記事を参照してください。

Microsoft Sentinel に Power Platform ソリューションをインストールする

次の手順を使用して、Microsoft Sentinel のコンテンツ ハブからソリューションをインストールします。

1. Azure portal で [Microsoft Sentinel] を検索して選びます。
2. ソリューションをデプロイする Microsoft Sentinel ワークスペースを選択します。
3. [コンテンツ管理] で [コンテンツ ハブ] を選択します。
4. Power Platform を検索して選択します。
5. インストールを選択します。
6. ソリューションの詳細ページで、[作成] を選択します。
7. [基本] タブに、ソリューションをデプロイするサブスクリプション、リソース グループ、ワークスペースを入力します。
8. [確認 + 作成]>[作成] を選択してソリューションをデプロイします。

データ コネクタを有効にする

Microsoft Sentinel で、Power Platform コンポーネントからアクティビティ ログとインベントリ データを 6 つのデータ コネクタで収集できるようにします。

Power Platform インベントリ データ コネクタ

Power Platform インベントリ データ コネクタを使用すると、インシデントの詳細にある Power Platform および PowerApps 環境の GUID を、Power Platform 管理センターと Power Apps 作成ポータルに表示される人間が判読できる名前に解決できます。 このデータ コネクタを有効にすることをお勧めしますが、Microsoft Power Platform ソリューションを完全にデプロイする必要はありません。

インジェストを最適化するために、Power Platform インベントリ データ コネクタでは、7 日ごとに完全にデータを取り込み、増分更新を毎日行います。 増分更新には、前日以降に変更されたインベントリ資産のみが含まれます。

Power Apps と Power Automate インベントリ データを収集するには、Azure Resource Manager テンプレートをデプロイして関数アプリを作成します。 デプロイを完了するには、Azure Data Lake Storage Gen2 ストレージ アカウントの Blob service URL が必要です。 関数アプリを作成したら、関数アプリのマネージド ID にストレージ アカウントへのアクセス権を付与します。

1. Microsoft Sentinel の [構成] で、[データ コネクタ] を選択します。
2. [Power Platform インベントリ (Azure Functions を使用)] を検索して選択します。
3. [Open connector page](コネクタ ページを開く) を選択します。
4. Power Platform セルフサービス分析機能を有効にしなかった場合は、[構成] で手順 1 と 2 に従います。
5. [構成]>[手順 3 - Azure Resource Manager (ARM) テンプレート] で、[Azure へのデプロイ] を選択します。
6. Azure Resource Manager テンプレートのデプロイ ウィザードのすべての手順に従い、[確認 + 作成]>[作成] を選択します。
7. Resource Manager テンプレートのデプロイ中にロールの割り当てに必要なアクセス許可がない場合は、[構成] で手順 4 と 5 に従います。

その他のデータ コネクタ

次の手順を実行して、残りの各データ コネクタを接続します。

1. Microsoft Sentinel の [構成] で、[データ コネクタ] を選択します。
2. Microsoft Power Apps など、接続する必要があるソリューション内のデータ コネクタを検索して選択します。
3. [コネクタ ページを開く]>[接続] を選択します。
4. Power Platform ソリューションの一部である次のデータ コネクタごとに、これらの手順を繰り返します。
   • Microsoft Power Automate
   • Microsoft Power Platform コネクタ
   • Microsoft Power Platform DLP
   • Microsoft Power Platform 管理者アクティビティ
   • Microsoft Dataverse

Microsoft Dataverse 環境内で監査を有効にする

Dataverse アクティビティ ログは、Dataverse 運用環境でのみ使用できます。 サンドボックスなどの他の種類の環境では、アクティビティ ログはサポートされません。 Microsoft Dataverse およびモデル駆動型アプリのアクティビティ ログの要件に関する記事をご参照ください。 Dataverse アクティビティ ログは、既定では有効になっていません。 Dataverse のグローバル レベルと各 Dataverse エンティティで監査を有効にします。

グローバル レベルで監査する

Dataverse 環境で、[設定]>[監査設定] に移動します。 [監査] で、3 つのチェック ボックスをすべてオンにします。

• [監査の開始]
• [ログ アクセス]
• [ログの読み取り]

これらの手順の詳細については、「Dataverse 監査を管理する」を参照してください。

Dataverse エンティティを監査する

各 Dataverse エンティティで詳細な監査を有効にします。 既定のエンティティで監査を有効にするには、Power Platform マネージド ソリューションをインポートします。 カスタム エンティティで監査を有効にするには、各カスタム エンティティの詳細な監査を手動で有効にする必要があります。

既定のエンティティで監査を自動的に有効にする

すべての Dataverse エンティティに対して既定の監査設定を有効にする最も早い方法は、Power Platform 環境に適切な Power Platform マネージド ソリューションをインポートすることです。 このマネージド ソリューションでは、ファイル https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g に記載されている既定のエンティティごとに詳細な監査を有効にします。 カスタム エンティティで監査を有効にするには、各カスタム エンティティの詳細な監査を手動で有効にする必要があります。

エンティティ監査を自動的に有効にするには、次の手順を実行します。

1. 「 https://make.powerapps.com 」を参照してください。

2. ページの右上から、監視する環境を選択します。

3. [ソリューション]>[ソリューションのインポート] に移動します。

4. Power Platform 環境が Dynamics 365 CE アプリに使用されるかどうかに応じて、次のいずれかのソリューションをインポートします。

   • Dynamics 365 CE アプリで使用するには、https://aka.ms/AuditSettings/Dynamics をインポートします。
   • それ以外の場合は、https://aka.ms/AuditSettings/DataverseOnly をインポートします。

エンティティ監査を手動で有効にする

カスタム エンティティを含む各 Dataverse エンティティで監査を手動で有効にするには、「Dataverse 監査を管理する」の「エンティティおよびフィールドの監査の有効化または無効化を行う」セクションの手順に従います。

ソリューションの完全なインシデント検出値を取得するには、監査する Dataverse エンティティごとに、Dataverse エンティティ設定ページの [全般] タブで次のオプションを有効にすることをお勧めします。

• [Data Services] セクションで、[監査] を選択します。
• [監査] セクションで、[1 つのレコードの監査] と [複数レコードの監査] を選択します。

カスタマイズを保存して公開します。

データ コネクタが Microsoft Sentinel にログを取り込んでいるかどうかを確認する

ログ インジェストが機能していることを確認するには、次の手順を実行します。

アクティビティおよびインベントリ ログを生成する

1. 作成、更新、削除などのアクティビティを実行して、監視を有効にしたデータのログを生成します。
2. Microsoft Sentinel でワークスペースのログ テーブルにアクティビティ ログを取り込むまで最大 60 分待ちます。
3. Power Platform インベントリ データの場合、Microsoft Sentinel でワークスペースのログ テーブルにデータを取り込むまで最大 24 時間待ちます。

Microsoft Sentinel に取り込まれたデータを表示する

Microsoft Sentinel でデータを取り込むのを待った後、次の手順を実行して、予想したデータを取得することを確認します。

1. Microsoft Sentinel で、[ログ] を選択します。

2. データ コネクタからアクティビティ ログを収集するテーブルに対して KQL クエリを実行します。 たとえば、次のクエリを実行して、Power Apps アクティビティ ログを含むテーブルから 50 行を返します。

    PowerAppsActivity
    | take 50
   

   次の表に、クエリを実行する Log Analytics テーブルの一覧を示します。

   Log Analytics のテーブル	収集されるデータ
   PowerAppsActivity	Power Apps のアクティビティ ログ
   PowerAutomateActivity	Power Automate のアクティビティ ログ
   PowerPlatformConnectorActivity	Power Platform コネクタのアクティビティ ログ
   PowerPlatformDlpActivity	データ損失防止のアクティビティ ログ
   PowerPlatformAdminActivity	Power Platform の管理ログ
   DataverseActivity	Dataverse およびモデル駆動型アプリのアクティビティ ログ

   インベントリとウォッチリストのデータを返すには、次のパーサーを使用します。

   パーサー	返されるデータ
   InventoryApps	Power Apps のインベントリ
   InventoryAppsConnections	Power Apps 接続の Inventoryconnections
   InventoryEnvironments	Power Platform 環境のインベントリ
   InventoryFlows	Power Automate フローのインベントリ
   MSBizAppsTerminatedEmployees	退職した従業員ウォッチリスト

3. 各テーブルの結果に、生成したアクティビティが表示されていることを確認します。

次のステップ

この記事では、Power Platform 向け Microsoft Sentinel ソリューションをデプロイする方法について説明しました。

• このソリューションで使用できるソリューション コンテンツを確認するには、「Microsoft Power Platform 向けの Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス」を参照してください。
• ソリューション コンポーネントを管理してセキュリティ コンテンツを有効にするには、そのまま使えるコンテンツの検出と管理に関するページを参照してください。