Microsoft Power Platform용 Microsoft Sentinel 솔루션 배포

Power Platform용 Microsoft Sentinel 솔루션을 사용하면 Power Platform 환경에서 의심스럽거나 악의적인 활동을 모니터링하고 검색할 수 있습니다. 이 솔루션은 다양한 Power Platform 구성 요소 및 인벤토리 데이터에서 활동 로그를 수집합니다. 자세한 내용은 Microsoft Power Platform용 Microsoft Sentinel 솔루션 개요를 참조하세요.

Important

• Power Platform용 Microsoft Sentinel 솔루션은 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
• 솔루션은 프리미엄 제품입니다. 솔루션이 일반 공급되기 전에 가격 책정 정보는 공개될 예정입니다.
• 다음 설문 조사를 https://aka.ms/SentinelPowerPlatformSolutionSurvey완료하여 이 솔루션에 대한 피드백을 제공합니다.

필수 조건

• Microsoft Sentinel 솔루션이 사용하도록 설정되어 있습니다.
• 정의된 Microsoft Sentinel 작업 영역이 있으며 작업 영역에 대한 읽기 및 쓰기 권한이 있습니다.
• 조직에서는 Power Platform을 사용하여 Power Apps를 만들고 사용합니다.
• , Microsoft.Web/ServerFarms및 Microsoft.Insights/ComponentsMicrosoft.Storage/StorageAccounts 권한을 사용하여 Microsoft.Web/SitesAzure Function App을 만들 수 있습니다.
• 다음을 수행할 수 있는 권한으로 데이터 수집 규칙/엔드포인트를 만들 수 있습니다.
  • Microsoft.Insights/DataCollectionEndpoints 및 Microsoft.Insights/DataCollectionRules.
  • 모니터링 메트릭 게시자 역할을 Azure Function에 할당합니다.
• 감사 로깅은 Microsoft Purview에서 사용하도록 설정됩니다. 자세한 내용은 Microsoft Purview에 대한 감사 설정 또는 해제를 참조 하세요.
• Power Platform 인벤토리 커넥터의 경우 다음 리소스 및 구성을 설정합니다.
  • Azure Data Lake Storage Gen2와 함께 사용할 스토리지 계정입니다. 자세한 내용은 Azure Data Lake Storage Gen2에서 사용할 스토리지 계정 만들기를 참조하세요.
  • 스토리지 계정에 대한 Blob 서비스 엔드포인트 URL입니다. 자세한 내용은 스토리지 계정에 대한 서비스 엔드포인트 가져오기를 참조 하세요.
  • Azure Data Lake Storage Gen2 스토리지 계정을 사용하도록 구성된 Power Platform 셀프 서비스 분석. 이 프로세스를 활성화하는 데 최대 48시간이 걸릴 수 있습니다. 자세한 내용은 Power Platform 인벤토리 및 사용량 현황 데이터를 내보내도록 Microsoft Power Platform 셀프 서비스 분석 설정을 참조하세요. Power Platform 셀프 서비스 분석 기능에 대한 필수 구성 요소 및 요구 사항을 검토합니다. 요구 사항에는 스토리지 계정에 대한 공용 액세스를 사용하도록 설정하고 데이터 내보내기를 설정하는 데 필요한 권한이 있어야 합니다.
  • Azure Function에 Storage Blob 데이터 판독기 역할을 할당할 수 있는 권한

Power Platform 인벤토리 데이터 커넥터를 사용하도록 설정하는 것이 좋지만 Microsoft Power Platform 솔루션을 완전히 배포할 필요는 없습니다. 자세한 내용은 Power Platform 인벤토리 데이터 커넥터를 참조하세요.

Microsoft Sentinel에 Power Platform 솔루션 설치

다음 단계를 사용하여 Microsoft Sentinel의 콘텐츠 허브에서 솔루션을 설치합니다.

1. Azure Portal에서 Microsoft Sentinel을 검색하여 선택합니다.
2. 솔루션을 배포하려는 Microsoft Sentinel 작업 영역을 선택합니다.
3. 콘텐츠 관리에서 콘텐츠 허브를 선택합니다.
4. Power Platform을 검색하고 선택합니다.
5. 설치를 선택합니다.
6. 솔루션 세부 정보 페이지에서 만들기를 선택합니다.
7. 본 탭에서 솔루션을 배포할 구독, 리소스 그룹 및 작업 영역을 입력합니다.
8. 검토를 선택하고 만들기>를 선택하여 솔루션을 배포합니다.

데이터 커넥터 사용

Microsoft Sentinel에서 6개의 데이터 커넥터가 Power Platform 구성 요소에서 활동 로그 및 인벤토리 데이터를 수집하도록 설정합니다.

Power Platform 인벤토리 데이터 커넥터

Power Platform 인벤토리 데이터 커넥터를 사용하면 인시던트 세부 정보에서 Power Platform 및 PowerApps 환경의 GUID를 Power Platform 관리 센터 및 Power Apps Maker 포털에 표시되는 사람이 읽을 수 있는 이름으로 확인할 수 있습니다. 이 데이터 커넥터를 사용하도록 설정하는 것이 좋지만 Microsoft Power Platform 솔루션을 완전히 배포할 필요는 없습니다.

수집을 최적화하기 위해 Power Platform 인벤토리 데이터 커넥터는 매일 7일마다 전체 데이터와 증분 업데이트를 수집합니다. 증분 업데이트에는 전날 이후 변경된 인벤토리 자산만 포함됩니다.

Power Apps 및 Power Automate 인벤토리 데이터를 수집하려면 Azure Resource Manager 템플릿을 배포하여 함수 앱을 만듭니다. 배포를 완료하려면 Azure Data Lake Storage Gen2 스토리지 계정에 대한 Blob 서비스 URL이 필요합니다. 함수 앱을 만든 후 스토리지 계정에 대한 함수 앱 액세스 권한에 대한 관리 ID를 부여합니다.

1. Microsoft Sentinel의 구성에서 데이터 커넥터를 선택합니다.
2. Power Platform 인벤토리(Azure Functions 사용)를 검색하여 선택합니다.
3. 커넥터 페이지 열기를 선택합니다.
4. Power Platform 셀프 서비스 분석 기능을 사용하도록 설정하지 않은 경우 구성에서 1단계와 2단계를 수행합니다.
5. 구성>3단계 - ARM(Azure Resource Manager) 템플릿에서 Azure에 배포를 선택합니다.
6. Azure Resource Manager 템플릿 배포 마법사의 모든 단계를 수행하고 검토 + 만들기를> 선택합니다.
7. Resource Manager 템플릿 배포 중에 역할 할당에 필요한 권한이 없는 경우 구성에서 4단계와 5단계를 수행합니다.

기타 데이터 커넥터

다음 단계를 완료하여 나머지 데이터 커넥터를 각각 연결합니다.

1. Microsoft Sentinel의 구성에서 데이터 커넥터를 선택합니다.
2. Microsoft Power Platform 관리자 활동과 같이 연결해야 하는 솔루션에서 데이터 커넥터를 검색하고 선택합니다.
3. 커넥터 열기 페이지>연결을 선택합니다.
4. Power Platform 솔루션의 일부인 다음 데이터 커넥터 각각에 대해 이러한 단계를 반복합니다.
   • Microsoft Power Platform 관리자 활동
   • Microsoft Power Automate
   • Microsoft Dataverse

Microsoft Dataverse 환경에서 감사 사용

Dataverse 활동 로깅은 프로덕션 데이터버스 환경에만 사용할 수 있습니다. 샌드박스와 같은 다른 유형의 환경은 활동 로깅을 지원하지 않습니다. Microsoft Dataverse 및 모델 기반 앱 활동 로깅 요구 사항을 참조 하세요. Dataverse 활동 로깅은 기본적으로 사용하도록 설정되지 않습니다. Dataverse 및 각 Dataverse 엔터티에 대해 전역 수준에서 감사를 사용하도록 설정합니다.

전역 수준에서 감사

Dataverse 환경에서 설정>감사 설정으로 이동합니다. 감사에서 세 개의 확인란을 모두 선택합니다.

• 감사 시작
• 로그 액세스
• 로그 읽기

이러한 단계에 대한 자세한 내용은 Dataverse 감사 관리를 참조 하세요.

Dataverse 엔터티 감사

각 Dataverse 엔터티에 대해 자세한 감사를 사용하도록 설정합니다. 기본 엔터티에 대한 감사를 사용하도록 설정하려면 Power Platform 관리형 솔루션을 가져옵니다. 사용자 지정 엔터티에 대한 감사를 사용하도록 설정하려면 각 사용자 지정 엔터티에 대한 자세한 감사를 수동으로 사용하도록 설정해야 합니다.

기본 엔터티에서 자동으로 감사 사용

모든 Dataverse 엔터티에 대한 기본 감사 설정을 사용하도록 설정하는 가장 빠른 방법은 Power Platform 환경에서 적절한 Power Platform 관리형 솔루션을 가져오는 것입니다. 이 관리형 솔루션을 사용하면 다음 파일에 https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g나열된 각 기본 엔터티에 대해 자세한 감사를 수행할 수 있습니다. 사용자 지정 엔터티에 대한 감사를 사용하도록 설정하려면 각 사용자 지정 엔터티에 대한 자세한 감사를 수동으로 사용하도록 설정해야 합니다.

엔터티 감사를 자동으로 사용하도록 설정하려면 다음 단계를 완료합니다.

1. https://make.powerapps.com(으)로 이동합니다.

2. 페이지의 오른쪽 위에서 모니터링할 환경을 선택합니다.

3. 솔루션>가져오기 솔루션으로 이동합니다.

4. Power Platform 환경이 Dynamics 365 CE 앱에 사용되는지 여부에 따라 다음 솔루션 중 하나를 가져옵니다.

   • Dynamics 365 CE 앱과 함께 사용하려면 .를 가져옵니다 https://aka.ms/AuditSettings/Dynamics.
   • 그렇지 않으면 .를 가져옵니다 https://aka.ms/AuditSettings/DataverseOnly.

엔터티 감사를 수동으로 사용하도록 설정

사용자 지정 엔터티를 포함하여 각 Dataverse 엔터티에서 수동으로 감사를 사용하도록 설정하려면 Dataverse 감사 관리에서 엔터티 및 필드를 감사하기 위해 엔터티 및 필드 사용 또는 사용 안 함 섹션의 단계를 따릅니다.

솔루션의 전체 인시던트 검색 값을 얻으려면 감사하려는 각 Dataverse 엔터티에 대해 Dataverse 엔터티 설정 페이지의 일반 탭에서 다음 옵션을 사용하도록 설정하는 것이 좋습니다.

• Data Services 섹션에서 감사를 선택합니다.
• 감사 섹션에서 단일 레코드 감사 및 다중 레코드 감사를 선택합니다.

사용자 지정 사항을 저장하고 게시합니다.

데이터 커넥터가 Microsoft Sentinel에 로그를 수집하는지 확인합니다.

로그 수집이 작동하는지 확인하려면 다음 단계를 완료합니다.

활동 및 인벤토리 로그 생성

1. 만들기, 업데이트 및 삭제와 같은 작업을 실행하여 모니터링에 사용하도록 설정한 데이터에 대한 로그를 생성합니다.
2. Microsoft Sentinel이 작업 영역의 로그 테이블에 활동 로그를 수집할 때까지 최대 60분 동안 기다립니다.
3. Power Platform 인벤토리 데이터의 경우 Microsoft Sentinel이 작업 영역의 로그 테이블에 데이터를 수집할 때까지 최대 24시간 동안 기다립니다.

Microsoft Sentinel에서 수집된 데이터 보기

Microsoft Sentinel이 데이터를 수집할 때까지 기다린 후 다음 단계를 완료하여 예상한 데이터를 가져오는지 확인합니다.

1. Microsoft Sentinel에서 로그를 선택합니다.

2. 데이터 커넥터에서 활동 로그를 수집하는 테이블에 대해 KQL 쿼리를 실행합니다. 예를 들어 다음 쿼리를 실행하여 Power Apps 활동 로그를 사용하여 테이블에서 50개의 행을 반환합니다.

    PowerPlatformAdminActivity
    | take 50
   

   다음 표에서는 쿼리할 Log Analytics 테이블을 나열합니다.

   Log Analytics 테이블	수집되는 데이터
   PowerPlatformAdminActivity	Power Platform 관리 로그
   PowerAutomateActivity	Power Automate 활동 로그
   DataverseActivity	Dataverse 및 모델 기반 앱 활동 로깅

   다음 파서를 사용하여 인벤토리 및 관심 목록 데이터를 반환합니다.

   파서	반환된 데이터
   InventoryApps	Power Apps 인벤토리
   InventoryAppsConnections	Power Apps 연결 인벤토리 연결
   InventoryEnvironments	Power Platform 환경 인벤토리
   InventoryFlows	Power Automate 흐름 인벤토리
   MSBizAppsTerminatedEmployees	종결된 직원 관심 목록

3. 각 테이블의 결과에 생성한 활동이 표시되는지 확인합니다.

다음 단계

이 문서에서는 Power Platform용 Microsoft Sentinel 솔루션을 배포하는 방법을 알아보았습니다.

• 이 솔루션 에서 사용할 수 있는 솔루션 콘텐츠를 검토하려면 Microsoft Power Platform용 Microsoft Sentinel 솔루션: 보안 콘텐츠 참조를 참조하세요.
• 솔루션 구성 요소를 관리하고 보안 콘텐츠를 사용하도록 설정하려면 기본 제공 콘텐츠 검색 및 배포를 참조하세요.