Microsoft Power Platform용 Microsoft Sentinel 솔루션 개요
Power Platform용 Microsoft Sentinel 솔루션을 사용하면 Power Platform 환경에서 의심스럽거나 악의적인 활동을 모니터링하고 검색할 수 있습니다. 이 솔루션은 다양한 Power Platform 구성 요소 및 인벤토리 데이터에서 활동 로그를 수집합니다. 이러한 활동 로그를 분석하여 다음 활동과 같은 위협 및 의심스러운 활동을 탐지합니다.
- 권한이 없는 지역에서 Power Apps 실행
- Power Apps에 의한 의심스러운 데이터 폐기
- Power Apps 대량 삭제
- Power Apps를 통해 가능한 피싱 공격
- 퇴사 직원에 의한 Power Automate 흐름 작업
- 환경에 추가된 Microsoft Power Platform 커넥터
- Microsoft Power Platform 데이터 손실 방지 정책의 업데이트 또는 제거
Important
- Power Platform용 Microsoft Sentinel 솔루션은 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
- 솔루션은 프리미엄 제품입니다. 솔루션이 일반 공급되기 전에 가격 책정 정보는 공개될 예정입니다.
- 다음 설문 조사를 https://aka.ms/SentinelPowerPlatformSolutionSurvey완료하여 이 솔루션에 대한 피드백을 제공합니다.
솔루션을 설치해야 하는 이유
Microsoft Power Platform용 Microsoft Sentinel 솔루션은 조직이 다음을 수행할 수 있도록 지원합니다.
- Microsoft Power Platform 및 Power Apps 활동 로그, 감사 및 이벤트를 Microsoft Sentinel 작업 영역으로 수집합니다.
- Microsoft Power Platform 및 Power Apps 내에서 의심스럽거나 악의적이거나 불법적인 활동의 실행을 검색합니다.
- Microsoft Power Platform 및 Power Apps에서 검색된 위협을 조사하고 조직 전체의 다른 사용자 활동과 컨텍스트화합니다.
- Microsoft Power Platform 관련 위협 및 Power Apps 관련 위협 및 인시던트에 수동으로, 자동으로 또는 미리 정의된 워크플로를 통해 간단하고 통조림 방식으로 대응합니다.
솔루션 업데이트
2024년 10월 17일부터 Power Apps, Power Platform DLP 및 Power Platform Connectors에 대한 감사 로깅 데이터가 테이블 및 PowerPlatformConnectorActivity 테이블 대신 PowerPlatformDlpActivity PowerAppsActivity테이블로 PowerPlatformAdminActivity 라우팅됩니다.
Microsoft Power Platform용 Microsoft Sentinel 솔루션의 보안 콘텐츠는 Power Apps, Power Platform DLP 및 Power Platform Connectors에 대한 새 테이블 및 스키마로 업데이트됩니다. 작업 영역의 Power Platform 솔루션을 최신 버전으로 업데이트하고 업데이트된 분석 규칙 템플릿을 적용하여 변경 내용을 활용하는 것이 좋습니다. 자세한 내용은 콘텐츠 설치 또는 업데이트를 참조 하세요.
Power Apps, Power Platform DLP 및 Power Platform Connectors에 사용되지 않는 데이터 커넥터를 사용하는 고객은 Microsoft Sentinel 작업 영역에서 이러한 커넥터를 안전하게 분리하고 제거할 수 있습니다. 연결된 모든 데이터 흐름은 Power Platform Admin Activity 커넥터를 사용하여 수집됩니다.
자세한 내용은 메시지 센터를 참조 하세요.
솔루션에 포함된 내용
Power Platform용 Microsoft Sentinel 솔루션에는 여러 데이터 커넥터 및 분석 규칙이 포함되어 있습니다.
데이터 커넥터
Power Platform용 Microsoft Sentinel 솔루션은 여러 원본의 활동 로그 및 인벤토리 데이터를 수집하고 상호 연관합니다. 따라서 솔루션의 일부로 사용할 수 있는 다음 데이터 커넥터를 사용하도록 설정해야 합니다.
| 커넥터 이름 | 수집되는 데이터 | Log Analytics 테이블 |
|---|---|---|
| Power Platform 인벤토리(Azure Functions 사용) | Power Apps 및 Power Automate 인벤토리 데이터 자세한 내용은 Power Platform 인벤토리 및 사용량 현황 데이터를 내보내도록 Microsoft Power Platform 셀프 서비스 분석 설정을 참조하세요. |
PowerApps_CL PowerPlatrformEnvironments_CL PowerAutomateFlows_CL, PowerAppsConnections_CL |
| Microsoft Power Platform 관리자 작업(미리 보기) | Power Platform 관리자 활동 로그 자세한 내용은 Microsoft Purview(미리 보기)에서 감사 솔루션을 사용하여 Power Platform 관리 로그 보기를 참조하세요. |
PowerPlatformAdminActivity |
| Microsoft Dataverse(미리 보기) | Dataverse 및 모델 기반 앱 활동 로깅 자세한 내용은 Microsoft Dataverse 및 모델 기반 앱 활동 로깅을 참조 하세요. Dynamics 365 데이터 커넥터를 사용하는 경우 Microsoft Dataverse용 데이터 커넥터로 마이그레이션합니다. 이 데이터 커넥터는 Dynamics 365 레거시 데이터 커넥터를 대체하고 데이터 수집 규칙을 지원합니다. |
DataverseActivity |
분석 규칙
솔루션에는 Power Platform 환경에서 위협 및 의심스러운 활동을 감지하는 분석 규칙이 포함됩니다. 이러한 활동에는 권한이 없는 지역에서 실행되는 Power Apps, Power Apps에 의한 의심스러운 데이터 파괴, Power Apps 대량 삭제 등이 포함됩니다. 자세한 내용은 Microsoft Power Platform용 Microsoft Sentinel 솔루션: 보안 콘텐츠 참조를 참조하세요.
파서
솔루션에는 원시 데이터 테이블의 데이터에 액세스하는 데 사용되는 파서가 포함됩니다. 파서는 올바른 데이터가 일관된 스키마와 함께 반환되는지 확인합니다. 인벤토리 테이블 및 관심 목록을 직접 쿼리하는 대신 파서를 사용하는 것이 좋습니다. 자세한 내용은 Microsoft Power Platform용 Microsoft Sentinel 솔루션: 보안 콘텐츠 참조를 참조하세요.