Implantar a solução do Microsoft Sentinel para o Microsoft Power Platform

A solução do Microsoft Sentinel para o Power Platform permite monitorar e detectar atividades suspeitas ou mal-intencionadas no ambiente do Power Platform. A solução coleta logs de atividades de diferentes componentes do Power Platform e dados de estoque. Para obter mais informações, confira a Visão geral da solução do Microsoft Sentinel para Microsoft Power Platform.

Importante

• A solução do Microsoft Sentinel para Power Platform está atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
• A solução é uma oferta premium. As informações de preços estarão disponíveis antes que a solução esteja em disponibilidade geral.
• Forneça comentários para esta solução concluindo esta pesquisa: https://aka.ms/SentinelPowerPlatformSolutionSurvey.

Pré-requisitos

• A solução do Microsoft Sentinel está habilitada.
• Você tem um workspace do Microsoft Sentinel definido e tem permissões de leitura e gravação no workspace.
• Sua organização usa o Power Platform para criar e usar o Power Apps.
• Você pode criar um Aplicativo de Funções do Azure com as permissões Microsoft.Web/Sites, Microsoft.Web/ServerFarms, Microsoft.Insights/Components e Microsoft.Storage/StorageAccounts.
• Você pode criar regras/pontos de extremidade de coleta de dados com as permissões para:
  • Microsoft.Insights/DataCollectionEndpoints e Microsoft.Insights/DataCollectionRules.
  • Atribua a função Editor de Métricas de Monitoramento à Função do Azure.
• O log de auditoria está habilitado no Microsoft Purview. Para obter mais informações, consulte Ativar ou desativar a auditoria do Microsoft Purview.
• Para o conector de inventário do Power Platform, configure os seguintes recursos e configurações.
  • Conta de armazenamento para usar com o Azure Data Lake Storage Gen2. Para obter mais informações, confira Criar uma conta de armazenamento para usá-la com o Azure Data Lake Storage Gen2.
  • URL do ponto de extremidade do serviço Blob para a conta de armazenamento. Para obter mais informações, confira Obter pontos de extremidade de serviço para a conta de armazenamento.
  • Análise de autoatendimento do Power Platform configurada para usar a conta de armazenamento do Azure Data Lake Storage Gen2. Esse processo pode levar até 48 horas para ativar. Para obter mais informações, confira Configurar a análise de autoatendimento do Microsoft Power Platform para exportar dados de inventário e uso do Power Platform. Examine os pré-requisitos e os requisitos para o recurso de análise de autoatendimento do Power Platform. Os requisitos incluem que você habilite o acesso público à conta de armazenamento e tenha as permissões necessárias para configurar a exportação de dados.
  • Permissões para atribuir a função Leitor de Dados de Blob de Armazenamento à Função do Azure

É recomendável habilitar o conector de dados de inventário do Power Platform, mas não é necessário implantar totalmente a solução do Microsoft Power Platform. Para obter mais informações, confira Conector de dados de inventário do Power Platform.

Instalar a solução Power Platform no Microsoft Sentinel

Instale a solução para o Microsoft Entra ID no hub de conteúdos no Microsoft Sentinel seguindo as etapas seguintes.

1. No portal do Azure, pesquise e selecione a opção Microsoft Sentinel.
2. Selecione o workspace do Microsoft Sentinel no qual você está planejando implantar a solução.
3. Em Gerenciamento de conteúdo, selecione Hub de conteúdo.
4. Pesquise e selecione Power Platform.
5. Selecione Instalar.
6. Na página de detalhes das soluções, selecione Criar.
7. Na guia Básico, insira a assinatura, o grupo de recursos e o espaço de trabalho para implantar a solução.
8. Selecione Examinar + criar>Criar para implantar a solução.

Habilitar os conectores de dados

No Microsoft Sentinel, habilite os seis conectores de dados para coletar logs de atividades e dados de inventário dos componentes do Power Platform.

Conector de dados de inventário do Power Platform

O conector de dados de inventário do Power Platform permite que você resolva os GUIDs para ambientes do Power Platform e do PowerApps nos detalhes do incidente para os nomes legíveis humanos que aparecem no centro de administração do Power Platform e no portal do criador do Power Apps. Recomendamos habilitar esse conector de dados, mas não é necessário implantar totalmente a solução Microsoft Power Platform.

Para otimizar a ingestão, o conector de dados de inventário do Power Platform ingere dados na íntegra a cada 7 dias e atualizações incrementais diariamente. As atualizações incrementais incluem apenas ativos de inventário que têm alterações desde o dia anterior.

Para coletar dados de inventário do Power Apps e do Power Automate, implante o modelo do Azure Resource Manager para criar um aplicativo de funções. Para concluir a implantação, você precisa da URL do serviço de blob para sua conta de armazenamento do Azure Data Lake Storage Gen2. Depois de criar o aplicativo de funções, conceda a identidade gerenciada para o acesso do aplicativo de funções à conta de armazenamento.

1. No Microsoft Sentinel, em Configuração, selecione Conectores de dados.
2. Pesquise e selecione Inventário do Power Platform (usando o Azure Functions).
3. Clique em Abrir página do conector.
4. Se você não habilitou o recurso de análise de autoatendimento do Power Platform, em Configuração siga as etapas 1 e 2.
5. Em Configuração>Etapa 3 – Modelo do ARM (Azure Resource Manager), selecione Implantar no Azure.
6. Siga todas as etapas no assistente de implantação de modelo do Azure Resource Manager e selecione Examinar + criar>Criar.
7. Se você não tiver as permissões necessárias para atribuições de função durante a implantação do modelo do Resource Manager, em Configuração, siga as etapas 4 e 5.

Outros conectores de dados

Conecte cada um dos conectores de dados restantes concluindo as etapas a seguir.

1. No Microsoft Sentinel, em Configuração, selecione Conectores de dados.
2. Pesquise e selecione os conectores de dados na solução que você precisa para se conectar como Microsoft Power Apps.
3. Selecione a página Abrir conector>Conectar.
4. Repita essas etapas para cada um dos conectores de dados a seguir que fazem parte da solução do Power Platform.
   • Microsoft Power Automate
   • Conectores do Microsoft Power Platform
   • DLP do Microsoft Power Platform
   • Atividade do administrador do Microsoft Power Platform
   • Microsoft Dataverse

Habilitar a auditoria em seu ambiente do Microsoft Dataverse

O log de atividades do Dataverse está disponível apenas para ambientes de dataverse de produção. Outros tipos de ambientes, como área restrita, não dão suporte ao registro em log de atividades. Consulte Requisitos do registro em log de atividades do Microsoft Dataverse e aplicativos baseados em modelos. O log de atividades do Dataverse não está habilitado por padrão. Habilite a auditoria no nível global do Dataverse e para cada entidade do Dataverse.

Auditoria no nível global

Em seu ambiente do Dataverse, vá para Configurações>Configurações de auditoria. Em Auditoria, marque as três caixas de seleção.

• iniciar a auditoria
• Acesso ao Log
• Ler Logs

Para saber mais sobre essas etapas, confira Gerenciar auditoria do Dataverse.

Auditar entidades do Dataverse

Habilite a auditoria detalhada em cada uma das entidades do Dataverse. Para habilitar a auditoria em entidades padrão, importe uma solução gerenciada do Power Platform. Para habilitar a auditoria em entidades personalizadas, você precisa habilitar manualmente a auditoria detalhada em cada uma das entidades personalizadas.

Habilitar automaticamente a auditoria em entidades padrão

A maneira mais rápida de habilitar as configurações de auditoria padrão para todas as entidades do Dataverse é importar a solução gerenciada apropriada do Power Platform em seu ambiente do Power Platform. Essa solução gerenciada permite a auditoria detalhada de cada uma das entidades padrão listadas no seguinte arquivo: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g. Para habilitar a auditoria em entidades personalizadas, você precisa habilitar manualmente a auditoria detalhada em cada uma das entidades personalizadas.

Para habilitar automaticamente a auditoria de entidade, conclua as etapas a seguir.

1. Ir para https://make.powerapps.com.

2. Escolha o ambiente que você deseja monitorar no canto superior direito da página.

3. Acesse Soluções>Importar solução.

4. Importe uma das seguintes soluções, dependendo se o ambiente do Power Platform é usado para aplicativos do Dynamics 365 CE ou não.

   • Para uso com os aplicativos do Dynamics 365 CE, importe https://aka.ms/AuditSettings/Dynamics.
   • Caso contrário, importe https://aka.ms/AuditSettings/DataverseOnly.

Habilitar manualmente a auditoria de entidade

Para habilitar manualmente a auditoria em cada entidade do Dataverse, incluindo entidades personalizadas, siga as etapas na seção Habilitar ou desabilitar entidades e campos para auditoria em Gerenciar auditoria do Dataverse.

Para obter o valor completo de detecção de incidentes da solução, recomendamos que você habilite, para cada entidade do Dataverse que você deseja auditar, as seguintes opções na guia Geral da página de configurações de entidade do Dataverse:

• Na seção Serviços de Dados, selecione Auditoria.
• Na seção Auditoria, selecione Auditoria de registro único e Auditoria de vários registros.

Salve e publique suas personalizações.

Verifique se o conector de dados está ingerindo logs no Microsoft Sentinel

Para verificar se a ingestão de log está funcionando, conclua as etapas a seguir.

Gerar logs de atividade e inventário

1. Execute atividades como criar, atualizar e excluir para gerar logs de dados que você habilitou para monitoramento.
2. Aguarde até 60 minutos para o Microsoft Sentinel ingerir os logs de atividade na tabela de logs no workspace.
3. Para obter dados de inventário do Power Platform, aguarde até 24 horas para o Microsoft Sentinel ingerir os dados nas tabelas de log no workspace.

Exibir dados ingeridos no Microsoft Sentinel

Depois de aguardar a ingestão dos dados pelo Microsoft Sentinel, conclua as etapas a seguir para verificar se você obtém os dados esperados.

1. No Microsoft Sentinel, selecione Logs.

2. Execute consultas KQL nas tabelas que coletam os logs de atividade dos conectores de dados. Por exemplo, execute a consulta a seguir para retornar 50 linhas da tabela com os logs de atividades do Power Apps.

    PowerAppsActivity
    | take 50
   

   A tabela a seguir lista as tabelas do Log Analytics a serem consultadas.

   Tabelas do Log Analytics	Dados coletados
   PowerAppsActivity	Logs de atividades do Power Apps
   PowerAutomateActivity	Logs de atividades do Power Automate
   PowerPlatformConnectorActivity	Logs de atividades do conector do Power Platform
   PowerPlatformDlpActivity	Logs de atividades de prevenção contra perda de dados
   PowerPlatformAdminActivity	Logs administrativos do Power Platform
   DataverseActivity	Registro em log de atividades do Dataverse e aplicativos baseados em modelos

   Use os seguintes analisadores para retornar dados de inventário e de watchlist.

   Analisador	Dados retornados
   InventoryApps	Inventário do Power Apps
   InventoryAppsConnections	Conexões do Power Apps Inventoryconnections
   InventoryEnvironments	Inventário de ambientes do Power Platform
   InventoryFlows	Inventário de fluxos do Power Automate
   MSBizAppsTerminatedEmployees	Watchlist de funcionários demitidos

3. Verifique se os resultados de cada tabela mostram as atividades geradas.

Próximas etapas

Neste artigo, você aprendeu a implantar a solução Microsoft Sentinel para Power Platform.

• Para examinar o conteúdo da solução disponível com essa solução, confira solução do Microsoft Sentinel para Microsoft Power Platform: referência de conteúdo de segurança.
• Para gerenciar os componentes da solução e habilitar o conteúdo de segurança, confira Descobrir e implantar conteúdo pronto para uso.