Обзор решения Microsoft Sentinel для Microsoft Power Platform
Решение Microsoft Sentinel для Power Platform позволяет отслеживать и обнаруживать подозрительные или вредоносные действия в среде Power Platform. Решение собирает журналы действий из различных компонентов Power Platform и данных инвентаризации. Он анализирует эти журналы действий для обнаружения угроз и подозрительных действий, таких как следующие действия:
- Выполнение Power Apps из несанкционированных географических регионов
- Подозрительные разрушения данных с помощью Power Apps
- Массовое удаление Power Apps
- Фишинговые атаки, которые стали возможными с помощью Power Apps
- Действие потоков Power Automate путем отъезда сотрудников
- Соединители Microsoft Power Platform, добавленные в среду
- Обновление или удаление политик защиты от потери данных Microsoft Power Platform
Внимание
- Решение Microsoft Sentinel для Power Platform в настоящее время находится в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
- Решение — это предложение уровня "Премиум". Сведения о ценах будут доступны до того, как решение станет общедоступным.
- Предоставьте отзыв об этом решении, выполнив следующий опрос: https://aka.ms/SentinelPowerPlatformSolutionSurvey
Почему необходимо установить решение
Решение Microsoft Sentinel для Microsoft Power Platform помогает организациям:
- Сбор журналов действий Microsoft Power Platform и Power Apps, аудита и событий в рабочую область Microsoft Sentinel.
- Обнаружение подозрительных, вредоносных или нелегитимных действий в Microsoft Power Platform и Power Apps.
- Изучите угрозы, обнаруженные в Microsoft Power Platform и Power Apps, и контекстуализировать их с другими действиями пользователей в организации.
- Отвечайте на угрозы и инциденты, связанные с Microsoft Power Platform, а также инциденты, связанные с Power Apps, простым и настраиваемым способом вручную, автоматически или с помощью предопределенного рабочего процесса.
Обновления решений
Начиная с 17 октября 2024 г. данные ведения журнала аудита для Power Apps, Power Platform DLP и соединителей Power Platform направляются в PowerPlatformAdminActivity таблицу вместо PowerAppsActivityPowerPlatformDlpActivity таблиц и PowerPlatformConnectorActivity таблиц.
Содержимое безопасности в решении Microsoft Sentinel для Microsoft Power Platform обновляется с помощью новой таблицы и схем для Power Apps, Power Platform DLP и соединителей Power Platform. Мы рекомендуем обновить решение Power Platform в рабочей области до последней версии и применить обновленные шаблоны правил аналитики, чтобы воспользоваться изменениями. Дополнительные сведения см. в разделе "Установка или обновление содержимого".
Клиенты, использующие устаревшие соединители данных для Power Apps, Power Platform DLP и Соединителей Power Platform, могут безопасно отключить и удалить эти соединители из рабочей области Microsoft Sentinel. Все связанные потоки данных получаются с помощью соединителя действий администратора Power Platform.
Дополнительные сведения см. в центре сообщений.
Что такое решение включает в себя
Решение Microsoft Sentinel для Power Platform включает несколько соединителей данных и правила аналитики.
Соединители данных
Решение Microsoft Sentinel для приема и перекрестного сопоставления журналов действий и данных инвентаризации из нескольких источников. Таким образом, решение требует включения следующих соединителей данных, доступных в рамках решения.
| Имя соединителя | Собираемые данные | Таблицы Log Analytics |
|---|---|---|
| Инвентаризация Power Platform (с помощью Функции Azure) | Данные инвентаризации Power Apps и Power Automate Дополнительные сведения см. в статье Настройка самостоятельной аналитики Microsoft Power Platform для экспорта данных инвентаризации и использования Power Platform. |
PowerApps_CL, PowerPlatrformEnvironments_CL, PowerAutomateFlows_CL, PowerAppsConnections_CL |
| Действие администратора Microsoft Power Platform (предварительная версия) | Журналы действий администратора Power Platform Дополнительные сведения см. в статье Просмотр журналов администрирования Power Platform с помощью решений аудита в Microsoft Purview (предварительная версия). |
PowerPlatformAdminActivity |
| Microsoft Dataverse (предварительная версия) | Ведение журнала действий приложений на основе данных и моделей Дополнительные сведения см. в статье Microsoft Dataverse и ведение журнала действий приложений на основе моделей. Если вы используете соединитель данных для Dynamics 365, перейдите в соединитель данных для Microsoft Dataverse. Этот соединитель данных заменяет устаревший соединитель данных для Dynamics 365 и поддерживает правила сбора данных. |
DataverseActivity |
Аналитические правила
Решение включает правила аналитики для обнаружения угроз и подозрительных действий в среде Power Platform. К этим действиям относятся запуск Power Apps из несанкционированных географических регионов, подозрительное уничтожение данных Power Apps, массовое удаление Power Apps и многое другое. Дополнительные сведения см . в решении Microsoft Sentinel для Microsoft Power Platform: справочник по содержимому безопасности.
Средства синтаксического анализа
Решение включает средства синтаксического анализа, используемые для доступа к данным из необработанных таблиц данных. Средства синтаксического анализа гарантируют, что правильные данные возвращаются с согласованной схемой. Рекомендуется использовать средства синтаксического анализа, а не напрямую запрашивать таблицы инвентаризации и списки наблюдения. Дополнительные сведения см . в решении Microsoft Sentinel для Microsoft Power Platform: справочник по содержимому безопасности.
Следующие шаги
Развертывание решения Microsoft Sentinel для Microsoft Power Platform