Distribuera Microsoft Sentinel-lösningen för Microsoft Power Platform
Med Microsoft Sentinel-lösningen för Power Platform kan du övervaka och identifiera misstänkta eller skadliga aktiviteter i din Power Platform-miljö. Lösningen samlar in aktivitetsloggar från olika Power Platform-komponenter och inventeringsdata. Mer information finns i Översikt över Microsoft Sentinel-lösningen för Microsoft Power Platform.
Viktigt!
- Microsoft Sentinel-lösningen för Power Platform finns för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
- Lösningen är ett premiumerbjudande. Prisinformation kommer att vara tillgänglig innan lösningen blir allmänt tillgänglig.
- Ge feedback för den här lösningen genom att slutföra den här undersökningen: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Förutsättningar
- Microsoft Sentinel-lösningen är aktiverad.
- Du har en definierad Microsoft Sentinel-arbetsyta och har läs- och skrivbehörighet till arbetsytan.
- Din organisation använder Power Platform för att skapa och använda Power Apps.
- Du kan skapa en Azure-funktionsapp med behörigheterna
Microsoft.Web/Sites
,Microsoft.Web/ServerFarms
,Microsoft.Insights/Components
ochMicrosoft.Storage/StorageAccounts
. - Du kan skapa regler/slutpunkter för datainsamling med behörighet att:
Microsoft.Insights/DataCollectionEndpoints
, ochMicrosoft.Insights/DataCollectionRules
.- Tilldela rollen Monitoring Metrics Publisher till Azure-funktionen.
- Granskningsloggning är aktiverat i Microsoft Purview. Mer information finns i Aktivera eller inaktivera granskning för Microsoft Purview
- För Power Platform-inventeringsanslutningen har du följande resurser och konfigurationer konfigurerade.
- Lagringskonto som ska användas med Azure Data Lake Storage Gen2. Mer information finns i Skapa ett lagringskonto som ska användas med Azure Data Lake Storage Gen2.
- BLOB-tjänstslutpunkts-URL för lagringskontot. Mer information finns i Hämta tjänstslutpunkter för lagringskontot.
- Självbetjäningsanalys för Power Platform som konfigurerats för att använda Azure Data Lake Storage Gen2-lagringskontot. Den här processen kan ta upp till 48 timmar att aktivera. Mer information finns i Konfigurera självbetjäningsanalys för Microsoft Power Platform för export av inventerings- och användningsdata för Power Platform. Granska förutsättningarna och kraven för självbetjäningsanalysfunktionen i Power Platform. Kraven omfattar att du aktiverar offentlig åtkomst till lagringskontot och att du har de behörigheter som krävs för att konfigurera dataexporten.
- Behörigheter för att tilldela rollen Storage Blob Data Reader till Azure-funktionen
Aktivering av Power Platform-inventeringsdataanslutningen rekommenderas men krävs inte för att distribuera Microsoft Power Platform-lösningen fullständigt. Mer information finns i Power Platform Inventory Data Connector.
Installera Power Platform-lösningen i Microsoft Sentinel
Installera lösningen från innehållshubben i Microsoft Sentinel med hjälp av följande steg.
- I Azure-portalen söker du efter och väljer Microsoft Sentinel.
- Välj den Microsoft Sentinel-arbetsyta där du planerar att distribuera lösningen.
- Under Innehållshantering väljer du Innehållshubb.
- Sök efter och välj Power Platform.
- Välj Installera.
- På sidan lösningsinformation väljer du Skapa.
- På fliken Grundläggande anger du prenumerationen, resursgruppen och arbetsytan för att distribuera lösningen.
- Välj Granska + skapa>Skapa för att distribuera lösningen.
Aktivera dataanslutningarna
I Microsoft Sentinel aktiverar du de sex dataanslutningarna för att samla in aktivitetsloggar och inventeringsdata från Power Platform-komponenterna.
Dataanslutning för Power Platform-inventering
Med Power Platform-inventeringsdataanslutningen kan du lösa GUID:erna för Power Platform- och PowerApps-miljöer i incidentinformationen till de mänskliga läsbara namnen som visas i power platform-administrationscentret och Power Apps Maker-portalen. Vi rekommenderar att du aktiverar den här dataanslutningen, men du behöver inte distribuera Microsoft Power Platform-lösningen fullständigt.
För att optimera inmatningen matar Power Platform-inventeringsdataanslutningsappen in data i sin helhet var sjunde dag och inkrementella uppdateringar dagligen. De inkrementella uppdateringarna innehåller endast lagertillgångar som har ändringar sedan föregående dag.
Om du vill samla in Power Apps- och Power Automate-inventeringsdata distribuerar du Azure Resource Manager-mallen för att skapa en funktionsapp. För att slutföra distributionen behöver du blobtjänst-URL:en för ditt Azure Data Lake Storage Gen2-lagringskonto. När du har skapat funktionsappen beviljar du den hanterade identiteten för funktionsappen åtkomst till lagringskontot.
- I Microsoft Sentinel går du till Konfiguration och väljer Dataanslutningsprogram.
- Sök efter och välj Power Platform Inventory (med Hjälp av Azure Functions).
- Välj Sidan Öppna anslutningsapp.
- Om du inte har aktiverat självbetjäningsanalysfunktionen för Power Platform följer du steg 1 och 2 under Konfiguration .
- Under Konfiguration>steg 3 – Azure Resource Manager-mall (ARM) väljer du Distribuera till Azure.
- Följ alla steg i distributionsguiden för Azure Resource Manager-mallar och välj Granska + skapa>Skapa.
- Om du inte har de behörigheter som krävs för rolltilldelningar under Resource Manager-malldistributionen följer du steg 4 och 5 under Konfiguration.
Andra dataanslutningar
Anslut var och en av de återstående dataanslutningarna genom att utföra följande steg.
- I Microsoft Sentinel går du till Konfiguration och väljer Dataanslutningsprogram.
- Sök efter och välj dataanslutningarna i den lösning som du behöver för att ansluta som Microsoft Power Apps.
- Välj Sidan Öppna anslutningsapp> Anslut.
- Upprepa de här stegen för var och en av följande dataanslutningar som ingår i Power Platform-lösningen.
- Microsoft Power Automate
- Microsoft Power Platform-Anslut orer
- Microsoft Power Platform DLP
- Administratörsaktivitet för Microsoft Power Platform
- Microsoft Dataverse
Aktivera granskning i din Microsoft Dataverse-miljö
Dataverse-aktivitetsloggning är endast tillgänglig för produktionsdataversummiljöer. Andra typer av miljöer, till exempel sandbox-miljön, stöder inte aktivitetsloggning. Se Aktivitetsloggningskrav för Microsoft Dataverse och modelldrivna appar. Dataverse-aktivitetsloggning är inte aktiverat som standard. Aktivera granskning på global nivå för Dataverse och för varje Dataverse-entitet.
Granskning på global nivå
I din Dataverse-miljö går du till Inställningar> Granskningsinställningar. Under Granskning markerar du alla tre kryssrutorna.
- Starta granskning
- Loggåtkomst
- Läsloggar
Mer information om de här stegen finns i Hantera Dataverse-granskning.
Granska Dataverse-entiteter
Aktivera detaljerad granskning av var och en av Dataverse-entiteterna. Om du vill aktivera granskning av standardentiteter importerar du en hanterad Power Platform-lösning. Om du vill aktivera granskning av anpassade entiteter måste du manuellt aktivera detaljerad granskning av var och en av de anpassade entiteterna.
Aktivera granskning automatiskt på standardentiteter
Det snabbaste sättet att aktivera standardgranskningsinställningar för alla Dataverse-entiteter är att importera lämplig Power Platform-hanterad lösning i din Power Platform-miljö. Den här hanterade lösningen möjliggör detaljerad granskning för var och en av standardentiteterna som anges i följande fil: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g. Om du vill aktivera granskning av anpassade entiteter måste du manuellt aktivera detaljerad granskning av var och en av de anpassade entiteterna.
Utför följande steg för att automatiskt aktivera entitetsgranskning.
Gå till https://make.powerapps.com.
Välj den miljö som du vill övervaka längst upp till höger på sidan.
Gå till Lösningsimportlösning>.
Importera någon av följande lösningar beroende på om din Power Platform-miljö används för Dynamics 365 CE-appar eller inte.
- Importera för användning med Dynamics 365 CE-appar https://aka.ms/AuditSettings/Dynamics.
- Annars importerar du https://aka.ms/AuditSettings/DataverseOnly.
Aktivera entitetsgranskning manuellt
Om du vill aktivera granskning av varje Dataverse-entitet manuellt, inklusive anpassade entiteter, följer du stegen i avsnittet Aktivera eller inaktivera entiteter och fält för granskning i Hantera Dataverse-granskning.
För att få det fullständiga incidentidentifieringsvärdet för lösningen rekommenderar vi att du aktiverar följande alternativ på fliken Allmänt på sidan Dataverse-entitetsinställningar för varje Dataverse-entitet som du vill granska:
- Under avsnittet Datatjänster väljer du Granskning.
- Under avsnittet Granskning väljer du Granskning av enskilda poster och Granskning av flera poster.
Spara och publicera anpassningarna.
Kontrollera att dataanslutningsappen matar in loggar till Microsoft Sentinel
Utför följande steg för att kontrollera att logginmatningen fungerar.
Generera aktivitets- och inventeringsloggar
- Kör aktiviteter som att skapa, uppdatera och ta bort för att generera loggar för data som du har aktiverat för övervakning.
- Vänta upp till 60 minuter innan Microsoft Sentinel matar in aktivitetsloggarna i loggtabellen på arbetsytan.
- För Power Platform-inventeringsdata väntar du upp till 24 timmar innan Microsoft Sentinel matar in data till loggtabellerna på arbetsytan.
Visa inmatade data i Microsoft Sentinel
När du har väntat på att Microsoft Sentinel ska mata in data utför du följande steg för att kontrollera att du får de data du förväntar dig.
I Microsoft Sentinel väljer du Loggar.
Kör KQL-frågor mot tabellerna som samlar in aktivitetsloggarna från dataanslutningarna. Kör till exempel följande fråga för att returnera 50 rader från tabellen med Power Apps-aktivitetsloggarna.
PowerAppsActivity | take 50
I följande tabell visas de Log Analytics-tabeller som ska frågas.
Log Analytics-tabeller Insamlade data PowerAppsActivity Power Apps-aktivitetsloggar PowerAutomateActivity Power Automate-aktivitetsloggar PowerPlatform Anslut orActivity Aktivitetsloggar för Power Platform-anslutningsprogram PowerPlatformDlpActivity Aktivitetsloggar för dataförlustskydd PowerPlatformAdminActivity Administrativa loggar för Power Platform DataverseActivity Aktivitetsloggning för dataversum och modelldrivna appar Använd följande parsers för att returnera inventerings- och visningslistdata.
Parser Data som returneras InventoryApps
Power Apps-inventering InventoryAppsConnections
Power Apps-anslutningar Inventeringsanslutningar InventoryEnvironments
Inventering av Power Platform-miljöer InventoryFlows
Inventering av Power Automate-flöden MSBizAppsTerminatedEmployees
Bevakningslista för avslutade anställda Kontrollera att resultatet för varje tabell visar de aktiviteter som du genererade.
Nästa steg
I den här artikeln har du lärt dig hur du distribuerar Microsoft Sentinel-lösningen för Power Platform.
- Information om hur du granskar lösningsinnehållet som är tillgängligt med den här lösningen finns i Microsoft Sentinel-lösningen för Microsoft Power Platform: säkerhetsinnehållsreferens.
- Information om hur du hanterar lösningskomponenterna och aktiverar säkerhetsinnehåll finns i Identifiera och distribuera out-of-the-box-innehåll.