Distribuera Microsoft Sentinel-lösningen för Microsoft Power Platform

  • Artikel

Med Microsoft Sentinel-lösningen för Power Platform kan du övervaka och identifiera misstänkta eller skadliga aktiviteter i din Power Platform-miljö. Lösningen samlar in aktivitetsloggar från olika Power Platform-komponenter och inventeringsdata. Mer information finns i Översikt över Microsoft Sentinel-lösningen för Microsoft Power Platform.

Viktigt!

  • Microsoft Sentinel-lösningen för Power Platform finns för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
  • Lösningen är ett premiumerbjudande. Prisinformation kommer att vara tillgänglig innan lösningen blir allmänt tillgänglig.
  • Ge feedback för den här lösningen genom att slutföra den här undersökningen: https://aka.ms/SentinelPowerPlatformSolutionSurvey.

Förutsättningar

  • Microsoft Sentinel-lösningen är aktiverad.
  • Du har en definierad Microsoft Sentinel-arbetsyta och har läs- och skrivbehörighet till arbetsytan.
  • Din organisation använder Power Platform för att skapa och använda Power Apps.
  • Du kan skapa en Azure-funktionsapp med behörigheterna Microsoft.Web/Sites, Microsoft.Web/ServerFarms, Microsoft.Insights/Componentsoch Microsoft.Storage/StorageAccounts .
  • Du kan skapa regler/slutpunkter för datainsamling med behörighet att:
    • Microsoft.Insights/DataCollectionEndpoints, och Microsoft.Insights/DataCollectionRules.
    • Tilldela rollen Monitoring Metrics Publisher till Azure-funktionen.
  • Granskningsloggning är aktiverat i Microsoft Purview. Mer information finns i Aktivera eller inaktivera granskning för Microsoft Purview
  • För Power Platform-inventeringsanslutningen har du följande resurser och konfigurationer konfigurerade.

Aktivering av Power Platform-inventeringsdataanslutningen rekommenderas men krävs inte för att distribuera Microsoft Power Platform-lösningen fullständigt. Mer information finns i Power Platform Inventory Data Connector.

Installera Power Platform-lösningen i Microsoft Sentinel

Installera lösningen från innehållshubben i Microsoft Sentinel med hjälp av följande steg.

  1. I Azure-portalen söker du efter och väljer Microsoft Sentinel.
  2. Välj den Microsoft Sentinel-arbetsyta där du planerar att distribuera lösningen.
  3. Under Innehållshantering väljer du Innehållshubb.
  4. Sök efter och välj Power Platform.
  5. Välj Installera.
  6. På sidan lösningsinformation väljer du Skapa.
  7. På fliken Grundläggande anger du prenumerationen, resursgruppen och arbetsytan för att distribuera lösningen.
  8. Välj Granska + skapa>Skapa för att distribuera lösningen.

Aktivera dataanslutningarna

I Microsoft Sentinel aktiverar du de sex dataanslutningarna för att samla in aktivitetsloggar och inventeringsdata från Power Platform-komponenterna.

Dataanslutning för Power Platform-inventering

Med Power Platform-inventeringsdataanslutningen kan du lösa GUID:erna för Power Platform- och PowerApps-miljöer i incidentinformationen till de mänskliga läsbara namnen som visas i power platform-administrationscentret och Power Apps Maker-portalen. Vi rekommenderar att du aktiverar den här dataanslutningen, men du behöver inte distribuera Microsoft Power Platform-lösningen fullständigt.

För att optimera inmatningen matar Power Platform-inventeringsdataanslutningsappen in data i sin helhet var sjunde dag och inkrementella uppdateringar dagligen. De inkrementella uppdateringarna innehåller endast lagertillgångar som har ändringar sedan föregående dag.

Om du vill samla in Power Apps- och Power Automate-inventeringsdata distribuerar du Azure Resource Manager-mallen för att skapa en funktionsapp. För att slutföra distributionen behöver du blobtjänst-URL:en för ditt Azure Data Lake Storage Gen2-lagringskonto. När du har skapat funktionsappen beviljar du den hanterade identiteten för funktionsappen åtkomst till lagringskontot.

  1. I Microsoft Sentinel går du till Konfiguration och väljer Dataanslutningsprogram.
  2. Sök efter och välj Power Platform Inventory (med Hjälp av Azure Functions).
  3. Välj Sidan Öppna anslutningsapp.
  4. Om du inte har aktiverat självbetjäningsanalysfunktionen för Power Platform följer du steg 1 och 2 under Konfiguration .
  5. Under Konfiguration>steg 3 – Azure Resource Manager-mall (ARM) väljer du Distribuera till Azure.
  6. Följ alla steg i distributionsguiden för Azure Resource Manager-mallar och välj Granska + skapa>Skapa.
  7. Om du inte har de behörigheter som krävs för rolltilldelningar under Resource Manager-malldistributionen följer du steg 4 och 5 under Konfiguration.

Andra dataanslutningar

Anslut var och en av de återstående dataanslutningarna genom att utföra följande steg.

  1. I Microsoft Sentinel går du till Konfiguration och väljer Dataanslutningsprogram.
  2. Sök efter och välj dataanslutningarna i den lösning som du behöver för att ansluta som Microsoft Power Apps.
  3. Välj Sidan Öppna anslutningsapp> Anslut.
  4. Upprepa de här stegen för var och en av följande dataanslutningar som ingår i Power Platform-lösningen.
    • Microsoft Power Automate
    • Microsoft Power Platform-Anslut orer
    • Microsoft Power Platform DLP
    • Administratörsaktivitet för Microsoft Power Platform
    • Microsoft Dataverse

Aktivera granskning i din Microsoft Dataverse-miljö

Dataverse-aktivitetsloggning är endast tillgänglig för produktionsdataversummiljöer. Andra typer av miljöer, till exempel sandbox-miljön, stöder inte aktivitetsloggning. Se Aktivitetsloggningskrav för Microsoft Dataverse och modelldrivna appar. Dataverse-aktivitetsloggning är inte aktiverat som standard. Aktivera granskning på global nivå för Dataverse och för varje Dataverse-entitet.

Granskning på global nivå

I din Dataverse-miljö går du till Inställningar> Granskningsinställningar. Under Granskning markerar du alla tre kryssrutorna.

  • Starta granskning
  • Loggåtkomst
  • Läsloggar

Mer information om de här stegen finns i Hantera Dataverse-granskning.

Granska Dataverse-entiteter

Aktivera detaljerad granskning av var och en av Dataverse-entiteterna. Om du vill aktivera granskning av standardentiteter importerar du en hanterad Power Platform-lösning. Om du vill aktivera granskning av anpassade entiteter måste du manuellt aktivera detaljerad granskning av var och en av de anpassade entiteterna.

Aktivera granskning automatiskt på standardentiteter

Det snabbaste sättet att aktivera standardgranskningsinställningar för alla Dataverse-entiteter är att importera lämplig Power Platform-hanterad lösning i din Power Platform-miljö. Den här hanterade lösningen möjliggör detaljerad granskning för var och en av standardentiteterna som anges i följande fil: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g. Om du vill aktivera granskning av anpassade entiteter måste du manuellt aktivera detaljerad granskning av var och en av de anpassade entiteterna.

Utför följande steg för att automatiskt aktivera entitetsgranskning.

  1. Gå till https://make.powerapps.com.

  2. Välj den miljö som du vill övervaka längst upp till höger på sidan.

  3. Gå till Lösningsimportlösning>.

  4. Importera någon av följande lösningar beroende på om din Power Platform-miljö används för Dynamics 365 CE-appar eller inte.

Aktivera entitetsgranskning manuellt

Om du vill aktivera granskning av varje Dataverse-entitet manuellt, inklusive anpassade entiteter, följer du stegen i avsnittet Aktivera eller inaktivera entiteter och fält för granskning i Hantera Dataverse-granskning.

För att få det fullständiga incidentidentifieringsvärdet för lösningen rekommenderar vi att du aktiverar följande alternativ på fliken Allmäntsidan Dataverse-entitetsinställningar för varje Dataverse-entitet som du vill granska:

  • Under avsnittet Datatjänster väljer du Granskning.
  • Under avsnittet Granskning väljer du Granskning av enskilda poster och Granskning av flera poster.

Spara och publicera anpassningarna.

Kontrollera att dataanslutningsappen matar in loggar till Microsoft Sentinel

Utför följande steg för att kontrollera att logginmatningen fungerar.

Generera aktivitets- och inventeringsloggar

  1. Kör aktiviteter som att skapa, uppdatera och ta bort för att generera loggar för data som du har aktiverat för övervakning.
  2. Vänta upp till 60 minuter innan Microsoft Sentinel matar in aktivitetsloggarna i loggtabellen på arbetsytan.
  3. För Power Platform-inventeringsdata väntar du upp till 24 timmar innan Microsoft Sentinel matar in data till loggtabellerna på arbetsytan.

Visa inmatade data i Microsoft Sentinel

När du har väntat på att Microsoft Sentinel ska mata in data utför du följande steg för att kontrollera att du får de data du förväntar dig.

  1. I Microsoft Sentinel väljer du Loggar.

  2. Kör KQL-frågor mot tabellerna som samlar in aktivitetsloggarna från dataanslutningarna. Kör till exempel följande fråga för att returnera 50 rader från tabellen med Power Apps-aktivitetsloggarna.

     PowerAppsActivity
 | take 50

    I följande tabell visas de Log Analytics-tabeller som ska frågas.

    Log Analytics-tabeller Insamlade data
    PowerAppsActivity Power Apps-aktivitetsloggar
    PowerAutomateActivity Power Automate-aktivitetsloggar
    PowerPlatform Anslut orActivity Aktivitetsloggar för Power Platform-anslutningsprogram
    PowerPlatformDlpActivity Aktivitetsloggar för dataförlustskydd
    PowerPlatformAdminActivity Administrativa loggar för Power Platform
    DataverseActivity Aktivitetsloggning för dataversum och modelldrivna appar

    Använd följande parsers för att returnera inventerings- och visningslistdata.

    Parser Data som returneras
    InventoryApps Power Apps-inventering
    InventoryAppsConnections Power Apps-anslutningar Inventeringsanslutningar
    InventoryEnvironments Inventering av Power Platform-miljöer
    InventoryFlows Inventering av Power Automate-flöden
    MSBizAppsTerminatedEmployees Bevakningslista för avslutade anställda

  3. Kontrollera att resultatet för varje tabell visar de aktiviteter som du genererade.

Nästa steg

I den här artikeln har du lärt dig hur du distribuerar Microsoft Sentinel-lösningen för Power Platform.