Microsoft Power Platform için Microsoft Sentinel çözümünü dağıtma
Power Platform için Microsoft Sentinel çözümü, Power Platform ortamınızdaki şüpheli veya kötü amaçlı etkinlikleri izlemenize ve algılamanıza olanak tanır. Çözüm, farklı Power Platform bileşenlerinden ve envanter verilerinden etkinlik günlüklerini toplar. Daha fazla bilgi için bkz . Microsoft Power Platform için Microsoft Sentinel çözümüne genel bakış.
Önemli
- Power Platform için Microsoft Sentinel çözümü şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
- Çözüm, premium bir tekliftir. Fiyatlandırma bilgileri, çözüm genel kullanıma sunulmadan önce kullanılabilir.
- Bu anketi tamamlayarak bu çözüm için geri bildirim sağlayın: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Önkoşullar
- Microsoft Sentinel çözümü etkinleştirildi.
- Tanımlanmış bir Microsoft Sentinel çalışma alanınız var ve çalışma alanında okuma ve yazma izinleriniz var.
- Kuruluşunuz Power Apps oluşturmak ve kullanmak için Power Platform'u kullanır.
- , ,
Microsoft.Web/ServerFarms
Microsoft.Insights/Components
veMicrosoft.Storage/StorageAccounts
izinleriyleMicrosoft.Web/Sites
bir Azure İşlev Uygulaması oluşturabilirsiniz. - Şu izinlere sahip Veri Toplama Kuralları/Uç Noktaları oluşturabilirsiniz:
Microsoft.Insights/DataCollectionEndpoints
Microsoft.Insights/DataCollectionRules
ve .- İzleme Ölçümleri Yayımcısı rolünü Azure İşlevi'ne atayın.
- Denetim günlüğü Microsoft Purview'da etkinleştirilir. Daha fazla bilgi için bkz . Microsoft Purview için denetimi açma veya kapatma
- Power Platform envanter bağlayıcısı için aşağıdaki kaynakları ve yapılandırmaları ayarlayın.
- Azure Data Lake Storage 2. Nesil ile kullanılacak hesabı Depolama. Daha fazla bilgi için bkz. Azure Data Lake Storage 2. Nesil ile kullanılacak depolama hesabı oluşturma.
- Depolama hesabı için Blob hizmet uç noktası URL'si. Daha fazla bilgi için bkz . Depolama hesabı için hizmet uç noktalarını alma.
- Azure Data Lake Storage 2. Nesil depolama hesabını kullanacak şekilde yapılandırılmış Power Platform self servis analiz. Bu işlemin etkinleştirilmesi 48 saate kadar sürebilir. Daha fazla bilgi için bkz . Power Platform envanteri ve kullanım verilerini dışarı aktarmak için Microsoft Power Platform self servis analizini ayarlama. Power Platform self servis analiz özelliğinin önkoşullarını ve gereksinimlerini gözden geçirin. Gereksinimler arasında depolama hesabına genel erişimi etkinleştirmeniz ve veri dışarı aktarmayı ayarlamak için gereken izinlere sahip olmanız yer alır.
- Azure İşlevi'ne Depolama Blob Veri Okuyucusu rolü atama izinleri
Power Platform envanter veri bağlayıcısının etkinleştirilmesi önerilir, ancak Microsoft Power Platform çözümünü tam olarak dağıtmak için gerekli değildir. Daha fazla bilgi için bkz . Power Platform envanter veri bağlayıcısı.
Microsoft Sentinel'de Power Platform çözümünü yükleme
Aşağıdaki adımları kullanarak çözümü Microsoft Sentinel'deki içerik hub'ından yükleyin.
- Azure portalında Microsoft Sentinel'i arayın ve seçin.
- Çözümü dağıtmayı planladığınız Microsoft Sentinel çalışma alanını seçin.
- İçerik yönetimi'nin altında İçerik hub'ı seçin.
- Power Platform'da arama yapın ve seçin.
- Yükle'yi seçin.
- Çözüm ayrıntıları sayfasında Oluştur'u seçin.
- Temel Bilgiler sekmesinde, çözümü dağıtmak için aboneliği, kaynak grubunu ve çalışma alanını girin.
- Çözümü dağıtmak için Gözden Geçir ve Oluştur'u> seçin.
Veri bağlayıcılarını etkinleştirme
Microsoft Sentinel'de, Power Platform bileşenlerinden etkinlik günlüklerini ve envanter verilerini toplamak için altı veri bağlayıcısını etkinleştirin.
Power Platform envanter veri bağlayıcısı
Power Platform envanter veri bağlayıcısı, olay ayrıntılarındaki Power Platform ve PowerApps ortamları için GUID'leri Power Platform yönetim merkezinde ve Power Apps oluşturucu portalında görünen okunabilir adlarla çözümlemenize olanak tanır. Bu veri bağlayıcısını etkinleştirmenizi öneririz, ancak Microsoft Power Platform çözümünün tam olarak dağıtılması gerekmez.
Power Platform envanter veri bağlayıcısı, alımı iyileştirmek için verileri her 7 günde bir tam olarak ve günlük artımlı güncelleştirmeleri alır. Artımlı güncelleştirmeler yalnızca önceki günden bu yana değişiklikleri olan stok varlıklarını içerir.
Power Apps ve Power Automate envanter verilerini toplamak için Azure Resource Manager şablonunu dağıtarak bir işlev uygulaması oluşturun. Dağıtımı tamamlamak için Azure Data Lake Storage 2. Nesil depolama hesabınızın blob hizmeti URL'sine ihtiyacınız vardır. İşlev uygulamasını oluşturduktan sonra, işlev uygulaması için yönetilen kimliğe depolama hesabına erişim verin.
- Microsoft Sentinel'de Yapılandırma'nın altında Veri bağlayıcıları'nı seçin.
- Power Platform Envanteri (Azure İşlevleri kullanarak) için arama yapın ve seçin.
- Bağlayıcı sayfasını aç'ı seçin.
- Power Platform self servis analiz özelliğini etkinleştirmediyseniz Yapılandırma altında 1. ve 2. adımları izleyin.
- Yapılandırma>Adımı 3 - Azure Resource Manager (ARM) Şablonu altında Azure'a Dağıt'ı seçin.
- Azure Resource Manager şablon dağıtım sihirbazındaki tüm adımları izleyin ve Gözden Geçir ve Oluştur'u> seçin.
- Resource Manager şablon dağıtımı sırasında rol atamaları için gerekli izinlere sahip değilseniz Yapılandırma'nın altında 4. ve 5. adımları izleyin.
Diğer veri bağlayıcıları
Aşağıdaki adımları tamamlayarak kalan veri bağlayıcılarının her birini Bağlan.
- Microsoft Sentinel'de Yapılandırma'nın altında Veri bağlayıcıları'nı seçin.
- Çözümde Microsoft Power Apps gibi bağlanmanız gereken veri bağlayıcılarını arayın ve seçin.
- Bağlayıcı sayfasını> aç Bağlan'ı seçin.
- Power Platform çözümünün bir parçası olan aşağıdaki veri bağlayıcılarının her biri için bu adımları yineleyin.
- Microsoft Power Automate
- Microsoft Power Platform Bağlan ors
- Microsoft Power Platform DLP
- Microsoft Power Platform Yönetici Etkinliği
- Microsoft Dataverse
Microsoft Dataverse ortamınızda denetimi etkinleştirme
Dataverse etkinlik günlüğü yalnızca Production dataverse ortamlarında kullanılabilir. Korumalı alan gibi diğer ortam türleri etkinlik günlüğünü desteklemez. Bkz. Microsoft Dataverse ve model temelli uygulamalar etkinlik günlüğü gereksinimleri. Dataverse etkinlik günlüğü varsayılan olarak etkin değildir. Dataverse ve her Dataverse varlığı için genel düzeyde denetimi etkinleştirin.
Genel düzeyde denetim
Dataverse ortamınızda Ayarlar> Audit ayarlarına gidin. Denetim'in altında üç onay kutusunu da seçin.
- Denetimi başlatma
- Günlük erişimi
- Günlükleri okuma
Bu adımlar hakkında daha fazla bilgi için bkz . Dataverse denetimini yönetme.
Dataverse varlıklarını denetleme
Dataverse varlıklarının her birinde ayrıntılı denetimi etkinleştirin. Varsayılan varlıklarda denetimi etkinleştirmek için Power Platform tarafından yönetilen bir çözümü içeri aktarın. Özel varlıklarda denetimi etkinleştirmek için, özel varlıkların her birinde ayrıntılı denetimi el ile etkinleştirmeniz gerekir.
Varsayılan varlıklarda denetimi otomatik olarak etkinleştirme
Tüm Dataverse varlıkları için varsayılan denetim ayarlarını etkinleştirmenin en hızlı yolu, Power Platform ortamınızda uygun Power Platform yönetilen çözümünü içeri aktarmaktır. Bu yönetilen çözüm, aşağıdaki dosyada listelenen varsayılan varlıkların her biri için ayrıntılı denetim sağlar: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g. Özel varlıklarda denetimi etkinleştirmek için, özel varlıkların her birinde ayrıntılı denetimi el ile etkinleştirmeniz gerekir.
Varlık denetimini otomatik olarak etkinleştirmek için aşağıdaki adımları tamamlayın.
Şuraya git: https://make.powerapps.com.
Sayfanın sağ üst tarafından izlemek istediğiniz ortamı seçin.
Çözümleri>İçeri Aktarma çözümü'ne gidin.
Power Platform ortamınızın Dynamics 365 CE Uygulamaları için kullanılıp kullanılmadığına bağlı olarak aşağıdaki çözümlerden birini içeri aktarın.
- Dynamics 365 CE Uygulamaları ile kullanmak için içeri aktarabilirsiniz https://aka.ms/AuditSettings/Dynamics.
- Aksi takdirde, içeri aktar.https://aka.ms/AuditSettings/DataverseOnly
Varlık denetimini el ile etkinleştirme
Özel varlıklar da dahil olmak üzere her Dataverse varlığında denetimi el ile etkinleştirmek için Dataverse denetimini yönetme başlığı altındaki Varlıkları ve alanları denetim için etkinleştirme veya devre dışı bırakma bölümündeki adımları izleyin.
Çözümün olay algılama değerinin tamamını almak için, denetlemek istediğiniz her Dataverse varlığı için Dataverse varlık ayarları sayfasının Genel sekmesinde aşağıdaki seçenekleri etkinleştirmenizi öneririz:
- Veri Hizmetleri bölümünde Denetim'i seçin.
- Denetim bölümünde Tek kayıt denetimi ve Birden çok kayıt denetimi'ni seçin.
Özelleştirmelerinizi kaydedin ve yayımlayın.
Veri bağlayıcısının günlükleri Microsoft Sentinel'e aktardığını doğrulayın
Günlük alımının çalıştığını doğrulamak için aşağıdaki adımları tamamlayın.
Etkinlik ve envanter günlükleri oluşturma
- İzleme için etkinleştirdiğiniz verilerin günlüklerini oluşturmak için oluşturma, güncelleştirme ve silme gibi etkinlikleri çalıştırın.
- Microsoft Sentinel'in etkinlik günlüklerini çalışma alanında günlükler tablosuna almasını 60 dakika kadar bekleyin.
- Power Platform envanter verileri için Microsoft Sentinel'in verileri çalışma alanında günlük tablolarına almasını 24 saate kadar bekleyin.
Microsoft Sentinel'de alınan verileri görüntüleme
Microsoft Sentinel'in verileri almasını bekledikten sonra, beklediğiniz verileri aldığınızdan emin olmak için aşağıdaki adımları tamamlayın.
Microsoft Sentinel'de Günlükler'i seçin.
Veri bağlayıcılarından etkinlik günlüklerini toplayan tablolarda KQL sorguları çalıştırın. Örneğin, Power Apps etkinlik günlükleriyle tablodan 50 satır döndürmek için aşağıdaki sorguyu çalıştırın.
PowerAppsActivity | take 50
Aşağıdaki tabloda sorguya yönelik Log Analytics tabloları listelemektedir.
Log Analytics tabloları Toplanan veriler PowerAppsActivity Power Apps etkinlik günlükleri PowerAutomateActivity Power Automate etkinlik günlükleri PowerPlatform Bağlan orActivity Power Platform bağlayıcısı etkinlik günlükleri PowerPlatformDlpActivity Veri kaybı önleme etkinlik günlükleri PowerPlatform Yönetici Activity Power Platform yönetim günlükleri DataverseActivity Dataverse ve model temelli uygulamalar etkinlik günlüğü Envanter ve izleme listesi verilerini döndürmek için aşağıdaki ayrıştırıcıları kullanın.
Ayrıştırıcı Döndürülen veriler InventoryApps
Power Apps Envanteri InventoryAppsConnections
Power Apps bağlantıları Inventoryconnections InventoryEnvironments
Power Platform ortamları Envanteri InventoryFlows
Power Automate akış envanteri MSBizAppsTerminatedEmployees
Sonlandırılan çalışanlar izleme listesi Her tablonun sonuçlarının oluşturduğunuz etkinlikleri gösterdiğini doğrulayın.
Sonraki adımlar
Bu makalede, Power Platform için Microsoft Sentinel çözümünü dağıtmayı öğrendiniz.
- Bu çözümle kullanılabilen çözüm içeriğini gözden geçirmek için bkz . Microsoft Power Platform için Microsoft Sentinel çözümü: güvenlik içeriği başvurusu.
- Çözüm bileşenlerini yönetmek ve güvenlik içeriğini etkinleştirmek için bkz . Kullanıma sunulan içeriği bulma ve dağıtma.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin