Microsoft Power Platform için Microsoft Sentinel çözümünü dağıtma

Power Platform için Microsoft Sentinel çözümü, Power Platform ortamınızdaki şüpheli veya kötü amaçlı etkinlikleri izlemenize ve algılamanıza olanak tanır. Çözüm, farklı Power Platform bileşenlerinden ve envanter verilerinden etkinlik günlüklerini toplar. Daha fazla bilgi için bkz . Microsoft Power Platform için Microsoft Sentinel çözümüne genel bakış.

Önemli

• Power Platform için Microsoft Sentinel çözümü şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
• Çözüm, premium bir tekliftir. Fiyatlandırma bilgileri, çözüm genel kullanıma sunulmadan önce kullanılabilir.
• Bu anketi tamamlayarak bu çözüm için geri bildirim sağlayın: https://aka.ms/SentinelPowerPlatformSolutionSurvey.

Önkoşullar

• Microsoft Sentinel çözümü etkinleştirildi.
• Tanımlanmış bir Microsoft Sentinel çalışma alanınız var ve çalışma alanında okuma ve yazma izinleriniz var.
• Kuruluşunuz Power Apps oluşturmak ve kullanmak için Power Platform'u kullanır.
• , , Microsoft.Web/ServerFarmsMicrosoft.Insights/Componentsve Microsoft.Storage/StorageAccounts izinleriyle Microsoft.Web/Sitesbir Azure İşlev Uygulaması oluşturabilirsiniz.
• Şu izinlere sahip Veri Toplama Kuralları/Uç Noktaları oluşturabilirsiniz:
  • Microsoft.Insights/DataCollectionEndpointsMicrosoft.Insights/DataCollectionRulesve .
  • İzleme Ölçümleri Yayımcısı rolünü Azure İşlevi'ne atayın.
• Denetim günlüğü Microsoft Purview'da etkinleştirilir. Daha fazla bilgi için bkz . Microsoft Purview için denetimi açma veya kapatma
• Power Platform envanter bağlayıcısı için aşağıdaki kaynakları ve yapılandırmaları ayarlayın.
  • Azure Data Lake Storage 2. Nesil ile kullanılacak hesabı Depolama. Daha fazla bilgi için bkz. Azure Data Lake Storage 2. Nesil ile kullanılacak depolama hesabı oluşturma.
  • Depolama hesabı için Blob hizmet uç noktası URL'si. Daha fazla bilgi için bkz . Depolama hesabı için hizmet uç noktalarını alma.
  • Azure Data Lake Storage 2. Nesil depolama hesabını kullanacak şekilde yapılandırılmış Power Platform self servis analiz. Bu işlemin etkinleştirilmesi 48 saate kadar sürebilir. Daha fazla bilgi için bkz . Power Platform envanteri ve kullanım verilerini dışarı aktarmak için Microsoft Power Platform self servis analizini ayarlama. Power Platform self servis analiz özelliğinin önkoşullarını ve gereksinimlerini gözden geçirin. Gereksinimler arasında depolama hesabına genel erişimi etkinleştirmeniz ve veri dışarı aktarmayı ayarlamak için gereken izinlere sahip olmanız yer alır.
  • Azure İşlevi'ne Depolama Blob Veri Okuyucusu rolü atama izinleri

Power Platform envanter veri bağlayıcısının etkinleştirilmesi önerilir, ancak Microsoft Power Platform çözümünü tam olarak dağıtmak için gerekli değildir. Daha fazla bilgi için bkz . Power Platform envanter veri bağlayıcısı.

Microsoft Sentinel'de Power Platform çözümünü yükleme

Aşağıdaki adımları kullanarak çözümü Microsoft Sentinel'deki içerik hub'ından yükleyin.

1. Azure portalında Microsoft Sentinel'i arayın ve seçin.
2. Çözümü dağıtmayı planladığınız Microsoft Sentinel çalışma alanını seçin.
3. İçerik yönetimi'nin altında İçerik hub'ı seçin.
4. Power Platform'da arama yapın ve seçin.
5. Yükle'yi seçin.
6. Çözüm ayrıntıları sayfasında Oluştur'u seçin.
7. Temel Bilgiler sekmesinde, çözümü dağıtmak için aboneliği, kaynak grubunu ve çalışma alanını girin.
8. Çözümü dağıtmak için Gözden Geçir ve Oluştur'u> seçin.

Veri bağlayıcılarını etkinleştirme

Microsoft Sentinel'de, Power Platform bileşenlerinden etkinlik günlüklerini ve envanter verilerini toplamak için altı veri bağlayıcısını etkinleştirin.

Power Platform envanter veri bağlayıcısı

Power Platform envanter veri bağlayıcısı, olay ayrıntılarındaki Power Platform ve PowerApps ortamları için GUID'leri Power Platform yönetim merkezinde ve Power Apps oluşturucu portalında görünen okunabilir adlarla çözümlemenize olanak tanır. Bu veri bağlayıcısını etkinleştirmenizi öneririz, ancak Microsoft Power Platform çözümünün tam olarak dağıtılması gerekmez.

Power Platform envanter veri bağlayıcısı, alımı iyileştirmek için verileri her 7 günde bir tam olarak ve günlük artımlı güncelleştirmeleri alır. Artımlı güncelleştirmeler yalnızca önceki günden bu yana değişiklikleri olan stok varlıklarını içerir.

Power Apps ve Power Automate envanter verilerini toplamak için Azure Resource Manager şablonunu dağıtarak bir işlev uygulaması oluşturun. Dağıtımı tamamlamak için Azure Data Lake Storage 2. Nesil depolama hesabınızın blob hizmeti URL'sine ihtiyacınız vardır. İşlev uygulamasını oluşturduktan sonra, işlev uygulaması için yönetilen kimliğe depolama hesabına erişim verin.

1. Microsoft Sentinel'de Yapılandırma'nın altında Veri bağlayıcıları'nı seçin.
2. Power Platform Envanteri (Azure İşlevleri kullanarak) için arama yapın ve seçin.
3. Bağlayıcı sayfasını aç'ı seçin.
4. Power Platform self servis analiz özelliğini etkinleştirmediyseniz Yapılandırma altında 1. ve 2. adımları izleyin.
5. Yapılandırma>Adımı 3 - Azure Resource Manager (ARM) Şablonu altında Azure'a Dağıt'ı seçin.
6. Azure Resource Manager şablon dağıtım sihirbazındaki tüm adımları izleyin ve Gözden Geçir ve Oluştur'u> seçin.
7. Resource Manager şablon dağıtımı sırasında rol atamaları için gerekli izinlere sahip değilseniz Yapılandırma'nın altında 4. ve 5. adımları izleyin.

Diğer veri bağlayıcıları

Aşağıdaki adımları tamamlayarak kalan veri bağlayıcılarının her birini Bağlan.

1. Microsoft Sentinel'de Yapılandırma'nın altında Veri bağlayıcıları'nı seçin.
2. Çözümde Microsoft Power Apps gibi bağlanmanız gereken veri bağlayıcılarını arayın ve seçin.
3. Bağlayıcı sayfasını> aç Bağlan'ı seçin.
4. Power Platform çözümünün bir parçası olan aşağıdaki veri bağlayıcılarının her biri için bu adımları yineleyin.
   • Microsoft Power Automate
   • Microsoft Power Platform Bağlan ors
   • Microsoft Power Platform DLP
   • Microsoft Power Platform Yönetici Etkinliği
   • Microsoft Dataverse

Microsoft Dataverse ortamınızda denetimi etkinleştirme

Dataverse etkinlik günlüğü yalnızca Production dataverse ortamlarında kullanılabilir. Korumalı alan gibi diğer ortam türleri etkinlik günlüğünü desteklemez. Bkz. Microsoft Dataverse ve model temelli uygulamalar etkinlik günlüğü gereksinimleri. Dataverse etkinlik günlüğü varsayılan olarak etkin değildir. Dataverse ve her Dataverse varlığı için genel düzeyde denetimi etkinleştirin.

Genel düzeyde denetim

Dataverse ortamınızda Ayarlar> Audit ayarlarına gidin. Denetim'in altında üç onay kutusunu da seçin.

• Denetimi başlatma
• Günlük erişimi
• Günlükleri okuma

Bu adımlar hakkında daha fazla bilgi için bkz . Dataverse denetimini yönetme.

Dataverse varlıklarını denetleme

Dataverse varlıklarının her birinde ayrıntılı denetimi etkinleştirin. Varsayılan varlıklarda denetimi etkinleştirmek için Power Platform tarafından yönetilen bir çözümü içeri aktarın. Özel varlıklarda denetimi etkinleştirmek için, özel varlıkların her birinde ayrıntılı denetimi el ile etkinleştirmeniz gerekir.

Varsayılan varlıklarda denetimi otomatik olarak etkinleştirme

Tüm Dataverse varlıkları için varsayılan denetim ayarlarını etkinleştirmenin en hızlı yolu, Power Platform ortamınızda uygun Power Platform yönetilen çözümünü içeri aktarmaktır. Bu yönetilen çözüm, aşağıdaki dosyada listelenen varsayılan varlıkların her biri için ayrıntılı denetim sağlar: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g. Özel varlıklarda denetimi etkinleştirmek için, özel varlıkların her birinde ayrıntılı denetimi el ile etkinleştirmeniz gerekir.

Varlık denetimini otomatik olarak etkinleştirmek için aşağıdaki adımları tamamlayın.

1. Şuraya git: https://make.powerapps.com.

2. Sayfanın sağ üst tarafından izlemek istediğiniz ortamı seçin.

3. Çözümleri>İçeri Aktarma çözümü'ne gidin.

4. Power Platform ortamınızın Dynamics 365 CE Uygulamaları için kullanılıp kullanılmadığına bağlı olarak aşağıdaki çözümlerden birini içeri aktarın.

   • Dynamics 365 CE Uygulamaları ile kullanmak için içeri aktarabilirsiniz https://aka.ms/AuditSettings/Dynamics.
   • Aksi takdirde, içeri aktar.https://aka.ms/AuditSettings/DataverseOnly

Varlık denetimini el ile etkinleştirme

Özel varlıklar da dahil olmak üzere her Dataverse varlığında denetimi el ile etkinleştirmek için Dataverse denetimini yönetme başlığı altındaki Varlıkları ve alanları denetim için etkinleştirme veya devre dışı bırakma bölümündeki adımları izleyin.

Çözümün olay algılama değerinin tamamını almak için, denetlemek istediğiniz her Dataverse varlığı için Dataverse varlık ayarları sayfasının Genel sekmesinde aşağıdaki seçenekleri etkinleştirmenizi öneririz:

• Veri Hizmetleri bölümünde Denetim'i seçin.
• Denetim bölümünde Tek kayıt denetimi ve Birden çok kayıt denetimi'ni seçin.

Özelleştirmelerinizi kaydedin ve yayımlayın.

Veri bağlayıcısının günlükleri Microsoft Sentinel'e aktardığını doğrulayın

Günlük alımının çalıştığını doğrulamak için aşağıdaki adımları tamamlayın.

Etkinlik ve envanter günlükleri oluşturma

1. İzleme için etkinleştirdiğiniz verilerin günlüklerini oluşturmak için oluşturma, güncelleştirme ve silme gibi etkinlikleri çalıştırın.
2. Microsoft Sentinel'in etkinlik günlüklerini çalışma alanında günlükler tablosuna almasını 60 dakika kadar bekleyin.
3. Power Platform envanter verileri için Microsoft Sentinel'in verileri çalışma alanında günlük tablolarına almasını 24 saate kadar bekleyin.

Microsoft Sentinel'de alınan verileri görüntüleme

Microsoft Sentinel'in verileri almasını bekledikten sonra, beklediğiniz verileri aldığınızdan emin olmak için aşağıdaki adımları tamamlayın.

1. Microsoft Sentinel'de Günlükler'i seçin.

2. Veri bağlayıcılarından etkinlik günlüklerini toplayan tablolarda KQL sorguları çalıştırın. Örneğin, Power Apps etkinlik günlükleriyle tablodan 50 satır döndürmek için aşağıdaki sorguyu çalıştırın.

    PowerAppsActivity
    | take 50
   

   Aşağıdaki tabloda sorguya yönelik Log Analytics tabloları listelemektedir.

   Log Analytics tabloları	Toplanan veriler
   PowerAppsActivity	Power Apps etkinlik günlükleri
   PowerAutomateActivity	Power Automate etkinlik günlükleri
   PowerPlatform Bağlan orActivity	Power Platform bağlayıcısı etkinlik günlükleri
   PowerPlatformDlpActivity	Veri kaybı önleme etkinlik günlükleri
   PowerPlatform Yönetici Activity	Power Platform yönetim günlükleri
   DataverseActivity	Dataverse ve model temelli uygulamalar etkinlik günlüğü

   Envanter ve izleme listesi verilerini döndürmek için aşağıdaki ayrıştırıcıları kullanın.

   Ayrıştırıcı	Döndürülen veriler
   InventoryApps	Power Apps Envanteri
   InventoryAppsConnections	Power Apps bağlantıları Inventoryconnections
   InventoryEnvironments	Power Platform ortamları Envanteri
   InventoryFlows	Power Automate akış envanteri
   MSBizAppsTerminatedEmployees	Sonlandırılan çalışanlar izleme listesi

3. Her tablonun sonuçlarının oluşturduğunuz etkinlikleri gösterdiğini doğrulayın.

Sonraki adımlar

Bu makalede, Power Platform için Microsoft Sentinel çözümünü dağıtmayı öğrendiniz.

• Bu çözümle kullanılabilen çözüm içeriğini gözden geçirmek için bkz . Microsoft Power Platform için Microsoft Sentinel çözümü: güvenlik içeriği başvurusu.
• Çözüm bileşenlerini yönetmek ve güvenlik içeriğini etkinleştirmek için bkz . Kullanıma sunulan içeriği bulma ve dağıtma.