你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

部署适用于 Microsoft Power Platform 的 Microsoft Sentinel 解决方案

适用于 Power Platform 的 Microsoft Sentinel 解决方案可用于监视和检测 Power Platform 环境中的可疑或恶意活动。 该解决方案从不同的 Power Platform 组件收集活动日志和清单数据。 有关详细信息,请参阅适用于 Microsoft Power Platform 的 Microsoft Sentinel 解决方案概述

重要

  • 适用于 Microsoft Power Platform 的 Microsoft Sentinel 解决方案目前以预览版形式提供。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
  • 该解决方案是一款高级产品/服务。 我们将在正式发布该解决方案之前提供定价信息。
  • 通过完成此调查提供对此解决方案的反馈:https://aka.ms/SentinelPowerPlatformSolutionSurvey

先决条件

  • 已启用 Microsoft Sentinel 解决方案。
  • 你有一个定义的 Microsoft Sentinel 工作区,并且对该工作区具有读取和写入权限。
  • 你的组织使用 Power Platform 创建和使用 Power Apps。
  • 可以创建具有 Microsoft.Web/SitesMicrosoft.Web/ServerFarmsMicrosoft.Insights/ComponentsMicrosoft.Storage/StorageAccounts 权限的 Azure 函数应用。
  • 可以使用以下权限创建数据收集规则/终结点
    • Microsoft.Insights/DataCollectionEndpointsMicrosoft.Insights/DataCollectionRules
    • 将“监视指标发布者”角色分配给 Azure 函数。
  • 在 Microsoft Purview 中已启用审核日志记录。 有关详细信息,请参阅打开或关闭 Microsoft Purview 审核
  • 对于 Power Platform 清单连接器,请设置以下资源和配置。

建议启用 Power Platform 清单数据连接器,但不需要完全部署 Microsoft Power Platform 解决方案。 有关详细信息,请参阅 Power Platform 清单数据连接器

在 Microsoft Sentinel 中安装 Power Platform 解决方案

使用以下步骤从 Microsoft Sentinel 中的内容中心安装解决方案。

  1. 在 Azure 门户中,搜索并选择“Microsoft Sentinel”。
  2. 选择计划从中部署解决方案的 Microsoft Sentinel 工作区。
  3. 在“内容管理”下,选择“内容中心”。
  4. 搜索并选择Power Platform
  5. 选择“安装” 。
  6. 在解决方案详细信息页面上,选择“创建”。
  7. 请在“基本信息”选项卡上,输入订阅、资源组和工作区以部署解决方案。
  8. 选择“查看+创建”>“创建”以部署解决方案。

启用数据连接器

在 Microsoft Sentinel 中,启用六个数据连接器以从 Power Platform 组件收集活动日志和清单数据。

Power Platform 清单数据连接器

借助 Power Platform 清单数据连接器,可以将事件详细信息中的 Power Platform 和 PowerApps 环境的 GUID 解析为 Power Platform 管理中心和 Power Apps Maker 门户中显示的人工可读名称。 我们建议启用此数据连接器,但不需要完全部署 Microsoft Power Platform 解决方案。

为了优化引入,Power Platform 清单数据连接器每 7 天引入一次完整数据,并且每天进行增量更新。 增量更新仅包括自前一天以来发生变化的清单资产。

若要收集 Power Apps 和 Power Automate 清单数据,请部署 Azure 资源管理器模板以创建函数应用。 若要完成部署,需要 Azure Data Lake Storage Gen2 存储帐户的 Blob 服务 URL。 创建函数应用后,为存储帐户授予对函数应用托管标识的访问权限。

  1. 在 Microsoft Sentinel 中的“配置”下,选择“数据连接器”。
  2. 搜索并选择 Power Platform 清单(使用 Azure Functions)
  3. 选择“打开连接器页面”。
  4. 如果没有启用 Power Platform 自助分析功能,请在“配置”下执行步骤 1 和 2。
  5. 在“配置”>“步骤 3 - Azure 资源管理器(ARM)模板”下,选择“部署到 Azure”。
  6. 按照 Azure 资源管理器模板部署向导中的所有步骤进行操作,然后选择“查看 + 创建”>“创建”。
  7. 如果在资源管理器模板部署期间没有角色分配所需的权限,请在“配置”下执行步骤 4 和 5。

其他数据连接器

通过完成以下步骤来连接其余每个数据连接器。

  1. 在 Microsoft Sentinel 中的“配置”下,选择“数据连接器”。
  2. 在解决方案中搜索并选择需要连接的数据连接器,例如 Microsoft Power Platform 管理员活动。
  3. 选择“打开连接器页”>“连接”。
  4. 对属于 Power Platform 解决方案一部分的以下每个数据连接器重复这些步骤。
    • Microsoft Power Platform 管理活动
    • Microsoft Power Automate
    • Microsoft Dataverse

在 Microsoft Dataverse 环境中启用审核

Dataverse 活动日志记录仅适用于生产 dataverse 环境。 其他类型的环境(如沙盒)不支持活动日志记录。 请参阅 Microsoft Dataverse 和模型驱动应用活动日志记录要求。 默认情况下未启用 Dataverse 活动日志记录。 为 Dataverse 和每个 Dataverse 实体启用全局级别的审核。

全局级别的审核

在 Dataverse 环境中,转到“设置”>“审核设置”。 在“审核”下,选中所有三个复选框。

  • 开始审核
  • 日志访问
  • 读取日志

有关这些步骤的详细信息,请参阅管理 Dataverse 审核

审核 Dataverse 实体

对每个 Dataverse 实体启用详细的审核。 若要对默认实体启用审核,请导入 Power Platform 托管解决方案。 若要对自定义实体启用审核,必须手动对每个自定义实体启用详细审核。

自动对默认实体启用审核

为所有 Dataverse 实体启用默认审核设置的最快方法是在 Power Platform 环境中导入适当的 Power Platform 托管解决方案。 此托管解决方案可对以下文件中列出的每个默认实体进行详细审核:https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g。 若要对自定义实体启用审核,必须手动对每个自定义实体启用详细审核。

若要自动启用实体审核,请完成以下步骤。

  1. 转到 https://make.powerapps.com

  2. 从页面右上角选择要监视的环境。

  3. 转到“解决方案”>“导入解决方案”。

  4. 根据 Power Platform 环境是否用于 Dynamics 365 CE 应用,导入以下解决方案之一。

手动启用实体审核

若要手动对每个 Dataverse 实体(包括自定义实体)启用审核,请按照管理 Dataverse 审核启用或禁用实体和字段审核部分中的步骤操作。

若要获取解决方案的完整事件检测值,建议为要审核的每个 Dataverse 实体启用 Dataverse 实体设置页面的“常规”选项卡中的以下选项:

  • 在“数据服务”部分下,选择“审核”。
  • 在“审核”部分下,选择“单个记录审核”和“多个记录审核”。

保存并发布自定义设置。

验证数据连接器是否正在将日志引入 Microsoft Sentinel

若要验证日志引入是否正常工作,请完成以下步骤。

生成活动和清单日志

  1. 运行创建、更新和删除等活动,为启用监视的数据生成日志。
  2. 等待 Microsoft Sentinel 将活动日志引入工作区中的日志表(最多需要 60 分钟)。
  3. 对于 Power Platform 清单数据,等待 Microsoft Sentinel 将数据引入到工作区中的日志表(最多需要 24 小时)。

查看 Microsoft Sentinel 中的引入数据

等待 Microsoft Sentinel 引入数据后,请完成以下步骤以验证你是否获得了所需的数据。

  1. 在 Microsoft Sentinel 中,选择“日志”。

  2. 对从数据连接器收集活动日志的表运行 KQL 查询。 例如,运行以下查询以从包含 Power Apps 活动日志的表中返回 50 行。

     PowerPlatformAdminActivity
     | take 50
    

    下表列出了要查询的 Log Analytics 表。

    Log Analytics 表 收集的数据
    PowerPlatformAdminActivity Power Platform 管理日志
    PowerAutomateActivity Power Automate 活动日志
    DataverseActivity Dataverse 和模型驱动应用活动日志记录

    使用以下分析器返回清单和监视列表数据。

    Parser 返回的数据
    InventoryApps Power Apps 清单
    InventoryAppsConnections Power Apps 连接 Inventoryconnections
    InventoryEnvironments Power Platform 环境清单
    InventoryFlows Power Automate 流清单
    MSBizAppsTerminatedEmployees 离职员工监视列表
  3. 验证每个表的结果是否显示生成的活动。

后续步骤

本文介绍了如何部署适用于 Power Platform 的 Microsoft Sentinel 解决方案。