你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Power Platform 的 Microsoft Sentinel 解决方案概述
适用于 Power Platform 的 Microsoft Sentinel 解决方案可用于监视和检测 Power Platform 环境中的可疑或恶意活动。 该解决方案从不同的 Power Platform 组件收集活动日志和清单数据。 它会分析这些活动日志以检测威胁和可疑活动,如以下活动:
- 从未经授权的地理位置执行 Power Apps
- Power Apps 的可疑数据销毁
- 批量删除 Power Apps
- 通过 Power Apps 实现网络钓鱼攻击
- 离职员工的 Power Automate 流活动
- 添加到环境的 Microsoft Power Platform 连接器
- 更新或删除 Microsoft Power Platform 数据丢失防护策略
重要
- 适用于 Microsoft Power Platform 的 Microsoft Sentinel 解决方案目前以预览版形式提供。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
- 该解决方案是一款高级产品/服务。 我们将在正式发布该解决方案之前提供定价信息。
- 通过完成此调查提供对此解决方案的反馈:https://aka.ms/SentinelPowerPlatformSolutionSurvey。
为何应安装解决方案
适用于 Microsoft Power Platform 的 Microsoft Sentinel 解决方案可帮助组织:
- 将 Microsoft Power Platform 和 Power Apps 活动日志、审核和事件收集到 Microsoft Sentinel 工作区中。
- 检测在 Microsoft Power Platform 和 Power Apps 中执行的可疑、恶意或非法活动。
- 调查 Microsoft Power Platform 和 Power Apps 中检测到的威胁,并将其与整个组织中的其他用户活动进行上下文化。
- 手动、自动或通过预定义的工作流,以简单、规范的方式应对与 Microsoft Power Platform 和 Power Apps 相关的威胁和事件。
该解决方案包括
适用于 Power Platform 的 Microsoft Sentinel 解决方案包括多个数据连接器和分析规则。
数据连接器
适用于 Power Platform 的 Microsoft Sentinel 解决方案可从多个来源引入并交叉关联活动日志和清单数据。 因此,解决方案要求你启用以下数据连接器,它们是作为解决方案的一部分提供的。
| 连接器名称 | 收集的数据 | Log Analytics 表 |
|---|---|---|
| Power Platform Inventory(使用 Azure Functions) | Power Apps 和 Power Automate 清单数据 有关详细信息,请参阅设置 Microsoft Power Platform 自助分析以导出 Power Platform 清单和使用数据。 |
PowerApps_CL, PowerPlatrformEnvironments_CL, PowerAutomateFlows_CL, PowerAppsConnections_CL |
| Microsoft Power Apps(预览) | Power Apps 活动日志 有关详细信息,请参阅Power Apps 活动日志记录。 |
PowerAppsActivity |
| Microsoft Power Automate(预览) | Power Automate 活动日志 有关详细信息,请参阅查看 Power Automate 审核日志。 |
PowerAutomateActivity |
| Microsoft Power Platform 连接器(预览) | Power Platform 连接器活动日志 有关详细信息,请参阅查看 Power Platform 连接器活动日志。 |
PowerPlatformConnectorActivity |
| Microsoft Power Platform DLP(预览) | 数据丢失防护活动日志 有关详细信息,请参阅 数据丢失防护活动日志记录。 |
PowerPlatformDlpActivity |
| Microsoft Power Platform 管理活动(预览) | Power Platform 管理员活动日志 有关详细信息,请参阅 使用 Microsoft Purview(预览版)中的审核解决方案查看 Power Platform 管理日志。 |
|
| Microsoft Dataverse(预览) | Dataverse 和模型驱动应用活动日志记录 有关详细信息,请参阅 Microsoft Dataverse 和模型驱动应用活动日志记录。 如果使用适用于 Dynamics 365 的数据连接器,请迁移到适用于 Microsoft Dataverse 的数据连接器。 此数据连接器会替换 Dynamics 365 的旧数据连接器,并支持数据收集规则。 |
DataverseActivity |
分析规则
该解决方案包括分析规则,用于检测 Power Platform 环境中的威胁和可疑活动。 这些活动包括从未经授权的地理位置运行的 Power Apps、Power Apps 的可疑数据销毁、Power Apps 的大规模删除等。 有关详细信息,请参阅适用于 Microsoft Power Platform 的 Microsoft Sentinel 解决方案:安全内容参考。
分析器
该解决方案包括用于访问原始数据表中的数据的分析程序。 分析程序可确保返回架构一致的正确数据。 建议使用分析程序,而不是直接查询清单表和监视列表。 有关详细信息,请参阅适用于 Microsoft Power Platform 的 Microsoft Sentinel 解决方案:安全内容参考。