Bagikan melalui

Menyebarkan solusi Microsoft Azure Sentinel untuk Microsoft Power Platform

  • Artikel

Solusi Microsoft Sentinel untuk Power Platform memungkinkan Anda memantau dan mendeteksi aktivitas yang mencurigakan atau berbahaya di lingkungan Power Platform Anda. Solusi ini mengumpulkan log aktivitas dari komponen Power Platform dan data inventori yang berbeda. Untuk informasi selengkapnya, lihat Solusi Microsoft Azure Sentinel untuk gambaran umum Microsoft Power Platform.

Penting

  • Solusi Microsoft Sentinel untuk Power Platform saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
  • Solusinya adalah penawaran premium. Informasi harga akan tersedia sebelum solusi tersedia secara umum.
  • Berikan umpan balik untuk solusi ini dengan menyelesaikan survei ini: https://aka.ms/SentinelPowerPlatformSolutionSurvey.

Prasyarat

  • Solusi Microsoft Azure Sentinel diaktifkan.
  • Anda memiliki ruang kerja Microsoft Sentinel yang ditentukan dan memiliki izin baca dan tulis ke ruang kerja.
  • Organisasi Anda menggunakan Power Platform untuk membuat dan menggunakan Power Apps.
  • Anda dapat membuat Aplikasi Fungsi Azure dengan Microsoft.Web/Sitesizin , , Microsoft.Web/ServerFarmsMicrosoft.Insights/Components, dan Microsoft.Storage/StorageAccounts .
  • Anda dapat membuat Aturan/Titik Akhir Pengumpulan Data dengan izin untuk:
    • Microsoft.Insights/DataCollectionEndpoints, dan Microsoft.Insights/DataCollectionRules.
    • Tetapkan peran Penerbit Metrik Pemantauan ke Azure Function.
  • Pengelogan audit diaktifkan di Microsoft Purview. Untuk informasi selengkapnya, lihat Mengaktifkan atau menonaktifkan audit untuk Microsoft Purview
  • Untuk konektor inventori Power Platform, siapkan sumber daya dan konfigurasi berikut.

Mengaktifkan konektor data inventori Power Platform disarankan tetapi tidak diperlukan untuk sepenuhnya menyebarkan solusi Microsoft Power Platform. Untuk informasi selengkapnya, lihat Konektor data inventori Power Platform.

Menginstal solusi Power Platform di Microsoft Azure Sentinel

Instal solusi dari hub konten di Microsoft Azure Sentinel dengan menggunakan langkah-langkah berikut.

  1. Di portal Azure, cari dan pilih Microsoft Azure Sentinel.
  2. Pilih ruang kerja Microsoft Azure Sentinel tempat Anda berencana untuk menyebarkan solusi.
  3. Di bagian Pengelolaan konten, pilih hub Konten.
  4. Cari dan pilih Power Platform.
  5. Pilih Instal.
  6. Pada halaman detail solusi, pilih Buat.
  7. Pada tab Dasar , masukkan langganan, grup sumber daya, dan ruang kerja untuk menyebarkan solusi.
  8. Pilih Tinjau + buat>Buat untuk menyebarkan solusi.

Mengaktifkan konektor data

Di Microsoft Azure Sentinel, aktifkan enam konektor data untuk mengumpulkan log aktivitas dan data inventarisasi dari komponen Power Platform.

Konektor data inventori Power Platform

Konektor data inventori Power Platform memungkinkan Anda menyelesaikan GUID untuk lingkungan Power Platform dan PowerApps dalam detail insiden ke nama yang dapat dibaca manusia yang muncul di pusat admin Power Platform dan portal pembuat Power Apps. Sebaiknya aktifkan konektor data ini tetapi tidak diperlukan untuk sepenuhnya menyebarkan solusi Microsoft Power Platform.

Untuk mengoptimalkan penyerapan, konektor data inventarisasi Power Platform menyerap data secara penuh setiap 7 hari dan pembaruan bertahap setiap hari. Pembaruan inkremental hanya menyertakan aset inventori yang memiliki perubahan sejak hari sebelumnya.

Untuk mengumpulkan data inventarisasi Power Apps dan Power Automate, sebarkan templat Azure Resource Manager untuk membuat aplikasi fungsi. Untuk menyelesaikan penyebaran, Anda memerlukan URL layanan blob untuk akun penyimpanan Azure Data Lake Storage Gen2 Anda. Setelah Anda membuat aplikasi fungsi, berikan identitas terkelola untuk akses aplikasi fungsi ke akun penyimpanan.

  1. Di Microsoft Azure Sentinel, di bawah Konfigurasi, pilih Konektor data.
  2. Cari dan pilih Power Platform Inventory (menggunakan Azure Functions).
  3. Pilih Buka laman konektor.
  4. Jika Anda tidak mengaktifkan fitur analitik layanan mandiri Power Platform, di bawah Konfigurasi ikuti langkah 1 dan 2.
  5. Di bawah Konfigurasi>Langkah 3 - Templat Azure Resource Manager (ARM), pilih Sebarkan ke Azure.
  6. Ikuti semua langkah dalam wizard penyebaran templat Azure Resource Manager dan pilih Tinjau + buat>.
  7. Jika Anda tidak memiliki izin yang diperlukan untuk penetapan peran selama penyebaran templat Resource Manager, di bawah Konfigurasi, ikuti langkah 4 dan 5.

Konektor data lainnya

Koneksi masing-masing konektor data yang tersisa dengan menyelesaikan langkah-langkah berikut.

  1. Di Microsoft Azure Sentinel, di bawah Konfigurasi, pilih Konektor data.
  2. Cari dan pilih konektor data dalam solusi yang perlu Anda sambungkan seperti Microsoft Power Apps.
  3. Pilih Buka halaman> konektor Koneksi.
  4. Ulangi langkah-langkah ini untuk setiap konektor data berikut yang merupakan bagian dari solusi Power Platform.
    • Microsoft Power Automate
    • Koneksi or Microsoft Power Platform
    • Microsoft Power Platform DLP
    • Aktivitas Admin Microsoft Power Platform
    • Microsoft Dataverse

Mengaktifkan audit di lingkungan Microsoft Dataverse Anda

Pengelogan aktivitas dataverse hanya tersedia untuk lingkungan dataverse Produksi. Jenis lingkungan lain, seperti kotak pasir, tidak mendukung pengelogan aktivitas. Lihat Microsoft Dataverse dan persyaratan pengelogan aktivitas aplikasi berbasis model. Pengelogan aktivitas dataverse tidak diaktifkan secara default. Aktifkan audit di tingkat global untuk Dataverse dan untuk setiap entitas Dataverse.

Audit di tingkat global

Di lingkungan Dataverse Anda, buka pengaturan Pengaturan> Audit. Di bawah Audit, pilih ketiga kotak centang.

  • Mulai audit
  • Akses log
  • Membaca log

Untuk informasi selengkapnya tentang langkah-langkah ini, lihat Mengelola audit Dataverse.

Mengaudit entitas Dataverse

Aktifkan audit terperinci pada setiap entitas Dataverse. Untuk mengaktifkan audit pada entitas default, impor solusi terkelola Power Platform. Untuk mengaktifkan audit pada entitas kustom, Anda harus mengaktifkan audit terperinci secara manual pada setiap entitas kustom.

Mengaktifkan audit secara otomatis pada entitas default

Cara tercepat untuk mengaktifkan pengaturan audit default untuk semua entitas Dataverse adalah dengan mengimpor solusi terkelola Power Platform yang sesuai di lingkungan Power Platform Anda. Solusi terkelola ini memungkinkan audit terperinci untuk setiap entitas default yang tercantum dalam file berikut: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g. Untuk mengaktifkan audit pada entitas kustom, Anda harus mengaktifkan audit terperinci secara manual pada setiap entitas kustom.

Untuk mengaktifkan audit entitas secara otomatis, selesaikan langkah-langkah berikut.

  1. Buka https://make.powerapps.com.

  2. Pilih lingkungan yang ingin Anda pantau dari sisi kanan atas halaman.

  3. Buka solusi Impor Solusi>.

  4. Impor salah satu solusi berikut tergantung pada apakah lingkungan Power Platform Anda digunakan untuk Dynamics 365 CE Apps atau tidak.

Mengaktifkan audit entitas secara manual

Untuk mengaktifkan audit pada setiap entitas Dataverse secara manual, termasuk entitas kustom, ikuti langkah-langkah di bagian Mengaktifkan atau menonaktifkan entitas dan bidang untuk audit dalam Mengelola audit Dataverse.

Untuk mendapatkan nilai deteksi insiden lengkap solusi, kami sarankan Anda mengaktifkan, untuk setiap entitas Dataverse yang ingin Anda audit, opsi berikut di tab Umum dari halaman Pengaturan entitas Dataverse:

  • Di bawah bagian Layanan Data, pilih Audit.
  • Di bawah bagian Audit , pilih Audit rekaman tunggal dan Audit beberapa rekaman.

Simpan dan terbitkan kustomisasi Anda.

Verifikasi bahwa konektor data menyerap log ke Microsoft Azure Sentinel

Untuk memverifikasi bahwa penyerapan log berfungsi, selesaikan langkah-langkah berikut.

Hasilkan log aktivitas dan inventori

  1. Jalankan aktivitas seperti membuat, memperbarui, dan menghapus untuk menghasilkan log untuk data yang Anda aktifkan untuk pemantauan.
  2. Tunggu hingga 60 menit agar Microsoft Azure Sentinel menyerap log aktivitas ke tabel log di ruang kerja.
  3. Untuk data inventarisasi Power Platform, tunggu hingga 24 jam agar Microsoft Sentinel menyerap data ke tabel log di ruang kerja.

Menampilkan data yang diserap di Microsoft Azure Sentinel

Setelah Anda menunggu Microsoft Sentinel menyerap data, selesaikan langkah-langkah berikut untuk memverifikasi bahwa Anda mendapatkan data yang Anda harapkan.

  1. Di Microsoft Azure Sentinel, pilih Log.

  2. Jalankan kueri KQL terhadap tabel yang mengumpulkan log aktivitas dari konektor data. Misalnya, jalankan kueri berikut untuk mengembalikan 50 baris dari tabel dengan log aktivitas Power Apps.

     PowerAppsActivity
 | take 50

    Tabel berikut mencantumkan tabel Analitik Log untuk dikueri.

    Tabel Analitik Log Data yang dikumpulkan
    PowerAppsActivity Log aktivitas Power Apps
    PowerAutomateActivity Log aktivitas Power Automate
    PowerPlatform Koneksi orActivity Log aktivitas konektor Power Platform
    PowerPlatformDlpActivity Log aktivitas pencegahan kehilangan data
    PowerPlatformAdminActivity Log administratif Power Platform
    DataverseActivity Pengelogan aktivitas aplikasi berbasis dataverse dan model

    Gunakan pengurai berikut untuk mengembalikan data inventori dan daftar tonton.

    Pengurai Data dikembalikan
    InventoryApps Power Apps Inventory
    InventoryAppsConnections Koneksi Power Apps Inventoryconnections
    InventoryEnvironments Inventaris lingkungan Power Platform
    InventoryFlows Inventarisasi alur Power Automate
    MSBizAppsTerminatedEmployees Daftar pengawasan karyawan yang dihentikan

  3. Verifikasi bahwa hasil untuk setiap tabel memperlihatkan aktivitas yang Anda buat.

Langkah berikutnya

Dalam artikel ini, Anda mempelajari cara menyebarkan solusi Microsoft Sentinel untuk Power Platform.