Menyebarkan solusi Microsoft Azure Sentinel untuk Microsoft Power Platform
Solusi Microsoft Sentinel untuk Power Platform memungkinkan Anda memantau dan mendeteksi aktivitas yang mencurigakan atau berbahaya di lingkungan Power Platform Anda. Solusi ini mengumpulkan log aktivitas dari komponen Power Platform dan data inventori yang berbeda. Untuk informasi selengkapnya, lihat Solusi Microsoft Azure Sentinel untuk gambaran umum Microsoft Power Platform.
Penting
- Solusi Microsoft Sentinel untuk Power Platform saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
- Solusinya adalah penawaran premium. Informasi harga akan tersedia sebelum solusi tersedia secara umum.
- Berikan umpan balik untuk solusi ini dengan menyelesaikan survei ini: https://aka.ms/SentinelPowerPlatformSolutionSurvey.
Prasyarat
- Solusi Microsoft Azure Sentinel diaktifkan.
- Anda memiliki ruang kerja Microsoft Sentinel yang ditentukan dan memiliki izin baca dan tulis ke ruang kerja.
- Organisasi Anda menggunakan Power Platform untuk membuat dan menggunakan Power Apps.
- Anda dapat membuat Aplikasi Fungsi Azure dengan
Microsoft.Web/Sites
izin , ,Microsoft.Web/ServerFarms
Microsoft.Insights/Components
, danMicrosoft.Storage/StorageAccounts
. - Anda dapat membuat Aturan/Titik Akhir Pengumpulan Data dengan izin untuk:
Microsoft.Insights/DataCollectionEndpoints
, danMicrosoft.Insights/DataCollectionRules
.- Tetapkan peran Penerbit Metrik Pemantauan ke Azure Function.
- Pengelogan audit diaktifkan di Microsoft Purview. Untuk informasi selengkapnya, lihat Mengaktifkan atau menonaktifkan audit untuk Microsoft Purview
- Untuk konektor inventori Power Platform, siapkan sumber daya dan konfigurasi berikut.
- Akun penyimpanan untuk digunakan dengan Azure Data Lake Storage Gen2. Untuk informasi selengkapnya, lihat Membuat akun penyimpanan untuk digunakan dengan Azure Data Lake Storage Gen2.
- URL titik akhir blob service untuk akun penyimpanan. Untuk informasi selengkapnya, lihat Mendapatkan titik akhir layanan untuk akun penyimpanan.
- Analitik layanan mandiri Power Platform dikonfigurasi untuk menggunakan akun penyimpanan Azure Data Lake Storage Gen2. Proses ini dapat memakan waktu hingga 48 jam untuk diaktifkan. Untuk informasi selengkapnya, lihat Menyiapkan analitik layanan mandiri Microsoft Power Platform untuk mengekspor inventori dan data penggunaan Power Platform. Tinjau prasyarat dan persyaratan untuk fitur analitik layanan mandiri Power Platform. Persyaratannya termasuk bahwa Anda mengaktifkan akses publik ke akun penyimpanan dan Anda memiliki izin yang diperlukan untuk menyiapkan ekspor data.
- Izin untuk menetapkan peran Pembaca Data Blob Penyimpanan ke Azure Function
Mengaktifkan konektor data inventori Power Platform disarankan tetapi tidak diperlukan untuk sepenuhnya menyebarkan solusi Microsoft Power Platform. Untuk informasi selengkapnya, lihat Konektor data inventori Power Platform.
Menginstal solusi Power Platform di Microsoft Azure Sentinel
Instal solusi dari hub konten di Microsoft Azure Sentinel dengan menggunakan langkah-langkah berikut.
- Di portal Azure, cari dan pilih Microsoft Azure Sentinel.
- Pilih ruang kerja Microsoft Azure Sentinel tempat Anda berencana untuk menyebarkan solusi.
- Di bagian Pengelolaan konten, pilih hub Konten.
- Cari dan pilih Power Platform.
- Pilih Instal.
- Pada halaman detail solusi, pilih Buat.
- Pada tab Dasar , masukkan langganan, grup sumber daya, dan ruang kerja untuk menyebarkan solusi.
- Pilih Tinjau + buat>Buat untuk menyebarkan solusi.
Mengaktifkan konektor data
Di Microsoft Azure Sentinel, aktifkan enam konektor data untuk mengumpulkan log aktivitas dan data inventarisasi dari komponen Power Platform.
Konektor data inventori Power Platform
Konektor data inventori Power Platform memungkinkan Anda menyelesaikan GUID untuk lingkungan Power Platform dan PowerApps dalam detail insiden ke nama yang dapat dibaca manusia yang muncul di pusat admin Power Platform dan portal pembuat Power Apps. Sebaiknya aktifkan konektor data ini tetapi tidak diperlukan untuk sepenuhnya menyebarkan solusi Microsoft Power Platform.
Untuk mengoptimalkan penyerapan, konektor data inventarisasi Power Platform menyerap data secara penuh setiap 7 hari dan pembaruan bertahap setiap hari. Pembaruan inkremental hanya menyertakan aset inventori yang memiliki perubahan sejak hari sebelumnya.
Untuk mengumpulkan data inventarisasi Power Apps dan Power Automate, sebarkan templat Azure Resource Manager untuk membuat aplikasi fungsi. Untuk menyelesaikan penyebaran, Anda memerlukan URL layanan blob untuk akun penyimpanan Azure Data Lake Storage Gen2 Anda. Setelah Anda membuat aplikasi fungsi, berikan identitas terkelola untuk akses aplikasi fungsi ke akun penyimpanan.
- Di Microsoft Azure Sentinel, di bawah Konfigurasi, pilih Konektor data.
- Cari dan pilih Power Platform Inventory (menggunakan Azure Functions).
- Pilih Buka laman konektor.
- Jika Anda tidak mengaktifkan fitur analitik layanan mandiri Power Platform, di bawah Konfigurasi ikuti langkah 1 dan 2.
- Di bawah Konfigurasi>Langkah 3 - Templat Azure Resource Manager (ARM), pilih Sebarkan ke Azure.
- Ikuti semua langkah dalam wizard penyebaran templat Azure Resource Manager dan pilih Tinjau + buat>.
- Jika Anda tidak memiliki izin yang diperlukan untuk penetapan peran selama penyebaran templat Resource Manager, di bawah Konfigurasi, ikuti langkah 4 dan 5.
Konektor data lainnya
Koneksi masing-masing konektor data yang tersisa dengan menyelesaikan langkah-langkah berikut.
- Di Microsoft Azure Sentinel, di bawah Konfigurasi, pilih Konektor data.
- Cari dan pilih konektor data dalam solusi yang perlu Anda sambungkan seperti Microsoft Power Apps.
- Pilih Buka halaman> konektor Koneksi.
- Ulangi langkah-langkah ini untuk setiap konektor data berikut yang merupakan bagian dari solusi Power Platform.
- Microsoft Power Automate
- Koneksi or Microsoft Power Platform
- Microsoft Power Platform DLP
- Aktivitas Admin Microsoft Power Platform
- Microsoft Dataverse
Mengaktifkan audit di lingkungan Microsoft Dataverse Anda
Pengelogan aktivitas dataverse hanya tersedia untuk lingkungan dataverse Produksi. Jenis lingkungan lain, seperti kotak pasir, tidak mendukung pengelogan aktivitas. Lihat Microsoft Dataverse dan persyaratan pengelogan aktivitas aplikasi berbasis model. Pengelogan aktivitas dataverse tidak diaktifkan secara default. Aktifkan audit di tingkat global untuk Dataverse dan untuk setiap entitas Dataverse.
Audit di tingkat global
Di lingkungan Dataverse Anda, buka pengaturan Pengaturan> Audit. Di bawah Audit, pilih ketiga kotak centang.
- Mulai audit
- Akses log
- Membaca log
Untuk informasi selengkapnya tentang langkah-langkah ini, lihat Mengelola audit Dataverse.
Mengaudit entitas Dataverse
Aktifkan audit terperinci pada setiap entitas Dataverse. Untuk mengaktifkan audit pada entitas default, impor solusi terkelola Power Platform. Untuk mengaktifkan audit pada entitas kustom, Anda harus mengaktifkan audit terperinci secara manual pada setiap entitas kustom.
Mengaktifkan audit secara otomatis pada entitas default
Cara tercepat untuk mengaktifkan pengaturan audit default untuk semua entitas Dataverse adalah dengan mengimpor solusi terkelola Power Platform yang sesuai di lingkungan Power Platform Anda. Solusi terkelola ini memungkinkan audit terperinci untuk setiap entitas default yang tercantum dalam file berikut: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g. Untuk mengaktifkan audit pada entitas kustom, Anda harus mengaktifkan audit terperinci secara manual pada setiap entitas kustom.
Untuk mengaktifkan audit entitas secara otomatis, selesaikan langkah-langkah berikut.
Pilih lingkungan yang ingin Anda pantau dari sisi kanan atas halaman.
Buka solusi Impor Solusi>.
Impor salah satu solusi berikut tergantung pada apakah lingkungan Power Platform Anda digunakan untuk Dynamics 365 CE Apps atau tidak.
- Untuk digunakan dengan Dynamics 365 CE Apps, impor https://aka.ms/AuditSettings/Dynamics.
- Jika tidak, impor https://aka.ms/AuditSettings/DataverseOnly.
Mengaktifkan audit entitas secara manual
Untuk mengaktifkan audit pada setiap entitas Dataverse secara manual, termasuk entitas kustom, ikuti langkah-langkah di bagian Mengaktifkan atau menonaktifkan entitas dan bidang untuk audit dalam Mengelola audit Dataverse.
Untuk mendapatkan nilai deteksi insiden lengkap solusi, kami sarankan Anda mengaktifkan, untuk setiap entitas Dataverse yang ingin Anda audit, opsi berikut di tab Umum dari halaman Pengaturan entitas Dataverse:
- Di bawah bagian Layanan Data, pilih Audit.
- Di bawah bagian Audit , pilih Audit rekaman tunggal dan Audit beberapa rekaman.
Simpan dan terbitkan kustomisasi Anda.
Verifikasi bahwa konektor data menyerap log ke Microsoft Azure Sentinel
Untuk memverifikasi bahwa penyerapan log berfungsi, selesaikan langkah-langkah berikut.
Hasilkan log aktivitas dan inventori
- Jalankan aktivitas seperti membuat, memperbarui, dan menghapus untuk menghasilkan log untuk data yang Anda aktifkan untuk pemantauan.
- Tunggu hingga 60 menit agar Microsoft Azure Sentinel menyerap log aktivitas ke tabel log di ruang kerja.
- Untuk data inventarisasi Power Platform, tunggu hingga 24 jam agar Microsoft Sentinel menyerap data ke tabel log di ruang kerja.
Menampilkan data yang diserap di Microsoft Azure Sentinel
Setelah Anda menunggu Microsoft Sentinel menyerap data, selesaikan langkah-langkah berikut untuk memverifikasi bahwa Anda mendapatkan data yang Anda harapkan.
Di Microsoft Azure Sentinel, pilih Log.
Jalankan kueri KQL terhadap tabel yang mengumpulkan log aktivitas dari konektor data. Misalnya, jalankan kueri berikut untuk mengembalikan 50 baris dari tabel dengan log aktivitas Power Apps.
PowerAppsActivity | take 50
Tabel berikut mencantumkan tabel Analitik Log untuk dikueri.
Tabel Analitik Log Data yang dikumpulkan PowerAppsActivity Log aktivitas Power Apps PowerAutomateActivity Log aktivitas Power Automate PowerPlatform Koneksi orActivity Log aktivitas konektor Power Platform PowerPlatformDlpActivity Log aktivitas pencegahan kehilangan data PowerPlatformAdminActivity Log administratif Power Platform DataverseActivity Pengelogan aktivitas aplikasi berbasis dataverse dan model Gunakan pengurai berikut untuk mengembalikan data inventori dan daftar tonton.
Pengurai Data dikembalikan InventoryApps
Power Apps Inventory InventoryAppsConnections
Koneksi Power Apps Inventoryconnections InventoryEnvironments
Inventaris lingkungan Power Platform InventoryFlows
Inventarisasi alur Power Automate MSBizAppsTerminatedEmployees
Daftar pengawasan karyawan yang dihentikan Verifikasi bahwa hasil untuk setiap tabel memperlihatkan aktivitas yang Anda buat.
Langkah berikutnya
Dalam artikel ini, Anda mempelajari cara menyebarkan solusi Microsoft Sentinel untuk Power Platform.
- Untuk meninjau konten solusi yang tersedia dengan solusi ini, lihat Solusi Microsoft Sentinel untuk Microsoft Power Platform: referensi konten keamanan.
- Untuk mengelola komponen solusi dan mengaktifkan konten keamanan, lihat Menemukan dan menyebarkan konten di luar kotak.