De Microsoft Sentinel-oplossing voor Microsoft Power Platform implementeren

Met de Microsoft Sentinel-oplossing voor Power Platform kunt u verdachte of schadelijke activiteiten in uw Power Platform-omgeving bewaken en detecteren. De oplossing verzamelt activiteitenlogboeken van verschillende Power Platform-onderdelen en inventarisgegevens. Zie het overzicht van Microsoft Sentinel voor Microsoft Power Platform voor meer informatie.

Belangrijk

• De Microsoft Sentinel-oplossing voor Power Platform is momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
• De oplossing is een premium-aanbieding. Prijsinformatie is beschikbaar voordat de oplossing algemeen beschikbaar wordt.
• Geef feedback voor deze oplossing door deze enquête te voltooien: https://aka.ms/SentinelPowerPlatformSolutionSurvey.

Vereisten

• De Microsoft Sentinel-oplossing is ingeschakeld.
• U hebt een gedefinieerde Microsoft Sentinel-werkruimte en beschikt over lees- en schrijfmachtigingen voor de werkruimte.
• Uw organisatie gebruikt Power Platform om Power Apps te maken en te gebruiken.
• U kunt een Azure-functie-app maken met de Microsoft.Web/Sites, Microsoft.Web/ServerFarmsen Microsoft.Storage/StorageAccountsMicrosoft.Insights/Componentsmachtigingen.
• U kunt regels/eindpunten voor gegevensverzameling maken met de machtigingen voor:
  • Microsoft.Insights/DataCollectionEndpoints, en Microsoft.Insights/DataCollectionRules.
  • Wijs de rol Monitoring Metrics Publisher toe aan de Azure-functie.
• Auditlogboekregistratie is ingeschakeld in Microsoft Purview. Zie Controle in- of uitschakelen voor Microsoft Purview voor meer informatie
• Voor de Power Platform-inventarisconnector moet u de volgende resources en configuraties instellen.
  • Opslagaccount voor gebruik met Azure Data Lake Storage Gen2. Zie Een opslagaccount maken voor gebruik met Azure Data Lake Storage Gen2 voor meer informatie.
  • URL van blob-service-eindpunt voor het opslagaccount. Zie Service-eindpunten ophalen voor het opslagaccount voor meer informatie.
  • Selfserviceanalyse van Power Platform die is geconfigureerd voor het gebruik van het Azure Data Lake Storage Gen2-opslagaccount. Het kan tot 48 uur duren voordat dit proces is geactiveerd. Zie Selfserviceanalyse van Microsoft Power Platform instellen voor het exporteren van Power Platform-inventaris- en gebruiksgegevens voor meer informatie. Bekijk de vereisten en vereisten voor de selfserviceanalysefunctie van Power Platform. De vereisten omvatten dat u openbare toegang tot het opslagaccount inschakelt en dat u over de vereiste machtigingen beschikt om de gegevensexport in te stellen.
  • Machtigingen voor het toewijzen van de rol Opslagblobgegevenslezer aan de Azure-functie

Het inschakelen van de Power Platform-inventarisgegevensconnector wordt aanbevolen, maar is niet vereist om de Microsoft Power Platform-oplossing volledig te implementeren. Zie de Power Platform-inventarisgegevensconnector voor meer informatie.

De Power Platform-oplossing installeren in Microsoft Sentinel

Installeer de oplossing vanuit de inhoudshub in Microsoft Sentinel met behulp van de volgende stappen.

1. Zoek en selecteer Microsoft Sentinel in Azure Portal.
2. Selecteer de Microsoft Sentinel-werkruimte waarin u de oplossing wilt implementeren.
3. Selecteer onder Inhoudsbeheer de optie Inhoudshub.
4. Zoek en selecteer Power Platform.
5. Selecteer Installeren.
6. Selecteer Maken op de pagina met oplossingsgegevens.
7. Voer op het tabblad Basis het abonnement, de resourcegroep en de werkruimte in om de oplossing te implementeren.
8. Selecteer Beoordelen en maken> om de oplossing te implementeren.

De gegevensconnectors inschakelen

Schakel in Microsoft Sentinel de zes gegevensconnectors in om activiteitenlogboeken en inventarisgegevens van de Power Platform-onderdelen te verzamelen.

Power Platform-inventarisgegevensconnector

Met de Power Platform-inventarisgegevensconnector kunt u de GUID's voor Power Platform- en PowerApps-omgevingen in de incidentgegevens omzetten in de leesbare namen die worden weergegeven in het Power Platform-beheercentrum en de Power Apps Maker-portal. We raden u aan deze gegevensconnector in te schakelen, maar het is niet vereist om de Microsoft Power Platform-oplossing volledig te implementeren.

Om de opname te optimaliseren, neemt de Power Platform-inventarisgegevensconnector elke 7 dagen gegevens en incrementele updates dagelijks op. De incrementele updates omvatten alleen inventarisassets die sinds de vorige dag wijzigingen hebben.

Als u Power Apps en Power Automate-inventarisgegevens wilt verzamelen, implementeert u de Azure Resource Manager-sjabloon om een functie-app te maken. Voor het voltooien van de implementatie hebt u de URL van de blobservice voor uw Azure Data Lake Storage Gen2-opslagaccount nodig. Nadat u de functie-app hebt gemaakt, verleent u de beheerde identiteit voor de functie-app toegang tot het opslagaccount.

1. Selecteer gegevensconnectors in Microsoft Sentinel onder Configuratie.
2. Zoek en selecteer Power Platform Inventory (met behulp van Azure Functions).
3. Selecteer de pagina Verbindingslijn openen.
4. Als u de selfserviceanalysefunctie van Power Platform niet hebt ingeschakeld, volgt u de stappen 1 en 2 onder Configuratie .
5. Selecteer onder Configuratiestap>3 : Arm-sjabloon (Azure Resource Manager) de optie Implementeren in Azure.
6. Volg alle stappen in de wizard Implementatie van Azure Resource Manager-sjablonen en selecteer Beoordelen en maken>.
7. Als u niet over de vereiste machtigingen voor roltoewijzingen beschikt tijdens de implementatie van de Resource Manager-sjabloon, voert u onder Configuratie de stappen 4 en 5 uit.

Andere gegevensconnectors

Verbinding maken elk van de resterende gegevensconnectors door de volgende stappen uit te voeren.

1. Selecteer gegevensconnectors in Microsoft Sentinel onder Configuratie.
2. Zoek en selecteer de gegevensconnectors in de oplossing die u nodig hebt om verbinding te maken, zoals Microsoft Power Apps.
3. Selecteer de pagina Verbindingslijn openen> Verbinding maken.
4. Herhaal deze stappen voor elk van de volgende gegevensconnectors die deel uitmaken van de Power Platform-oplossing.
   • Microsoft Power Automate
   • Microsoft Power Platform Verbinding maken ors
   • Microsoft Power Platform DLP
   • Microsoft Power Platform Beheer-activiteit
   • Microsoft Dataverse

Controle inschakelen in uw Microsoft Dataverse-omgeving

Logboekregistratie van dataverse-activiteiten is alleen beschikbaar voor productie-dataverse-omgevingen. Andere typen omgevingen, zoals sandbox, bieden geen ondersteuning voor activiteitenlogboekregistratie. Zie vereisten voor activiteitenlogboekregistratie van Microsoft Dataverse en modelgestuurde apps. Logboekregistratie van dataverse-activiteiten is niet standaard ingeschakeld. Schakel controle op globaal niveau in voor Dataverse en voor elke Dataverse-entiteit.

Controleren op globaal niveau

Ga in uw Dataverse-omgeving naar Instellingen> Audit-instellingen. Schakel onder Controle alle drie de selectievakjes in.

• Controle starten
• Toegang tot logboeken
• Logboeken lezen

Zie Dataverse-controle beheren voor meer informatie over deze stappen.

Dataverse-entiteiten controleren

Schakel gedetailleerde controle in voor elk van de Dataverse-entiteiten. Als u controle wilt inschakelen voor standaardentiteiten, importeert u een door Power Platform beheerde oplossing. Als u controle wilt inschakelen voor aangepaste entiteiten, moet u handmatig gedetailleerde controle inschakelen voor elk van de aangepaste entiteiten.

Controle automatisch inschakelen voor standaardentiteiten

De snelste manier om standaardcontrole-instellingen voor alle Dataverse-entiteiten in te schakelen, is door de juiste door Power Platform beheerde oplossing te importeren in uw Power Platform-omgeving. Deze beheerde oplossing maakt gedetailleerde controle mogelijk voor elk van de standaardentiteiten die worden vermeld in het volgende bestand: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g Als u controle wilt inschakelen voor aangepaste entiteiten, moet u handmatig gedetailleerde controle inschakelen voor elk van de aangepaste entiteiten.

Voer de volgende stappen uit om entiteitscontrole automatisch in te schakelen.

1. Ga naar https://make.powerapps.com.

2. Kies de omgeving die u wilt bewaken vanaf de rechterbovenhoek van de pagina.

3. Ga naar de oplossing Oplossingen>importeren.

4. Importeer een van de volgende oplossingen, afhankelijk van of uw Power Platform-omgeving wordt gebruikt voor Dynamics 365 CE-apps of niet.

   • Voor gebruik met Dynamics 365 CE-apps importeert u https://aka.ms/AuditSettings/Dynamics.
   • Anders importeert u https://aka.ms/AuditSettings/DataverseOnly.

Entiteitscontrole handmatig inschakelen

Als u controle op elke Dataverse-entiteit handmatig wilt inschakelen, inclusief aangepaste entiteiten, volgt u de stappen in de sectie Entiteiten en velden in- of uitschakelen voor controle in Dataverse-controle beheren.

Als u de volledige waarde voor incidentdetectie van de oplossing wilt ophalen, raden we u aan om voor elke Dataverse-entiteit die u wilt controleren, de volgende opties in te schakelen op het tabblad Algemeen van de pagina Instellingen van de Dataverse-entiteit:

• Selecteer Controle in de sectie Data Services.
• Selecteer in de sectie Controle de optie Controle van één record en Controle van meerdere records.

Sla uw aanpassingen op en publiceer deze.

Controleer of de gegevensconnector logboeken opneemt naar Microsoft Sentinel

Voer de volgende stappen uit om te controleren of de opname van logboeken werkt.

Activiteiten- en inventarislogboeken genereren

1. Voer activiteiten uit zoals maken, bijwerken en verwijderen om logboeken te genereren voor gegevens die u hebt ingeschakeld voor bewaking.
2. Wacht maximaal 60 minuten totdat Microsoft Sentinel de activiteitenlogboeken heeft opgenomen in de logboektabel in de werkruimte.
3. Wacht tot 24 uur totdat Microsoft Sentinel de gegevens opneemt in de logboektabellen in de werkruimte voor Power Platform-inventarisgegevens.

Opgenomen gegevens weergeven in Microsoft Sentinel

Nadat u hebt gewacht totdat Microsoft Sentinel de gegevens heeft opgenomen, voert u de volgende stappen uit om te controleren of u de verwachte gegevens krijgt.

1. Selecteer Logboeken in Microsoft Sentinel.

2. Voer KQL-query's uit op de tabellen die de activiteitenlogboeken van de gegevensconnectors verzamelen. Voer bijvoorbeeld de volgende query uit om 50 rijen uit de tabel te retourneren met de Power Apps-activiteitenlogboeken.

    PowerAppsActivity
    | take 50
   

   De volgende tabel bevat de Log Analytics-tabellen die moeten worden opvraagt.

   Log Analytics-tabellen	Verzamelde gegevens
   PowerAppsActivity	Activiteitenlogboeken van Power Apps
   PowerAutomateActivity	Power Automate-activiteitenlogboeken
   PowerPlatform Verbinding maken orActivity	Activiteitenlogboeken van Power Platform-connector
   PowerPlatformDlpActivity	Activiteitenlogboeken voor preventie van gegevensverlies
   PowerPlatform Beheer Activiteit	Power Platform-beheerlogboeken
   DataverseActivity	Activiteitenlogboek voor dataverse en modelgestuurde apps

   Gebruik de volgende parsers om inventaris- en volglijstgegevens te retourneren.

   Parser	Geretourneerde gegevens
   InventoryApps	Power Apps-inventaris
   InventoryAppsConnections	Inventarisverbindingen van Power Apps-verbindingen
   InventoryEnvironments	Inventaris van Power Platform-omgevingen
   InventoryFlows	Inventaris van Power Automate-stromen
   MSBizAppsTerminatedEmployees	Volglijst voor beëindigde werknemers

3. Controleer of in de resultaten voor elke tabel de activiteiten worden weergegeven die u hebt gegenereerd.

Volgende stappen

In dit artikel hebt u geleerd hoe u de Microsoft Sentinel-oplossing voor Power Platform implementeert.

• Als u de inhoud van de oplossing die beschikbaar is voor deze oplossing wilt bekijken, raadpleegt u de Microsoft Sentinel-oplossing voor Microsoft Power Platform: naslaginformatie over beveiligingsinhoud.
• Als u de oplossingsonderdelen wilt beheren en beveiligingsinhoud wilt inschakelen, raadpleegt u Out-Of-The-Box-inhoud ontdekken en implementeren.