Wdrażanie rozwiązania Microsoft Sentinel dla platformy Microsoft Power Platform

  • Artykuł

Rozwiązanie Microsoft Sentinel dla platformy Power Platform umożliwia monitorowanie i wykrywanie podejrzanych lub złośliwych działań w środowisku platformy Power Platform. Rozwiązanie zbiera dzienniki aktywności z różnych składników platformy Power Platform i danych spisu. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel solution for Microsoft Power Platform overview (Omówienie rozwiązania Microsoft Sentinel dla platformy Microsoft Power Platform).

Ważne

  • Rozwiązanie Usługi Microsoft Sentinel dla platformy Power Platform jest obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
  • Rozwiązanie to oferta premium. Informacje o cenach będą dostępne, zanim rozwiązanie stanie się ogólnie dostępne.
  • Prześlij opinię na temat tego rozwiązania, wypełniając tę ankietę: https://aka.ms/SentinelPowerPlatformSolutionSurvey.

Wymagania wstępne

  • Rozwiązanie Microsoft Sentinel jest włączone.
  • Masz zdefiniowany obszar roboczy usługi Microsoft Sentinel i masz uprawnienia do odczytu i zapisu w obszarze roboczym.
  • Twoja organizacja używa platformy Power Platform do tworzenia i używania usługi Power Apps.
  • Aplikację funkcji platformy Azure można utworzyć przy użyciu Microsoft.Web/Sitesuprawnień , Microsoft.Web/ServerFarms, Microsoft.Insights/Componentsi Microsoft.Storage/StorageAccounts .
  • Możesz utworzyć reguły/punkty końcowe zbierania danych z uprawnieniami do:
    • Microsoft.Insights/DataCollectionEndpoints, i Microsoft.Insights/DataCollectionRules.
    • Przypisz rolę Wydawca metryk monitorowania do funkcji platformy Azure.
  • Rejestrowanie inspekcji jest włączone w usłudze Microsoft Purview. Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie inspekcji dla usługi Microsoft Purview
  • W przypadku łącznika spisu platformy Power Platform skonfigurować następujące zasoby i konfiguracje.

Włączenie łącznika danych spisu platformy Power Platform jest zalecane, ale nie jest wymagane do pełnego wdrożenia rozwiązania Microsoft Power Platform. Aby uzyskać więcej informacji, zobacz Power Platform inventory data connector (Łącznik danych spisu platformy Power Platform).

Instalowanie rozwiązania Power Platform w usłudze Microsoft Sentinel

Zainstaluj rozwiązanie z centrum zawartości w usłudze Microsoft Sentinel, wykonując następujące kroki.

  1. W witrynie Azure Portal wyszukaj i wybierz pozycję Microsoft Sentinel.
  2. Wybierz obszar roboczy usługi Microsoft Sentinel, w którym planujesz wdrożyć rozwiązanie.
  3. W obszarze Zarządzanie zawartością wybierz pozycję Centrum zawartości.
  4. Wyszukaj i wybierz pozycję Power Platform.
  5. Wybierz Zainstaluj.
  6. Na stronie szczegółów rozwiązania wybierz pozycję Utwórz.
  7. Na karcie Podstawy wprowadź subskrypcję, grupę zasobów i obszar roboczy, aby wdrożyć rozwiązanie.
  8. Wybierz pozycję Przejrzyj i utwórz utwórz>, aby wdrożyć rozwiązanie.

Włączanie łączników danych

W usłudze Microsoft Sentinel włącz sześć łączników danych w celu zbierania dzienników aktywności i danych spisu ze składników platformy Power Platform.

Łącznik danych spisu platformy Power Platform

Łącznik danych spisu platformy Power Platform umożliwia rozpoznawanie identyfikatorów GUID dla środowisk platform Power Platform i PowerApps w szczegółach zdarzenia do czytelnych nazw, które są wyświetlane w centrum administracyjnym platformy Power Platform i portalu twórcy usługi Power Apps. Zalecamy włączenie tego łącznika danych, ale nie jest wymagane do pełnego wdrożenia rozwiązania Microsoft Power Platform.

Aby zoptymalizować pozyskiwanie, łącznik danych spisu platformy Power Platform pozyskiwa dane w całości co 7 dni i aktualizacje przyrostowe codziennie. Aktualizacje przyrostowe obejmują tylko zasoby spisu, które mają zmiany od poprzedniego dnia.

Aby zebrać dane spisu usług Power Apps i Power Automate, wdróż szablon usługi Azure Resource Manager, aby utworzyć aplikację funkcji. Do ukończenia wdrażania potrzebny jest adres URL usługi blob dla konta magazynu usługi Azure Data Lake Storage Gen2. Po utworzeniu aplikacji funkcji przyznaj tożsamości zarządzanej aplikacji funkcji dostęp do konta magazynu.

  1. W usłudze Microsoft Sentinel w obszarze Konfiguracja wybierz pozycję Łączniki danych.
  2. Wyszukaj i wybierz pozycję Spis platformy Power Platform (przy użyciu usługi Azure Functions)..
  3. Wybierz pozycję Otwórz stronę łącznika.
  4. Jeśli funkcja samoobsługowej analizy platformy Power Platform nie została włączona, w obszarze Konfiguracja wykonaj kroki 1 i 2.
  5. W obszarze Konfiguracja>Krok 3 — Szablon usługi Azure Resource Manager (ARM) wybierz pozycję Wdróż na platformie Azure.
  6. Wykonaj wszystkie kroki kreatora wdrażania szablonu usługi Azure Resource Manager i wybierz pozycję Przejrzyj i utwórz.>
  7. Jeśli nie masz wymaganych uprawnień do przypisań ról podczas wdrażania szablonu usługi Resource Manager, w obszarze Konfiguracja wykonaj kroki 4 i 5.

Inne łączniki danych

Połączenie każdy z pozostałych łączników danych, wykonując następujące kroki.

  1. W usłudze Microsoft Sentinel w obszarze Konfiguracja wybierz pozycję Łączniki danych.
  2. Wyszukaj i wybierz łączniki danych w rozwiązaniu, które chcesz połączyć, na przykład Microsoft Power Apps.
  3. Wybierz pozycję Otwórz stronę> łącznika Połączenie.
  4. Powtórz te kroki dla każdego z następujących łączników danych, które są częścią rozwiązania Power Platform.
    • Microsoft Power Automate
    • Połączenie ory platformy Microsoft Power Platform
    • Microsoft Power Platform DLP
    • Działanie Administracja platformy Microsoft Power Platform
    • Microsoft Dataverse

Włączanie inspekcji w środowisku usługi Microsoft Dataverse

Rejestrowanie aktywności platformy Dataverse jest dostępne tylko w środowiskach produkcyjnych środowiskach dataverse. Inne typy środowisk, takie jak piaskownica, nie obsługują rejestrowania aktywności. Zobacz Wymagania dotyczące rejestrowania aktywności aplikacji opartych na modelu i usługi Microsoft Dataverse. Rejestrowanie aktywności usługi Dataverse nie jest domyślnie włączone. Włącz inspekcję na poziomie globalnym dla usługi Dataverse i dla każdej jednostki usługi Dataverse.

Inspekcja na poziomie globalnym

W środowisku Usługi Dataverse przejdź do Ustawienia Ustawienia inspekcji.> W obszarze Inspekcja zaznacz wszystkie trzy pola wyboru.

  • Rozpoczynanie inspekcji
  • Dostęp do dziennika
  • Odczytywanie dzienników

Aby uzyskać więcej informacji na temat tych kroków, zobacz Zarządzanie inspekcją usługi Dataverse.

Inspekcja jednostek usługi Dataverse

Włącz szczegółową inspekcję dla każdej z jednostek usługi Dataverse. Aby włączyć inspekcję dla domyślnych jednostek, zaimportuj rozwiązanie zarządzane przez platformę Power Platform. Aby włączyć inspekcję jednostek niestandardowych, należy ręcznie włączyć szczegółową inspekcję dla każdej z jednostek niestandardowych.

Automatyczne włączanie inspekcji dla jednostek domyślnych

Najszybszym sposobem włączenia domyślnych ustawień inspekcji dla wszystkich jednostek usługi Dataverse jest zaimportowanie odpowiedniego rozwiązania zarządzanego przez platformę Power Platform w środowisku platformy Power Platform. To rozwiązanie zarządzane umożliwia szczegółową inspekcję dla każdej z domyślnych jednostek wymienionych w następującym pliku: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g. Aby włączyć inspekcję jednostek niestandardowych, należy ręcznie włączyć szczegółową inspekcję dla każdej z jednostek niestandardowych.

Aby automatycznie włączyć inspekcję jednostek, wykonaj następujące kroki.

  1. Przejdź do https://make.powerapps.com.

  2. Wybierz środowisko, które chcesz monitorować w prawym górnym rogu strony.

  3. Przejdź do pozycji Rozwiązanie importu rozwiązań>.

  4. Zaimportuj jedno z następujących rozwiązań w zależności od tego, czy środowisko platformy Power Platform jest używane dla aplikacji Dynamics 365 CE, czy nie.

Ręczne włączanie inspekcji jednostek

Aby ręcznie włączyć inspekcję dla każdej jednostki usługi Dataverse, w tym jednostek niestandardowych, wykonaj kroki opisane w sekcji Włączanie lub wyłączanie jednostek i pól na potrzeby inspekcji w temacie Zarządzanie inspekcją usługi Dataverse.

Aby uzyskać pełną wartość wykrywania zdarzeń rozwiązania, zalecamy włączenie dla każdej jednostki usługi Dataverse, którą chcesz przeprowadzić inspekcję, następujące opcje na karcie Ogólne na stronie Ustawień jednostki usługi Dataverse:

  • W sekcji Usługi danych wybierz pozycję Inspekcja.
  • W sekcji Inspekcja wybierz pozycję Inspekcja pojedynczego rekordu i Inspekcja wielu rekordów.

Zapisz i opublikuj dostosowania.

Sprawdź, czy łącznik danych pozyskiwał dzienniki do usługi Microsoft Sentinel

Aby sprawdzić, czy pozyskiwanie dzienników działa, wykonaj następujące kroki.

Generowanie dzienników aktywności i spisu

  1. Uruchamiaj działania, takie jak tworzenie, aktualizowanie i usuwanie, aby wygenerować dzienniki dla danych, które zostały włączone do monitorowania.
  2. Poczekaj do 60 minut, aż usługa Microsoft Sentinel pozyska dzienniki aktywności do tabeli dzienników w obszarze roboczym.
  3. W przypadku danych spisu platformy Power Platform poczekaj do 24 godzin, aż usługa Microsoft Sentinel pozyska dane do tabel dzienników w obszarze roboczym.

Wyświetlanie pozyskanych danych w usłudze Microsoft Sentinel

Po oczekiwaniu na pozyskiwanie danych przez usługę Microsoft Sentinel wykonaj następujące kroki, aby zweryfikować oczekiwane dane.

  1. W usłudze Microsoft Sentinel wybierz pozycję Dzienniki.

  2. Uruchom zapytania KQL względem tabel, które zbierają dzienniki aktywności z łączników danych. Uruchom na przykład następujące zapytanie, aby zwrócić 50 wierszy z tabeli przy użyciu dzienników aktywności usługi Power Apps.

     PowerAppsActivity
 | take 50

    W poniższej tabeli wymieniono tabele usługi Log Analytics do wykonywania zapytań.

    Tabele usługi Log Analytics Zebrane dane
    PowerAppsActivity Dzienniki aktywności usługi Power Apps
    PowerAutomateActivity Dzienniki aktywności usługi Power Automate
    PowerPlatform Połączenie orActivity Dzienniki aktywności łącznika platformy Power Platform
    PowerPlatformDlpActivity Dzienniki aktywności zapobiegania utracie danych
    PowerPlatform Administracja Activity Dzienniki administracyjne platformy Power Platform
    DataverseActivity Rejestrowanie aktywności aplikacji opartych na modelu i aplikacji opartych na modelu

    Użyj poniższych analizatorów, aby zwrócić dane spisu i listy obserwowanych.

    Parser Zwrócone dane
    InventoryApps Spis usługi Power Apps
    InventoryAppsConnections Połączenia ze spisem połączeń usługi Power Apps
    InventoryEnvironments Spis środowisk platformy Power Platform
    InventoryFlows Spis przepływów usługi Power Automate
    MSBizAppsTerminatedEmployees Lista obserwowanych zakończonych pracowników

  3. Sprawdź, czy wyniki dla każdej tabeli pokazują wygenerowane działania.

Następne kroki

W tym artykule przedstawiono sposób wdrażania rozwiązania Microsoft Sentinel dla platformy Power Platform.