Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как развернуть решение Microsoft Sentinel для Microsoft Business Apps, чтобы подключить систему Microsoft Power Platform и Microsoft Dynamics 365 Customer Engagement к Microsoft Sentinel. Решение собирает журналы аудита и действий для обнаружения угроз, подозрительных действий, нелегитимных действий и т. д.
Необходимые компоненты
Перед развертыванием решения Microsoft Sentinel для Microsoft Business Apps убедитесь, что выполнены следующие предварительные требования:
Рабочая область Log Analytics должна быть включена для Microsoft Sentinel
У вас должен быть доступ на чтение и запись в рабочую область. Вы должны иметь возможность создавать следующие возможности:
-
Правила сбора данных/конечные точки с
Microsoft.Insights/DataCollectionEndpoints, иMicrosoft.Insights/DataCollectionRules
-
Правила сбора данных/конечные точки с
Ваша организация должна использовать Dynamics 365 Customer Engagement и (или) одну или несколько рабочих нагрузок Power Platform.
Ведение журнала аудита также должно быть включено в Microsoft Purview. Дополнительные сведения см. в разделе "Включение или отключение аудита" для Microsoft Purview
Если вы работаете с Microsoft Dataverse, ведение журнала аудита поддерживается только для рабочих сред. Дополнительные сведения см. в статье Microsoft Dataverse и требования к ведению журналов действий приложений на основе моделей.
Установка решения и развертывание соединителей данных
Начните с установки решения Microsoft Sentinel для бизнес-приложений из Центра содержимого Microsoft Sentinel.
Дополнительные сведения см. в "Обнаружение и управление готовым содержимым Microsoft Sentinel".
Выберите Конфигурация > и соединители данных, и найдите любой из следующих соединителей данных, которые требуется развернуть:
- Microsoft Dataverse
- Действие администратора Microsoft Power Platform
- Microsoft Power Automate (инструмент для автоматизации задач)
Замечание
Соединитель Dynamics 365 Finance and Operations также входит в состав решения. Дополнительные сведения см. в разделе "Развертывание для Dynamics 365 Finance and Operations".
Для каждого соединителя данных на боковой панели выберите "Открыть соединитель" на странице > Connect.
Настройка сбора данных для Dataverse
При работе с Microsoft Dataverse ведение журнала действий Dataverse доступно только для рабочих сред и не включено по умолчанию. Включите аудит как на глобальном уровне для Dataverse, так и для каждой сущности Dataverse:
Чтобы включить аудит сущностей по умолчанию, импортируйте одно из следующих управляемых решений Power Platform:
- Для использования с приложениями Dynamics 365 CE импортируйте https://aka.ms/AuditSettings/Dynamics.
- В противном случае импортируйте https://aka.ms/AuditSettings/DataverseOnly.
Решение включает подробный аудит для каждой сущности по умолчанию, перечисленных в статье, параметры аудита для Dataverse.
Чтобы включить аудит пользовательских сущностей, необходимо вручную включить подробный аудит для каждой из пользовательских сущностей. Дополнительные сведения см. в разделе "Управление аудитом dataverse".
Чтобы получить полное значение обнаружения инцидентов решения, рекомендуется включить для каждой сущности Dataverse, которую вы хотите проверить, следующие параметры на вкладке "Общие " на странице параметров сущности Dataverse:
- В разделе "Службы данных" выберите "Аудит".
- В разделе "Аудит" выберите "Аудит одной записи" и "Несколько записей".
Обязательно сохраните и опубликуйте настройки.
Проверка приема журналов в Microsoft Sentinel
После развертывания соединителей данных и настройки сбора данных выполните такие действия, как создание, обновление и удаление, чтобы создать журналы для данных, включенных для мониторинга.
Для журналов действий Power Platform подождите 60 минут, пока Microsoft Sentinel не будет прием данных.
Чтобы убедиться, что Microsoft Sentinel получает ожидаемые данные, запустите запросы KQL к таблицам данных, которые собирают журналы из соединителей данных.
Для Microsoft Sentinel на портале Azure выполните запросы KQL на странице общих журналов. На портале Defender выполните запросы KQL в разделе Исследование и ответ>, Охота> и Расширенная охота за угрозами.
Например, чтобы проверить прием журнала Power Platform, выполните следующий запрос, чтобы вернуть 50 строк из таблицы с журналами действий Power Apps.
PowerPlatformAdminActivity | take 50
В следующей таблице перечислены таблицы Log Analytics для запроса.
| Таблицы Log Analytics | Собираемые данные |
|---|---|
| Активность администратора PowerPlatform | Административные журналы Power Platform |
| ПауэрАвтоматАктивити | Журналы действий Power Automate |
| DataverseActivity | Ведение журнала действий приложений на основе данных и моделей |