Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как развернуть решение Microsoft Sentinel для Microsoft Business Apps, чтобы подключить microsoft Power Platform и Microsoft Dynamics 365 систему Customer Engagement к Microsoft Sentinel. Решение собирает журналы аудита и действий для обнаружения угроз, подозрительных действий, незаконных действий и многого другого.
Предварительные условия
Перед развертыванием решения Microsoft Sentinel для Microsoft Business Apps убедитесь, что выполнены следующие предварительные требования:
Рабочая область Log Analytics должна быть включена для Microsoft Sentinel
У вас должен быть доступ на чтение и запись в рабочую область. Вы должны иметь возможность создавать:
-
Правила сбора данных и конечные точки с
Microsoft.Insights/DataCollectionEndpoints, иMicrosoft.Insights/DataCollectionRules
-
Правила сбора данных и конечные точки с
Ваша организация должна использовать Dynamics 365 взаимодействия с клиентами и (или) одну или несколько рабочих нагрузок Power Platform.
Ведение журнала аудита также должно быть включено в Microsoft Purview. Дополнительные сведения см. в статье Включение или отключение аудита для Microsoft Purview.
Если вы работаете с Microsoft Dataverse, ведение журнала аудита поддерживается только для рабочих сред. Дополнительные сведения см. в статье Требования к ведению журналов действий microsoft Dataverse и приложений на основе модели.
Установка решения и развертывание соединителей данных
Начните с установки решения Microsoft Sentinel для Microsoft Business Applications из центра содержимого Microsoft Sentinel.
Дополнительные сведения см. в статье Обнаружение и управление Microsoft Sentinel готового содержимого.
Выберите Соединители данных конфигурации >и найдите любой из следующих соединителей данных, которые требуется развернуть:
- Microsoft Dataverse
- Действия microsoft Power Platform Администратор
- Microsoft Power Automate
Примечание.
Соединитель Dynamics 365 Finance и операций также входит в состав решения. Дополнительные сведения см. в статье Развертывание для Dynamics 365 Finance и операций.
Для каждого соединителя данных на боковой панели выберите Открыть страницу > соединителя Подключиться.
Настройка сбора данных для Dataverse
При работе с Microsoft Dataverse ведение журнала действий Dataverse доступно только для рабочих сред и не включено по умолчанию. Включите аудит как на глобальном уровне для Dataverse, так и для каждой сущности Dataverse:
Чтобы включить аудит сущностей по умолчанию, импортируйте одно из следующих управляемых решений Power Platform:
- Для использования с приложениями CE Dynamics 365 импортируйте https://aka.ms/AuditSettings/Dynamics.
- В противном случае импортируйте https://aka.ms/AuditSettings/DataverseOnly.
Решение включает подробный аудит для каждой из сущностей по умолчанию, перечисленных в статье Параметры аудита для Dataverse.
Чтобы включить аудит пользовательских сущностей, необходимо вручную включить подробный аудит для каждой из пользовательских сущностей. Дополнительные сведения см. в разделе Управление аудитом Dataverse.
Чтобы получить полное значение обнаружения инцидентов решения, рекомендуется включить для каждой сущности Dataverse, которую требуется выполнить аудит, следующие параметры на вкладке Общие на странице параметров сущности Dataverse:
- В разделе Службы данных выберите Аудит.
- В разделе Аудит выберите Аудит одной записи и Аудит нескольких записей.
Обязательно сохраните и опубликуйте настройки.
Проверка приема журналов для Microsoft Sentinel
После развертывания соединителей данных и настройки сбора данных выполните такие действия, как создание, обновление и удаление, чтобы создать журналы для данных, которые вы включили для мониторинга.
Для журналов действий Power Platform подождите 60 минут, пока Microsoft Sentinel будет принимать данные.
Чтобы убедиться, что Microsoft Sentinel получает ожидаемые данные, выполните запросы KQL к таблицам данных, которые собирают журналы из соединителей данных.
Для Microsoft Sentinel в портал Azure выполните запросы KQL на странице Общие>журналы. На портале Defender выполните запросы KQL в разделе Исследование & ответ>Охота>на расширенную охоту.
Например, чтобы проверить прием журнала Power Platform, выполните следующий запрос, чтобы вернуть 50 строк из таблицы с журналами действий Power Apps.
PowerPlatformAdminActivity | take 50
В следующей таблице перечислены таблицы Log Analytics для запроса.
| Таблицы Log Analytics | Собираемые данные |
|---|---|
| PowerPlatformAdminActivity | Журналы администрирования Power Platform |
| PowerAutomateActivity | Журналы действий Power Automate |
| DataverseActivity | Ведение журнала действий приложений на основе моделей и dataverse |