Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie die Microsoft Sentinel Lösung für Microsoft Business Apps bereitstellen, um Ihre Microsoft Power Platform und Microsoft Dynamics 365 Customer Engagement-System mit Microsoft Sentinel zu verbinden. Die Lösung sammelt Überwachungs- und Aktivitätsprotokolle, um Bedrohungen, verdächtige Aktivitäten, unzulässige Aktivitäten und vieles mehr zu erkennen.
Voraussetzungen
Stellen Sie vor dem Bereitstellen der Microsoft Sentinel-Lösung für Microsoft Business Apps sicher, dass die folgenden Voraussetzungen erfüllt sind:
Ihr Log Analytics-Arbeitsbereich muss für Microsoft Sentinel aktiviert sein.
Sie benötigen Lese- und Schreibzugriff auf den Arbeitsbereich. Sie müssen in der Lage sein, Folgendes zu erstellen:
-
Datensammlungsregeln/-endpunkte mit ,
Microsoft.Insights/DataCollectionEndpointsundMicrosoft.Insights/DataCollectionRules
-
Datensammlungsregeln/-endpunkte mit ,
Ihr organization muss Dynamics 365 Customer Engagement und/oder eine oder mehrere der Power Platform-Workloads verwenden.
Die Überwachungsprotokollierung muss auch in Microsoft Purview aktiviert sein. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachung für Microsoft Purview.
Wenn Sie mit Microsoft Dataverse arbeiten, wird die Überwachungsprotokollierung nur für Produktionsumgebungen unterstützt. Weitere Informationen finden Sie unter Microsoft Dataverse and model-driven apps activity logging requirements .For more information, see Microsoft Dataverse and model-driven apps activity logging requirements.For more information, see Microsoft Dataverse and model-driven apps activity logging requirements.
Installieren der Lösung und Bereitstellen Ihrer Datenconnectors
Installieren Sie zunächst die Microsoft Sentinel-Lösung für Microsoft Business Applications aus dem Microsoft Sentinel Content Hub.
Weitere Informationen finden Sie unter Ermitteln und Verwalten von Microsoft Sentinel sofort einsatzbereiten Inhalten.
Wählen Sie Konfigurationsdatenconnectors >aus, und suchen Sie einen der folgenden Datenconnectors, die Sie bereitstellen möchten:
- Microsoft Dataverse
- Microsoft Power Platform Admin-Aktivität
- Microsoft Power Automate
Hinweis
Der Dynamics 365 Finance- und Betriebsconnector ist ebenfalls Teil der Lösung. Weitere Informationen finden Sie unter Bereitstellen für Dynamics 365 Finance und Vorgänge.
Wählen Sie für jeden Datenconnector im Seitenbereich Connectorseite > öffnen Verbinden aus.
Konfigurieren der Datensammlung für Dataverse
Bei der Arbeit mit Microsoft Dataverse ist die Dataverse-Aktivitätsprotokollierung nur für Produktionsumgebungen verfügbar und nicht standardmäßig aktiviert. Aktivieren Sie die Überwachung sowohl auf globaler Ebene für Dataverse als auch für jede Dataverse-Entität:
Um die Überwachung für Standardentitäten zu aktivieren, importieren Sie eine der folgenden verwalteten Power Platform-Lösungen:
- Importieren https://aka.ms/AuditSettings/DynamicsSie zur Verwendung mit Dynamics 365 CE-Apps.
- Importieren Sie https://aka.ms/AuditSettings/DataverseOnlyandernfalls .
Die Lösung ermöglicht eine detaillierte Überwachung für jede der Standardentitäten, die im Artikel Überwachungseinstellungen für Dataverse aufgeführt sind.
Um die Überwachung für benutzerdefinierte Entitäten zu aktivieren, müssen Sie die detaillierte Überwachung für jede der benutzerdefinierten Entitäten manuell aktivieren. Weitere Informationen finden Sie unter Verwalten der Dataverse-Überwachung.
Um den vollständigen Incidenterkennungswert der Lösung zu erhalten, empfehlen wir Ihnen, für jede Dataverse-Entität, die Sie überwachen möchten, die folgenden Optionen auf der Registerkarte Allgemein der Seite Dataverse-Entitätseinstellungen zu aktivieren:
- Wählen Sie im Abschnitt Data Services die Option Überwachung aus.
- Wählen Sie im Abschnitt Überwachung die Option Einzeldatensatzüberwachung und Überwachung mehrerer Datensätze aus.
Stellen Sie sicher, dass Sie Ihre Anpassungen speichern und veröffentlichen.
Überprüfen der Protokollerfassung in Microsoft Sentinel
Nachdem Sie Ihre Datenconnectors bereitgestellt und die Datensammlung konfiguriert haben, führen Sie Aktivitäten wie Erstellen, Aktualisieren und Löschen aus, um Protokolle für Daten zu generieren, die Sie für die Überwachung aktiviert haben.
Warten Sie bei Power Platform-Aktivitätsprotokollen 60 Minuten, bis Microsoft Sentinel die Daten erfasst hat.
Um zu überprüfen, ob Microsoft Sentinel die erwarteten Daten erhält, führen Sie KQL-Abfragen für die Datentabellen aus, die Protokolle von Ihren Datenconnectors sammeln.
Führen Sie für Microsoft Sentinel im Azure-Portal KQL-Abfragen auf der Seite Allgemeine>Protokolle aus. Führen Sie im Defender-Portal KQL-Abfragen in der Untersuchungs- & Antwort>Hunting>Advanced hunting aus.
Führen Sie beispielsweise die folgende Abfrage aus, um die Power Platform-Protokollerfassung zu überprüfen, um 50 Zeilen aus der Tabelle mit den Power Apps-Aktivitätsprotokollen zurückzugeben.
PowerPlatformAdminActivity | take 50
In der folgenden Tabelle sind die abzufragenden Log Analytics-Tabellen aufgeführt.
| Log Analytics-Tabellen | Gesammelte Daten |
|---|---|
| PowerPlatformAdminActivity | Power Platform-Administratorprotokolle |
| PowerAutomateActivity | Power Automate-Aktivitätsprotokolle |
| DataverseActivity | Dataverse- und modellgesteuerte App-Aktivitätsprotokollierung |