Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment déployer la solution Microsoft Sentinel pour Microsoft Business Apps afin de connecter votre microsoft Power Platform et Microsoft Dynamics 365 système Customer Engagement à Microsoft Sentinel. La solution collecte les journaux d’audit et d’activité pour détecter les menaces, les activités suspectes, les activités illégitimes, etc.
Configuration requise
Avant de déployer la solution Microsoft Sentinel pour Microsoft Business Apps, vérifiez que vous remplissez les conditions préalables suivantes :
Votre espace de travail Log Analytics doit être activé pour Microsoft Sentinel
Vous devez disposer d’un accès en lecture et en écriture à l’espace de travail. Vous devez être en mesure de créer :
-
Règles/points de terminaison de collecte de données, avec et
Microsoft.Insights/DataCollectionEndpointsMicrosoft.Insights/DataCollectionRules
-
Règles/points de terminaison de collecte de données, avec et
Votre organization doit utiliser Dynamics 365 Customer Engagement et/ou une ou plusieurs des charges de travail Power Platform.
La journalisation d’audit doit également être activée dans Microsoft Purview. Pour plus d’informations, consultez Activer ou désactiver l’audit pour Microsoft Purview
Si vous utilisez Microsoft Dataverse, la journalisation d’audit est prise en charge uniquement pour les environnements de production. Pour plus d’informations, consultez Exigences de journalisation de l’activité des applications basées sur Microsoft Dataverse et les modèles.
Installer la solution et déployer vos connecteurs de données
Commencez par installer la solution Microsoft Sentinel pour Microsoft Business Applications à partir du hub de contenu Microsoft Sentinel.
Pour plus d’informations, consultez Découvrir et gérer Microsoft Sentinel contenu prête à l’emploi.
Sélectionnez Connecteurs de données de configuration>, puis recherchez l’un des connecteurs de données suivants que vous souhaitez déployer :
- Microsoft Dataverse
- Activité Administration Microsoft Power Platform
- Microsoft Power Automate
Remarque
Le connecteur Dynamics 365 Finance et opérations est également inclus dans la solution. Pour plus d’informations, consultez Déployer pour Dynamics 365 Finance et opérations.
Pour chaque connecteur de données, dans le volet latéral, sélectionnez Ouvrir la page > du connecteur Se connecter.
Configurer la collecte de données pour Dataverse
Lorsque vous utilisez Microsoft Dataverse, la journalisation des activités Dataverse est disponible uniquement pour les environnements de production et n’est pas activée par défaut. Activez l’audit au niveau global pour Dataverse et pour chaque entité Dataverse :
Pour activer l’audit sur les entités par défaut, importez l’une des solutions managées Power Platform suivantes :
- Pour une utilisation avec Dynamics 365 CE Apps, importez https://aka.ms/AuditSettings/Dynamics.
- Sinon, importez https://aka.ms/AuditSettings/DataverseOnly.
La solution permet un audit détaillé pour chacune des entités par défaut répertoriées dans l’article Paramètres d’audit pour Dataverse.
Pour activer l’audit sur les entités personnalisées, vous devez activer manuellement l’audit détaillé sur chacune des entités personnalisées. Pour plus d’informations, consultez Gérer l’audit Dataverse.
Pour obtenir la valeur de détection d’incident complète de la solution, nous vous recommandons d’activer, pour chaque entité Dataverse que vous souhaitez auditer, les options suivantes sous l’onglet Général de la page paramètres de l’entité Dataverse :
- Dans la section Services de données , sélectionnez Audit.
- Sous la section Audit , sélectionnez Audit d’enregistrement unique et Audit d’enregistrements multiples.
Veillez à enregistrer et à publier vos personnalisations.
Vérifier l’ingestion des journaux pour Microsoft Sentinel
Après avoir déployé vos connecteurs de données et configuré la collecte de données, exécutez des activités telles que la création, la mise à jour et la suppression pour générer des journaux pour les données que vous avez activées pour la surveillance.
Pour les journaux d’activité Power Platform, attendez 60 minutes que Microsoft Sentinel ingère les données.
Pour vérifier que Microsoft Sentinel obtient les données attendues, exécutez des requêtes KQL sur les tables de données qui collectent les journaux à partir de vos connecteurs de données.
Pour Microsoft Sentinel dans le Portail Azure, exécutez des requêtes KQL sur la pageJournauxgénéraux>. Dans le portail Defender, exécutez des requêtes KQL dans la réponse> Investigation &Repérage>avancé.
Par exemple, pour vérifier l’ingestion des journaux Power Platform, exécutez la requête suivante pour renvoyer 50 lignes de la table avec les journaux d’activité Power Apps.
PowerPlatformAdminActivity | take 50
Le tableau suivant répertorie les tables Log Analytics à interroger.
| Tables Log Analytics | Données collectées |
|---|---|
| PowerPlatformAdminActivity | Journaux d’administration Power Platform |
| PowerAutomateActivity | Journaux d’activité Power Automate |
| DataverseActivity | Journalisation de l’activité des applications dataverse et basées sur des modèles |