この記事では、Microsoft Business Apps 用のMicrosoft Sentinel ソリューションを展開して、Microsoft Power Platform と customer Engagement システムをMicrosoft SentinelにMicrosoft Dynamics 365する方法について説明します。 このソリューションは、脅威、疑わしいアクティビティ、違法なアクティビティなどを検出するために、監査ログとアクティビティ ログを収集します。
前提条件
Microsoft Business Apps 用のMicrosoft Sentinel ソリューションを展開する前に、次の前提条件を満たしていることを確認してください。
Log Analytics ワークスペースは、Microsoft Sentinelに対して有効にする必要があります
ワークスペースへの読み取りおよび書き込みアクセス権が必要です。 次を作成できる必要があります。
-
データ収集ルール/エンドポイント、
Microsoft.Insights/DataCollectionEndpoints、Microsoft.Insights/DataCollectionRules
-
データ収集ルール/エンドポイント、
organizationでは、Dynamics 365 Customer Engagement または 1 つ以上の Power Platform ワークロードを使用する必要があります。
監査ログは 、Microsoft Purview でも有効にする必要があります。 詳細については、「Microsoft Purview の監査を有効または無効にする」を参照してください。
Microsoft Dataverse を使用している場合、監査ログは運用環境でのみサポートされます。 詳細については、「 Microsoft Dataverse およびモデル駆動型アプリのアクティビティ ログの要件」を参照してください。
ソリューションをインストールし、データ コネクタをデプロイする
まず、Microsoft Sentinel コンテンツ ハブからMicrosoft Business Applications用のMicrosoft Sentinel ソリューションをインストールします。
詳細については、「すぐに使用Microsoft Sentinelコンテンツを検出して管理する」を参照してください。
[ 構成] > [データ コネクタ] を選択し、デプロイする次のいずれかのデータ コネクタを見つけます。
- Microsoft Dataverse
- Microsoft Power Platform 管理 アクティビティ
- Microsoft Power Automate
注:
Dynamics 365 Financeおよび Operations コネクタもソリューションの一部として含まれています。 詳細については、「deploy for Dynamics 365 Finance and Operations」を参照してください。
データ コネクタごとに、サイド ウィンドウで [ コネクタ ページを開く] > [接続] を選択します。
Dataverse のデータ収集を構成する
Microsoft Dataverse を使用する場合、Dataverse アクティビティ ログは運用環境でのみ使用でき、既定では有効になっていません。 Dataverse のグローバル レベルと Dataverse エンティティごとの監査を有効にします。
既定のエンティティで監査を有効にするには、次のいずれかの Power Platform マネージド ソリューションをインポートします。
- DYNAMICS 365 CE Apps で使用する場合は、https://aka.ms/AuditSettings/Dynamicsをインポートします。
- それ以外の場合は、 https://aka.ms/AuditSettings/DataverseOnlyをインポートします。
このソリューションを使用すると、 Dataverse の監査設定に関する記事に記載されている既定のエンティティごとに詳細な監査が可能になります。
カスタム エンティティの監査を有効にするには、各カスタム エンティティの詳細な監査を手動で有効にする必要があります。 詳細については、「 Dataverse 監査の管理」を参照してください。
ソリューションの完全なインシデント検出値を取得するには、監査する Dataverse エンティティごとに、Dataverse エンティティ設定ページの [ 全般 ] タブで次のオプションを有効にすることをお勧めします。
- [ Data Services ] セクションで、[ 監査] を選択します。
- [監査] セクション で 、[ 単一レコード監査 ] と [ 複数レコード監査] を選択します。
カスタマイズを保存して公開してください。
Microsoft Sentinelへのログ インジェストを確認する
データ コネクタをデプロイし、データ収集を構成したら、作成、更新、削除などのアクティビティを実行して、監視を有効にしたデータのログを生成します。
Power Platform アクティビティ ログの場合は、Microsoft Sentinelがデータを取り込むまで 60 分待ちます。
Microsoft Sentinelが予期したデータを取得していることを確認するには、データ コネクタからログを収集するデータ テーブルに対して KQL クエリを実行します。
Azure portalでMicrosoft Sentinelする場合は、[全般]>Logs ページで KQL クエリを実行します。 Defender ポータルで、調査 & 応答>Hunting>Advanced ハンティングで KQL クエリを実行します。
たとえば、Power Platform ログ インジェストを確認するには、次のクエリを実行して、Power Apps アクティビティ ログを含むテーブルから 50 行を返します。
PowerPlatformAdminActivity | take 50
次の表に、クエリを実行する Log Analytics テーブルの一覧を示します。
| Log Analytics テーブル | 収集されるデータ |
|---|---|
| PowerPlatformAdminActivity | Power Platform の管理ログ |
| PowerAutomateActivity | Power Automate アクティビティ ログ |
| DataverseActivity | データバースとモデル駆動型アプリのアクティビティ ログ |