Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Denne artikkelen beskriver hvordan du distribuerer den Microsoft Sentinel løsningen for Microsoft Business Apps for å koble Microsoft Power Platform og Microsoft Dynamics 365 Customer Engagement-systemet til Microsoft Sentinel. Løsningen samler inn revisjons- og aktivitetslogger for å oppdage trusler, mistenkelige aktiviteter, uekte aktiviteter og mer.
Forutsetninger
Før du distribuerer den Microsoft Sentinel løsningen for Microsoft Business Apps, må du sørge for at du oppfyller følgende forutsetninger:
Log Analytics-arbeidsområdet må være aktivert for Microsoft Sentinel
Du må ha lese- og skrivetilgang til arbeidsområdet. Du må kunne opprette:
-
Datainnsamlingsregler/-endepunkter med
Microsoft.Insights/DataCollectionEndpoints, ogMicrosoft.Insights/DataCollectionRules
-
Datainnsamlingsregler/-endepunkter med
Organisasjonen må bruke Dynamics 365 Customer Engagement og/eller én eller flere av Power Platform-arbeidsbelastningene.
Overvåkingslogging må også aktiveres i Microsoft Purview. Hvis du vil ha mer informasjon, kan du se Aktivere eller deaktivere overvåking for Microsoft Purview
Hvis du arbeider med Microsoft Dataverse, støttes overvåkingslogging bare for produksjonsmiljøer. Hvis du vil ha mer informasjon, kan du se Aktivitetsloggingskrav for Microsoft Dataverse og modelldrevne apper.
Installer løsningen, og distribuer datakoblingene
Start med å installere Microsoft Sentinel-løsningen for Microsoft Business Applications fra Microsoft Sentinel Innhold-huben.
Hvis du vil ha mer informasjon, kan du se Oppdage og administrere Microsoft Sentinel forhåndsdefinert innhold.
Velg Konfigurasjonsdata-koblinger>, og finn følgende datakoblinger du vil distribuere:
- Microsoft Dataverse
- Microsoft Power Platform Admin-aktivitet
- Microsoft Power Automate
Obs!
Koblingen Dynamics 365 Finance og Operasjoner er også inkludert som en del av løsningen. Hvis du vil ha mer informasjon, kan du se Distribuer for Dynamics 365 Finance og operasjoner.
Velg Koble >til på sideruten for hver datakobling.
Konfigurer datainnsamling for Dataverse
Når du arbeider med Microsoft Dataverse, er datavers aktivitetslogging bare tilgjengelig for produksjonsmiljøer, og er ikke aktivert som standard. Aktiver overvåking både på globalt nivå for Dataverse og for hver Dataverse-enhet:
Hvis du vil aktivere overvåking på standardenheter, kan du importere én av følgende Administrerte løsninger for Power Platform:
- Importer for bruk med Dynamics 365 CE-apperhttps://aka.ms/AuditSettings/Dynamics.
- Ellers importerer du https://aka.ms/AuditSettings/DataverseOnly.
Løsningen aktiverer detaljert overvåking for hver av standardenheter som er oppført i artikkelen Overvåkingsinnstillinger for Dataverse.
Hvis du vil aktivere overvåking på egendefinerte enheter, må du manuelt aktivere detaljert overvåking på hver av de egendefinerte enhetene. Hvis du vil ha mer informasjon, kan du se Behandle datavers revisjon.
For å få den fullstendige hendelsesregistreringsverdien for løsningen, anbefaler vi at du aktiverer, for hver Dataverse-enhet du vil overvåke, følgende alternativer i Generelt-fanen på innstillingssiden for Dataverse-enheten:
- Velg Overvåking under Datatjenester-delen.
- Under Overvåking-delen velger du overvåking av én enkelt post og overvåking av flere poster.
Pass på å lagre og publisere tilpassingene.
Kontroller logginntaket til Microsoft Sentinel
Når du har distribuert datakoblingene og konfigurert datainnsamling, kjører du aktiviteter som oppretting, oppdatering og sletting for å generere logger for data som du har aktivert for overvåking.
Når det gjelder aktivitetslogger for Power Platform, venter du i 60 minutter på at Microsoft Sentinel skal ta inn dataene.
Hvis du vil bekrefte at Microsoft Sentinel får dataene du forventer, kjører du KQL-spørringer mot datatabellene som samler inn logger fra datakoblingene.
Kjør KQL-spørringer på siden Generelle>logger for Microsoft Sentinel i Azure Portal. Kjør KQL-spørringer i Undersøkelse-& respons>jakt> avansertjakt i Defender-portalen.
Hvis du for eksempel vil bekrefte logginntaket i Power Platform, kjører du følgende spørring for å returnere 50 rader fra tabellen med aktivitetsloggene for Power Apps.
PowerPlatformAdminActivity | take 50
Tabellen nedenfor viser Log Analytics-tabellene som skal spørres.
| Log Analytics-tabeller | Data som samles inn |
|---|---|
| PowerPlatformAdminActivity | Administrative logger for Power Platform |
| PowerAutomateActivity | Aktivitetslogger for Power Automate |
| Dataversaktivitet | Aktivitetslogging for dataverse og modelldrevne apper |