Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt beschreven hoe u de Microsoft Sentinel-oplossing voor Microsoft Business Apps implementeert om uw Microsoft Power Platform en Microsoft Dynamics 365 Customer Engagement-systeem te verbinden met Microsoft Sentinel. De oplossing verzamelt audit- en activiteitenlogboeken om bedreigingen, verdachte activiteiten, onwettige activiteiten en meer te detecteren.
Vereisten
Voordat u de Microsoft Sentinel-oplossing voor Microsoft Business Apps implementeert, moet u ervoor zorgen dat u voldoet aan de volgende vereisten:
Uw Log Analytics-werkruimte moet zijn ingeschakeld voor Microsoft Sentinel
U moet lees- en schrijftoegang hebben tot de werkruimte. U moet het volgende kunnen maken:
-
Regels/eindpunten voor gegevensverzameling, met de
Microsoft.Insights/DataCollectionEndpointsenMicrosoft.Insights/DataCollectionRules
-
Regels/eindpunten voor gegevensverzameling, met de
Uw organisatie moet gebruikmaken van Dynamics 365 Customer Engagement en/of een of meer Power Platform-workloads.
Auditlogboekregistratie moet ook worden ingeschakeld in Microsoft Purview. Zie Controle in- of uitschakelen voor Microsoft Purview voor meer informatie.
Als u met Microsoft Dataverse werkt, wordt auditlogboekregistratie alleen ondersteund voor productieomgevingen. Zie Vereisten voor activiteitenlogboeken van Microsoft Dataverse en modelgestuurde apps voor meer informatie.
De oplossing installeren en uw gegevensconnectors implementeren
Installeer eerst de Microsoft Sentinel-oplossing voor Microsoft Business Applications vanuit de hub Microsoft Sentinel Content.
Zie Out-of-the-Box-inhoud van Microsoft Sentinel detecteren en beheren voor meer informatie.
Selecteer Configuratiegegevensconnectors >en zoek een van de volgende gegevensconnectors die u wilt implementeren:
- Microsoft Dataverse
- Microsoft Power Platform Beheer-activiteit
- Microsoft Power Automate
Opmerking
De connector Dynamics 365 Finance en Operations maakt ook deel uit van de oplossing. Zie Implementeren voor Dynamics 365 Finance en bewerkingen voor meer informatie.
Selecteer voor elke gegevensconnector in het zijvenster Connectorpagina openen > Verbinding maken.
Gegevensverzameling configureren voor Dataverse
Wanneer u met Microsoft Dataverse werkt, is logboekregistratie van Dataverse-activiteiten alleen beschikbaar voor productieomgevingen en is deze niet standaard ingeschakeld. Schakel controle in op zowel globaal niveau voor Dataverse als voor elke Dataverse-entiteit:
Als u controle op standaardentiteiten wilt inschakelen, importeert u een van de volgende door Power Platform beheerde oplossingen:
- Importeer voor gebruik met Dynamics 365 CE-appshttps://aka.ms/AuditSettings/Dynamics.
- Anders importeert u https://aka.ms/AuditSettings/DataverseOnly.
De oplossing maakt gedetailleerde controle mogelijk voor elk van de standaardentiteiten die worden vermeld in het artikel Controle-instellingen voor Dataverse.
Als u controle op aangepaste entiteiten wilt inschakelen, moet u gedetailleerde controle handmatig inschakelen voor elk van de aangepaste entiteiten. Zie Dataverse-controle beheren voor meer informatie.
Als u de volledige waarde voor incidentdetectie van de oplossing wilt ophalen, raden we u aan om voor elke Dataverse-entiteit die u wilt controleren, de volgende opties in te schakelen op het tabblad Algemeen van de pagina met entiteitsinstellingen van Dataverse:
- Selecteer in de sectie Data Servicesde optie Controle.
- Selecteer in de sectie Controlede optie Controle van één record en Controle van meerdere records.
Zorg ervoor dat u uw aanpassingen opslaat en publiceert.
Logboekopname naar Microsoft Sentinel controleren
Nadat u uw gegevensconnectors hebt geïmplementeerd en gegevensverzameling hebt geconfigureerd, voert u activiteiten uit zoals maken, bijwerken en verwijderen om logboeken te genereren voor gegevens die u hebt ingeschakeld voor bewaking.
Voor activiteitenlogboeken van Power Platform wacht u 60 minuten totdat Microsoft Sentinel de gegevens hebt opgenomen.
Als u wilt controleren of Microsoft Sentinel de verwachte gegevens ontvangt, voert u KQL-query's uit op de gegevenstabellen die logboeken van uw gegevensconnectors verzamelen.
Voor Microsoft Sentinel in de Azure Portal voert u KQL-query's uit op de pagina Algemene>logboeken. Voer in de Defender-portal KQL-query's uit in het &-antwoord>Opsporing>geavanceerde opsporing.
Als u bijvoorbeeld de opname van uw Power Platform-logboek wilt controleren, voert u de volgende query uit om 50 rijen uit de tabel te retourneren met de Activiteitenlogboeken van Power Apps.
PowerPlatformAdminActivity | take 50
De volgende tabel bevat de Log Analytics-tabellen die u wilt opvragen.
| Log Analytics-tabellen | Verzamelde gegevens |
|---|---|
| PowerPlatformAdminActivity | Power Platform-beheerderslogboeken |
| PowerAutomateActivity | Power Automate-activiteitenlogboeken |
| DataverseActivity | Logboekregistratie van activiteiten in dataverse en modelgestuurde apps |