Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo descreve como implementar a solução de Microsoft Sentinel para o Microsoft Business Apps para ligar o seu sistema microsoft Power Platform e Microsoft Dynamics 365 Customer Engagement ao Microsoft Sentinel. A solução recolhe registos de auditoria e atividade para detetar ameaças, atividades suspeitas, atividades ilegítimas e muito mais.
Pré-requisitos
Antes de implementar a solução Microsoft Sentinel para o Microsoft Business Apps, certifique-se de que cumpre os seguintes pré-requisitos:
A área de trabalho do Log Analytics tem de estar ativada para Microsoft Sentinel
Tem de ter acesso de leitura e escrita à área de trabalho. Tem de conseguir criar:
-
Regras/Pontos Finais de Recolha de Dados, com o
Microsoft.Insights/DataCollectionEndpointseMicrosoft.Insights/DataCollectionRules
-
Regras/Pontos Finais de Recolha de Dados, com o
A sua organização tem de utilizar Dynamics 365 Customer Engagement e/ou uma ou mais cargas de trabalho do Power Platform.
O registo de auditoria também tem de estar ativado no Microsoft Purview. Para obter mais informações, consulte Ativar ou desativar a auditoria do Microsoft Purview
Se estiver a trabalhar com o Microsoft Dataverse, o registo de auditoria é suportado apenas para ambientes de produção. Para obter mais informações, veja Microsoft Dataverse and model-driven apps activity logging requirements (Requisitos de registo de atividades de aplicações baseadas em modelos e do Microsoft Dataverse).
Instalar a solução e implementar os conectores de dados
Comece por instalar a solução de Microsoft Sentinel para Microsoft Business Applications a partir do hub de Conteúdos do Microsoft Sentinel.
Para obter mais informações, consulte Detetar e gerir Microsoft Sentinel conteúdo inicial.
Selecione Conectores de Dados de Configuração >e localize qualquer um dos seguintes conectores de dados que pretende implementar:
- Microsoft Dataverse
- Atividade de Administração do Microsoft Power Platform
- Microsoft Power Automate
Nota
O conector Dynamics 365 Finance e Operações também está incluído como parte da solução. Para obter mais informações, veja Deploy for Dynamics 365 Finance and Operations (Implementar para Dynamics 365 Finance e Operações).
Para cada conector de dados, no painel lateral, selecione Abrir página > do conector Ligar.
Configurar a recolha de dados para o Dataverse
Ao trabalhar com o Microsoft Dataverse, o registo de atividades dataverse está disponível apenas para ambientes de produção e não está ativado por predefinição. Ative a auditoria ao nível global do Dataverse e para cada entidade Dataverse:
Para ativar a auditoria em entidades predefinidas, importe uma das seguintes soluções geridas do Power Platform:
- Para utilizar com Dynamics 365 Aplicações CE, importe https://aka.ms/AuditSettings/Dynamics.
- Caso contrário, importe https://aka.ms/AuditSettings/DataverseOnly.
A solução permite uma auditoria detalhada para cada uma das entidades predefinidas listadas no artigo Definições de Auditoria do Dataverse.
Para ativar a auditoria em entidades personalizadas, tem de ativar manualmente a auditoria detalhada em cada uma das entidades personalizadas. Para obter mais informações, veja Manage Dataverse auditing (Gerir a auditoria dataverse).
Para obter o valor completo de deteção de incidentes da solução, recomendamos que ative, para cada entidade Dataverse que pretende auditar, as seguintes opções no separador Geral da página Definições da entidade Dataverse:
- Na secção Serviços de Dados , selecione Auditoria.
- Na secção Auditoria , selecione Auditoria de registo único e Auditoria de múltiplos registos.
Certifique-se de que guarda e publica as suas personalizações.
Verificar a ingestão de registos no Microsoft Sentinel
Depois de implementar os conectores de dados e configurar a recolha de dados, execute atividades como criar, atualizar e eliminar para gerar registos para os dados que ativou para monitorização.
Para os registos de atividades do Power Platform, aguarde 60 minutos para Microsoft Sentinel ingerir os dados.
Para verificar se Microsoft Sentinel está a obter os dados esperados, execute consultas KQL nas tabelas de dados que recolhem registos dos conectores de dados.
Para Microsoft Sentinel na portal do Azure, execute consultas KQL na páginaRegistosGerais>. No portal do Defender, execute consultas KQL na investigação & resposta>investigação>Investigação Avançada.
Por exemplo, para verificar a ingestão de registos do Power Platform, execute a seguinte consulta para devolver 50 linhas da tabela com os registos de atividades do Power Apps.
PowerPlatformAdminActivity | take 50
A tabela seguinte lista as tabelas do Log Analytics a consultar.
| Tabelas do Log Analytics | Dados recolhidos |
|---|---|
| PowerPlatformAdminActivity | Registos administrativos do Power Platform |
| PowerAutomateActivity | Registos de atividades do Power Automate |
| DataverseActivity | Dataverse and model-driven apps activity logging (Registo de atividades de aplicações baseadas em modelos e dataverse) |