Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel beschreibt, wie Sie die Microsoft Sentinel-Lösung für Microsoft Business Apps bereitstellen, um Ihr Microsoft Power Platform- und Microsoft Dynamics 365 Customer Engagement-System mit Microsoft Sentinel zu verbinden. Die Lösung sammelt Überwachungs- und Aktivitätsprotokolle, um Bedrohungen, verdächtige Aktivitäten, unzulässige Aktivitäten und vieles mehr zu erkennen.
Voraussetzungen
Stellen Sie vor der Bereitstellung der Microsoft Sentinel-Lösung für Microsoft Business Apps sicher, dass die folgenden Voraussetzungen erfüllt sind:
Der Log Analytics-Arbeitsbereich muss für Microsoft Sentinel aktiviert sein
Sie benötigen Lese- und Schreibzugriff auf den Arbeitsbereich. Sie müssen in der Lage sein, Folgendes zu erstellen:
-
Datensammlungsregeln/Endpunkte mit
Microsoft.Insights/DataCollectionEndpointsundMicrosoft.Insights/DataCollectionRules
-
Datensammlungsregeln/Endpunkte mit
Ihre Organisation muss Dynamics 365 Customer Engagement und/oder mindestens eine der Power Platform-Workloads verwenden.
Die Überwachungsprotokollierung muss auch in Microsoft Purview aktiviert sein. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachung für Microsoft Purview.
Wenn Sie mit Microsoft Dataverse arbeiten, wird die Überwachungsprotokollierung nur für Produktionsumgebungen unterstützt. Weitere Informationen finden Sie unter Anforderungen für die Aktivitätsprotokollierung für Microsoft Dataverse und modellgesteuerte Apps.
Installieren Sie die Lösung und setzen Sie Ihre Datenkonnektoren ein.
Installieren Sie zunächst die Microsoft Sentinel-Lösung für Microsoft Business Applications aus dem Inhaltshub von Microsoft Sentinel.
Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte.
Wählen Sie Konfiguration > Datenconnectors aus, und suchen Sie einen der folgenden Datenconnectors, die Sie bereitstellen möchten:
- Microsoft Dataverse
- Microsoft Power Platform Administratortätigkeit
- Microsoft Power Automate
Hinweis
Der Dynamics 365 Finance and Operations Connector ist auch als Teil der Lösung enthalten. Weitere Informationen finden Sie unter Deploy for Dynamics 365 Finance and Operations.
Wählen Sie für jeden Datenconnector im Seitenbereich Connectorseite öffnen> Verbinden aus.
Konfigurieren der Datensammlung für Dataverse
Bei der Arbeit mit Microsoft Dataverse ist die Dataverse-Aktivitätsprotokollierung nur für Produktionsumgebungen verfügbar und standardmäßig nicht aktiviert. Aktivieren Sie die Überwachung auf globaler Ebene für Dataverse und für jede Dataverse-Entität:
Um die Überwachung für Standardentitäten zu aktivieren, importieren Sie eine der folgenden verwalteten Power Platform-Lösungen:
- Für die Verwendung mit Dynamics 365 CE-Apps importieren Sie https://aka.ms/AuditSettings/Dynamics.
- Anderenfalls importieren Sie https://aka.ms/AuditSettings/DataverseOnly.
Die Lösung ermöglicht eine detaillierte Überwachung für jede der im Artikel aufgeführten Standardentitäten, Überwachungseinstellungen für Dataverse.
Um die Überwachung für benutzerdefinierte Entitäten zu aktivieren, müssen Sie die detaillierte Überwachung für jede der benutzerdefinierten Entitäten manuell aktivieren. Weitere Informationen finden Sie unter Dataverse-Überwachung verwalten.
Um den vollständigen Wert der Vorfallerkennung der Lösung zu erhalten, empfehlen wir für jede Dataverse-Entität, die Sie überwachen möchten, die folgenden Optionen auf der Registerkarte Allgemein der Seite „Dataverse-Entitätseinstellungen“ zu aktivieren:
- Wählen Sie im Abschnitt Data Services die Option Überwachung aus.
- Wählen Sie im Abschnitt Überwachung die Optionen Überwachung einzelner Datensätze und Überwachung mehrerer Datensätze aus.
Achten Sie darauf, Ihre Anpassungen zu speichern und zu veröffentlichen.
Überprüfen der Protokollerfassung in Microsoft Sentinel
Nachdem Sie Ihre Datenkonnektoren bereitgestellt haben und die Datensammlung konfiguriert haben, führen Sie Aktionen wie Erstellen, Aktualisieren und Löschen aus, um Protokolle für die Daten zu generieren, für die Sie die Überwachung aktiviert haben.
Für Power Platform-Aktivitätsprotokolle müssen Sie 60 Minuten warten, bis Microsoft Sentinel die Daten erfasst.
Um zu überprüfen, ob Microsoft Sentinel die erwarteten Daten erhält, führen Sie KQL-Abfragen für die Datentabellen aus, die Protokolle von Ihren Datenkonnektoren sammeln.
Führen Sie für Microsoft Sentinel im Azure-Portal KQL-Abfragen auf der Seite Allgemein>Protokolle aus. Führen Sie im Defender-Portal KQL-Abfragen in Untersuchung und Reaktion>Bedrohungssuche>Erweiterte Bedrohungssuche aus.
Führen Sie beispielsweise die folgende Abfrage aus, um die Protokollerfassung der Power Platform zu überprüfen und 50 Zeilen aus der Tabelle mit den Aktivitätsprotokollen von Power Apps zurückzugeben.
PowerPlatformAdminActivity | take 50
In der folgenden Tabelle sind die Tabellen der Protokollanalyse aufgeführt, die abgefragt werden sollen.
| Log Analytics-Tabellen | Gesammelte Daten |
|---|---|
| PowerPlatform-Admin-Aktivität | Power Platform-Administrationsprotokolle |
| PowerAutomateActivity | Power Automate-Aktivitätsprotokolle |
| DataverseActivity | Dataverse und modellgesteuerte App-Aktivitätsprotokollierung |