你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍如何为 Microsoft Business Apps 部署 Microsoft Sentinel 解决方案 ,将 Microsoft Power Platform 和 Microsoft Dynamics 365 Customer Engagement 系统连接到 Microsoft Sentinel。 该解决方案可收集审核和活动日志,以检测威胁、可疑活动、非法活动等。
先决条件
在部署适用于 Microsoft Business Apps 的 Microsoft Sentinel 解决方案之前,请确保满足以下先决条件:
必须为 Microsoft Sentinel 启用 Log Analytics 工作区
必须具有对该工作区的读写权限。 必须能够创建:
- 数据收集规则/终结点(具有
Microsoft.Insights/DataCollectionEndpoints和Microsoft.Insights/DataCollectionRules)
- 数据收集规则/终结点(具有
你的组织必须使用 Dynamics 365 Customer Engagement 和/或一个或多个 Power Platform 工作负载。
还必须在 Microsoft Purview 中启用审核日志。 有关详细信息,请参阅 打开或关闭 Microsoft Purview 的审核
如果你使用的是 Microsoft Dataverse,则审核日志仅在生产环境中受支持。 有关详细信息,请参阅 Microsoft Dataverse 和模型驱动应用活动日志记录要求。
安装解决方案和部署数据连接器
首先,请从 Microsoft Sentinel 内容中心安装适用于 Microsoft Business Applications 的 Microsoft Sentinel 解决方案。
有关详细信息,请参阅 发现和管理 Microsoft Sentinel 开箱即用内容。
选择 “配置 > 数据连接器”,找到要部署的以下任何数据连接器:
- Microsoft Dataverse
- Microsoft Power Platform 管理活动
- Microsoft Power Automate
注释
Dynamics 365 财务和运营连接器也包含在解决方案中。 有关详细信息,请参阅 Deploy for Dynamics 365 Finance and Operations。
对于每个数据连接器,在侧窗格中,选择 “打开连接器”页 > “连接”。
为 Dataverse 配置数据收集
在使用 Microsoft Dataverse 时,Dataverse 活动日志记录仅在生产环境中可用,默认情况下未启用。 在全局级别为 Dataverse 和每个 Dataverse 实体启用审核:
若要对默认实体启用审核,请导入以下 Power Platform 托管解决方案之一:
- 若要与 Dynamics 365 CE 应用一起使用,请导入 https://aka.ms/AuditSettings/Dynamics。
- 否则,导入 https://aka.ms/AuditSettings/DataverseOnly。
该解决方案为项目中列出的每个默认实体启用详细审核,即 Dataverse 的审核设置。
若要对自定义实体启用审核,必须手动对每个自定义实体启用详细审核。 有关详细信息,请参阅 “管理 Dataverse 审核”。
若要获取解决方案的完整事件检测值,我们建议为要审核的每个 Dataverse 实体启用以下“Dataverse 实体设置”页的“ 常规 ”选项卡中的选项:
- 在 “数据服务 ”部分下,选择“ 审核”。
- 在“ 审核 ”部分下,选择 “单个记录审核 ”和 “多记录审核”。
请确保保存并发布自定义项。
验证日志是否引入到 Microsoft Sentinel
部署数据连接器并配置数据收集后,请运行创建、更新和删除等活动,以便为启用监视的数据生成日志。
对于 Power Platform 活动日志,请等待 60 分钟,以便 Microsoft Sentinel 引入数据。
若要验证 Microsoft Sentinel 是否获得了你期望的数据,请对从数据连接器收集日志的数据表运行 KQL 查询。
对于 Azure 门户中的 Microsoft Sentinel,请在 “常规>日志 ”页上运行 KQL 查询。 在 Defender 门户中,在 “调查和响应>搜寻>高级搜寻”中运行 KQL 查询。
例如,若要验证 Power Platform 日志导入情况,请运行以下查询以从包含 Power Apps 活动日志的表中返回 50 行。
PowerPlatformAdminActivity | take 50
下表列出了要查询的 Log Analytics 表。
| Log Analytics 表 | 收集的数据 |
|---|---|
| Power Platform管理员活动 | Power Platform 管理日志 |
| PowerAutomateActivity | Power Automate 活动日志 |
| DataverseActivity | Dataverse 和模型驱动应用活动日志记录 |