この記事では、Microsoft Business Apps 向け Microsoft Sentinel ソリューションを展開して、Microsoft Power Platform および Microsoft Dynamics 365 Customer Engagement システムを Microsoft Sentinel に接続する方法について説明します。 このソリューションでは、監査およびアクティビティ ログを収集して、脅威、疑わしいアクティビティ、不正なアクティビティなどを検出します。
前提条件
Microsoft Business Apps 向け Microsoft Sentinel ソリューションを展開する場合は、事前に次の前提条件を確実に満たしてください。
Microsoft Sentinel では、Log Analytics ワークスペースを有効にする必要があります
該当するワークスペースへの読み取りおよび書き込みアクセス権を持っている必要があります。 以下を作成できる必要があります。
-
データ収集ルール/エンドポイント (
Microsoft.Insights/DataCollectionEndpointsおよびMicrosoft.Insights/DataCollectionRulesを使用して)
-
データ収集ルール/エンドポイント (
組織では、Dynamics 365 Customer Engagement または 1 つ以上の Power Platform ワークロード (あるいはその両方) を使用する必要があります。
Microsoft Purview でも監査ログを有効にする必要があります。 詳細については、Microsoft Purview の監査のオンとオフの切り替えに関する記事を参照してください
Microsoft Dataverse を使用する場合、監査ログは運用環境でのみサポートされます。 詳細については、Microsoft Dataverse およびモデル駆動型アプリのアクティビティ ログの要件に関するページを参照してください。
ソリューションをインストールしてデータ コネクタを展開する
まず、Microsoft Sentinel コンテンツ ハブから Microsoft Business Applications 向け Microsoft Sentinel ソリューションをインストールします。
詳細については、「Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する」を参照してください。
[構成] > [データ コネクタ] の順に選択し、次のデータ コネクタの中から展開するものを特定します。
- マイクロソフト Dataverse
- Microsoft Power Platform 管理者アクティビティ
- Microsoft Power Automate
注
Dynamics 365 Finance and Operations コネクタもソリューションの一部として含まれています。 詳細については、「 Dynamics 365 Finance and Operations の展開」を参照してください。
各データ コネクタの作業ウィンドウで、[コネクタ ページを開く] > [接続] の順に選択します。
Dataverse のデータ収集を構成する
Microsoft Dataverse を使用する場合、Dataverse アクティビティ ログは運用環境でのみ使用することができ、既定では有効になっていません。 Dataverse のグローバル レベルと、各 Dataverse エンティティに対して監査を有効にします。
既定のエンティティに対して監査を有効にするには、次のいずれかの Power Platform マネージド ソリューションをインポートします。
- Dynamics 365 CE アプリで使用するには、https://aka.ms/AuditSettings/Dynamics をインポートします。
- それ以外の場合は、https://aka.ms/AuditSettings/DataverseOnly をインポートします。
このソリューションでは、 Dataverse の監査設定に関する記事に記載されている既定のエンティティごとに詳細な監査を有効にします。
カスタム エンティティで監査を有効にするには、各カスタム エンティティの詳細な監査を手動で有効にする必要があります。 詳細については、Dataverse 監査の管理を参照してください。
ソリューションの完全なインシデント検出値を取得するには、監査する Dataverse エンティティごとに、Dataverse エンティティ設定ページの [全般] タブで次のオプションを有効にすることをお勧めします。
- [Data Services] セクションで、[監査] を選択します。
- [監査] セクションで、[1 つのレコードの監査] と [複数レコードの監査] を選択します。
カスタマイズした内容は必ず保存し、公開してください。
Microsoft Sentinel へのログの取り込みを確認する
データ コネクタを展開してデータ収集を構成したら、作成、更新、削除などのアクティビティを実行して、監視を有効にしたデータのログを生成します。
Power Platform アクティビティ ログの場合は、Microsoft Sentinel によってデータが取り込まれるまで 60 分お待ちください。
Microsoft Sentinel が期待どおりにデータを取得していることを確認するには、データ コネクタからログが収集されるデータ テーブルに対して KQL クエリを実行します。
Azure portal の Microsoft Sentinel の場合は、[全般]>[ログ] ページの順に進み、KQL クエリを実行します。 Defender ポータルでは、[調査と応答]>[追求]>[高度な追求] の順に進んで、KQL クエリを実行します。
たとえば、Power Platform のログの取り込みを確認するには、次のクエリを実行して、Power Apps アクティビティ ログを含むテーブルから 50 行を返します。
PowerPlatformAdminActivity | take 50
次の表に、クエリを実行する Log Analytics テーブルの一覧を示します。
| Log Analytics のテーブル | 収集されるデータ |
|---|---|
| PowerPlatform管理者アクティビティ | Power Platform の管理ログ |
| パワーオートメートアクティビティ | Power Automate のアクティビティ ログ |
| DataverseActivity | Dataverse およびモデル駆動型アプリのアクティビティ ログ |