Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come distribuire la soluzione Microsoft Sentinel per Microsoft Business Apps per connettere il sistema Microsoft Power Platform e Microsoft Dynamics 365 Customer Engagement a Microsoft Sentinel. La soluzione raccoglie i log attività e di controllo per rilevare minacce, attività sospette, attività non legittimate e altro ancora.
Prerequisiti
Prima di distribuire la soluzione Microsoft Sentinel per Microsoft Business Apps, assicurarsi di soddisfare i prerequisiti seguenti:
L'area di lavoro Log Analytics deve essere abilitata per Microsoft Sentinel
È necessario disporre dell'accesso in lettura e scrittura all'area di lavoro. È necessario essere in grado di creare:
-
Regole/endpoint di raccolta dati, con
Microsoft.Insights/DataCollectionEndpointseMicrosoft.Insights/DataCollectionRules
-
Regole/endpoint di raccolta dati, con
L'organizzazione deve usare Dynamics 365 Customer Engagement e/o uno o più carichi di lavoro di Power Platform.
La registrazione di controllo deve essere abilitata anche in Microsoft Purview. Per altre informazioni, vedere Attivare o disattivare il controllo per Microsoft Purview
Se si usa Microsoft Dataverse, la registrazione di controllo è supportata solo per gli ambienti di produzione. Per altre informazioni, vedere Requisiti di registrazione delle attività delle app basate su modello e Microsoft Dataverse.
Installare la soluzione e distribuire i connettori dati
Per iniziare, installare la soluzione Microsoft Sentinel per Microsoft Business Applications dal Content hub di Microsoft Sentinel.
Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.
Selezionare Configurazione > Connettori dati e individuare uno dei seguenti connettori dati da distribuire:
- Microsoft Dataverse
- Attività di amministrazione di Microsoft Power Platform
- Microsoft Power Automate
Annotazioni
Il connettore Dynamics 365 Finance and Operations è incluso anche come parte della soluzione. Per ulteriori informazioni, vedere Distribuzione di Dynamics 365 Finance and Operations.
Per ogni connettore dati, nel riquadro laterale selezionare Apri pagina del connettore > Connetti.
Configurare la raccolta dati per Dataverse
Quando si usa Microsoft Dataverse, la registrazione delle attività di Dataverse è disponibile solo per gli ambienti di produzione e non è abilitata per impostazione predefinita. Abilitare il controllo a livello globale per Dataverse e per ogni entità Dataverse:
Per abilitare il controllo sulle entità predefinite, importare una delle soluzioni gestite di Power Platform seguenti:
- Per l'uso con Dynamics 365 CE Apps, importare https://aka.ms/AuditSettings/Dynamics.
- In caso contrario, importare https://aka.ms/AuditSettings/DataverseOnly.
La soluzione consente il controllo dettagliato per ognuna delle entità predefinite elencate nell'articolo Impostazioni di controllo per Dataverse.
Per abilitare il controllo sulle entità personalizzate, è necessario abilitare manualmente il controllo dettagliato in ognuna delle entità personalizzate. Per altre informazioni, consultare Gestione del controllo in Dataverse.
Per ottenere il valore completo del rilevamento degli eventi imprevisti della soluzione, è consigliabile abilitare, per ogni entità Dataverse da controllare, le opzioni seguenti nella scheda Generale della pagina Impostazioni entità Dataverse:
- Nella sezione Servizi dati selezionare Controllo.
- Nella sezione Controllo selezionare Controllo singolo record e Controllo di più record.
Assicurarsi di salvare e pubblicare le personalizzazioni.
Verificare l'inserimento dei log in Microsoft Sentinel
Dopo aver distribuito i connettori dati e aver configurato la raccolta dati, eseguire attività come creare, aggiornare ed eliminare per generare log per i dati abilitati per il monitoraggio.
Per i log attività di Power Platform, attendere 60 minuti affinché Microsoft Sentinel inserisca i dati.
Per verificare che Microsoft Sentinel ottenga i dati previsti, eseguire query KQL sulle tabelle di dati che raccolgono i log dai connettori dati.
Per Microsoft Sentinel nel portale di Azure, eseguire query KQL nella pagina Log >Generali. Nel portale di Defender, selezionare indagine e risposta>Ricerca>Ricerca avanzata.
Ad esempio, per verificare l'inserimento di log di Power Platform, eseguire la query seguente per restituire 50 righe dalla tabella con i log attività di Power Apps.
PowerPlatformAdminActivity | take 50
Nella tabella seguente sono elencate le tabelle di Log Analytics su cui eseguire query.
| Tabelle di Log Analytics | Dati raccolti |
|---|---|
| Attività amministrativa di Power Platform | Log amministrativi di Power Platform |
| Attività di Power Automate | Log attività di Power Automate |
| DataverseActivity | Registrazione delle attività del Dataverse e delle app basate su modello |