Implantar a solução Microsoft Sentinel para Microsoft Power Platform

A solução Microsoft Sentinel para Power Platform permite-lhe monitorizar e detetar atividades suspeitas ou maliciosas no seu ambiente Power Platform. A solução coleta registros de atividades de diferentes componentes da Power Platform e dados de inventário. Para obter mais informações, consulte Visão geral da solução Microsoft Sentinel para Microsoft Power Platform.

Importante

  • A solução Microsoft Sentinel para Power Platform está atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
  • A solução é uma oferta premium. As informações de preços estarão disponíveis antes que a solução se torne disponível ao público.
  • Forneça feedback sobre esta solução preenchendo esta pesquisa: https://aka.ms/SentinelPowerPlatformSolutionSurvey.

Pré-requisitos

  • A solução Microsoft Sentinel está habilitada.
  • Você tem um espaço de trabalho definido do Microsoft Sentinel e tem permissões de leitura e gravação para o espaço de trabalho.
  • A sua organização utiliza a Power Platform para criar e utilizar Power Apps.
  • Você pode criar um Aplicativo de Função do Azure com as Microsoft.Web/Sitespermissões , Microsoft.Web/ServerFarms, Microsoft.Insights/Componentse Microsoft.Storage/StorageAccounts .
  • Você pode criar Regras/Pontos de Extremidade de Coleta de Dados com as permissões para:
    • Microsoft.Insights/DataCollectionEndpointsMicrosoft.Insights/DataCollectionRulese .
    • Atribua a função Monitoring Metrics Publisher à Função do Azure.
  • O log de auditoria está habilitado no Microsoft Purview. Para obter mais informações, consulte Ativar ou desativar a auditoria para o Microsoft Purview
  • Para o conector de inventário da Power Platform, tenha os seguintes recursos e configurações configurados.
    • Conta de armazenamento para usar com o Azure Data Lake Storage Gen2. Para obter mais informações, consulte Criar uma conta de armazenamento para usar com o Azure Data Lake Storage Gen2.
    • URL do ponto de extremidade do serviço de Blob para a conta de armazenamento. Para obter mais informações, consulte Obter pontos de extremidade de serviço para a conta de armazenamento.
    • Análise de autoatendimento da Power Platform configurada para usar a conta de armazenamento do Azure Data Lake Storage Gen2. Esse processo pode levar até 48 horas para ser ativado. Para obter mais informações, consulte Configurar a análise de autoatendimento da Microsoft Power Platform para exportar dados de inventário e uso da Power Platform. Analise os pré-requisitos e requisitos para o recurso de análise de autoatendimento da Power Platform. Os requisitos incluem que você habilite o acesso público à conta de armazenamento e que tenha as permissões necessárias para configurar a exportação de dados.
    • Permissões para atribuir a função de Leitor de Dados de Blob de Armazenamento à Função do Azure

A habilitação do conector de dados de inventário da Power Platform é recomendada, mas não necessária, para implantar totalmente a solução Microsoft Power Platform. Para obter mais informações, consulte Power Platform inventory data connector.

Instale a solução Power Platform no Microsoft Sentinel

Instale a solução a partir do hub de conteúdo no Microsoft Sentinel usando as etapas a seguir.

  1. No portal do Azure, procure e selecione Microsoft Sentinel.
  2. Selecione o espaço de trabalho do Microsoft Sentinel onde você planeja implantar a solução.
  3. Em Gerenciamento de conteúdo, selecione Hub de conteúdo.
  4. Procure e selecione Power Platform.
  5. Selecione Instalar.
  6. Na página de detalhes da solução, selecione Criar.
  7. Na guia Noções básicas, insira a assinatura, o grupo de recursos e o espaço de trabalho para implantar a solução.
  8. Selecione Rever + criar>Criar para implementar a solução.

Ativar os conectores de dados

No Microsoft Sentinel, habilite os seis conectores de dados para coletar logs de atividades e dados de inventário dos componentes da Power Platform.

Conector de dados de inventário da plataforma de energia

O conector de dados de inventário da Power Platform permite que você resolva os GUIDs para ambientes Power Platform e PowerApps nos detalhes do incidente para os nomes legíveis por humanos que aparecem no centro de administração da Power Platform e no portal do criador do Power Apps. Recomendamos habilitar esse conector de dados, mas não é necessário implantar totalmente a solução Microsoft Power Platform.

Para otimizar a ingestão, o conector de dados de inventário da Power Platform ingere dados na íntegra a cada 7 dias e atualizações incrementais diariamente. As atualizações incrementais incluem apenas ativos de inventário que têm alterações desde o dia anterior.

Para coletar dados de inventário do Power Apps e do Power Automatic, implante o modelo do Azure Resource Manager para criar um aplicativo de função. Para concluir a implantação, você precisa da URL do serviço de blob para sua conta de armazenamento do Azure Data Lake Storage Gen2. Depois de criar o aplicativo de função, conceda à identidade gerenciada do aplicativo de função acesso à conta de armazenamento.

  1. No Microsoft Sentinel, em Configuração, selecione Conectores de dados.
  2. Procure e selecione Power Platform Inventory (usando o Azure Functions).
  3. Selecione Abrir página do conector.
  4. Se você não habilitou o recurso de análise de autoatendimento da Power Platform, em Configuração , siga as etapas 1 e 2.
  5. Em Etapa de Configuração>3 - Modelo do Azure Resource Manager (ARM), selecione Implantar no Azure.
  6. Siga todas as etapas no assistente de implantação de modelo do Azure Resource Manager e selecione Revisar + criar>Criar.
  7. Se você não tiver as permissões necessárias para atribuições de função durante a implantação do modelo do Gerenciador de Recursos, em Configuração, siga as etapas 4 e 5.

Outros conectores de dados

Conecte cada um dos conectores de dados restantes concluindo as etapas a seguir.

  1. No Microsoft Sentinel, em Configuração, selecione Conectores de dados.
  2. Procure e selecione os conectores de dados na solução que você precisa conectar, como a Atividade de Administração da Microsoft Power Platform.
  3. Selecione Abrir página>do conector Conectar.
  4. Repita estas etapas para cada um dos seguintes conectores de dados que fazem parte da solução Power Platform.
    • Atividade de administração da Microsoft Power Platform
    • Microsoft Power Automate
    • Microsoft Dataverse

Habilite a auditoria em seu ambiente Microsoft Dataverse

O registro de atividades do verso de dados está disponível apenas para ambientes de verso de dados de produção. Outros tipos de ambientes, como sandbox, não suportam o registro de atividades. Consulte Microsoft Dataverse e requisitos de registro de atividades de aplicativos controlados por modelo. O registro de atividades do Dataverse não está habilitado por padrão. Habilite a auditoria em nível global para Dataverse e para cada entidade Dataverse.

Auditoria a nível global

Em seu ambiente Dataverso, vá para Configurações>de auditoria de configurações. Em Auditoria, marque as três caixas de seleção.

  • Comece a auditar
  • Acesso ao registo
  • Ler registos

Para obter mais informações sobre essas etapas, consulte Gerenciar auditoria do Dataverso.

Auditar entidades Dataverse

Habilite a auditoria detalhada em cada uma das entidades do Dataverse. Para habilitar a auditoria em entidades padrão, importe uma solução gerenciada pela Power Platform. Para habilitar a auditoria em entidades personalizadas, você deve habilitar manualmente a auditoria detalhada em cada uma das entidades personalizadas.

Habilitar automaticamente a auditoria em entidades padrão

A maneira mais rápida de habilitar as configurações de auditoria padrão para todas as entidades Dataverse é importar a solução gerenciada apropriada pela Power Platform em seu ambiente Power Platform. Esta solução gerenciada permite a auditoria detalhada para cada uma das entidades padrão listadas no seguinte arquivo: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g. Para habilitar a auditoria em entidades personalizadas, você deve habilitar manualmente a auditoria detalhada em cada uma das entidades personalizadas.

Para habilitar automaticamente a auditoria de entidade, conclua as etapas a seguir.

  1. Aceda a https://make.powerapps.com.

  2. Escolha o ambiente que deseja monitorar no canto superior direito da página.

  3. Vá para Solução de importação de soluções>.

  4. Importe uma das seguintes soluções, dependendo se o seu ambiente Power Platform é usado para aplicativos Dynamics 365 CE ou não.

Habilitar manualmente a auditoria de entidade

Para habilitar a auditoria em cada entidade do Dataverse manualmente, incluindo entidades personalizadas, siga as etapas na seção Habilitar ou desabilitar entidades e campos para auditoria em Gerenciar auditoria do Dataverso.

Para obter o valor completo de deteção de incidentes da solução, recomendamos que você habilite, para cada entidade Dataverse que deseja auditar, as seguintes opções na guia Geral da página Configurações da entidade Dataverse:

  • Na seção Serviços de Dados, selecione Auditoria.
  • Na seção Auditoria, selecione Auditoria de registro único e Auditoria de registros múltiplos.

Guarde e publique as suas personalizações.

Verifique se o conector de dados está ingerindo logs para o Microsoft Sentinel

Para verificar se a ingestão de log está funcionando, conclua as etapas a seguir.

Gerar logs de atividade e inventário

  1. Execute atividades como criar, atualizar e excluir para gerar logs para dados que você habilitou para monitoramento.
  2. Aguarde até 60 minutos para que o Microsoft Sentinel ingira os logs de atividade na tabela de logs no espaço de trabalho.
  3. Para dados de inventário da Power Platform, aguarde até 24 horas para que o Microsoft Sentinel ingira os dados para as tabelas de log no espaço de trabalho.

Exibir dados ingeridos no Microsoft Sentinel

Depois de aguardar que o Microsoft Sentinel ingira os dados, conclua as etapas a seguir para verificar se você obtém os dados esperados.

  1. No Microsoft Sentinel, selecione Logs.

  2. Execute consultas KQL nas tabelas que coletam os logs de atividade dos conectores de dados. Por exemplo, execute a consulta a seguir para retornar 50 linhas da tabela com os logs de atividade do Power Apps.

     PowerPlatformAdminActivity
     | take 50
    

    A tabela a seguir lista as tabelas do Log Analytics a serem consultadas.

    Tabelas do Log Analytics Dados recolhidos
    PowerPlatformAdminActivity Logs administrativos da Power Platform
    PowerAutomateActivity Power Automatize os registros de atividades
    DataverseActivity Registro de atividades de aplicativos orientados por modelo e verso de dados

    Use os seguintes analisadores para retornar dados de inventário e lista de observação.

    Analisador Dados retornados
    InventoryApps Inventário de aplicativos de energia
    InventoryAppsConnections Conexões do Power Apps Inventárioconexões
    InventoryEnvironments Inventário de ambientes de plataforma de energia
    InventoryFlows Automatize os fluxos de energia Inventário
    MSBizAppsTerminatedEmployees Lista de observação de funcionários demitidos
  3. Verifique se os resultados de cada tabela mostram as atividades geradas.

Próximos passos

Neste artigo, você aprendeu como implantar a solução Microsoft Sentinel para Power Platform.