Connecter Microsoft Power Platform et Microsoft Dynamics 365 Customer Engagement à Microsoft Sentinel
Cet article explique comment déployer la solution Microsoft Sentinel pour Microsoft Business Apps pour connecter votre système Microsoft Power Platform et Microsoft Dynamics 365 Customer Engagement à Microsoft Sentinel. La solution collecte des journaux d’audit et d’activité pour détecter les menaces, les activités suspectes, les activités illicites, etc.
Important
- La solution Microsoft Sentinel pour les Microsoft Business Apps est actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
- Il s’agit d’une offre premium. Les informations sur la tarification seront disponibles avant que la solution soit accessible à tous.
Prérequis
Avant de déployer la solution Microsoft Sentinel pour Microsoft Business Apps, veillez à respecter les conditions préalables suivantes :
Votre espace de travail Log Analytics doit être activé pour Microsoft Sentinel.
Vous devez disposer d’un accès en lecture et en écriture à l’espace de travail. Vous devez être en mesure de créer :
- Des règles/points de terminaison de collecte de données avec
Microsoft.Insights/DataCollectionEndpointsetMicrosoft.Insights/DataCollectionRules
- Des règles/points de terminaison de collecte de données avec
Votre organisation doit utiliser Dynamics 365 Customer Engagement et/ou une ou plusieurs des charges de travail Power Platform.
La journalisation d’audit doit également être activée dans Microsoft Purview. Pour obtenir plus d’informations, voir Activer ou désactiver l’audit pour Microsoft Purview
Si vous utilisez Microsoft Dataverse, la journalisation d’audit est prise en charge uniquement pour les environnements de production. Pour en savoir plus, voir la section Conditions requises de l’article Journalisation des activités des applications pilotées par modèle et Microsoft Dataverse.
Installer la solution et déployer vos connecteurs de données
Commencez par installer la solution Microsoft Sentinel pour Microsoft Business Applications à partir du hub de contenu Microsoft Sentinel.
Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.
Sélectionnez Configuration > Connecteurs de données, puis recherchez l’un des connecteurs de données suivants à déployer :
Microsoft Dataverse
Activité administrative Microsoft Power Platform
Microsoft Power Automate
Pour chaque connecteur de données, dans le volet latéral, sélectionnez Ouvrir la page du connecteur > Connecter.
Configurer la collecte de données pour Dataverse
Lorsque vous utilisez Microsoft Dataverse, la journalisation des activités Dataverse est disponible uniquement pour les environnements de production et n’est pas activée par défaut. Activez l’audit au niveau global pour Dataverse et pour chaque entité Dataverse :
Pour activer l’audit sur des entités par défaut, importez l’une des solutions managées Power Platform suivantes :
- Pour une utilisation avec Dynamics 365CE Apps, importez https://aka.ms/AuditSettings/Dynamics.
- Sinon, importez https://aka.ms/AuditSettings/DataverseOnly.
La solution permet un audit détaillé pour chacune des entités par défaut répertoriées dans le fichier suivant : https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g.
Pour activer l’audit sur des entités personnalisées, vous devez activer manuellement l’audit détaillé sur chacune des entités personnalisées. Pour en savoir plus, consultez Gérer les audits Dataverse.
Pour obtenir la valeur de détection complète des incidents de la solution, nous vous recommandons d’activer, pour chaque entité Dataverse que vous souhaitez auditer, les options suivantes sous l’onglet Général de la page des paramètres d’entité Dataverse :
- Sous la section Data Services, sélectionnez Audit.
- Sous la section Audit, sélectionnez Enregistrement unique d’audit et Plusieurs enregistrements d’audit.
Veillez à enregistrer et publier vos personnalisations.
Vérifier l’ingestion des journaux dans Microsoft Sentinel
Après avoir déployé vos connecteurs de données et configuré la collecte de données, exécutez des activités telles que créer, mettre à jour et supprimer pour générer des journaux pour les données dont vous avez activé la surveillance.
Pour les journaux d’activité Power Platform, attendez 60 minutes pour que Microsoft Sentinel ingère les données.
Pour vérifier que Microsoft Sentinel obtient les données attendues, exécutez des requêtes KQL sur les tables de données qui collectent des journaux à partir de vos connecteurs de données.
Pour Microsoft Sentinel dans le portail Azure, exécutez des requêtes KQL sur la page Général>Journaux. Dans le portail Defender, exécutez des requêtes KQL dans Enquête et réponse>Repérage>Repérage avancé.
Par exemple, pour vérifier l’ingestion des journaux Power Platform, exécutez la requête suivante pour retourner 50 lignes à partir de la table avec les journaux d’activité Power Apps.
PowerPlatformAdminActivity | take 50
Le tableau suivant répertorie les tables Log Analytics à interroger.
| Tableaux Log Analytics | Données collectées |
|---|---|
| PowerPlatformAdminActivity | Journaux administratifs Power Platform |
| PowerAutomateActivity | Journaux d’activité Power Automate |
| DataverseActivity | Journalisation des activités des applications pilotées par modèle et Dataverse |