Microsoft Power Platform と Microsoft Dynamics 365 Customer Engagement を Microsoft Sentinel に接続する
この記事では、Microsoft Business Apps 向け Microsoft Sentinel ソリューションを展開して、Microsoft Power Platform および Microsoft Dynamics 365 Customer Engagement システムを Microsoft Sentinel に接続する方法について説明します。 このソリューションでは、監査およびアクティビティ ログを収集して、脅威、疑わしいアクティビティ、不正なアクティビティなどを検出します。
重要
- Microsoft Business Apps 向け Microsoft Sentinel ソリューションは、現在プレビューの段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
- このソリューションは Premium オファーです。 価格情報は、ソリューションが一般公開される前に入手できます。
前提条件
Microsoft Business Apps 向け Microsoft Sentinel ソリューションを展開する場合は、事前に次の前提条件を確実に満たしてください。
Microsoft Sentinel では、Log Analytics ワークスペースを有効にする必要があります
該当するワークスペースへの読み取りおよび書き込みアクセス権を持っている必要があります。 以下を作成できる必要があります。
- データ収集ルール/エンドポイント (
Microsoft.Insights/DataCollectionEndpointsおよびMicrosoft.Insights/DataCollectionRulesを使用して)
- データ収集ルール/エンドポイント (
組織では、Dynamics 365 Customer Engagement または 1 つ以上の Power Platform ワークロード (あるいはその両方) を使用する必要があります。
Microsoft Purview でも監査ログを有効にする必要があります。 詳細については、Microsoft Purview の監査のオンとオフの切り替えに関する記事を参照してください
Microsoft Dataverse を使用する場合、監査ログは運用環境でのみサポートされます。 詳細については、Microsoft Dataverse およびモデル駆動型アプリのアクティビティ ログの要件に関するページを参照してください。
ソリューションをインストールしてデータ コネクタを展開する
まず、Microsoft Sentinel コンテンツ ハブから Microsoft Business Applications 向け Microsoft Sentinel ソリューションをインストールします。
詳細については、「Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する」を参照してください。
[構成] > [データ コネクタ] の順に選択し、次のデータ コネクタの中から展開するものを特定します。
Microsoft Dataverse
Microsoft Power Platform 管理者アクティビティ
Microsoft Power Automate
各データ コネクタの作業ウィンドウで、[コネクタ ページを開く] > [接続] の順に選択します。
Dataverse のデータ収集を構成する
Microsoft Dataverse を使用する場合、Dataverse アクティビティ ログは運用環境でのみ使用することができ、既定では有効になっていません。 Dataverse のグローバル レベルと、各 Dataverse エンティティに対して監査を有効にします。
既定のエンティティに対して監査を有効にするには、次のいずれかの Power Platform マネージド ソリューションをインポートします。
- Dynamics 365 CE アプリで使用するには、https://aka.ms/AuditSettings/Dynamics をインポートします。
- それ以外の場合は、https://aka.ms/AuditSettings/DataverseOnly をインポートします。
このマネージド ソリューションでは、次のファイルにリストされている既定のエンティティごとに詳細な監査を有効にします: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g
カスタム エンティティで監査を有効にするには、各カスタム エンティティの詳細な監査を手動で有効にする必要があります。 詳細については、Dataverse 監査の管理を参照してください。
ソリューションの完全なインシデント検出値を取得するには、監査する Dataverse エンティティごとに、Dataverse エンティティ設定ページの [全般] タブで次のオプションを有効にすることをお勧めします。
- [Data Services] セクションで、[監査] を選択します。
- [監査] セクションで、[1 つのレコードの監査] と [複数レコードの監査] を選択します。
カスタマイズした内容は必ず保存し、公開してください。
Microsoft Sentinel へのログの取り込みを確認する
データ コネクタを展開してデータ収集を構成したら、作成、更新、削除などのアクティビティを実行して、監視を有効にしたデータのログを生成します。
Power Platform アクティビティ ログの場合は、Microsoft Sentinel によってデータが取り込まれるまで 60 分お待ちください。
Microsoft Sentinel が期待どおりにデータを取得していることを確認するには、データ コネクタからログが収集されるデータ テーブルに対して KQL クエリを実行します。
Azure portal の Microsoft Sentinel の場合は、[全般] > [ログ] ページの順に進み、KQL クエリを実行します。 Defender ポータルでは、[調査と応答] > [追求] > [高度な追求] の順に進んで、KQL クエリを実行します。
たとえば、Power Platform のログの取り込みを確認するには、次のクエリを実行して、Power Apps アクティビティ ログを含むテーブルから 50 行を返します。
PowerPlatformAdminActivity | take 50
次の表に、クエリを実行する Log Analytics テーブルの一覧を示します。
| Log Analytics のテーブル | 収集されるデータ |
|---|---|
| PowerPlatformAdminActivity | Power Platform の管理ログ |
| PowerAutomateActivity | Power Automate のアクティビティ ログ |
| DataverseActivity | Dataverse およびモデル駆動型アプリのアクティビティ ログ |