Microsoft Power Platform 및 Microsoft Dynamics 365 Customer Engagement를 Microsoft Sentinel에 연결
이 문서에서는 Microsoft Business Apps용 Microsoft Sentinel 솔루션을 배포하여 Microsoft Power Platform 및 Microsoft Dynamics 365 Customer Engagement 시스템을 Microsoft Sentinel에 연결하는 방법을 설명합니다. 솔루션은 감사 및 활동 로그를 수집하여 위협, 의심스러운 활동, 불법 활동 등을 검색합니다.
Important
- Microsoft Business Apps용 Microsoft Sentinel 솔루션은 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
- 솔루션은 프리미엄 제품입니다. 솔루션이 일반 공급되기 전에 가격 책정 정보는 공개될 예정입니다.
필수 조건
Microsoft Business Apps용 Microsoft Sentinel 솔루션을 배포하기 전에 다음 필수 조건을 충족하는지 확인합니다.
Microsoft Sentinel에 Log Analytics 작업 영역을 사용하도록 설정해야 합니다.
작업 영역에 대한 읽기 및 쓰기 권한이 있어야 합니다. 다음을 만들 수 있어야 합니다.
- 데이터 수집 규칙/엔드포인트(
Microsoft.Insights/DataCollectionEndpoints및Microsoft.Insights/DataCollectionRules
- 데이터 수집 규칙/엔드포인트(
조직에서는 Dynamics 365 Customer Engagement 및/또는 하나 이상의 Power Platform 워크로드를 사용해야 합니다.
Microsoft Purview에서도 감사 로깅을 사용하도록 설정해야 합니다. 자세한 내용은 Microsoft Purview에 대한 감사 설정 또는 해제를 참조 하세요.
Microsoft Dataverse로 작업하는 경우 감사 로깅은 프로덕션 환경에서만 지원됩니다. 자세한 내용은 Microsoft Dataverse 및 모델 기반 앱 활동 로깅 요구 사항을 참조 하세요.
솔루션 설치 및 데이터 커넥터 배포
먼저 Microsoft Sentinel 콘텐츠 허브에서 Microsoft 비즈니스 애플리케이션용 Microsoft Sentinel 솔루션을 설치합니다.
자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.
구성 > 데이터 커넥터를 선택하고 배포할 다음 데이터 커넥터를 찾습니다.
Microsoft Dataverse
Microsoft Power Platform 관리자 활동
Microsoft Power Automate
각 데이터 커넥터의 측면 창에서 연결선 열기 페이지 > 연결을 선택합니다.
Dataverse에 대한 데이터 수집 구성
Microsoft Dataverse로 작업할 때 Dataverse 활동 로깅은 프로덕션 환경에서만 사용할 수 있으며 기본적으로 사용하도록 설정되지 않습니다. Dataverse 및 각 Dataverse 엔터티에 대해 전역 수준에서 감사를 사용하도록 설정합니다.
기본 엔터티에 대한 감사를 사용하도록 설정하려면 다음 Power Platform 관리형 솔루션 중 하나를 가져옵니다.
- Dynamics 365 CE 앱에서 사용하려면 .https://aka.ms/AuditSettings/Dynamics
- 그렇지 않으면 .를 가져옵니다 https://aka.ms/AuditSettings/DataverseOnly.
이 솔루션을 사용하면 다음 파일에 https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5eo4g나열된 각 기본 엔터티에 대해 자세한 감사를 수행할 수 있습니다.
사용자 지정 엔터티에 대한 감사를 사용하도록 설정하려면 각 사용자 지정 엔터티에 대한 자세한 감사를 수동으로 사용하도록 설정해야 합니다. 자세한 내용은 Dataverse 감사 관리를 참조 하세요.
솔루션의 전체 인시던트 검색 값을 얻으려면 감사하려는 각 Dataverse 엔터티에 대해 Dataverse 엔터티 설정 페이지의 일반 탭에서 다음 옵션을 사용하도록 설정하는 것이 좋습니다.
- Data Services 섹션에서 감사를 선택합니다.
- 감사 섹션에서 단일 레코드 감사 및 다중 레코드 감사를 선택합니다.
사용자 지정을 저장하고 게시해야 합니다.
Microsoft Sentinel에 대한 로그 수집 확인
데이터 커넥터를 배포하고 데이터 수집을 구성한 후 만들기, 업데이트 및 삭제와 같은 작업을 실행하여 모니터링을 사용하도록 설정한 데이터에 대한 로그를 생성합니다.
Power Platform 활동 로그의 경우 Microsoft Sentinel이 데이터를 수집할 때까지 60분 동안 기다립니다.
Microsoft Sentinel이 예상한 데이터를 가져오는지 확인하려면 데이터 커넥터에서 로그를 수집하는 데이터 테이블에 대해 KQL 쿼리를 실행합니다.
Azure Portal의 Microsoft Sentinel의 경우 일반>로그 페이지에서 KQL 쿼리를 실행합니다. Defender 포털에서 조사 및 응답>헌팅 고급 헌>팅에서 KQL 쿼리를 실행합니다.
예를 들어 Power Platform 로그 수집을 확인하려면 다음 쿼리를 실행하여 Power Apps 활동 로그를 사용하여 테이블에서 50개의 행을 반환합니다.
PowerPlatformAdminActivity | take 50
다음 표에서는 쿼리할 Log Analytics 테이블을 나열합니다.
| Log Analytics 테이블 | 수집되는 데이터 |
|---|---|
| PowerPlatformAdminActivity | Power Platform 관리 로그 |
| PowerAutomateActivity | Power Automate 활동 로그 |
| DataverseActivity | Dataverse 및 모델 기반 앱 활동 로깅 |