이 문서에서는 Microsoft Business Apps용 Microsoft Sentinel 솔루션을 배포하여 Microsoft Power Platform 및 Microsoft Dynamics 365 Customer Engagement 시스템을 Microsoft Sentinel 연결하는 방법을 설명합니다. 솔루션은 감사 및 활동 로그를 수집하여 위협, 의심스러운 활동, 불법 활동 등을 검색합니다.
필수 구성 요소
Microsoft Business Apps용 Microsoft Sentinel 솔루션을 배포하기 전에 다음 필수 구성 요소를 충족하는지 확인합니다.
Log Analytics 작업 영역은 Microsoft Sentinel 사용하도록 설정해야 합니다.
작업 영역에 대한 읽기 및 쓰기 액세스 권한이 있어야 합니다. 다음을 만들 수 있어야 합니다.
- 및 를 사용하는
Microsoft.Insights/DataCollectionEndpoints데이터 수집 규칙/엔드포인트Microsoft.Insights/DataCollectionRules
- 및 를 사용하는
organization Dynamics 365 Customer Engagement 및/또는 하나 이상의 Power Platform 워크로드를 사용해야 합니다.
Microsoft Purview에서도 감사 로깅을 사용하도록 설정해야 합니다. 자세한 내용은 Microsoft Purview에 대한 감사 설정 또는 해제를 참조하세요.
Microsoft Dataverse로 작업하는 경우 감사 로깅은 프로덕션 환경에서만 지원됩니다. 자세한 내용은 Microsoft Dataverse 및 모델 기반 앱 활동 로깅 요구 사항을 참조하세요.
솔루션 설치 및 데이터 커넥터 배포
먼저 Microsoft Sentinel Content Hub에서 Microsoft Business Applications 위한 Microsoft Sentinel 솔루션을 설치합니다.
구성 > 데이터 커넥터를 선택하고 배포할 다음 데이터 커넥터를 찾습니다.
- Microsoft Dataverse
- Microsoft Power Platform 관리 활동
- Microsoft Power Automate
참고
Dynamics 365 Finance 및 Operations 커넥터도 솔루션의 일부로 포함됩니다. 자세한 내용은 Dynamics 365 Finance 및 작업에 배포를 참조하세요.
각 데이터 커넥터의 측면 창에서 커넥터 열기 페이지 > 연결을 선택합니다.
Dataverse에 대한 데이터 수집 구성
Microsoft Dataverse로 작업할 때 Dataverse 활동 로깅은 프로덕션 환경에서만 사용할 수 있으며 기본적으로 사용하도록 설정되지 않습니다. Dataverse 및 각 Dataverse 엔터티 에 대해 전역 수준에서 감사를 사용하도록 설정합니다.
기본 엔터티에 대한 감사를 사용하도록 설정하려면 다음 Power Platform 관리형 솔루션 중 하나를 가져옵니다.
- Dynamics 365 CE 앱과 함께 사용하려면 을 가져옵니다https://aka.ms/AuditSettings/Dynamics.
- 그렇지 않으면 를 가져옵니다 https://aka.ms/AuditSettings/DataverseOnly.
이 솔루션을 사용하면 Dataverse에 대한 감사 설정 문서에 나열된 각 기본 엔터티에 대해 자세한 감사를 수행할 수 있습니다.
사용자 지정 엔터티에 대한 감사를 사용하도록 설정하려면 각 사용자 지정 엔터티에 대해 자세한 감사를 수동으로 사용하도록 설정해야 합니다. 자세한 내용은 Dataverse 감사 관리를 참조하세요.
솔루션의 전체 인시던트 검색 값을 얻으려면 감사하려는 각 Dataverse 엔터티에 대해 Dataverse 엔터티 설정 페이지의 일반 탭에서 다음 옵션을 사용하도록 설정하는 것이 좋습니다.
- Data Services 섹션에서 감사를 선택합니다.
- 감사 섹션에서 단일 레코드 감사 및 다중 레코드 감사를 선택합니다.
사용자 지정을 저장하고 게시해야 합니다.
Microsoft Sentinel 로그 수집 확인
데이터 커넥터를 배포하고 데이터 수집을 구성한 후 만들기, 업데이트 및 삭제와 같은 작업을 실행하여 모니터링을 사용하도록 설정한 데이터에 대한 로그를 생성합니다.
Power Platform 활동 로그의 경우 Microsoft Sentinel 데이터를 수집할 때까지 60분 정도 기다립니다.
Microsoft Sentinel 예상한 데이터를 가져오는지 확인하려면 데이터 커넥터에서 로그를 수집하는 데이터 테이블에 대해 KQL 쿼리를 실행합니다.
Azure Portal Microsoft Sentinel 일반 로그 페이지에서 KQL 쿼리>를 실행합니다. Defender 포털의 조사 & 응답>헌팅고급 헌팅에서 KQL 쿼리를 > 실행합니다.
예를 들어 Power Platform 로그 수집을 확인하려면 다음 쿼리를 실행하여 Power Apps 활동 로그를 사용하여 테이블에서 50개의 행을 반환합니다.
PowerPlatformAdminActivity | take 50
다음 표에서는 쿼리할 Log Analytics 테이블을 나열합니다.
| Log Analytics 테이블 | 수집된 데이터 |
|---|---|
| PowerPlatformAdminActivity | Power Platform 관리 로그 |
| PowerAutomateActivity | Power Automate 활동 로그 |
| DataverseActivity | Dataverse 및 모델 기반 앱 활동 로깅 |