איסוף יומני פעילות משתמשים ב-Microsoft Dynamics 365

נתמך ב:

במאמר הזה מוסבר איך אפשר לאסוף יומני פעילות של משתמשים ב-Microsoft Dynamics 365 על ידי הגדרת פיד של Google SecOps באמצעות Microsoft Azure Blob Storage V2.

‫Microsoft Dynamics 365 היא פלטפורמה של אפליקציות עסקיות מבוססות-ענן שמשלבת יכולות של CRM ו-ERP. יומני פעילות המשתמשים מתעדים פעולות ואירועים שבוצעו על ידי משתמשים באפליקציות של Dynamics 365, כולל פעולות על ישויות, גישה לנתונים ופעילויות ניהול. ‫Dynamics 365 מבוסס על Microsoft Dataverse, שמספק רישום מקיף ביומן הביקורת באמצעות יומן הביקורת המאוחד של Microsoft Purview.

לפני שמתחילים

חשוב לוודא שמתקיימות דרישות הסף הבאות:

  • מופע של Google SecOps
  • גישה עם הרשאות לפורטל Microsoft Azure:
    • יצירת חשבונות אחסון
    • הגדרה של Azure Synapse Link for Dataverse
    • ניהול מפתחות גישה
  • מינוי ל-Microsoft 365 שכולל את Dynamics 365
  • תפקיד האבטחה של אדמין המערכת בסביבת Dynamics 365

  • גישת אדמין גלובלית או גישת אדמין של Power Platform אל מרכז האדמינים של Power Platform

הפעלה של ביקורת ב-Dataverse

לפני שמייצאים יומני פעילות משתמשים ב-Dynamics 365, צריך להפעיל את הביקורת במרכז האדמין של Power Platform.

  1. נכנסים אל מרכז הניהול של Power Platform.
  2. בחלונית הניווט, בוחרים באפשרות סביבות.
  3. בוחרים את הסביבה שמכילה את פריסת Dynamics 365.
  4. בסרגל הפקודות, בוחרים באפשרות הגדרות.
  5. מרחיבים את הקטע ביקורת ויומנים ובוחרים באפשרות הגדרות ביקורת.
  6. בקטע ביקורת, מפעילים את האפשרויות הבאות:
    • התחלת ביקורת: מפעיל את הביקורת בסביבה.
    • גישה ליומן: מעקב אחרי כניסות של משתמשים.
    • קריאת יומנים: מתעד את רוב הפעילויות והאירועים של המשתמשים.
  7. מגדירים את מדיניות שמירת הנתונים של יומני הביקורת בהתאם לדרישות.
  8. כדי לבצע את השינויים, לוחצים על שמירה.

הפעלת ביקורת ברמת הטבלה

  1. נכנסים ל-Power Apps ובוחרים את הסביבה.
  2. בסרגל הפקודות, בוחרים באפשרות הגדרות > הגדרות מתקדמות.
  3. עוברים אל הגדרות > התאמות אישיות > התאמה אישית של המערכת.
  4. בחלונית הניווט, בקטע Components (רכיבים), מרחיבים את Entities (ישויות) ובוחרים את הישות שרוצים לבדוק (לדוגמה, Account (חשבון)).
  5. גוללים למטה אל שירותי נתונים ומסמנים את תיבת הסימון ביקורת.
  6. בקטע ביקורת, מפעילים את האפשרויות הבאות:
    • ביקורת של רשומה יחידה. רישום רשומה ביומן כשפותחים אותה.
    • ביקורת על רשומות מרובות. לרשום את כל הרשומות שמוצגות בדף פתוח.
  7. לוחצים על שמירה ואז על פרסום.
  8. חוזרים על שלבים 4-7 לכל טבלה שרוצים לבדוק.

מידע נוסף זמין במאמר בנושא רישום פעילות ב-Microsoft Dataverse ובאפליקציות מבוססות-מודל.

הגדרת חשבון אחסון ב-Azure

יצירת חשבון אחסון

  1. ב-Azure portal, מחפשים Storage accounts.
  2. לוחצים על ‎+ Create.

  3. מזינים את פרטי ההגדרה הבאים:

    הגדרה ערך
    מינוי בוחרים את המינוי ל-Azure
    קבוצת משאבים בוחרים באפשרות 'קיים' או 'יצירה של קהל חדש'
    שם חשבון האחסון מזינים שם ייחודי (לדוגמה, secopsd365logs).
    אזור בוחרים את אותו אזור כמו בסביבת Dataverse
    ביצועים רגיל (מומלץ)
    יתירות ‫GRS (Geo-redundant storage) או LRS (Locally redundant storage)

  4. בוחרים בכרטיסייה מתקדם ומפעילים את האפשרות מרחב שמות היררכי.

  5. לוחצים על בדיקה + יצירה.

  6. בודקים את הסקירה הכללית של החשבון ולוחצים על יצירה.

  7. מחכים שהפריסה תסתיים.

קבלת פרטי כניסה לחשבון אחסון

  1. עוברים אל חשבון האחסון שיצרתם.
  2. בחלונית הניווט שמימין, בוחרים באפשרות מפתחות גישה בקטע אבטחה + רשת.
  3. לוחצים על הצגת המקשים.
  4. מעתיקים ושומרים את הפרטים הבאים לשימוש מאוחר יותר:
    • שם חשבון האחסון: secopsd365logs
    • Key 1 או Key 2: מפתח הגישה המשותף (מחרוזת אקראית באורך 512 ביט בקידוד Base-64)

קבלת נקודת קצה של Blob Service

  1. באותו חשבון אחסון, בוחרים באפשרות נקודות קצה מתוך חלונית הניווט הימנית.
  2. מעתיקים ושומרים את כתובת ה-URL של נקודת הקצה של שירות ה-Blob.
    • לדוגמה: https://secopsd365logs.blob.core.windows.net/

מתן הרשאות לחשבון אחסון

נותנים הרשאות לאדמין של Power Platform שיגדיר את Azure Synapse Link:

  1. בחלונית הימנית של Storage Account, בוחרים באפשרות בקרת גישה (IAM).
  2. לוחצים על + הוספה > הוספת הקצאת תפקיד.
  3. מקצים לאדמין של Power Platform את התפקידים הבאים:
    • Storage Blob Data Contributor
    • בעלים של נתוני Blob באחסון

‫Azure Synapse Link for Dataverse מייצא את טבלת הביקורת של Dataverse אל Azure Data Lake Storage Gen2, שתואם לפידים של Azure Blob Storage V2.

יצירת סביבת עבודה ב-Azure Synapse

  1. בפורטל Azure, מחפשים את Synapse Analytics.
  2. לוחצים על ‎+ Create.
  3. מספקים את פרטי ההגדרה הבאים:
    • מינוי: בוחרים את המינוי שבו יצרתם את חשבון האחסון.
    • קבוצת משאבים: בוחרים את אותה קבוצת משאבים כמו חשבון האחסון.
    • שם סביבת העבודה: מזינים שם ייחודי (לדוגמה, synapse-d365-secops).
    • אזור: בוחרים את אותו אזור שבו נמצאת סביבת Dataverse.
    • שם חשבון האחסון: בוחרים את חשבון האחסון שיצרתם קודם (secopsd365logs).
    • שם מערכת הקבצים: לוחצים על יצירת חדש ומזינים שם (לדוגמה, d365-audit).
  4. לוחצים על בדיקה + יצירה ואז על יצירה.
  5. מחכים שהפריסה תסתיים.

יצירת מאגר Apache Spark

  1. בפורטל Azure, עוברים לסביבת העבודה של Synapse שיצרתם.
  2. לוחצים על + מאגר חדש של Apache Spark.
  3. מספקים את פרטי ההגדרה הבאים:
    • שם מאגר Apache Spark: מזינים שם (לדוגמה, sparkpoold365).
    • מספר הצמתים: מזינים 5.
  4. בוחרים בכרטיסייה הגדרות נוספות ומזינים 5 בשדה מספר דקות של חוסר פעילות.
  5. לוחצים על בדיקה + יצירה ואז על יצירה.

חיבור טבלת ביקורת של Dataverse לסביבת עבודה של Synapse

  1. נכנסים אל Power Apps ובוחרים את הסביבה שמכילה את הפריסה של Dynamics 365.
  2. בחלונית הניווט שמימין, בוחרים באפשרות Azure Synapse Link. אם הפריט לא מוצג, בוחרים באפשרות עוד > גילוי כל השירותים ומאתרים את Azure Synapse Link.
  3. לוחצים על קישור חדש.
  4. בדף קישור חדש:
    • בוחרים באפשרות Connect to your Azure Synapse Analytics workspace (קישור לסביבת העבודה של Azure Synapse Analytics).
    • מינוי: בוחרים את המינוי ל-Azure.
    • קבוצת משאבים: בוחרים את קבוצת המשאבים שמכילה את סביבת העבודה של Synapse.
    • חשבון אחסון: בוחרים את חשבון האחסון (secopsd365logs).
    • בוחרים באפשרות Use Spark pool for Delta Lake data conversion job (שימוש במאגר Spark לעבודת המרת נתונים של Delta Lake).
    • Spark pool (מאגר Spark): בוחרים את מאגר Spark שיצרתם (sparkpoold365).
    • חשבון אחסון: בוחרים את אותו חשבון אחסון.
  5. לוחצים על הבא.
  6. מרחיבים את הכרטיסייה מתקדם ומזינים 480 דקות בשדה מרווח זמן.
  7. מתחת לרשימת הטבלאות, בוחרים בטבלאות Auditing ו-User.

  8. לוחצים על Save.

מידע נוסף זמין במאמר גישה לנתוני ביקורת באמצעות Azure Synapse Link ו-Power BI.

הגדרה של פיד ב-Google SecOps להטמעה של יומני פעילות משתמשים ב-Microsoft Dynamics 365

  1. עוברים אל SIEM Settings > Feeds (הגדרות SIEM > פידים).
  2. לוחצים על הוספת פיד חדש.
  3. בדף הבא, לוחצים על הגדרת פיד יחיד.
  4. בשדה שם הפיד, מזינים שם לפיד (לדוגמה, Microsoft Dynamics 365 User Activity).
  5. בוחרים באפשרות Microsoft Azure Blob Storage V2 בתור סוג המקור.
  6. בוחרים באפשרות Microsoft Dynamics 365 בתור סוג היומן.
  7. לוחצים על הבא.

  8. מציינים ערכים לפרמטרים הבאים של הקלט:

    • Azure URI: מזינים את כתובת ה-URL של נקודת הקצה של Blob Service עם הנתיב של המאגר:
    https://secopsd365logs.blob.core.windows.net/d365-audit/

    מחליפים את מה שכתוב בשדות הבאים:

    • secopsd365logs: השם של חשבון האחסון שלכם ב-Azure.
    • d365-audit: השם של מערכת הקבצים (המאגר) שהוגדרה בסביבת העבודה של Synapse.
    • אפשרות למחיקת המקור: בוחרים את אפשרות המחיקה לפי ההעדפה שלכם:
    • אף פעם: הקבצים לא נמחקים אחרי ההעברה.
    • מחיקת קבצים שהועברו: הקבצים נמחקים אחרי שההעברה מסתיימת בהצלחה.
    • מחיקת קבצים שהועברו וספריות ריקות: מחיקת קבצים וספריות ריקות אחרי שההעברה מסתיימת בהצלחה.
    • הגיל המקסימלי של הקובץ: כולל קבצים שעברו שינוי במספר הימים האחרון (ברירת המחדל היא 180 ימים)
    • Shared key (מפתח משותף): מזינים את הערך של המפתח המשותף (מפתח הגישה) ששמרתם מחשבון האחסון קודם לכן.
    • מרחב שמות של נכס: מרחב השמות של הנכס
    • תוויות להוספה: התווית שתתווסף לאירועים מהפיד הזה

  9. לוחצים על הבא.

  10. בודקים את ההגדרות של הפיד החדש במסך סיום ולוחצים על שליחה.

הגדרה של חומת האש של Azure Storage (אם היא מופעלת)

אם חשבון Azure Storage שלכם משתמש בחומת אש, אתם צריכים להוסיף את טווחי כתובות ה-IP של Google SecOps.

  1. ב-Azure portal, עוברים אל Storage Account.
  2. בוחרים באפשרות Networking (רשת) בקטע Security + networking (אבטחה + רשת).
  3. בקטע Firewalls and virtual networks (חומות אש ורשתות וירטואליות), בוחרים באפשרות Enabled from selected virtual networks and IP addresses (מופעל מרשתות וירטואליות ומכתובות IP נבחרות).
  4. בקטע חומת אש, מתחת לטווח כתובות, לוחצים על + הוספת טווח כתובות IP.

  5. מוסיפים כל טווח כתובות IP של Google SecOps בסימון CIDR.

    כדי לקבל את טווחי כתובות ה-IP הנוכחיים:

  6. לוחצים על Save.

טבלת מיפוי UDM

שדה היומן מיפוי UDM לוגיקה
BuildNumber about.labels בוצע מיזוג של about_BuildNumber עם המפתח BuildNumber והערך מ-BuildNumber אם הוא לא ריק
RECORD_IDENTIFIER additional.fields מתמזג עם תוויות שנוצרו מכל שדה רלוונטי אם הוא לא ריק
LastProcessedChange_DateTime additional.fields
DataLakeModified_DateTime additional.fields
Application_Object_Server_node additional.fields
ClientType additional.fields
LogoutDateTime additional.fields
LOGOUTDATETIMETZID additional.fields
TerminatedOk additional.fields
סוג additional.fields
פעיל additional.fields
PARTITION additional.fields
has_user metadata.event_type הערך הוא GENERIC_EVENT, ואז USER_UNCATEGORIZED אם has_user הוא true, אחרת הערך הוא STATUS_UPDATE אם has_principal הוא true
has_principal metadata.event_type
RECVERSION metadata.product_version הערך מועתק ישירות אם הוא לא ריק
SessionId network.session_id הערך מועתק ישירות אם הוא לא ריק
LOG_SEQUENCE_NUMBER security_result.detection_fields מיזוג של LOG_SEQUENCE_NUMBER_label עם המפתח LOG_SEQUENCE_NUMBER והערך מ-LOG_SEQUENCE_NUMBER אם הוא לא ריק
UserId target.user.userid הערך מועתק ישירות אם הוא לא ריק
חותמת זמן חותמת זמן אם השדה לא ריק, המערכת מנתחת אותו באמצעות התאמה לתאריך בפורמט ISO8601 או RFC 3339
metadata.product_name metadata.product_name הערך שמוגדר הוא MICROSOFT_DYNAMICS_365
metadata.vendor_name metadata.vendor_name הערך שמוגדר הוא MICROSOFT_DYNAMICS_365

שנה רישום

צפייה ביומן השינויים של כלי הניתוח הזה

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.