Konektor Exchange Security Přehledy Online Collector (pomocí Azure Functions) pro Microsoft Sentinel
Připojení or používaný k nabízení konfigurace zabezpečení Exchange Online pro analýzu Microsoft Sentinelu
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
| atribut Připojení or | Popis |
|---|---|
| Tabulky Log Analytics | ESIExchangeOnlineConfig_CL |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | Community |
Ukázky dotazů
Zobrazení počtu položek konfigurace v tabulce
ESIExchangeOnlineConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
Požadavky
Pokud chcete provést integraci se službou Exchange Security Přehledy Online Collector (pomocí Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- oprávnění microsoft.automation/automationaccounts: Vyžaduje se oprávnění ke čtení a zápisu k vytvoření služby Azure Automation pomocí runbooku. Další informace o účtu Automation najdete v dokumentaci.
- Oprávnění Microsoft.Graph: Oprávnění Groups.Read, Users.Read a Auditing.Read jsou nutná k načtení informací o uživatelích a skupinách propojených s přiřazeními Exchange Online. Další informace najdete v dokumentaci.
- Oprávnění Exchange Online: K načtení konfigurace zabezpečení Exchange Online jsou potřeba oprávnění Exchange.ManageAsApp a globální čtenář nebo role čtenáře zabezpečení.Další informace najdete v dokumentaci.
- (Volitelné) Oprávnění úložiště protokolů: Přispěvatel dat objektů blob úložiště do účtu úložiště propojeného se spravovanou identitou účtu Automation nebo ID aplikace je pro ukládání protokolů povinné.Další informace najdete v dokumentaci.
Pokyny k instalaci dodavatele
POZNÁMKA : AKTUALIZACE
Poznámka:
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání. Podle pokynů pro každý analyzátor vytvořte alias Funkce Kusto: ExchangeConfiguration a ExchangeEnvironmentList.
KROK 1 – nasazení analyzátorů
Poznámka:
Tento konektor používá Azure Automation k připojení k Exchangi Online k načtení analýzy zabezpečení do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Automation.
KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené služby Azure Automation.
DŮLEŽITÉ: Před nasazením konektoru ESI Exchange Online Security Configuration musí mít ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také název tenanta Exchange Online (contoso.onmicrosoft.com), který je snadno dostupný.
Možnost 1 – Šablona Azure Resource Manageru (ARM)
Tuto metodu použijte pro automatizované nasazení konektoru ESI Exchange Online Security Configuration.
Klikněte níže na tlačítko Nasadit do Azure .
Vyberte upřednostňované předplatné, skupinu prostředků a umístění.
Zadejte ID pracovního prostoru, klíč pracovního prostoru, název tenanta, pole a/nebo jiná povinná pole.
- Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše. 5. Kliknutím na tlačítko Koupit nasadíte.
Možnost 2 – Ruční nasazení služby Azure Automation
Pomocí následujících podrobných pokynů nasaďte konektor ESI Exchange Online Security Configuration ručně se službou Azure Automation.
KROK 3: Přiřazení oprávnění Microsoft Graphu a oprávnění Exchange Online k účtu spravované identity
Aby bylo možné shromažďovat informace o Exchangi Online a mít možnost načíst informace o uživateli a seznam členů skupin pro správu, účet Automation potřebuje více oprávnění.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.