Conector de Exchange Security Insights Online (con Azure Functions) para Microsoft Sentinel
Conector usado para insertar la configuración de seguridad de Exchange Online para el análisis de Microsoft Sentinel
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | ESIExchangeOnlineConfig_CL |
| Soporte de reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | Comunidad |
Ejemplos de consultas
Ver cuántas entradas de configuración existen en la tabla
ESIExchangeOnlineConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
Requisitos previos
Para integrarse con Exchange Security Insights Online Collector (mediante Azure Functions), asegúrese de que tiene:
- Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
- permisos microsoft.automation/automationaccounts: Se requieren permisos de lectura y escritura para crear una instancia de Azure Automation con un Runbook. Consulte la documentación para más información sobre la cuenta de Automation.
- Permisos de Microsoft.Graph: Los permisos Groups.Read, Users.Read y Auditing.Read son necesarios para recuperar información de usuario o grupo vinculada a asignaciones de Exchange Online. Vea la documentación para obtener más información.
- Permisos de Exchange Online: Se necesitan permisos Exchange.ManageAsApp y Lector global o Rol Lector de seguridad para recuperar la configuración de seguridad de Exchange Online.Vea la documentación para obtener más información.
- (Opcional) Permisos de almacenamiento de registros: Colaborador de datos de blobs de almacenamiento en una cuenta de almacenamiento vinculada a la identidad administrada de la cuenta de Automation o un identificador de aplicación es obligatorio almacenar registros.Vea la documentación para obtener más información.
Instrucciones de instalación del proveedor
NOTA: ACTUALIZAR
Nota:
Este conector de datos depende de un analizador basado en una función de Kusto para funcionar según lo previsto. Siga los pasos de cada analizador para crear el alias de Functions de Kusto: ExchangeConfiguration y ExchangeEnvironmentList.
PASO 1: Implementación de analizadores
Nota
Este conector usa Azure Automation para conectarse a "Exchange Online" para extraer su análisis de seguridad en Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Para más información al respecto, consulte la página Precios de Azure Automation.
PASO 2: Elija UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure Automation asociada
IMPORTANTE: Antes de implementar el conector de datos de Box, tenga a mano el identificador y la clave principal del área de trabajo (se pueden copiar con las indicaciones siguientes), así como el nombre del inquilino de Exchange Online (contoso.onmicrosoft.com), fácilmente disponibles.
Opción 1: Plantilla de Azure Resource Manager (ARM)
Utilice este método para el implementación automatizado del conector "Configuración de seguridad de ESI Exchange Online".
Haga clic en el botón Implementar en Azure que aparece a continuación.
Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.
Escriba el Id. del área de trabajo, la Clave del área de trabajo, el Nombre del inquilino, y/o "Otros campos obligatorios".
- Marque la casilla de verificación Acepto los términos y condiciones establecidos anteriormente. 5. Haga clic en Comprar para implementar.
Opción 2: Implementación manual de Azure Automation
Use las siguientes instrucciones paso a paso para implementar manualmente el conector "Configuración de seguridad de ESI Exchange Online" con Azure Automation.
PASO 3: Asignación de permisos de Microsoft Graph y permiso de Exchange Online a la cuenta de identidad administrada
Para poder recopilar la información de Exchange Online y poder recuperar la información de usuario y la lista de miembros de los grupos de administración, la cuenta de Automation necesita varios permisos.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.