Condividi tramite

Connettore Exchange Security Insights Online (con Funzioni di Azure) per Microsoft Sentinel

  • Articolo

Connettore usato per eseguire il push della configurazione di Sicurezza di Exchange Online per l'analisi di Microsoft Sentinel

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Attributo connettore Descrizione
Tabelle Log Analytics ESIExchangeOnlineConfig_CL
Supporto regole di raccolta dati Non è al momento supportato
Supportata da: Community

Esempi di query

Visualizzare il numero di voci di Configurazione presenti nella tabella

ESIExchangeOnlineConfig_CL 
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s

Prerequisiti

Per eseguire l'integrazione con Exchange Security Insights Online Collector (usando Funzioni di Azure) assicurarsi di disporre di:

  • autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
  • autorizzazioni microsoft.automation/automationaccounts: sono necessarie autorizzazioni di lettura e scrittura per creare un Automazione di Azure con un runbook. Per altre informazioni sull'account di Automazione, vedere la documentazione.
  • Autorizzazioni di Microsoft.Graph: Groups.Read, Users.Read e Auditing.Read sono necessarie autorizzazioni per recuperare le informazioni relative a utenti/gruppi collegate alle assegnazioni di Exchange Online. Per altre informazioni, vedere la documentazione.
  • Autorizzazioni di Exchange Online: autorizzazioni exchange.ManageAsApp e ruolo con autorizzazioni di lettura globale o ruolo con autorizzazioni di lettura per la sicurezza di Exchange Online sono necessarie per recuperare la configurazione della sicurezza di Exchange Online.Per altre informazioni, vedere la documentazione.
  • (Facoltativo) Autorizzazioni di archiviazione log: collaboratore ai dati dei BLOB di archiviazione a un account di archiviazione collegato all'identità gestita dell'account di Automazione o un ID applicazione è obbligatorio per archiviare i log.Per altre informazioni, vedere la documentazione.

Istruzioni per l’installazione di Vendor

NOTA - AGGIORNAMENTO

Nota

Per funzionare come previsto questo connettore dati dipende da un parser basato su una funzione Kusto. Seguire la procedura per ogni parser per creare l'alias di Funzioni di Kusto: ExchangeConfiguration e ExchangeEnvironmentList

PASSAGGIO 1 - Distribuzione dei parser

Nota

Questo connettore usa Automazione di Azure per connettersi a "Exchange Online" per eseguire il pull dell'analisi della sicurezza in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dati. Per informazioni dettagliate, vedere la pagina dei prezzi Automazione di Azure.

PASSAGGIO 2: scegliere UNA tra le due opzioni di distribuzione seguenti per distribuire il connettore e il Automazione di Azure associato

IMPORTANTE: prima di distribuire il connettore 'ESI Exchange Online Security Configuration', disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato dal codice seguente), nonché il nome del tenant di Exchange Online (contoso.onmicrosoft.com), immediatamente disponibile.

Opzione 1 - Modello di Azure Resource Manager (ARM)

Utilizzare questo metodo per la distribuzione automatica del connettore 'ESI Exchange Online Security Configuration'.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuzione in Azure

  2. Selezionare la Sottoscrizione preferita, il Gruppo di risorse e la Località.

  3. Immettere l'ID dell'area di lavoro, la chiave dell'area di lavoro, il nome del tenant, i campi 'e/o Altri campi obbligatori'.

  1. Contrassegnare la casella di controllo etichettata Accetto le condizioni riportate sopra. 5. Fare clic su Acquista per effettuare la distribuzione.

Opzione 2 - Distribuzione manuale di Automazione di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore 'ESI Exchange Online Security Configuration' con Automazione di Azure.

PASSAGGIO 3 - Assegnare l'autorizzazione microsoft Graph e l'autorizzazione di Exchange Online all'account di identità gestita

Per poter raccogliere informazioni su Exchange Online e per poter recuperare le informazioni utente e l'elenco di membri dei gruppi di amministratori, l'account di automazione deve disporre di più autorizzazioni.

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.