Connettore Exchange Security Insights Online (con Funzioni di Azure) per Microsoft Sentinel
Connettore usato per eseguire il push della configurazione di Sicurezza di Exchange Online per l'analisi di Microsoft Sentinel
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
Attributo connettore | Descrizione |
---|---|
Tabelle Log Analytics | ESIExchangeOnlineConfig_CL |
Supporto regole di raccolta dati | Non è al momento supportato |
Supportata da: | Community |
Esempi di query
Visualizzare il numero di voci di Configurazione presenti nella tabella
ESIExchangeOnlineConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
Prerequisiti
Per eseguire l'integrazione con Exchange Security Insights Online Collector (usando Funzioni di Azure) assicurarsi di disporre di:
- autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
- autorizzazioni microsoft.automation/automationaccounts: sono necessarie autorizzazioni di lettura e scrittura per creare un Automazione di Azure con un runbook. Per altre informazioni sull'account di Automazione, vedere la documentazione.
- Autorizzazioni di Microsoft.Graph: Groups.Read, Users.Read e Auditing.Read sono necessarie autorizzazioni per recuperare le informazioni relative a utenti/gruppi collegate alle assegnazioni di Exchange Online. Per altre informazioni, vedere la documentazione.
- Autorizzazioni di Exchange Online: autorizzazioni exchange.ManageAsApp e ruolo con autorizzazioni di lettura globale o ruolo con autorizzazioni di lettura per la sicurezza di Exchange Online sono necessarie per recuperare la configurazione della sicurezza di Exchange Online.Per altre informazioni, vedere la documentazione.
- (Facoltativo) Autorizzazioni di archiviazione log: collaboratore ai dati dei BLOB di archiviazione a un account di archiviazione collegato all'identità gestita dell'account di Automazione o un ID applicazione è obbligatorio per archiviare i log.Per altre informazioni, vedere la documentazione.
Istruzioni per l’installazione di Vendor
NOTA - AGGIORNAMENTO
Nota
Per funzionare come previsto questo connettore dati dipende da un parser basato su una funzione Kusto. Seguire la procedura per ogni parser per creare l'alias di Funzioni di Kusto: ExchangeConfiguration e ExchangeEnvironmentList
PASSAGGIO 1 - Distribuzione dei parser
Nota
Questo connettore usa Automazione di Azure per connettersi a "Exchange Online" per eseguire il pull dell'analisi della sicurezza in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dati. Per informazioni dettagliate, vedere la pagina dei prezzi Automazione di Azure.
PASSAGGIO 2: scegliere UNA tra le due opzioni di distribuzione seguenti per distribuire il connettore e il Automazione di Azure associato
IMPORTANTE: prima di distribuire il connettore 'ESI Exchange Online Security Configuration', disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato dal codice seguente), nonché il nome del tenant di Exchange Online (contoso.onmicrosoft.com), immediatamente disponibile.
Opzione 1 - Modello di Azure Resource Manager (ARM)
Utilizzare questo metodo per la distribuzione automatica del connettore 'ESI Exchange Online Security Configuration'.
Fare clic sul pulsante Distribuisci in Azure sotto.
Selezionare la Sottoscrizione preferita, il Gruppo di risorse e la Località.
Immettere l'ID dell'area di lavoro, la chiave dell'area di lavoro, il nome del tenant, i campi 'e/o Altri campi obbligatori'.
- Contrassegnare la casella di controllo etichettata Accetto le condizioni riportate sopra. 5. Fare clic su Acquista per effettuare la distribuzione.
Opzione 2 - Distribuzione manuale di Automazione di Azure
Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore 'ESI Exchange Online Security Configuration' con Automazione di Azure.
PASSAGGIO 3 - Assegnare l'autorizzazione microsoft Graph e l'autorizzazione di Exchange Online all'account di identità gestita
Per poter raccogliere informazioni su Exchange Online e per poter recuperare le informazioni utente e l'elenco di membri dei gruppi di amministratori, l'account di automazione deve disporre di più autorizzazioni.
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.