次の方法で共有


Microsoft Sentinel 用 Exchange Security Insights Online Collector (Azure Functions を使用) コネクタ

Microsoft Sentinel Analysis 用の Exchange Online Security Configuration をプッシュするために使用されるコネクタ

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル ESIExchangeOnlineConfig_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの コミュニティ

クエリのサンプル

テーブル内に存在する構成エントリの数を表示する

ESIExchangeOnlineConfig_CL 
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s

前提条件

Exchange Security Insights Online Collector と (Azure Functions を使用して) を統合するには、以下の要素が揃っていることを確認してください。

ベンダーのインストール手順

注意 - 更新プログラム

Note

このデータ コネクタは、Kusto 関数に基づくパーサーに依存して正常に動作します。 各パーサーの手順に従って、Kusto Functions エイリアスを作成します: ExchangeConfigurationExchangeEnvironmentList

手順 1 - パーサーのデプロイ

Note

このコネクタは、Azure Automation を使用して "Exchange Online" に接続し、セキュリティ分析を Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、Azure オートメーションの価格情報ページを参照してください。

手順 2 - 以下 2 つのデプロイ オプションから 1 つを選び、コネクタと、コネクタに関連付けた Azure Automation をデプロイする

重要: "ESI Exchange Online Security Configuration" コネクタをデプロイする前に、ワークスペース ID、ワークスペース主キー (以下からコピー可能)、および Exchange Online テナント名 (contoso.onmicrosoft.com) の情報を手元に用意しておいてください。

オプション 1 - Azure Resource Manager (ARM) テンプレート

"ESI Exchange Online Security Configuration" コネクタを自動デプロイするには、この方法を使用します。

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Azure へのデプロイ

  2. お使いの [サブスクリプション][リソース グループ][場所] を選びます。

  3. [ワークスペース ID][ワークスペース キー][テナント名]、その他の必須フィールドを入力します。

  1. [上記の使用条件に同意する] というラベルのチェックボックスをオンにします。 5. [購入] をクリックしてデプロイします。

オプション 2 - Azure Automation の手動デプロイ

Azure Automation を使用して "ESI Exchange Online Security Configuration" コネクタを手動でデプロイするには、以下の手順に従います。

手順 3 - マネージド ID アカウントに、Microsoft Graph のアクセス権と Exchange Online のアクセス権を付与する

Exchange Online の情報を収集し、管理者グループのユーザー情報とメンバー一覧を取得できるためには、Automation アカウントに複数のアクセス権を付与する必要があります。

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。