Microsoft Sentinel 用 Exchange Security Insights Online Collector (Azure Functions を使用) コネクタ
Microsoft Sentinel Analysis 用の Exchange Online Security Configuration をプッシュするために使用されるコネクタ
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | ESIExchangeOnlineConfig_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | コミュニティ |
クエリのサンプル
テーブル内に存在する構成エントリの数を表示する
ESIExchangeOnlineConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
前提条件
Exchange Security Insights Online Collector と (Azure Functions を使用して) を統合するには、以下の要素が揃っていることを確認してください。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- microsoft.automation/automationaccounts のアクセス許可: Runbook で Azure Automation を作成するための読み取りと書き込みのアクセス権が必要です。 Automation Account の詳細については、ドキュメントを参照してください。
- Microsoft.Graph のアクセス許可: Exchange Online の割り当てにリンクされているユーザー/グループ情報を取得するには、Groups.Read、Users.Read、Auditing.Read のアクセス許可が必要です。 詳細については、このドキュメントを参照してください。
- Exchange Online のアクセス許可: Exchange Online セキュリティ構成を取得するには、Exchange.ManageAsApp アクセス許可とグローバル閲覧者またはセキュリティ閲覧者のロールが必要です。詳細については、ドキュメントを参照してください。
- (省略可能) ログ ストレージのアクセス許可: オートメーション アカウント マネージド ID またはアプリケーション ID にリンクされているストレージ アカウントへのストレージ BLOB データ共同作成者は、ログを格納するために必須です。詳細については、ドキュメントを参照してください。
ベンダーのインストール手順
注意 - 更新プログラム
Note
このデータ コネクタは、Kusto 関数に基づくパーサーに依存して正常に動作します。 各パーサーの手順に従って、Kusto Functions エイリアスを作成します: ExchangeConfiguration と ExchangeEnvironmentList
手順 1 - パーサーのデプロイ
Note
このコネクタは、Azure Automation を使用して "Exchange Online" に接続し、セキュリティ分析を Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、Azure オートメーションの価格情報ページを参照してください。
手順 2 - 以下 2 つのデプロイ オプションから 1 つを選び、コネクタと、コネクタに関連付けた Azure Automation をデプロイする
重要: "ESI Exchange Online Security Configuration" コネクタをデプロイする前に、ワークスペース ID、ワークスペース主キー (以下からコピー可能)、および Exchange Online テナント名 (contoso.onmicrosoft.com) の情報を手元に用意しておいてください。
オプション 1 - Azure Resource Manager (ARM) テンプレート
"ESI Exchange Online Security Configuration" コネクタを自動デプロイするには、この方法を使用します。
下の [Azure へのデプロイ] ボタンをクリックします。
お使いの [サブスクリプション]、[リソース グループ]、[場所] を選びます。
[ワークスペース ID]、[ワークスペース キー]、[テナント名]、その他の必須フィールドを入力します。
- [上記の使用条件に同意する] というラベルのチェックボックスをオンにします。 5. [購入] をクリックしてデプロイします。
オプション 2 - Azure Automation の手動デプロイ
Azure Automation を使用して "ESI Exchange Online Security Configuration" コネクタを手動でデプロイするには、以下の手順に従います。
手順 3 - マネージド ID アカウントに、Microsoft Graph のアクセス権と Exchange Online のアクセス権を付与する
Exchange Online の情報を収集し、管理者グループのユーザー情報とメンバー一覧を取得できるためには、Automation アカウントに複数のアクセス権を付与する必要があります。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。