Łącznik modułu zbierającego usługi Exchange Security Szczegółowe informacje Online (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Połączenie or używany do wypychania konfiguracji zabezpieczeń usługi Exchange Online na potrzeby analizy usługi Microsoft Sentinel
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Tabele usługi Log Analytics | ESIExchangeOnlineConfig_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Community |
Przykłady zapytań
Wyświetlanie liczby wpisów konfiguracji w tabeli
ESIExchangeOnlineConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
Wymagania wstępne
Aby zintegrować z usługą Exchange Security Szczegółowe informacje Online Collector (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- uprawnienia microsoft.automation/automationaccounts: wymagane są uprawnienia do odczytu i zapisu w celu utworzenia usługi Azure Automation z elementem Runbook. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o koncie usługi Automation.
- Uprawnienia Microsoft.Graph: Uprawnienia Groups.Read, Users.Read i Auditing.Read są wymagane do pobierania informacji o użytkownikach/grupach połączonych z przypisaniami usługi Exchange Online. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej.
- Uprawnienia usługi Exchange Online: uprawnienia Exchange.ManageAsApp i rola czytelnika globalnego lub czytelnika zabezpieczeń są wymagane do pobrania konfiguracji zabezpieczeń usługi Exchange Online.Zapoznaj się z dokumentacją, aby dowiedzieć się więcej.
- (Opcjonalnie) Uprawnienia usługi Log Storage: Współautor danych obiektu blob usługi Storage na koncie magazynu połączonym z tożsamością zarządzaną konta usługi Automation lub identyfikator aplikacji jest obowiązkowy do przechowywania dzienników.Zapoznaj się z dokumentacją, aby dowiedzieć się więcej.
Instrukcje instalacji dostawcy
UWAGA — AKTUALIZACJA
Uwaga
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która działa zgodnie z oczekiwaniami. Wykonaj kroki dla każdego analizatora, aby utworzyć alias usługi Kusto Functions: ExchangeConfiguration i ExchangeEnvironmentList
KROK 1. Wdrożenie analizatorów
Uwaga
Ten łącznik używa usługi Azure Automation do nawiązania połączenia z usługą "Exchange Online", aby ściągnąć analizę zabezpieczeń do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Automation.
KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną usługę Azure Automation
WAŻNE: Przed wdrożeniem łącznika "Konfiguracja zabezpieczeń usługi ESI Exchange Online" należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także nazwę dzierżawy usługi Exchange Online (contoso.onmicrosoft.com), łatwo dostępną.
Opcja 1 — szablon usługi Azure Resource Manager (ARM)
Ta metoda służy do automatycznego wdrażania łącznika "Konfiguracja zabezpieczeń usługi Exchange Online ESI".
Kliknij przycisk Wdróż na platformie Azure poniżej.
Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.
Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, nazwę dzierżawy i/lub inne wymagane pola.
- Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia. 5. Kliknij przycisk Kup , aby wdrożyć.
Opcja 2 — ręczne wdrażanie usługi Azure Automation
Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik "Konfiguracja zabezpieczeń usługi Exchange Online ESI Exchange Online" za pomocą usługi Azure Automation.
KROK 3. Przypisywanie uprawnień programu Microsoft Graph i uprawnienia usługi Exchange Online do konta tożsamości zarządzanej
Aby móc zbierać informacje usługi Exchange Online i mieć możliwość pobierania informacji o użytkowniku i listy członków grup administracyjnych, konto usługi Automation musi mieć wiele uprawnień.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.