Partilhar via

Conector do Exchange Security Insights Online Collector (usando o Azure Functions) para o Microsoft Sentinel

  • Artigo

Conector usado para enviar por push a configuração de segurança do Exchange Online para o Microsoft Sentinel Analysis

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics ESIExchangeOnlineConfig_CL
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Community

Exemplos de consulta

Exibir quantas entradas de configuração existem na tabela

ESIExchangeOnlineConfig_CL 
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s

Pré-requisitos

Para integrar com o Exchange Security Insights Online Collector (usando o Azure Functions), verifique se você tem:

  • Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
  • microsoft.automation/automationaccounts permissions: são necessárias permissões de leitura e gravação para criar uma Automação do Azure com um Runbook. Consulte a documentação para saber mais sobre a Conta de automação.
  • Permissões Microsoft.Graph: as permissões Groups.Read, Users.Read e Auditing.Read são necessárias para recuperar informações de usuário/grupo vinculadas a atribuições do Exchange Online. Consulte a documentação para saber mais.
  • Permissões do Exchange Online: a permissão Exchange.ManageAsApp e a Função de Leitor Global ou Leitor de Segurança são necessárias para recuperar a Configuração de Segurança do Exchange Online.Consulte a documentação para saber mais.
  • (Opcional) Permissões de armazenamento de log: o contribuidor de dados de Blob de armazenamento para uma conta de armazenamento vinculada à identidade gerenciada da conta de automação ou a uma ID de aplicativo é obrigatório para armazenar logs.Consulte a documentação para saber mais.

Instruções de instalação do fornecedor

NOTA - ATUALIZAÇÃO

Nota

Este conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado. Siga as etapas para cada analisador para criar o alias Kusto Functions: ExchangeConfiguration e ExchangeEnvironmentList

PASSO 1 - Implementação de analisadores

Nota

Esse conector usa a Automação do Azure para se conectar ao 'Exchange Online' para extrair sua análise de segurança para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços da Automação do Azure para obter detalhes.

ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Automação do Azure associada

IMPORTANTE: Antes de implantar o conector 'Configuração de Segurança do ESI Exchange Online', tenha a ID do Espaço de Trabalho e a Chave Primária do Espaço de Trabalho (que podem ser copiadas do seguinte), bem como o nome do locatário do Exchange Online (contoso.onmicrosoft.com), prontamente disponíveis.

Opção 1 - Modelo do Azure Resource Manager (ARM)

Use este método para a implantação automatizada do conector 'ESI Exchange Online Security Configuration'.

  1. Clique no botão Implantar no Azure abaixo.

    Implementar no Azure

  2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.

  3. Insira o ID do espaço de trabalho, a chave do espaço de trabalho, o nome do locatário e 'e/ou outros campos obrigatórios'.

  1. Marque a caixa de seleção Concordo com os termos e condições mencionados acima. 5. Clique em Comprar para implantar.

Opção 2 - Implantação manual da Automação do Azure

Use as instruções passo a passo a seguir para implantar o conector 'Configuração de Segurança do ESI Exchange Online' manualmente com a Automação do Azure.

ETAPA 3 - Atribuir permissão do Microsoft Graph e permissão do Exchange Online à conta de identidade gerenciada

Para poder coletar informações do Exchange Online e recuperar informações de usuário e lista de membros de grupos de administradores, a conta de automação precisa de várias permissões.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.