Поделиться через

Соединитель Сборщика Exchange Security Insights Online (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Соединитель, используемый для отправки конфигурации безопасности Exchange Online для Анализа Microsoft Sentinel

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics ESIExchangeOnlineConfig_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Сообщество

Примеры запросов

Просмотр количества записей конфигурации в таблице

ESIExchangeOnlineConfig_CL 
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s

Необходимые компоненты

Чтобы интегрироваться с сборщиком Exchange Security Insights Online (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Разрешения microsoft.automation/automationaccounts: требуется разрешение на чтение и запись для создания служба автоматизации Azure с помощью Модуля Runbook. Дополнительные сведения об учетной записи службы автоматизации см. в документации.
  • Разрешения Microsoft.Graph: Groups.Read, Users.Read и Auditing.Read требуются разрешения для получения сведений о пользователях и группах, связанных с назначениями Exchange Online. Дополнительные сведения см. в документации.
  • Разрешения Exchange Online: разрешения Exchange.ManageAsApp и роль глобального читателя или читателя безопасности необходимы для получения конфигурации безопасности Exchange Online.Дополнительные сведения см. в документации.
  • (Необязательно) Разрешения хранилища журналов: участник данных BLOB-объектов хранилища для учетной записи хранения, связанной с управляемым удостоверением учетной записи службы автоматизации, или идентификатор приложения является обязательным для хранения журналов.Дополнительные сведения см. в документации.

Инструкции по установке поставщика

ПРИМЕЧАНИЕ. ОБНОВЛЕНИЕ

Примечание.

Правильная работа этого соединителя данных зависит от средства синтаксического анализа на основе функции Kusto. Выполните действия для каждого средства синтаксического анализа, чтобы создать псевдоним Функций Kusto: ExchangeConfiguration и ExchangeEnvironmentList

ШАГ 1. Развертывание синтаксического анализа

Примечание.

Этот соединитель использует служба автоматизации Azure для подключения к Exchange Online для извлечения анализа безопасности в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на служба автоматизации Azure.

ШАГ 2. Выберите один из следующих двух вариантов развертывания для развертывания соединителя и связанных служба автоматизации Azure

ВАЖНО. Прежде чем развертывать соединитель "Конфигурация безопасности Exchange Online", укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также имя клиента Exchange Online (contoso.onmicrosoft.com), легко доступные.

Вариант 1. Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя ESI Exchange Online Security Configuration.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Введите идентификатор рабочей области, ключ рабочей области, имя клиента и (или) другие обязательные поля.

  1. Пометьте флажок, помеченный как я согласен с условиями, указанными выше. 5. Нажмите кнопку " Купить ", чтобы развернуть.

Вариант 2. Развертывание служба автоматизации Azure вручную

Выполните следующие пошаговые инструкции по развертыванию соединителя ESI Exchange Online Security Configuration вручную с помощью служба автоматизации Azure.

ШАГ 3. Назначение разрешений Microsoft Graph и разрешение Exchange Online для учетной записи управляемого удостоверения

Чтобы иметь возможность собирать сведения Exchange Online и получать сведения о пользователях и списке членов групп администраторов, учетная запись службы автоматизации должна иметь несколько разрешений.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.