你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的“Exchange 安全见解联机收集器(使用 Azure Functions)”连接器
用于推送 Exchange Online 安全配置供 Microsoft Sentinel 分析使用的连接器
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | ESIExchangeOnlineConfig_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | 社区 |
查询示例
查看表上存在的配置条目数
ESIExchangeOnlineConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
先决条件
若要与“Exchange 安全见解联机收集器(使用 Azure Functions)”集成,请确保你具有:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- microsoft.automation/automationaccounts 权限:需要读取和写入权限才能使用 Runbook 创建 Azure 自动化。 请查看文档来详细了解 Azure 自动化帐户。
- Microsoft.Graph 权限:需要 Groups.Read、Users.Read 和 Auditing.Read 权限才能检索链接到 Exchange Online 分配的用户/组信息。 若要了解详细信息,请参阅文档。
- Exchange Online 权限:需要 Exchange.ManageAsApp 权限和全局读取者或安全读取者角色来检索 Exchange Online 安全配置。请参阅文档以了解更多信息。
- (可选)日志存储权限:链接到自动化帐户托管标识或应用程序 ID 的存储帐户的存储 Blob 数据贡献者是存储日志的必要项。请参阅文档以了解详情。
供应商安装说明
NOTE - UPDATE
注意
此数据连接器依赖于基于 Kusto 函数的分析程序来按预期方式工作。 按照步骤为每个分析程序创建 Kusto 函数别名:ExchangeConfiguration 和 ExchangeEnvironmentList
步骤 1 - 分析程序部署
注意
此连接器使用 Azure 自动化来连接到“Exchange Online”,从而将其安全分析结果拉取到 Microsoft Sentinel 中。 这可能会导致额外的数据引入成本。 有关详细信息,请查看 Azure 自动化定价页。
步骤 2 - 从下面两个部署选项中选择一个来部署连接器和关联的 Azure 自动化
重要说明:在部署“ESI Exchange Online 安全配置”连接器之前,请准备好工作区 ID 和工作区主密钥(可从下面复制),以及 Exchange Online 租户名 (contoso.onmicrosoft.com)。
选项 1 - Azure 资源管理器 (ARM) 模板
使用此方法自动部署“ESI Exchange Online 安全配置”连接器。
单击下面的“部署到 Azure” 按钮。
选择首选的“订阅”、“资源组”和“位置”。
输入工作区 ID、工作区密钥和租户名,并/或填写其他必需字段。
- 选中“我同意上述条款和条件”复选框。 5. 单击“购买”进行部署。
选项 2 - 手动部署 Azure 自动化
按照下面的分步说明,通过 Azure 自动化手动部署“ESI Exchange Online 安全配置”连接器。
步骤 3 - 为托管标识帐户分配 Microsoft Graph 权限和 Exchange Online 权限
自动化帐户需要具有多个权限,才能收集 Exchange Online 信息并检索管理员组的用户信息和成员列表。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。