適用於 Microsoft Sentinel 的 Exchange Security Insights Online 收集器 (使用 Azure Functions) 連接器
連線 或用來推送 Microsoft Sentinel Analysis 的 Exchange Online 安全性設定
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | ESIExchangeOnlineConfig_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | Community |
查詢範例
檢視數據表上有多少組態專案
ESIExchangeOnlineConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
必要條件
若要與 Exchange Security Insights Online 收集器整合(使用 Azure Functions),請確定您具有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- microsoft.automation/automationaccounts 許可權:需要讀取和寫入許可權,才能使用 Runbook 建立 Azure 自動化。 請參閱檔以深入瞭解自動化帳戶。
- Microsoft.Graph 許可權:Groups.Read、Users.Read 和 Auditing.Read 許可權,才能擷取連結至 Exchange Online 指派的使用者/群組資訊。 若要深入瞭解,請參閱檔。
- Exchange Online 許可權:需要 Exchange.ManageAsApp 許可權和 全域讀取者 或 安全性讀取者 角色,才能擷取 Exchange Online 安全性設定。若要深入瞭解,請參閱檔。
- (選擇性)記錄 儲存體 許可權:儲存體 連結至自動化帳戶受控識別或應用程式識別符的記憶體帳戶 儲存體 Blob 數據參與者,才能儲存記錄。若要深入瞭解,請參閱檔。
廠商安裝指示
注意 - 更新
注意
此數據連接器取決於以 Kusto 函式為基礎的剖析器,才能如預期般運作。 請遵循每個剖析器的步驟來建立 Kusto Functions 別名:ExchangeConfiguration 和 ExchangeEnvironmentList
步驟 1 - 剖析器部署
注意
此連接器會使用 Azure 自動化 連線到 『Exchange Online』,將其安全性分析提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊,請參閱 Azure 自動化 定價頁面。
步驟 2 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 自動化
重要事項: 部署「ESI Exchange Online 安全性設定」連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),以及可供使用之 Exchange Online 租用戶名稱(contoso.onmicrosoft.com)。
選項 1 - Azure Resource Manager (ARM) 範本
使用這個方法來自動部署「ESI Exchange Online 安全性設定」連接器。
按兩下下方的 [ 部署至 Azure ] 按鈕。
選取慣用 的訂用帳戶、 資源群組 和 位置。
輸入工作區 標識碼、 工作區密鑰、 租用戶名稱、『和/或其他必要字段』。
- 標示為 [我同意上述條款及條件] 的複選框。 5.按兩下 [ 購買 ] 以部署。
選項 2 - 手動部署 Azure 自動化
使用下列逐步指示,手動搭配 Azure 自動化 部署 『ESI Exchange Online Security Configuration』 連接器。
步驟 3 - 將 Microsoft Graph 許可權和 Exchange Online 許可權指派給受控識別帳戶
若要能夠收集 Exchange Online 資訊,以及能夠擷取系統管理員群組的使用者資訊和成員清單,自動化帳戶需要多個許可權。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。