適用於 Microsoft Sentinel 的 Exchange Security Insights Online 收集器 (使用 Azure Functions) 連接器
用來推送 Microsoft Sentinel 分析 Exchange Online 安全性設定的連接器
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | ESIExchangeOnlineConfig_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | Community |
查詢範例
檢視資料表上有多少設定項目
ESIExchangeOnlineConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
必要條件
若要與 Exchange Security Insights Online 收集器整合 (使用 Azure Functions),請確定您具有:
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions。
- microsoft.automation/automationaccounts 許可權:需要讀取和寫入許可權,才能使用 Runbook 建立 Azure 自動化。 請參閱文件以深入了解自動化帳戶。
- Microsoft.Graph 許可權:Groups.Read、Users.Read 和 Auditing.Read 許可權,才能擷取連結至 Exchange Online 指派的使用者/群組資訊。 若要深入瞭解,請參閱檔。
- Exchange Online 許可權:需要 Exchange.ManageAsApp 許可權和 全域讀取者 或 安全性讀取者 角色,才能擷取 Exchange Online 安全性設定。若要深入瞭解,請參閱檔。
- (選擇性)記錄記憶體許可權:連結至自動化帳戶受控識別或應用程式標識符之記憶體帳戶的記憶體 Blob 資料參與者是儲存記錄的必要專案。若要深入瞭解,請參閱檔。
廠商安裝指示
注意 - 更新
注意
此資料連接器取決於以 Kusto 函式為基礎的剖析器,才能如預期般運作。 請遵循每個剖析器的步驟來建立 Kusto Functions 別名:ExchangeConfiguration 和 ExchangeEnvironmentList
步驟 1 - 剖析器部署
注意
此連接器會使用 Azure 自動化來連線到 'Exchange Online',將其安全性分析提取至 Microsoft Sentinel。 這可能會導致額外的資料擷取成本。 如需詳細資訊,請參閱 Azure 自動化價格頁面。
步驟 2 - 從下列兩個部署選項中選擇一個選項,以部署連接器和相關聯的 Azure Function
重要事項: 部署「ESI Exchange Online 安全性設定」連接器之前,請具有工作區識別碼和工作區主索引鍵 (可複製下列專案),以及可供使用之 Exchange Online 租用戶名稱 (contoso.onmicrosoft.com)。
選項 1 - Azure Resource Manager (ARM) 範本
使用此方法來自動部署「ESI Exchange Online 安全性設定」連接器。
按一下下方的 [部署至 Azure] 按鈕。
選取偏好的 [訂用帳戶]、[資源群組] 和 [位置]。
輸入工作區識別碼、工作區金鑰、租用戶名稱、「及/或其他必要欄位」。
- 選取標示為 [我同意上方所述的條款及條件] 的核取方塊。 5.按一下 [購買] 以部署。
選項 2 - Azure Functions 手動部署
使用下列逐步指示,透過 Azure 自動化手動部署「ESI Exchange Online 安全性設定」連接器。
步驟 3 - 將 Microsoft Graph 權限和 Exchange Online 權限指派給受控識別帳戶
若要能夠收集 Exchange Online 資訊,以及能夠擷取系統管理員群組的使用者資訊和成員清單,自動化帳戶需要多個權限。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。