Conector do Coletor Online do Exchange Security Insights (usando o Azure Functions) para Microsoft Sentinel
Conector usado para efetuar push da configuração do Exchange Online Security para Análise do Microsoft Sentinel
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | ESIExchangeOnlineConfig_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Comunidade |
Exemplos de consulta
Exibir quantas entradas de configuração existem na tabela
ESIExchangeOnlineConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
Pré-requisitos
Para integrar-se ao Coletor Online do Exchange Security Insights (usando o Azure Functions), certifique-se de ter:
- Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
- permissões microsoft.automation/automationaccounts: é necessário ter permissões de leitura e gravação para a Conta de Automação do Azure criá-la com um runbook. Confira a documentação para saber mais sobre a Conta de Automação.
Instruções de instalação do fornecedor
Observação
Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado. Siga as etapas para cada analisador criar o alias das funções do Kusto: ExchangeConfiguration e ExchangeEnvironmentList
ETAPA 1 – Implantação de analisadores
Observação
Esse conector usa a Automação do Azure para se conectar ao “Exchange Online” para efetuar pull de sua análise de segurança no Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços da Automação do Azure para obter detalhes.
ETAPA 2 – Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Automação do Azure associada
IMPORTANTE: antes de implantar o conector “ESI Exchange Online Security Configuration”, tenha em mãos a ID do workspace e a chave primária do workspace (podem ser copiadas do seguinte), bem como o nome do locatário do Exchange Online (contoso.onmicrosoft.com), prontamente disponíveis.
Opção 1 – Modelo do Azure Resource Manager (ARM)
Use esse método para a implantação automatizada do conector “ESI Exchange Online Security Configuration”.
Clique no botão Implantar no Azure abaixo.
Selecione a Assinatura, o Grupo de Recursos e o Local de sua preferência.
Insira a ID do workspace, a chave do workspace, o nome do locatário e/ou outros campos necessários.
- Marque a caixa de seleção rotulada como Concordo com os termos e condições declarados acima. 5. Clique em Comprar para implantar.
Opção 2 – Implantação manual da Automação do Azure
Use as instruções passo a passo a seguir para implantar o conector “ESI Exchange Online Security Configuration” manualmente com a Automação do Azure.
ETAPA 3 – Atribuir permissão do Microsoft Graph e permissão do Exchange Online à conta de identidade gerenciada
Para poder coletar informações do Exchange Online e recuperar informações do usuário e a lista de membros de grupos de administradores, a conta de automação precisa de várias permissões.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.