Соединитель exchange Security Аналитика Online Collector (с помощью Функции Azure) для Microsoft Sentinel
Подключение or, используемый для отправки конфигурации безопасности Exchange Online для анализа Microsoft Sentinel
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | ESIExchangeOnlineConfig_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Сообщество |
Примеры запросов
Просмотр количества записей конфигурации в таблице
ESIExchangeOnlineConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
Необходимые компоненты
Чтобы интегрироваться с Exchange Security Аналитика Online Collector (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Разрешения microsoft.automation/automationaccounts: требуется разрешение на чтение и запись для создания служба автоматизации Azure с помощью Модуля Runbook. Дополнительные сведения об учетной записи службы автоматизации см. в документации.
- Разрешения Microsoft.Graph: Groups.Read, Users.Read и Auditing.Read требуются разрешения для получения сведений о пользователях и группах, связанных с назначениями Exchange Online. Дополнительные сведения см. в документации.
- Разрешения Exchange Online: разрешения Exchange.ManageAsApp и роль глобального читателя или читателя безопасности необходимы для получения конфигурации безопасности Exchange Online.Дополнительные сведения см. в документации.
- (Необязательно) Разрешения служба хранилища журналов: служба хранилища участник данных BLOB-объектов в учетную запись хранения, связанную с управляемым удостоверением учетной записи службы автоматизации, или идентификатор приложения является обязательным для хранения журналов.Дополнительные сведения см. в документации.
Инструкции по установке поставщика
ПРИМЕЧАНИЕ. ОБНОВЛЕНИЕ
Примечание.
Правильная работа этого соединителя данных зависит от средства синтаксического анализа на основе функции Kusto. Выполните действия для каждого средства синтаксического анализа, чтобы создать псевдоним Функций Kusto: ExchangeConfiguration и ExchangeEnvironmentList
ШАГ 1. Развертывание синтаксического анализа
Примечание.
Этот соединитель использует служба автоматизации Azure для подключения к Exchange Online для извлечения анализа безопасности в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на служба автоматизации Azure.
ШАГ 2. Выберите один из следующих двух вариантов развертывания для развертывания соединителя и связанных служба автоматизации Azure
ВАЖНО. Прежде чем развертывать соединитель "Конфигурация безопасности Exchange Online", укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также имя клиента Exchange Online (contoso.onmicrosoft.com), легко доступные.
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя ESI Exchange Online Security Configuration.
Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области, ключ рабочей области, имя клиента и (или) другие обязательные поля.
- Пометьте проверка box с меткой "Я согласен с условиями, указанными выше". 5. Нажмите кнопку " Купить ", чтобы развернуть.
Вариант 2. Развертывание служба автоматизации Azure вручную
Выполните следующие пошаговые инструкции по развертыванию соединителя ESI Exchange Online Security Configuration вручную с помощью служба автоматизации Azure.
ШАГ 3. Назначение разрешений Microsoft Graph и разрешение Exchange Online для учетной записи управляемого удостоверения
Чтобы иметь возможность собирать сведения Exchange Online и получать сведения о пользователях и списке членов групп администраторов, учетная запись службы автоматизации должна иметь несколько разрешений.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.