Exchange Security Insights Online Collector-anslutningsprogram (med Azure Functions) för Microsoft Sentinel
Anslut eller som används för att push-överföra Exchange Online-säkerhetskonfiguration för Microsoft Sentinel-analys
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
| Anslut ellerattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | ESIExchangeOnlineConfig_CL |
| Stöd för regler för datainsamling | Stöds för närvarande inte |
| Stöds av | Webbgrupp |
Exempel på frågor
Visa hur många konfigurationsposter som finns i tabellen
ESIExchangeOnlineConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
Förutsättningar
Om du vill integrera med Exchange Security Insights Online Collector (med Hjälp av Azure Functions) kontrollerar du att du har:
- Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
- microsoft.automation/automationaccounts-behörigheter: Läs- och skrivbehörigheter för att skapa en Azure Automation med en Runbook krävs. Mer information om Automation-konto finns i dokumentationen.
- Microsoft.Graph-behörigheter: Behörigheterna Groups.Read, Users.Read och Auditing.Read krävs för att hämta användar-/gruppinformation som är länkad till Exchange Online-tilldelningar. Mer information finns i dokumentationen.
- Exchange Online-behörigheter: Exchange.ManageAsApp-behörighet och global läsar - eller säkerhetsläsarroll krävs för att hämta Exchange Online-säkerhetskonfigurationen.Mer information finns i dokumentationen.
- (Valfritt) Logglagringsbehörigheter: Lagringsblobdatadeltagare till ett lagringskonto som är länkat till automationskontots hanterade identitet eller ett program-ID är obligatoriskt för att lagra loggar.Mer information finns i dokumentationen.
Installationsanvisningar för leverantör
OBS! – UPPDATERA
Kommentar
Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat. Följ stegen för varje parser för att skapa Kusto Functions-aliaset : ExchangeConfiguration och ExchangeEnvironmentList
STEG 1 – Parsningsdistribution
Kommentar
Den här anslutningsappen använder Azure Automation för att ansluta till Exchange Online för att hämta säkerhetsanalysen till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Automation.
STEG 2 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och tillhörande Azure Automation
VIKTIGT! Innan du distribuerar anslutningsappen "ESI Exchange Online Security Configuration" måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande), samt Exchange Online-klientorganisationens namn (contoso.onmicrosoft.com), lättillgängligt.
Alternativ 1 – Arm-mall (Azure Resource Manager)
Använd den här metoden för automatisk distribution av anslutningsappen "ESI Exchange Online Security Configuration".
Klicka på knappen Distribuera till Azure nedan.
Välj önskad prenumeration, resursgrupp och plats.
Ange arbetsyte-ID, arbetsytenyckel, klientnamn, och/eller andra obligatoriska fält.
- Markera kryssrutan märkt Jag godkänner de villkor som anges ovan. 5. Klicka på Köp för att distribuera.
Alternativ 2 – Manuell distribution av Azure Automation
Använd följande stegvisa instruktioner för att distribuera anslutningsappen "ESI Exchange Online Security Configuration" manuellt med Azure Automation.
STEG 3 – Tilldela Microsoft Graph-behörighet och Exchange Online-behörighet till hanterat identitetskonto
För att kunna samla in Exchange Online-information och kunna hämta användarinformation och medlem i administratörsgrupper behöver automationskontot flera behörigheter.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.