Microsoft Sentinel için Exchange Security Analizler Online Collector (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

Bağlan veya Microsoft Sentinel Çözümlemesi için Exchange Online Güvenlik yapılandırmasını göndermek için kullanılır

Bağlan or öznitelikleri

Bağlan or özniteliği Tanım
Log Analytics tabloları ESIExchangeOnlineConfig_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Community

Sorgu örnekleri

Tabloda kaç Yapılandırma girdisi olduğunu görüntüleme

ESIExchangeOnlineConfig_CL 
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s

Ön koşullar

Exchange Security Analizler Online Collector ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • microsoft.automation/automationaccounts izinleri: Runbook ile oluşturmak için Azure Otomasyonu Hesabı okuma ve yazma izinleri gereklidir. Otomasyon Hesabı hakkında daha fazla bilgi edinmek için belgelere bakın.

Satıcı yükleme yönergeleri

Dekont

Bu veri bağlayıcısı, kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. Kusto İşlevleri diğer adını oluşturmak için her Ayrıştırıcının adımlarını izleyin: ExchangeConfiguration ve ExchangeEnvironmentList

ADIM 1 - Ayrıştırıcı dağıtımı

Dekont

Bu bağlayıcı, Güvenlik analizini Microsoft Sentinel'e çekmek üzere 'Exchange Online'a bağlanmak için Azure Otomasyonu kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure Otomasyonu fiyatlandırma sayfasına bakın.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure Otomasyonu dağıtmak için aşağıdaki iki dağıtım seçeneğinden BİRİ'ni seçin

ÖNEMLİ: 'ESI Exchange Online Güvenlik Yapılandırması' bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'na (aşağıdakilerden kopyalanabilir) ve Exchange Online kiracı adına (contoso.onmicrosoft.com) sahip olun.

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

'ESI Exchange Online Güvenlik Yapılandırması' bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

  1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

    Deploy To Azure

  2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

  3. Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, Kiracı Adı, 've/veya Diğer gerekli alanlar' girin.

  1. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure Otomasyonu El ile Dağıtımı

'ESI Exchange Online Güvenlik Yapılandırması' bağlayıcısını Azure Otomasyonu ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

ADIM 3 - Yönetilen Kimlik Hesabına Microsoft Graph İzni ve Exchange Online İzni Atama

Exchange Online bilgilerini toplamak ve Kullanıcı bilgilerini ve yönetici gruplarının üye listesini alabilmek için otomasyon hesabının birden çok izne sahip olması gerekir.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.