موصل Exchange Security Insights Online Collector (باستخدام Azure Functions) ل Microsoft Sentinel
الاتصال أو المستخدمة لدفع تكوين أمان Exchange Online لتحليل Microsoft Sentinel
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الاتصال أو
| سمة الموصل | الوصف |
|---|---|
| جدول (جداول) Log Analytics | ESIExchangeOnlineConfig_CL |
| دعم قواعد جمع البيانات | غير مدعوم حاليًا |
| مدعومة من قبل | Community |
عينات الاستعلام
عرض عدد إدخالات التكوين الموجودة على الجدول
ESIExchangeOnlineConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
المتطلبات الأساسية
للتكامل مع Exchange Security Insights Online Collector (باستخدام Azure Functions) تأكد من أن لديك:
- أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
- أذونات microsoft.automation/automationaccounts: مطلوب أذونات القراءة والكتابة لإنشاء Azure Automation باستخدام دفتر التشغيل. راجع الوثائق لمعرفة المزيد حول حساب التنفيذ التلقائي.
- أذونات Microsoft.Graph: أذونات Groups.Read و Users.Read و Auditing.Read مطلوبة لاسترداد معلومات المستخدم/المجموعة المرتبطة بتعيينات Exchange Online. راجع الوثائق لمعرفة المزيد.
- أذونات Exchange Online: مطلوب إذن Exchange.ManageAsApp والقارئالعمومي أو دور قارئ الأمان لاسترداد تكوين أمان Exchange Online.راجع الوثائق لمعرفة المزيد.
- (اختياري) أذونات تخزين السجل: Storage Blob Data Contributor إلى حساب تخزين مرتبط بالهوية المدارة لحساب التنفيذ التلقائي أو معرف التطبيق إلزامي لتخزين السجلات.راجع الوثائق لمعرفة المزيد.
إرشادات تثبيت المورد
ملاحظة - تحديث
إشعار
يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع. اتبع الخطوات لكل محلل لإنشاء الاسم المستعار لوظائف Kusto: ExchangeConfiguration وExchangeEnvironmentList
الخطوة 1 - توزيع المحللات
إشعار
يستخدم هذا الموصل Azure Automation للاتصال ب "Exchange Online" لسحب تحليل الأمان الخاص به إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Automation للحصول على التفاصيل.
الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل وأتمتة Azure المقترنة
هام: قبل نشر موصل "تكوين أمان ESI Exchange Online"، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من التالي)، بالإضافة إلى اسم مستأجر Exchange Online (contoso.onmicrosoft.com)، المتوفرين بسهولة.
الخيار 1 - قالب Azure Resource Manager (ARM)
استخدم هذا الأسلوب للتوزيع التلقائي لموصل "تكوين أمان ESI Exchange Online".
انقر فوق الزر Deploy to Azure أدناه.
حدد الاشتراك المفضل ومجموعة الموارد والموقع.
أدخل معرف مساحة العمل ومفتاح مساحة العمل واسم المستأجر و/أو الحقول المطلوبة الأخرى.
- ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر.
الخيار 2 - النشر اليدوي ل Azure Automation
استخدم الإرشادات التالية خطوة بخطوة لنشر موصل "تكوين أمان ESI Exchange Online" يدويا باستخدام Azure Automation.
الخطوة 3 - تعيين إذن Microsoft Graph وإذن Exchange Online لحساب الهوية المدارة
لكي تتمكن من جمع معلومات Exchange Online والقدرة على استرداد معلومات المستخدم وقائمة أعضاء مجموعات المسؤولين، يحتاج حساب التنفيذ التلقائي إلى إذن متعدد.
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ