Connector „Exchange Security Insights Online Collector (mit Azure Functions)“ für Microsoft Sentinel

  • Artikel

Connector zum Pushen der Exchange Online-Sicherheitskonfiguration für die Microsoft Sentinel-Analyse

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen ESIExchangeOnlineConfig_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Community

Abfragebeispiele

Anzeigen, wie viele Konfigurationseinträge in der Tabelle vorhanden sind

ESIExchangeOnlineConfig_CL 
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s

Voraussetzungen

Für die Integration in „Exchange Security Insights Online Collector (mit Azure Functions)“ wird Folgendes benötigt:

  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • Berechtigungen vom Typ „microsoft.automation/automationaccounts“: Lese- und Schreibberechtigungen zum Erstellen einer Azure Automation-Instanz mit einem Runbook sind erforderlich. Weitere Informationen zum Automation-Konto finden Sie in der Dokumentation.
  • Microsoft.Graph-Berechtigungen: Berechtigungen vom Typ „Groups.Read“, „Users.Read“ und „Auditing.Read“ sind erforderlich, um Benutzer-/Gruppeninformationen abzurufen, die mit Exchange Online-Zuweisungen verknüpft sind. Weitere Informationen finden Sie in der Dokumentation.
  • Exchange Online-Berechtigungen: Die Berechtigung „Exchange.ManageAsApp“ sowie die Rolle Globaler Leser oder Sicherheitsleseberechtigter sind erforderlich, um die Exchange Online-Sicherheitskonfiguration abzurufen. Weitere Informationen finden Sie in der Dokumentation.
  • (Optional) Protokollspeicherberechtigungen: Mitwirkender an Storage-Blobdaten für ein Speicherkonto, das mit der verwalteten Identität des Automation-Kontos verknüpft ist, oder eine Anwendungs-ID ist obligatorisch, um Protokolle zu speichern. Weitere Informationen finden Sie in der Dokumentation.

Installationsanweisungen des Anbieters

HINWEIS: UPDATE

Hinweis

Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert und erwartungsgemäß funktionieren muss. Führen Sie die Schritte für die einzelnen Parser aus, um den Kusto-Funktionsalias zu erstellen: ExchangeConfiguration und ExchangeEnvironmentList

SCHRITT 1: Parserbereitstellung

Hinweis

Dieser Connector verwendet Azure Automation, um eine Verbindung mit Exchange Online herzustellen und die Sicherheitsanalyse in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie unter Automation – Preise.

SCHRITT 2: Auswählen EINER der beiden folgenden Bereitstellungsoptionen, um den Connector und die zugeordnete Azure Automation-Instanz bereitzustellen

WICHTIG: Halten Sie für die Bereitstellung des Connectors „ESI Exchange Online Security Configuration“ die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (können im Anschluss kopiert werden) sowie den Exchange Online-Mandantennamen (contoso.onmicrosoft.com) bereit.

Option 1: Azure Resource Manager-Vorlage (ARM)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Connectors „ESI Exchange Online Security Configuration“.

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Speicherort aus.

  3. Geben Sie die Arbeitsbereichs-ID, den Arbeitsbereichsschlüssel, den Mandantennamen sowie ggf. andere erforderliche Informationen ein.

  1. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen.

Option 2: Manuelle Bereitstellung von Azure Automation

Verwenden Sie die folgenden Schritte, um den Connector „ESI Exchange Online Security Configuration“ manuell mit Azure Automation bereitzustellen.

SCHRITT 3: Zuweisen der Microsoft Graph-Berechtigung und der Exchange Online-Berechtigung zu einem Konto mit verwalteter Identität

Um Exchange Online-Informationen sammeln und Benutzerinformationen und die Mitgliederliste von Administratorgruppen abrufen zu können, benötigt das Automation-Konto mehrere Berechtigungen.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.