Connecteur Exchange Security Insights Online Collector (à l'aide d'Azure Functions) pour Microsoft Sentinel
Connecteur utilisé pour pousser la configuration de la sécurité Exchange Online pour Microsoft Sentinel Analysis
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | ESIExchangeOnlineConfig_CL |
| Support des Règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | Communauté |
Exemples de requête
Voir combien d'entrées de configuration existent sur la table
ESIExchangeOnlineConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
Prérequis
Pour intégrer Exchange Security Insights Online Collector (à l'aide d'Azure Functions), assurez-vous d'avoir :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
- Autorisations microsoft.automation/automationaccounts : des autorisations en lecture et en écriture sont requises pour créer un service Azure Automation avec un runbook. Consultez la documentation pour en savoir plus sur Automation Account.
- Autorisations Microsoft.Graph : les autorisations Groups.Read, Users.Read et Auditing.Read sont requises pour récupérer des informations sur le groupe/utilisateur lié aux affectations Exchange Online. Consultez la documentation pour découvrir plus d’informations.
- Autorisations Exchange Online : l’autorisation Exchange.ManageAsApp et un rôle Global Reader ou Security Reader sont nécessaires pour récupérer la configuration de sécurité Exchange Online.Voir la documentation pour découvrir plus d’informations.
- Autorisations de stockage de journaux (facultatif) : un Contributeur aux données Blob du stockage à un compte de stockage lié à une identité managée de compte Automation ou un ID d’application est obligatoire pour stocker des journaux.Voir la documentation pour découvrir plus d’informations.
Instructions d’installation du fournisseur
REMARQUE – MISE À JOUR
Remarque
Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour pouvoir fonctionner normalement. Suivez les étapes pour chaque analyseur afin de créer l'alias Kusto Functions : ExchangeConfiguration et ExchangeEnvironmentList
ÉTAPE 1 – Déploiement des analyseurs
Notes
Ce connecteur utilise Azure Automation pour se connecter à « Exchange Online » afin d'extraire son analyse de sécurité dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Consultez la page de tarification d'Azure Automation pour plus de détails.
ÉTAPE 2 – Choisissez UNE parmi les deux options de déploiement suivantes pour déployer le connecteur et l'automatisation Azure associée
IMPORTANT : Avant de déployer le connecteur « ESI Exchange Online Security Configuration », assurez-vous que l'ID de l'espace de travail et la clé primaire de l'espace de travail (peuvent être copiés à partir de ce qui suit), ainsi que le nom du locataire Exchange Online (contoso.onmicrosoft.com), sont facilement disponibles.
Option 1 – Modèle Azure Resource Manager (ARM)
Utilisez cette méthode pour le déploiement automatisé du connecteur 'ESI Exchange Online Security Configuration'.
Cliquez sur le bouton Déployer sur Azure ci-dessous.
Sélectionnez les valeurs de votre choix pour Abonnement, Groupe de ressources et Emplacement.
Saisissez l'ID de l'espace de travail, la clé de l'espace de travail, le nom du locataire et/ou les autres champs obligatoires.
- Cochez la case J’accepte les termes et conditions mentionnés ci-dessus. 5. Cliquez sur Acheter pour effectuer le déploiement.
Option 2 – Déploiement manuel d'Azure Automation
Utilisez les instructions pas à pas suivantes pour déployer manuellement le connecteur « ESI Exchange Online Security Configuration » avec Azure Automation.
ÉTAPE 3 – Attribuer l'autorisation Microsoft Graph et l'autorisation Exchange Online au compte d'identité gérée
Pour pouvoir collecter des informations Exchange Online et pouvoir récupérer les informations utilisateur et la liste des membres des groupes d'administrateurs, le compte d'automatisation nécessite plusieurs autorisations.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.