Megosztás a következőn keresztül:

Exchange Security Elemzések Online Collector (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

Csatlakozás or az Exchange Online biztonsági konfigurációjának leküldéséhez a Microsoft Sentinel Analysishez

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Log Analytics-tábla(ok) ESIExchangeOnlineConfig_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Közösség

Példák lekérdezésekre

A tábla konfigurációs bejegyzéseinek megtekintése

ESIExchangeOnlineConfig_CL 
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s

Előfeltételek

Az Exchange Security Elemzések Online Collectorrel való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • microsoft.automation/automationaccounts engedélyek: Olvasási és írási engedélyek szükségesek az Azure Automation runbooktal való létrehozásához. Az Automation-fiókról további információt a dokumentációban talál.
  • Microsoft.Graph-engedélyek: Groups.Read, Users.Read és Auditing.Read engedélyek szükségesek az Exchange Online-hozzárendelésekhez kapcsolódó felhasználói/csoportadatok lekéréséhez. További információért tekintse meg a dokumentációt.
  • Exchange Online-engedélyek: Az Exchange.ManageAsApp engedélyre és a globális olvasói vagy biztonsági olvasói szerepkörre van szükség az Exchange Online biztonsági konfigurációjának lekéréséhez.További információért tekintse meg a dokumentációt.
  • (Nem kötelező) Naplótárolási engedélyek: A naplók tárolásához kötelező az Automation-fiók felügyelt identitásához társított tárfiókhoz vagy egy alkalmazásazonosítóhoz tartozó storage-blobadatok közreműködője.További információért tekintse meg a dokumentációt.

Szállító telepítési útmutatója

MEGJEGYZÉS – FRISSÍTÉS

Feljegyzés

Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, hogy a várt módon működjön. Kövesse az egyes elemzők lépéseit a Kusto Functions aliasának létrehozásához: ExchangeConfiguration és ExchangeEnvironmentList

1. LÉPÉS – Elemzések üzembe helyezése

Feljegyzés

Ez az összekötő az Azure Automation használatával csatlakozik az Exchange Online-hoz, hogy lekérje biztonsági elemzését a Microsoft Sentinelbe. Ez további adatbetöltési költségeket eredményezhet. Részletekért tekintse meg az Azure Automation díjszabási oldalát .

2. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a kapcsolódó Azure Automation üzembe helyezéséhez

FONTOS: Az "ESI Exchange Online biztonsági konfiguráció" összekötő üzembe helyezése előtt rendelkezzen a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható), valamint az Exchange Online-bérlő nevével (contoso.onmicrosoft.com), amely könnyen elérhető.

1. lehetőség – Azure Resource Manager-sablon (ARM)

Ezzel a módszerrel automatikusan üzembe helyezhető az ESI Exchange Online biztonsági konfigurációs összekötője.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

  3. Adja meg a munkaterület azonosítóját, a munkaterületkulcsot, a bérlő nevét, a "és/vagy egyéb kötelező mezőket".

  1. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fent leírt feltételeket. 5. Az üzembe helyezéshez kattintson a Vásárlás gombra.

2. lehetőség – Az Azure Automation manuális üzembe helyezése

Az "ESI Exchange Online biztonsági konfiguráció" összekötő manuális üzembe helyezéséhez kövesse az alábbi lépésenkénti utasításokat az Azure Automation használatával.

3. LÉPÉS – Microsoft Graph-engedély és Exchange Online-engedély hozzárendelése felügyelt identitásfiókhoz

Az Exchange Online-adatok gyűjtéséhez és a felhasználói adatok és a rendszergazdai csoportok taglistájának lekéréséhez az automation-fióknak több engedélyre van szüksége.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.