Konektor Exchange Security Insights Online Collector (menggunakan Azure Functions) untuk Microsoft Sentinel
Koneksi yang digunakan untuk mendorong konfigurasi Keamanan Exchange Online untuk Analisis Microsoft Azure Sentinel
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
atribut Koneksi or
Atribut konektor | Deskripsi |
---|---|
Tabel Log Analytics | ESIExchangeOnlineConfig_CL |
Dukungan aturan pengumpulan data | Saat ini tidak didukung |
Didukung oleh | Comunity |
Kueri sampel
Lihat berapa banyak entri Konfigurasi yang ada pada tabel
ESIExchangeOnlineConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
Prasyarat
Untuk berintegrasi dengan Exchange Security Insights Online Collector (menggunakan Azure Functions) pastikan Anda memiliki:
- Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
- izin microsoft.automation/automationaccounts: Izin baca dan tulis untuk membuat Azure Automation dengan Runbook diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Akun Automation.
- Izin Microsoft.Graph: Izin Groups.Read, Users.Read, dan Auditing.Read diperlukan untuk mengambil informasi pengguna/grup yang ditautkan ke penugasan Exchange Online. Lihat dokumentasi untuk mempelajari selengkapnya.
- Izin Exchange Online: Izin Exchange.ManageAsApp dan Peran Pembaca Global atau Pembaca Keamanan diperlukan untuk mengambil Konfigurasi Keamanan Exchange Online.Lihat dokumentasi untuk mempelajari selengkapnya.
- (Opsional) Izin Penyimpanan Log: Kontributor Data Blob Penyimpanan ke akun penyimpanan yang ditautkan ke identitas Terkelola Akun Automation atau ID Aplikasi wajib menyimpan log.Lihat dokumentasi untuk mempelajari selengkapnya.
Instruksi penginstalan vendor
CATATAN - PERBARUI
Catatan
Konektor data ini bergantung pada parser berdasarkan Fungsi Kusto agar berfungsi seperti yang diharapkan. Ikuti langkah-langkah untuk setiap Parser untuk membuat alias Fungsi Kusto : ExchangeConfiguration dan ExchangeEnvironmentList
LANGKAH 1 - Penyebaran pengurai
Catatan
Konektor ini menggunakan Azure Automation untuk menyambungkan ke 'Exchange Online' untuk menarik analisis Keamanannya ke Microsoft Azure Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman harga Azure Automation untuk detailnya.
LANGKAH 2 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Azure Automation terkait
PENTING: Sebelum menyebarkan konektor 'Konfigurasi Keamanan Online ESI Exchange', miliki ID Ruang Kerja dan Kunci Utama Ruang Kerja (dapat disalin dari yang berikut), serta nama penyewa Exchange Online (contoso.onmicrosoft.com), tersedia dengan mudah.
Opsi 1 - Templat Azure Resource Manager (ARM)
Gunakan metode ini untuk penyebaran otomatis konektor 'Konfigurasi Keamanan ESI Exchange Online'.
Klik tombol Sebarkan ke Azure di bawah ini.
Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.
Masukkan ID Ruang Kerja, Kunci Ruang Kerja, Nama Penyewa, 'dan/atau Bidang lain yang diperlukan'.
- Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas. 5. Klik Beli untuk menyebarkan.
Opsi 2 - Penyebaran Manual Azure Automation
Gunakan instruksi langkah demi langkah berikut untuk menyebarkan konektor 'Konfigurasi Keamanan ESI Exchange Online' secara manual dengan Azure Automation.
LANGKAH 3 - Menetapkan Izin Microsoft Graph dan Izin Exchange Online ke Akun Identitas Terkelola
Agar dapat mengumpulkan informasi Exchange Online dan dapat mengambil informasi Pengguna dan daftar anggota grup admin, akun otomatisasi memerlukan beberapa izin.
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.