Condividi tramite


Connettore Exchange Security Insights Online (con Funzioni di Azure) per Microsoft Sentinel

Connessione or usato per eseguire il push della configurazione di Sicurezza di Exchange Online per l'analisi di Microsoft Sentinel

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Tabelle di Log Analytics ESIExchangeOnlineConfig_CL
Supporto delle regole di raccolta dati Non è al momento supportato
Supportata da: Community

Esempi di query

Visualizzare il numero di voci di configurazione presenti nella tabella

ESIExchangeOnlineConfig_CL 
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s

Prerequisiti

Per eseguire l'integrazione con Exchange Security Insights Online Collector (usando Funzioni di Azure) assicurarsi di disporre di:

  • Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
  • autorizzazioni microsoft.automation/automationaccounts: sono necessarie autorizzazioni di lettura e scrittura per creare un Automazione di Azure con un runbook. Per altre informazioni sull'account di Automazione, vedere la documentazione.
  • Autorizzazioni di Microsoft.Graph: Groups.Read, Users.Read e Auditing.Read sono necessarie autorizzazioni per recuperare le informazioni relative a utenti/gruppi collegate alle assegnazioni di Exchange Online. Per altre informazioni, vedere la documentazione.
  • Autorizzazioni di Exchange Online: autorizzazioni exchange.ManageAsApp e ruolo con autorizzazioni di lettura globale o ruolo con autorizzazioni di lettura per la sicurezza di Exchange Online sono necessarie per recuperare la configurazione della sicurezza di Exchange Online.Per altre informazioni, vedere la documentazione.
  • (Facoltativo) Autorizzazioni di log Archiviazione: Archiviazione Collaboratore ai dati BLOB a un account di archiviazione collegato all'identità gestita dell'account di Automazione o un ID applicazione è obbligatorio per archiviare i log.Per altre informazioni, vedere la documentazione.

Istruzioni di installazione fornitore

NOTA - AGGIORNAMENTO

Nota

Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto. Seguire la procedura per ogni parser per creare l'alias di Funzioni Kusto: ExchangeConfiguration e ExchangeEnvironmentList

PASSAGGIO 1 - Distribuzione dei parser

Nota

Questo connettore usa Automazione di Azure per connettersi a "Exchange Online" per eseguire il pull dell'analisi della sicurezza in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Per informazioni dettagliate, vedere la pagina dei prezzi Automazione di Azure.

PASSAGGIO 2: scegliere UNA tra le due opzioni di distribuzione seguenti per distribuire il connettore e il Automazione di Azure associato

IMPORTANTE: prima di distribuire il connettore 'ESI Exchange Online Security Configuration', disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato dal codice seguente), nonché il nome del tenant di Exchange Online (contoso.onmicrosoft.com), immediatamente disponibile.

Opzione 1 - Modello di Azure Resource Manager (ARM)

Utilizzare questo metodo per la distribuzione automatica del connettore 'ESI Exchange Online Security Configuration'.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuzione in Azure

  2. Selezionare la sottoscrizione preferita, il gruppo di risorse e la località.

  3. Immettere l'ID dell'area di lavoro, la chiave dell'area di lavoro, il nome del tenant, i campi 'e/o Altri campi obbligatori'.

  1. Contrassegnare la casella di controllo con l'etichetta Accetto i termini e le condizioni indicati in precedenza. 5. Fare clic su Acquista per distribuire.

Opzione 2 - Distribuzione manuale di Automazione di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore 'ESI Exchange Online Security Configuration' con Automazione di Azure.

PASSAGGIO 3 - Assegnare l'autorizzazione microsoft Graph e l'autorizzazione di Exchange Online all'account di identità gestita

Per poter raccogliere informazioni su Exchange Online e per poter recuperare le informazioni utente e l'elenco di membri dei gruppi di amministratori, l'account di automazione deve disporre di più autorizzazioni.

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.