Connettore Exchange Security Insights Online (con Funzioni di Azure) per Microsoft Sentinel
Connessione or usato per eseguire il push della configurazione di Sicurezza di Exchange Online per l'analisi di Microsoft Sentinel
Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.
attributi Connessione or
| Attributo Connessione or | Descrizione |
|---|---|
| Tabelle di Log Analytics | ESIExchangeOnlineConfig_CL |
| Supporto delle regole di raccolta dati | Non è al momento supportato |
| Supportata da: | Community |
Esempi di query
Visualizzare il numero di voci di configurazione presenti nella tabella
ESIExchangeOnlineConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
Prerequisiti
Per eseguire l'integrazione con Exchange Security Insights Online Collector (usando Funzioni di Azure) assicurarsi di disporre di:
- Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
- autorizzazioni microsoft.automation/automationaccounts: sono necessarie autorizzazioni di lettura e scrittura per creare un Automazione di Azure con un runbook. Per altre informazioni sull'account di Automazione, vedere la documentazione.
- Autorizzazioni di Microsoft.Graph: Groups.Read, Users.Read e Auditing.Read sono necessarie autorizzazioni per recuperare le informazioni relative a utenti/gruppi collegate alle assegnazioni di Exchange Online. Per altre informazioni, vedere la documentazione.
- Autorizzazioni di Exchange Online: autorizzazioni exchange.ManageAsApp e ruolo con autorizzazioni di lettura globale o ruolo con autorizzazioni di lettura per la sicurezza di Exchange Online sono necessarie per recuperare la configurazione della sicurezza di Exchange Online.Per altre informazioni, vedere la documentazione.
- (Facoltativo) Autorizzazioni di log Archiviazione: Archiviazione Collaboratore ai dati BLOB a un account di archiviazione collegato all'identità gestita dell'account di Automazione o un ID applicazione è obbligatorio per archiviare i log.Per altre informazioni, vedere la documentazione.
Istruzioni di installazione fornitore
NOTA - AGGIORNAMENTO
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto. Seguire la procedura per ogni parser per creare l'alias di Funzioni Kusto: ExchangeConfiguration e ExchangeEnvironmentList
PASSAGGIO 1 - Distribuzione dei parser
Nota
Questo connettore usa Automazione di Azure per connettersi a "Exchange Online" per eseguire il pull dell'analisi della sicurezza in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Per informazioni dettagliate, vedere la pagina dei prezzi Automazione di Azure.
PASSAGGIO 2: scegliere UNA tra le due opzioni di distribuzione seguenti per distribuire il connettore e il Automazione di Azure associato
IMPORTANTE: prima di distribuire il connettore 'ESI Exchange Online Security Configuration', disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato dal codice seguente), nonché il nome del tenant di Exchange Online (contoso.onmicrosoft.com), immediatamente disponibile.
Opzione 1 - Modello di Azure Resource Manager (ARM)
Utilizzare questo metodo per la distribuzione automatica del connettore 'ESI Exchange Online Security Configuration'.
Fare clic sul pulsante Distribuisci in Azure sotto.
Selezionare la sottoscrizione preferita, il gruppo di risorse e la località.
Immettere l'ID dell'area di lavoro, la chiave dell'area di lavoro, il nome del tenant, i campi 'e/o Altri campi obbligatori'.
- Contrassegnare la casella di controllo con l'etichetta Accetto i termini e le condizioni indicati in precedenza. 5. Fare clic su Acquista per distribuire.
Opzione 2 - Distribuzione manuale di Automazione di Azure
Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore 'ESI Exchange Online Security Configuration' con Automazione di Azure.
PASSAGGIO 3 - Assegnare l'autorizzazione microsoft Graph e l'autorizzazione di Exchange Online all'account di identità gestita
Per poter raccogliere informazioni su Exchange Online e per poter recuperare le informazioni utente e l'elenco di membri dei gruppi di amministratori, l'account di automazione deve disporre di più autorizzazioni.
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.