Microsoft Sentinel용 Exchange Security Insights 온라인 수집기(Azure Functions 사용) 커넥터
Microsoft Sentinel 분석을 위한 Exchange Online 보안 구성을 푸시하는 데 사용되는 커넥터
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Log Analytics 테이블 | ESIExchangeOnlineConfig_CL |
| 데이터 수집 규칙 지원 | 현재 지원되지 않음 |
| 다음에서 지원 | 커뮤니티 |
쿼리 샘플
테이블에 존재하는 구성 항목 수 보기
ESIExchangeOnlineConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
필수 조건
Exchange Security Insights 온라인 수집기(Azure Functions 사용)와 통합하려면 다음이 있는지 확인합니다.
- Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대해 자세히 알아보려면 설명서를 참조하세요.
- microsoft.automation/automationaccounts 권한: Runbook을 사용하여 Azure Automation을 만들 수 있는 읽기 및 쓰기 권한이 필요합니다. Automation 계정에 대한 자세한 내용은 설명서를 참조하세요.
- Microsoft.Graph 권한: Groups.Read, Users.Read 및 Auditing.Read 권한은 Exchange Online 할당에 연결된 사용자/그룹 정보를 검색하는 데 필요합니다. 자세히 알아보려면 설명서를 참조하세요.
- Exchange Online 권한: Exchange.ManageAsApp 권한 및 전역 읽기 권한자 또는 보안 읽기 권한자 역할은 Exchange Online 보안 구성을 검색하는 데 필요합니다. 자세히 알아보려면 설명서를 참조하세요.
- (선택 사항) 로그 스토리지 사용 권한: Automation 계정 관리 ID 또는 애플리케이션 ID에 연결된 스토리지 계정에 대한 Storage Blob 데이터 기여자는 로그를 저장해야 합니다. 자세히 알아보려면 설명서를 참조하세요.
공급업체 설치 지침
참고 - 업데이트
참고 항목
이 데이터 커넥터는 정상적으로 작동하기 위해 Kusto 함수를 기반으로 하는 파서를 사용합니다. 각 파서에 대한 단계에 따라 Kusto 함수의 별칭인 ExchangeConfiguration 및 ExchangeEnvironmentList를 만듭니다.
1단계 - 파서 배포
참고 항목
이 커넥터는 Azure Automation을 사용하여 ‘Exchange Online’에 연결하여 보안 분석을 Microsoft Sentinel로 풀(pull)합니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Automation 가격 책정 페이지를 확인하세요.
2단계 - 다음 두 가지 배포 옵션 중 하나를 선택하여 커넥터 및 관련 Azure Automation을 배포합니다.
중요: ‘ESI Exchange Online 보안 구성’ 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사 가능)와 Exchange Online 테넌트 이름(contoso.onmicrosoft.com)을 바로 사용할 수 있습니다.
옵션 1 - ARM(Azure Resource Manager) 템플릿
‘ESI Exchange Online 보안 구성’ 커넥터의 자동화된 배포에 이 메서드를 사용합니다.
아래에서 Azure에 배포 단추를 클릭합니다.
선호하는 구독, 리소스 그룹 및 위치를 선택합니다.
작업 영역 ID, 작업 영역 키, 테넌트 이름, ‘및/또는 기타 필수 필드’를 입력합니다.
- 위에 명시된 사용 약관에 동의합니다 확인란을 선택합니다. 5. 구매를 클릭하여 배포합니다.
옵션 2 - Azure Automation 수동 배포
다음 단계별 지침을 사용하여 Azure Automation을 사용하여 ‘ESI Exchange Online 보안 구성’ 커넥터를 수동으로 배포합니다.
3단계 - 관리 ID 계정에 Microsoft Graph 권한 및 Exchange Online 권한 할당
Exchange Online 정보를 수집하고 관리자 그룹의 사용자 정보 및 구성원 목록을 검색하려면 자동화 계정에 여러 권한이 필요합니다.
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.