Exchange Security Insights Online Collector (met behulp van Azure Functions) connector voor Microsoft Sentinel

  • Artikel

Verbinding maken or gebruikt voor het pushen van exchange Online Security-configuratie voor Microsoft Sentinel-analyse

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Verbinding maken orkenmerken

Verbinding maken orkenmerk Beschrijving
Log Analytics-tabellen ESIExchangeOnlineConfig_CL
Ondersteuning voor regels voor gegevensverzameling Wordt momenteel niet ondersteund
Ondersteund door Community

Voorbeelden van query's

Weergeven hoeveel configuratie-vermeldingen er in de tabel aanwezig zijn

ESIExchangeOnlineConfig_CL 
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s

Vereisten

Als u wilt integreren met Exchange Security Insights Online Collector (met behulp van Azure Functions), moet u ervoor zorgen dat u het volgende hebt:

  • Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
  • machtigingen voor microsoft.automation/automationaccounts: lees- en schrijfmachtigingen voor het maken van een Azure Automation met een Runbook is vereist. Raadpleeg de documentatie voor meer informatie over Het Automation-account.
  • Machtigingen voor Microsoft.Graph: Groups.Read, Users.Read en Auditing.Read-machtigingen zijn vereist voor het ophalen van gebruikers-/groepsgegevens die zijn gekoppeld aan Exchange Online-toewijzingen. Zie de documentatie voor meer informatie.
  • Exchange Online-machtigingen: de machtiging Exchange.ManageAsApp en de rol globale lezer of beveiligingslezer zijn nodig om de Exchange Online-beveiligingsconfiguratie op te halen.Zie de documentatie voor meer informatie.
  • (Optioneel) Logboekopslagmachtigingen: Inzender voor opslagblobgegevens voor een opslagaccount dat is gekoppeld aan de beheerde identiteit van het Automation-account of een toepassings-id is verplicht voor het opslaan van logboeken.Zie de documentatie voor meer informatie.

Installatie-instructies van leverancier

OPMERKING - BIJWERKEN

Notitie

Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht. Volg de stappen voor elke parser om de Kusto Functions-alias te maken: ExchangeConfiguration en ExchangeEnvironmentList

STAP 1: Parsers-implementatie

Notitie

Deze connector maakt gebruik van Azure Automation om verbinding te maken met Exchange Online om de beveiligingsanalyse naar Microsoft Sentinel te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen voor Azure Automation voor meer informatie.

STAP 2: Kies EEN uit de volgende twee implementatieopties om de connector en de bijbehorende Azure Automation te implementeren

BELANGRIJK: Voordat u de connector 'ESI Exchange Online-beveiligingsconfiguratie' implementeert, moet u de primaire sleutel van de werkruimte en de primaire sleutel van de werkruimte (kunnen worden gekopieerd uit de volgende) en de Exchange Online-tenantnaam (contoso.onmicrosoft.com), direct beschikbaar.

Optie 1: ARM-sjabloon (Azure Resource Manager)

Gebruik deze methode voor geautomatiseerde implementatie van de connector ESI Exchange Online Security Configuration.

  1. Klik op de knop Implementeren in Azure hieronder.

    Implementeren in Azure

  2. Selecteer het voorkeursabonnement, de resourcegroep en de locatie.

  3. Voer de werkruimte-id, werkruimtesleutel, tenantnaam en/of andere vereiste velden in.

  1. Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden. 5. Klik op Kopen om te implementeren.

Optie 2: handmatige implementatie van Azure Automation

Gebruik de volgende stapsgewijze instructies om de connector 'ESI Exchange Online Security Configuration' handmatig te implementeren met Azure Automation.

STAP 3: Microsoft Graph-machtiging en Exchange Online-machtiging toewijzen aan een beheerd identiteitsaccount

Om Exchange Online-gegevens te kunnen verzamelen en om gebruikersgegevens en ledenlijst van beheerdersgroepen op te halen, heeft het Automation-account meerdere machtigingen nodig.

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.