Conector do Exchange Security Insights Online Collector (usando o Azure Functions) para o Microsoft Sentinel
Conector usado para enviar por push a configuração de segurança do Exchange Online para o Microsoft Sentinel Analysis
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | ESIExchangeOnlineConfig_CL |
| Suporte a regras de coleta de dados | Não é suportado atualmente |
| Apoiado por | Community |
Exemplos de consulta
Exibir quantas entradas de configuração existem na tabela
ESIExchangeOnlineConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
Pré-requisitos
Para integrar com o Exchange Security Insights Online Collector (usando o Azure Functions), verifique se você tem:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
- microsoft.automation/automationaccounts permissions: são necessárias permissões de leitura e gravação para criar uma Automação do Azure com um Runbook. Consulte a documentação para saber mais sobre a Conta de automação.
- Permissões Microsoft.Graph: as permissões Groups.Read, Users.Read e Auditing.Read são necessárias para recuperar informações de usuário/grupo vinculadas a atribuições do Exchange Online. Consulte a documentação para saber mais.
- Permissões do Exchange Online: a permissão Exchange.ManageAsApp e a Função de Leitor Global ou Leitor de Segurança são necessárias para recuperar a Configuração de Segurança do Exchange Online.Consulte a documentação para saber mais.
- (Opcional) Permissões de armazenamento de log: o contribuidor de dados de Blob de armazenamento para uma conta de armazenamento vinculada à identidade gerenciada da conta de automação ou a uma ID de aplicativo é obrigatório para armazenar logs.Consulte a documentação para saber mais.
Instruções de instalação do fornecedor
NOTA - ATUALIZAÇÃO
Nota
Este conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado. Siga as etapas para cada analisador para criar o alias Kusto Functions: ExchangeConfiguration e ExchangeEnvironmentList
PASSO 1 - Implementação de analisadores
Nota
Esse conector usa a Automação do Azure para se conectar ao 'Exchange Online' para extrair sua análise de segurança para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços da Automação do Azure para obter detalhes.
ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Automação do Azure associada
IMPORTANTE: Antes de implantar o conector 'Configuração de Segurança do ESI Exchange Online', tenha a ID do Espaço de Trabalho e a Chave Primária do Espaço de Trabalho (que podem ser copiadas do seguinte), bem como o nome do locatário do Exchange Online (contoso.onmicrosoft.com), prontamente disponíveis.
Opção 1 - Modelo do Azure Resource Manager (ARM)
Use este método para a implantação automatizada do conector 'ESI Exchange Online Security Configuration'.
Clique no botão Implantar no Azure abaixo.
Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.
Insira o ID do espaço de trabalho, a chave do espaço de trabalho, o nome do locatário e 'e/ou outros campos obrigatórios'.
- Marque a caixa de seleção Concordo com os termos e condições mencionados acima. 5. Clique em Comprar para implantar.
Opção 2 - Implantação manual da Automação do Azure
Use as instruções passo a passo a seguir para implantar o conector 'Configuração de Segurança do ESI Exchange Online' manualmente com a Automação do Azure.
ETAPA 3 - Atribuir permissão do Microsoft Graph e permissão do Exchange Online à conta de identidade gerenciada
Para poder coletar informações do Exchange Online e recuperar informações de usuário e lista de membros de grupos de administradores, a conta de automação precisa de várias permissões.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.