Conector do Coletor Online do Exchange Security Insights (usando o Azure Functions) para Microsoft Sentinel
Conector usado para efetuar push da configuração do Exchange Online Security para Análise do Microsoft Sentinel
Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o fornecedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | ESIExchangeOnlineConfig_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Comunidade |
Exemplos de consulta
Exibir quantas entradas de configuração existem na tabela
ESIExchangeOnlineConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
Pré-requisitos
Para integrar-se ao Coletor Online do Exchange Security Insights (usando o Azure Functions), certifique-se de ter:
- Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
- Permissões microsoft.automation/automationaccounts: são necessárias permissões de leitura e gravação para criar uma Automação do Azure com um Runbook. Confira a documentação para saber mais sobre a Conta de Automação.
- Permissões Microsoft.Graph: as permissões Groups.Read, Users.Read e Auditing.Read são necessárias para recuperar informações de usuário/grupo vinculadas a atribuições do Exchange Online. Veja a documentação para saber mais.
- Permissões do Exchange Online: a permissão Exchange.ManageAsApp e a função Global Reader ou Security Reader são necessárias para recuperar a configuração de segurança do Exchange Online.Veja a documentação para saber mais.
- (Opcional) Permissões de armazenamento de log: o Contribuidor de dados de blob de armazenamento para uma conta de armazenamento vinculada à identidade gerenciada da conta de automação ou a uma ID de aplicativo é obrigatório para armazenar logs.Veja a documentação para saber mais.
Instruções de instalação do fornecedor
OBSERVAÇÃO - ATUALIZAR
Observação
Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado. Siga as etapas para cada analisador criar o alias das funções do Kusto: ExchangeConfiguration e ExchangeEnvironmentList
ETAPA 1 – Implantação de analisadores
Observação
Esse conector usa a Automação do Azure para se conectar ao “Exchange Online” para efetuar pull de sua análise de segurança no Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços da Automação do Azure para obter detalhes.
ETAPA 2 – Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Automação do Azure associada
IMPORTANTE: antes de implantar o conector “ESI Exchange Online Security Configuration”, tenha em mãos a ID do workspace e a chave primária do workspace (podem ser copiadas do seguinte), bem como o nome do locatário do Exchange Online (contoso.onmicrosoft.com), prontamente disponíveis.
Opção 1 – Modelo do Azure Resource Manager (ARM)
Use esse método para a implantação automatizada do conector “ESI Exchange Online Security Configuration”.
Clique no botão Implantar no Azure abaixo.
Selecione a Assinatura, o Grupo de Recursos e o Local de sua preferência.
Insira a ID do workspace, a chave do workspace, o nome do locatário e/ou outros campos necessários.
- Marque a caixa de seleção rotulada como Concordo com os termos e condições declarados acima. 5. Clique em Comprar para implantar.
Opção 2 – Implantação manual da Automação do Azure
Use as instruções passo a passo a seguir para implantar o conector “ESI Exchange Online Security Configuration” manualmente com a Automação do Azure.
ETAPA 3 – Atribuir permissão do Microsoft Graph e permissão do Exchange Online à conta de identidade gerenciada
Para poder coletar informações do Exchange Online e recuperar informações do usuário e a lista de membros de grupos de administradores, a conta de automação precisa de várias permissões.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.