共用方式為


適用於 Microsoft Sentinel 的 Exchange Security Insights Online 收集器 (使用 Azure Functions) 連接器

連線 或用來推送 Microsoft Sentinel Analysis 的 Exchange Online 安全性設定

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連線 or 屬性

連線 or 屬性 描述
Log Analytics 數據表(s) ESIExchangeOnlineConfig_CL
數據收集規則支援 目前不支援
支援者: Community

查詢範例

檢視數據表上有多少組態專案

ESIExchangeOnlineConfig_CL 
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s

必要條件

若要與 Exchange Security Insights Online 收集器整合(使用 Azure Functions),請確定您具有:

  • Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions
  • microsoft.automation/automationaccounts 許可權:需要讀取和寫入許可權,才能使用 Runbook 建立 Azure 自動化。 請參閱檔以深入瞭解自動化帳戶
  • Microsoft.Graph 許可權:Groups.Read、Users.Read 和 Auditing.Read 許可權,才能擷取連結至 Exchange Online 指派的使用者/群組資訊。 若要深入瞭解,請參閱檔。
  • Exchange Online 許可權:需要 Exchange.ManageAsApp 許可權和 全域讀取者安全性讀取者 角色,才能擷取 Exchange Online 安全性設定。若要深入瞭解,請參閱檔。
  • (選擇性)記錄 儲存體 許可權:儲存體 連結至自動化帳戶受控識別或應用程式識別符的記憶體帳戶 儲存體 Blob 數據參與者,才能儲存記錄。若要深入瞭解,請參閱檔。

廠商安裝指示

注意 - 更新

注意

此數據連接器取決於以 Kusto 函式為基礎的剖析器,才能如預期般運作。 請遵循每個剖析器的步驟來建立 Kusto Functions 別名:ExchangeConfigurationExchangeEnvironmentList

步驟 1 - 剖析器部署

注意

此連接器會使用 Azure 自動化 連線到 『Exchange Online』,將其安全性分析提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊,請參閱 Azure 自動化 定價頁面

步驟 2 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 自動化

重要事項: 部署「ESI Exchange Online 安全性設定」連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),以及可供使用之 Exchange Online 租用戶名稱(contoso.onmicrosoft.com)。

選項 1 - Azure Resource Manager (ARM) 範本

使用這個方法來自動部署「ESI Exchange Online 安全性設定」連接器。

  1. 按兩下下方的 [ 部署至 Azure ] 按鈕。

    部署至 Azure

  2. 選取慣用 的訂用帳戶資源群組位置

  3. 輸入工作區 標識碼工作區密鑰租用戶名稱、『和/或其他必要字段』。

  1. 標示為 [我同意上述條款及條件] 的複選框。 5.按兩下 [ 購買 ] 以部署。

選項 2 - 手動部署 Azure 自動化

使用下列逐步指示,手動搭配 Azure 自動化 部署 『ESI Exchange Online Security Configuration』 連接器。

步驟 3 - 將 Microsoft Graph 許可權和 Exchange Online 許可權指派給受控識別帳戶

若要能夠收集 Exchange Online 資訊,以及能夠擷取系統管理員群組的使用者資訊和成員清單,自動化帳戶需要多個許可權。

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案