Поделиться через


Соединитель локального сборщика Exchange Security Insights для Microsoft Sentinel

Соединитель, используемый для отправки конфигурации локальной безопасности Exchange для анализа Microsoft Sentinel

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics ESIExchangeConfig_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Сообщество

Примеры запросов

Просмотр количества записей конфигурации в таблице

ESIExchangeConfig_CL 
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s

Необходимые компоненты

Чтобы интегрироваться с Локальной сборщиком Аналитики безопасности Exchange, убедитесь, что у вас есть:

  • Учетная запись службы с ролью управления организацией: учетная запись службы, которая запускает скрипт в качестве запланированной задачи, должна иметь возможность получения всех необходимых сведений о безопасности.

Инструкции по установке поставщика

Развертывание синтаксического анализатора (при использовании решения безопасности Microsoft Exchange средства синтаксического анализа автоматически развертываются)

Примечание.

Правильная работа этого соединителя данных зависит от средства синтаксического анализа на основе функции Kusto. Выполните действия для каждого средства синтаксического анализа, чтобы создать псевдоним Функций Kusto: ExchangeConfiguration и ExchangeEnvironmentList

  1. Установка скрипта сборщика ESI на сервере с помощью консоли Exchange Admin PowerShell

Это скрипт, который собирает сведения Exchange для отправки содержимого в Microsoft Sentinel.

  1. Настройка скрипта сборщика ESI

Не забудьте быть локальным администратором сервера. В режиме запуска от имени администратора запустите скрипт setup.ps1, чтобы настроить сборщик. Заполните сведения о рабочей области Log Analytics (Microsoft Sentinel). Заполните имя среды или оставьте пустым. По умолчанию выберите "Def" в качестве анализа по умолчанию. Другие варианты предназначены для конкретного использования.

  1. Запланируйте скрипт сборщика ESI (если скрипт установки не выполнен из-за отсутствия разрешения или игнорируется во время установки)

Скрипт должен быть запланирован для отправки конфигурации Exchange в Microsoft Sentinel. Рекомендуется планировать скрипт один раз в день. Учетная запись, используемая для запуска скрипта, должна быть членом группы управления организацией

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.