Connector „Exchange Security Insights On-Premises Collector“ für Microsoft Sentinel
Connector zum Pushen der lokalen Sicherheitskonfiguration für Exchange für die Microsoft Sentinel-Analyse
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | ESIExchangeConfig_CL |
Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
Unterstützt von | Community |
Abfragebeispiele
Anzeigen, wie viele Konfigurationseinträge in der Tabelle vorhanden sind
ESIExchangeConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
Voraussetzungen
Für die Integration in „Exchange Security Insights On-Premises Collector“ wird Folgendes benötigt:
- Dienstkonto mit Organisationsverwaltungsrolle: Bei dem Dienstkonto, das das Skript als geplante Aufgabe startet, muss es sich um ein Organisationsverwaltungskonto handeln, um alle benötigten Sicherheitsinformationen abrufen zu können.
Installationsanweisungen des Anbieters
Parserbereitstellung (Bei Verwendung der Microsoft Exchange-Sicherheitslösung werden Parser automatisch bereitgestellt.)
Hinweis
Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert und erwartungsgemäß funktionieren muss. Führen Sie die Schritte für die einzelnen Parser aus, um den Kusto-Funktionsalias zu erstellen: ExchangeConfiguration und ExchangeEnvironmentList
- Installieren Sie das ESI Collector-Skript auf einem Server mit PowerShell-Konsole für Exchange-Administratoren.
Dies ist das Skript, das Exchange-Informationen sammelt, um Inhalte in Microsoft Sentinel zu pushen.
- Konfigurieren Sie das ESI Collector-Skript
Sie müssen lokaler Administrator des Servers sein. Starten Sie das Skript „setup.ps1“ im Modus „Als Administrator ausführen“, um den Collector zu konfigurieren. Füllen Sie die Informationen für den Log Analytics-Arbeitsbereich (Microsoft Sentinel) aus. Füllen Sie den Umgebungsnamen aus, oder lassen Sie ihn leer. Wählen Sie standardmäßig „Def“ als Standardanalyse aus. Die anderen Optionen sind jeweils für eine bestimmte Verwendung vorgesehen.
- Planen Sie die Ausführung des ESI Collector-Skripts (falls dieser Schritt aufgrund fehlender Berechtigung nicht vom Installationsskript ausgeführt oder während der Installation ignoriert wurde).
Die Ausführung des Skripts muss geplant werden, um die Exchange-Konfiguration an Microsoft Sentinel zu senden. Es empfiehlt sich, das Skript so zu planen, dass es einmal täglich ausgeführt wird. Das Konto, das zum Starten des Skripts verwendet wird, muss der Gruppe „Organisationsverwaltung“ angehören.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.