Dela via

Exchange Security Insights-anslutningsprogram för lokal insamlare för Microsoft Sentinel

  • Artikel

Anslutningsprogram som används för att push-överföra Exchange On-Premises Security-konfiguration för Microsoft Sentinel-analys

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslutningsattribut

Anslutningsattribut beskrivning
Log Analytics-tabeller ESIExchangeConfig_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Webbgrupp

Exempel på frågor

Visa hur många konfigurationsposter som finns i tabellen

ESIExchangeConfig_CL 
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s

Förutsättningar

Om du vill integrera med Exchange Security Insights On-Premises Collector kontrollerar du att du har:

  • Tjänstkonto med rollen Organisationshantering: Tjänstkontot som startar skriptet som schemalagd uppgift måste vara Organisationshantering för att kunna hämta all nödvändig säkerhetsinformation.

Installationsanvisningar för leverantör

Parser-distribution (När du använder Microsoft Exchange Security Solution distribueras parsers automatiskt)

Kommentar

Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat. Följ stegen för varje parser för att skapa Kusto Functions-aliaset : ExchangeConfiguration och ExchangeEnvironmentList

  1. Installera ESI-insamlarens skript på en server med Exchange Admin PowerShell-konsolen

Det här är skriptet som samlar in Exchange Information för att skicka innehåll i Microsoft Sentinel.

  1. Konfigurera ESI-insamlarens skript

Var noga med att vara lokal administratör för servern. I läget Kör som administratör startar du skriptet "setup.ps1" för att konfigurera insamlaren. Fyll i informationen om Log Analytics-arbetsytan (Microsoft Sentinel). Fyll i miljönamnet eller lämna tomt. Som standard väljer du Def som standardanalys. De andra alternativen är för specifik användning.

  1. Schemalägg ESI-insamlarens skript (om det inte görs av installationsskriptet på grund av bristande behörighet eller ignoreras under installationen)

Skriptet måste schemaläggas för att skicka Exchange-konfigurationen till Microsoft Sentinel. Vi rekommenderar att du schemalägger skriptet en gång om dagen. Det konto som används för att starta skriptet måste vara medlem i gruppen Organisationshantering

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.