你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的“Exchange 安全见解本地收集器”连接器
用于推送 Exchange 本地安全配置供 Microsoft Sentinel 分析使用的连接器
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
连接器属性 | 说明 |
---|---|
Log Analytics 表 | ESIExchangeConfig_CL |
数据收集规则支持 | 目前不支持 |
支持的服务 | 社区 |
查询示例
查看表上存在的配置条目数
ESIExchangeConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
先决条件
若要与“Exchange 安全见解本地收集器”集成,请确保你具有:
- 具有“组织管理”角色的服务帐户:作为计划任务启动脚本的服务帐户需是“组织管理”帐户才能检索所有需要的安全信息。
供应商安装说明
分析器部署(使用 Microsoft Exchange 安全解决方案时,分析器会自动进行部署)
注意
此数据连接器依赖于基于 Kusto 函数的分析程序来按预期方式工作。 按照步骤为每个分析程序创建 Kusto 函数别名:ExchangeConfiguration 和 ExchangeEnvironmentList
- 使用 Exchange 管理员 PowerShell 控制台在服务器上安装 ESI 收集器脚本
这是将收集 Exchange 信息以在 Microsoft Sentinel 中推送内容的脚本。
- 配置 ESI 收集器脚本
确保是服务器的本地管理员。 在“以管理员身份运行”模式下,启动“setup.ps1”脚本以配置收集器。 填写 Log Analytics (Microsoft Sentinel) 工作区信息。 填写环境名称或留空。 默认情况下,选择“Def”作为默认分析。 其他选项用于特定用途。
- 计划 ESI 收集器脚本(如果安装脚本因缺少权限或安装期间被忽略而未完成)
需要计划脚本以将 Exchange 配置发送到 Microsoft Sentinel。 建议每天计划一次脚本。 用于启动脚本的帐户需是“组织管理”组的成员
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。