你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的“Exchange 安全见解本地收集器”连接器

用于推送 Exchange 本地安全配置供 Microsoft Sentinel 分析使用的连接器

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 ESIExchangeConfig_CL
数据收集规则支持 目前不支持
支持的服务 社区

查询示例

查看表上存在的配置条目数

ESIExchangeConfig_CL 
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s

先决条件

若要与“Exchange 安全见解本地收集器”集成,请确保你具有:

  • 具有“组织管理”角色的服务帐户:作为计划任务启动脚本的服务帐户需是“组织管理”帐户才能检索所有需要的安全信息

供应商安装说明

分析器部署(使用 Microsoft Exchange 安全解决方案时,分析器会自动进行部署)

注意

此数据连接器依赖于基于 Kusto 函数的分析程序来按预期方式工作。 按照步骤为每个分析程序创建 Kusto 函数别名:ExchangeConfigurationExchangeEnvironmentList

  1. 使用 Exchange 管理员 PowerShell 控制台在服务器上安装 ESI 收集器脚本

这是将收集 Exchange 信息以在 Microsoft Sentinel 中推送内容的脚本。

  1. 配置 ESI 收集器脚本

确保是服务器的本地管理员。 在“以管理员身份运行”模式下,启动“setup.ps1”脚本以配置收集器。 填写 Log Analytics (Microsoft Sentinel) 工作区信息。 填写环境名称或留空。 默认情况下,选择“Def”作为默认分析。 其他选项用于特定用途。

  1. 计划 ESI 收集器脚本(如果安装脚本因缺少权限或安装期间被忽略而未完成)

需要计划脚本以将 Exchange 配置发送到 Microsoft Sentinel。 建议每天计划一次脚本。 用于启动脚本的帐户需是“组织管理”组的成员

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案