Share via

Connector „Exchange Security Insights On-Premise Collector“ für Microsoft Sentinel

  • Artikel

Connector zum Pushen der lokalen Sicherheitskonfiguration für Exchange für die Microsoft Sentinel-Analyse

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen ESIExchangeConfig_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Community

Abfragebeispiele

Anzeigen, wie viele Konfigurationseinträge in der Tabelle vorhanden sind

ESIExchangeConfig_CL 
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s

Voraussetzungen

Für die Integration in Exchange Security Insights On-Premise Collector wird Folgendes benötigt:

  • Dienstkonto mit Organisationsverwaltungsrolle: Bei dem Dienstkonto, das das Skript als geplante Aufgabe startet, muss es sich um ein Organisationsverwaltungskonto handeln, um alle benötigten Sicherheitsinformationen abrufen zu können.

Installationsanweisungen des Anbieters

Parserbereitstellung (Bei Verwendung der Microsoft Exchange-Sicherheitslösung werden Parser automatisch bereitgestellt.)

Hinweis

Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert und erwartungsgemäß funktionieren muss. Führen Sie die Schritte für die einzelnen Parser aus, um den Kusto-Funktionsalias zu erstellen: ExchangeConfiguration und ExchangeEnvironmentList

  1. Installieren Sie das ESI Collector-Skript auf einem Server mit PowerShell-Konsole für Exchange-Administratoren.

Dies ist das Skript, das Exchange-Informationen sammelt, um Inhalte in Microsoft Sentinel zu pushen.

  1. Konfigurieren Sie das ESI Collector-Skript

Sie müssen lokaler Administrator des Servers sein. Starten Sie das Skript „setup.ps1“ im Modus „Als Administrator ausführen“, um den Collector zu konfigurieren. Füllen Sie die Informationen für den Log Analytics-Arbeitsbereich (Microsoft Sentinel) aus. Füllen Sie den Umgebungsnamen aus, oder lassen Sie ihn leer. Wählen Sie standardmäßig „Def“ als Standardanalyse aus. Die anderen Optionen sind jeweils für eine bestimmte Verwendung vorgesehen.

  1. Planen Sie die Ausführung des ESI Collector-Skripts (falls dieser Schritt aufgrund fehlender Berechtigung nicht vom Installationsskript ausgeführt oder während der Installation ignoriert wurde).

Die Ausführung des Skripts muss geplant werden, um die Exchange-Konfiguration an Microsoft Sentinel zu senden. Es empfiehlt sich, das Skript so zu planen, dass es einmal täglich ausgeführt wird. Das Konto, das zum Starten des Skripts verwendet wird, muss der Gruppe „Organisationsverwaltung“ angehören.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.