Exchange Security Elemzések Helyszíni gyűjtő összekötő a Microsoft Sentinelhez
Csatlakozás or az Exchange helyszíni biztonsági konfigurációjának leküldéséhez a Microsoft Sentinel Analysishez
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Csatlakozás or attribútumok
| Csatlakozás or attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | ESIExchangeConfig_CL |
| Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
| Támogatja: | Közösség |
Példák lekérdezésekre
A tábla konfigurációs bejegyzéseinek megtekintése
ESIExchangeConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
Előfeltételek
Az Exchange Security Elemzések helyszíni gyűjtővel való integrálásához győződjön meg arról, hogy rendelkezik a következőkkel:
- Szolgáltatásfiók szervezetfelügyeleti szerepkörrel: A szkriptet ütemezett feladatként megnyitó szolgáltatásfióknak Szervezetfelügyeletnek kell lennie ahhoz, hogy az összes szükséges biztonsági információ lekérhető legyen.
Szállító telepítési útmutatója
Elemző üzembe helyezése (A Microsoft Exchange biztonsági megoldás használatakor az elemzők automatikusan üzembe lesznek helyezve)
Feljegyzés
Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, hogy a várt módon működjön. Kövesse az egyes elemzők lépéseit a Kusto Functions aliasának létrehozásához: ExchangeConfiguration és ExchangeEnvironmentList
- Az ESI Collector szkript telepítése kiszolgálóra az Exchange Rendszergazda PowerShell-konzollal
Ez az a szkript, amely összegyűjti az Exchange-adatokat a tartalom leküldéséhez a Microsoft Sentinelben.
- Az ESI Collector szkript konfigurálása
Ügyeljen arra, hogy a kiszolgáló helyi rendszergazdája legyen. A "Futtatás Rendszergazda istratorként" módban indítsa el a "setup.ps1" szkriptet a gyűjtő konfigurálásához. Töltse ki a Log Analytics (Microsoft Sentinel) munkaterület adatait. Töltse ki a környezet nevét, vagy hagyja üresen. Alapértelmezés szerint válassza a "Def" (Def) lehetőséget alapértelmezett elemzésként. A másik lehetőség az adott használat.
- Ütemezze az ESI Collector-szkriptet (ha a telepítési szkript nem tette meg engedély hiányában vagy a telepítés során figyelmen kívül hagyva)
A szkriptet úgy kell ütemezni, hogy elküldje az Exchange-konfigurációt a Microsoft Sentinelnek. Javasoljuk, hogy naponta egyszer ütemezze a szkriptet. A szkript elindításához használt fióknak a Szervezetkezelés csoport tagjának kell lennie
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: