Megosztás a következőn keresztül:

Exchange Security Insights helyszíni gyűjtő összekötő a Microsoft Sentinelhez

  • Cikk

Összekötő az Exchange helyszíni biztonsági konfigurációjának leküldéséhez a Microsoft Sentinel Analysishez

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Log Analytics-tábla(ok) ESIExchangeConfig_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Közösség

Példák lekérdezésekre

A tábla konfigurációs bejegyzéseinek megtekintése

ESIExchangeConfig_CL 
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s

Előfeltételek

Az Exchange Security Insights helyszíni gyűjtővel való integrálásához győződjön meg arról, hogy rendelkezik a következőkkel:

  • Szolgáltatásfiók szervezetfelügyeleti szerepkörrel: A szkriptet ütemezett feladatként megnyitó szolgáltatásfióknak Szervezetfelügyeletnek kell lennie ahhoz, hogy az összes szükséges biztonsági információ lekérhető legyen.

Szállító telepítési útmutatója

Elemző üzembe helyezése (A Microsoft Exchange biztonsági megoldás használatakor az elemzők automatikusan üzembe lesznek helyezve)

Feljegyzés

Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, hogy a várt módon működjön. Kövesse az egyes elemzők lépéseit a Kusto Functions aliasának létrehozásához: ExchangeConfiguration és ExchangeEnvironmentList

  1. Az ESI Collector szkript telepítése kiszolgálóra az Exchange Admin PowerShell-konzollal

Ez az a szkript, amely összegyűjti az Exchange-adatokat a tartalom leküldéséhez a Microsoft Sentinelben.

  1. Az ESI Collector szkript konfigurálása

Ügyeljen arra, hogy a kiszolgáló helyi rendszergazdája legyen. A "Futtatás rendszergazdaként" módban indítsa el a "setup.ps1" szkriptet a gyűjtő konfigurálásához. Töltse ki a Log Analytics (Microsoft Sentinel) munkaterület adatait. Töltse ki a környezet nevét, vagy hagyja üresen. Alapértelmezés szerint válassza a "Def" (Def) lehetőséget alapértelmezett elemzésként. A másik lehetőség az adott használat.

  1. Ütemezze az ESI Collector-szkriptet (ha a telepítési szkript nem tette meg engedély hiányában vagy a telepítés során figyelmen kívül hagyva)

A szkriptet úgy kell ütemezni, hogy elküldje az Exchange-konfigurációt a Microsoft Sentinelnek. Javasoljuk, hogy naponta egyszer ütemezzük a szkriptet. A szkript elindításához használt fióknak a Szervezetkezelés csoport tagjának kell lennie

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.