Соединитель локального сборщика Exchange Security Аналитика для Microsoft Sentinel
Подключение or, используемый для отправки конфигурации локальной безопасности Exchange для анализа Microsoft Sentinel
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
Атрибут соединителя | Description |
---|---|
Таблицы Log Analytics | ESIExchangeConfig_CL |
Поддержка правил сбора данных | В настоящий момент не поддерживается |
Поддерживается | Сообщество |
Примеры запросов
Просмотр количества записей конфигурации в таблице
ESIExchangeConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
Необходимые компоненты
Чтобы интегрироваться с Exchange Security Аналитика локального сборщика, убедитесь, что у вас есть:
- Учетная запись службы с ролью управления организацией: учетная запись службы, которая запускает скрипт в качестве запланированной задачи, должна иметь возможность получения всех необходимых сведений о безопасности.
Инструкции по установке поставщика
Развертывание синтаксического анализатора (при использовании решения безопасности Microsoft Exchange средства синтаксического анализа автоматически развертываются)
Примечание.
Правильная работа этого соединителя данных зависит от средства синтаксического анализа на основе функции Kusto. Выполните действия для каждого средства синтаксического анализа, чтобы создать псевдоним Функций Kusto: ExchangeConfiguration и ExchangeEnvironmentList
- Установка скрипта сборщика ESI на сервере с помощью консоли Exchange Администратор PowerShell
Это скрипт, который собирает сведения Exchange для отправки содержимого в Microsoft Sentinel.
- Настройка скрипта сборщика ESI
Не забудьте быть локальным администратором сервера. В режиме запуска от имени Администратор istrator запустите скрипт setup.ps1, чтобы настроить сборщик. Заполните сведения о рабочей области Log Analytics (Microsoft Sentinel). Заполните имя среды или оставьте пустым. По умолчанию выберите "Def" в качестве анализа по умолчанию. Другие варианты предназначены для конкретного использования.
- Запланируйте скрипт сборщика ESI (если скрипт установки не выполнен из-за отсутствия разрешения или игнорируется во время установки)
Скрипт должен быть запланирован для отправки конфигурации Exchange в Microsoft Sentinel. Рекомендуется запланировать сценарий один раз в день. Учетная запись, используемая для запуска скрипта, должна быть членом группы управления организацией
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по