Microsoft Sentinel 的 Exchange Security Insights 內部部署收集器連接器
用來推送 Microsoft Sentinel 分析 Exchange 內部部署安全性設定的連接器
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | ESIExchangeConfig_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | Community |
查詢範例
檢視資料表上有多少設定項目
ESIExchangeConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
必要條件
若要與 Exchange Security Insights 內部部署收集器整合,請確定您具有:
- 具有組織管理角色的服務帳戶:啟動指令碼作為排程工作的服務帳戶必須是組織管理,才能擷取所有必要的安全性資訊。
廠商安裝指示
剖析器部署 (使用 Microsoft Exchange 安全性解決方案時,會自動部署剖析器)
注意
此資料連接器取決於以 Kusto 函式為基礎的剖析器,才能如預期般運作。 請遵循每個剖析器的步驟來建立 Kusto Functions 別名:ExchangeConfiguration 和 ExchangeEnvironmentList
- 使用 Exchange 系統管理 PowerShell 主控台在伺服器上安裝 ESI 收集器指令碼
這是將收集 Exchange 資訊以在 Microsoft Sentinel 中推送內容的指令碼。
- 設定 ESI 收集器指令碼
確定式伺服器的本機系統管理員。 在 [以系統管理員身分執行] 模式中,啟動 'setup.ps1' 指令碼來設定收集器。 填入 Log Analytics (Microsoft Sentinel) 工作區資訊。 填入環境名稱或保留空白。 根據預設,選擇 [Def] 作為 [預設分析]。 其他選項適用於特定使用方式。
- 排程 ESI 收集器指令碼 (如果安裝指令碼因為安裝期間沒有權限或忽略而未完成)
指令碼必須排程,才能將 Exchange 組態傳送至 Microsoft Sentinel。 我們建議每天排程指令碼一次。 用來啟動指令碼的帳戶必須是群組「組織管理」的成員
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。