Protokoly auditu správce Microsoft Exchange podle konektoru protokolů událostí pro Microsoft Sentinel
[Možnost 1] – Pomocí agenta Azure Monitoru – Všechny události auditu Exchange můžete streamovat z počítačů s Windows připojených k pracovnímu prostoru Služby Microsoft Sentinel pomocí agenta Pro Windows. Toto připojení umožňuje zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. Sešity zabezpečení serveru Microsoft Exchange používají k poskytování přehledů zabezpečení místního prostředí Exchange.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
Atributy konektoru
| Atribut konektoru | Popis |
|---|---|
| Tabulky Log Analytics | Událost |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | Community |
Ukázky dotazů
Všechny protokoly auditu
Event
| where EventLog == 'MSExchange Management'
| sort by TimeGenerated
Požadavky
Pokud chcete integrovat protokoly auditu správce Microsoft Exchange pomocí protokolů událostí, ujistěte se, že máte:
- : Služba Azure Log Analytics bude zastaralá, aby bylo možné shromažďovat data z virtuálních počítačů mimo Azure, doporučuje se Azure Arc. Další informace
- Podrobná dokumentace: POZNÁMKA: >Podrobná dokumentace k postupu instalace a použití najdete tady.
Pokyny k instalaci dodavatele
Poznámka:
Toto řešení je založené na možnostech. To vám umožní zvolit, která data budou ingestovat, protože některé možnosti můžou generovat velmi velký objem dat. V závislosti na tom, co chcete shromažďovat, sledujte v sešitech, analytických pravidlech, možnosti proaktivního vyhledávání, které zvolíte. Jednotlivé možnosti jsou pro jednu z nich nezávislé. Další informace o jednotlivých možnostech najdete na wikiwebu Zabezpečení serveru Microsoft Exchange.
Tento datový konektor je možnost 1 wikiwebu.
- Stažení a instalace agentů potřebných ke shromažďování protokolů pro Microsoft Sentinel
Typ serverů (servery Exchange, řadiče domény propojené se servery Exchange nebo všechny řadiče domény) závisí na možnosti, kterou chcete nasadit.
- [Možnost 1] Shromažďování protokolů správy SERVERU MS Exchange – Protokoly událostí auditování správce MS Exchange podle pravidel shromažďování dat
Protokoly událostí auditování správce MS Exchange se shromažďují pomocí pravidel shromažďování dat (DCR) a umožňují ukládat všechny rutiny pro správu spuštěné v prostředí Exchange.
Poznámka:
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání. Analyzátory se automaticky nasadí s řešením. Podle pokynů vytvořte alias Funkce Kusto: ExchangeAdminAuditLogs
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.