Microsoft Exchange Logs and Events connector for Microsoft Sentinel
Všechny události auditu Exchange, protokoly služby IIS, protokoly proxy serveru HTTP a protokoly událostí zabezpečení můžete streamovat z počítačů s Windows připojených k pracovnímu prostoru Služby Microsoft Sentinel pomocí agenta Windows. Toto připojení umožňuje zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. Sešity zabezpečení serveru Microsoft Exchange používají k poskytování přehledů zabezpečení místního prostředí Exchange.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
Atributy konektoru
| Atribut konektoru | Popis |
|---|---|
| Tabulky Log Analytics | Událost W3CIISLog MessageTrackingLog_CL ExchangeHttpProxy_CL |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | Community |
Ukázky dotazů
Všechny protokoly auditu
Event
| where EventLog == 'MSExchange Management'
| sort by TimeGenerated
Požadavky
Pokud chcete provést integraci s protokoly a událostmi Microsoft Exchange, ujistěte se, že máte:
- : Služba Azure Log Analytics bude zastaralá, aby bylo možné shromažďovat data z virtuálních počítačů mimo Azure, doporučuje se Azure Arc. Další informace
Pokyny k instalaci dodavatele
Poznámka:
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání. Podle pokynů vytvořte alias Funkce Kusto: ExchangeAdminAuditLogs
Poznámka:
Toto řešení je založené na možnostech. To vám umožní zvolit, která data budou ingestovat, protože některé možnosti můžou generovat velmi velký objem dat. V závislosti na tom, co chcete shromažďovat, sledujte v sešitech, analytických pravidlech, možnosti proaktivního vyhledávání, které zvolíte. Jednotlivé možnosti jsou pro jednu z nich nezávislé. Další informace o jednotlivých možnostech najdete na wikiwebu Zabezpečení serveru Microsoft Exchange.
- Stažení a instalace agentů potřebných ke shromažďování protokolů pro Microsoft Sentinel
Typ serverů (servery Exchange, řadiče domény propojené se servery Exchange nebo všechny řadiče domény) závisí na možnosti, kterou chcete nasadit.
- Nasazení příjmu protokolů podle zvolených možností
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.