Connector „Microsoft Exchange Logs and Events“ für Microsoft Sentinel
Sie können alle Exchange-Überwachungsereignisse, IIS-Protokolle, HTTP-Proxyprotokolle und Sicherheitsereignisprotokolle der Windows-Computer streamen, die mit Ihrem Microsoft Sentinel-Arbeitsbereich verbunden sind, indem Sie den Windows-Agent verwenden. Diese Verbindung ermöglicht es Ihnen, Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und Untersuchungen zu verbessern. Dies wird von Microsoft Exchange-Sicherheitsarbeitsmappen verwendet, um Sicherheitserkenntnisse zu Ihrer lokalen Exchange-Umgebung zu gewinnen.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | Ereignis W3CIISLog MessageTrackingLog_CL ExchangeHttpProxy_CL |
Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
Unterstützt von | Community |
Abfragebeispiele
Alle Überwachungsprotokolle
Event
| where EventLog == 'MSExchange Management'
| sort by TimeGenerated
Voraussetzungen
Stellen Sie für die Integration in Microsoft Exchange Logs and Events sicher, dass Folgendes vorhanden ist:
- ****: Azure Log Analytics wird ausgemustert. Für die Sammlung von Daten Azure-fremder VMs wird Azure Arc empfohlen. Weitere Informationen
Installationsanweisungen des Anbieters
Hinweis
Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert und erwartungsgemäß funktionieren muss. Führen Sie die Schritte aus, um den Kusto-Funktionsalias zu erstellen: ExchangeAdminAuditLogs.
Hinweis
Die Lösung basiert auf Optionen. Dadurch können Sie auswählen, welche Daten erfasst werden sollen, da einige Optionen ein sehr hohes Datenvolumen generieren können. Wählen Sie die Optionen aus, die Sie bereitstellen möchten – je nachdem, was Sie sammeln bzw. in Ihren Arbeitsmappen, Analyseregeln und Suchfunktionen nachverfolgen möchten. Jede Option ist unabhängig. Weitere Informationen zu den einzelnen Optionen finden Sie im Wiki zur Microsoft Exchange-Sicherheit.
- Laden Sie die Agents herunter, die zum Sammeln von Protokollen für Microsoft Sentinel erforderlich sind, und installieren Sie sie.
Der Servertyp (Exchange-Server, Mit Exchange-Servern verknüpfte Domänencontroller oder alle Domänencontroller) hängt von der Option ab, die Sie bereitstellen möchten.
- Bereitstellen der Protokollerfassung nach ausgewählten Optionen
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.