Conector de registros de auditoría de administrador de Microsoft Exchange por Registros de eventos para Microsoft Sentinel
[Opción 1] - Mediante el agente de Azure Monitor: puede transmitir todos los eventos de auditoría de Exchange desde las máquinas Windows conectadas al área de trabajo de Microsoft Sentinel mediante el agente de Windows. Esta conexión le permite ver paneles, crear alertas personalizadas y mejorar la investigación, Los libros de seguridad de Microsoft Exchange lo usan para proporcionar información de seguridad del entorno local de Exchange.
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | Evento |
| Compatibilidad con reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | Comunidad |
Ejemplos de consultas
Todos los registros de auditoría
Event
| where EventLog == 'MSExchange Management'
| sort by TimeGenerated
Requisitos previos
Para realizar la integración con los registros de auditoría de administrador de Microsoft Exchange por registros de evento, asegúrese de que tiene:
- : Azure Log Analytics quedará en desuso para recopilar datos de máquinas virtuales que no son de Azure, se recomienda Azure Arc. Más información
- Documentación detallada: >NOTA: la documentación detallada sobre el procedimiento de instalación y el uso se puede encontrar aquí
Instrucciones de instalación del proveedor
Nota:
Esta solución se basa en opciones. Esto le permite elegir qué datos se ingerirán, ya que algunas opciones pueden generar un gran volumen de datos. En función de lo que quiera recopilar, realice un seguimiento en los libros, reglas de análisis, funcionalidades de búsqueda, elegirá las opciones que implementará. Cada opción es independiente una de la otra. Para obtener más información sobre cada opción: wiki "Seguridad de Microsoft Exchange"
Este conector de datos es la opción 1 de la wiki.
- Descarga e instalación de los agentes necesarios para recopilar registros de Microsoft Sentinel
El tipo de servidores (servidores Exchange, controladores de dominio vinculados a servidores de Exchange o a todos los controladores de dominio) depende de la opción que quiera implementar.
- [Opción 1] Recopilación del registro de administración de MS Exchange: registros de eventos de auditoría de administrador de MS Exchange mediante reglas de recopilación de datos
Los registros de eventos de auditoría de administrador de MS Exchange se recopilan mediante reglas de recopilación de datos (DCR) y permiten almacenar todos los cmdlets administrativos ejecutados en un entorno de Exchange.
Nota:
Este conector de datos depende de un analizador basado en una función de Kusto para funcionar según lo previsto. Los analizadores se implementan automáticamente con la solución. Siga los pasos para crear el alias de Funciones de Kusto: ExchangeAdminAuditLogs
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.