Connecteur Journaux d’audit d’administration Microsoft Exchange par connecteur Journaux d’événements pour Microsoft Sentinel
[Option 1] – Utilisation de l’agent Azure Monitor – Vous pouvez diffuser en continu des journaux de tout les événements d’audit Exchange à partir de machines Windows connectées à votre espace de travail Microsoft Sentinel en utilisant l’agent Windows. Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer les investigations. Cela est utilisé par les classeurs de sécurité de Microsoft Exchange pour fournir des informations de sécurité sur votre environnement Exchange local
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | Événement |
| Prise en charge des règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | Communauté |
Exemples de requête
Tous les journaux d’audit
Event
| where EventLog == 'MSExchange Management'
| sort by TimeGenerated
Prérequis
Pour intégrer les journaux d’audit d’administration Microsoft Exchange par journaux d’événements, assurez-vous d’avoir :
- ****: Azure Log Analytics est déconseillé. Pour collecter des données à partir de machines virtuelles non-Azure, Azure Arc est recommandé. En savoir plus
- Documentation détaillée : >REMARQUE : vous trouverez une documentation détaillée sur la Procédure d’installation et l’utilisation ici
Instructions d’installation du fournisseur
Remarque
Cette solution est basée sur des options. Cela vous permet de choisir les données qui seront ingérées, car certaines options peuvent générer un volume très élevé de données. Selon ce que vous souhaitez collecter et suivre dans vos classeurs, règles d’analyse et fonctionnalités de repérage, vous choisirez les options que vous déploierez. Toutes les options sont indépendantes les unes des autres. Pour en savoir plus sur chaque option : wiki « Sécurité Microsoft Exchange »
Ce connecteur de données est l’option 1 du Wiki.
- Télécharger et installer les agents nécessaires pour collecter les journaux pour Microsoft Sentinel
Le type de serveurs (serveurs Exchange, contrôleurs de domaine liés à des serveurs Exchange ou tous les contrôleurs de domaine) dépend de l’option que vous souhaitez déployer.
- [Option 1] Collecte des journaux de gestion MS Exchange : Journaux d’événements d’audit d’administration MS Exchange par règles de collecte de données
Les journaux d’événements MS Exchange Admin Audit sont collectés à l’aide de règles de collecte de données (DCR) et permettent de stocker toutes les applets de commande administratives exécutées dans un environnement Exchange.
Remarque
Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour pouvoir fonctionner normalement. Les analyseurs sont automatiquement déployés avec la solution. Suivez les étapes pour créer l’alias de fonction Kusto : ExchangeAdminAuditLogs
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.