Log di controllo dell'amministratore di Microsoft Exchange per connettore dei registri eventi per Microsoft Sentinel
[Opzione 1] - Uso dell'agente di Monitoraggio di Azure: è possibile trasmettere tutti gli eventi di Exchange Audit dai computer Windows connessi all'area di lavoro di Microsoft Sentinel usando l'agente Windows. Questa connessione consente di visualizzare dashboard, creare avvisi personalizzati e migliorare l'analisi. Viene usato dalle cartelle di lavoro di sicurezza di Microsoft Exchange per fornire informazioni dettagliate sulla sicurezza dell'ambiente Exchange locale
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | Event |
| Supporto regole di raccolta dati | Non è al momento supportato |
| Supportata da: | Community |
Esempi di query
Tutti i log di controllo
Event
| where EventLog == 'MSExchange Management'
| sort by TimeGenerated
Prerequisiti
Per eseguire l'integrazione con i log di controllo amministratore di Microsoft Exchange tramite i registri eventi, assicurarsi di disporre di:
- : Azure Log Analytics sarà deprecato, per raccogliere dati da macchine virtuali non di Azure, è consigliabile usare Azure Arc. Ulteriori informazioni
- Documentazione dettagliata: NOTA: >documentazione dettagliata sulla procedura di installazione e sull'utilizzo sono disponibili qui
Istruzioni per l’installazione di Vendor
Nota
Questa soluzione si basa sulle opzioni. In questo modo è possibile scegliere quali dati verranno inseriti perché alcune opzioni possono generare un volume di dati molto elevato. A seconda di ciò che si vuole raccogliere, tenere traccia delle cartelle di lavoro, delle regole di analisi, delle funzionalità di ricerca, scegliere le opzioni che verranno distribuite. Ogni opzione è indipendente per una dall'altra. Per altre informazioni su ogni opzione: Wiki "Microsoft Exchange Security"
Questo connettore dati è l'opzione 1 del wiki.
- Scaricare e installare gli agenti necessari per raccogliere i log per Microsoft Sentinel
Il tipo di server (Server Exchange, controller di dominio collegati a Server Exchange o a tutti i controller di dominio) dipende dall'opzione da distribuire.
- [Opzione 1] Raccolta dei log di gestione di MS Exchange - Log eventi di MS Exchange Admin Audit in base alle regole di raccolta dati
I registri eventi di MS Exchange Admin Audit vengono raccolti usando le regole di raccolta dati e consentono di archiviare tutti i cmdlet amministrativi eseguiti in un ambiente Exchange.
Nota
Per funzionare come previsto questo connettore dati dipende da un parser basato su una funzione Kusto. I parser vengono distribuiti automaticamente con la soluzione. Seguire la procedura per creare l'alias di Funzioni Kusto: ExchangeAdminAuditLogs
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.