Microsoft Sentinel 用の Microsoft Exchange Admin Audit Logs by Event Logs コネクタ
[オプション 1] - Azure Monitor エージェントを使用する - Windows エージェントを使って、Microsoft Sentinel ワークスペースに接続されている Windows マシンからすべての Exchange 監査イベントをストリーミングできます。 この接続により、ダッシュボードを表示し、カスタム アラートを作成し、調査を改善することができます。 これは、オンプレミスの Exchange 環境のセキュリティに関する分析情報を提供するために Microsoft Exchange セキュリティ ブックによって使用されます
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | Event |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | コミュニティ |
クエリのサンプル
すべての監査ログ
Event
| where EventLog == 'MSExchange Management'
| sort by TimeGenerated
前提条件
Microsoft Exchange Admin Audit Logs by Event Logs と統合するには、以下が必要です。
- ****: Azure Log Analytics は非推奨となり、Azure 以外の VM からデータを収集するには、Azure Arc をおすすめします。 詳細情報
- 詳細なドキュメント: >注: インストール手順と使用方法に関する詳細なドキュメントについては、こちらを参照してください
ベンダーのインストール手順
Note
このソリューションはオプションに基づいています。 一部のオプションでは非常に大量のデータが生成される可能性があるため、これにより、どのデータを取り込むかを選択できます。 収集する内容に応じて、ブック、分析ルール、ハンティング機能を追跡し、デプロイするオプションを選択します。 各オプションは互いに独立しています。 各オプションの詳細については、「Microsoft Exchange セキュリティ」の WiKi を参照してください
このデータ コネクタは、Wiki のオプション 1 です。
- Microsoft Sentinel のログを収集するために必要なエージェントをダウンロードしてインストールします
サーバーの種類 (Exchange サーバー、Exchange サーバーにリンクされたドメイン コントローラー、またはすべてのドメイン コントローラー) は、デプロイするオプションによって異なります。
- [オプション 1] MS Exchange 管理ログの収集 - データ収集規則を使用する MS Exchange 管理者監査イベント ログ
MS Exchange 管理者監査イベント ログは、データ収集規則 (DCR) を使用して収集され、Exchange 環境で実行されるすべての管理コマンドレットを格納できます。
Note
このデータ コネクタは、Kusto 関数に基づくパーサーに依存して正常に動作します。 パーサーはソリューションと共に自動的にデプロイされます。 次の手順に従って、Kusto 関数エイリアスを作成します。ExchangeAdminAuditLogs
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。