Microsoft Sentinel 用の Microsoft Exchange ログおよびイベント コネクタ
Windows エージェントを使用して、Microsoft Sentinel ワークスペースに接続されている Windows マシンから、すべての Exchange 監査イベント、IIS ログ、HTTP プロキシ ログ、セキュリティ イベント ログをストリーミングできます。 この接続により、ダッシュボードを表示し、カスタム アラートを作成し、調査を改善することができます。 これは、オンプレミスの Exchange 環境のセキュリティに関する分析情報を提供するために Microsoft Exchange セキュリティ ブックによって使用されます
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
コネクタ属性 | 説明 |
---|---|
Log Analytics テーブル | イベント W3CIISLog MessageTrackingLog_CL ExchangeHttpProxy_CL |
データ収集ルールのサポート | 現在、サポートされていません |
サポートしているもの | コミュニティ |
クエリのサンプル
すべての監査ログ
Event
| where EventLog == 'MSExchange Management'
| sort by TimeGenerated
前提条件
Microsoft Exchange のログとイベントと統合するには、以下が必要です。
- ****: Azure Log Analytics は非推奨となり、Azure 以外の VM からデータを収集するには、Azure Arc をおすすめします。 詳細情報
ベンダーのインストール手順
注意
このデータ コネクタは、Kusto 関数に基づくパーサーに依存して正常に動作します。 次の手順に従って、Kusto 関数エイリアスを作成します。ExchangeAdminAuditLogs
Note
このソリューションはオプションに基づいています。 一部のオプションでは非常に大量のデータが生成される可能性があるため、これにより、どのデータを取り込むかを選択できます。 収集する内容に応じて、ブック、分析ルール、ハンティング機能を追跡し、デプロイするオプションを選択します。 各オプションは互いに独立しています。 各オプションの詳細については、「Microsoft Exchange セキュリティ」の WiKi を参照してください
- Microsoft Sentinel のログを収集するために必要なエージェントをダウンロードしてインストールします
サーバーの種類 (Exchange サーバー、Exchange サーバーにリンクされたドメイン コントローラー、またはすべてのドメイン コントローラー) は、デプロイするオプションによって異なります。
- 選択したオプションに従ってログ インジェストをデプロイする
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。