次の方法で共有


Microsoft Sentinel 用の Microsoft Exchange ログおよびイベント コネクタ

Windows エージェントを使用して、Microsoft Sentinel ワークスペースに接続されている Windows マシンから、すべての Exchange 監査イベント、IIS ログ、HTTP プロキシ ログ、セキュリティ イベント ログをストリーミングできます。 この接続により、ダッシュボードを表示し、カスタム アラートを作成し、調査を改善することができます。 これは、オンプレミスの Exchange 環境のセキュリティに関する分析情報を提供するために Microsoft Exchange セキュリティ ブックによって使用されます

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル イベント
W3CIISLog
MessageTrackingLog_CL
ExchangeHttpProxy_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの コミュニティ

クエリのサンプル

すべての監査ログ

Event 
| where EventLog == 'MSExchange Management' 
| sort by TimeGenerated

前提条件

Microsoft Exchange のログとイベントと統合するには、以下が必要です。

  • ****: Azure Log Analytics は非推奨となり、Azure 以外の VM からデータを収集するには、Azure Arc をおすすめします。 詳細情報

ベンダーのインストール手順

注意

このデータ コネクタは、Kusto 関数に基づくパーサーに依存して正常に動作します。 次の手順に従って、Kusto 関数エイリアスを作成します。ExchangeAdminAuditLogs

Note

このソリューションはオプションに基づいています。 一部のオプションでは非常に大量のデータが生成される可能性があるため、これにより、どのデータを取り込むかを選択できます。 収集する内容に応じて、ブック、分析ルール、ハンティング機能を追跡し、デプロイするオプションを選択します。 各オプションは互いに独立しています。 各オプションの詳細については、「Microsoft Exchange セキュリティ」の WiKi を参照してください

  1. Microsoft Sentinel のログを収集するために必要なエージェントをダウンロードしてインストールします

サーバーの種類 (Exchange サーバー、Exchange サーバーにリンクされたドメイン コントローラー、またはすべてのドメイン コントローラー) は、デプロイするオプションによって異なります。

  1. 選択したオプションに従ってログ インジェストをデプロイする

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。