Microsoft Sentinel용 Microsoft Exchange 로그 및 이벤트 커넥터
Windows 에이전트를 사용하여 Microsoft Sentinel 작업 영역에 연결된 Windows 컴퓨터에서 모든 Exchange 감사 이벤트, IIS 로그, HTTP 프록시 로그 및 보안 이벤트 로그를 스트리밍할 수 있습니다. 이 연결을 사용하여 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선할 수 있습니다. 이는 Microsoft Exchange 보안 통합 문서에서 온-프레미스 Exchange 환경의 보안 인사이트를 제공하는 데 사용됩니다.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Log Analytics 테이블 | 이벤트 W3CIISLog MessageTrackingLog_CL ExchangeHttpProxy_CL |
| 데이터 수집 규칙 지원 | 현재 지원되지 않음 |
| 다음에서 지원 | 커뮤니티 |
쿼리 샘플
모든 감사 로그
Event
| where EventLog == 'MSExchange Management'
| sort by TimeGenerated
필수 조건
Microsoft Exchange 로그 및 이벤트와 통합하려면 다음이 있는지 확인합니다.
- ****: Azure Log Analytics는 사용되지 않으며, 비 Azure VM에서 데이터를 수집하려면 Azure Arc를 사용하는 것이 좋습니다. 자세한 정보
공급업체 설치 지침
참고 항목
이 데이터 커넥터는 정상적으로 작동하기 위해 Kusto 함수를 기반으로 하는 파서를 사용합니다. 다음 단계에 따라 Kusto Functions 별칭을 만듭니다. ExchangeAdminAuditLogs
참고 항목
이 솔루션은 옵션을 기반으로 합니다. 이렇게 하면 일부 옵션에서 매우 많은 양의 데이터를 생성할 수 있으므로 수집할 데이터를 선택할 수 있습니다. 통합 문서, 분석 규칙, 헌팅 기능에서 수집하고 추적할 항목에 따라 배포할 옵션을 선택합니다. 각 옵션은 서로 독립적입니다. 각 옵션에 관한 자세한 정보는 'Microsoft Exchange Security' wiki를 참조하세요.
- Microsoft Sentinel에 대한 로그를 수집하는 데 필요한 에이전트 다운로드 및 설치
서버 유형(Exchange 서버, Exchange 서버 또는 모든 도메인 컨트롤러에 연결된 도메인 컨트롤러)은 배포하려는 옵션에 따라 달라집니다.
- 선택한 옵션에 따라 로그 수집 배포
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.