Auditlogboeken van Microsoft Exchange-beheerder per connector voor gebeurtenislogboeken voor Microsoft Sentinel
[Optie 1] - Met behulp van Azure Monitor Agent kunt u alle Exchange-controlegebeurtenissen streamen vanaf de Windows-machines die zijn verbonden met uw Microsoft Sentinel-werkruimte met behulp van de Windows-agent. Met deze verbinding kunt u dashboards weergeven, aangepaste waarschuwingen maken en onderzoek verbeteren. Dit wordt gebruikt door Microsoft Exchange-beveiligingswerkmappen om beveiligingsinzichten te bieden voor uw on-premises Exchange-omgeving
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Connectorkenmerken
| Kenmerk connector | Beschrijving |
|---|---|
| Log Analytics-tabellen | Gebeurtenis |
| Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
| Ondersteund door | Community |
Voorbeelden van query's
Alle auditlogboeken
Event
| where EventLog == 'MSExchange Management'
| sort by TimeGenerated
Vereisten
Als u wilt integreren met auditlogboeken van Microsoft Exchange-beheerders per gebeurtenislogboek, moet u het volgende doen:
- : Azure Log Analytics wordt afgeschaft om gegevens te verzamelen van niet-Azure-VM's. Azure Arc wordt aanbevolen. Meer informatie
- Gedetailleerde documentatie: OPMERKING: >Gedetailleerde documentatie over de installatieprocedure en het gebruik vindt u hier
Installatie-instructies van leverancier
Notitie
Deze oplossing is gebaseerd op opties. Hiermee kunt u kiezen welke gegevens worden opgenomen, omdat sommige opties een zeer groot aantal gegevens kunnen genereren. Afhankelijk van wat u wilt verzamelen, kunt u bijhouden in uw werkmappen, analyseregels, opsporingsmogelijkheden, kiest u de opties die u gaat implementeren. Elke optie is onafhankelijk van elkaar. Voor meer informatie over elke optie: wiki 'Microsoft Exchange Security'
Deze gegevensconnector is de optie 1 van de wiki.
- Download en installeer de agents die nodig zijn voor het verzamelen van logboeken voor Microsoft Sentinel
Het type servers (Exchange-servers, domeincontrollers gekoppeld aan Exchange-servers of alle domeincontrollers) is afhankelijk van de optie die u wilt implementeren.
- [Optie 1] Verzameling MS Exchange-beheerlogboeken - Gebeurtenislogboeken van MS Exchange-beheerder controleren op gegevensverzamelingsregels
De ms Exchange Admin Audit-gebeurtenislogboeken worden verzameld met behulp van DCR (Data Collection Rules) en toestaan om alle beheer-cmdlets op te slaan die worden uitgevoerd in een Exchange-omgeving.
Notitie
Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht. Parsers worden automatisch geïmplementeerd met de oplossing. Volg de stappen om de Kusto Functions-alias te maken: ExchangeAdminAuditLogs
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.