Dzienniki inspekcji administratora programu Microsoft Exchange według łącznika dzienników zdarzeń dla usługi Microsoft Sentinel
[Opcja 1] — Korzystanie z agenta usługi Azure Monitor — można przesyłać strumieniowo wszystkie zdarzenia inspekcji programu Exchange z komputerów z systemem Windows połączonych z obszarem roboczym usługi Microsoft Sentinel przy użyciu agenta systemu Windows. To połączenie umożliwia wyświetlanie pulpitów nawigacyjnych, tworzenie alertów niestandardowych i ulepszanie badania. Jest to używane przez skoroszyty zabezpieczeń programu Microsoft Exchange w celu zapewnienia szczegółowych informacji o zabezpieczeniach środowiska lokalnego programu Exchange
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
| Atrybut łącznika | opis |
|---|---|
| Tabele usługi Log Analytics | Zdarzenie |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Community |
Przykłady zapytań
Wszystkie dzienniki inspekcji
Event
| where EventLog == 'MSExchange Management'
| sort by TimeGenerated
Wymagania wstępne
Aby zintegrować z dziennikami inspekcji administratora programu Microsoft Exchange według dzienników zdarzeń, upewnij się, że:
- : Usługa Azure Log Analytics będzie przestarzała, aby zbierać dane z maszyn wirtualnych spoza platformy Azure, zaleca się usługę Azure Arc. Dowiedz się więcej
- Szczegółowa dokumentacja: UWAGA: >Szczegółowa dokumentacja dotycząca procedury instalacji i użycia można znaleźć tutaj
Instrukcje instalacji dostawcy
Uwaga
To rozwiązanie jest oparte na opcjach. Dzięki temu można wybrać, które dane będą pozyskiwane, ponieważ niektóre opcje mogą wygenerować bardzo dużą ilość danych. W zależności od tego, co chcesz zbierać, śledzić w skoroszytach, regułach analizy, możliwościach wyszukiwania zagrożeń wybierzesz opcje, które zostaną wdrożone. Każda opcja jest niezależna od jednej z pozostałych. Aby dowiedzieć się więcej o każdej opcji: witryna typu wiki "Zabezpieczenia programu Microsoft Exchange"
Ten łącznik danych jest opcją 1 strony typu wiki.
- Pobieranie i instalowanie agentów potrzebnych do zbierania dzienników dla usługi Microsoft Sentinel
Typ serwerów (serwerów Exchange, kontrolerów domeny połączonych z serwerami Exchange lub wszystkich kontrolerów domeny) zależy od opcji, którą chcesz wdrożyć.
- [Opcja 1] Zbieranie dzienników zarządzania programu MS Exchange — dzienniki zdarzeń inspekcji administratora programu MS Exchange według reguł zbierania danych
Dzienniki zdarzeń inspekcji administratora programu MS Exchange są zbierane przy użyciu reguł zbierania danych (DCR) i umożliwiają przechowywanie wszystkich poleceń cmdlet administracyjnych wykonywanych w środowisku programu Exchange.
Uwaga
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która działa zgodnie z oczekiwaniami. Analizatory są wdrażane automatycznie za pomocą rozwiązania. Wykonaj kroki, aby utworzyć alias usługi Kusto Functions: ExchangeAdminAuditLogs
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.