Udostępnij za pośrednictwem

Łącznik dzienników i zdarzeń programu Microsoft Exchange dla usługi Microsoft Sentinel

  • Artykuł

Wszystkie zdarzenia inspekcji programu Exchange, dzienniki usług IIS, dzienniki serwera proxy HTTP i dzienniki zdarzeń zabezpieczeń można przesyłać strumieniowo z maszyn z systemem Windows połączonych z obszarem roboczym usługi Microsoft Sentinel przy użyciu agenta systemu Windows. To połączenie umożliwia wyświetlanie pulpitów nawigacyjnych, tworzenie alertów niestandardowych i ulepszanie badania. Jest to używane przez skoroszyty zabezpieczeń programu Microsoft Exchange w celu zapewnienia szczegółowych informacji o zabezpieczeniach środowiska lokalnego programu Exchange

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Tabele usługi Log Analytics Zdarzenie
W3CIISLog
MessageTrackingLog_CL
ExchangeHttpProxy_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Community

Przykłady zapytań

Wszystkie dzienniki inspekcji

Event 
| where EventLog == 'MSExchange Management' 
| sort by TimeGenerated

Wymagania wstępne

Aby zintegrować z dziennikami i zdarzeniami programu Microsoft Exchange, upewnij się, że:

  • : Usługa Azure Log Analytics będzie przestarzała, aby zbierać dane z maszyn wirtualnych spoza platformy Azure, zaleca się usługę Azure Arc. Dowiedz się więcej

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która działa zgodnie z oczekiwaniami. Wykonaj kroki tworzenia aliasu usługi Kusto Functions: Exchange Administracja AuditLogs

Uwaga

To rozwiązanie jest oparte na opcjach. Dzięki temu można wybrać, które dane będą pozyskiwane, ponieważ niektóre opcje mogą wygenerować bardzo dużą ilość danych. W zależności od tego, co chcesz zbierać, śledzić w skoroszytach, regułach analizy, możliwościach wyszukiwania zagrożeń wybierzesz opcje, które zostaną wdrożone. Każda opcja jest niezależna od jednej z pozostałych. Aby dowiedzieć się więcej o każdej opcji: witryna typu wiki "Zabezpieczenia programu Microsoft Exchange"

  1. Pobieranie i instalowanie agentów potrzebnych do zbierania dzienników dla usługi Microsoft Sentinel

Typ serwerów (serwerów Exchange, kontrolerów domeny połączonych z serwerami Exchange lub wszystkich kontrolerów domeny) zależy od opcji, którą chcesz wdrożyć.

  1. Wdróż logowanie zgodnie z wybranymi opcjami

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.