Compartilhar via

Conector dos Logs de Auditoria do Administrador do Microsoft Exchange por Logs de Eventos para Microsoft Sentinel

  • Artigo

[Opção 1] – Usando o agente do Azure Monitor – Você pode transmitir todos os eventos de auditoria do Exchange dos computadores Windows conectados ao seu espaço de trabalho do Microsoft Sentinel usando o agente do Windows. Essa conexão permite que você veja painéis de controle, crie alertas personalizados e aprimore investigações. Isso é usado pelas Pastas de Trabalho de Segurança do Microsoft Exchange para fornecer insights de segurança do seu ambiente do Exchange local

Esse conteúdo foi gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics Evento
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Comunidade

Exemplos de consulta

Todos os logs de auditoria

Event 
| where EventLog == 'MSExchange Management' 
| sort by TimeGenerated

Pré-requisitos

Para integrar-se aos Logs de Auditoria do Administrador do Microsoft Exchange por Logs de Eventos, verifique se você tem:

  • ****: o Azure Log Analytics será preterido, para coletar dados de VMs não Azure, recomenda-se o Azure Arc. Saiba mais
  • Documentação detalhada: >OBSERVÇÃO: a documentação detalhada sobre o procedimento de instalação e uso pode ser encontrada aqui

Instruções de instalação do fornecedor

Observação

Essa solução é baseada em opções. Isso permite que você escolha quais dados serão ingeridos, pois algumas opções podem gerar um volume muito alto de dados. Dependendo do que você deseja coletar, acompanhe suas pastas de trabalho, regras de análise, recursos de busca, você escolherá as opções que você implantará. Cada opção é independente uma da outra. Para saber mais sobre cada opção: wiki do “Microsoft Exchange Security”

Esse conector de dados é a opção 1 do wiki.

  1. Baixar e instalar os agentes necessários para coletar logs para o Microsoft Sentinel

O tipo de servidores (Servidores Exchange, Controladores de Domínio vinculados a Servidores Exchange ou todos os Controladores de Domínio) depende da opção que você deseja implantar.

  1. [Opção 1] Coleção de Logs de Gerenciamento do MS Exchange – Logs de eventos de Auditoria do Administrador do MS Exchange por Regras de Coleta de Dados

Os logs de eventos de Auditoria do Administrador do MS Exchange são coletados usando o DCR (Regras de Coleta de Dados) e permitem armazenar todos os Cmdlets Administrativos executados em um ambiente do Exchange.

Observação

Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado. Os analisadores são implantados automaticamente com a solução. Siga as etapas para criar o alias do Kusto Functions: ExchangeAdminAuditLogs

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.