Logs de auditoria de administrador do Microsoft Exchange por conector de logs de eventos para o Microsoft Sentinel
[Opção 1] - Usando o Azure Monitor Agent - Você pode transmitir todos os eventos de Auditoria do Exchange das máquinas Windows conectadas ao seu espaço de trabalho do Microsoft Sentinel usando o agente do Windows. Essa conexão permite visualizar painéis, criar alertas personalizados e melhorar a investigação. Isso é usado pelas Pastas de Trabalho de Segurança do Microsoft Exchange para fornecer informações de segurança do seu ambiente Exchange local
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | Evento |
| Suporte a regras de coleta de dados | Não é suportado atualmente |
| Apoiado por | Community |
Exemplos de consulta
Todos os logs de auditoria
Event
| where EventLog == 'MSExchange Management'
| sort by TimeGenerated
Pré-requisitos
Para integrar com os Logs de Auditoria de Administração do Microsoft Exchange por Logs de Eventos, verifique se você tem:
- : O Azure Log Analytics será preterido, para coletar dados de VMs que não sejam do Azure, o Azure Arc é recomendado. Mais informações
- Documentação detalhada: >NOTA: Documentação detalhada sobre o procedimento de instalação e uso pode ser encontrada aqui
Instruções de instalação do fornecedor
Nota
Esta solução baseia-se em opções. Isso permite que você escolha quais dados serão ingeridos, pois algumas opções podem gerar um volume muito alto de dados. Dependendo do que você deseja coletar, acompanhe em suas pastas de trabalho, regras de análise, recursos de busca que você escolherá a(s) opção(ões) que implantará. Cada opção é independente para uma da outra. Para saber mais sobre cada opção: wiki 'Segurança do Microsoft Exchange'
Este conector de dados é a opção 1 do wiki.
- Baixe e instale os agentes necessários para coletar logs para o Microsoft Sentinel
O tipo de servidores (Servidores Exchange, Controladores de Domínio vinculados a Servidores Exchange ou todos os Controladores de Domínio) depende da opção que você deseja implantar.
- [Opção 1] Coleta de Log de Gerenciamento do MS Exchange - Logs de eventos de Auditoria de Administração do MS Exchange por Regras de Coleta de Dados
Os logs de eventos de Auditoria de Administração do MS Exchange são coletados usando Regras de Coleta de Dados (DCR) e permitem armazenar todos os Cmdlets Administrativos executados em um ambiente Exchange.
Nota
Este conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado. Os analisadores são implantados automaticamente com a solução. Siga as etapas para criar o alias Kusto Functions: ExchangeAdminAuditLogs
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.