Conector de Logs e Eventos do Microsoft Exchange para o Microsoft Sentinel
Você pode transmitir todos os eventos de Auditoria do Exchange, Logs do IIS, logs de Proxy HTTP e logs de Eventos de Segurança das máquinas Windows conectadas ao seu espaço de trabalho do Microsoft Sentinel usando o agente do Windows. Essa conexão permite visualizar painéis, criar alertas personalizados e melhorar a investigação. Isso é usado pelas Pastas de Trabalho de Segurança do Microsoft Exchange para fornecer informações de segurança do seu ambiente Exchange local
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | Evento W3CIISLog MessageTrackingLog_CL ExchangeHttpProxy_CL |
Suporte a regras de coleta de dados | Não é suportado atualmente |
Apoiado por | Community |
Exemplos de consulta
Todos os logs de auditoria
Event
| where EventLog == 'MSExchange Management'
| sort by TimeGenerated
Pré-requisitos
Para integrar com os Logs e Eventos do Microsoft Exchange, certifique-se de:
- : O Azure Log Analytics será preterido, para coletar dados de VMs que não sejam do Azure, o Azure Arc é recomendado. Mais informações
Instruções de instalação do fornecedor
Nota
Este conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado. Siga as etapas para criar o alias Kusto Functions: ExchangeAdminAuditLogs
Nota
Esta solução baseia-se em opções. Isso permite que você escolha quais dados serão ingeridos, pois algumas opções podem gerar um volume muito alto de dados. Dependendo do que você deseja coletar, acompanhe em suas pastas de trabalho, regras de análise, recursos de busca que você escolherá a(s) opção(ões) que implantará. Cada opção é independente para uma da outra. Para saber mais sobre cada opção: wiki 'Segurança do Microsoft Exchange'
- Baixe e instale os agentes necessários para coletar logs para o Microsoft Sentinel
O tipo de servidores (Servidores Exchange, Controladores de Domínio vinculados a Servidores Exchange ou todos os Controladores de Domínio) depende da opção que você deseja implantar.
- Implantar a ingestão de logs seguindo as opções escolhidas
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.