Поделиться через

Журналы аудита администратора Microsoft Exchange по соединителю журналов событий для Microsoft Sentinel

  • Статья

[Вариант 1] С помощью агента Azure Monitor можно передавать все события аудита Exchange с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. Это используется книгами безопасности Microsoft Exchange для предоставления аналитических сведений о безопасности локальной среды Exchange.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics Мероприятие
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Сообщество

Примеры запросов

Все журналы аудита

Event 
| where EventLog == 'MSExchange Management' 
| sort by TimeGenerated

Необходимые компоненты

Чтобы интегрировать журналы аудита администратора Microsoft Exchange с помощью журналов событий, убедитесь, что у вас есть:

  • : Azure Log Analytics не рекомендуется собирать данные из виртуальных машин, отличных от Azure, рекомендуется использовать Azure Arc. Подробнее
  • Подробная документация. Примечание. >Подробные сведения о процедуре установки и использовании см. здесь.

Инструкции по установке поставщика

Примечание.

Это решение основано на параметрах. Это позволяет выбрать, какие данные будут получаться, так как некоторые параметры могут создавать очень большой объем данных. В зависимости от того, что вы хотите собрать, отслеживайте в книгах, правила аналитики, возможности охоты, которые будут развернуты. Каждый вариант не зависит от другого. Дополнительные сведения о каждом варианте: вики-сайт "Безопасность Microsoft Exchange"

Этот соединитель данных является вариантом 1 вики-сайта.

  1. Скачивание и установка агентов, необходимых для сбора журналов для Microsoft Sentinel

Тип серверов (серверы Exchange, контроллеры домена, связанные с серверами Exchange Или всеми контроллерами домена) зависят от варианта развертывания.

  1. [Вариант 1] Сбор журналов управления MS Exchange — журналы событий аудита администратора MS Exchange по правилам сбора данных

Журналы событий аудита администратора MS Exchange собираются с помощью правил сбора данных (DCR) и позволяют хранить все административные командлеты, выполняемые в среде Exchange.

Примечание.

Правильная работа этого соединителя данных зависит от средства синтаксического анализа на основе функции Kusto. Средства синтаксического анализа автоматически развертываются с помощью решения. Выполните действия по созданию псевдонима Функций Kusto: ExchangeAdminAuditLogs

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.