Поделиться через

Соединитель журналов отслеживания сообщений Microsoft Exchange для Microsoft Sentinel

  • Статья

[Вариант 6] С помощью агента Azure Monitor можно передавать все сообщения Exchange с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Эти журналы можно использовать для отслеживания потока сообщений в среде Exchange. Этот соединитель данных основан на варианте 6 вики-сайта Безопасности Microsoft Exchange.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics MessageTrackingLog_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Сообщество

Примеры запросов

Журналы отслеживания сообщений Exchange

MessageTrackingLog_CL 
| sort by TimeGenerated

Необходимые компоненты

Чтобы интегрировать журналы отслеживания сообщений Microsoft Exchange, убедитесь, что у вас есть:

  • Azure Log Analytics будет нерекомендуем: Azure Log Analytics будет не рекомендуется собирать данные из виртуальных машин, отличных от Azure, Azure Arc рекомендуется. Подробнее
  • Подробная документация. Примечание. >Подробные сведения о процедуре установки и использовании см. здесь.

Инструкции по установке поставщика

Примечание.

Это решение основано на параметрах. Это позволяет выбрать, какие данные будут получаться, так как некоторые параметры могут создавать очень большой объем данных. В зависимости от того, что вы хотите собрать, отслеживайте в книгах, правила аналитики, возможности охоты, которые будут развернуты. Каждый вариант не зависит от другого. Дополнительные сведения о каждом варианте: вики-сайт "Безопасность Microsoft Exchange"

Этот соединитель данных является вариантом 6 вики-сайта.

  1. Скачивание и установка агентов, необходимых для сбора журналов для Microsoft Sentinel

Тип серверов (серверы Exchange, контроллеры домена, связанные с серверами Exchange Или всеми контроллерами домена) зависят от варианта развертывания.

  1. Отслеживание сообщений серверов Exchange Server

Выбор способа потоковой передачи отслеживания сообщений сервера Exchange Server

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.