Dela via

Microsoft Exchange Admin Audit Logs by Event Logs Connector för Microsoft Sentinel

  • Artikel

[Alternativ 1] – Använda Azure Monitor Agent – Du kan strömma alla Exchange Audit-händelser från Windows-datorer som är anslutna till din Microsoft Sentinel-arbetsyta med hjälp av Windows-agenten. Med den här anslutningen kan du visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Detta används av Microsoft Exchange-säkerhetsarbetsböcker för att ge säkerhetsinsikter för din lokala Exchange-miljö

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslutningsattribut

Anslutningsattribut beskrivning
Log Analytics-tabeller Event
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Webbgrupp

Exempel på frågor

Alla granskningsloggar

Event 
| where EventLog == 'MSExchange Management' 
| sort by TimeGenerated

Förutsättningar

Om du vill integrera med Granskningsloggar för Microsoft Exchange-administratörer efter händelseloggar kontrollerar du att du har:

  • : Azure Log Analytics kommer att bli inaktuellt för att samla in data från virtuella datorer som inte är Azure, rekommenderas Azure Arc. Läs mer
  • Detaljerad dokumentation: >OBS! Detaljerad dokumentation om installationsprocedur och användning finns här

Installationsanvisningar för leverantör

Kommentar

Den här lösningen baseras på alternativ. På så sätt kan du välja vilka data som ska matas in eftersom vissa alternativ kan generera en mycket stor mängd data. Beroende på vad du vill samla in, spåra i dina arbetsböcker, analysregler, jaktfunktioner väljer du de alternativ som du ska distribuera. Varje alternativ är oberoende av varandra. Mer information om varje alternativ: Wiki för Microsoft Exchange Security

Den här dataanslutningsappen är alternativ 1 i wikin.

  1. Ladda ned och installera de agenter som behövs för att samla in loggar för Microsoft Sentinel

Typ av servrar (Exchange-servrar, domänkontrollanter som är länkade till Exchange-servrar eller alla domänkontrollanter) beror på vilket alternativ du vill distribuera.

  1. [Alternativ 1] Ms Exchange Management Log-insamling – MS Exchange Admin Granskningshändelseloggar efter regler för datainsamling

Händelseloggarna för MS Exchange-administratörsgranskning samlas in med hjälp av datainsamlingsregler (DCR) och tillåter lagring av alla administrativa cmdletar som körs i en Exchange-miljö.

Kommentar

Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat. Parsers distribueras automatiskt med lösningen. Följ stegen för att skapa Kusto Functions-aliaset : ExchangeAdminAuditLogs

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.