مشاركة عبر

موصل سجلات وأحداث Microsoft Exchange ل Microsoft Sentinel

  • مقالة

يمكنك دفق جميع أحداث تدقيق Exchange وسجلات IIS وسجلات وكيل HTTP وسجلات أحداث الأمان من أجهزة Windows المتصلة بمساحة عمل Microsoft Sentinel باستخدام عامل Windows. يمكنك هذا الاتصال من عرض لوحات المعلومات وإنشاء تنبيهات مخصصة وتحسين التحقيق. يتم استخدام هذا بواسطة مصنفات أمان Microsoft Exchange لتوفير رؤى أمان لبيئة Exchange المحلية

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الاتصال أو

سمة الموصل ‏‏الوصف
جدول (جداول) Log Analytics الحدث
W3CIISLog
MessageTrackingLog_CL
ExchangeHttpProxy_CL
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل Community

عينات الاستعلام

كافة سجلات التدقيق

Event 
| where EventLog == 'MSExchange Management' 
| sort by TimeGenerated

المتطلبات الأساسية

للتكامل مع Microsoft Exchange Logs and Events تأكد من أن لديك:

  • : سيتم إهمال Azure Log Analytics، لجمع البيانات من الأجهزة الظاهرية غير Azure، يوصى باستخدام Azure Arc. معرفة المزيد

إرشادات تثبيت المورد

إشعار

يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع. اتبع الخطوات لإنشاء الاسم المستعار لوظائف Kusto : Exchange مسؤول AuditLogs

إشعار

يستند هذا الحل إلى الخيارات. يسمح لك هذا باختيار البيانات التي سيتم استيعابها حيث يمكن لبعض الخيارات إنشاء حجم كبير جدا من البيانات. استنادا إلى ما تريد جمعه، يمكنك تعقبه في المصنفات وقواعد التحليلات وإمكانيات التتبع التي ستختار الخيار (الخيارات) التي ستقوم بنشرها. كل خيار مستقل عن الآخر. لمعرفة المزيد حول كل خيار: "أمان Microsoft Exchange" wiki

  1. قم بتنزيل وتثبيت العوامل اللازمة لجمع سجلات Microsoft Sentinel

يعتمد نوع الخوادم (خوادم Exchange أو وحدات التحكم بالمجال المرتبطة بخوادم Exchange أو جميع وحدات التحكم بالمجال) على الخيار الذي تريد نشره.

  1. نشر تسجيل الدخول باتباع الخيارات التي تم اختيارها

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.