Teilen über

Connector „Microsoft Exchange Logs and Events“ für Microsoft Sentinel

  • Artikel

Sie können alle Exchange-Überwachungsereignisse, IIS-Protokolle, HTTP-Proxyprotokolle und Sicherheitsereignisprotokolle der Windows-Computer streamen, die mit Ihrem Microsoft Sentinel-Arbeitsbereich verbunden sind, indem Sie den Windows-Agent verwenden. Diese Verbindung ermöglicht es Ihnen, Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und Untersuchungen zu verbessern. Dies wird von Microsoft Exchange-Sicherheitsarbeitsmappen verwendet, um Sicherheitserkenntnisse zu Ihrer lokalen Exchange-Umgebung zu gewinnen.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen Ereignis
W3CIISLog
MessageTrackingLog_CL
ExchangeHttpProxy_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Community

Abfragebeispiele

Alle Überwachungsprotokolle

Event 
| where EventLog == 'MSExchange Management' 
| sort by TimeGenerated

Voraussetzungen

Stellen Sie für die Integration in Microsoft Exchange Logs and Events sicher, dass Folgendes vorhanden ist:

  • ****: Azure Log Analytics wird ausgemustert. Für die Sammlung von Daten Azure-fremder VMs wird Azure Arc empfohlen. Weitere Informationen

Installationsanweisungen des Anbieters

Hinweis

Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert und erwartungsgemäß funktionieren muss. Führen Sie die Schritte aus, um den Kusto-Funktionsalias zu erstellen: ExchangeAdminAuditLogs.

Hinweis

Die Lösung basiert auf Optionen. Dadurch können Sie auswählen, welche Daten erfasst werden sollen, da einige Optionen ein sehr hohes Datenvolumen generieren können. Wählen Sie die Optionen aus, die Sie bereitstellen möchten – je nachdem, was Sie sammeln bzw. in Ihren Arbeitsmappen, Analyseregeln und Suchfunktionen nachverfolgen möchten. Jede Option ist unabhängig. Weitere Informationen zu den einzelnen Optionen finden Sie im Wiki zur Microsoft Exchange-Sicherheit.

  1. Laden Sie die Agents herunter, die zum Sammeln von Protokollen für Microsoft Sentinel erforderlich sind, und installieren Sie sie.

Der Servertyp (Exchange-Server, Mit Exchange-Servern verknüpfte Domänencontroller oder alle Domänencontroller) hängt von der Option ab, die Sie bereitstellen möchten.

  1. Stellen Sie die Protokollerfassung gemäß den ausgewählten Optionen bereit.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.