Share via

Conector de eventos y registros de Microsoft Exchange para Microsoft Sentinel

  • Artículo

Puede transmitir todos los eventos de auditoría de Exchange, registros de IIS, registros de proxy HTTP y registros de eventos de seguridad desde las máquinas Windows conectadas al área de trabajo de Microsoft Sentinel mediante el agente de Windows. Esta conexión le permite ver paneles, crear alertas personalizadas y mejorar la investigación, Los libros de seguridad de Microsoft Exchange lo usan para proporcionar información de seguridad del entorno local de Exchange.

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics Evento
W3CIISLog
MessageTrackingLog_CL
ExchangeHttpProxy_CL
Compatibilidad con reglas de recopilación de datos No se admite actualmente.
Compatible con Comunidad

Ejemplos de consultas

Todos los registros de auditoría

Event 
| where EventLog == 'MSExchange Management' 
| sort by TimeGenerated

Requisitos previos

Para realizar la integración con los registros y eventos de Microsoft Exchange, asegúrese de que tiene:

  • : Azure Log Analytics quedará en desuso para recopilar datos de máquinas virtuales que no son de Azure, se recomienda Azure Arc. Más información

Instrucciones de instalación del proveedor

Nota

Este conector de datos depende de un analizador basado en una función de Kusto para funcionar según lo previsto. Siga los pasos para crear el alias de Funciones de Kusto: ExchangeAdminAuditLogs

Nota:

Esta solución se basa en opciones. Esto le permite elegir qué datos se ingerirán, ya que algunas opciones pueden generar un gran volumen de datos. En función de lo que quiera recopilar, realice un seguimiento en los libros, reglas de análisis, funcionalidades de búsqueda, elegirá las opciones que implementará. Cada opción es independiente para una de la otra. Para obtener más información sobre cada opción: wiki "Seguridad de Microsoft Exchange"

  1. Descarga e instalación de los agentes necesarios para recopilar registros de Microsoft Sentinel

El tipo de servidores (servidores Exchange, controladores de dominio vinculados a servidores de Exchange o a todos los controladores de dominio) depende de la opción que quiera implementar.

  1. Implementación de la injestión de registro siguiendo las opciones elegidas

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.