Partage via


Connecteur Journaux et événements de Microsoft Exchange pour Microsoft Sentinel

Vous pouvez transmettre en continu tous les événements d’audit Exchange, les journaux IIS, les journaux proxy HTTP et les journaux des événements de sécurité des machines Windows connectées à votre espace de travail Microsoft Sentinel à l’aide de l’agent Windows. Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer les investigations. Cela est utilisé par les classeurs de sécurité de Microsoft Exchange pour fournir des informations de sécurité sur votre environnement Exchange local

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics Événement
W3CIISLog
MessageTrackingLog_CL
ExchangeHttpProxy_CL
Support des Règles de collecte de données Non prise en charge pour le moment
Pris en charge par Communauté

Exemples de requête

Tous les journaux d’audit

Event 
| where EventLog == 'MSExchange Management' 
| sort by TimeGenerated

Prérequis

Pour intégrer les journaux et événements de Microsoft Exchange, vérifiez que vous disposez des éléments suivants :

  • ****: Azure Log Analytics est déconseillé. Pour collecter des données à partir de machines virtuelles non-Azure, Azure Arc est recommandé. En savoir plus

Instructions d’installation du fournisseur

Notes

Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour pouvoir fonctionner normalement. Suivez les étapes pour créer l’alias de fonction Kusto : ExchangeAdminAuditLogs

Remarque

Cette solution est basée sur des options. Cela vous permet de choisir les données qui seront ingérées, car certaines options peuvent générer un volume très élevé de données. Selon ce que vous souhaitez collecter et suivre dans vos classeurs, règles d’analyse et fonctionnalités de repérage, vous choisirez les options que vous déploierez. Toutes les options sont indépendantes les unes des autres. Pour en savoir plus sur chaque option : wiki « Sécurité Microsoft Exchange »

  1. Télécharger et installer les agents nécessaires pour collecter les journaux pour Microsoft Sentinel

Le type de serveurs (serveurs Exchange, contrôleurs de domaine liés à des serveurs Exchange ou tous les contrôleurs de domaine) dépend de l’option que vous souhaitez déployer.

  1. Déployer l’ingestion de journal en fonction des options choisies

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.