Megosztás a következőn keresztül:

Microsoft Exchange Logs and Events connector for Microsoft Sentinel

  • Cikk

A Microsoft Sentinel-munkaterülethez csatlakoztatott Windows-gépekről streamelheti az összes Exchange-naplózási eseményt, IIS-naplót, HTTP-proxynaplót és biztonsági eseménynaplót a Windows-ügynök használatával. Ez a kapcsolat lehetővé teszi irányítópultok megtekintését, egyéni riasztások létrehozását és a vizsgálat javítását. Ezt a Microsoft Exchange biztonsági munkafüzetek használják a helyszíni Exchange-környezet biztonsági elemzéséhez

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Log Analytics-tábla(ok) Esemény
W3CIISLog
MessageTrackingLog_CL
ExchangeHttpProxy_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Közösség

Példák lekérdezésekre

Minden naplózási napló

Event 
| where EventLog == 'MSExchange Management' 
| sort by TimeGenerated

Előfeltételek

A Microsoft Exchange-naplókkal és -eseményekkel való integrációhoz győződjön meg arról, hogy rendelkezik a következőkkel:

  • : Az Azure Log Analytics elavult, a nem Azure-beli virtuális gépekről történő adatgyűjtéshez az Azure Arc használata ajánlott. További információ

Szállító telepítési útmutatója

Feljegyzés

Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, hogy a várt módon működjön. Kövesse az alábbi lépéseket a Kusto Functions aliasának létrehozásához: Exchange Rendszergazda AuditLogs

Feljegyzés

Ez a megoldás a lehetőségeken alapul. Ez lehetővé teszi, hogy eldöntse, mely adatok legyenek betöltve, mivel egyes lehetőségek nagyon nagy mennyiségű adatot generálhatnak. Attól függően, hogy mit szeretne gyűjteni, kövesse nyomon a munkafüzetekben, az elemzési szabályokban és a vadászati képességekben az üzembe helyezendő lehetőségeket. Minden beállítás egymástól független. További információ az egyes lehetőségekről: "Microsoft Exchange Security" wiki

  1. A Microsoft Sentinel naplóinak gyűjtéséhez szükséges ügynökök letöltése és telepítése

A kiszolgálók típusa (Exchange-kiszolgálók, Exchange-kiszolgálókhoz csatolt tartományvezérlők vagy az összes tartományvezérlő) az üzembe helyezni kívánt beállítástól függ.

  1. A naplóbetöltés üzembe helyezése a kiválasztott beállításokat követve

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.