Bagikan melalui

Konektor Microsoft Exchange Logs and Events untuk Microsoft Azure Sentinel

  • Artikel

Anda dapat melakukan streaming semua peristiwa Audit Exchange, Log IIS, log Proksi HTTP, dan log Peristiwa Keamanan dari komputer Windows yang tersambung ke ruang kerja Microsoft Azure Sentinel Anda menggunakan agen Windows. Koneksi ini memungkinkan Anda melihat dasbor, membuat pemberitahuan kustom, dan meningkatkan penyelidikan. Ini digunakan oleh Buku Kerja Keamanan Microsoft Exchange untuk memberikan wawasan keamanan tentang lingkungan Pertukaran Lokal Anda

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

atribut Koneksi or

Atribut konektor Deskripsi
Tabel Log Analytics Kejadian
W3CIISLog
MessageTrackingLog_CL
ExchangeHttpProxy_CL
Dukungan aturan pengumpulan data Saat ini tidak didukung
Didukung oleh Comunity

Kueri sampel

Semua log Audit

Event 
| where EventLog == 'MSExchange Management' 
| sort by TimeGenerated

Prasyarat

Untuk berintegrasi dengan Log dan Peristiwa Microsoft Exchange, pastikan Anda memiliki:

  • : Azure Log Analytics tidak akan digunakan lagi, untuk mengumpulkan data dari VM non-Azure, Azure Arc disarankan. Pelajari lebih lanjut

Instruksi penginstalan vendor

Catatan

Konektor data ini bergantung pada parser berdasarkan Fungsi Kusto agar berfungsi seperti yang diharapkan. Ikuti langkah-langkah untuk membuat alias Fungsi Kusto : ExchangeAdminAuditLogs

Catatan

Solusi ini didasarkan pada opsi. Ini memungkinkan Anda untuk memilih data mana yang akan diserap karena beberapa opsi dapat menghasilkan volume data yang sangat tinggi. Bergantung pada apa yang ingin Anda kumpulkan, lacak di Buku Kerja, Aturan Analitik, Kemampuan berburu, Anda akan memilih opsi yang akan Anda sebarkan. Setiap opsi independen untuk satu dari yang lain. Untuk mempelajari selengkapnya tentang setiap opsi: Wiki 'Microsoft Exchange Security'

  1. Mengunduh dan menginstal agen yang diperlukan untuk mengumpulkan log untuk Microsoft Azure Sentinel

Jenis server (Server Exchange, Pengendali Domain yang ditautkan ke Server Exchange atau semua Pengendali Domain) bergantung pada opsi yang ingin Anda sebarkan.

  1. Menyebarkan injesi log dengan mengikuti opsi yang dipilih

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.