Microsoft Sentinel용 이벤트 로그 커넥터별 Microsoft Exchange 관리자 감사 로그
[옵션 1] - Azure Monitor 에이전트 사용 - Windows 에이전트를 사용하여 Microsoft Sentinel 작업 영역에 연결된 Windows 컴퓨터에서 모든 Exchange 감사 이벤트를 스트리밍할 수 있습니다. 이 연결을 사용하여 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선할 수 있습니다. 이는 Microsoft Exchange 보안 통합 문서에서 온-프레미스 Exchange 환경의 보안 인사이트를 제공하는 데 사용됩니다.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성 | 설명 |
---|---|
Log Analytics 테이블 | 이벤트 |
데이터 수집 규칙 지원 | 현재 지원되지 않음 |
다음에서 지원 | 커뮤니티 |
모든 감사 로그
Event
| where EventLog == 'MSExchange Management'
| sort by TimeGenerated
이벤트 로그별로 Microsoft Exchange 관리자 감사 로그와 통합하려면 다음이 있는지 확인합니다.
- ****: Azure Log Analytics는 사용되지 않으며, 비 Azure VM에서 데이터를 수집하려면 Azure Arc를 사용하는 것이 좋습니다. 자세한 정보
- 자세한 설명서: >참고: 설치 절차 및 사용에 대한 자세한 설명서는 여기에서 찾을 수 있습니다.
참고
이 솔루션은 옵션을 기반으로 합니다. 이렇게 하면 일부 옵션에서 매우 많은 양의 데이터를 생성할 수 있으므로 수집할 데이터를 선택할 수 있습니다. 통합 문서, 분석 규칙, 헌팅 기능에서 수집하고 추적할 항목에 따라 배포할 옵션을 선택합니다. 각 옵션은 서로 독립적입니다. 각 옵션에 관한 자세한 정보는 'Microsoft Exchange Security' wiki를 참조하세요.
이 데이터 커넥터는 위키의 옵션 1 입니다.
- Microsoft Sentinel에 대한 로그를 수집하는 데 필요한 에이전트 다운로드 및 설치
서버 유형(Exchange 서버, Exchange 서버 또는 모든 도메인 컨트롤러에 연결된 도메인 컨트롤러)은 배포하려는 옵션에 따라 달라집니다.
- [옵션 1] MS Exchange 관리 로그 컬렉션 - 데이터 수집 규칙에 의한 MS Exchange 관리자 감사 이벤트 로그
MS Exchange 관리자 감사 이벤트 로그는 DCR(데이터 수집 규칙)을 사용하여 수집되며 Exchange 환경에서 실행된 모든 관리 Cmdlet을 저장할 수 있습니다.
참고
이 데이터 커넥터는 정상적으로 작동하기 위해 Kusto 함수를 기반으로 하는 파서를 사용합니다. 구문 분석기는 솔루션과 함께 자동으로 배포됩니다. 다음 단계에 따라 Kusto Functions 별칭을 만듭니다. ExchangeAdminAuditLogs
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.