Share via

Conector de Logs e Eventos do Microsoft Exchange para Microsoft Sentinel

  • Artigo

Você pode transmitir todos os eventos de Auditoria do Exchange, Logs do IIS, logs de Proxy HTTP e logs de eventos de segurança dos computadores Windows conectados ao workspace do Microsoft Sentinel usando o agente do Windows. Essa conexão permite que você veja painéis de controle, crie alertas personalizados e aprimore investigações. Isso é usado pelas Pastas de Trabalho de Segurança do Microsoft Exchange para fornecer insights de segurança do seu ambiente do Exchange local

Esse conteúdo foi gerado automaticamente. Para sugerir alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics Evento
W3CIISLog
MessageTrackingLog_CL
ExchangeHttpProxy_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Comunidade

Exemplos de consulta

Todos os logs de auditoria

Event 
| where EventLog == 'MSExchange Management' 
| sort by TimeGenerated

Pré-requisitos

Para integrar-se aos Logs e Eventos do Microsoft Exchange, verifique se você tem:

  • ****: o Azure Log Analytics será preterido, para coletar dados de VMs não Azure, recomenda-se o Azure Arc. Saiba mais

Instruções de instalação do fornecedor

Observação

Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado. Siga as etapas para criar o alias do Kusto Functions: ExchangeAdminAuditLogs

Observação

Essa solução é baseada em opções. Isso permite que você escolha quais dados serão ingeridos, pois algumas opções podem gerar um volume muito alto de dados. Dependendo do que você deseja coletar, acompanhe suas pastas de trabalho, regras de análise, recursos de busca, você escolherá as opções que você implantará. Cada opção é independente para uma da outra. Para saber mais sobre cada opção: wiki do “Microsoft Exchange Security”

  1. Baixar e instalar os agentes necessários para coletar logs para o Microsoft Sentinel

O tipo de servidores (Servidores Exchange, Controladores de Domínio vinculados a Servidores Exchange ou todos os Controladores de Domínio) depende da opção que você deseja implantar.

  1. Implantar a injeção de log seguindo as opções escolhidas

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.