Соединитель журналов и событий Microsoft Exchange для Microsoft Sentinel
Вы можете передавать все события аудита Exchange, журналы IIS, журналы прокси-сервера HTTP и журналы событий безопасности с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. Это используется книгами безопасности Microsoft Exchange для предоставления аналитических сведений о безопасности локальной среды Exchange.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | Мероприятие W3CIISLog MessageTrackingLog_CL ExchangeHttpProxy_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Сообщество |
Примеры запросов
Все журналы аудита
Event
| where EventLog == 'MSExchange Management'
| sort by TimeGenerated
Необходимые компоненты
Чтобы интегрироваться с журналами и событиями Microsoft Exchange, убедитесь, что у вас есть:
- : Azure Log Analytics не рекомендуется собирать данные из виртуальных машин, отличных от Azure, рекомендуется использовать Azure Arc. Подробнее
Инструкции по установке поставщика
Примечание.
Правильная работа этого соединителя данных зависит от средства синтаксического анализа на основе функции Kusto. Выполните действия по созданию псевдонима Функций Kusto: Exchange Администратор AuditLogs
Примечание.
Это решение основано на параметрах. Это позволяет выбрать, какие данные будут получаться, так как некоторые параметры могут создавать очень большой объем данных. В зависимости от того, что вы хотите собрать, отслеживайте в книгах, правила аналитики, возможности охоты, которые будут развернуты. Каждый вариант не зависит от другого. Дополнительные сведения о каждом варианте: вики-сайт "Безопасность Microsoft Exchange"
- Скачивание и установка агентов, необходимых для сбора журналов для Microsoft Sentinel
Тип серверов (серверы Exchange, контроллеры домена, связанные с серверами Exchange Или всеми контроллерами домена) зависят от варианта развертывания.
- Развертывание журнала injestion после выбора параметров
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по