Microsoft Exchange-loggar och -händelseanslutningsprogram för Microsoft Sentinel
Du kan strömma alla Exchange Audit-händelser, IIS-loggar, HTTP-proxyloggar och säkerhetshändelseloggar från De Windows-datorer som är anslutna till din Microsoft Sentinel-arbetsyta med hjälp av Windows-agenten. Med den här anslutningen kan du visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Detta används av Microsoft Exchange-säkerhetsarbetsböcker för att ge säkerhetsinsikter för din lokala Exchange-miljö
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
| Anslut ellerattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | Event W3CIISLog MessageTrackingLog_CL ExchangeHttpProxy_CL |
| Stöd för regler för datainsamling | Stöds för närvarande inte |
| Stöds av | Webbgrupp |
Exempel på frågor
Alla granskningsloggar
Event
| where EventLog == 'MSExchange Management'
| sort by TimeGenerated
Förutsättningar
Om du vill integrera med Microsoft Exchange-loggar och -händelser kontrollerar du att du har:
- : Azure Log Analytics kommer att bli inaktuellt för att samla in data från virtuella datorer som inte är Azure, rekommenderas Azure Arc. Läs mer
Installationsanvisningar för leverantör
Kommentar
Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat. Följ stegen för att skapa Kusto Functions-aliaset : ExchangeAdminAuditLogs
Kommentar
Den här lösningen baseras på alternativ. På så sätt kan du välja vilka data som ska matas in eftersom vissa alternativ kan generera en mycket stor mängd data. Beroende på vad du vill samla in, spåra i dina arbetsböcker, analysregler, jaktfunktioner väljer du de alternativ som du ska distribuera. Varje alternativ är oberoende av varandra. Mer information om varje alternativ: Wiki för Microsoft Exchange Security
- Ladda ned och installera de agenter som behövs för att samla in loggar för Microsoft Sentinel
Typ av servrar (Exchange-servrar, domänkontrollanter som är länkade till Exchange-servrar eller alla domänkontrollanter) beror på vilket alternativ du vill distribuera.
- Distribuera logginjestion genom att följa de alternativ som valts
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för