Microsoft Exchange Logs and Events connector for Microsoft Sentinel
A Microsoft Sentinel-munkaterülethez csatlakoztatott Windows-gépekről streamelheti az összes Exchange-naplózási eseményt, IIS-naplót, HTTP-proxynaplót és biztonsági eseménynaplót a Windows-ügynök használatával. Ez a kapcsolat lehetővé teszi irányítópultok megtekintését, egyéni riasztások létrehozását és a vizsgálat javítását. Ezt a Microsoft Exchange biztonsági munkafüzetek használják a helyszíni Exchange-környezet biztonsági elemzéséhez
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Csatlakozás or attribútumok
| Csatlakozás or attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | Esemény W3CIISLog MessageTrackingLog_CL ExchangeHttpProxy_CL |
| Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
| Támogatja: | Közösség |
Példák lekérdezésekre
Minden naplózási napló
Event
| where EventLog == 'MSExchange Management'
| sort by TimeGenerated
Előfeltételek
A Microsoft Exchange-naplókkal és -eseményekkel való integrációhoz győződjön meg arról, hogy rendelkezik a következőkkel:
- : Az Azure Log Analytics elavult, a nem Azure-beli virtuális gépekről történő adatgyűjtéshez az Azure Arc használata ajánlott. További információ
Szállító telepítési útmutatója
Feljegyzés
Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, hogy a várt módon működjön. Kövesse az alábbi lépéseket a Kusto Functions aliasának létrehozásához: Exchange Rendszergazda AuditLogs
Feljegyzés
Ez a megoldás a lehetőségeken alapul. Ez lehetővé teszi, hogy eldöntse, mely adatok legyenek betöltve, mivel egyes lehetőségek nagyon nagy mennyiségű adatot generálhatnak. Attól függően, hogy mit szeretne gyűjteni, kövesse nyomon a munkafüzetekben, az elemzési szabályokban és a vadászati képességekben az üzembe helyezendő lehetőségeket. Minden beállítás egymástól független. További információ az egyes lehetőségekről: "Microsoft Exchange Security" wiki
- A Microsoft Sentinel naplóinak gyűjtéséhez szükséges ügynökök letöltése és telepítése
A kiszolgálók típusa (Exchange-kiszolgálók, Exchange-kiszolgálókhoz csatolt tartományvezérlők vagy az összes tartományvezérlő) az üzembe helyezni kívánt beállítástól függ.
- A naplóbetöltés üzembe helyezése a kiválasztott beállításokat követve
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.