Share via

Microsoft Exchange-logboeken en -gebeurtenissenconnector voor Microsoft Sentinel

  • Artikel

U kunt alle Exchange-auditgebeurtenissen, IIS-logboeken, HTTP-proxylogboeken en beveiligingsgebeurtenislogboeken streamen vanaf de Windows-machines die zijn verbonden met uw Microsoft Sentinel-werkruimte met behulp van de Windows-agent. Met deze verbinding kunt u dashboards weergeven, aangepaste waarschuwingen maken en onderzoek verbeteren. Dit wordt gebruikt door Microsoft Exchange-beveiligingswerkmappen om beveiligingsinzichten te bieden voor uw on-premises Exchange-omgeving

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Verbinding maken orkenmerken

Verbinding maken orkenmerk Beschrijving
Log Analytics-tabellen Gebeurtenis
W3CIISLog
MessageTrackingLog_CL
ExchangeHttpProxy_CL
Ondersteuning voor regels voor gegevensverzameling Wordt momenteel niet ondersteund
Ondersteund door Community

Voorbeelden van query's

Alle auditlogboeken

Event 
| where EventLog == 'MSExchange Management' 
| sort by TimeGenerated

Vereisten

Als u wilt integreren met Microsoft Exchange-logboeken en -gebeurtenissen, moet u het volgende doen:

  • : Azure Log Analytics wordt afgeschaft om gegevens te verzamelen van niet-Azure-VM's. Azure Arc wordt aanbevolen. Meer informatie

Installatie-instructies van leverancier

Notitie

Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht. Volg de stappen om de Kusto Functions-alias te maken: Exchange Beheer AuditLogs

Notitie

Deze oplossing is gebaseerd op opties. Hiermee kunt u kiezen welke gegevens worden opgenomen, omdat sommige opties een zeer groot aantal gegevens kunnen genereren. Afhankelijk van wat u wilt verzamelen, kunt u bijhouden in uw werkmappen, analyseregels, opsporingsmogelijkheden, kiest u de opties die u gaat implementeren. Elke optie is onafhankelijk van elkaar. Voor meer informatie over elke optie: wiki 'Microsoft Exchange Security'

  1. Download en installeer de agents die nodig zijn voor het verzamelen van logboeken voor Microsoft Sentinel

Het type servers (Exchange-servers, domeincontrollers gekoppeld aan Exchange-servers of alle domeincontrollers) is afhankelijk van de optie die u wilt implementeren.

  1. Loginjestion implementeren volgens gekozen opties

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.