Connettore di log ed eventi di Microsoft Exchange per Microsoft Sentinel

  • Articolo

È possibile trasmettere tutti gli eventi di Controllo di Exchange, i log IIS, i log proxy HTTP e i log eventi di sicurezza dai computer Windows connessi all'area di lavoro di Microsoft Sentinel usando l'agente di Windows. Questa connessione consente di visualizzare dashboard, creare avvisi personalizzati e migliorare l'analisi. Viene usato dalle cartelle di lavoro di sicurezza di Microsoft Exchange per fornire informazioni dettagliate sulla sicurezza dell'ambiente Exchange locale

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Tabelle di Log Analytics Event
W3CIISLog
MessageTrackingLog_CL
ExchangeHttpProxy_CL
Supporto delle regole di raccolta dati Non è al momento supportato
Supportata da: Community

Esempi di query

Tutti i log di controllo

Event 
| where EventLog == 'MSExchange Management' 
| sort by TimeGenerated

Prerequisiti

Per eseguire l'integrazione con i log e gli eventi di Microsoft Exchange, assicurarsi di disporre di:

  • : Azure Log Analytics sarà deprecato, per raccogliere dati da macchine virtuali non di Azure, è consigliabile usare Azure Arc. Ulteriori informazioni

Istruzioni di installazione fornitore

Nota

Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto. Seguire la procedura per creare l'alias delle funzioni Kusto : Exchange Amministrazione AuditLogs

Nota

Questa soluzione si basa sulle opzioni. In questo modo è possibile scegliere quali dati verranno inseriti perché alcune opzioni possono generare un volume di dati molto elevato. A seconda di ciò che si vuole raccogliere, tenere traccia delle cartelle di lavoro, delle regole di analisi, delle funzionalità di ricerca, scegliere le opzioni che verranno distribuite. Ogni opzione è indipendente per una dall'altra. Per altre informazioni su ogni opzione: Wiki "Microsoft Exchange Security"

  1. Scaricare e installare gli agenti necessari per raccogliere i log per Microsoft Sentinel

Il tipo di server (Server Exchange, controller di dominio collegati a Server Exchange o a tutti i controller di dominio) dipende dall'opzione da distribuire.

  1. Distribuire l'accesso injestion seguendo le opzioni scelte

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.