Microsoft Sentinel için Microsoft Exchange Günlükleri ve Olayları bağlayıcısı
Windows aracısını kullanarak Microsoft Sentinel çalışma alanınıza bağlı Windows makinelerinden tüm Exchange Denetim olaylarının, IIS Günlüklerinin, HTTP Proxy günlüklerinin ve Güvenlik Olay günlüklerinin akışını yapabilirsiniz. Bu bağlantı panoları görüntülemenizi, özel uyarılar oluşturmanızı ve araştırmayı geliştirmenizi sağlar. Bu, Şirket İçi Exchange ortamınızla ilgili güvenlik içgörüleri sağlamak için Microsoft Exchange Güvenlik Çalışma Kitapları tarafından kullanılır
Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.
Bağlan or öznitelikleri
| Bağlan or özniteliği | Açıklama |
|---|---|
| Log Analytics tabloları | Etkinlik W3CIISLog MessageTrackingLog_CL ExchangeHttpProxy_CL |
| Veri toplama kuralları desteği | Şu anda desteklenmiyor |
| Destekleyen: | Community |
Sorgu örnekleri
Tüm Denetim günlükleri
Event
| where EventLog == 'MSExchange Management'
| sort by TimeGenerated
Önkoşullar
Microsoft Exchange Günlükleri ve Olayları ile tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:
- : Azure Log Analytics kullanım dışı bırakılacaktır ve Azure Arc olmayan VM'lerden veri toplamak için Azure Arc önerilir. Daha fazla bilgi edinin
Satıcı yükleme yönergeleri
Not
Bu veri bağlayıcısı, kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. Kusto İşlevleri diğer adını oluşturmak için adımları izleyin: Exchange Yönetici AuditLogs
Not
Bu çözüm, seçenekleri temel alır. Bu, bazı seçeneklerin çok yüksek hacimli veriler oluşturabileceği için hangi verilerin alınacağını seçmenize olanak tanır. Ne toplamak istediğinize bağlı olarak, Çalışma Kitaplarınızda, Analiz Kurallarınızda, Tehdit Avcılığı özelliklerinizde, dağıtacağınız seçenekleri belirlersiniz. Her seçenek birbirinden bağımsızdır. Her seçenek hakkında daha fazla bilgi edinmek için: 'Microsoft Exchange Security' wiki
- Microsoft Sentinel günlüklerini toplamak için gereken aracıları indirme ve yükleme
Sunucuların türü (Exchange Sunucuları, Exchange Sunucularına bağlı Etki Alanı Denetleyicileri veya tüm Etki Alanı Denetleyicileri) dağıtmak istediğiniz seçeneğe bağlıdır.
- Log injestion'ı belirtilen seçeneklerden sonra dağıtma
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.