Connector für Microsoft Exchange-Administratorüberwachungsprotokolle nach Ereignisprotokollen für Microsoft Sentinel
[Option 1] – Verwenden des Azure Monitor-Agents: Sie können alle Exchange-Überwachungsereignisse der Windows-Computer streamen, die mit Ihrem Microsoft Sentinel-Arbeitsbereich verbunden sind, indem Sie den Windows-Agent verwenden. Diese Verbindung ermöglicht es Ihnen, Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und Untersuchungen zu verbessern. Dies wird von Microsoft Exchange-Sicherheitsarbeitsmappen verwendet, um Sicherheitserkenntnisse zu Ihrer lokalen Exchange-Umgebung zu gewinnen.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | Ereignis |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Community |
Abfragebeispiele
Alle Überwachungsprotokolle
Event
| where EventLog == 'MSExchange Management'
| sort by TimeGenerated
Voraussetzungen
Stellen Sie für die Integration in Microsoft Exchange-Administratorüberwachungsprotokolle nach Ereignisprotokollen sicher, dass Folgendes vorhanden ist:
- ****: Azure Log Analytics wird ausgemustert. Für die Sammlung von Daten Azure-fremder VMs wird Azure Arc empfohlen. Weitere Informationen
- Detaillierte Dokumentation: >HINWEIS: Eine detaillierte Dokumentation zum Installationsverfahren und zur Nutzung finden Sie hier.
Installationsanweisungen des Anbieters
Hinweis
Die Lösung basiert auf Optionen. Dadurch können Sie auswählen, welche Daten erfasst werden sollen, da einige Optionen ein sehr hohes Datenvolumen generieren können. Wählen Sie die Optionen aus, die Sie bereitstellen möchten – je nachdem, was Sie sammeln bzw. in Ihren Arbeitsmappen, Analyseregeln und Suchfunktionen nachverfolgen möchten. Jede Option ist unabhängig. Weitere Informationen zu den einzelnen Optionen finden Sie im Wiki zur Microsoft Exchange-Sicherheit.
Dieser Datenconnector ist Option 1 im Wiki.
- Laden Sie die Agents herunter, die zum Sammeln von Protokollen für Microsoft Sentinel erforderlich sind, und installieren Sie sie.
Der Servertyp (Exchange-Server, Mit Exchange-Servern verknüpfte Domänencontroller oder alle Domänencontroller) hängt von der Option ab, die Sie bereitstellen möchten.
- [Option 1] Sammlung von MS Exchange-Verwaltungsprotokollen: Protokolle für MS Exchange-Administratorüberwachungsereignisse nach Datensammlungsregeln
Die Protokolle für MS Exchange-Administratorüberwachungsereignisse werden mithilfe von Datensammlungsregeln (Data Collection Rules, DCRs) gesammelt und ermöglichen das Speichern aller administrativen Cmdlets, die in einer Exchange-Umgebung ausgeführt werden.
Hinweis
Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert und erwartungsgemäß funktionieren muss. Parser werden automatisch mit der Lösung bereitgestellt. Führen Sie die Schritte aus, um den Kusto-Funktionsalias zu erstellen: ExchangeAdminAuditLogs.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.