Freigeben über

Connector für Microsoft Exchange-Nachrichtenverfolgungsprotokolle für Microsoft Sentinel

  • Artikel

[Option 6] – Verwenden des Azure Monitor-Agents: Sie können die gesamte Exchange-Nachrichtenverfolgung der Windows-Computer streamen, die mit Ihrem Microsoft Sentinel-Arbeitsbereich verbunden sind, indem Sie den Windows-Agent verwenden. Diese Protokolle können verwendet werden, um den Nachrichtenfluss in Ihrer Exchange-Umgebung nachzuverfolgen. Dieser Datenconnector basiert auf Option 6 im Wiki zur Microsoft Exchange-Sicherheit.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen MessageTrackingLog_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Community

Abfragebeispiele

Exchange-Nachrichtenverfolgungsprotokolle

MessageTrackingLog_CL 
| sort by TimeGenerated

Voraussetzungen

Stellen Sie für die Integration in Microsoft Exchange-Nachrichtenverfolgungsprotokolle sicher, dass Folgendes vorhanden ist:

  • Azure Log Analytics wird ausgemustert: Azure Log Analytics wird eingestellt, daher wird für die Sammlung von Daten von Azure-fremden VMs Azure Arc empfohlen. Weitere Informationen
  • Detaillierte Dokumentation: >HINWEIS: Eine detaillierte Dokumentation zum Installationsverfahren und zur Nutzung finden Sie hier.

Installationsanweisungen des Anbieters

Hinweis

Die Lösung basiert auf Optionen. Dadurch können Sie auswählen, welche Daten erfasst werden sollen, da einige Optionen ein sehr hohes Datenvolumen generieren können. Wählen Sie die Optionen aus, die Sie bereitstellen möchten – je nachdem, was Sie sammeln bzw. in Ihren Arbeitsmappen, Analyseregeln und Suchfunktionen nachverfolgen möchten. Jede Option ist unabhängig. Weitere Informationen zu den einzelnen Optionen finden Sie im Wiki zur Microsoft Exchange-Sicherheit.

Dieser Datenconnector ist Option 6 im Wiki.

  1. Laden Sie die Agents herunter, die zum Sammeln von Protokollen für Microsoft Sentinel erforderlich sind, und installieren Sie sie.

Der Servertyp (Exchange-Server, Mit Exchange-Servern verknüpfte Domänencontroller oder alle Domänencontroller) hängt von der Option ab, die Sie bereitstellen möchten.

  1. Nachrichtenverfolgung von Exchange-Servern

Auswählen, wie die Nachrichtenverfolgung von Exchange-Servern gestreamt werden soll

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.