共用方式為


Microsoft Sentinel Microsoft Exchange 記錄和事件連接器

您可以使用 Windows 代理程式,從連線到Microsoft Sentinel 工作區的 Windows 機器串流處理所有 Exchange 稽核事件、IIS 記錄、HTTP Proxy 記錄和安全性事件記錄。 此連線可讓您檢視儀錶板、建立自定義警示,以及改善調查。 這是Microsoft Exchange 安全性活頁簿用來提供內部部署 Exchange 環境的安全性見解

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連接器屬性

連接器屬性 描述
記錄分析資料表 活動
W3CIISLog
MessageTrackingLog_CL
ExchangeHttpProxy_CL
資料收集規則支援 目前不支援
支援者: Community

查詢範例

所有稽核記錄

Event 
| where EventLog == 'MSExchange Management' 
| sort by TimeGenerated

必要條件

若要與 Microsoft Exchange 記錄和事件整合,請確定您有:

  • :Azure Log Analytics 即將淘汰,若要從非 Azure VM 收集數據,建議使用 Azure Arc。 深入了解

廠商安裝指示

注意

此資料連接器取決於以 Kusto 函式為基礎的剖析器,才能如預期般運作。 請遵循步驟來建立 Kusto Functions 別名: ExchangeAdminAuditLogs

注意

此解決方案是以選項為基礎。 這可讓您選擇要擷取哪些數據,因為某些選項可能會產生非常高的數據量。 根據您想要收集的專案,在活頁簿、分析規則、搜捕功能中追蹤,您將選擇您要部署的選項。 每個選項彼此無關。 若要深入瞭解每個選項: 'Microsoft Exchange Security' Wiki

  1. 下載並安裝收集 sentinel Microsoft記錄所需的代理程式

伺服器類型(Exchange Server、連結至 Exchange Server 或所有域控制器的域控制器)取決於您要部署的選項。

  1. 在選擇的選項之後部署記錄擷取

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。