Microsoft Sentinel Microsoft Exchange 記錄和事件連接器
您可以使用 Windows 代理程式,從連線到Microsoft Sentinel 工作區的 Windows 機器串流處理所有 Exchange 稽核事件、IIS 記錄、HTTP Proxy 記錄和安全性事件記錄。 此連線可讓您檢視儀錶板、建立自定義警示,以及改善調查。 這是Microsoft Exchange 安全性活頁簿用來提供內部部署 Exchange 環境的安全性見解
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
連接器屬性 | 描述 |
---|---|
記錄分析資料表 | 活動 W3CIISLog MessageTrackingLog_CL ExchangeHttpProxy_CL |
資料收集規則支援 | 目前不支援 |
支援者: | Community |
查詢範例
所有稽核記錄
Event
| where EventLog == 'MSExchange Management'
| sort by TimeGenerated
必要條件
若要與 Microsoft Exchange 記錄和事件整合,請確定您有:
- :Azure Log Analytics 即將淘汰,若要從非 Azure VM 收集數據,建議使用 Azure Arc。 深入了解
廠商安裝指示
注意
此資料連接器取決於以 Kusto 函式為基礎的剖析器,才能如預期般運作。 請遵循步驟來建立 Kusto Functions 別名: ExchangeAdminAuditLogs
注意
此解決方案是以選項為基礎。 這可讓您選擇要擷取哪些數據,因為某些選項可能會產生非常高的數據量。 根據您想要收集的專案,在活頁簿、分析規則、搜捕功能中追蹤,您將選擇您要部署的選項。 每個選項彼此無關。 若要深入瞭解每個選項: 'Microsoft Exchange Security' Wiki
- 下載並安裝收集 sentinel Microsoft記錄所需的代理程式
伺服器類型(Exchange Server、連結至 Exchange Server 或所有域控制器的域控制器)取決於您要部署的選項。
- 在選擇的選項之後部署記錄擷取
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。