opciones de configuración del protocolo Microsoft Exchange

Para recibir sucesos de SMTP, OWA y sucesos de seguimiento de mensajes de los servidores Microsoft Windows Exchange 2007, 2010, 2013 y 2017, configure un origen de registro para utilizar el protocolo Microsoft Exchange.

El protocolo Microsoft Exchange es un protocolo de salida/activo.

Para leer los archivos de registro, las vías de acceso de carpeta que contienen una compartición administrativa (C$), requieren privilegios NetBIOS en la compartición administrativa (C$). Los administradores locales o de dominio tienen privilegios suficientes para acceder a los archivos de registro en las comparticiones administrativas.

Los campos para el protocolo Microsoft Exchange que dan soporte a vías de acceso de archivo permiten a los administradores definir una letra de unidad con la información de vía de acceso. Por ejemplo, el campo puede contener el directorio c$/LogFiles/ para un recurso compartido administrativo, o el directorio LogFiles/ para una vía de acceso de carpeta de recurso compartido público, pero no puede contener el directorio c:/LogFiles.

Importante: El protocolo Microsoft Exchange no admite Microsoft Exchange 2003 ni el protocolo de autenticación de Microsoft NTLMv2 Session.
En la tabla siguiente se describen los parámetros específicos del protocolo de Microsoft Exchange:
Tabla 1. Parámetros del protocolo Microsoft Exchange
Parámetro Descripción
Configuración de protocolo Microsoft Exchange
Identificador de origen de registro Escriba la dirección IP, el nombre de host o el nombre para identificar el origen de registro.
Dirección del servidor La dirección IP o el nombre de host del servidor de Microsoft Exchange.
Dominio

Escriba el dominio para el servidor de Microsoft Exchange.

Este parámetro es opcional si el servidor no está en un dominio.
Nombre de usuario Escriba el nombre de usuario necesario para acceder al servidor de Microsoft Exchange.
Contraseña Escriba la contraseña necesaria para acceder al servidor de Microsoft Exchange.
Confirmar contraseña Escriba la contraseña necesaria para acceder al servidor de Microsoft Exchange.
vía de acceso de carpeta del archivo de registro de SMTP

La vía de acceso del directorio para acceder a los archivos de registro SMTP.

La vía de acceso de archivo predeterminada es Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/ProtocolLog

Cuando la vía de acceso de carpeta está vacía, la recopilación de sucesos SMTP está inhabilitada.
Vía de acceso de carpeta del archivo de registro de OWA

La vía de acceso del directorio para acceder a los archivos de registro de OWA.

La vía de acceso de archivo predeterminada es Windows/system32/LogFiles/W3SVC1

Cuando la vía de acceso de carpeta está vacía, la recopilación de sucesos OWA está inhabilitada.
Vía de acceso de carpeta del archivo de registro de MSGTRK

La vía de acceso del directorio para acceder a los registros de seguimiento de mensajes.

La vía de acceso de archivo predeterminada es Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/MessageTracking

El seguimiento de mensajes está disponible en los servidores de Microsoft Exchange 2017 o 2010 que tienen asignado el rol de servidor de transporte de concentrador, buzón o Edge Transport.
Utilizar patrones de archivos personalizados Marque este recuadro de selección para configurar patrones de archivo personalizados. Deje el recuadro de selección sin marcar para utilizar los patrones de archivo predeterminados.
Patrón de archivo MSGTRK

Expresión regular (regex) que se utiliza para identificar y descargar los registros de MSTRK. Se procesan todos los archivos que coinciden con el patrón de archivo.

El patrón de archivo predeterminado es MSGTRK\d+-\d+\.(?:log|LOG)$

Se procesan todos los archivos que coinciden con el patrón de archivo.
Patrón de archivo MSGTRKMD

La expresión regular (regex) que se utiliza para identificar y descargar los registros MSGTRKMD. Se procesan todos los archivos que coinciden con el patrón de archivo.

El patrón de archivo predeterminado es MSGTRKMD\d+-\d+\.(?:log|LOG)$

Se procesan todos los archivos que coinciden con el patrón de archivo.
Patrón de archivo MSGTRKMS

La expresión regular (regex) que se utiliza para identificar y descargar los registros MSGTRKMS. Se procesan todos los archivos que coinciden con el patrón de archivo.

El patrón de archivo predeterminado es MSGTRKMS\d+-\d+\.(?:log|LOG)$

Se procesan todos los archivos que coinciden con el patrón de archivo.
Patrón de archivo MSGTRKMA

Expresión regular (regex) que se utiliza para identificar y descargar los registros MSGTRKMA. Se procesan todos los archivos que coinciden con el patrón de archivo.

El patrón de archivo predeterminado es MSGTRKMA\d+-\d+\.(?:log|
Patrón de archivo SMTP

Expresión regular (regex) que se utiliza para identificar y descargar los registros SMTP. Se procesan todos los archivos que coinciden con el patrón de archivo.

El patrón de archivo predeterminado es *\.(?:log|LOG)$

Se procesan todos los archivos que coinciden con el patrón de archivo.
Patrón de archivo OWA

Expresión regular (regex) que se utiliza para identificar y descargar los registros de OWA. Se procesan todos los archivos que coinciden con el patrón de archivo.

El patrón de archivo predeterminado es *\.(?:log|LOG)$

Se procesan todos los archivos que coinciden con el patrón de archivo.
Forzar lectura de archivo Si el recuadro de selección no está marcado, el archivo de registro es de sólo lectura cuando QRadar detecta un cambio en la hora de modificación o en el tamaño del archivo.
Recursivo Si desea que el patrón de archivo busque subcarpetas, utilice esta opción. De manera predeterminada, el recuadro de selección aparece seleccionado.
Versión de SMB

Seleccione la versión de SMB que desea utilizar.

AUTO
Detecta automáticamente la versión más alta que el cliente y el servidor aceptan utilizar.
SMB1
Fuerza el uso de SMB1. SMB1 utiliza el archivo jCIFS.jar (Java™ ARchive).
Importante: SMB1 ya no está soportado. Todos los administradores deben actualizar las configuraciones existentes para utilizar SMB2 o SMB3.
SMB2
Fuerza el uso de SMB2. SMB2 utiliza el archivo jNQ.jar .
SMB3
Fuerza el uso de SMB3. SMB3 utiliza el archivo jNQ.jar .
Nota: Antes de crear un origen de registro con una versión de SMB específica (por ejemplo: SMBv1, SMBv2y SMBv3), asegúrese de que la versión de SMB especificada esté soportada por el sistema operativo Windows que se ejecuta en el servidor. También debe verificar que las versiones de SMB están habilitadas en el servidor Windows especificado.

Para obtener más información sobre qué versión de Windows da soporte a qué versiones de SMB, vaya al sitio web de Microsoft TechNet (https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ).

Para obtener más información sobre cómo detectar, habilitar e inhabilitar SMBv1, SMBv2y SMBv3 en Windows y Windows Server, Vaya al sitio web de soporte de Microsoft (https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server).
Intervalo de sondeo (en segundos) Escriba el intervalo de sondeo, que es el número de segundos entre consultas a los archivos de registro para comprobar si hay nuevos datos. El valor predeterminado es 10 segundos.
Sucesos de regulador/seg. El número máximo de sucesos que el protocolo Microsoft Exchange puede reenviar por segundo.
Codificación de archivo Codificación de caracteres que es utilizada por en los sucesos contenidos en el archivo de registro.