Orígenes de registro que se usarán para la ingesta de registros auxiliares
En este artículo se resaltan los orígenes de registro para considerar la configuración como registros auxiliares (o registros básicos) cuando se almacenan en tablas de Log Analytics. Antes de elegir un tipo de registro para el que configurar una tabla determinada, realice la investigación para ver cuál es la más adecuada. Para obtener más información acerca de las categorías de datos y los planes de datos de registro, consulte Planes de retención de registros en Microsoft Sentinel.
Importante
El tipo de registro Registros auxiliares está actualmente en VISTA PREVIA. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Microsoft Sentinel está disponible de forma general dentro de la plataforma unificada de operaciones de seguridad de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Registros de acceso al almacenamiento para proveedores de nube
Los registros de acceso al almacenamiento pueden proporcionar un origen secundario de información para las investigaciones que implican la exposición de datos confidenciales a partes no autorizadas. Estos registros pueden ayudarle a identificar problemas con los permisos de usuario o del sistema concedidos para los datos.
Muchos proveedores de nube le permiten registrar toda la actividad. Puede usar estos registros para buscar actividades inusuales o no autorizadas, o para investigar en respuesta a un incidente.
Registros de NetFlow
Los registros de NetFlow se usan para comprender la comunicación de red dentro de la infraestructura y entre la infraestructura y otros servicios a través de Internet. Con más frecuencia, se usan estos datos para investigar la actividad de control y comandos, ya que incluye direcciones IP y puertos de origen y destino. Use los metadatos proporcionados por NetFlow como ayuda para reunir información sobre un adversario en la red.
Registros de flujo de VPC para proveedores de nube
Los registros de flujo de la nube privada virtual (VPC) se han vuelto importantes en las investigaciones y la búsqueda de amenazas. Cuando las organizaciones usan entornos en la nube, los buscadores de amenazas deben poder examinar los flujos de red entre nubes o entre nubes y puntos de conexión.
Registros de supervisión de certificados TLS/SSL
Los registros de supervisión de certificados TLS/SSL han tenido relevancia de gran tamaño en los ataques cibernéticos de alto perfil recientes. Aunque la supervisión de certificados TLS/SSL no sea un origen de registro habitual, proporcionan datos valiosos para varios tipos de ataques en los que intervienen certificados. Le ayudarán a comprender el origen del certificado:
- Si era autofirmado.
- Cómo se generó.
- Si el certificado se emitió desde un origen de confianza.
Registros de proxy
Muchas redes mantienen un proxy transparente para proporcionar visibilidad sobre el tráfico de los usuarios internos. Los registros del servidor proxy contienen solicitudes realizadas por usuarios y aplicaciones en una red local. Estos registros también contienen solicitudes de aplicación o servicio realizadas a través de Internet, como las actualizaciones de aplicaciones. Lo que se registra depende del dispositivo o la solución. Pero los registros suelen proporcionar lo siguiente:
- Fecha
- Hora
- Size
- Host interno que realizó la solicitud
- Lo que solicitó el host
Al profundizar en la red como parte de una investigación, la superposición de datos del registro de proxy puede ser un recurso valioso.
Registros de firewall
Los registros de eventos del firewall suelen ser los orígenes de registro de red más importantes para las investigaciones y búsqueda de amenazas. Los registros de eventos del firewall pueden revelar transferencias de archivos anormalmente grandes, el volumen, la frecuencia de comunicación por parte de un host, los intentos de conexión de sondeo y el examen de puertos. Los registros del firewall también son útiles como origen de datos para diversas técnicas de búsqueda no estructuradas, como apilar puertos efímeros, o agrupar y agrupar en clústeres diferentes patrones de comunicación.
Registros de IoT
Una nueva y creciente fuente de datos de registro es dispositivos conectados a Internet de las cosas (IoT). Los dispositivos IoT pueden registrar su propia actividad o los datos de sensor capturados por el dispositivo. La visibilidad de IoT para las investigaciones de seguridad y la búsqueda de amenazas es un desafío importante. Las implementaciones avanzadas de IoT guardan los datos de registro en un servicio central en la nube, como Azure.
Pasos siguientes
- Seleccionar un plan de tabla basado en el uso de datos en un área de trabajo de Log Analytics
- Configuración de una tabla con el plan auxiliar en el área de trabajo de Log Analytics (versión preliminar)
- Administración de la retención de datos en un área de trabajo de Log Analytics
- Inicio de una investigación mediante la búsqueda de grandes conjuntos de datos (versión preliminar)