Sources de journal d’activité à utiliser pour l’ingestion de journaux d’activité auxiliaires

• S’applique à:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Cet article met en évidence les sources de journaux d’activité qu’il est possible de configurer comme journaux d’activité auxiliaires (ou journaux d’activité basiques) lorsqu’elles sont stockées dans des tables Log Analytics. Avant de choisir un type de journal d’activité pour lequel configurer une table donnée, effectuez la recherche pour voir celui le plus approprié. Pour découvrir plus d’informations sur les catégories de données et les plans de données de journal d’activité, consultez Plans de rétention des journaux dans Microsoft Sentinel.

Important

Le type de journal Journaux d’activité auxiliaires est actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans licence Microsoft Defender XDR ou E5. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Journaux d’accès au stockage pour les fournisseurs cloud

Les journaux d’accès au stockage peuvent fournir une source secondaire d’informations pour les enquêtes qui impliquent l’exposition de données sensibles à des parties non autorisées. Ces journaux peuvent vous aider à identifier les problèmes liés aux autorisations système ou utilisateur accordées pour les données.

De nombreux fournisseurs cloud vous permettent de journaliser toutes les activités. Vous pouvez utiliser ces journaux d’activité pour repérer une activité inhabituelle ou non autorisée ou pour un examen en réponse à un incident.

Journaux NetFlow

Les journaux NetFlow sont utilisés pour comprendre la communication réseau au sein de votre infrastructure et entre votre infrastructure et d’autres services via Internet. Le plus souvent, vous utilisez ces données pour examiner l’activité de commande et de contrôle, car elle inclut les ports et les adresses IP source et destination. Utilisez les métadonnées fournies par NetFlow pour vous aider à rassembler des informations sur un adversaire sur le réseau.

Journaux de flux VPC pour les fournisseurs cloud

Les journaux de flux VPC (cloud privé virtuel) sont devenus importants pour les enquêtes et le repérage des menaces. Lorsque les organisations exploitent des environnements cloud, les chasseurs de menaces doivent être en mesure d’examiner les flux réseau entre les clouds ou entre les clouds et les points de terminaison.

Journaux du moniteur de certificats TLS/SSL

Les journaux d’activité du moniteur de certificats TLS/SSL ont eu une pertinence très importante lors de cyberattaques haut profil récentes. Bien que la supervision des certificats TLS/SSL n’est pas une source de journal courante, les journaux fournissent des données précieuses pour plusieurs types d’attaques où les certificats sont impliqués. Ils vous aident à comprendre la source du certificat :

• Si elle a été auto-signée
• Comment elle a été générée
• Si le certificat a été émis à partir d’une source fiable

Journaux proxy

De nombreux réseaux ont un proxy transparent pour fournir une visibilité sur le trafic des utilisateurs internes. Les journaux du serveur proxy contiennent les demandes effectuées par les utilisateurs et les applications sur un réseau local. Ces journaux contiennent également des demandes d’application ou de service effectuées sur Internet, telles que les mises à jour des applications. Ce qui est journalisé dépend de l’appliance ou de la solution. Toutefois, les journaux fournissent souvent :

• Date
• Heure
• Taille
• Hôte interne qui a effectué la requête
• Ce que l’hôte a demandé

Lorsque vous explorez le réseau dans le cadre d’une enquête, la superposition des données du journal proxy peut constituer une ressource précieuse.

Journaux de pare-feu

Les journaux des événements de pare-feu sont souvent les sources de journal réseau les plus importantes pour le repérage des menaces et les enquêtes. Les journaux des événements de pare-feu peuvent révéler des transferts de fichiers anormalement volumineux, un volume, une fréquence de communication par un hôte, la détection de tentatives de connexion et une analyse des ports. Les journaux de pare-feu sont également utiles en tant que source de données pour diverses techniques de repérage non structurées, telles que la pile de ports éphémères ou le regroupement et le clustering de différents modèles de communication.

Journaux IoT

Les appareils connectés à IoT (Internet des objets) constituent une nouvelle source croissante de données de journal d’activité. Les appareils IoT peuvent enregistrer leur propre activité et/ou données de capteur capturées par l’appareil. La visibilité d’IoT pour les enquêtes de sécurité et le repérage des menaces constitue un défi majeur. Les déploiements IoT avancés enregistrent les données de journal dans un service cloud central comme Azure.

Étapes suivantes

• Sélectionner un plan de table en fonction de l’utilisation des données dans un espace de travail Log Analytics
• Configurer une table dans le plan Auxiliaire de votre espace de travail Log Analytics (préversion)
• Gérer la conservation des données dans un espace de travail Log Analytics
• Démarrer une investigation en recherchant des événements dans des jeux de données volumineux (préversion)