補助ログのインジェストに使用するログ ソース
この記事では、Log Analytics テーブルに格納するときに補助ログ (または基本ログ) としての構成を検討するログ ソースについて説明します。 特定のテーブルを構成するログの種類を選択する前に、調査を行ってどれが最も適切であるかを確認します。 データ カテゴリとログ データ プランの詳細については、「Microsoft Sentinel のログ保持プラン」を参照してください。
重要
ログの種類の補助ログは、現在、プレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
Microsoft Sentinel は Microsoft Defender ポータルの Microsoft 統合セキュリティ オペレーション プラットフォーム内での一般提供を開始しました。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
クラウド プロバイダーのストレージ アクセス ログ
ストレージ アクセス ログは、認可されていない当事者への機密データ漏洩に関係する調査のための二次的な情報源を提供できます。 これらのログは、データに付与されたシステムまたはユーザーのアクセス許可に関する問題を特定するのに役立ちます。
多くのクラウド プロバイダーでは、すべてのアクティビティをログに記録することを許可しています。 これらのログを使用して、異常または不正なアクティビティを追求することや、インシデントに応じて調査することができます。
NetFlow ログ
NetFlow ログは、組織のインフラストラクチャ内のネットワーク通信や、組織のインフラストラクチャと外部サービス間のインターネット経由のネットワーク通信について調査を行うために使用します。 ほとんどの場合、このデータには送信元と宛先の IP とポートが含まれるため、コマンドとコントロールのアクティビティを調査するために使用されます。 NetFlow によって提供されるメタデータを使用して、ネットワーク上の攻撃者に関する断片的な情報をつなぎ合わせます。
クラウド プロバイダーの VPC フロー ログ
仮想プライベート クラウド (VPC) フロー ログは、調査と脅威の捜索のために重要なものになっています。 組織でクラウド環境を運用する場合、脅威の捜索者は、クラウド間またはクラウドとエンドポイント間のネットワーク フローを調査できる必要があります。
TLS/SSL 証明書モニター ログ
TLS/SSL 証明書モニターのログは、最近注目を集めているサイバー攻撃と非常に大きな関連性があります。 TLS/SSL 証明書の監視は一般的なログ ソースではありませんが、このログは、証明書が関係するさまざまな種類の攻撃について貴重なデータを提供します。 証明書のソースについて、次のような点を理解するのに役立ちます。
- 自己署名されたかどうか
- どのような方法で生成されたか
- 信頼できるソースから証明書が発行されたかどうか
プロキシ ログ
多くのネットワークでは、内部ユーザーのトラフィックを可視化するために透過的なプロキシを維持しています。 プロキシ サーバー ログには、ローカル ネットワーク上のユーザーとアプリケーションによって行われた要求が含まれます。 これらのログには、アプリケーションの更新など、インターネット経由で行われたアプリケーションまたはサービス要求も含まれます。す。 ログに記録される内容は、アプライアンスまたはソリューションによって異なります。 ただし多くの場合、ログによって次の情報が提供されます。
- Date
- 時刻
- サイズ
- 要求を行った内部ホスト
- ホストが要求した内容
調査の一環としてネットワークを掘り下げるときに、プロキシ ログ データの重複は貴重なリソースになる可能性があります。
ファイアウォール ログ
ファイアウォール イベント ログは多くの場合、脅威の捜索と調査のための最も基本的なネットワーク ログ ソースです。 ファイアウォール イベント ログによって、異常に大きなファイルの転送、ボリューム、ホストによる通信の頻度、プローブ接続試行、ポート スキャンが明らかになることがあります。 ファイアウォール ログは、エフェメラル ポートのスタッキング、さまざまな通信パターンのグループ化とクラスター化など、体系化されていないさまざまな捜索手法のためのデータ ソースとしても役立ちます。
IoT ログ
モノのインターネット (IoT) に接続されたデバイスは、ログ データのソースとして新たに増え続けています。 IoT デバイスは、デバイスによってキャプチャされた独自のアクティビティやセンサー データをログに記録する場合があります。 セキュリティ調査と脅威の捜索にとって、IoT の可視性は大きな課題です。 高度な IoT デプロイでは、Azure のような集中型のクラウド サービスにログ データを保存します。