Źródła dzienników do użycia na potrzeby pozyskiwania dzienników pomocniczych

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

W tym artykule wyróżniono źródła dzienników, aby rozważyć skonfigurowanie ich jako dzienników pomocniczych (lub dzienników podstawowych) przechowywanych w tabelach usługi Log Analytics. Przed wybraniem typu dziennika, dla którego chcesz skonfigurować daną tabelę, wykonaj badania, aby sprawdzić, które z nich jest najbardziej odpowiednie. Aby uzyskać więcej informacji na temat kategorii danych i planów danych dzienników, zobacz Plany przechowywania dzienników w usłudze Microsoft Sentinel.

Ważne

Typ dziennika dzienników pomocniczych jest obecnie w wersji ZAPOZNAWCZEJ. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Dzienniki dostępu do magazynu dla dostawców usług w chmurze

Dzienniki dostępu do magazynu mogą udostępniać dodatkowe źródło informacji do badań, które obejmują ujawnienie poufnych danych nieautoryzowanym stronom. Te dzienniki mogą pomóc w zidentyfikowaniu problemów z uprawnieniami systemu lub użytkownika przyznanymi danym.

Wielu dostawców usług w chmurze umożliwia rejestrowanie wszystkich działań. Te dzienniki umożliwiają wyszukiwanie nietypowych lub nieautoryzowanych działań lub badanie w odpowiedzi na zdarzenie.

Dzienniki netflow

Dzienniki netFlow służą do zrozumienia komunikacji sieciowej w infrastrukturze oraz między infrastrukturą a innymi usługami za pośrednictwem Internetu. Najczęściej te dane służą do badania działania poleceń i kontroli, ponieważ zawierają źródłowe i docelowe adresy IP i porty. Użyj metadanych dostarczonych przez platformę NetFlow, aby ułatwić łączenie informacji o przeciwniku w sieci.

Dzienniki przepływów VPC dla dostawców usług w chmurze

Dzienniki przepływów wirtualnej chmury prywatnej (VPC) stały się ważne w przypadku badań i wyszukiwania zagrożeń. Gdy organizacje obsługują środowiska w chmurze, łowcy zagrożeń muszą mieć możliwość badania przepływów sieci między chmurami lub między chmurami a punktami końcowymi.

Dzienniki monitora certyfikatów TLS/SSL

Dzienniki monitora certyfikatów TLS/SSL mają duże znaczenie w ostatnich atakach cybernetycznych o wysokim profilu. Chociaż monitorowanie certyfikatów TLS/SSL nie jest typowym źródłem dziennika, dzienniki zapewniają cenne dane dla kilku typów ataków, w których są zaangażowane certyfikaty. Ułatwiają one zrozumienie źródła certyfikatu:

• Czy został podpisany samodzielnie
• Sposób jego generowania
• Jeśli certyfikat został wystawiony z wiarygodnego źródła

Dzienniki serwera proxy

Wiele sieci utrzymuje przezroczysty serwer proxy, aby zapewnić widoczność ruchu użytkowników wewnętrznych. Dzienniki serwera proxy zawierają żądania wysyłane przez użytkowników i aplikacje w sieci lokalnej. Te dzienniki zawierają również żądania aplikacji lub obsługi wysyłane przez Internet, takie jak aktualizacje aplikacji. To, co jest rejestrowane, zależy od urządzenia lub rozwiązania. Jednak dzienniki często zapewniają:

• Data
• Godzina
• Rozmiar
• Host wewnętrzny, który złożył żądanie
• Czego zażądał host

Podczas przeszukiwania sieci w ramach badania dane dziennika serwera proxy mogą być cennym zasobem.

Dzienniki zapory

Dzienniki zdarzeń zapory są często najbardziej podstawowymi źródłami dzienników sieci na potrzeby wyszukiwania zagrożeń i badania. Dzienniki zdarzeń zapory mogą ujawniać nietypowo duże transfery plików, wolumin, częstotliwość komunikacji przez hosta, próby sondowania połączenia i skanowanie portów. Dzienniki zapory są również przydatne jako źródło danych dla różnych technik wyszukiwania bez struktury, takich jak stos portów efemerycznych lub grupowanie i klastrowanie różnych wzorców komunikacji.

Dzienniki IoT

Nowe i rosnące źródło danych dziennika to urządzenia połączone z Internetem rzeczy (IoT). Urządzenia IoT mogą rejestrować własne dane aktywności i/lub czujników przechwytywane przez urządzenie. Widoczność IoT na potrzeby badań zabezpieczeń i wyszukiwania zagrożeń jest głównym wyzwaniem. Zaawansowane wdrożenia IoT zapisują dane dziennika w centralnej usłudze w chmurze, takiej jak Azure.

Następne kroki

• Wybieranie planu tabeli na podstawie użycia danych w obszarze roboczym usługi Log Analytics
• Konfigurowanie tabeli przy użyciu planu pomocniczego w obszarze roboczym usługi Log Analytics (wersja zapoznawcza)
• Zarządzanie przechowywaniem danych w obszarze roboczym usługi Log Analytics
• Rozpocznij badanie, wyszukując zdarzenia w dużych zestawach danych (wersja zapoznawcza)