Fontes de log a serem usadas para ingestão de logs auxiliares
Este artigo destaca as fontes de log que devem ser configuradas como Logs Auxiliares (ou Logs Básicos) quando são armazenadas em tabelas do Log Analytics. Antes de escolher um tipo de log para o qual configurar uma determinada tabela, faça a pesquisa para ver qual é o mais adequado. Para obter mais informações sobre categorias de dados e planos de dados de log, consulte Planos de retenção de log no Microsoft Sentinel.
Importante
O tipo de log Logs auxiliares está atualmente em visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Logs de acesso ao armazenamento para provedores de nuvem
Os logs de acesso ao armazenamento podem fornecer uma fonte secundária de informações para investigações que envolvam a exposição de dados confidenciais a partes não autorizadas. Esses logs podem ajudá-lo a identificar problemas com as permissões de sistema ou usuário concedidas aos dados.
Muitos provedores de nuvem permitem que você registre todas as atividades. Você pode usar esses logs para procurar atividades incomuns ou não autorizadas, ou para investigar em resposta a um incidente.
Logs do NetFlow
Os logs do NetFlow são usados para entender a comunicação de rede dentro de sua infraestrutura e entre sua infraestrutura e outros serviços pela Internet. Na maioria das vezes, você usa esses dados para investigar a atividade de comando e controle, pois eles incluem IPs e portas de origem e destino. Use os metadados fornecidos pelo NetFlow para ajudá-lo a reunir informações sobre um adversário na rede.
Logs de fluxo de VPC para provedores de nuvem
Os logs de fluxo da Virtual Private Cloud (VPC) tornaram-se importantes para investigações e caça a ameaças. Quando as organizações operam ambientes de nuvem, os caçadores de ameaças precisam ser capazes de examinar os fluxos de rede entre nuvens ou entre nuvens e endpoints.
Logs do monitor de certificado TLS/SSL
Os logs do monitor de certificado TLS/SSL tiveram uma relevância descomunal em ataques cibernéticos recentes de alto perfil. Embora o monitoramento de certificados TLS/SSL não seja uma fonte de log comum, os logs fornecem dados valiosos para vários tipos de ataques em que os certificados estão envolvidos. Eles ajudam você a entender a origem do certificado:
- Se foi auto-assinado
- Como foi gerado
- Se o certificado foi emitido por uma fonte respeitável
Logs de proxy
Muitas redes mantêm um proxy transparente para fornecer visibilidade sobre o tráfego de usuários internos. Os logs do servidor proxy contêm solicitações feitas por usuários e aplicativos em uma rede local. Esses logs também contêm solicitações de aplicativos ou serviços feitas pela Internet, como atualizações de aplicativos. O que é registado depende do aparelho ou da solução. Mas os logs geralmente fornecem:
- Date
- Hora
- Tamanho
- Host interno que fez a solicitação
- O que o anfitrião solicitou
Quando você se aprofunda na rede como parte de uma investigação, a sobreposição de dados de log de proxy pode ser um recurso valioso.
Registos da firewall
Os logs de eventos do firewall geralmente são as fontes de log de rede mais fundamentais para a caça a ameaças e investigações. Os logs de eventos do firewall podem revelar transferências de arquivos anormalmente grandes, volume, frequência de comunicação por um host, tentativas de conexão de sondagem e varredura de portas. Os logs de firewall também são úteis como fonte de dados para várias técnicas de caça não estruturadas, como empilhamento de portas efêmeras ou agrupamento e agrupamento de diferentes padrões de comunicação.
IoT Logs
Uma nova e crescente fonte de dados de log são os dispositivos conectados à Internet das Coisas (IoT). Os dispositivos IoT podem registrar suas próprias atividades e/ou dados do sensor capturados pelo dispositivo. A visibilidade da IoT para investigações de segurança e caça a ameaças é um grande desafio. As implantações avançadas de IoT salvam dados de log em um serviço de nuvem central como o Azure.
Próximos passos
- Selecione um plano de tabela com base no uso de dados em um espaço de trabalho do Log Analytics
- Configurar uma tabela com o plano Auxiliar na área de trabalho do Log Analytics (Pré-visualização)
- Gerir a retenção de dados numa área de trabalho do Log Analytics
- Iniciar uma investigação pesquisando eventos em grandes conjuntos de dados (visualização)