Источники журналов для приема вспомогательных журналов

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

В этой статье рассматриваются источники журналов, которые следует настроить как вспомогательные журналы (или базовые журналы) при их хранении в таблицах Log Analytics. Перед выбором типа журнала, для которого необходимо настроить определенную таблицу, выполните исследование, чтобы узнать, какой из них наиболее подходящий. Дополнительные сведения о категориях данных и планах данных журнала см . в планах хранения журналов в Microsoft Sentinel.

Внимание

Тип журнала вспомогательных журналов в настоящее время находится в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Журналы доступа к хранилищу для поставщиков облачных служб

Журналы доступа к хранилищу могут предоставлять дополнительный источник информации для расследований, связанных с передачей конфиденциальных данных неавторизованным сторонам. Эти журналы помогут выявить проблемы с разрешениями на доступ к данными для системы или пользователей.

Многие поставщики облачных служб позволяют регистрировать все действия. Эти журналы можно использовать для поиска необычных или несанкционированных действий или расследования в ответ на инцидент.

Журналы NetFlow

Журналы NetFlow используются для понимания сетевого взаимодействия в инфраструктуре и между инфраструктурой и другими службами через Интернет. Чаще всего эти данные используются для изучения действий команды и управления, так как они включают ip-адреса источника и назначения и порты. Используйте метаданные, предоставляемые NetFlow, для объединения сведений о злоумышленнике в сети.

Журналы потоков VPC для поставщиков облачных служб

Журналы потоков виртуального частного облака (VPC) помогают расследовать и находить угрозы. Когда организации работают в облачных средах, у охотников за угрозами должна быть возможность изучать сетевые потоки между облаками или между облаком и конечными точками.

Журналы мониторинга TLS/SSL-сертификатов

Журналы мониторинга сертификатов TLS/SSL имели неуместный уровень релевантности в последних громких кибератаках. Хотя мониторинг TLS/SSL-сертификатов не является распространенным источником журналов, эти журналы предоставляют ценные данные для нескольких типов атак, в которых задействованы сертификаты. Они помогают понять источник сертификата:

• Был ли он самозаверяющим.
• Как он был создан.
• Был ли сертификат выдан из надежного источника.

Журналы прокси

Многие сети поддерживают прозрачный прокси-сервер для обеспечения видимости трафика внутренних пользователей. Журналы прокси-сервера содержат запросы от пользователей и приложений в локальной сети. Эти журналы также содержат запросы от приложений или служб, выполненные через Интернет, например обновления приложений. Данные, которые заносятся в журнал, зависят от устройства или решения. Но обычно это бывают следующие данные:

• Дата
• Время
• Размер
• Внутренний узел, который сделал запрос.
• Запрошенные узлом сведения.

При изучении сети в ходе расследования перекрытие данных журнала прокси-сервера может быть ценным ресурсом.

Журналы брандмауэра

Журналы событий брандмауэра часто являются основными источниками сетевых журналов для поиска угроз и расследований. Журналы событий брандмауэра могут выявить аномально большие передачи файлов, объемы, частоту передачи данных с узла, проверку подключений и сканирование портов. Журналы брандмауэра также полезны в качестве источника данных для различных неструктурированных методов охоты, таких как стек временных портов или группирование и кластеризация различных моделей связи.

Журналы Интернета вещей

Новый и растущий источник данных журнала — это подключенные к Интернету устройства (IoT). Устройства Интернета вещей могут заносить в журнал свои собственные действия и/или данные с датчиков, захваченные устройством. В Интернете вещей очень сложно проводить расследования и поиск угроз. Расширенные развертывания Интернета вещей сохраняют данные журнала в центральной облачной службе, такой как Azure.

Следующие шаги

• Выбор плана таблицы на основе использования данных в рабочей области Log Analytics
• Настройка таблицы с вспомогательным планом в рабочей области Log Analytics (предварительная версия)
• Управление хранением данных в рабочей области Log Analytics
• Запуск исследования путем поиска событий в больших наборах данных (предварительная версия)