你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适合辅助日志引入的日志源
本文重点介绍了当日志源存储在 Log Analytics 表中时,应考虑将其配置为辅助日志(或基本日志)。 在选择要为给定表配置的日志类型之前,请先进行研究,看看哪种类型最合适。 有关数据类别和日志数据计划的详细信息,请参阅 Microsoft Sentinel 中的日志保留计划。
重要
“辅助日志”日志类型目前以预览版提供。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 已在 Defender 门户中可用,并且无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
云提供商的存储访问日志
存储访问日志可以为涉及向未经授权方公开敏感数据的调查提供辅助信息源。 这些日志可帮助识别授予数据的系统或用户权限的问题。
许多云提供商允许记录所有活动。 你可以使用这些日志来搜寻异常或未经授权的活动,或对事件进行调查。
NetFlow 日志
NetFlow 日志用于了解基础结构内的网络通信,以及基础结构与其他服务之间通过 Internet 的网络通信。 通常,使用此数据调查命令和控制活动,因为它包括源和目标 IP 与端口。 使用 NetFlow 提供的元数据帮助你将有关网络上攻击者的信息拼凑在一起。
云提供商的 VPC 流日志
虚拟私有云 (VPC) 流日志对调查和威胁搜寻非常重要。 当组织运行云环境时,威胁搜寻者需要能够检查云之间或云与终结点之间的网络流。
TLS/SSL 证书监视器日志
TLS/SSL 证书监视器日志在最近备受关注的网络攻击中具有很大的相关性。 虽然 TLS/SSL 证书监视不是常见的日志源,但该日志针对涉及证书的多种类型的攻击提供有价值的数据。 以下内容可帮助你了解证书的源:
- 是否是自签名的
- 是如何生成的
- 证书是否是由信誉良好的源颁发的
代理日志
许多网络都维护透明代理,以提供对内部用户的流量的可见性。 代理服务器日志包含本地网络上的用户和应用程序发出的请求。 这些日志还包含通过 Internet 发出的应用程序或服务请求,例如应用程序更新。 记录的内容取决于设备或解决方案。 但日志通常提供:
- 日期
- 时间
- 大小
- 发出请求的内部主机
- 主机请求的内容
在调查过程中深入挖掘网络时,代理日志数据重叠可能是有价值的资源。
防火墙日志
防火墙事件日志通常是用于威胁搜寻和调查的最基本的网络日志源。 防火墙事件日志可以显示异常大的文件传输、容量、主机通信频率、探测连接尝试和端口扫描。 防火墙日志也可用作各种非结构化搜寻技术的数据源,例如堆叠临时端口或分组和聚类分析不同的通信模式。
IoT 日志
新的不断增长的日志数据源是物联网 (IoT) 连接的设备。 IoT 设备可能会记录自己的活动和/或设备捕获的传感器数据。 安全调查和威胁搜寻的 IoT 可见性是一项重大挑战。 高级 IoT 部署将日志数据保存到 Azure 等中央云服务。