用於輔助記錄擷取的記錄來源
本文著重說明當記錄儲存在 Log Analytics 資料表時,要考慮設定為輔助紀錄 (或基本紀錄) 記錄來源。 在選擇要設定指定資料表的記錄類型之前,請先進行研究,以了解哪種類型最合適。 如需資料類別和記錄資料計劃的詳細資訊,請參閱 Microsoft Sentinel 中的記錄保留計劃 (英文)。
重要
Auxiliary 記錄的記錄類型目前是預覽版。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
雲端提供者的儲存體存取記錄
儲存體存取記錄可以提供次要資訊來源,以調查涉及敏感性資料暴露給未經授權對象的情況。 這些記錄可協助您識別授與資料之系統或使用者權限的問題。
許多雲端提供者都可讓您記錄所有活動。 您可以使用這些記錄來搜捕異常或未經授權的活動,或針對事件進行調查。
NetFlow 記錄
NetFlow 記錄可用來了解基礎結構內的網路通訊,以及基礎結構與其他透過網際網路的服務之間的網路通訊。 通常,您會使用此資料來調查命令和控制活動,因其包括來源和目的地 IP 與連接埠。 使用 NetFlow 所提供的中繼資料,協助您將網路上敵人的相關資訊組合在一起。
雲端提供者的 VPC 流量記錄
虛擬私人雲端 (VPC) 流量記錄對於調查和威脅搜捕而言非常重要。 當組織操作雲端環境時,威脅搜捕人員必須能夠檢查雲端之間或雲端與端點之間的網路流程。
TLS/SSL 憑證監視記錄
TLS/SSL 憑證監視記錄在近期引人注目的網路攻擊中,具有高度相關性。 雖然 TLS/SSL 憑證監視不是常見的記錄來源,但記錄會為涉及憑證的數種攻擊類型提供寶貴的資料。 它們可協助您了解憑證的來源:
- 是否為自我簽署
- 產生方式
- 憑證是否從可信賴的來源發出
Proxy 記錄
許多網路都會維持透明的 Proxy,以提供內部使用者流量的可見度。 Proxy 伺服器記錄包括使用者和應用程式在本地網路上提出的要求。 這些記錄也包括透過網際網路提出的應用程式或服務要求,例如應用程式更新。 記錄的內容依設備或解決方案而定。 但記錄通常會提供:
- Date
- Time
- 大小
- 提出要求的內部主機
- 主機要求的內容
當您在調查過程中深入探討網路時,Proxy 記錄資料的重疊可能是寶貴的資源。
防火牆記錄
防火牆事件記錄通常是威脅搜捕和調查的最基本網路記錄來源。 防火牆事件記錄檔可能會顯示異常大型的檔案傳輸、磁碟區、主機通訊的頻率、探查連線嘗試,以及連接埠掃描。 防火牆記錄也可用來作為各種非結構化搜捕技術的資料來源,例如堆疊暫時埠,或群組和叢集不同的通訊模式。
IoT 記錄
新的成長中記錄資料來源是物聯網 (IoT) 連線裝置。 IoT 裝置可能會記錄其本身的活動和/或裝置所擷取的感應器資料。 安全性調查和威脅搜捕的 IoT 可見度是一項重大挑戰。 進階 IoT 部署會將記錄資料儲存至 Azure 等中央雲端服務。