Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek poukazuje na zdroje protokolů, které je vhodné konfigurovat jako vrstvu datového jezera pouze při povolení konektoru. Než zvolíte úroveň, pro kterou chcete nakonfigurovat danou tabulku, zkontrolujte, která úroveň je pro váš případ použití nejvhodnější. Další informace o kategoriích dat a datových vrstvách najdete v tématu Plány uchovávání protokolů v Microsoft Sentinelu.
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu, včetně pro zákazníky bez licence Microsoft Defender XDR nebo E5.
Od července 2026 budou všichni zákazníci používající Microsoft Sentinel na webu Azure Portal přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender. Od července 2025 se mnoho nových zákazníků automaticky onboarduje a přesměruje na portál Defender.
Pokud na webu Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender , abyste zajistili hladký přechod a plně využili sjednoceného prostředí operací zabezpečení, které nabízí Microsoft Defender. Další informace najdete v tématu Je čas přesunout: Vyřazování webu Azure Portal od Microsoft Sentinelu pro zajištění vyššího zabezpečení.
Protokoly přístupu k úložišti pro poskytovatele cloudu
Protokoly přístupu k úložišti můžou poskytnout sekundární zdroj informací pro šetření, která zahrnují vystavení citlivých dat neoprávněným stranám. Tyto protokoly vám můžou pomoct identifikovat problémy se systémovými nebo uživatelskými oprávněními udělenými datům.
Mnoho poskytovatelů cloudu umožňuje protokolovat všechny aktivity. Tyto protokoly můžete použít k vyhledávání neobvyklých nebo neautorizovaných aktivit nebo k prošetření v reakci na incident.
Protokoly NetFlow
Protokoly NetFlow slouží k pochopení síťové komunikace v rámci vaší infrastruktury a mezi vaší infrastrukturou a dalšími službami přes internet. Tato data nejčastěji používáte k prozkoumání aktivity příkazů a řízení, protože zahrnují zdrojové a cílové IP adresy a porty. Použijte metadata poskytovaná NetFlowem, která vám pomůžou seskupit informace o nežádoucí sadě v síti.
Protokoly toků VPC pro poskytovatele cloudu
Protokoly toků virtuálního privátního cloudu (VPC) se staly důležitými pro vyšetřování a proaktivního vyhledávání hrozeb. Když organizace provozují cloudová prostředí, musí být lovci hrozeb schopni zkoumat síťové toky mezi cloudy nebo mezi cloudy a koncovými body.
Protokoly monitorování certifikátů TLS/SSL
Protokoly monitorování certifikátů TLS/SSL měly v nedávných vysoce profilovaných kybernetických útocích příliš velký význam. I když monitorování certifikátů TLS/SSL není běžným zdrojem protokolů, protokoly poskytují cenná data pro několik typů útoků, kterých se certifikáty týkají. Pomáhají vám pochopit zdroj certifikátu:
- Jestli byl podepsaný svým držitelem
- Jak se vygeneroval
- Pokud byl certifikát vydán z důvěryhodného zdroje
Protokoly proxy serveru
Mnoho sítí udržuje transparentní proxy, aby bylo možné získat přehled o provozu interních uživatelů. Protokoly proxy serveru obsahují požadavky uživatelů a aplikací v místní síti. Tyto protokoly také obsahují žádosti o aplikace nebo služby prováděné přes internet, jako jsou aktualizace aplikací. To, co se protokoluje, závisí na zařízení nebo řešení. Protokoly ale často poskytují:
- Datum
- Čas
- Velikost
- Interní hostitel, který požadavek provedl
- Co si hostitel vyžádal
Když se v rámci šetření ponoříte do sítě, můžou se data protokolu proxy serveru překrývat jako cenný prostředek.
Protokoly brány firewall
Protokoly událostí brány firewall jsou často nejzákladnějšími zdroji síťových protokolů pro proaktivní vyhledávání hrozeb a vyšetřování. Protokoly událostí brány firewall můžou odhalit neobvykle velké přenosy souborů, svazek, frekvenci komunikace hostitelem, pokusy o připojení a kontrolu portů. Protokoly brány firewall jsou také užitečné jako zdroj dat pro různé nestrukturované techniky proaktivního vyhledávání, jako jsou stacking dočasných portů nebo seskupování a clustering různých způsobů komunikace.
Protokoly IoT
Novým a rostoucím zdrojem dat protokolů jsou zařízení připojená k internetu věcí (IoT). Zařízení IoT můžou protokolovat vlastní aktivitu nebo data snímačů zachycená zařízením. Viditelnost IoT pro vyšetřování zabezpečení a proaktivní vyhledávání hrozeb je zásadní výzvou. Pokročilá nasazení IoT ukládají data protokolů do centrální cloudové služby, jako je Azure.