Zdroje protokolů, které se mají použít pro příjem pomocných protokolů

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Tento článek popisuje zdroje protokolů, které byste měli zvážit při ukládání v tabulkách Log Analytics jako pomocné protokoly (nebo základní protokoly). Než zvolíte typ protokolu, pro který chcete nakonfigurovat danou tabulku, proveďte průzkum, abyste zjistili, který typ je nejvhodnější. Další informace o kategoriích dat a datových plánech protokolů najdete v tématu Plány uchovávání protokolů v Microsoft Sentinelu.

Důležité

Typ protokolu pomocných protokolů je aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Protokoly přístupu k úložišti pro poskytovatele cloudu

Protokoly přístupu k úložišti můžou poskytnout sekundární zdroj informací pro šetření, která zahrnují vystavení citlivých dat neoprávněným stranám. Tyto protokoly vám můžou pomoct identifikovat problémy se systémovými nebo uživatelskými oprávněními udělenými datům.

Mnoho poskytovatelů cloudu umožňuje protokolovat všechny aktivity. Tyto protokoly můžete použít k vyhledávání neobvyklých nebo neautorizovaných aktivit nebo k prošetření v reakci na incident.

Protokoly NetFlow

Protokoly NetFlow slouží k pochopení síťové komunikace v rámci vaší infrastruktury a mezi vaší infrastrukturou a dalšími službami přes internet. Tato data nejčastěji používáte k prozkoumání aktivity příkazů a řízení, protože zahrnují zdrojové a cílové IP adresy a porty. Použijte metadata poskytovaná NetFlowem, která vám pomůžou seskupit informace o nežádoucí sadě v síti.

Protokoly toků VPC pro poskytovatele cloudu

Protokoly toků virtuálního privátního cloudu (VPC) se staly důležitými pro vyšetřování a proaktivního vyhledávání hrozeb. Když organizace provozují cloudová prostředí, musí být lovci hrozeb schopni zkoumat síťové toky mezi cloudy nebo mezi cloudy a koncovými body.

Protokoly monitorování certifikátů TLS/SSL

Protokoly monitorování certifikátů TLS/SSL měly v nedávných vysoce profilovaných kybernetických útocích příliš velký význam. I když monitorování certifikátů TLS/SSL není běžným zdrojem protokolů, protokoly poskytují cenná data pro několik typů útoků, kterých se certifikáty týkají. Pomáhají vám pochopit zdroj certifikátu:

• Jestli byl podepsaný svým držitelem
• Jak se vygeneroval
• Pokud byl certifikát vydán z důvěryhodného zdroje

Protokoly proxy serveru

Mnoho sítí udržuje transparentní proxy, aby bylo možné získat přehled o provozu interních uživatelů. Protokoly proxy serveru obsahují požadavky uživatelů a aplikací v místní síti. Tyto protokoly také obsahují žádosti o aplikace nebo služby prováděné přes internet, jako jsou aktualizace aplikací. To, co se protokoluje, závisí na zařízení nebo řešení. Protokoly ale často poskytují:

• Datum
• Čas
• Velikost
• Interní hostitel, který požadavek provedl
• Co si hostitel vyžádal

Když se v rámci šetření ponoříte do sítě, můžou se data protokolu proxy serveru překrývat jako cenný prostředek.

Protokoly brány firewall

Protokoly událostí brány firewall jsou často nejzákladnějšími zdroji síťových protokolů pro proaktivní vyhledávání hrozeb a vyšetřování. Protokoly událostí brány firewall můžou odhalit neobvykle velké přenosy souborů, svazek, frekvenci komunikace hostitelem, pokusy o připojení a kontrolu portů. Protokoly brány firewall jsou také užitečné jako zdroj dat pro různé nestrukturované techniky proaktivního vyhledávání, jako jsou stacking dočasných portů nebo seskupování a clustering různých způsobů komunikace.

Protokoly IoT

Novým a rostoucím zdrojem dat protokolů jsou zařízení připojená k internetu věcí (IoT). Zařízení IoT můžou protokolovat vlastní aktivitu nebo data snímačů zachycená zařízením. Viditelnost IoT pro vyšetřování zabezpečení a proaktivní vyhledávání hrozeb je zásadní výzvou. Pokročilá nasazení IoT ukládají data protokolů do centrální cloudové služby, jako je Azure.

Další kroky

• Výběr plánu tabulky na základě využití dat v pracovním prostoru služby Log Analytics
• Nastavení tabulky s pomocným plánem v pracovním prostoru služby Log Analytics (Preview)
• Správa uchovávání dat v pracovním prostoru služby Log Analytics
• Zahájení šetření vyhledáváním událostí ve velkých datových sadách (Preview)