Protokollquellen für die Erfassung von Hilfsprotokollen

• Gilt für:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In diesem Artikel werden Protokollquellen erläutert, die für das Konfigurieren von Hilfsprotokollen (oder Basisprotokollen) bei der Speicherung in Log Analytics-Tabellen in Betracht gezogen werden sollten. Bevor Sie einen Protokolltyp auswählen, für den eine bestimmte Tabelle konfiguriert werden soll, erkundigen Sie sich, welche am besten geeignet ist. Weitere Informationen zu Datenkategorien und Protokolldatenplänen finden Sie unter Protokollaufbewahrungspläne in Microsoft Sentinel.

Wichtig

Der Protokolltyp Hilfsprotokoll befindet sich derzeit in der PREVIEW. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Storage-Zugriffsprotokolle für Cloudanbieter

Storage-Zugriffsprotokolle können eine sekundäre Informationsquelle für Untersuchungen bereitstellen, die die Enthüllung vertraulicher Daten an nicht autorisierte Parteien betreffen. Diese Protokolle können Ihnen helfen, Probleme mit System- oder Benutzerberechtigungen zu identifizieren, die den Daten gewährt wurden.

Bei vielen Cloudanbietern können Sie alle Aktivitäten protokollieren. Sie können diese Protokolle verwenden, um nach ungewöhnlichen oder nicht autorisierten Aktivitäten zu suchen oder eine Untersuchung als Reaktion auf einen Incident durchzuführen.

NetFlow-Protokolle

NetFlow-Protokolle werden verwendet, um die Netzwerkkommunikation in Ihrer Infrastruktur und zwischen Ihrer Infrastruktur und anderen Diensten über das Internet zu verstehen. Meistens verwenden Sie diese Daten, um Befehls- und Steuerungsaktivitäten zu untersuchen, da sie Quell- und Ziel-IP-Adressen und -Ports umfassen. Verwenden Sie die von NetFlow bereitgestellten Metadaten, um Informationen zu einem Gegner im Netzwerk zusammenzustellen.

VPC-Datenflussprotokolle für Cloudanbieter

Virtual Private Cloud (VPC)-Datenflussprotokolle sind für Untersuchungen und Bedrohungssuche wichtig geworden. Wenn Organisationen Cloudumgebungen betreiben, müssen Bedrohungssucher in der Lage sein, Netzwerkflüsse zwischen Clouds oder zwischen Clouds und Endpunkten zu untersuchen.

TLS/SSL-Zertifikatüberwachungsprotokolle

TLS/SSL-Zertifikatüberwachungsprotokolle wiesen bei den letzten bekannt gewordenen Cyberangriffen eine übertriebene Relevanz auf. Obwohl die TLS/SSL-Zertifikatüberwachung keine gängige Protokollquelle ist, bieten die Protokolle wertvolle Daten für verschiedene Arten von Angriffen, bei denen Zertifikate beteiligt sind. Sie helfen Ihnen, die Quelle des Zertifikats zu verstehen:

• Ob es selbst signiert wurde
• Wie es generiert wurde
• Ob das Zertifikat von einer vertrauenswürdigen Quelle ausgestellt wurde

Proxyprotokolle

Viele Netzwerke pflegen einen transparenten Proxy, um den Datenverkehr interner Benutzer sichtbar zu machen. Proxyserverprotokolle enthalten Anforderungen von Benutzern und Anwendungen in einem lokalen Netzwerk. Diese Protokolle enthalten auch Anwendungs- oder Dienstanforderungen, die über das Internet vorgenommen wurden, z. B. Anwendungsupdates. Was protokolliert wird, hängt von der Appliance oder Lösung ab. Die Protokolle bieten jedoch häufig Folgendes:

• Datum
• Zeit
• Size
• Interner Host, der die Anforderung vorgenommen hat
• Was der Host angefordert hat

Wenn Sie im Rahmen einer Untersuchung genauer auf das Netzwerk schauen, kann die Überlappung von Proxyprotokolldaten eine wertvolle Ressource sein.

Firewallprotokolle

Firewallereignisprotokolle sind häufig die grundlegendsten Netzwerkprotokollquellen für die Bedrohungssuche und -untersuchungen. Firewallereignisprotokolle können ungewöhnlich große Dateiübertragungen, Umfang, Kommunikationsfrequenz durch einen Host, Überprüfung von Verbindungsversuchen und Portüberprüfungen anzeigen. Firewallprotokolle sind auch als Datenquelle für verschiedene unstrukturierte Suchtechniken nützlich, z. B. Stapeln ephemerer Ports oder Gruppieren und Clustering verschiedener Kommunikationsmuster.

IoT-Protokolle

Eine neue und wachsende Quelle von Protokolldaten sind mit dem Internet der Dinge (IoT) verbundene Geräte. IoT-Geräte protokollieren möglicherweise ihre eigene Aktivität und/oder Sensordaten, die vom Gerät erfasst werden. IoT-Sichtbarkeit für Sicherheitsuntersuchungen und Bedrohungssuche ist eine große Herausforderung. Erweiterte IoT-Bereitstellungen speichern Protokolldaten in einem zentralen Clouddienst, z. B. Azure.

Nächste Schritte

• Auswählen eines Tabellenplans basierend auf der Datennutzung in einem Log Analytics-Arbeitsbereich
• Einrichten einer Tabelle mit dem Hilfsplan in Ihrem Log Analytics-Arbeitsbereich (Vorschau)
• Verwalten von Datenaufbewahrung in einem Log Analytics-Arbeitsbereich
• Starten einer Untersuchung durch Suchen nach Ereignissen in großen Datasets (Vorschau)