Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se resaltan los orígenes de registro para considerar la posibilidad de configurar como nivel de lago de datos solo al habilitar un conector. Antes de elegir un nivel para el que configurar una tabla determinada, compruebe qué nivel es más adecuado para su caso de uso. Para obtener más información sobre las categorías de datos y los niveles de datos, consulte Planes de retención de registros en Microsoft Sentinel.
Importante
Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.
Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.
Registros de acceso de almacenamiento para proveedores de nube
Los registros de acceso de almacenamiento pueden proporcionar una fuente secundaria de información para las investigaciones que implican la exposición de datos confidenciales a partes no autorizadas. Estos registros pueden ayudarle a identificar problemas con los permisos del sistema o del usuario concedidos a los datos.
Muchos proveedores de nube le permiten registrar toda la actividad. Puede usar estos registros para buscar actividades inusuales o no autorizadas, o para investigar en respuesta a un incidente.
Registros de NetFlow
Los registros de NetFlow se usan para comprender la comunicación de red dentro de la infraestructura y entre la infraestructura y otros servicios a través de Internet. La mayoría de las veces, estos datos se usan para investigar la actividad de comandos y control, ya que incluyen direcciones IP y puertos de origen y destino. Use los metadatos proporcionados por NetFlow para ayudarle a reunir información sobre un adversario en la red.
Registros de flujo de VPC para proveedores de nube
Los registros de flujo de virtual private cloud (VPC) se han vuelto importantes para las investigaciones y la búsqueda de amenazas. Cuando las organizaciones operan entornos en la nube, los cazadores de amenazas deben poder examinar los flujos de red entre nubes o entre nubes y puntos de conexión.
Registros de supervisión de certificados TLS/SSL
Los registros de supervisión de certificados TLS/SSL han tenido una relevancia superada en los ciberataques de alto perfil recientes. Aunque la supervisión de certificados TLS/SSL no es un origen de registro común, los registros proporcionan datos valiosos para varios tipos de ataques en los que están implicados los certificados. Le ayudan a comprender el origen del certificado:
- Si estaba autofirmado
- Cómo se generó
- Si el certificado se emitió desde un origen de confianza
Registros de proxy
Muchas redes mantienen un proxy transparente para proporcionar visibilidad sobre el tráfico de los usuarios internos. Los registros del servidor proxy contienen solicitudes realizadas por usuarios y aplicaciones en una red local. Estos registros también contienen solicitudes de aplicación o servicio realizadas a través de Internet, como actualizaciones de aplicaciones. Lo que se registra depende del dispositivo o la solución. Sin embargo, los registros suelen proporcionar lo siguiente:
- Fecha
- Hora
- Size
- Host interno que realizó la solicitud
- Lo que solicitó el host
Al profundizar en la red como parte de una investigación, la superposición de datos de registro de proxy puede ser un recurso valioso.
Registros de firewall
Los registros de eventos de firewall suelen ser los orígenes de registro de red más fundamentales para la búsqueda y las investigaciones de amenazas. Los registros de eventos del firewall pueden revelar transferencias de archivos anormalmente grandes, volumen, frecuencia de comunicación por parte de un host, intentos de conexión de sondeo y examen de puertos. Los registros de firewall también son útiles como origen de datos para varias técnicas de búsqueda no estructuradas, como el apilamiento de puertos efímeros o la agrupación y agrupación en clústeres de diferentes patrones de comunicación.
Registros de IoT
Un nuevo y creciente origen de datos de registro son los dispositivos conectados a Internet de las cosas (IoT). Los dispositivos IoT pueden registrar su propia actividad o los datos del sensor capturados por el dispositivo. La visibilidad de IoT para las investigaciones de seguridad y la búsqueda de amenazas es un desafío importante. Las implementaciones avanzadas de IoT guardan los datos de registro en un servicio en la nube central como Azure.