Sources de journaux à utiliser pour le lac de données Microsoft Sentinel

Cet article met en évidence les sources de journaux à envisager de configurer en tant que niveau de lac de données uniquement lors de l’activation d’un connecteur. Avant de choisir un niveau pour lequel configurer une table donnée, case activée le niveau le plus approprié pour votre cas d’usage. Pour plus d’informations sur les catégories de données et les niveaux de données, consultez Plans de rétention des journaux dans Microsoft Sentinel.

Importante

Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.

Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.

Journaux d’accès au stockage pour les fournisseurs de cloud

Les journaux d’accès au stockage peuvent fournir une source secondaire d’informations pour les enquêtes qui impliquent l’exposition de données sensibles à des parties non autorisées. Ces journaux peuvent vous aider à identifier les problèmes liés aux autorisations système ou utilisateur accordées aux données.

De nombreux fournisseurs de cloud vous permettent de journaliser toutes les activités. Vous pouvez utiliser ces journaux pour rechercher des activités inhabituelles ou non autorisées, ou pour enquêter en réponse à un incident.

Journaux NetFlow

Les journaux NetFlow sont utilisés pour comprendre la communication réseau au sein de votre infrastructure et entre votre infrastructure et d’autres services sur Internet. Le plus souvent, vous utilisez ces données pour examiner l’activité de commande et de contrôle, car elles incluent les adresses IP et les ports sources et de destination. Utilisez les métadonnées fournies par NetFlow pour vous aider à rassembler des informations sur un adversaire sur le réseau.

Journaux de flux VPC pour les fournisseurs de cloud

Les journaux de flux de cloud privé virtuel (VPC) sont devenus importants pour les enquêtes et la chasse aux menaces. Lorsque les organisations exploitent des environnements cloud, les chasseurs de menaces doivent être en mesure d’examiner les flux réseau entre les clouds ou entre les clouds et les points de terminaison.

Journaux d’activité du moniteur de certificat TLS/SSL

Les journaux de surveillance de certificat TLS/SSL ont eu une pertinence hors norme dans les cyberattaques récentes à haut niveau. Bien que la surveillance des certificats TLS/SSL ne soit pas une source de journal courante, les journaux fournissent des données précieuses pour plusieurs types d’attaques impliquant des certificats. Ils vous aident à comprendre la source du certificat :

• S’il a été auto-signé
• Comment il a été généré
• Si le certificat a été émis à partir d’une source digne de confiance

Journaux de proxy

De nombreux réseaux gèrent un proxy transparent pour fournir une visibilité sur le trafic des utilisateurs internes. Les journaux du serveur proxy contiennent des demandes effectuées par des utilisateurs et des applications sur un réseau local. Ces journaux contiennent également des demandes d’application ou de service effectuées sur Internet, telles que des mises à jour d’application. Ce qui est journalisé dépend du Appliance ou de la solution. Toutefois, les journaux fournissent souvent les informations suivantes :

• Date
• Temps
• Taille
• Hôte interne qui a effectué la demande
• Ce que l’hôte a demandé

Lorsque vous explorez le réseau dans le cadre d’une investigation, le chevauchement des données de journal proxy peut être une ressource précieuse.

Journaux de pare-feu

Les journaux d’événements de pare-feu sont souvent les sources de journaux réseau les plus fondamentales pour la chasse aux menaces et les enquêtes. Les journaux des événements de pare-feu peuvent révéler des transferts de fichiers anormalement volumineux, le volume, la fréquence de communication par un hôte, les tentatives de connexion et l’analyse des ports. Les journaux de pare-feu sont également utiles en tant que source de données pour diverses techniques de chasse non structurées, telles que l’empilement de ports éphémères, ou le regroupement et clustering différents modèles de communication.

Journaux IoT

Les appareils connectés à l’Internet des objets (IoT) constituent une nouvelle source croissante de données de journal. Les appareils IoT peuvent enregistrer leurs propres données d’activité et/ou de capteur capturées par l’appareil. La visibilité de l’IoT pour les enquêtes de sécurité et la chasse aux menaces est un défi majeur. Les déploiements IoT avancés enregistrent les données de journal dans un service cloud central comme Azure.

Étapes suivantes

• Qu’est-ce que le lac de données Microsoft Sentinel ?
• Gérer les niveaux de données et la rétention dans Microsoft Defender portail
• KQL et le lac de données Microsoft Sentinel
• Notebooks Jupyter dans le lac de données Microsoft Sentinel