Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo evidenzia le origini di log da considerare come livello data lake solo quando si abilita un connettore. Prima di scegliere un livello per il quale configurare una determinata tabella, controllare quale livello è più appropriato per il caso d'uso. Per altre informazioni sulle categorie di dati e i livelli di dati, vedere Piani di conservazione dei log in Microsoft Sentinel.
Importante
Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.
Log di accesso all'archiviazione per i provider di servizi cloud
I log di accesso all'archiviazione possono fornire un'origine secondaria di informazioni per le indagini che comportano l'esposizione di dati sensibili a parti non autorizzate. Questi log consentono di identificare i problemi relativi alle autorizzazioni di sistema o utente concesse ai dati.
Molti provider di servizi cloud consentono di registrare tutte le attività. È possibile usare questi log per cercare attività insolite o non autorizzate o per analizzare in risposta a un evento imprevisto.
Log di NetFlow
I log di NetFlow vengono usati per comprendere le comunicazioni di rete all'interno dell'infrastruttura e tra l'infrastruttura e altri servizi su Internet. Molto spesso questi dati vengono usati per analizzare l'attività di comando e controllo perché include indirizzi IP e porte di origine e destinazione. Usare i metadati forniti da NetFlow per raggruppare le informazioni su un antagonista in rete.
Log del flusso VPC per i provider di servizi cloud
I log di flusso del cloud privato virtuale (VPC) sono diventati importanti per le indagini e la ricerca delle minacce. Quando le organizzazioni gestiscono ambienti cloud, i cacciatori di minacce devono essere in grado di esaminare i flussi di rete tra cloud o tra cloud ed endpoint.
Log di monitoraggio certificati TLS/SSL
I log di monitoraggio dei certificati TLS/SSL hanno avuto rilevanza enorme nei recenti attacchi informatici di alto profilo. Anche se il monitoraggio dei certificati TLS/SSL non è un'origine di log comune, i log forniscono dati preziosi per diversi tipi di attacchi in cui sono coinvolti certificati. Consentono di comprendere l'origine del certificato:
- Se era autofirmata
- Come è stato generato
- Se il certificato è stato emesso da un'origine attendibile
Log proxy
Molte reti mantengono un proxy trasparente per offrire visibilità sul traffico degli utenti interni. I log del server proxy contengono le richieste effettuate da utenti e applicazioni in una rete locale. Questi log contengono anche richieste di applicazioni o servizi effettuate tramite Internet, ad esempio gli aggiornamenti delle applicazioni. Ciò che viene registrato dipende dall'appliance o dalla soluzione. Ma i log spesso forniscono:
- Data
- Ora
- Dimensioni
- Host interno che ha effettuato la richiesta
- Richiesta dell'host
Quando si esplora la rete come parte di un'indagine, la sovrapposizione dei dati del log proxy può essere una risorsa preziosa.
Log del firewall
I log eventi del firewall sono spesso le origini di log di rete più fondamentali per la ricerca e le indagini sulle minacce. I log eventi del firewall possono rivelare trasferimenti di file di dimensioni anomale, volume, frequenza di comunicazione da parte di un host, tentativi di connessione di probe e analisi delle porte. I log del firewall sono utili anche come origine dati per varie tecniche di ricerca non strutturate, ad esempio l'impilamento di porte temporanee o il raggruppamento e il clustering di modelli di comunicazione diversi.
Log IoT
Una nuova e crescente origine di dati di log è costituita da dispositivi connessi a Internet delle cose (IoT). I dispositivi IoT potrebbero registrare i propri dati di attività e/o sensori acquisiti dal dispositivo. La visibilità IoT per le indagini sulla sicurezza e la ricerca delle minacce è una sfida importante. Le distribuzioni IoT avanzate salvano i dati di log in un servizio cloud centrale come Azure.