Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden logbronnen besproken die u specifiek als data lake-laag dient te configureren zodra u een connector inschakelt. Voordat u een laag kiest waarvoor u een bepaalde tabel wilt configureren, controleert u welke laag het meest geschikt is voor uw use-case. Zie Logboekretentieplannen in Microsoft Sentinel voor meer informatie over gegevenscategorieën en gegevenslagen.
Belangrijk
Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie.
Vanaf juli 2026 worden alle klanten die Microsoft Sentinel in Azure Portal gebruiken, omgeleid naar de Defender-portal en gebruiken ze alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarden en omgeleid naar de Defender portal.
Als u Nog steeds Microsoft Sentinel gebruikt in Azure Portal, raden we u aan om te beginnen met het plannen van uw overgang naar de Defender-portal om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Het is tijd om te verplaatsen voor meer informatie: De Azure-portal van Microsoft Sentinel buiten gebruik stellen voor betere beveiliging.
Logboeken voor opslagtoegang voor cloudproviders
Logboeken voor opslagtoegang kunnen een secundaire bron van informatie bieden voor onderzoeken die betrekking hebben op blootstelling van gevoelige gegevens aan onbevoegde partijen. Deze logboeken kunnen u helpen bij het identificeren van problemen met systeem- of gebruikersmachtigingen die aan de gegevens zijn verleend.
Met veel cloudproviders kunt u alle activiteiten registreren. U kunt deze logboeken gebruiken om ongebruikelijke of niet-geautoriseerde activiteiten te zoeken of om te onderzoeken in reactie op een incident.
NetFlow-logboeken
NetFlow-logboeken worden gebruikt om netwerkcommunicatie binnen uw infrastructuur en tussen uw infrastructuur en andere services via internet te begrijpen. Meestal gebruikt u deze gegevens om de opdracht- en controleactiviteit te onderzoeken, omdat deze bron- en doel-IP-adressen en poorten bevat. Gebruik de metagegevens van NetFlow om informatie over een kwaadwillende persoon op het netwerk samen te stellen.
VPC-stroomlogboeken voor cloudproviders
VPC-stroomlogboeken (Virtual Private Cloud) zijn belangrijk geworden voor onderzoeken en opsporing van bedreigingen. Wanneer organisaties cloudomgevingen gebruiken, moeten bedreigingsjagers netwerkstromen tussen clouds of tussen clouds en eindpunten kunnen onderzoeken.
Logboeken voor TLS/SSL-certificaatcontrole
Logboeken voor TLS/SSL-certificaatmonitoren hebben de relevantie in recente cyberaanvallen met een hoog profiel te hoog. Hoewel TLS/SSL-certificaatbewaking geen algemene logboekbron is, bieden de logboeken waardevolle gegevens voor verschillende soorten aanvallen waarbij certificaten betrokken zijn. Ze helpen u inzicht te verkrijgen in de bron van het certificaat:
- Of het zelfondertekend is
- Hoe deze is gegenereerd
- Als het certificaat is uitgegeven vanuit een betrouwbare bron
Proxylogboeken
Veel netwerken onderhouden een transparante proxy om inzicht te bieden in het verkeer van interne gebruikers. Proxyserverlogboeken bevatten aanvragen van gebruikers en toepassingen in een lokaal netwerk. Deze logboeken bevatten ook toepassings- of serviceaanvragen die via internet worden gedaan, zoals toepassingsupdates. Wat wordt geregistreerd, is afhankelijk van het apparaat of de oplossing. Maar de logboeken bieden vaak het volgende:
- Datum
- Tijd
- Tekengrootte
- Interne host die de aanvraag heeft ingediend
- Wat de host heeft aangevraagd
Wanneer u in het netwerk duikt als onderdeel van een onderzoek, kan overlapping van proxylogboekgegevens een waardevolle resource zijn.
Firewalllogboeken
Firewall-gebeurtenislogboeken zijn vaak de meest fundamentele netwerklogboekbronnen voor het opsporen en onderzoeken van bedreigingen. Firewall-gebeurtenislogboeken kunnen abnormaal grote bestandsoverdrachten, volume, frequentie van communicatie door een host onthullen, verbindingspogingen testen en poortscans. Firewalllogboeken zijn ook handig als gegevensbron voor verschillende ongestructureerde opsporingstechnieken, zoals het stapelen van kortstondige poorten of het groeperen en clusteren van verschillende communicatiepatronen.
IoT-logboeken
Een nieuwe en groeiende bron van logboekgegevens is Met IoT verbonden apparaten (Internet of Things). IoT-apparaten kunnen hun eigen activiteits- en/of sensorgegevens registreren die door het apparaat zijn vastgelegd. IoT-zichtbaarheid voor beveiligingsonderzoeken en opsporing van bedreigingen is een belangrijke uitdaging. Met geavanceerde IoT-implementaties worden logboekgegevens opgeslagen in een centrale cloudservice zoals Azure.