Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden logboekbronnen beschreven om alleen te configureren als data lake-laag bij het inschakelen van een connector. Voordat u een laag kiest waarvoor u een bepaalde tabel wilt configureren, controleert u welke laag het meest geschikt is voor uw use-case. Zie Logboekretentieplannen in Microsoft Sentinel voor meer informatie over gegevenscategorieën en gegevenslagen.
Belangrijk
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.
Opslagtoegangslogboeken voor cloudproviders
Opslagtoegangslogboeken kunnen een secundaire informatiebron bieden voor onderzoeken waarbij gevoelige gegevens worden blootgesteld aan onbevoegde partijen. Deze logboeken kunnen u helpen bij het identificeren van problemen met systeem- of gebruikersmachtigingen die aan de gegevens zijn verleend.
Bij veel cloudproviders kunt u alle activiteiten registreren. U kunt deze logboeken gebruiken om te zoeken naar ongebruikelijke of niet-geautoriseerde activiteiten of om te onderzoeken als reactie op een incident.
NetFlow-logboeken
NetFlow-logboeken worden gebruikt om inzicht te krijgen in de netwerkcommunicatie binnen uw infrastructuur en tussen uw infrastructuur en andere services via internet. Meestal gebruikt u deze gegevens om opdracht- en beheeractiviteiten te onderzoeken, omdat deze bron- en doel-IP-adressen en poorten bevatten. Gebruik de metagegevens van NetFlow om informatie over een kwaadwillende persoon in het netwerk te verzamelen.
VPC-stroomlogboeken voor cloudproviders
VPC-stroomlogboeken (Virtual Private Cloud) zijn belangrijk geworden voor onderzoek en opsporing van bedreigingen. Wanneer organisaties cloudomgevingen gebruiken, moeten bedreigingsjagers netwerkstromen tussen clouds of tussen clouds en eindpunten kunnen onderzoeken.
TLS/SSL-certificaatmonitorlogboeken
TLS/SSL-certificaatmonitorlogboeken hebben een te grote relevantie gehad bij recente cyberaanvallen met een hoog profiel. Hoewel TLS/SSL-certificaatbewaking geen algemene logboekbron is, bieden de logboeken waardevolle gegevens voor verschillende soorten aanvallen waarbij certificaten betrokken zijn. Ze helpen u de bron van het certificaat te begrijpen:
- Of het zelfondertekend is
- Hoe deze is gegenereerd
- Als het certificaat is uitgegeven van een betrouwbare bron
Proxylogboeken
Veel netwerken onderhouden een transparante proxy om inzicht te bieden in het verkeer van interne gebruikers. Proxyserverlogboeken bevatten aanvragen van gebruikers en toepassingen op een lokaal netwerk. Deze logboeken bevatten ook toepassings- of serviceaanvragen die via internet zijn gedaan, zoals toepassingsupdates. Wat wordt geregistreerd, is afhankelijk van het apparaat of de oplossing. Maar de logboeken bieden vaak het volgende:
- Datum
- Tijd
- Grootte
- Interne host die de aanvraag heeft gedaan
- Wat de host heeft aangevraagd
Wanneer u het netwerk onderzoekt als onderdeel van een onderzoek, kan overlapping van proxylogboekgegevens een waardevolle resource zijn.
Firewalllogboeken
Firewall-gebeurtenislogboeken zijn vaak de meest fundamentele netwerklogboekbronnen voor het opsporen en onderzoeken van bedreigingen. Firewall-gebeurtenislogboeken kunnen abnormaal grote bestandsoverdrachten, volume, frequentie van communicatie door een host, testverbindingspogingen en poortscans onthullen. Firewalllogboeken zijn ook handig als gegevensbron voor verschillende ongestructureerde opsporingstechnieken, zoals het stapelen van tijdelijke poorten of het groeperen en clusteren van verschillende communicatiepatronen.
IoT-logboeken
Een nieuwe en groeiende bron van logboekgegevens zijn ioT-apparaten (Internet of Things). IoT-apparaten kunnen hun eigen activiteiten en/of sensorgegevens registreren die door het apparaat zijn vastgelegd. IoT-zichtbaarheid voor beveiligingsonderzoeken en opsporing van bedreigingen is een grote uitdaging. Geavanceerde IoT-implementaties slaan logboekgegevens op in een centrale cloudservice, zoals Azure.