Logboekbronnen die moeten worden gebruikt voor opname van hulplogboeken

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In dit artikel worden logboekbronnen gemarkeerd om te overwegen om te configureren als hulplogboeken (of basislogboeken) wanneer ze worden opgeslagen in Log Analytics-tabellen. Voordat u een logboektype kiest waarvoor een bepaalde tabel moet worden geconfigureerd, moet u het onderzoek doen om te zien welke het meest geschikt is. Zie Logboekretentieplannen in Microsoft Sentinel voor meer informatie over gegevenscategorieën en logboekgegevensplannen.

Belangrijk

Het logboektype Hulplogboek bevindt zich momenteel in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.

Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Logboeken voor opslagtoegang voor cloudproviders

Logboeken voor opslagtoegang kunnen een secundaire bron van informatie bieden voor onderzoeken die betrekking hebben op blootstelling van gevoelige gegevens aan onbevoegde partijen. Deze logboeken kunnen u helpen bij het identificeren van problemen met systeem- of gebruikersmachtigingen die aan de gegevens zijn verleend.

Met veel cloudproviders kunt u alle activiteiten registreren. U kunt deze logboeken gebruiken om ongebruikelijke of niet-geautoriseerde activiteiten te zoeken of om te onderzoeken in reactie op een incident.

NetFlow-logboeken

NetFlow-logboeken worden gebruikt om netwerkcommunicatie binnen uw infrastructuur en tussen uw infrastructuur en andere services via internet te begrijpen. Meestal gebruikt u deze gegevens om de opdracht- en controleactiviteit te onderzoeken, omdat deze bron- en doel-IP-adressen en poorten bevat. Gebruik de metagegevens van NetFlow om informatie over een kwaadwillende persoon op het netwerk samen te stellen.

VPC-stroomlogboeken voor cloudproviders

VPC-stroomlogboeken (Virtual Private Cloud) zijn belangrijk geworden voor onderzoeken en opsporing van bedreigingen. Wanneer organisaties cloudomgevingen gebruiken, moeten bedreigingsjagers netwerkstromen tussen clouds of tussen clouds en eindpunten kunnen onderzoeken.

Logboeken voor TLS/SSL-certificaatcontrole

Logboeken voor TLS/SSL-certificaatmonitoren hebben de relevantie in recente cyberaanvallen met een hoog profiel te hoog. Hoewel TLS/SSL-certificaatbewaking geen algemene logboekbron is, bieden de logboeken waardevolle gegevens voor verschillende soorten aanvallen waarbij certificaten betrokken zijn. Ze helpen u inzicht te verkrijgen in de bron van het certificaat:

• Of het zelfondertekend is
• Hoe deze is gegenereerd
• Als het certificaat is uitgegeven vanuit een betrouwbare bron

Proxylogboeken

Veel netwerken onderhouden een transparante proxy om inzicht te bieden in het verkeer van interne gebruikers. Proxyserverlogboeken bevatten aanvragen van gebruikers en toepassingen in een lokaal netwerk. Deze logboeken bevatten ook toepassings- of serviceaanvragen die via internet worden gedaan, zoals toepassingsupdates. Wat wordt geregistreerd, is afhankelijk van het apparaat of de oplossing. Maar de logboeken bieden vaak het volgende:

• Datum
• Tijd
• Tekengrootte
• Interne host die de aanvraag heeft ingediend
• Wat de host heeft aangevraagd

Wanneer u in het netwerk duikt als onderdeel van een onderzoek, kan overlapping van proxylogboekgegevens een waardevolle resource zijn.

Firewalllogboeken

Firewall-gebeurtenislogboeken zijn vaak de meest fundamentele netwerklogboekbronnen voor het opsporen en onderzoeken van bedreigingen. Firewall-gebeurtenislogboeken kunnen abnormaal grote bestandsoverdrachten, volume, frequentie van communicatie door een host onthullen, verbindingspogingen testen en poortscans. Firewalllogboeken zijn ook handig als gegevensbron voor verschillende ongestructureerde opsporingstechnieken, zoals het stapelen van kortstondige poorten of het groeperen en clusteren van verschillende communicatiepatronen.

IoT-logboeken

Een nieuwe en groeiende bron van logboekgegevens is Met IoT verbonden apparaten (Internet of Things). IoT-apparaten kunnen hun eigen activiteits- en/of sensorgegevens registreren die door het apparaat zijn vastgelegd. IoT-zichtbaarheid voor beveiligingsonderzoeken en opsporing van bedreigingen is een belangrijke uitdaging. Met geavanceerde IoT-implementaties worden logboekgegevens opgeslagen in een centrale cloudservice zoals Azure.

Volgende stappen

• Een tabelplan selecteren op basis van gegevensgebruik in een Log Analytics-werkruimte
• Een tabel instellen met het hulpplan in uw Log Analytics-werkruimte (preview)
• Gegevensretentie beheren in een Log Analytics-werkruimte
• Een onderzoek starten door te zoeken naar gebeurtenissen in grote gegevenssets (preview)