Fontes de log a serem usadas para ingestão de logs auxiliares
Este artigo realça as fontes de log para considerar a configuração como Logs Auxiliares (ou Logs Básicos) quando eles são armazenados em tabelas do Log Analytics. Antes de escolher um tipo de log para o qual configurar uma determinada tabela, faça a pesquisa para ver qual é o mais apropriado. Para obter mais informações sobre categorias de dados e planos de dados de log, consulte Planos de retenção de log no Microsoft Sentinel.
Importante
O tipo de log Logs Auxiliares está atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
O Microsoft Sentinel agora está disponível para todos na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.
Armazenamento de logs de acesso para provedores de nuvem
O armazenamento de logs de acesso pode fornecer uma fonte secundária de informações para investigações que envolvem exposição de dados confidenciais a partes não autorizadas. Esses logs podem ajudá-lo a identificar problemas com as permissões do sistema ou do usuário concedidas aos dados.
Muitos provedores de nuvem permitem que você registre todas as atividades. Você pode usar esses logs para procurar atividades incomuns ou não autorizadas ou investigar em resposta a um incidente.
Logs do NetFlow
Os logs do NetFlow são usados para entender a comunicação de rede em sua infraestrutura e entre sua infraestrutura e outros serviços pela Internet. Na maioria das vezes, você usa esses dados para investigar a atividade de comando e controle pois ele inclui IPs e portas de origem e de destino. Use os metadados fornecidos pelo NetFlow para ajudá-lo a reunir informações sobre um adversário na rede.
Logs de fluxo do VPC para provedores de nuvem
Os logs de fluxo de VPC (nuvem privada virtual) tornaram-se importantes para investigações e busca de ameaças. Quando as organizações operam ambientes de nuvem, os caçadores de ameaças precisam ser capazes de examinar os fluxos de rede entre nuvens ou entre nuvens e pontos de extremidade.
Logs de monitoramento de certificado TLS/SSL
Os logs de monitoramento de certificado TLS/SSL tiveram uma relevância muito grande em ataques cibernéticos de alto perfil recentes. Embora o monitoramento de certificado TLS/SSL não seja uma fonte de log comum, os logs fornecem dados valiosos para vários tipos de ataques em que os certificados estão envolvidos. Eles ajudam você a entender a origem do certificado:
- Se foi autoassinado
- Como ele foi gerado
- Se o certificado foi emitido de uma fonte confiável
Logs de proxy
Muitas redes mantêm um proxy transparente para fornecer visibilidade sobre o tráfego de usuários internos. Os logs do servidor proxy contêm solicitações feitas por usuários e aplicativos em uma rede local. Esses logs também contêm solicitações de aplicativo ou serviço feitas pela Internet, como atualizações do aplicativo. O que está registrado depende do dispositivo ou da solução. Mas os logs geralmente fornecem:
- Data
- Hora
- Tamanho
- Host interno que fez a solicitação
- O que o host solicitou
Quando você examina a rede como parte de uma investigação, a sobreposição de dados de log de proxy pode ser um recurso valioso.
Logs de Firewall
Os logs de eventos de firewall geralmente são as fontes de log de rede mais fundamentais para busca e investigações de ameaças. Os logs de eventos de firewall podem revelar transferências de arquivos excessivamente grandes, volume, frequência de comunicação por um host, tentativas de conexão de investigação e verificação de porta. Os logs de firewall também são úteis como uma fonte de dados para várias técnicas de busca não estruturadas, como empilhar portas efêmeras ou agrupar padrões de comunicação diferentes.
Logs de IoT
Uma fonte de dados de log nova e crescente são dispositivos conectados à IoT (Internet das Coisas). Os dispositivos IoT podem registrar seus próprios dados de atividade e/ou sensor capturados pelo dispositivo. A visibilidade da IoT para investigações de segurança e busca de ameaças é um grande desafio. Implantações avançadas de IoT salvam dados de log em um serviço de nuvem central como o Azure.
Próximas etapas
- Selecione um plano de tabela com base no uso de dados em um workspace do Log Analytics
- Configurar uma tabela com o plano auxiliar em seu workspace do Log Analytics (Versão prévia)
- Gerenciar a retenção de dados em um workspace do Log Analytics
- Iniciar uma investigação procurando eventos em grandes conjuntos de dados (versão prévia)