Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье рассматриваются источники журналов, которые следует учитывать при включении соединителя в качестве уровня озера данных. Перед выбором уровня, для которого необходимо настроить определенную таблицу, проверьте, какой уровень наиболее подходит для вашего варианта использования. Дополнительные сведения о категориях данных и уровнях данных см. в планах хранения журналов в Microsoft Sentinel.
Внимание
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Журналы доступа к хранилищу для поставщиков облачных служб
Журналы доступа к хранилищу могут предоставлять дополнительный источник информации для расследований, связанных с передачей конфиденциальных данных неавторизованным сторонам. Эти журналы помогут выявить проблемы с разрешениями на доступ к данными для системы или пользователей.
Многие поставщики облачных служб позволяют регистрировать все действия. Эти журналы можно использовать для поиска необычных или несанкционированных действий или расследования в ответ на инцидент.
Журналы NetFlow
Журналы NetFlow используются для понимания сетевого взаимодействия в инфраструктуре и между инфраструктурой и другими службами через Интернет. Чаще всего эти данные используются для изучения действий команды и управления, так как они включают ip-адреса источника и назначения и порты. Используйте метаданные, предоставляемые NetFlow, для объединения сведений о злоумышленнике в сети.
Журналы потоков VPC для поставщиков облачных служб
Журналы потоков виртуального частного облака (VPC) помогают расследовать и находить угрозы. Когда организации работают в облачных средах, у охотников за угрозами должна быть возможность изучать сетевые потоки между облаками или между облаком и конечными точками.
Журналы мониторинга TLS/SSL-сертификатов
Журналы мониторинга сертификатов TLS/SSL имели значительное значение в недавних известных кибератаках. Хотя мониторинг TLS/SSL-сертификатов не является распространенным источником журналов, эти журналы предоставляют ценные данные для нескольких типов атак, в которых задействованы сертификаты. Они помогают понять источник сертификата:
- Был ли он самоподписанным.
- Как он был создан.
- Был ли сертификат выдан из надежного источника.
Журналы прокси
Многие сети поддерживают прозрачный прокси-сервер для обеспечения видимости трафика внутренних пользователей. Журналы прокси-сервера содержат запросы от пользователей и приложений в локальной сети. Эти журналы также содержат запросы от приложений или служб, выполненные через Интернет, например обновления приложений. Данные, которые заносятся в журнал, зависят от устройства или решения. Но обычно это бывают следующие данные:
- Дата
- Время
- Размер
- Внутренний хост, который сделал запрос.
- Запрошенные хостом данные.
При изучении сети в ходе расследования перекрытие данных журнала прокси-сервера может быть ценным ресурсом.
Журналы брандмауэра
Журналы событий брандмауэра часто являются основными источниками сетевых журналов для поиска угроз и расследований. Журналы событий брандмауэра могут выявить аномально большие передачи файлов, объемы, частоту передачи данных с узла, проверку подключений и сканирование портов. Журналы брандмауэра также полезны в качестве источника данных для различных неструктурированных методов исследования, таких как накапливание эфемерных портов или группировка и кластеризация схем коммуникации.
Журналы Интернета вещей
Новый и растущий источник данных журнала — это подключенные к Интернету устройства (IoT). Устройства Интернета вещей могут заносить в журнал свои собственные действия и/или данные с датчиков, захваченные устройством. Обеспечение видимости Интернета вещей для проведения расследований в области безопасности и поиска угроз является серьезной проблемой. Расширенные развертывания Интернета вещей сохраняют данные журнала в центральной облачной службе, такой как Azure.