Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln belyser loggkällor för att överväga att konfigurera som datasjönivå endast när du aktiverar en anslutningsapp. Innan du väljer en nivå för vilken du vill konfigurera en viss tabell kontrollerar du vilken nivå som passar bäst för ditt användningsfall. Mer information om datakategorier och datanivåer finns i Loggkvarhållningsplaner i Microsoft Sentinel.
Viktigt
Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.
Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.
Lagringsåtkomstloggar för molnleverantörer
Lagringsåtkomstloggar kan ge en sekundär informationskälla för undersökningar som involverar exponering av känsliga data för obehöriga parter. De här loggarna kan hjälpa dig att identifiera problem med system- eller användarbehörigheter som beviljas till data.
Med många molnleverantörer kan du logga all aktivitet. Du kan använda dessa loggar för att söka efter ovanlig eller obehörig aktivitet eller för att undersöka som svar på en incident.
NetFlow-loggar
NetFlow-loggar används för att förstå nätverkskommunikation i din infrastruktur och mellan din infrastruktur och andra tjänster via Internet. Oftast använder du dessa data för att undersöka kommando- och kontrollaktiviteten eftersom den innehåller IP-adresser och portar för källa och mål. Använd de metadata som tillhandahålls av NetFlow för att hjälpa dig att sammanställa information om en angripare i nätverket.
VPC-flödesloggar för molnleverantörer
VPC-flödesloggar (Virtual Private Cloud) har blivit viktiga för undersökningar och hotjakt. När organisationer använder molnmiljöer måste hotjägare kunna undersöka nätverksflöden mellan moln eller mellan moln och slutpunkter.
Övervakningsloggar för TLS/SSL-certifikat
TLS/SSL-certifikatövervakningsloggar har haft större relevans vid de senaste uppmärksammade cyberattackerna. TLS/SSL-certifikatövervakning är inte en vanlig loggkälla, men loggarna tillhandahåller värdefulla data för flera typer av attacker där certifikat ingår. De hjälper dig att förstå certifikatets källa:
- Om det var självsignerat
- Hur den genererades
- Om certifikatet har utfärdats från en välrenommerad källa
Proxyloggar
Många nätverk har en transparent proxy för att ge insyn i trafiken för interna användare. Proxyserverloggar innehåller begäranden från användare och program i ett lokalt nätverk. Dessa loggar innehåller även program- eller tjänstbegäranden som görs via Internet, till exempel programuppdateringar. Vad som loggas beror på installationen eller lösningen. Men loggarna ger ofta:
- Datum
- Tid
- Storlek
- Intern värd som gjorde begäran
- Vad värden begärde
När du går in i nätverket som en del av en undersökning kan överlappning av proxyloggdata vara en värdefull resurs.
Brandväggsloggar
Brandväggshändelseloggar är ofta de mest grundläggande nätverksloggkällorna för hotjakt och undersökningar. Brandväggshändelseloggar kan avslöja onormalt stora filöverföringar, volym, kommunikationsfrekvens av en värd, avsökning av anslutningsförsök och portgenomsökning. Brandväggsloggar är också användbara som datakälla för olika ostrukturerade jakttekniker, till exempel att stapla tillfälliga portar eller gruppera och gruppera olika kommunikationsmönster.
IoT-loggar
En ny och växande källa till loggdata är IoT-anslutna enheter (Internet of Things). IoT-enheter kan logga sin egen aktivitet och/eller sensordata som samlas in av enheten. IoT-synlighet för säkerhetsundersökningar och hotjakt är en stor utmaning. Avancerade IoT-distributioner sparar loggdata till en central molntjänst som Azure.