Loggkällor som ska användas för inmatning av tilläggsloggar

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Den här artikeln belyser loggkällor för att överväga att konfigurera som tilläggsloggar (eller grundläggande loggar) när de lagras i Log Analytics-tabeller. Innan du väljer en loggtyp som du vill konfigurera en viss tabell för ska du göra det för att se vilken som är lämpligast. Mer information om datakategorier och loggdataplaner finns i Loggkvarhållningsplaner i Microsoft Sentinel.

Viktigt!

Loggtypen Tilläggsloggar finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Lagringsåtkomstloggar för molnleverantörer

Lagringsåtkomstloggar kan ge en sekundär informationskälla för undersökningar som omfattar exponering av känsliga data för obehöriga parter. Dessa loggar kan hjälpa dig att identifiera problem med system- eller användarbehörigheter som beviljats till data.

Med många molnleverantörer kan du logga all aktivitet. Du kan använda dessa loggar för att söka efter ovanlig eller obehörig aktivitet eller för att undersöka som svar på en incident.

NetFlow-loggar

NetFlow-loggar används för att förstå nätverkskommunikation i infrastrukturen och mellan din infrastruktur och andra tjänster via Internet. Oftast använder du dessa data för att undersöka kommando- och kontrollaktiviteten eftersom den innehåller käll- och mål-IP-adresser och portar. Använd de metadata som tillhandahålls av NetFlow för att hjälpa dig att sammanställa information om en angripare i nätverket.

VPC-flödesloggar för molnleverantörer

VPC-flödesloggar (Virtual Private Cloud) har blivit viktiga för undersökningar och hotjakt. När organisationer använder molnmiljöer måste hotjägare kunna undersöka nätverksflöden mellan moln eller mellan moln och slutpunkter.

Övervakningsloggar för TLS/SSL-certifikat

TLS/SSL-certifikatövervakningsloggar har haft outsized relevans i de senaste uppmärksammade cyberattackerna. TLS/SSL-certifikatövervakning är inte en vanlig loggkälla, men loggarna tillhandahåller värdefulla data för flera typer av attacker där certifikat ingår. De hjälper dig att förstå källan till certifikatet:

• Om det var självsignerat
• Hur den genererades
• Om certifikatet har utfärdats från en välrenommerad källa

Proxyloggar

Många nätverk har en transparent proxy för att ge insyn i trafiken för interna användare. Proxyserverloggar innehåller begäranden från användare och program i ett lokalt nätverk. Dessa loggar innehåller även program- eller tjänstbegäranden som görs via Internet, till exempel programuppdateringar. Vad som loggas beror på installationen eller lösningen. Men loggarna ger ofta:

• Datum
• Tid
• Storlek
• Intern värd som gjorde begäran
• Vad värden begärde

När du går in i nätverket som en del av en undersökning kan överlappning av proxyloggdata vara en värdefull resurs.

Brandväggsloggar

Brandväggshändelseloggar är ofta de mest grundläggande nätverksloggkällorna för hotjakt och undersökningar. Brandväggshändelseloggar kan avslöja onormalt stora filöverföringar, volym, kommunikationsfrekvens av en värd, avsökning av anslutningsförsök och portgenomsökning. Brandväggsloggar är också användbara som datakälla för olika ostrukturerade jakttekniker, till exempel att stapla tillfälliga portar eller gruppera och gruppera olika kommunikationsmönster.

IoT-loggar

En ny och växande källa till loggdata är IoT-anslutna enheter (Internet of Things). IoT-enheter kan logga sin egen aktivitet och/eller sensordata som samlas in av enheten. IoT-synlighet för säkerhetsutredningar och hotjakt är en stor utmaning. Avancerade IoT-distributioner sparar loggdata till en central molntjänst som Azure.

Nästa steg

• Välj en tabellplan baserat på dataanvändning på en Log Analytics-arbetsyta
• Konfigurera en tabell med hjälpplanen på Log Analytics-arbetsytan (förhandsversion)
• Hantera datakvarhållning på en Log Analytics-arbetsyta
• Starta en undersökning genom att söka efter händelser i stora datamängder (förhandsversion)