Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, yalnızca bağlayıcı etkinleştirilirken data lake katmanı olarak yapılandırmayı göz önünde bulundurmak için günlük kaynakları vurgulanır. Belirli bir tabloyu yapılandıracak katmanı seçmeden önce, hangi katmanın kullanım örneğine en uygun olduğunu denetleyin. Veri kategorileri ve veri katmanları hakkında daha fazla bilgi için bkz. Microsoft Sentinel'da günlük saklama planları.
Önemli
31 Mart 2027'nin ardından Microsoft Sentinel artık Azure portal desteklenmeyecektir ve yalnızca Microsoft Defender portalında kullanılabilir. Azure portal Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilir ve yalnızca Defender portalında Microsoft Sentinel kullanır.
Azure portal hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz.
Bulut sağlayıcıları için depolama erişim günlükleri
Depolama erişim günlükleri, hassas verilerin yetkisiz taraflara açık olmasını içeren araştırmalara yönelik ikincil bir bilgi kaynağı sağlayabilir. Bu günlükler, verilere verilen sistem veya kullanıcı izinleri ile ilgili sorunları belirlemenize yardımcı olabilir.
Birçok bulut sağlayıcısı tüm etkinlikleri günlüğe kaydetmenize olanak sağlar. Bu günlükleri, olağan dışı veya yetkisiz etkinlikleri avlamak veya bir olaya yanıt olarak araştırmak için kullanabilirsiniz.
NetFlow günlükleri
NetFlow günlükleri, altyapınız içindeki ve altyapınız ile İnternet üzerinden diğer hizmetler arasındaki ağ iletişimini anlamak için kullanılır. Çoğu zaman, kaynak ve hedef IP'leri ve bağlantı noktalarını içerdiği için bu verileri komut ve denetim etkinliğini araştırmak için kullanırsınız. Ağ üzerindeki bir saldırgan hakkında bilgi toplamanıza yardımcı olması için NetFlow tarafından sağlanan meta verileri kullanın.
Bulut sağlayıcıları için VPC akış günlükleri
Sanal Özel Bulut (VPC) akış günlükleri araştırma ve tehdit avcılığı için önemli hale gelmiştir. Kuruluşlar bulut ortamlarını çalıştırdığında, tehdit avcılarının bulutlar arasındaki veya bulutlar ile uç noktalar arasındaki ağ akışlarını inceleyebilmesi gerekir.
TLS/SSL sertifika izleyici günlükleri
TLS/SSL sertifika izleyici günlükleri, son yüksek profilli siber saldırılarda fazla ilgi göstermişti. TLS/SSL sertifika izlemesi yaygın bir günlük kaynağı olmasa da, günlükler sertifikaların dahil olduğu çeşitli saldırı türleri için değerli veriler sağlar. Sertifikanın kaynağını anlamanıza yardımcı olur:
- Otomatik olarak imzalanıp imzalanmadığı
- Nasıl oluşturuldu?
- Sertifika saygın bir kaynaktan verildiyse
Proxy günlükleri
Birçok ağ, iç kullanıcıların trafiği üzerinde görünürlük sağlamak için saydam bir ara sunucu tutar. Proxy sunucu günlükleri, yerel ağdaki kullanıcılar ve uygulamalar tarafından yapılan istekleri içerir. Bu günlükler, uygulama güncelleştirmeleri gibi İnternet üzerinden yapılan uygulama veya hizmet isteklerini de içerir. Günlüğe kaydedilen, alete veya çözüme bağlıdır. Ancak günlükler genellikle aşağıdakileri sağlar:
- Tarih
- Saat
- Boyut
- İsteği yapan iç konak
- Konağın istediği şey
Araştırmanın bir parçası olarak ağı incelediğinizde, ara sunucu günlük verilerinin çakışması değerli bir kaynak olabilir.
Güvenlik duvarı günlükleri
Güvenlik duvarı olay günlükleri genellikle tehdit avcılığı ve araştırmalarına yönelik en temel ağ günlüğü kaynaklarıdır. Güvenlik duvarı olay günlükleri anormal büyük dosya aktarımlarını, hacmini, bir konağın iletişim sıklığını, bağlantı denemelerini yoklama ve bağlantı noktası taramasını ortaya çıkarabilir. Güvenlik duvarı günlükleri, kısa ömürlü bağlantı noktalarını yığma veya farklı iletişim desenlerini gruplandırma ve kümeleme gibi çeşitli yapılandırılmamış avlanma teknikleri için veri kaynağı olarak da kullanışlıdır.
IoT Günlükleri
Günlük verilerinin yeni ve büyüyen kaynağı Nesnelerin İnterneti (IoT) bağlantılı cihazlardır. IoT cihazları kendi etkinliklerini ve/veya cihaz tarafından yakalanan algılayıcı verilerini günlüğe kaydedebilir. Güvenlik araştırmaları ve tehdit avcılığı için IoT görünürlüğü önemli bir zorluk. Gelişmiş IoT dağıtımları günlük verilerini Azure gibi merkezi bir bulut hizmetine kaydeder.