你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文重点介绍仅在启用连接器时考虑配置为 Data Lake 层的日志源。 在选择要为其配置给定表的层之前,请检查哪个层最适合你的用例。 有关数据类别和数据层的详细信息,请参阅 sentinel Microsoft 中的日志保留计划。
重要说明
2027 年 3 月 31 日之后,Microsoft Sentinel 将不再在 Azure 门户中受支持,并且仅在 Microsoft Defender 门户中可用。 在 Azure 门户中使用 Microsoft Sentinel 的所有客户都将 重定向到 Defender 门户,并将仅在 Defender 门户中使用 Microsoft Sentinel。
如果仍在 Azure 门户中使用 Microsoft Sentinel,建议开始计划 过渡到 Defender 门户 ,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全作体验。
云提供商的存储访问日志
存储访问日志可以为涉及向未经授权方公开敏感数据的调查提供辅助信息源。 这些日志可帮助识别授予数据的系统或用户权限的问题。
许多云提供商允许记录所有活动。 你可以使用这些日志来搜寻异常或未经授权的活动,或对事件进行调查。
NetFlow 日志
NetFlow 日志用于了解基础结构内的网络通信,以及基础结构与其他服务之间通过 Internet 的网络通信。 通常,使用此数据调查命令和控制活动,因为它包括源和目标 IP 与端口。 使用 NetFlow 提供的元数据帮助你将有关网络上攻击者的信息拼凑在一起。
云提供商的 VPC 流日志
虚拟私有云 (VPC) 流日志对调查和威胁搜寻非常重要。 当组织运行云环境时,威胁搜寻者需要能够检查云之间或云与终结点之间的网络流。
TLS/SSL 证书监视器日志
TLS/SSL 证书监视器日志在最近备受关注的网络攻击中具有很大的相关性。 虽然 TLS/SSL 证书监视不是常见的日志源,但该日志针对涉及证书的多种类型的攻击提供有价值的数据。 以下内容可帮助你了解证书的源:
- 是否是自签名的
- 是如何生成的
- 证书是否是由信誉良好的源颁发的
代理日志
许多网络都维护透明代理,以提供对内部用户的流量的可见性。 代理服务器日志包含本地网络上的用户和应用程序发出的请求。 这些日志还包含通过 Internet 发出的应用程序或服务请求,例如应用程序更新。 记录的内容取决于设备或解决方案。 但日志通常提供:
- Date
- 时间
- 大小
- 发出请求的内部主机
- 主机请求的内容
在调查过程中深入挖掘网络时,代理日志数据重叠可能是有价值的资源。
防火墙日志
防火墙事件日志通常是用于威胁搜寻和调查的最基本的网络日志源。 防火墙事件日志可以显示异常大的文件传输、容量、主机通信频率、探测连接尝试和端口扫描。 防火墙日志也可用作各种非结构化搜寻技术的数据源,例如堆叠临时端口或分组和聚类分析不同的通信模式。
IoT 日志
新的不断增长的日志数据源是物联网 (IoT) 连接的设备。 IoT 设备可能会记录自己的活动和/或设备捕获的传感器数据。 安全调查和威胁搜寻的 IoT 可见性是一项重大挑战。 高级 IoT 部署将日志数据保存到 Azure 等中央云服务。