Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird darauf hingewiesen, dass Protokollquellen beim Aktivieren eines Connectors nur als Data Lake-Tier konfiguriert werden sollten. Bevor Sie eine Ebene auswählen, für die eine bestimmte Tabelle konfiguriert werden soll, überprüfen Sie, welche Leiste für Ihren Anwendungsfall am besten geeignet ist. Weitere Informationen zu Datenkategorien und Datenebenen finden Sie unter Protokollaufbewahrungspläne in Microsoft Sentinel.
Wichtig
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.
Ab Juli 2026 werden alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch eingebunden und zum Defender-Portal umgeleitet.
Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".
Storage-Zugriffsprotokolle für Cloudanbieter
Storage-Zugriffsprotokolle können eine sekundäre Informationsquelle für Untersuchungen bereitstellen, die die Enthüllung vertraulicher Daten an nicht autorisierte Parteien betreffen. Diese Protokolle können Ihnen helfen, Probleme mit System- oder Benutzerberechtigungen zu identifizieren, die den Daten gewährt wurden.
Bei vielen Cloudanbietern können Sie alle Aktivitäten protokollieren. Sie können diese Protokolle verwenden, um nach ungewöhnlichen oder nicht autorisierten Aktivitäten zu suchen oder eine Untersuchung als Reaktion auf einen Incident durchzuführen.
NetFlow-Protokolle
NetFlow-Protokolle werden verwendet, um die Netzwerkkommunikation in Ihrer Infrastruktur und zwischen Ihrer Infrastruktur und anderen Diensten über das Internet zu verstehen. Meistens verwenden Sie diese Daten, um Befehls- und Steuerungsaktivitäten zu untersuchen, da sie Quell- und Ziel-IP-Adressen und -Ports umfassen. Verwenden Sie die von NetFlow bereitgestellten Metadaten, um Informationen zu einem Gegner im Netzwerk zusammenzustellen.
VPC-Datenflussprotokolle für Cloudanbieter
Virtual Private Cloud (VPC)-Datenflussprotokolle sind für Untersuchungen und Bedrohungssuche wichtig geworden. Wenn Organisationen Cloudumgebungen betreiben, müssen Bedrohungssucher in der Lage sein, Netzwerkflüsse zwischen Clouds oder zwischen Clouds und Endpunkten zu untersuchen.
TLS/SSL-Zertifikatüberwachungsprotokolle
TLS/SSL-Zertifikatüberwachungsprotokolle wiesen bei den letzten bekannt gewordenen Cyberangriffen eine übertriebene Relevanz auf. Obwohl die TLS/SSL-Zertifikatüberwachung keine gängige Protokollquelle ist, bieten die Protokolle wertvolle Daten für verschiedene Arten von Angriffen, bei denen Zertifikate beteiligt sind. Sie helfen Ihnen, die Quelle des Zertifikats zu verstehen:
- Ob es selbst signiert wurde
- Wie es generiert wurde
- Ob das Zertifikat von einer vertrauenswürdigen Quelle ausgestellt wurde
Proxyprotokolle
Viele Netzwerke pflegen einen transparenten Proxy, um den Datenverkehr interner Benutzer sichtbar zu machen. Proxyserverprotokolle enthalten Anforderungen von Benutzern und Anwendungen in einem lokalen Netzwerk. Diese Protokolle enthalten auch Anwendungs- oder Dienstanforderungen, die über das Internet vorgenommen wurden, z. B. Anwendungsupdates. Was protokolliert wird, hängt von der Appliance oder Lösung ab. Die Protokolle bieten jedoch häufig Folgendes:
- Date
- Time
- Size
- Interner Host, der die Anforderung vorgenommen hat
- Was der Host angefordert hat
Wenn Sie im Rahmen einer Untersuchung genauer auf das Netzwerk schauen, kann die Überlappung von Proxyprotokolldaten eine wertvolle Ressource sein.
Firewallprotokolle
Firewallereignisprotokolle sind häufig die grundlegendsten Netzwerkprotokollquellen für die Bedrohungssuche und -untersuchungen. Firewallereignisprotokolle können ungewöhnlich große Dateiübertragungen, Umfang, Kommunikationsfrequenz durch einen Host, Überprüfung von Verbindungsversuchen und Portüberprüfungen anzeigen. Firewallprotokolle sind auch als Datenquelle für verschiedene unstrukturierte Suchtechniken nützlich, z. B. Stapeln ephemerer Ports oder Gruppieren und Clustering verschiedener Kommunikationsmuster.
IoT-Protokolle
Eine neue und wachsende Quelle von Protokolldaten sind mit dem Internet der Dinge (IoT) verbundene Geräte. IoT-Geräte protokollieren möglicherweise ihre eigene Aktivität und/oder Sensordaten, die vom Gerät erfasst werden. IoT-Sichtbarkeit für Sicherheitsuntersuchungen und Bedrohungssuche ist eine große Herausforderung. Erweiterte IoT-Bereitstellungen speichern Protokolldaten in einem zentralen Clouddienst, z. B. Azure.