Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wyróżniono źródła logów, które należy rozważyć do skonfigurowania jako warstwę data lake wyłącznie przy włączaniu łącznika. Przed wybraniem warstwy, dla której chcesz skonfigurować daną tabelę, sprawdź, która warstwa jest najbardziej odpowiednia dla danego przypadku użycia. Aby uzyskać więcej informacji na temat kategorii danych i warstw danych, zobacz Plany przechowywania dzienników w usłudze Microsoft Sentinel.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.
Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.
Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).
Dzienniki dostępu do przechowywania dla dostawców usług w chmurze
Dzienniki dostępu do przechowywania mogą stanowić dodatkowe źródło informacji dla śledztw związanych z ujawnieniem poufnych danych nieautoryzowanym osobom. Te dzienniki mogą pomóc w zidentyfikowaniu problemów z uprawnieniami systemu lub użytkownika przyznanymi danym.
Wielu dostawców usług w chmurze umożliwia rejestrowanie wszystkich działań. Te dzienniki umożliwiają wyszukiwanie nietypowych lub nieautoryzowanych działań lub badanie w odpowiedzi na zdarzenie.
Dzienniki NetFlow
Dzienniki netFlow służą do zrozumienia komunikacji sieciowej w infrastrukturze oraz między infrastrukturą a innymi usługami za pośrednictwem Internetu. Najczęściej te dane służą do badania działania poleceń i kontroli, ponieważ zawierają źródłowe i docelowe adresy IP i porty. Użyj metadanych dostarczonych przez platformę NetFlow, aby ułatwić łączenie informacji o przeciwniku w sieci.
Dzienniki przepływów VPC dla dostawców usług w chmurze
Dzienniki przepływów wirtualnej chmury prywatnej (VPC) stały się ważne w przypadku badań i wyszukiwania zagrożeń. Gdy organizacje obsługują środowiska w chmurze, łowcy zagrożeń muszą mieć możliwość badania przepływów sieci między chmurami lub między chmurami a punktami końcowymi.
Dzienniki monitora certyfikatów TLS/SSL
Dzienniki monitora certyfikatów TLS/SSL mają duże znaczenie w ostatnich atakach cybernetycznych o wysokim profilu. Chociaż monitorowanie certyfikatów TLS/SSL nie jest typowym źródłem dziennika, dzienniki zapewniają cenne dane dla kilku typów ataków, w których są zaangażowane certyfikaty. Ułatwiają one zrozumienie źródła certyfikatu:
- Czy został podpisany samodzielnie
- Sposób jego generowania
- Jeśli certyfikat został wystawiony z wiarygodnego źródła
Dzienniki serwera proxy
Wiele sieci utrzymuje przezroczysty serwer proxy, aby zapewnić widoczność ruchu użytkowników wewnętrznych. Dzienniki serwera proxy zawierają żądania wysyłane przez użytkowników i aplikacje w sieci lokalnej. Te dzienniki zawierają również żądania aplikacji lub obsługi wysyłane przez Internet, takie jak aktualizacje aplikacji. To, co jest rejestrowane, zależy od urządzenia lub rozwiązania. Jednak dzienniki często zapewniają:
- Data kalendarzowa
- Czas
- Rozmiar
- Host wewnętrzny, który złożył żądanie
- Czego zażądał gospodarz
Podczas zaglądania w sieć w ramach śledztwa dane z logów serwera proxy mogą być cennym zasobem.
Dzienniki Zapory
Dzienniki zdarzeń zapory są często najbardziej podstawowymi źródłami dzienników sieci na potrzeby wyszukiwania zagrożeń i badania. Dzienniki zdarzeń zapory mogą ujawniać nietypowo duże transfery plików, wolumin, częstotliwość komunikacji przez hosta, próby sondowania połączenia i skanowanie portów. Dzienniki zapory są również przydatne jako źródło danych dla różnych technik wyszukiwania bez struktury, takich jak stos portów efemerycznych lub grupowanie i klastrowanie różnych wzorców komunikacji.
Dzienniki IoT
Nowe i rosnące źródło danych dziennika to urządzenia połączone z Internetem rzeczy (IoT). Urządzenia IoT mogą rejestrować własne dane aktywności i/lub czujników przechwytywane przez urządzenie. Widoczność IoT na potrzeby badań zabezpieczeń i wyszukiwania zagrożeń jest głównym wyzwaniem. Zaawansowane wdrożenia IoT zapisują dane dziennika w centralnej usłudze w chmurze, takiej jak Azure.