Fontes de log a serem usadas para o data lake do Microsoft Sentinel

Este artigo destaca as fontes de log para considerar a configuração como camada de data lake somente ao habilitar um conector. Antes de escolher uma camada para a qual configurar uma determinada tabela, verifique qual camada é mais apropriada para seu caso de uso. Para obter mais informações sobre categorias de dados e camadas de dados, consulte planos de retenção de log no Microsoft Sentinel.

Armazenamento de logs de acesso para provedores de nuvem

O armazenamento de logs de acesso pode fornecer uma fonte secundária de informações para investigações que envolvem exposição de dados confidenciais a partes não autorizadas. Esses logs podem ajudá-lo a identificar problemas com as permissões do sistema ou do usuário concedidas aos dados.

Muitos provedores de nuvem permitem que você registre todas as atividades. Você pode usar esses logs para procurar atividades incomuns ou não autorizadas ou investigar em resposta a um incidente.

Logs do NetFlow

Os logs do NetFlow são usados para entender a comunicação de rede em sua infraestrutura e entre sua infraestrutura e outros serviços pela Internet. Na maioria das vezes, você usa esses dados para investigar a atividade de comando e controle pois ele inclui IPs e portas de origem e de destino. Use os metadados fornecidos pelo NetFlow para ajudá-lo a reunir informações sobre um adversário na rede.

Logs de fluxo do VPC para provedores de nuvem

Os logs de fluxo de VPC (nuvem privada virtual) tornaram-se importantes para investigações e busca de ameaças. Quando as organizações operam ambientes de nuvem, os caçadores de ameaças precisam ser capazes de examinar os fluxos de rede entre nuvens ou entre nuvens e pontos de extremidade.

Logs de monitoramento de certificado TLS/SSL

Os logs de monitoramento de certificado TLS/SSL tiveram uma relevância muito grande em ataques cibernéticos de alto perfil recentes. Embora o monitoramento de certificado TLS/SSL não seja uma fonte de log comum, os logs fornecem dados valiosos para vários tipos de ataques em que os certificados estão envolvidos. Eles ajudam você a entender a origem do certificado:

• Se foi autoassinado
• Como ele foi gerado
• Se o certificado foi emitido de uma fonte confiável

Logs de proxy

Muitas redes mantêm um proxy transparente para fornecer visibilidade sobre o tráfego de usuários internos. Os logs do servidor proxy contêm solicitações feitas por usuários e aplicativos em uma rede local. Esses logs também contêm solicitações de aplicativo ou serviço feitas pela Internet, como atualizações do aplicativo. O que está registrado depende do dispositivo ou da solução. Mas os logs geralmente fornecem:

• Data
• Hora
• Tamanho
• Host interno que fez a solicitação
• O que o host solicitou

Quando você examina a rede como parte de uma investigação, a sobreposição de dados de log de proxy pode ser um recurso valioso.

Logs de Firewall

Os logs de eventos de firewall geralmente são as fontes de log de rede mais fundamentais para busca e investigações de ameaças. Os logs de eventos de firewall podem revelar transferências de arquivos excessivamente grandes, volume, frequência de comunicação por um host, tentativas de conexão de investigação e verificação de porta. Os logs de firewall também são úteis como uma fonte de dados para várias técnicas de busca não estruturadas, como empilhar portas efêmeras ou agrupar padrões de comunicação diferentes.

Logs de IoT

Uma fonte de dados de log nova e crescente são dispositivos conectados à IoT (Internet das Coisas). Os dispositivos IoT podem registrar seus próprios dados de atividade e/ou sensor capturados pelo dispositivo. A visibilidade da IoT para investigações de segurança e busca de ameaças é um grande desafio. Implantações avançadas de IoT salvam dados de log em um serviço de nuvem central como o Azure.

Próximas etapas

• O que é o data lake do Microsoft Sentinel?
• Gerenciar camadas de dados e retenção no Microsoft Defender Portal
• KQL e o data lake do Microsoft Sentinel
• Notebooks Jupyter no lago de dados do Microsoft Sentinel