Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo destaca as fontes de log para considerar a configuração como camada de data lake somente ao habilitar um conector. Antes de escolher uma camada para a qual configurar uma determinada tabela, verifique qual camada é mais apropriada para seu caso de uso. Para obter mais informações sobre categorias de dados e camadas de dados, consulte Planos de retenção de log no Microsoft Sentinel.
Importante
O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.
Logs de acesso ao armazenamento para provedores de nuvem
Os logs de acesso ao armazenamento podem fornecer uma fonte secundária de informações para investigações que envolvam a exposição de dados confidenciais a partes não autorizadas. Esses logs podem ajudá-lo a identificar problemas com as permissões de sistema ou usuário concedidas aos dados.
Muitos provedores de nuvem permitem que você registre todas as atividades. Você pode usar esses logs para procurar atividades incomuns ou não autorizadas, ou para investigar em resposta a um incidente.
Logs do NetFlow
Os logs do NetFlow são usados para entender a comunicação de rede dentro de sua infraestrutura e entre sua infraestrutura e outros serviços pela Internet. Na maioria das vezes, você usa esses dados para investigar a atividade de comando e controle, pois eles incluem IPs e portas de origem e destino. Use os metadados fornecidos pelo NetFlow para ajudá-lo a reunir informações sobre um adversário na rede.
Logs de fluxo de VPC para provedores de nuvem
Os logs de fluxo da Virtual Private Cloud (VPC) tornaram-se importantes para investigações e caça a ameaças. Quando as organizações operam ambientes de nuvem, os caçadores de ameaças precisam ser capazes de examinar os fluxos de rede entre nuvens ou entre nuvens e endpoints.
Logs do monitor de certificado TLS/SSL
Os logs do monitor de certificado TLS/SSL tiveram uma relevância descomunal em ataques cibernéticos recentes de alto perfil. Embora o monitoramento de certificados TLS/SSL não seja uma fonte de log comum, os logs fornecem dados valiosos para vários tipos de ataques em que os certificados estão envolvidos. Eles ajudam você a entender a origem do certificado:
- Se foi auto-assinado
- Como foi gerado
- Se o certificado foi emitido por uma fonte respeitável
Logs de proxy
Muitas redes mantêm um proxy transparente para fornecer visibilidade sobre o tráfego de usuários internos. Os logs do servidor proxy contêm solicitações feitas por usuários e aplicativos em uma rede local. Esses logs também contêm solicitações de aplicativos ou serviços feitas pela Internet, como atualizações de aplicativos. O que é registado depende do aparelho ou da solução. Mas os logs geralmente fornecem:
- Data
- Hora
- Tamanho
- Host interno que fez a solicitação
- O que o anfitrião solicitou
Quando você se aprofunda na rede como parte de uma investigação, a sobreposição de dados de log de proxy pode ser um recurso valioso.
Registos da firewall
Os logs de eventos do firewall geralmente são as fontes de log de rede mais fundamentais para a caça a ameaças e investigações. Os logs de eventos do firewall podem revelar transferências de arquivos anormalmente grandes, volume, frequência de comunicação por um host, tentativas de conexão de sondagem e varredura de portas. Os logs de firewall também são úteis como fonte de dados para várias técnicas de caça não estruturadas, como empilhamento de portas efêmeras ou agrupamento e agrupamento de diferentes padrões de comunicação.
Registos de IoT
Uma nova e crescente fonte de dados de log são os dispositivos conectados à Internet das Coisas (IoT). Os dispositivos IoT podem registrar suas próprias atividades e/ou dados do sensor capturados pelo dispositivo. A visibilidade da IoT para investigações de segurança e caça a ameaças é um grande desafio. As implantações avançadas de IoT salvam dados de log em um serviço de nuvem central como o Azure.