A kiegészítő naplók betöltéséhez használandó naplóforrások
Ez a cikk kiemeli a naplóforrásokat, hogy megfontolják a kiegészítő naplók (vagy alapnaplók) konfigurálását a Log Analytics-táblákban való tároláskor. Mielőtt kiválaszt egy naplótípust, amelyhez konfigurálni szeretne egy adott táblát, végezze el a kutatást, hogy kiderüljön, melyik a legmegfelelőbb. Az adatkategóriákról és a naplóadat-tervekről további információt a Microsoft Sentinel naplómegőrzési terveiben talál.
Fontos
A kiegészítő naplók naplótípusa jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Tárelérési naplók felhőszolgáltatók számára
A tárelérési naplók másodlagos információforrást biztosíthatnak az olyan vizsgálatokhoz, amelyek bizalmas adatok illetéktelen személyeknek való kitettségét foglalják magukban. Ezek a naplók segíthetnek azonosítani az adatokhoz megadott rendszer- vagy felhasználói engedélyekkel kapcsolatos problémákat.
Számos felhőszolgáltató lehetővé teszi az összes tevékenység naplózását. Ezeket a naplókat használhatja szokatlan vagy jogosulatlan tevékenységek keresésére, vagy incidensre adott válaszként történő vizsgálatra.
NetFlow-naplók
A NetFlow-naplók segítségével megismerheti az infrastruktúrán belüli hálózati kommunikációt, valamint az infrastruktúra és más szolgáltatások közötti internetes kommunikációt. Ezeket az adatokat leggyakrabban a parancs- és vezérlési tevékenység vizsgálatára használja, mivel azok tartalmazzák a forrás- és cél IP-címeket és portokat. A NetFlow által biztosított metaadatok segítségével összegyűjtheti a hálózaton lévő támadókkal kapcsolatos információkat.
VPC-folyamatnaplók felhőszolgáltatók számára
A virtuális magánfelhő (VPC) folyamatnaplói fontossá váltak a vizsgálatok és a fenyegetéskeresés szempontjából. Amikor a szervezetek felhőkörnyezeteket működtetnek, a fenyegetésvadászoknak képesnek kell lenniük a felhők közötti vagy a felhők és végpontok közötti hálózati folyamatok vizsgálatára.
TLS/SSL-tanúsítványfigyelő naplói
A TLS/SSL-tanúsítványmonitorozási naplók kiugró jelentőséggel bírtak a legutóbbi nagy profilú kibertámadásokban. Bár a TLS/SSL-tanúsítványok monitorozása nem gyakori naplóforrás, a naplók értékes adatokat szolgáltatnak a különböző típusú támadásokhoz, amelyekben tanúsítványok szerepelnek. Segítenek megérteni a tanúsítvány forrását:
- Önaláírt volt-e
- A létrehozás menete
- Ha a tanúsítványt megbízható forrásból állították ki
Proxynaplók
Számos hálózat transzparens proxyt tart fenn a belső felhasználók forgalmának láthatósága érdekében. A proxykiszolgáló-naplók a helyi hálózaton lévő felhasználók és alkalmazások által küldött kéréseket tartalmazzák. Ezek a naplók az interneten keresztül küldött alkalmazás- vagy szolgáltatáskéréseket, például alkalmazásfrissítéseket is tartalmaznak. A naplózott adatok a berendezéstől vagy a megoldástól függenek. A naplók azonban gyakran adnak:
- Dátum
- Idő
- Méret
- A kérést intéző belső gazdagép
- Amit a gazdagép kért
Ha egy vizsgálat részeként feltárja a hálózatot, a proxynapló adatainak átfedése értékes erőforrás lehet.
Tűzfalnaplók
A tűzfalesemény-naplók gyakran a fenyegetések keresésének és vizsgálatának legalapvetőbb hálózati naplói. A tűzfalesemény-naplók abnormálisan nagy fájlátviteleket, köteteket, a gazdagépek közötti kommunikáció gyakoriságát, a csatlakozási kísérleteket és a portkeresést fedhetik fel. A tűzfalnaplók adatforrásként is hasznosak különböző strukturálatlan vadászati technikákhoz, például rövid élettartamú portok halmozásához, vagy különböző kommunikációs minták csoportosításához és fürtezéséhez.
IoT-naplók
A naplóadatok új és egyre növekvő forrása a dolgok internete (IoT)-hez csatlakoztatott eszközök. Az IoT-eszközök naplózhatják saját tevékenységeiket és/vagy az eszköz által rögzített érzékelőadatokat. A biztonsági vizsgálatok és a fenyegetéskeresés IoT-láthatósága jelentős kihívást jelent. A fejlett IoT-környezetek naplóadatokat mentenek egy központi felhőszolgáltatásba, például az Azure-ba.
Következő lépések
- Táblaterv kiválasztása egy Log Analytics-munkaterület adathasználata alapján
- Tábla beállítása a Kiegészítő csomaggal a Log Analytics-munkaterületen (előzetes verzió)
- Adatmegőrzés kezelése naplóelemzési munkaterületen
- Vizsgálat indítása nagyméretű adathalmazokban lévő események keresésével (előzetes verzió)