Sumber log yang akan digunakan untuk penyerapan Log Tambahan

Artikel ini menyoroti sumber log untuk mempertimbangkan konfigurasi sebagai Log Tambahan (atau Log Dasar) saat disimpan dalam tabel Analitik Log. Sebelum memilih jenis log untuk mengonfigurasi tabel tertentu, lakukan penelitian untuk melihat mana yang paling tepat. Untuk informasi selengkapnya tentang kategori data dan paket data log, lihat Rencana retensi log di Microsoft Azure Sentinel.

Log akses penyimpanan untuk penyedia cloud

Log akses penyimpanan dapat menyediakan sumber informasi sekunder untuk penyelidikan yang melibatkan paparan data sensitif kepada pihak yang tidak berwenang. Log ini dapat membantu Anda mengidentifikasi masalah dengan sistem atau izin pengguna yang diberikan ke data.

Banyak penyedia cloud memungkinkan Anda untuk mencatat semua aktivitas. Anda dapat menggunakan log ini untuk berburu aktivitas yang tidak biasa atau tidak sah, atau untuk menyelidiki sebagai respons terhadap insiden.

Log NetFlow

Log NetFlow digunakan untuk memahami komunikasi jaringan dalam infrastruktur Anda, dan antara infrastruktur Anda dan layanan lain melalui Internet. Paling sering, Anda menggunakan data ini untuk menyelidiki aktivitas perintah dan kontrol karena mencakup IP dan port sumber dan tujuan. Gunakan metadata yang disediakan oleh NetFlow untuk membantu Anda mengumpulkan informasi adversary di jaringan.

Log alur VPC untuk penyedia cloud

Log alur Virtual Private Cloud (VPC) telah menjadi penting untuk investigasi dan perburuan ancaman. Ketika organisasi mengoperasikan lingkungan cloud, pemburu ancaman harus dapat memeriksa alur jaringan antara cloud atau antara cloud dan titik akhir.

Log monitor sertifikat TLS/SSL

Log pemantauan sertifikat TLS/SSL telah melampaui relevansi dalam serangan cyber profil tinggi baru-baru ini. Meskipun pemantauan sertifikat TLS/SSL bukanlah sumber log yang umum, log tersebut menyediakan data berharga untuk beberapa jenis serangan yang melibatkan sertifikat. Mereka membantu Anda memahami sumber sertifikat:

• Apakah itu ditandatangani sendiri
• Bagaimana itu dihasilkan
• Jika sertifikat dikeluarkan dari sumber terkemuka

Log proksi

Banyak jaringan mempertahankan proksi transparan untuk memberikan visibilitas atas lalu lintas pengguna internal. Log server proksi berisi permintaan yang dibuat oleh pengguna dan aplikasi di jaringan lokal. Log ini juga berisi permintaan aplikasi atau layanan yang dibuat melalui Internet, seperti pembaruan aplikasi. Apa yang dicatat tergantung pada appliance atau solusi. Tetapi log sering menyediakan:

• Tanggal
• Waktu
• Ukuran
• Host internal yang membuat permintaan
• Apa yang diminta host

Saat Anda menggali jaringan sebagai bagian dari penyelidikan, data log proksi yang tumpang tindih dapat menjadi sumber daya yang berharga.

Log firewall

Log peristiwa firewall sering kali merupakan sumber log jaringan paling mendasar untuk perburuan dan investigasi ancaman. Log peristiwa firewall dapat mengungkapkan transfer file yang sangat besar, volume, frekuensi komunikasi oleh host, upaya sambungan pemeriksaan, dan pemindaian port. Log firewall juga berguna sebagai sumber data untuk berbagai teknik perburuan tidak terstruktur, seperti menumpuk port sementara, atau mengelompokkan dan mengelompokkan pola komunikasi yang berbeda.

Log IoT

Sumber data log baru dan yang berkembang adalah perangkat yang terhubung dengan Internet of Things (IoT). Perangkat IoT mungkin mencatat aktivitas mereka sendiri dan/atau data sensor yang ditangkap oleh perangkat. Visibilitas IoT untuk investigasi keamanan dan perburuan ancaman adalah tantangan utama. Penyebaran IoT tingkat lanjut menyimpan data log ke layanan cloud pusat seperti Azure.

Langkah berikutnya

• Pilih paket tabel berdasarkan penggunaan data di ruang kerja Analitik Log
• Menyiapkan tabel dengan paket Tambahan di ruang kerja Analitik Log Anda (Pratinjau)
• Mengelola retensi data di ruang kerja Analitik Log
• Mulai investigasi dengan mencari peristiwa dalam himpunan data besar (pratinjau)