Aracılığıyla paylaş

Yardımcı Günlük alımı için kullanılacak günlük kaynakları

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Bu makalede, Log Analytics tablolarında depolandığında Yardımcı Günlükler (veya Temel Günlükler) olarak yapılandırmayı göz önünde bulundurmak için günlük kaynakları vurgulanmaktadır. Belirli bir tabloyu yapılandırmak istediğiniz günlük türünü seçmeden önce, en uygun olanın hangisi olduğunu görmek için araştırmayı yapın. Veri kategorileri ve günlük verileri planları hakkında daha fazla bilgi için bkz . Microsoft Sentinel'de günlük saklama planları.

Önemli

Yardımcı Günlükler günlük türü şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Bulut sağlayıcıları için depolama erişim günlükleri

Depolama erişim günlükleri, hassas verilerin yetkisiz taraflara açık olmasını içeren araştırmalar için ikincil bir bilgi kaynağı sağlayabilir. Bu günlükler, verilere verilen sistem veya kullanıcı izinleri ile ilgili sorunları belirlemenize yardımcı olabilir.

Birçok bulut sağlayıcısı tüm etkinlikleri günlüğe kaydetmenize olanak sağlar. Olağan dışı veya yetkisiz etkinlikleri aramak veya bir olaya yanıt olarak araştırmak için bu günlükleri kullanabilirsiniz.

NetFlow günlükleri

NetFlow günlükleri, altyapınız içindeki ve altyapınız ile İnternet üzerinden diğer hizmetler arasındaki ağ iletişimini anlamak için kullanılır. Kaynak ve hedef IP'leri ve bağlantı noktalarını içerdiği için bu verileri çoğunlukla komut ve denetim etkinliğini araştırmak için kullanırsınız. Ağ üzerindeki bir saldırgan hakkında bilgi toplamanıza yardımcı olması için NetFlow tarafından sağlanan meta verileri kullanın.

Bulut sağlayıcıları için VPC akış günlükleri

Sanal Özel Bulut (VPC) akış günlükleri, araştırma ve tehdit avcılığı için önemli hale gelmiştir. Kuruluşlar bulut ortamlarını çalıştırdığında tehdit avcılarının bulutlar arasındaki veya bulutlar ile uç noktalar arasındaki ağ akışlarını inceleyebilmesi gerekir.

TLS/SSL sertifika izleyici günlükleri

TLS/SSL sertifika izleme günlükleri, son yüksek profilli siber saldırılarda büyük ilgi düzeyine sahip. TLS/SSL sertifika izleme yaygın bir günlük kaynağı olmasa da, günlükler sertifikaların söz konusu olduğu çeşitli saldırı türleri için değerli veriler sağlar. Sertifikanın kaynağını anlamanıza yardımcı olur:

  • Otomatik olarak imzalanıp imzalanmadığı
  • Nasıl oluşturuldu?
  • Sertifika saygın bir kaynaktan verildiyse

Proxy günlükleri

Birçok ağ, iç kullanıcıların trafiği üzerinde görünürlük sağlamak için saydam bir ara sunucu tutar. Proxy sunucu günlükleri, yerel ağdaki kullanıcılar ve uygulamalar tarafından yapılan istekleri içerir. Bu günlükler, uygulama güncelleştirmeleri gibi İnternet üzerinden yapılan uygulama veya hizmet isteklerini de içerir. Günlüğe kaydedilenler alete veya çözüme bağlıdır. Ancak günlükler genellikle aşağıdakileri sağlar:

  • Tarih
  • Saat
  • Size
  • İstekte bulunan iç konak
  • Konağın isteği

Araştırmanın bir parçası olarak ağı araştırdığınızda, ara sunucu günlük verilerinin çakışması değerli bir kaynak olabilir.

Güvenlik Duvarı günlükleri

Güvenlik duvarı olay günlükleri genellikle tehdit avcılığı ve araştırma için en temel ağ günlüğü kaynaklarıdır. Güvenlik duvarı olay günlükleri anormal büyük dosya aktarımlarını, hacmi, bir konak tarafından iletişim sıklığını, bağlantı denemelerini yoklama ve bağlantı noktası taramasını ortaya çıkarabilir. Güvenlik duvarı günlükleri, kısa ömürlü bağlantı noktalarını yığma veya farklı iletişim desenlerini gruplandırma ve kümeleme gibi çeşitli yapılandırılmamış avlanma teknikleri için veri kaynağı olarak da kullanışlıdır.

IoT Günlükleri

Günlük verilerinin yeni ve büyüyen bir kaynağı Nesnelerin İnterneti (IoT) bağlantılı cihazlardır. IoT cihazları, cihaz tarafından yakalanan kendi etkinliklerini ve/veya algılayıcı verilerini günlüğe kaydedebilir. Güvenlik araştırmaları ve tehdit avcılığı için IoT görünürlüğü önemli bir zorluk. Gelişmiş IoT dağıtımları günlük verilerini Azure gibi merkezi bir bulut hizmetine kaydeder.

Sonraki adımlar