Logfør kilder, der skal bruges til den Microsoft Sentinel datasø

I denne artikel fremhæves logkilder for kun at overveje at konfigurere som data lake-niveau, når du aktiverer en connector. Før du vælger et niveau, som du vil konfigurere en given tabel for, skal du kontrollere, hvilket niveau der passer bedst til din use case. Du kan få flere oplysninger om datakategorier og dataniveauer under Logopbevaringsplaner i Microsoft Sentinel.

Logfiler for lageradgang for cloududbydere

Logfiler for lageradgang kan levere en sekundær informationskilde til undersøgelser, der involverer eksponering af følsomme data for uautoriserede parter. Disse logge kan hjælpe dig med at identificere problemer med system- eller brugertilladelser, der er tildelt til dataene.

Mange cloududbydere giver dig mulighed for at logge alle aktiviteter. Du kan bruge disse logge til at søge efter usædvanlig eller uautoriseret aktivitet eller til at undersøge det som svar på en hændelse.

NetFlow-logge

NetFlow-logge bruges til at forstå netværkskommunikation i din infrastruktur og mellem din infrastruktur og andre tjenester via internettet. Du bruger oftest disse data til at undersøge kommando- og kontrolaktivitet, fordi de indeholder kilde- og destinations-IP'er og porte. Brug de metadata, der leveres af NetFlow, til at hjælpe dig med at samle oplysninger om en modstander på netværket.

VPC-flowlogge for cloududbydere

VPC-flowlogge (Virtual Private Cloud) er blevet vigtige for undersøgelser og trusselsjagt. Når organisationer kører cloudmiljøer, skal trusselsjægere kunne undersøge netværksflows mellem cloudmiljøer eller mellem cloudmiljøer og slutpunkter.

TLS/SSL-certifikatovervågningslogge

TLS/SSL-certifikatovervågningslogge har haft overdimensioneret relevans i de seneste højt profilerede cyberangreb. Selvom overvågning af TLS/SSL-certifikater ikke er en almindelig logkilde, leverer loggene værdifulde data til flere typer angreb, hvor der er involveret certifikater. De hjælper dig med at forstå kilden til certifikatet:

• Om det var selvsigneret
• Sådan blev den genereret
• Hvis certifikatet er udstedt fra en velanset kilde

Proxylogge

Mange netværk har en gennemsigtig proxy for at give synlighed over trafikken for interne brugere. Proxyserverlogge indeholder anmodninger fra brugere og programmer på et lokalt netværk. Disse logge indeholder også program- eller tjenesteanmodninger, der foretages via internettet, f.eks. programopdateringer. Det, der logføres, afhænger af apparatet eller løsningen. Men loggene indeholder ofte:

• Dato
• Tidspunkt
• Størrelse
• Intern vært, der har foretaget anmodningen
• Hvad værten har anmodet om

Når du graver dig ind i netværket som en del af en undersøgelse, kan overlapning af proxylogdata være en værdifuld ressource.

Firewalllogge

Logge over firewallhændelser er ofte de mest grundlæggende netværkslogkilder til trusselsjagt og -undersøgelser. Logge over firewallhændelser kan vise unormalt store filoverførsler, volumen, hyppighed for kommunikation af en vært, undersøge forsøg på at oprette forbindelse og scanne porte. Firewalllogge er også nyttige som datakilde til forskellige ustrukturerede jagtteknikker, f.eks. stabling af flygtighedsporte eller gruppering og klyngedannelse af forskellige kommunikationsmønstre.

IoT-logge

En ny og voksende kilde til logdata er IoT-tilsluttede enheder (Internet of Things). IoT-enheder kan logge deres egen aktivitet og/eller sensordata, der registreres af enheden. IoT-synlighed for sikkerhedsundersøgelser og trusselsjagt er en stor udfordring. Avancerede IoT-udrulninger gemmer logdata i en central cloudtjeneste, f.eks. Azure.

Næste trin

• Hvad er den Microsoft Sentinel datasø?
• Administrer dataniveauer og opbevaring i Microsoft Defender Portal
• KQL og datasøen Microsoft Sentinel
• Jupyter-notesbøger i datasøen Microsoft Sentinel