Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo destaca as origens de registos para considerar a configuração como camada do data lake apenas ao ativar um conector. Antes de escolher um escalão para o qual configurar uma determinada tabela, marcar qual o escalão mais adequado para o seu caso de utilização. Para obter mais informações sobre categorias de dados e camadas de dados, veja Planos de retenção de registos no Microsoft Sentinel.
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Registos de acesso ao armazenamento para fornecedores de cloud
Os registos de acesso ao armazenamento podem fornecer uma origem secundária de informações para investigações que envolvem a exposição de dados confidenciais a entidades não autorizadas. Estes registos podem ajudá-lo a identificar problemas com permissões de sistema ou de utilizador concedidas aos dados.
Muitos fornecedores de cloud permitem-lhe registar toda a atividade. Pode utilizar estes registos para procurar atividades invulgares ou não autorizadas ou para investigar em resposta a um incidente.
Registos do NetFlow
Os registos do NetFlow são utilizados para compreender a comunicação de rede na sua infraestrutura e entre a sua infraestrutura e outros serviços através da Internet. Na maioria das vezes, utiliza estes dados para investigar a atividade de comando e controlo, uma vez que inclui portas e IPs de origem e destino. Utilize os metadados fornecidos pelo NetFlow para o ajudar a reunir informações sobre um adversário na rede.
Registos de fluxo de VPC para fornecedores de cloud
Os registos de fluxos da Cloud Privada Virtual (VPC) tornaram-se importantes para investigações e investigação de ameaças. Quando as organizações operam ambientes na cloud, os caçadores de ameaças precisam de ser capazes de examinar fluxos de rede entre clouds ou entre clouds e pontos finais.
Registos de monitorização de certificados TLS/SSL
Os registos do monitor de certificados TLS/SSL têm tido uma relevância desmesuada nos recentes ciberataques de alto perfil. Embora a monitorização de certificados TLS/SSL não seja uma origem de registo comum, os registos fornecem dados valiosos para vários tipos de ataques em que os certificados estão envolvidos. Ajudam-no a compreender a origem do certificado:
- Se foi autoassinado
- Como foi gerado
- Se o certificado tiver sido emitido a partir de uma origem respeitável
Registos de proxy
Muitas redes mantêm um proxy transparente para fornecer visibilidade sobre o tráfego de utilizadores internos. Os registos do servidor proxy contêm pedidos feitos por utilizadores e aplicações numa rede local. Estes registos também contêm pedidos de aplicação ou serviço efetuados através da Internet, como atualizações de aplicações. O que é registado depende da dispositivo ou da solução. No entanto, os registos fornecem frequentemente:
- Data
- Time
- Tamanho
- Anfitrião interno que efetuou o pedido
- O que o anfitrião pediu
Quando investiga a rede como parte de uma investigação, a sobreposição de dados de registo de proxy pode ser um recurso valioso.
Registos da firewall
Os registos de eventos da firewall são, muitas vezes, as origens de registo de rede mais fundamentais para investigação e investigação de ameaças. Os registos de eventos da firewall podem revelar transferências de ficheiros anormalmente grandes, volume, frequência de comunicação por um anfitrião, tentativas de pesquisa de ligação e análise de portas. Os registos da firewall também são úteis como origem de dados para várias técnicas de investigação não estruturadas, como empilhar portas efémeras ou agrupamento e clustering diferentes padrões de comunicação.
Registos IoT
Uma nova e crescente origem de dados de registo é dispositivos ligados à Internet das Coisas (IoT). Os dispositivos IoT podem registar os seus próprios dados de atividade e/ou sensor capturados pelo dispositivo. A visibilidade da IoT para investigações de segurança e investigação de ameaças é um grande desafio. As implementações de IoT avançadas guardam dados de registo num serviço cloud central, como Azure.