Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье рассматриваются источники журналов, которые следует настроить как вспомогательные журналы (или базовые журналы) при их хранении в таблицах Log Analytics. Перед выбором типа журнала, для которого необходимо настроить определенную таблицу, выполните исследование, чтобы узнать, какой из них наиболее подходящий. Более подробную информацию о категориях данных и планах журнальных данных см. в Планах сохранения журналов в Microsoft Sentinel.
Внимание
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, и все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены.
Мы рекомендуем всем клиентам, использующим Microsoft Sentinel в Azure, начать планирование перехода на портал Defender для полного единого взаимодействия с безопасностью, предлагаемого Microsoft Defender. Дополнительные сведения см. в статье "Планирование перехода на портал Microsoft Defender" для всех клиентов Microsoft Sentinel.
Журналы доступа к хранилищу для поставщиков облачных служб
Журналы доступа к хранилищу могут предоставлять дополнительный источник информации для расследований, связанных с передачей конфиденциальных данных неавторизованным сторонам. Эти журналы помогут выявить проблемы с разрешениями на доступ к данными для системы или пользователей.
Многие поставщики облачных служб позволяют регистрировать все действия. Эти журналы можно использовать для поиска необычных или несанкционированных действий или расследования в ответ на инцидент.
Журналы NetFlow
Журналы NetFlow используются для понимания сетевого взаимодействия в инфраструктуре и между инфраструктурой и другими службами через Интернет. Чаще всего эти данные используются для изучения действий команды и управления, так как они включают ip-адреса источника и назначения и порты. Используйте метаданные, предоставляемые NetFlow, для объединения сведений о злоумышленнике в сети.
Журналы потоков VPC для поставщиков облачных служб
Журналы потоков виртуального частного облака (VPC) помогают расследовать и находить угрозы. Когда организации работают в облачных средах, у охотников за угрозами должна быть возможность изучать сетевые потоки между облаками или между облаком и конечными точками.
Журналы мониторинга TLS/SSL-сертификатов
Журналы мониторинга сертификатов TLS/SSL имели неуместный уровень релевантности в последних громких кибератаках. Хотя мониторинг TLS/SSL-сертификатов не является распространенным источником журналов, эти журналы предоставляют ценные данные для нескольких типов атак, в которых задействованы сертификаты. Они помогают понять источник сертификата:
- Был ли он самозаверяющим.
- Как он был создан.
- Был ли сертификат выдан из надежного источника.
Журналы прокси
Многие сети поддерживают прозрачный прокси-сервер для обеспечения видимости трафика внутренних пользователей. Журналы прокси-сервера содержат запросы от пользователей и приложений в локальной сети. Эти журналы также содержат запросы от приложений или служб, выполненные через Интернет, например обновления приложений. Данные, которые заносятся в журнал, зависят от устройства или решения. Но обычно это бывают следующие данные:
- Дата
- Время
- Размер
- Внутренний узел, который сделал запрос.
- Запрошенные узлом сведения.
При изучении сети в ходе расследования перекрытие данных журнала прокси-сервера может быть ценным ресурсом.
Журналы брандмауэра
Журналы событий брандмауэра часто являются основными источниками сетевых журналов для поиска угроз и расследований. Журналы событий брандмауэра могут выявить аномально большие передачи файлов, объемы, частоту передачи данных с узла, проверку подключений и сканирование портов. Журналы брандмауэра также полезны в качестве источника данных для различных неструктурированных методов охоты, таких как стек временных портов или группирование и кластеризация различных моделей связи.
Журналы Интернета вещей
Новый и растущий источник данных журнала — это подключенные к Интернету устройства (IoT). Устройства Интернета вещей могут заносить в журнал свои собственные действия и/или данные с датчиков, захваченные устройством. В Интернете вещей очень сложно проводить расследования и поиск угроз. Расширенные развертывания Интернета вещей сохраняют данные журнала в центральной облачной службе, такой как Azure.
Следующие шаги
- Выбор плана таблицы на основе использования данных в рабочей области Log Analytics
- Настройте таблицу с вспомогательным планом в рабочей области Log Analytics
- Управление хранением данных в рабочей области Log Analytics
- Запуск исследования путем поиска событий в больших наборах данных (предварительная версия)