Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden Protokollquellen beschrieben, die nur beim Aktivieren eines Connectors als Data Lake-Ebene konfiguriert werden sollten. Bevor Sie eine Ebene auswählen, für die eine bestimmte Tabelle konfiguriert werden soll, überprüfen Sie, welche Ebene für Ihren Anwendungsfall am besten geeignet ist. Weitere Informationen zu Datenkategorien und Datenebenen finden Sie unter Protokollaufbewahrungspläne in Microsoft Sentinel.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
Speicherzugriffsprotokolle für Cloudanbieter
Speicherzugriffsprotokolle können eine sekundäre Informationsquelle für Untersuchungen sein, die die Offenlegung vertraulicher Daten gegenüber nicht autorisierten Parteien beinhalten. Diese Protokolle können Ihnen helfen, Probleme mit System- oder Benutzerberechtigungen zu identifizieren, die den Daten gewährt wurden.
Viele Cloudanbieter ermöglichen es Ihnen, alle Aktivitäten zu protokollieren. Sie können diese Protokolle verwenden, um nach ungewöhnlichen oder nicht autorisierten Aktivitäten zu suchen oder als Reaktion auf einen Incident zu untersuchen.
NetFlow-Protokolle
NetFlow-Protokolle werden verwendet, um die Netzwerkkommunikation innerhalb Ihrer Infrastruktur und zwischen Ihrer Infrastruktur und anderen Diensten über das Internet zu verstehen. Am häufigsten verwenden Sie diese Daten, um Befehls- und Steuerungsaktivitäten zu untersuchen, da sie Quell- und Ziel-IPs und Ports enthalten. Verwenden Sie die von NetFlow bereitgestellten Metadaten, um Informationen zu einem Angreifer im Netzwerk zusammenzusammeln.
VPC-Flussprotokolle für Cloudanbieter
VPC-Datenflussprotokolle (Virtual Private Cloud) sind für Untersuchungen und bedrohungssuche wichtig geworden. Wenn Organisationen Cloudumgebungen betreiben, müssen Bedrohungsjäger in der Lage sein, Netzwerkflüsse zwischen Clouds oder zwischen Clouds und Endpunkten zu untersuchen.
Überwachungsprotokolle für TLS-/SSL-Zertifikate
Protokolle zur Überwachung von TLS-/SSL-Zertifikaten haben bei den jüngsten Cyberangriffen mit hohem Profil eine überdimensionierte Relevanz. Die TLS/SSL-Zertifikatüberwachung ist zwar keine gängige Protokollquelle, aber die Protokolle liefern wertvolle Daten für verschiedene Arten von Angriffen, bei denen Zertifikate beteiligt sind. Sie helfen Ihnen, die Quelle des Zertifikats zu verstehen:
- Ob es selbstsigniert war
- Wie es generiert wurde
- Wenn das Zertifikat von einer seriösen Quelle ausgestellt wurde
Proxyprotokolle
Viele Netzwerke verwalten einen transparenten Proxy, um Transparenz über den Datenverkehr interner Benutzer zu ermöglichen. Proxyserverprotokolle enthalten Anforderungen von Benutzern und Anwendungen in einem lokalen Netzwerk. Diese Protokolle enthalten auch Anwendungs- oder Dienstanforderungen, die über das Internet gesendet werden, z. B. Anwendungsupdates. Was protokolliert wird, hängt vom Anwendung oder der Lösung ab. Die Protokolle bieten jedoch häufig Folgendes:
- Datum
- Zeit
- Size
- Interner Host, der die Anforderung gestellt hat
- Was der Host angefordert hat
Wenn Sie das Netzwerk im Rahmen einer Untersuchung untersuchen, kann eine Überlappung von Proxyprotokolldaten eine wertvolle Ressource sein.
Firewallprotokolle
Firewallereignisprotokolle sind häufig die grundlegendsten Netzwerkprotokollquellen für bedrohungssuche und -untersuchungen. Firewallereignisprotokolle können ungewöhnlich große Dateiübertragungen, Das Volumen, die Häufigkeit der Kommunikation durch einen Host, das Testen von Verbindungsversuchen und die Portüberprüfung aufdecken. Firewallprotokolle sind auch als Datenquelle für verschiedene unstrukturierte Suchverfahren nützlich, z. B. das Stapeln kurzlebiger Ports oder das Gruppieren und Clustern verschiedener Kommunikationsmuster.
IoT-Protokolle
Eine neue und wachsende Quelle für Protokolldaten sind geräte, die mit dem Internet der Dinge (IoT) verbunden sind. IoT-Geräte protokollieren möglicherweise ihre eigenen Aktivitäts- und/oder Sensordaten, die vom Gerät erfasst wurden. IoT-Sichtbarkeit für Sicherheitsuntersuchungen und Bedrohungssuche ist eine große Herausforderung. Erweiterte IoT-Bereitstellungen speichern Protokolldaten in einem zentralen Clouddienst wie Azure.