用于Microsoft Sentinel数据湖的日志源

本文重点介绍仅在启用连接器时才考虑配置为数据湖层的日志源。 在选择要为其配置给定表的层之前，检查哪个层最适合你的用例。 有关数据类别和数据层的详细信息，请参阅 Microsoft Sentinel 中的日志保留计划。

云提供商的存储访问日志

存储访问日志可为涉及向未经授权的方公开敏感数据的调查提供辅助信息源。 这些日志可帮助你识别授予数据的系统或用户权限问题。

许多云提供商允许记录所有活动。 可以使用这些日志来搜寻异常或未经授权的活动，或进行调查以响应事件。

NetFlow 日志

NetFlow 日志用于了解基础结构内的网络通信，以及基础结构与 Internet 上其他服务之间的网络通信。 大多数情况下，使用此数据来调查命令和控制活动，因为它包括源和目标 IP 以及端口。 使用 NetFlow 提供的元数据来帮助你将网络上攻击者的信息拼凑在一起。

云提供商的 VPC 流日志

虚拟私有云 (VP) 流日志对于调查和威胁搜寻变得非常重要。 当组织运行云环境时，威胁搜寻者需要能够检查云之间或云与终结点之间的网络流。

TLS/SSL 证书监视器日志

TLS/SSL 证书监视器日志在最近的高调网络攻击中具有超大规模相关性。 虽然 TLS/SSL 证书监视不是常见的日志源，但日志为涉及证书的多种类型的攻击提供了有价值的数据。 它们可帮助你了解证书的源：

• 是否为自签名
• 生成方式
• 如果证书是从信誉良好的源颁发的

代理日志

许多网络维护透明代理，以提供内部用户流量的可见性。 代理服务器日志包含本地网络上的用户和应用程序发出的请求。 这些日志还包含通过 Internet 发出的应用程序或服务请求，例如应用程序更新。 记录的内容取决于设备或解决方案。 但日志通常提供：

• 日期
• 时间
• Size
• 发出请求的内部主机
• 主机请求的内容

在调查过程中深入了解网络时，代理日志数据重叠可能是一种宝贵的资源。

防火墙日志

防火墙事件日志通常是威胁搜寻和调查的最基本网络日志源。 防火墙事件日志可能会显示异常较大的文件传输、卷、主机通信频率、探测连接尝试和端口扫描。 防火墙日志还用作各种非结构化搜寻技术的数据源，例如堆叠临时端口或分组和聚类分析不同的通信模式。

IoT 日志

一个新的和不断增长的日志数据源是物联网 (IoT) 连接的设备。 IoT 设备可能会记录设备捕获的自己的活动和/或传感器数据。 安全调查和威胁搜寻的 IoT 可见性是一项重大挑战。 高级 IoT 部署将日志数据保存到中心云服务（如 Azure）。

后续步骤

• 什么是Microsoft Sentinel数据湖？
• 在 Microsoft Defender 门户中管理数据层和保留期
• KQL 和Microsoft Sentinel数据湖
• Microsoft Sentinel数据湖中的 Jupyter 笔记本