用於輔助記錄擷取的記錄來源
本文著重說明當記錄儲存在 Log Analytics 資料表時,要考慮設定為輔助紀錄 (或基本紀錄) 記錄來源。 在選擇要設定指定資料表的記錄類型之前,請先進行研究,以了解哪種類型最合適。 如需資料類別和記錄資料計劃的詳細資訊,請參閱 Microsoft Sentinel 中的記錄保留計劃 (英文)。
重要
輔助記錄記錄類型目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
雲端提供者的儲存體存取記錄
儲存體存取記錄可以提供次要資訊來源,以調查涉及敏感性資料暴露給未經授權對象的情況。 這些記錄可協助您識別授與資料之系統或使用者權限的問題。
許多雲端提供者都可讓您記錄所有活動。 您可以使用這些記錄來搜捕異常或未經授權的活動,或針對事件進行調查。
NetFlow 記錄
NetFlow 記錄可用來了解基礎結構內的網路通訊,以及基礎結構與其他透過網際網路的服務之間的網路通訊。 通常,您會使用此資料來調查命令和控制活動,因其包括來源和目的地 IP 與連接埠。 使用 NetFlow 所提供的中繼資料,協助您將網路上敵人的相關資訊組合在一起。
雲端提供者的 VPC 流量記錄
虛擬私人雲端 (VPC) 流量記錄對於調查和威脅搜捕而言非常重要。 當組織操作雲端環境時,威脅搜捕人員必須能夠檢查雲端之間或雲端與端點之間的網路流程。
TLS/SSL 憑證監視記錄
TLS/SSL 憑證監視記錄在近期引人注目的網路攻擊中,具有高度相關性。 雖然 TLS/SSL 憑證監視不是常見的記錄來源,但記錄會為涉及憑證的數種攻擊類型提供寶貴的資料。 它們可協助您了解憑證的來源:
- 是否為自我簽署
- 產生方式
- 憑證是否從可信賴的來源發出
Proxy 記錄
許多網路都會維持透明的 Proxy,以提供內部使用者流量的可見度。 Proxy 伺服器記錄包括使用者和應用程式在本地網路上提出的要求。 這些記錄也包括透過網際網路提出的應用程式或服務要求,例如應用程式更新。 記錄的內容依設備或解決方案而定。 但記錄通常會提供:
- Date
- Time
- 大小
- 提出要求的內部主機
- 主機要求的內容
當您在調查過程中深入探討網路時,Proxy 記錄資料的重疊可能是寶貴的資源。
防火牆記錄
防火牆事件記錄通常是威脅搜捕和調查的最基本網路記錄來源。 防火牆事件記錄檔可能會顯示異常大型的檔案傳輸、磁碟區、主機通訊的頻率、探查連線嘗試,以及連接埠掃描。 防火牆記錄也可用來作為各種非結構化搜捕技術的資料來源,例如堆疊暫時埠,或群組和叢集不同的通訊模式。
IoT 記錄
新的成長中記錄資料來源是物聯網 (IoT) 連線裝置。 IoT 裝置可能會記錄其本身的活動和/或裝置所擷取的感應器資料。 安全性調查和威脅搜捕的 IoT 可見度是一項重大挑戰。 進階 IoT 部署會將記錄資料儲存至 Azure 等中央雲端服務。