Origini di log da usare per l'inserimento dei log ausiliari
Questo articolo illustra le origini di log da considerare come log ausiliari (o log di base) quando vengono archiviate in tabelle di Log Analytics. Prima di scegliere un tipo di log per il quale configurare una determinata tabella, eseguire la ricerca per verificare quale sia la più appropriata. Per altre informazioni sulle categorie di dati e sui piani di dati di log, vedere Piani di conservazione dei log in Microsoft Sentinel.
Importante
Il tipo di log Log ausiliari è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Log di accesso alle risorse di archiviazione per i provider di servizi cloud
I log di accesso alle risorse di archiviazione possono fornire una fonte secondaria di informazioni per le indagini che comportano l'esposizione di dati sensibili a parti non autorizzate. Questi log consentono di identificare i problemi relativi alle autorizzazioni di sistema o utente concesse ai dati.
Molti provider di servizi cloud consentono di registrare tutte le attività. È possibile usare questi log per cercare attività insolite o non autorizzate o per indagare in risposta a un evento imprevisto.
Log di NetFlow
I log di NetFlow vengono usati per comprendere la comunicazione di rete all'interno dell'infrastruttura e tra l'infrastruttura e altri servizi tramite Internet. Nella maggior parte dei casi, questi dati vengono usati per analizzare le attività di comando e controllo, perché includono indirizzi IP e porte di origine e di destinazione. Usare i metadati forniti da NetFlow per consentire di raggruppare informazioni su un antagonista in rete.
Log dei flussi VPC per i provider di servizi cloud
I log dei flussi del cloud privato virtuale (VPC) sono diventati importanti per le indagini e la ricerca delle minacce. Quando le organizzazioni gestiscono ambienti cloud, i cacciatori di minacce devono essere in grado di esaminare i flussi di rete tra cloud o tra cloud ed endpoint.
Log di monitoraggio certificati TLS/SSL
I log di monitoraggio dei certificati TLS/SSL hanno superato la rilevanza negli attacchi informatici di alto profilo recenti. Anche se il monitoraggio dei certificati TLS/SSL non è un'origine di log comune, i log forniscono dati importanti per diversi tipi di attacchi in cui sono coinvolti i certificati. Consentono di comprendere l'origine del certificato:
- Se è stato autofirmato
- Come è stato generato
- Se il certificato è stato emesso da un'origine affidabile
Log proxy
Molte reti mantengono un proxy trasparente per fornire visibilità sul traffico degli utenti interni. I log del server proxy contengono richieste effettuate da utenti e applicazioni in una rete locale. Questi log contengono anche richieste di applicazione o di servizio effettuate tramite Internet, ad esempio gli aggiornamenti dell'applicazione. Ciò che viene registrato dipende dall'appliance o dalla soluzione. Tuttavia, i log spesso forniscono:
- Data
- Time
- Dimensione
- Host interno che ha effettuato la richiesta
- Elementi richiesti dall'host
Quando si esplora la rete come parte di un'indagine, i dati di log proxy si sovrappongono possono essere una risorsa preziosa.
Log del firewall
I log eventi del firewall sono spesso le origini di log di rete più fondamentali per la ricerca e le indagini sulle minacce. I log eventi del firewall possono rivelare trasferimenti di file di grandi dimensioni, volume, frequenza di comunicazione da parte di un host, tentativi di connessione di probe e analisi delle porte. I log del firewall sono utili anche come origine dati per varie tecniche di ricerca non strutturate, ad esempio l'impilamento di porte temporanee o il raggruppamento e il clustering di modelli di comunicazione diversi.
Log IoT
Un'origine dei dati di log nuova e in crescita è costituita da dispositivi connessi a Internet delle cose (IoT). I dispositivi IoT potrebbero registrare le proprie attività e/o i dati dei sensori acquisiti dal dispositivo. La visibilità IoT per le indagini sulla sicurezza e la ricerca delle minacce è una sfida importante. Le distribuzioni IoT avanzate salvano i dati di log in un servizio cloud centrale come Azure.
Passaggi successivi
- Selezionare un piano di tabella in base all'utilizzo dei dati in un'area di lavoro Log Analytics
- Configurare una tabella con il piano ausiliario nell'area di lavoro Log Analytics (anteprima)
- Gestire la conservazione dei dati in un'area di lavoro Log Analytics
- Avviare un'indagine cercando eventi in set di dati di grandi dimensioni (anteprima)