日志收集对于安全分析计划的成功至关重要。 调查或威胁搜寻的日志源越多,可能实现的就越多。
用于检测的主要日志源通常包含检测到的内容的元数据和上下文。 但有时需要辅助日志源来提供安全事件或安全漏洞的完整情况。 遗憾的是,其中许多辅助日志源是具有有限安全检测值的高容量详细日志。 它们只有在安全事件或威胁搜寻需要时才有用。 基本日志在此可以发挥作用。 基本日志提供更低的成本选项,用于将高容量详细日志引入 Log Analytics 工作区。
基本日志中的事件日志数据不能用作安全事件和警报的主要日志源。 但是,在调查事件或执行威胁搜寻时,基本日志事件数据有助于关联和得出结论。
本主题重点介绍存储在 Log Analytics 表中时用于考虑配置基本日志的日志源。 在将表配置为基本日志之前,请比较日志数据计划。
存储访问日志可以为涉及向未经授权方公开敏感数据的调查提供辅助信息源。 这些日志可帮助识别授予数据的系统或用户权限的问题。
许多云提供商允许记录所有活动。 你可以使用这些日志来搜寻异常或未经授权的活动,或对事件进行调查。
NetFlow 日志用于了解基础结构内的网络通信,以及基础结构与其他服务之间通过 Internet 的网络通信。 通常,使用此数据调查命令和控制活动,因为它包括源和目标 IP 与端口。 使用 NetFlow 提供的元数据帮助你将有关网络上攻击者的信息拼凑在一起。
虚拟私有云 (VPC) 流日志对调查和威胁搜寻非常重要。 当组织运行云环境时,威胁搜寻者需要能够检查云之间或云与终结点之间的网络流。
TLS/SSL 证书监视器日志在最近备受关注的网络攻击中具有很大的相关性。 虽然 TLS/SSL 证书监视不是常见的日志源,但该日志针对涉及证书的多种类型的攻击提供有价值的数据。 以下内容可帮助你了解证书的源:
- 是否是自签名的
- 是如何生成的
- 证书是否是由信誉良好的源颁发的
许多网络都维护透明代理,以提供对内部用户的流量的可见性。 代理服务器日志包含本地网络上的用户和应用程序发出的请求。 这些日志还包含通过 Internet 发出的应用程序或服务请求,例如应用程序更新。 记录的内容取决于设备或解决方案。 但日志通常提供:
- 日期
- 时间
- 大小
- 发出请求的内部主机
- 主机请求的内容
在调查过程中深入挖掘网络时,代理日志数据重叠可能是有价值的资源。
防火墙事件日志通常是用于威胁搜寻和调查的最基本的网络日志源。 防火墙事件日志可以显示异常大的文件传输、容量、主机通信频率、探测连接尝试和端口扫描。 防火墙日志也可用作各种非结构化搜寻技术的数据源,例如堆叠临时端口或分组和聚类分析不同的通信模式。
新的不断增长的日志数据源是物联网 (IoT) 连接的设备。 IoT 设备可能会记录自己的活动和/或设备捕获的传感器数据。 安全调查和威胁搜寻的 IoT 可见性是一项重大挑战。 高级 IoT 部署将日志数据保存到 Azure 等中央云服务。