Microsoft Sentinel データ レイクに使用するログ ソース

この記事では、コネクタを有効にする場合にのみ、データ レイク層として構成することを検討するログ ソースについて説明します。 特定のテーブルを構成する層を選択する前に、ユース ケースに最も適したレベルをチェックします。 データ カテゴリとデータ層の詳細については、「Microsoft Sentinelのログ保持プラン」を参照してください。

クラウド プロバイダーのストレージ アクセス ログ

ストレージ アクセス ログは、未承認の関係者への機密データの漏洩を含む調査のための情報のセカンダリ ソースを提供できます。 これらのログは、データに付与されたシステムまたはユーザーのアクセス許可に関する問題を特定するのに役立ちます。

多くのクラウド プロバイダーでは、すべてのアクティビティをログに記録できます。 これらのログを使用して、異常なアクティビティや未承認のアクティビティを探したり、インシデントに対応して調査したりできます。

NetFlow ログ

NetFlow ログは、インフラストラクチャ内のネットワーク通信、およびインフラストラクチャとインターネット経由の他のサービスとの間のネットワーク通信を理解するために使用されます。 ほとんどの場合、このデータを使用して、ソースと宛先の IP とポートが含まれているため、コマンドと制御のアクティビティを調査します。 NetFlow によって提供されるメタデータを使用して、ネットワーク上の敵対者に関する情報をまとめるのに役立ちます。

クラウド プロバイダーの VPC フロー ログ

調査と脅威ハンティングでは、仮想プライベート クラウド (VPC) フロー ログが重要になりました。 組織がクラウド環境を運用する場合、脅威ハンターはクラウド間、またはクラウドとエンドポイント間のネットワーク フローを調べることができる必要があります。

TLS/SSL 証明書モニター ログ

TLS/SSL 証明書モニター ログは、最近の高プロファイルサイバー攻撃における関連性が大きくなっています。 TLS/SSL 証明書の監視は一般的なログ ソースではありませんが、ログは証明書が関与するさまざまな種類の攻撃に対して貴重なデータを提供します。 証明書のソースを理解するのに役立ちます。

• 自己署名されたかどうか
• 生成された方法
• 信頼できるソースから証明書が発行された場合

プロキシ ログ

多くのネットワークでは、内部ユーザーのトラフィックを可視化するために透過的なプロキシが維持されています。 プロキシ サーバー ログには、ローカル ネットワーク上のユーザーとアプリケーションによって行われた要求が含まれます。 これらのログには、アプリケーションの更新など、インターネット経由で行われたアプリケーションまたはサービス要求も含まれます。 ログに記録される内容は、アプライアンスまたはソリューションによって異なります。 ただし、多くの場合、ログには次の情報が含まれます。

• 日付
• Time
• Size
• 要求を行った内部ホスト
• ホストが要求した内容

調査の一環としてネットワークを掘り下げる場合、プロキシ ログ データの重複は貴重なリソースになる可能性があります。

ファイアウォール ログ

ファイアウォール イベント ログは、多くの場合、脅威ハンティングと調査のための最も基本的なネットワーク ログ ソースです。 ファイアウォール イベント ログでは、異常に大きなファイル転送、ボリューム、ホストによる通信頻度、プローブ接続試行、ポート スキャンが表示される可能性があります。 ファイアウォール ログは、エフェメラル ポートのスタックや、さまざまな通信パターンのグループ化とクラスタリングなど、さまざまな非構造化ハンティング手法のデータ ソースとしても役立ちます。

IoT ログ

ログ データの新しく増大するソースは、モノのインターネット (IoT) に接続されたデバイスです。 IoT デバイスは、デバイスによってキャプチャされた独自のアクティビティやセンサー データをログに記録する場合があります。 セキュリティ調査と脅威ハンティングに対する IoT の可視性は、大きな課題です。 高度な IoT デプロイでは、Azureなどの中央クラウド サービスにログ データが保存されます。

次の手順

• Microsoft Sentinel データ レイクとは
• Microsoft Defender ポータルでデータ層とリテンション期間を管理する
• KQL と Microsoft Sentinel データ レイク
• Microsoft Sentinel データ レイクの Jupyter ノートブック