Azure Sentinel -- 云原生企业安全信息和事件管理平台(SIEM)初探系列一

   SIEM,一个已经存在20多年的安全产品领域,一个很多企业所必须的安全事件监控和管理平台,但现在它所承载的功能和价值也随着现在企业办公环境的变化而面临巨大的挑战。

首先,最大的一点的不同在于,企业的安全边界已经改变,何谓企业的安全边界,十年前,可以说是企业所拥有的电脑资产和服务器资产,因为在当时近乎所有的办公都是发生在公司管控范围内的电脑及服务器上。因此只需针对设备做到监管,如限制USB的接入,限制互联网的接入等,就能够很大程度上抵御来自外部的威胁。但如今,不仅企业允许员工自带办公设备,越来越多的企业应用在移动设备端的访问频次的提升。企业已经很难通过管控设备来达到企业信息安全的管控。因此,现在越来越多的企业已经将安全边界的确定,转移到了员工的身上,及从该员工在公司的角色及工作职责范畴来对其在公司企业中的账号的行为进行管控。比如一个前端业务销售,如果登录到企业服务器的数据库的这个行为就可以被界定为可疑,甚至是高危的行为,需要采取安全措施。

其次,数据信息量的爆炸,延展到员工在工作期间需要交互的信息量的暴涨,导致企业中所产生的日志量的规模已几何的形式进行增长,如何在巨量的信息中仍旧能够检索到有利于判断潜在威胁的过程,将会对原本部署在本地的日志搜索引擎的扩展灵活性,及服务器的性能有很高的要求。

最后,不得不说,随着比特币的出现,及其在资本市场中价格的稳定性的提高,这样安全攻击者的获利成本和风险大大降低,也滋养了这样的一个市场,因此对于现在的SIEM来说,常规的安全管理的功能不可或缺以外,其提供威胁情报的分析能力,事件调查和响应的能力成为了各厂商的着重发力点。

         一直以来,微软对于安全的重视及相关功能的开发,也一直受到客户的追捧,从最早的RMS Server,Windows ATP到现在云端的Microsoft Information Protection, Office 365 ATP, Azure ATP,这些产品借助云端应用的优势,以及微软在Machine Learning上的积累,各个产品中的分析能力的优势越来越凸显。结合微软在全球的合作伙伴生态圈的建设,各个产品也开始表现出对于第三方的产品,甚至同类的竞品都表现出了极强的延展性。

      也正是这样的大环境下,微软推出了Azure Sentinel,在已有的微软一方产品的安全防御及分析的基础上,将云端无限的计算能力及微软安全团队的经验赋能到客户所使用的其他第三方安全产品,从而能够实现对于一个安全事件全视角的分析及追踪能力。

      接下来,我们一起就来看下在微软的Azure Sentinel中,大家如何来做企业安全信息和事件的管理及响应。

    Azure Sentinel的默认仪表板首先会将所监控到的所有日志中所产生的事件,网络峰值等信息按时序的展现给客户,并且把从事件所引申出来的威胁警报及案件,作为客户最关心的重点展现在首页。

    这些Alerts的汇聚,及案件中各个alert的关联性,都来自于Azure平台所赋予的机器学习的能力,以及微软安全团队专家在应对每天数以亿计的安全事件中如何找到真正威胁所在的经验等,将这个能力转化到Azure Sentinel的平台上,来第一时间甄别出,企业到可疑IP的流量往来;企业内部用户异常的用户行为等警告,第一时间帮助客户防御潜在的威胁。

    

    为了能够赋能客户已有的安全产品及其他监控组件,客户在使用Azure Sentinel的第一时间就应当来到Data Connector栏,将已有的微软的一方安全产品的日志信息,及三方的日志信息对接到平台上。从目前的支持列表中可以看到,我们不仅支持像F5,Palo Alto,Check Point等主流厂商的快速接入,您也可以通过CEF(Common Event Format)或者Syslog这些常用的日志格式的文件,按配置步骤实现接入。

实例中,我们点击Palo Alto进行配置,之后就可以看到Palo Alto那边的流量信息已经展现在面板上,此外,Palo Alto还与微软合作,将其搜集到的信息,分别由微软和Palo Alto各制作了一款完整的仪表板来展现客户所关心的日志信息的汇总。我们点击Palo Alto设计的仪表板。

     进入仪表板后,可以看到威胁会按种类,来源的应用及时序的量值按重要性依次从上到下排列在仪表版上,如果您对于默认所展现的列别以及展示的时间段等信息想进行修改,都可以点击各块信息右上角的”Edit Query”来修改所要展示的信息。

当你接入好所有一方和三方的日志后,你可以回到首页,从Azure Sentinel左侧的Dash board中看到所有连接的log日志。并且你可以为不同的用户,设定他所可以查看的仪表版中所能看到的数据的权限,来符合所需要满足的合规要求。

    上述的仪表版只能对于日志呈现一些简单的,大局上的信息,如果需要对于特定的安全事件进行搜寻,则可以通过左侧栏中的“Logs“来对不同日志源中的数据进行统一的搜索和排查。整个Log平台依托于微软的Log Analytics以及Azure Monitor这两个组件,每天都会帮助客户处理10 PB以上的日志数据,客户只需通过短短的几行搜索命令就能够进行复杂的搜索逻辑,并且不需要考虑底层计算平台的算力,快速返回所查询到的结果。

    当然,你也可以通过左侧的筛选器,对所收集的日志进行简单的分类,从而精准的执行所需要查找的日志数据。

 

另外,很多常用的搜索逻辑,比如查找异常登录信息,可疑IP地址段的提取等,你都可以直接在右侧的Query Explorer中利用微软安全团队已经生成的查询模板,就能够针对你接入的日志数据进行查询,查询的结果你可以根据需要,通过表单形式或者柱状图或者饼状图的形式展现在下方的结果显示栏中。

    接下来,我们来看下Azure Sentinel中最强大的部分之一,案件的生成。    

    我曾经看到一份调查报告,它统计到,在2017年每个企业的安全团队每星期都需要面对近1万7千条的木马警告信息,以及数以十万计的各类事件,这样的一个工作面使得企业团队很难去精准的定位潜在的威胁。

      同样的,微软的安全团队每天也需要面对是近四千万行的日志数据,但借助于微软AI所赋能的分析工具以及团队的专业经验,他们每天能将这四千万行的日志数据筛选到只剩100-200个可疑事件。

    微软也将这个能力,将专家对于各类事件ID中的洞察力,内置到Azure Sentinel,从而让客户所需要直接面对的,变成呈几何数缩减的警报及案件,能够基于这个点,从点到面的对案件进行调查,找到真正的漏洞所在。

    这里的Case(案件)指的是一系列相关Event汇聚而成的一个案件,它可以包括多个不同的警报,并且你可以到Analytics自己定义案件的形成方式(会在后续文章中进行讲解),并且平台会按照案件的严重程度及状态反馈给客户。

案件之所以称之为案件,就因此客户的团队可以按标准流程来跟踪整个案件的进展,比如对案件的负责人进行指派,案件的进展汇报跟踪,结案等,都能通过

案件之所以称之为案件,就因此客户的团队可以按标准流程来跟踪整个案件的进展,比如对案件的负责人进行指派,案件的进展汇报跟踪,结案等,都能通过Azure Sentinel平台以及借助其他工具来实现。

        我们回到Demo中,大家可以看到,案件会根据发生的时间顺序,并用不同颜色标明严重程度,标识在界面上。

       点击具体的一个案件,它会显示案件的描述,之后点击Investigate。

        首先在Investigate中的右侧会把一个事件中相关的Alerts,按时间顺序进行排列。在Investigate初期,Alerts相互之间会处于独立状态。

        这里我们已一次异常登录为案件发起点进行调查,点开案件后,针对异常登录自然会有异常登录的机器和异常登录的人员。我们点击人员,可以看到,你可以去查看与这个人员相关联的事件,比如这个人员所参与的其他的相关警告,或者他还在其他机器上的登录记录等。

    之后点开登录的机器,我们拉出与这台机器相关的警报。

    

点开后发现,在anomalous login之后的一个事件点,还有另外一个case,就是该机器上的powershell有异常的活动。这样就把这个可疑用户的行为衍生到它所造成的其他严重的事件。

那一般的,公司的安全团队会从最严重的case开始调查,这样他们按照以上的逻辑倒推回来,就会发现在以前的某个时间,是否存在该机器上的异常登录状态,追踪到具体产生异常登录的用户,并且横向移动看到该用户是否还登录了其他的机器,从而可以拦截该用户到其他几台机器上,甚至根据其产生的危害,禁止其登录所有机器等权限管控动作,快速的降低该事件在未来可能发生在其他虚机上的风险。

      这样的一个调查过程,就能够及时从一个公司内部受危害的点,快速扩展了解到可能泄露的用户名,并看到其潜在的危害面,从而快速切断其对于公司环境内其他部分的影响,及时阻止其进入核心数据部分。

        以上就是Azure Sentinel 介绍的第一部分,后续我们会来看下Azure Sentinel如何能够主动进行威胁的探查,根据企业自身的员工行为,企业特点来自定义进行安全的主动防御。

 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/439032.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

CCNP-防火墙-上一代防火墙-下一代防火墙

CCNP-防火墙-上一代防火墙-下一代防火墙 上一代防火墙 这玩意应该是十几年前的东西了 现在我们都叫下一代防火墙(NGFW) 上一代防火墙呢 基本上都是把功能集成到一个盒子里面 <上一代防火墙是这样处理数据的> >来了一个数据包,他首先经过IP,路由,可达了 >然后就经…

Azure Sentinel -- 初探系列二 案件调查及追踪

在上一篇文章中&#xff0c;我们看到了如何对案件通过相关性迅速找到事件发生的根源&#xff0c;但查找到威胁仅仅只是个开端&#xff0c;后续如何流程化的解决这个威胁&#xff0c;实现安全编排和自动相应。也是安全团队所需要去完成的工作&#xff0c;而这个过程&#xff0c;…

CCIE-LAB-第八篇-SDWAN-Branch1_Branch2_Vmanage

CCIE-LAB-第八篇-SDWAN-Branch1_Branch2_Vmanage 实际中,思科只会给你5个小时去做下面的全部配置 这个是CCIE-LAB的拓扑图 题目 SECTION 2.5: Handling Guest Traffic (4 points) The Guest VN/VPN on Branches #1 and #2 must remain isolated from the rest of the company…

AZURE 日志分析自动告警

小伙伴们好久不见&#xff0c;今天我们来聊聊中国 AZURE 的日志分析告警。为什么是中国 AZURE&#xff0c;目前中国 AZURE 的 Monitor 服务和运维相关周围服务和 Global 是有所不同的&#xff0c;所以有些功能和设计不能复制和套用全球版 AZURE 的架构。我们先看一下中国 AZURE…

CCIE理论-第九篇-IPV6详细介绍

CCIE理论-第九篇-IPV6介绍 应该有人等这个好久了 其实这个可以放NA,可以放NP,也可以放IE 放在这,其实也没啥了,开搞吧! IPV6-VS-IPV4 ipv6对比ipv4最大的区别是,最明显的是,地址数量变多了,而且是多的很离谱 1.报头不同 2.ipv6无广播(仅有单播组播) 3.ipv6的优化 4.128位(ip…

ELK学习总结(1-1)ELK是什么

1、elk 是什么 &#xff1f; Elastic Stack&#xff08;旧称ELK Stack&#xff09;&#xff0c;是一种能够从任意数据源抽取数据&#xff0c;并实时对数据进行搜索、分析和可视化展现的数据分析框架。&#xff08;hadoop同一个开发人员&#xff09; java 开发的开源的全文搜索引…

CCNA-数据包在网络设备直接的通信流程

CCNA-数据包在网络设备直接的通信流程 工作以来&#xff0c;感触最深的就是很多人学完了网络&#xff0c;甚至做了几年项目&#xff0c;还没有搞明白数据包的走向问题以及设备的转发原理。导致工作过程中出现问题&#xff0c;在拍错的时候一头雾水&#xff0c;抓耳挠腮&#x…

将 Fortinet 连接到

本文介绍了如何将 Fortinet 设备连接到 Azure Sentinel。 Fortinet 数据连接器可让你轻松地将 Fortinet 日志连接到 Azure Sentinel&#xff0c;查看仪表板、创建自定义警报和改进调查。 使用 Azure 上的 Fortinet 可以更深入地了解组织的 Internet 使用情况&#xff0c;并增强…

CCIE理论-第十篇-IPV6 VS IPV4(带你们看看U.S.A的ISP的设备)

CCIE理论-第十篇-IPV6 VS IPV4(带你们看看U.S.A的ISP的设备) IPV4缺点 这个前面一章讲过了,这里再讲一次 https://www.potaroo.net/ 这是一个统计的机构,可以去看看ipv4的地址早就用完了,nat只是可以缓解这个问题,并不能从根本上解决这个问题 来看一个全球的路由器,很牛的 …

使用 Syslog 连接 Sentinel

可以将支持 Syslog 的任何本地设备连接到 Azure Sentinel。 这是通过在设备和 Azure Sentinel 之间使用基于 Linux 计算机的代理来完成的。 如果 Linux 计算机位于 Azure 中, 则可以将设备或应用程序中的日志流式传输到在 Azure 中创建的专用工作区, 并进行连接。 如果 Linux 计…

CCIE理论-第十一篇-IPV6地址

CCIE理论-第十一篇-IPV6地址 接下来都是IPV6的,每篇的内容可能不太多 IPV6是128bit的 分成八个段 ipv6地址不分大小写格式1-9 A-F F-1111 E-1110 D-1101 8-1000 4-0100 0-0000 以此类推哈 这个不需要记哈,知道就行 因为v4跟v6不一样 不是你想怎么弄就怎么弄的 虽然ipv6也有专…

将 Palo Alto Networks 连接到 Azure Sentinel

本文介绍了如何将 Palo Alto 网络设备连接到 Azure Sentinel。 Palo Alto Networks 数据连接器可让你轻松连接 Palo Alto 网络日志和 Azure Sentinel&#xff0c;查看仪表板、创建自定义警报&#xff0c;以及改进调查。 使用 Azure 上的 Palo Alto 网络可以更深入地了解组织的 …

CCIE理论-第十二篇-IPV6-NDP协议

CCIE理论-第十二篇-IPV6-NDP协议 首先我们知道 在IPV4中 A:0.0.0.1-126.255.255.255 B:128.0.0.1-191.255.255.255 C:192.0.0.0-223.255.255.255 D:224.0.0.0-239.255.255.255-组播 E 240.0.0.0-255.255.255.255 其中224.0.0.1-224.0.0.255为永久组播地址 理论上来说,去找这些…

Sentinel 连接数据源

若要载入 Azure Sentinel&#xff0c;首先需要连接到数据源。 Azure Sentinel 随附许多适用于 Microsoft 解决方案的现成可用的连接器&#xff0c;提供实时集成&#xff08;包括 Microsoft 威胁防护解决方案&#xff09;和 Microsoft 365 源&#xff08;包括 Office 365、Azure…

CCIE理论-第十三篇-IPV6-路由-静态+(EIGRP+OSPF)两种做法+IPV4-ARP代理详解(精髓篇)

CCIE理论-第十三篇-IPV6-路由-静态(EIGRPOSPF)两种做法IPV4-ARP代理详解(精髓篇) 其实呢,路由协议,静态路由 他还是ipv4那一套,只不过多了点东西 该怎么搞怎么搞,ospf还是要network,bgp一样要写邻居 只不过换了一种方式呈现出来,不过实际上也差不多,很容易看懂的静态 最大的区…

CCIE理论-第十四篇-IPV6-路由协议-BGP小实验

CCIE理论-第十四篇-IPV6-路由协议-BGP小实验 首先列,还是有两种做法,还是做实验看效果啊哈 R1为bgp的as1 下面三个设备都是as100 然后r5是as2 这边方便一会做ibgp和ebgp其中,r1带一个1::1/128的环回口,然后r5带一个2::2/128的环回口其中呢,在BGP里面,IPV4和IPV6都是分单播和…

CCIE理论-第十五篇-IPV6-重分布+ACL+前缀列表

CCIE理论-第十五篇-IPV6-重分布ACL前缀列表 重分布前面讲过,这里再讲一次实操效果看看 在ipv6中重分布直连路由是需要加上include-connected的 环境 就这么简单哈,然后两边都有环回口.来做重分布. 左边1::1/64,中间1::2/64,右边10::1/64,然后10::2/64 还是用BGP来做吧,典型点…

CCIE理论-第十六篇-IPV6-GRE隧道+IPV6 OVER IPV4 隧道

CCIE理论-第十六篇-IPV6-GRE隧道IPV6 OVER IPV4 隧道 IPV6也写了好多篇章, 后面还有两篇,一个IPV6的NAT,一个综合实验,那么就结束IPV6到MPLS了,其实还挺多的哈,差不多应该有10篇章都是在讲IPV6里面的技术了,后面的MPLS,各种VPN,IPSEC呀,GRE,DMPVN,SSL-VPN,L2TP等 看着哥哥双战技…

使用 Syslog 连接外部解决方案

可以将支持 Syslog 的任何本地设备连接到 Azure Sentinel。 这是通过在设备和 Azure Sentinel 之间使用基于 Linux 计算机的代理来完成的。 如果 Linux 计算机位于 Azure 中, 则可以将设备或应用程序中的日志流式传输到在 Azure 中创建的专用工作区, 并进行连接。 如果 Linux 计…

CCIE理论-第十七篇-IPV6-NAT-PT

CCIE理论-第十七篇-IPV6-NAT-PT 这是最后一篇IPV6了,IPV6讲了好久好久了 ipv6的gre还给我上了个热榜哈哈 这一篇讲解IPV6的NAT,IPV6的NAT和IPV4的NAT还是挺多不同的 NAT对于设备的负载是非常大的,因为要记录那个NAT表 分类 这里提一下,因为这个IPV6的NAT在模拟器里面可能有…