???SIEM，一個(gè)已經(jīng)存在20多年的安全產(chǎn)品領(lǐng)域，一個(gè)很多企業(yè)所必須的安全事件監(jiān)控和管理平臺，但現(xiàn)在它所承載的功能和價(jià)值也隨著現(xiàn)在企業(yè)辦公環(huán)境的變化而面臨巨大的挑戰(zhàn)。

首先，最大的一點(diǎn)的不同在于，企業(yè)的安全邊界已經(jīng)改變，何謂企業(yè)的安全邊界，十年前，可以說是企業(yè)所擁有的電腦資產(chǎn)和服務(wù)器資產(chǎn)，因?yàn)樵诋?dāng)時(shí)近乎所有的辦公都是發(fā)生在公司管控范圍內(nèi)的電腦及服務(wù)器上。因此只需針對設(shè)備做到監(jiān)管，如限制USB的接入，限制互聯(lián)網(wǎng)的接入等，就能夠很大程度上抵御來自外部的威脅。但如今，不僅企業(yè)允許員工自帶辦公設(shè)備，越來越多的企業(yè)應(yīng)用在移動設(shè)備端的訪問頻次的提升。企業(yè)已經(jīng)很難通過管控設(shè)備來達(dá)到企業(yè)信息安全的管控。因此，現(xiàn)在越來越多的企業(yè)已經(jīng)將安全邊界的確定，轉(zhuǎn)移到了員工的身上，及從該員工在公司的角色及工作職責(zé)范疇來對其在公司企業(yè)中的賬號的行為進(jìn)行管控。比如一個(gè)前端業(yè)務(wù)銷售，如果登錄到企業(yè)服務(wù)器的數(shù)據(jù)庫的這個(gè)行為就可以被界定為可疑，甚至是高危的行為，需要采取安全措施。

其次，數(shù)據(jù)信息量的爆炸，延展到員工在工作期間需要交互的信息量的暴漲，導(dǎo)致企業(yè)中所產(chǎn)生的日志量的規(guī)模已幾何的形式進(jìn)行增長，如何在巨量的信息中仍舊能夠檢索到有利于判斷潛在威脅的過程，將會對原本部署在本地的日志搜索引擎的擴(kuò)展靈活性，及服務(wù)器的性能有很高的要求。

最后，不得不說，隨著比特幣的出現(xiàn)，及其在資本市場中價(jià)格的穩(wěn)定性的提高，這樣安全攻擊者的獲利成本和風(fēng)險(xiǎn)大大降低，也滋養(yǎng)了這樣的一個(gè)市場，因此對于現(xiàn)在的SIEM來說，常規(guī)的安全管理的功能不可或缺以外，其提供威脅情報(bào)的分析能力，事件調(diào)查和響應(yīng)的能力成為了各廠商的著重發(fā)力點(diǎn)。

???????? 一直以來，微軟對于安全的重視及相關(guān)功能的開發(fā)，也一直受到客戶的追捧，從最早的RMS Server，Windows ATP到現(xiàn)在云端的Microsoft Information Protection, Office 365 ATP, Azure ATP，這些產(chǎn)品借助云端應(yīng)用的優(yōu)勢，以及微軟在Machine Learning上的積累，各個(gè)產(chǎn)品中的分析能力的優(yōu)勢越來越凸顯。結(jié)合微軟在全球的合作伙伴生態(tài)圈的建設(shè)，各個(gè)產(chǎn)品也開始表現(xiàn)出對于第三方的產(chǎn)品，甚至同類的競品都表現(xiàn)出了極強(qiáng)的延展性。

? ? ? 也正是這樣的大環(huán)境下，微軟推出了Azure Sentinel，在已有的微軟一方產(chǎn)品的安全防御及分析的基礎(chǔ)上，將云端無限的計(jì)算能力及微軟安全團(tuán)隊(duì)的經(jīng)驗(yàn)賦能到客戶所使用的其他第三方安全產(chǎn)品，從而能夠?qū)崿F(xiàn)對于一個(gè)安全事件全視角的分析及追蹤能力。

? ? ??接下來，我們一起就來看下在微軟的Azure Sentinel中，大家如何來做企業(yè)安全信息和事件的管理及響應(yīng)。

????Azure Sentinel的默認(rèn)儀表板首先會將所監(jiān)控到的所有日志中所產(chǎn)生的事件，網(wǎng)絡(luò)峰值等信息按時(shí)序的展現(xiàn)給客戶，并且把從事件所引申出來的威脅警報(bào)及案件，作為客戶最關(guān)心的重點(diǎn)展現(xiàn)在首頁。

????這些Alerts的匯聚，及案件中各個(gè)alert的關(guān)聯(lián)性，都來自于Azure平臺所賦予的機(jī)器學(xué)習(xí)的能力，以及微軟安全團(tuán)隊(duì)專家在應(yīng)對每天數(shù)以億計(jì)的安全事件中如何找到真正威脅所在的經(jīng)驗(yàn)等，將這個(gè)能力轉(zhuǎn)化到Azure Sentinel的平臺上，來第一時(shí)間甄別出，企業(yè)到可疑IP的流量往來；企業(yè)內(nèi)部用戶異常的用戶行為等警告，第一時(shí)間幫助客戶防御潛在的威脅。

? ??

????為了能夠賦能客戶已有的安全產(chǎn)品及其他監(jiān)控組件，客戶在使用Azure Sentinel的第一時(shí)間就應(yīng)當(dāng)來到Data Connector欄，將已有的微軟的一方安全產(chǎn)品的日志信息，及三方的日志信息對接到平臺上。從目前的支持列表中可以看到，我們不僅支持像F5,Palo Alto，Check Point等主流廠商的快速接入，您也可以通過CEF（Common Event Format）或者Syslog這些常用的日志格式的文件，按配置步驟實(shí)現(xiàn)接入。

實(shí)例中，我們點(diǎn)擊Palo Alto進(jìn)行配置，之后就可以看到Palo Alto那邊的流量信息已經(jīng)展現(xiàn)在面板上，此外，Palo Alto還與微軟合作，將其搜集到的信息，分別由微軟和Palo Alto各制作了一款完整的儀表板來展現(xiàn)客戶所關(guān)心的日志信息的匯總。我們點(diǎn)擊Palo Alto設(shè)計(jì)的儀表板。

?????進(jìn)入儀表板后，可以看到威脅會按種類，來源的應(yīng)用及時(shí)序的量值按重要性依次從上到下排列在儀表版上，如果您對于默認(rèn)所展現(xiàn)的列別以及展示的時(shí)間段等信息想進(jìn)行修改，都可以點(diǎn)擊各塊信息右上角的”Edit Query”來修改所要展示的信息。

當(dāng)你接入好所有一方和三方的日志后，你可以回到首頁，從Azure Sentinel左側(cè)的Dash board中看到所有連接的log日志。并且你可以為不同的用戶，設(shè)定他所可以查看的儀表版中所能看到的數(shù)據(jù)的權(quán)限，來符合所需要滿足的合規(guī)要求。

????上述的儀表版只能對于日志呈現(xiàn)一些簡單的，大局上的信息，如果需要對于特定的安全事件進(jìn)行搜尋，則可以通過左側(cè)欄中的“Logs“來對不同日志源中的數(shù)據(jù)進(jìn)行統(tǒng)一的搜索和排查。整個(gè)Log平臺依托于微軟的Log Analytics以及Azure Monitor這兩個(gè)組件，每天都會幫助客戶處理10 PB以上的日志數(shù)據(jù)，客戶只需通過短短的幾行搜索命令就能夠進(jìn)行復(fù)雜的搜索邏輯，并且不需要考慮底層計(jì)算平臺的算力，快速返回所查詢到的結(jié)果。

????當(dāng)然，你也可以通過左側(cè)的篩選器，對所收集的日志進(jìn)行簡單的分類，從而精準(zhǔn)的執(zhí)行所需要查找的日志數(shù)據(jù)。

?

另外，很多常用的搜索邏輯，比如查找異常登錄信息，可疑IP地址段的提取等，你都可以直接在右側(cè)的Query Explorer中利用微軟安全團(tuán)隊(duì)已經(jīng)生成的查詢模板，就能夠針對你接入的日志數(shù)據(jù)進(jìn)行查詢，查詢的結(jié)果你可以根據(jù)需要，通過表單形式或者柱狀圖或者餅狀圖的形式展現(xiàn)在下方的結(jié)果顯示欄中。

????接下來，我們來看下Azure Sentinel中最強(qiáng)大的部分之一，案件的生成。????

????我曾經(jīng)看到一份調(diào)查報(bào)告，它統(tǒng)計(jì)到，在2017年每個(gè)企業(yè)的安全團(tuán)隊(duì)每星期都需要面對近1萬7千條的木馬警告信息，以及數(shù)以十萬計(jì)的各類事件，這樣的一個(gè)工作面使得企業(yè)團(tuán)隊(duì)很難去精準(zhǔn)的定位潛在的威脅。

? ? ? 同樣的，微軟的安全團(tuán)隊(duì)每天也需要面對是近四千萬行的日志數(shù)據(jù)，但借助于微軟AI所賦能的分析工具以及團(tuán)隊(duì)的專業(yè)經(jīng)驗(yàn)，他們每天能將這四千萬行的日志數(shù)據(jù)篩選到只剩100-200個(gè)可疑事件。

????微軟也將這個(gè)能力，將專家對于各類事件ID中的洞察力，內(nèi)置到Azure Sentinel，從而讓客戶所需要直接面對的，變成呈幾何數(shù)縮減的警報(bào)及案件，能夠基于這個(gè)點(diǎn)，從點(diǎn)到面的對案件進(jìn)行調(diào)查，找到真正的漏洞所在。

????這里的Case（案件）指的是一系列相關(guān)Event匯聚而成的一個(gè)案件，它可以包括多個(gè)不同的警報(bào)，并且你可以到Analytics自己定義案件的形成方式（會在后續(xù)文章中進(jìn)行講解），并且平臺會按照案件的嚴(yán)重程度及狀態(tài)反饋給客戶。

案件之所以稱之為案件，就因此客戶的團(tuán)隊(duì)可以按標(biāo)準(zhǔn)流程來跟蹤整個(gè)案件的進(jìn)展，比如對案件的負(fù)責(zé)人進(jìn)行指派，案件的進(jìn)展匯報(bào)跟蹤，結(jié)案等，都能通過

案件之所以稱之為案件，就因此客戶的團(tuán)隊(duì)可以按標(biāo)準(zhǔn)流程來跟蹤整個(gè)案件的進(jìn)展，比如對案件的負(fù)責(zé)人進(jìn)行指派，案件的進(jìn)展匯報(bào)跟蹤，結(jié)案等，都能通過Azure Sentinel平臺以及借助其他工具來實(shí)現(xiàn)。

??????? 我們回到Demo中，大家可以看到，案件會根據(jù)發(fā)生的時(shí)間順序，并用不同顏色標(biāo)明嚴(yán)重程度，標(biāo)識在界面上。

?????? 點(diǎn)擊具體的一個(gè)案件，它會顯示案件的描述，之后點(diǎn)擊Investigate。

????????首先在Investigate中的右側(cè)會把一個(gè)事件中相關(guān)的Alerts，按時(shí)間順序進(jìn)行排列。在Investigate初期，Alerts相互之間會處于獨(dú)立狀態(tài)。

??????? 這里我們已一次異常登錄為案件發(fā)起點(diǎn)進(jìn)行調(diào)查，點(diǎn)開案件后，針對異常登錄自然會有異常登錄的機(jī)器和異常登錄的人員。我們點(diǎn)擊人員，可以看到，你可以去查看與這個(gè)人員相關(guān)聯(lián)的事件，比如這個(gè)人員所參與的其他的相關(guān)警告，或者他還在其他機(jī)器上的登錄記錄等。

????之后點(diǎn)開登錄的機(jī)器，我們拉出與這臺機(jī)器相關(guān)的警報(bào)。

????

點(diǎn)開后發(fā)現(xiàn)，在anomalous login之后的一個(gè)事件點(diǎn)，還有另外一個(gè)case，就是該機(jī)器上的powershell有異常的活動。這樣就把這個(gè)可疑用戶的行為衍生到它所造成的其他嚴(yán)重的事件。

那一般的，公司的安全團(tuán)隊(duì)會從最嚴(yán)重的case開始調(diào)查，這樣他們按照以上的邏輯倒推回來，就會發(fā)現(xiàn)在以前的某個(gè)時(shí)間，是否存在該機(jī)器上的異常登錄狀態(tài)，追蹤到具體產(chǎn)生異常登錄的用戶，并且橫向移動看到該用戶是否還登錄了其他的機(jī)器，從而可以攔截該用戶到其他幾臺機(jī)器上，甚至根據(jù)其產(chǎn)生的危害，禁止其登錄所有機(jī)器等權(quán)限管控動作，快速的降低該事件在未來可能發(fā)生在其他虛機(jī)上的風(fēng)險(xiǎn)。

? ? ? 這樣的一個(gè)調(diào)查過程，就能夠及時(shí)從一個(gè)公司內(nèi)部受危害的點(diǎn)，快速擴(kuò)展了解到可能泄露的用戶名，并看到其潛在的危害面，從而快速切斷其對于公司環(huán)境內(nèi)其他部分的影響，及時(shí)阻止其進(jìn)入核心數(shù)據(jù)部分。

???? ?? 以上就是Azure Sentinel 介紹的第一部分，后續(xù)我們會來看下Azure Sentinel如何能夠主動進(jìn)行威脅的探查，根據(jù)企業(yè)自身的員工行為，企業(yè)特點(diǎn)來自定義進(jìn)行安全的主動防御。

?

?

總結(jié)

以上是生活随笔為你收集整理的Azure Sentinel -- 云原生企业安全信息和事件管理平台（SIEM）初探系列一的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。