???SIEM，一個(gè)已經(jīng)存在20多年的安全產(chǎn)品領(lǐng)域，一個(gè)很多企業(yè)所必須的安全事件監(jiān)控和管理平臺(tái)，但現(xiàn)在它所承載的功能和價(jià)值也隨著現(xiàn)在企業(yè)辦公環(huán)境的變化而面臨巨大的挑戰(zhàn)。

首先，最大的一點(diǎn)的不同在于，企業(yè)的安全邊界已經(jīng)改變，何謂企業(yè)的安全邊界，十年前，可以說(shuō)是企業(yè)所擁有的電腦資產(chǎn)和服務(wù)器資產(chǎn)，因?yàn)樵诋?dāng)時(shí)近乎所有的辦公都是發(fā)生在公司管控范圍內(nèi)的電腦及服務(wù)器上。因此只需針對(duì)設(shè)備做到監(jiān)管，如限制USB的接入，限制互聯(lián)網(wǎng)的接入等，就能夠很大程度上抵御來(lái)自外部的威脅。但如今，不僅企業(yè)允許員工自帶辦公設(shè)備，越來(lái)越多的企業(yè)應(yīng)用在移動(dòng)設(shè)備端的訪(fǎng)問(wèn)頻次的提升。企業(yè)已經(jīng)很難通過(guò)管控設(shè)備來(lái)達(dá)到企業(yè)信息安全的管控。因此，現(xiàn)在越來(lái)越多的企業(yè)已經(jīng)將安全邊界的確定，轉(zhuǎn)移到了員工的身上，及從該員工在公司的角色及工作職責(zé)范疇來(lái)對(duì)其在公司企業(yè)中的賬號(hào)的行為進(jìn)行管控。比如一個(gè)前端業(yè)務(wù)銷(xiāo)售，如果登錄到企業(yè)服務(wù)器的數(shù)據(jù)庫(kù)的這個(gè)行為就可以被界定為可疑，甚至是高危的行為，需要采取安全措施。

其次，數(shù)據(jù)信息量的爆炸，延展到員工在工作期間需要交互的信息量的暴漲，導(dǎo)致企業(yè)中所產(chǎn)生的日志量的規(guī)模已幾何的形式進(jìn)行增長(zhǎng)，如何在巨量的信息中仍舊能夠檢索到有利于判斷潛在威脅的過(guò)程，將會(huì)對(duì)原本部署在本地的日志搜索引擎的擴(kuò)展靈活性，及服務(wù)器的性能有很高的要求。

最后，不得不說(shuō)，隨著比特幣的出現(xiàn)，及其在資本市場(chǎng)中價(jià)格的穩(wěn)定性的提高，這樣安全攻擊者的獲利成本和風(fēng)險(xiǎn)大大降低，也滋養(yǎng)了這樣的一個(gè)市場(chǎng)，因此對(duì)于現(xiàn)在的SIEM來(lái)說(shuō)，常規(guī)的安全管理的功能不可或缺以外，其提供威脅情報(bào)的分析能力，事件調(diào)查和響應(yīng)的能力成為了各廠(chǎng)商的著重發(fā)力點(diǎn)。

???????? 一直以來(lái)，微軟對(duì)于安全的重視及相關(guān)功能的開(kāi)發(fā)，也一直受到客戶(hù)的追捧，從最早的RMS Server，Windows ATP到現(xiàn)在云端的Microsoft Information Protection, Office 365 ATP, Azure ATP，這些產(chǎn)品借助云端應(yīng)用的優(yōu)勢(shì)，以及微軟在Machine Learning上的積累，各個(gè)產(chǎn)品中的分析能力的優(yōu)勢(shì)越來(lái)越凸顯。結(jié)合微軟在全球的合作伙伴生態(tài)圈的建設(shè)，各個(gè)產(chǎn)品也開(kāi)始表現(xiàn)出對(duì)于第三方的產(chǎn)品，甚至同類(lèi)的競(jìng)品都表現(xiàn)出了極強(qiáng)的延展性。

? ? ? 也正是這樣的大環(huán)境下，微軟推出了Azure Sentinel，在已有的微軟一方產(chǎn)品的安全防御及分析的基礎(chǔ)上，將云端無(wú)限的計(jì)算能力及微軟安全團(tuán)隊(duì)的經(jīng)驗(yàn)賦能到客戶(hù)所使用的其他第三方安全產(chǎn)品，從而能夠?qū)崿F(xiàn)對(duì)于一個(gè)安全事件全視角的分析及追蹤能力。

? ? ??接下來(lái)，我們一起就來(lái)看下在微軟的Azure Sentinel中，大家如何來(lái)做企業(yè)安全信息和事件的管理及響應(yīng)。

????Azure Sentinel的默認(rèn)儀表板首先會(huì)將所監(jiān)控到的所有日志中所產(chǎn)生的事件，網(wǎng)絡(luò)峰值等信息按時(shí)序的展現(xiàn)給客戶(hù)，并且把從事件所引申出來(lái)的威脅警報(bào)及案件，作為客戶(hù)最關(guān)心的重點(diǎn)展現(xiàn)在首頁(yè)。

????這些Alerts的匯聚，及案件中各個(gè)alert的關(guān)聯(lián)性，都來(lái)自于A(yíng)zure平臺(tái)所賦予的機(jī)器學(xué)習(xí)的能力，以及微軟安全團(tuán)隊(duì)專(zhuān)家在應(yīng)對(duì)每天數(shù)以?xún)|計(jì)的安全事件中如何找到真正威脅所在的經(jīng)驗(yàn)等，將這個(gè)能力轉(zhuǎn)化到Azure Sentinel的平臺(tái)上，來(lái)第一時(shí)間甄別出，企業(yè)到可疑IP的流量往來(lái)；企業(yè)內(nèi)部用戶(hù)異常的用戶(hù)行為等警告，第一時(shí)間幫助客戶(hù)防御潛在的威脅。

? ??

????為了能夠賦能客戶(hù)已有的安全產(chǎn)品及其他監(jiān)控組件，客戶(hù)在使用Azure Sentinel的第一時(shí)間就應(yīng)當(dāng)來(lái)到Data Connector欄，將已有的微軟的一方安全產(chǎn)品的日志信息，及三方的日志信息對(duì)接到平臺(tái)上。從目前的支持列表中可以看到，我們不僅支持像F5,Palo Alto，Check Point等主流廠(chǎng)商的快速接入，您也可以通過(guò)CEF（Common Event Format）或者Syslog這些常用的日志格式的文件，按配置步驟實(shí)現(xiàn)接入。

實(shí)例中，我們點(diǎn)擊Palo Alto進(jìn)行配置，之后就可以看到Palo Alto那邊的流量信息已經(jīng)展現(xiàn)在面板上，此外，Palo Alto還與微軟合作，將其搜集到的信息，分別由微軟和Palo Alto各制作了一款完整的儀表板來(lái)展現(xiàn)客戶(hù)所關(guān)心的日志信息的匯總。我們點(diǎn)擊Palo Alto設(shè)計(jì)的儀表板。

?????進(jìn)入儀表板后，可以看到威脅會(huì)按種類(lèi)，來(lái)源的應(yīng)用及時(shí)序的量值按重要性依次從上到下排列在儀表版上，如果您對(duì)于默認(rèn)所展現(xiàn)的列別以及展示的時(shí)間段等信息想進(jìn)行修改，都可以點(diǎn)擊各塊信息右上角的”Edit Query”來(lái)修改所要展示的信息。

當(dāng)你接入好所有一方和三方的日志后，你可以回到首頁(yè)，從Azure Sentinel左側(cè)的Dash board中看到所有連接的log日志。并且你可以為不同的用戶(hù)，設(shè)定他所可以查看的儀表版中所能看到的數(shù)據(jù)的權(quán)限，來(lái)符合所需要滿(mǎn)足的合規(guī)要求。

????上述的儀表版只能對(duì)于日志呈現(xiàn)一些簡(jiǎn)單的，大局上的信息，如果需要對(duì)于特定的安全事件進(jìn)行搜尋，則可以通過(guò)左側(cè)欄中的“Logs“來(lái)對(duì)不同日志源中的數(shù)據(jù)進(jìn)行統(tǒng)一的搜索和排查。整個(gè)Log平臺(tái)依托于微軟的Log Analytics以及Azure Monitor這兩個(gè)組件，每天都會(huì)幫助客戶(hù)處理10 PB以上的日志數(shù)據(jù)，客戶(hù)只需通過(guò)短短的幾行搜索命令就能夠進(jìn)行復(fù)雜的搜索邏輯，并且不需要考慮底層計(jì)算平臺(tái)的算力，快速返回所查詢(xún)到的結(jié)果。

????當(dāng)然，你也可以通過(guò)左側(cè)的篩選器，對(duì)所收集的日志進(jìn)行簡(jiǎn)單的分類(lèi)，從而精準(zhǔn)的執(zhí)行所需要查找的日志數(shù)據(jù)。

?

另外，很多常用的搜索邏輯，比如查找異常登錄信息，可疑IP地址段的提取等，你都可以直接在右側(cè)的Query Explorer中利用微軟安全團(tuán)隊(duì)已經(jīng)生成的查詢(xún)模板，就能夠針對(duì)你接入的日志數(shù)據(jù)進(jìn)行查詢(xún)，查詢(xún)的結(jié)果你可以根據(jù)需要，通過(guò)表單形式或者柱狀圖或者餅狀圖的形式展現(xiàn)在下方的結(jié)果顯示欄中。

????接下來(lái)，我們來(lái)看下Azure Sentinel中最強(qiáng)大的部分之一，案件的生成。????

????我曾經(jīng)看到一份調(diào)查報(bào)告，它統(tǒng)計(jì)到，在2017年每個(gè)企業(yè)的安全團(tuán)隊(duì)每星期都需要面對(duì)近1萬(wàn)7千條的木馬警告信息，以及數(shù)以十萬(wàn)計(jì)的各類(lèi)事件，這樣的一個(gè)工作面使得企業(yè)團(tuán)隊(duì)很難去精準(zhǔn)的定位潛在的威脅。

? ? ? 同樣的，微軟的安全團(tuán)隊(duì)每天也需要面對(duì)是近四千萬(wàn)行的日志數(shù)據(jù)，但借助于微軟AI所賦能的分析工具以及團(tuán)隊(duì)的專(zhuān)業(yè)經(jīng)驗(yàn)，他們每天能將這四千萬(wàn)行的日志數(shù)據(jù)篩選到只剩100-200個(gè)可疑事件。

????微軟也將這個(gè)能力，將專(zhuān)家對(duì)于各類(lèi)事件ID中的洞察力，內(nèi)置到Azure Sentinel，從而讓客戶(hù)所需要直接面對(duì)的，變成呈幾何數(shù)縮減的警報(bào)及案件，能夠基于這個(gè)點(diǎn)，從點(diǎn)到面的對(duì)案件進(jìn)行調(diào)查，找到真正的漏洞所在。

????這里的Case（案件）指的是一系列相關(guān)Event匯聚而成的一個(gè)案件，它可以包括多個(gè)不同的警報(bào)，并且你可以到Analytics自己定義案件的形成方式（會(huì)在后續(xù)文章中進(jìn)行講解），并且平臺(tái)會(huì)按照案件的嚴(yán)重程度及狀態(tài)反饋給客戶(hù)。

案件之所以稱(chēng)之為案件，就因此客戶(hù)的團(tuán)隊(duì)可以按標(biāo)準(zhǔn)流程來(lái)跟蹤整個(gè)案件的進(jìn)展，比如對(duì)案件的負(fù)責(zé)人進(jìn)行指派，案件的進(jìn)展匯報(bào)跟蹤，結(jié)案等，都能通過(guò)

案件之所以稱(chēng)之為案件，就因此客戶(hù)的團(tuán)隊(duì)可以按標(biāo)準(zhǔn)流程來(lái)跟蹤整個(gè)案件的進(jìn)展，比如對(duì)案件的負(fù)責(zé)人進(jìn)行指派，案件的進(jìn)展匯報(bào)跟蹤，結(jié)案等，都能通過(guò)Azure Sentinel平臺(tái)以及借助其他工具來(lái)實(shí)現(xiàn)。

??????? 我們回到Demo中，大家可以看到，案件會(huì)根據(jù)發(fā)生的時(shí)間順序，并用不同顏色標(biāo)明嚴(yán)重程度，標(biāo)識(shí)在界面上。

?????? 點(diǎn)擊具體的一個(gè)案件，它會(huì)顯示案件的描述，之后點(diǎn)擊Investigate。

????????首先在Investigate中的右側(cè)會(huì)把一個(gè)事件中相關(guān)的Alerts，按時(shí)間順序進(jìn)行排列。在Investigate初期，Alerts相互之間會(huì)處于獨(dú)立狀態(tài)。

??????? 這里我們已一次異常登錄為案件發(fā)起點(diǎn)進(jìn)行調(diào)查，點(diǎn)開(kāi)案件后，針對(duì)異常登錄自然會(huì)有異常登錄的機(jī)器和異常登錄的人員。我們點(diǎn)擊人員，可以看到，你可以去查看與這個(gè)人員相關(guān)聯(lián)的事件，比如這個(gè)人員所參與的其他的相關(guān)警告，或者他還在其他機(jī)器上的登錄記錄等。

????之后點(diǎn)開(kāi)登錄的機(jī)器，我們拉出與這臺(tái)機(jī)器相關(guān)的警報(bào)。

????

點(diǎn)開(kāi)后發(fā)現(xiàn)，在anomalous login之后的一個(gè)事件點(diǎn)，還有另外一個(gè)case，就是該機(jī)器上的powershell有異常的活動(dòng)。這樣就把這個(gè)可疑用戶(hù)的行為衍生到它所造成的其他嚴(yán)重的事件。

那一般的，公司的安全團(tuán)隊(duì)會(huì)從最嚴(yán)重的case開(kāi)始調(diào)查，這樣他們按照以上的邏輯倒推回來(lái)，就會(huì)發(fā)現(xiàn)在以前的某個(gè)時(shí)間，是否存在該機(jī)器上的異常登錄狀態(tài)，追蹤到具體產(chǎn)生異常登錄的用戶(hù)，并且橫向移動(dòng)看到該用戶(hù)是否還登錄了其他的機(jī)器，從而可以攔截該用戶(hù)到其他幾臺(tái)機(jī)器上，甚至根據(jù)其產(chǎn)生的危害，禁止其登錄所有機(jī)器等權(quán)限管控動(dòng)作，快速的降低該事件在未來(lái)可能發(fā)生在其他虛機(jī)上的風(fēng)險(xiǎn)。

? ? ? 這樣的一個(gè)調(diào)查過(guò)程，就能夠及時(shí)從一個(gè)公司內(nèi)部受危害的點(diǎn)，快速擴(kuò)展了解到可能泄露的用戶(hù)名，并看到其潛在的危害面，從而快速切斷其對(duì)于公司環(huán)境內(nèi)其他部分的影響，及時(shí)阻止其進(jìn)入核心數(shù)據(jù)部分。

???? ?? 以上就是Azure Sentinel 介紹的第一部分，后續(xù)我們會(huì)來(lái)看下Azure Sentinel如何能夠主動(dòng)進(jìn)行威脅的探查，根據(jù)企業(yè)自身的員工行為，企業(yè)特點(diǎn)來(lái)自定義進(jìn)行安全的主動(dòng)防御。

?

?

總結(jié)

以上是生活随笔為你收集整理的Azure Sentinel -- 云原生企业安全信息和事件管理平台（SIEM）初探系列一的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。