云日志 安全事件可产生大量数据。本文中专家Dave Shackleford讨论了如何过滤它并获得重要的安全事件。
随着开发和运营团队不断把资源迁移向云端,企业对于基于云的服务也使用越来越多,致使安全团队不得不时刻准备应用对不预期的问题——大量新的预警和事件。
来自云访问安全中介Skyhigh Networks的最新报告,对不断增长的云文件共享和协作服务,以及对安全团队面临的新问题提供了一些观点,即从所有事件中以“影子IT”和疲劳预警形式展示。
报告指出,根据Skyhigh的客户调查,企业平均 每月产生约27亿个云事件,而文件共享/协作活动一直是这个数字激增的最大原因。报告还发现,这些云事件中的2,500构成了“异常”事件,其中只有23个是实际的安全事件。有了这样的量,安全团队比以往任何时候都更加努力,过滤掉噪音,并响应合法的安全事件和可疑事件。
对云日志排序
首先,也是最明显的,安全分析师需要做的事是从所有相关的云环境中收集日志。同时,分析师要确保所有云日志都进入到了一个常见的位置。
大部分云服务提供商允许用户从他们的环境中下载日志,或从专门的存储节点,如亚马逊的CloudTrail 或谷歌的Stackdriver Logging。现今,还有许多云适用的安全事件聚合和分析平台,包括Splunk Cloud、Sumo Logic、Loggly和Papertrail。这些服务给团队提供了一种简单的方法 ,来从多个云服务中收集日志,并且通常这些服务 通过提供的API更容易集成。
一旦收集并聚合的云日志后,分析人员需要筛选各类事件,并开始对它们进行优先级排序。对此,有几个关键点需要注意。
- 添加上下文:如果云日志可以“标记”为来自特定服务提供商,那么这可以帮助提供关于服务用例的上下文。 例如,来自Salesforce.com的日志将关注用户活动和身份验证,以及环境中的管理更改。在Amazon Web Services或Azure中,将有更多变化的活动,以及更多不同类型的用户和角色。
- 定义优先级:专注于云的安全分析师必须决定哪些事件和行为是最重要的监视。常见的起点包括对云管理控制台的所有登录活动; 对重要云对象和数据的任何更改或尝试更改; 以及凭证或加密密钥的任何创建、删除或修改。
- 调整警报:虽然这看起来很常见,但一般来说,调整对于云记录和事件管理来说是非常重要的。抑制冗余警报——那些完全可以自操作的警报以及与安全无直接关系的警报。为了在环境中建立合适的行为准线,分析人员可能需要几周或几月的数据积累。另外,也要调整每周监控过程的常规部分。
- 关注帐户:剩余用户帐户和数据是云中的一个大问题。与人力资源团队密切合作,快速停用云帐户,并在用户离开企业后,至少几周内监控所有尝试登录到已停用或已删除的帐户的行为。在员工离开之前监控用户帐户活动是一个不错的主意。这将确保离职员工不会一起带走公司的数据;还要寻找突然增加的数据导出或整体帐户使用。
云事件的最终聚焦区域应该是云活动的发起点。对许多人来说,在没有业务或用记的新国家或地点登录,都将视为非常高优先级的警报,许多云日志中包含足够的详细信息来记录登录位置。在减少噪声的同时监视云日志以获取这类有价值的信息将极大地有利于安全团队及其组织。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。
相关推荐
-
云如何帮助企业处理安全日志数据
所有信息安全控制的共同点是都有以日志事件和报警的格式所生成的数据输出。随着企业规模的增加或者安全级别的增加,安全日志数据及其存储需求也在快速增长。
-
云计算日志最佳方案评估
日志其实就是安全系统和操作系统团队工作的实质。与以往相比,我们近来收集和分析的日志愈加繁杂。SANS 2012日志管理调查结果显示:82%参与调查的公司认为日志是追踪可疑行为的关键……