云日志 安全事件可产生大量数据。本文中专家Dave Shackleford讨论了如何过滤它并获得重要的安全事件。

随着开发和运营团队不断把资源迁移向云端，企业对于基于云的服务也使用越来越多，致使安全团队不得不时刻准备应用对不预期的问题——大量新的预警和事件。

来自云访问安全中介Skyhigh Networks的最新报告，对不断增长的云文件共享和协作服务，以及对安全团队面临的新问题提供了一些观点，即从所有事件中以“影子IT”和疲劳预警形式展示。

报告指出，根据Skyhigh的客户调查，企业平均 每月产生约27亿个云事件，而文件共享/协作活动一直是这个数字激增的最大原因。报告还发现，这些云事件中的2,500构成了“异常”事件，其中只有23个是实际的安全事件。有了这样的量，安全团队比以往任何时候都更加努力，过滤掉噪音，并响应合法的安全事件和可疑事件。

对云日志排序

首先，也是最明显的，安全分析师需要做的事是从所有相关的云环境中收集日志。同时，分析师要确保所有云日志都进入到了一个常见的位置。

大部分云服务提供商允许用户从他们的环境中下载日志，或从专门的存储节点，如亚马逊的CloudTrail 或谷歌的Stackdriver Logging。现今，还有许多云适用的安全事件聚合和分析平台，包括Splunk Cloud、Sumo Logic、Loggly和Papertrail。这些服务给团队提供了一种简单的方法 ，来从多个云服务中收集日志，并且通常这些服务 通过提供的API更容易集成。

一旦收集并聚合的云日志后，分析人员需要筛选各类事件，并开始对它们进行优先级排序。对此，有几个关键点需要注意。

• 添加上下文：如果云日志可以“标记”为来自特定服务提供商，那么这可以帮助提供关于服务用例的上下文。 例如，来自Salesforce.com的日志将关注用户活动和身份验证，以及环境中的管理更改。在Amazon Web Services或Azure中，将有更多变化的活动，以及更多不同类型的用户和角色。
• 定义优先级：专注于云的安全分析师必须决定哪些事件和行为是最重要的监视。常见的起点包括对云管理控制台的所有登录活动; 对重要云对象和数据的任何更改或尝试更改; 以及凭证或加密密钥的任何创建、删除或修改。
• 调整警报：虽然这看起来很常见，但一般来说，调整对于云记录和事件管理来说是非常重要的。抑制冗余警报——那些完全可以自操作的警报以及与安全无直接关系的警报。为了在环境中建立合适的行为准线，分析人员可能需要几周或几月的数据积累。另外，也要调整每周监控过程的常规部分。
• 关注帐户：剩余用户帐户和数据是云中的一个大问题。与人力资源团队密切合作，快速停用云帐户，并在用户离开企业后，至少几周内监控所有尝试登录到已停用或已删除的帐户的行为。在员工离开之前监控用户帐户活动是一个不错的主意。这将确保离职员工不会一起带走公司的数据；还要寻找突然增加的数据导出或整体帐户使用。

云事件的最终聚焦区域应该是云活动的发起点。对许多人来说，在没有业务或用记的新国家或地点登录，都将视为非常高优先级的警报，许多云日志中包含足够的详细信息来记录登录位置。在减少噪声的同时监视云日志以获取这类有价值的信息将极大地有利于安全团队及其组织。