Azure Sentinel 日志分析SOC運(yùn)維

來源： Microsoft云科技

作者：Microsoft云科技

時(shí)間：2021-08-26

數(shù)字化轉(zhuǎn)型和云轉(zhuǎn)型的浪潮在不斷沖擊著企業(yè)的信息安全應(yīng)對(duì)能力。同時(shí)，我們發(fā)現(xiàn)，企業(yè)信息安全僅僅依靠網(wǎng)絡(luò)防御是不夠的，只有采取主動(dòng)應(yīng)對(duì)風(fēng)險(xiǎn)方法才能滿足企業(yè)信息安全的需求。

數(shù)字化轉(zhuǎn)型和云轉(zhuǎn)型的浪潮在不斷沖擊著企業(yè)的信息安全應(yīng)對(duì)能力。

同時(shí)，我們發(fā)現(xiàn)，企業(yè)信息安全僅僅依靠網(wǎng)絡(luò)防御是不夠的，只有采取主動(dòng)應(yīng)對(duì)風(fēng)險(xiǎn)方法才能滿足企業(yè)信息安全的需求。

因此，企業(yè)需要能夠連接所有系統(tǒng)，并且收集系統(tǒng)中的數(shù)據(jù)，無論這些數(shù)據(jù)是在云上還是在企業(yè)內(nèi)部，是商業(yè)數(shù)據(jù)還是系統(tǒng)生成的數(shù)據(jù)。

傳統(tǒng)的 SIEM方法根本無法跟上變革的步伐，企業(yè)也沒有更多的資金來解決這個(gè)問題。

關(guān)于安全日志分析，F(xiàn)lyingnets不僅可以提供splunk、elk分析，還可以基于sentinel對(duì)數(shù)據(jù)進(jìn)行分析。

因此，針對(duì)Microsoft用戶，F(xiàn)lyingnets為企業(yè)提供了基于Azure Sentinel 的全面日志分析安全運(yùn)維和服務(wù)。

Azure Sentinel 是什么？

它是可縮放的云原生安全信息事件管理 (SIEM)和安全業(yè)務(wù)流程自動(dòng)響應(yīng) (SOAR) 解決方案。

Azure Sentinel 在整個(gè)企業(yè)范圍內(nèi)提供智能安全分析和威脅智能告警服務(wù)，為警報(bào)的檢測(cè)、威脅可見性、主動(dòng)搜尋和威脅響應(yīng)提供統(tǒng)一解決方案。

跨用戶、設(shè)備、應(yīng)用程序和基礎(chǔ)結(jié)構(gòu)（包括本地和多個(gè)云），大規(guī)模收集數(shù)據(jù)。
使用Microsoft 的分析和出色的威脅情報(bào)，能檢測(cè)以前未檢測(cè)到的威脅，并最大限度地減少誤報(bào)。
借助人工智能調(diào)查威脅，結(jié)合Microsoft 多年以來的網(wǎng)絡(luò)安全工作經(jīng)驗(yàn)，可以大規(guī)模搜尋可疑活動(dòng)。
通過內(nèi)置的業(yè)務(wù)流程和常見任務(wù)自動(dòng)化，能快速響應(yīng)事件

Flyingnets使用Azure Sentinel進(jìn)行SOC

服務(wù)的流程圖

01 添加數(shù)據(jù)源

Azure Sentinel 隨附許多適用于 Microsoft 解決方案的開箱即用的連接器，提供實(shí)時(shí)數(shù)據(jù)。此外，內(nèi)置的連接器可以擴(kuò)展非 Microsoft 解決方案的安全生態(tài)系統(tǒng)。也可以使用常用事件格式 Syslog 或 REST-API 將數(shù)據(jù)源與 Azure Sentinel 相連接。將數(shù)據(jù)源接入后我們就可以使用Azure Sentinel對(duì)接入的安全產(chǎn)品的數(shù)據(jù)進(jìn)行分析。

02 創(chuàng)建工作簿

將數(shù)據(jù)源連接到 Azure Sentinel 后，可以使用 Azure Sentinel 與 Azure Monitor 工作簿的集成來監(jiān)視數(shù)據(jù)，這里為創(chuàng)建自定義工作簿提供了多樣性。Azure Sentinel 可讓您跨數(shù)據(jù)源創(chuàng)建自定義工作簿，并且還附帶了大量?jī)?nèi)置的工作簿模板供您使用，使您可以在連接數(shù)據(jù)源后快速便捷的獲取到分析結(jié)果。

03 創(chuàng)建事件

為了幫助降低干擾并盡量減少需要檢查和調(diào)查的警報(bào)數(shù)目，Azure Sentinel 使用分析將警報(bào)關(guān)聯(lián)到事件。事件是相關(guān)警報(bào)的分組，它們共同組成了可以調(diào)查和解決潛在威脅的完整視圖?？梢允褂脙?nèi)置的關(guān)聯(lián)規(guī)則，也可以使用它們作為起點(diǎn)來創(chuàng)建自己的關(guān)聯(lián)規(guī)則。

04 創(chuàng)建自動(dòng)化警報(bào)

將常見任務(wù)自動(dòng)化，并使用可與 Azure 服務(wù)和現(xiàn)有工具集成的 Playbook 來簡(jiǎn)化安全業(yè)務(wù)流程。Azure Sentinel 的自動(dòng)化和業(yè)務(wù)流程解決方案構(gòu)建在 Azure 邏輯應(yīng)用的基礎(chǔ)之上，當(dāng)新的技術(shù)和威脅出現(xiàn)時(shí)，它能提供高度可擴(kuò)展的體系結(jié)構(gòu)。

05 主動(dòng)搜尋威脅事件

根據(jù) MITRE 框架使用 Azure Sentinel 的強(qiáng)大搜尋功能和查詢工具，可以在觸發(fā)警報(bào)之前，主動(dòng)搜尋組織的不同數(shù)據(jù)源中的安全威脅。當(dāng)發(fā)現(xiàn)哪個(gè)搜索查詢可以提供有關(guān)潛在攻擊的建議后，可以基于該查詢創(chuàng)建自定義檢測(cè)規(guī)則，也可以作為警報(bào)創(chuàng)建。

06 調(diào)查觸發(fā)的危險(xiǎn)或警報(bào)

點(diǎn)擊主頁(yè)觸發(fā)的事件，可以使用深入調(diào)查工具了解潛在安全威脅的范圍，并找到事件觸發(fā)的根本原因。可以在交互式圖形中選擇一個(gè)實(shí)體，以提取有關(guān)特定實(shí)體的相關(guān)信息，然后向下鉆取到該實(shí)體及其連接，以獲取威脅的根本原因，然后將一些關(guān)鍵信息進(jìn)行結(jié)合分析，判斷該事件是否存在威脅。（圖例為用戶舉報(bào)釣魚郵件的事件）。

結(jié)束警報(bào):

解決了特定事件或者當(dāng)您的調(diào)查有結(jié)論時(shí)，您可以將事件的狀態(tài)設(shè)置為關(guān)閉。當(dāng)您關(guān)閉事件時(shí)，您可以通過指定關(guān)閉它的原因來分類事件。點(diǎn)擊選擇分類并從下拉列表中選擇以下其中一個(gè)：

真正 - 可疑活動(dòng)

良性 - 可疑但符合預(yù)期

假正 - 警報(bào)邏輯不正確

假正 - 數(shù)據(jù)不正確

未確定

選擇適當(dāng)?shù)姆诸惡?，可以添加一些描述性的文本。這樣會(huì)方便對(duì)此事件進(jìn)行回顧。當(dāng)您完成后點(diǎn)擊應(yīng)用，事件將被關(guān)閉。

至此，這就是飛絡(luò)SOC使用Azure Sentinel從接入數(shù)據(jù)源到處理觸發(fā)事件或警報(bào)的一個(gè)完整流程。

在安全領(lǐng)域，借助 Azure Sentinel，飛絡(luò)SOC將為您分析最新的信息安全威脅情報(bào)，而這些情報(bào)是Microsoft通過每天對(duì)數(shù)萬億個(gè)信號(hào)進(jìn)行分析而獲得的。

借助 Microsoft 數(shù)十年來在全球范圍內(nèi)管理安全性方面的經(jīng)驗(yàn)，F(xiàn)lyingnets 可以為您的企業(yè)打造更安全的信息環(huán)境。

下圖是Azure Sentinel可以接入數(shù)據(jù)源的清單:

Azure Sentinel對(duì)接入數(shù)據(jù)分析可視化頁(yè)面：

立即登錄，閱讀全文

Azure 微軟

上一篇：Shopee賣家必知的新站點(diǎn)申請(qǐng)流程

版權(quán)說明：

本文內(nèi)容來自于Microsoft云科技，本站不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個(gè)人觀點(diǎn)，不代表快出海對(duì)觀點(diǎn)贊同或支持。如有侵權(quán)，請(qǐng)聯(lián)系管理員（zzx@kchuhai.com）刪除！

相關(guān)文章