​在本章开讲之前,我们首先先介绍下SIEM,英文全称:​Security Information and Event Management 即安全信息和事件管理 系统,SIEM可以过滤电子邮件,搜索关键词和发现安全缺口
面对海量安全数据,传统的集中化安全分析平台SIEM遭遇到了诸多瓶颈,主要表现在以下方面:

  • 高速海量安全数据的采集和存储变得困难
  • 异构数据的存储和管理变得困难
  • 威胁数据源较小,导致系统判断能力有限
  • 对历史数据的检测能力很弱
  • 安全事件的调查效率太低
  • 安全系统相互独立,无有效手段协同工作
  • 分析的方法较少
  • 对于趋势性的东西预测较难,对早期预警的能力比较差
  • 系统交互能力有限,数据展示效果有待提高

专用安全信息和事件管理 (SIEM) 系统有利于大规模的安全性管理。 SIEM 系统聚合来自许多不同源的安全数据(只要这些源支持开放的标准日志记录格式)。 它还提供用于威胁检测和响应的其他功能。
Azure Sentinel 是 Microsoft 基于云的 SIEM 系统。 它使用智能安全分析和威胁分析。

Azure基础:使用 Azure Sentinel检测并响应安全威胁(29)_微软SIEM

Azure Sentinel 功能

通过 Azure Sentinel,你能够:

  • 大规模收集云数据:在本地和从多个云中跨所有用户、设备、应用程序和基础结构收集数据。
  • 检测以前未检测到的威胁:使用 Microsoft 的综合分析和威胁情报,最大程度地减少误报。
  • 通过人工智能调查威胁:利用多年来使用 Microsoft 的网络安全体验大规模检查可疑活动。
  • 快速响应事件:使用内置的业务流程和常见任务自动化。

连接到数据源

如果某公司决定探索 Azure Sentinel 的功能。 首先,公司会标识并连接其数据源。
Azure Sentinel 支持许多数据源,它可以分析这些数据源的安全事件。 这些连接由内置连接器或行业标准日志格式和 API 处理。

  • 连接 Microsoft 解决方案:连接器为 Microsoft 威胁防护解决方案、Microsoft 365 源(包括 Office 365)、Azure Active Directory、Windows Defender 防火墙提供实时集成。
  • 连接其他服务和解决方案:连接器适用于常见的非 Microsoft 服务和解决方案,包括 AWS CloudTrail、Citrix Analytics (Security)、Sophos XG 防火墙、VMware Carbon Black Cloud 和 Okta SSO。
  • 连接行业标准数据源:Azure Sentinel 支持来自其他源的数据,这些源使用通用事件格式 (CEF) 消息传递标准、Syslog 或 REST API。

检测威胁

如果需要在发生可疑情况时收到通知。 它决定使用内置分析和自定义规则来检测威胁。
内置分析使用由 Microsoft 的安全专家和分析师团队基于已知的威胁、常见的攻击途径和可疑活动的升级链设计的模板。 这些模板可进行自定义设置并在整个环境中搜索任何看起来可疑的活动。 一些模板使用基于 Microsoft 的专有算法的机器学习行为分析。
自定义分析是你创建的规则,用于在环境中搜索特定的条件。 可以预览查询(根据过去的日志事件)生成的结果数,设置查询的运行计划。 还可以设置警报阈值。

调查和响应

当 Azure Sentinel 检测到可疑事件时,我们可以调查特定的警报或事件(一组相关警报)。 通过调查图,该公司可以查看来自直接连接到警报的实体的信息,并查看常见的浏览查询,以帮助指导他们进行调查。
下面的示例演示了 Azure Sentinel 中的调查图。

Azure基础:使用 Azure Sentinel检测并响应安全威胁(29)_Azure Sentinel_02

我们还可以使用 Azure Monitor 工作簿来自动响应威胁。 例如,它可以设置一个用于查找访问网络的恶意 IP 地址的警报,并创建执行以下步骤的工作簿:

  • 触发警报时,在 IT 工单系统中开具工单。
  • 向 Microsoft Teams 或 Slack 中的安全操作通道发送一条消息,以确保安全分析师了解该事件。
  • 将警报中的所有信息发送给高级网络管理员和安全管理员。电子邮件包括两个用户选项按钮:“阻止”或“忽略”。

当管理员选择“阻止”时,IP 地址在防火墙中被阻止,并且用户在 Azure Active Directory 中被禁用。 当管理员选择“忽略”时,警报在 Azure Sentinel 中关闭,并且事件在 IT 工单系统中关闭。
收到来自管理员的响应后,工作簿将继续运行。
工作簿可以手动运行,也可以在规则触发警报时自动运行。