云日志 安全事件可產(chǎn)生大量數(shù)據(jù)。本文中專家Dave Shackleford討論了如何過(guò)濾它并獲得重要的安全事件。

隨著開發(fā)和運(yùn)營(yíng)團(tuán)隊(duì)不斷把資源遷移向云端，企業(yè)對(duì)于基于云的服務(wù)也使用越來(lái)越多，致使安全團(tuán)隊(duì)不得不時(shí)刻準(zhǔn)備應(yīng)用對(duì)不預(yù)期的問(wèn)題——大量新的預(yù)警和事件。

來(lái)自云訪問(wèn)安全中介Skyhigh Networks的最新報(bào)告，對(duì)不斷增長(zhǎng)的云文件共享和協(xié)作服務(wù)，以及對(duì)安全團(tuán)隊(duì)面臨的新問(wèn)題提供了一些觀點(diǎn)，即從所有事件中以“影子IT”和疲勞預(yù)警形式展示。

報(bào)告指出，根據(jù)Skyhigh的客戶調(diào)查，企業(yè)平均 每月產(chǎn)生約27億個(gè)云事件，而文件共享/協(xié)作活動(dòng)一直是這個(gè)數(shù)字激增的最大原因。報(bào)告還發(fā)現(xiàn)，這些云事件中的2,500構(gòu)成了“異常”事件，其中只有23個(gè)是實(shí)際的安全事件。有了這樣的量，安全團(tuán)隊(duì)比以往任何時(shí)候都更加努力，過(guò)濾掉噪音，并響應(yīng)合法的安全事件和可疑事件。

對(duì)云日志排序

首先，也是最明顯的，安全分析師需要做的事是從所有相關(guān)的云環(huán)境中收集日志。同時(shí)，分析師要確保所有云日志都進(jìn)入到了一個(gè)常見的位置。

大部分云服務(wù)提供商允許用戶從他們的環(huán)境中下載日志，或從專門的存儲(chǔ)節(jié)點(diǎn)，如亞馬遜的CloudTrail 或谷歌的Stackdriver Logging?，F(xiàn)今，還有許多云適用的安全事件聚合和分析平臺(tái)，包括Splunk Cloud、Sumo Logic、Loggly和Papertrail。這些服務(wù)給團(tuán)隊(duì)提供了一種簡(jiǎn)單的方法 ，來(lái)從多個(gè)云服務(wù)中收集日志，并且通常這些服務(wù) 通過(guò)提供的API更容易集成。

一旦收集并聚合的云日志后，分析人員需要篩選各類事件，并開始對(duì)它們進(jìn)行優(yōu)先級(jí)排序。對(duì)此，有幾個(gè)關(guān)鍵點(diǎn)需要注意。

• 添加上下文：如果云日志可以“標(biāo)記”為來(lái)自特定服務(wù)提供商，那么這可以幫助提供關(guān)于服務(wù)用例的上下文。 例如，來(lái)自Salesforce.com的日志將關(guān)注用戶活動(dòng)和身份驗(yàn)證，以及環(huán)境中的管理更改。在Amazon Web Services或Azure中，將有更多變化的活動(dòng)，以及更多不同類型的用戶和角色。
• 定義優(yōu)先級(jí)：專注于云的安全分析師必須決定哪些事件和行為是最重要的監(jiān)視。常見的起點(diǎn)包括對(duì)云管理控制臺(tái)的所有登錄活動(dòng); 對(duì)重要云對(duì)象和數(shù)據(jù)的任何更改或嘗試更改; 以及憑證或加密密鑰的任何創(chuàng)建、刪除或修改。
• 調(diào)整警報(bào)：雖然這看起來(lái)很常見，但一般來(lái)說(shuō)，調(diào)整對(duì)于云記錄和事件管理來(lái)說(shuō)是非常重要的。抑制冗余警報(bào)——那些完全可以自操作的警報(bào)以及與安全無(wú)直接關(guān)系的警報(bào)。為了在環(huán)境中建立合適的行為準(zhǔn)線，分析人員可能需要幾周或幾月的數(shù)據(jù)積累。另外，也要調(diào)整每周監(jiān)控過(guò)程的常規(guī)部分。
• 關(guān)注帳戶：剩余用戶帳戶和數(shù)據(jù)是云中的一個(gè)大問(wèn)題。與人力資源團(tuán)隊(duì)密切合作，快速停用云帳戶，并在用戶離開企業(yè)后，至少幾周內(nèi)監(jiān)控所有嘗試登錄到已停用或已刪除的帳戶的行為。在員工離開之前監(jiān)控用戶帳戶活動(dòng)是一個(gè)不錯(cuò)的主意。這將確保離職員工不會(huì)一起帶走公司的數(shù)據(jù);還要尋找突然增加的數(shù)據(jù)導(dǎo)出或整體帳戶使用。

云事件的最終聚焦區(qū)域應(yīng)該是云活動(dòng)的發(fā)起點(diǎn)。對(duì)許多人來(lái)說(shuō)，在沒(méi)有業(yè)務(wù)或用記的新國(guó)家或地點(diǎn)登錄，都將視為非常高優(yōu)先級(jí)的警報(bào)，許多云日志中包含足夠的詳細(xì)信息來(lái)記錄登錄位置。在減少噪聲的同時(shí)監(jiān)視云日志以獲取這類有價(jià)值的信息將極大地有利于安全團(tuán)隊(duì)及其組織。