云日志安全事件如何高效管理?

日期:2017-3-9作者:Dave Shackleford翻译:蒋红冰来源:TechTarget中国 英文

云日志   

【TechTarget中国原创】

云日志 安全事件可产生大量数据。本文中专家Dave Shackleford讨论了如何过滤它并获得重要的安全事件。

随着开发和运营团队不断把资源迁移向云端,企业对于基于云的服务也使用越来越多,致使安全团队不得不时刻准备应用对不预期的问题——大量新的预警和事件。

来自云访问安全中介Skyhigh Networks的最新报告,对不断增长的云文件共享和协作服务,以及对安全团队面临的新问题提供了一些观点,即从所有事件中以“影子IT”和疲劳预警形式展示。

报告指出,根据Skyhigh的客户调查,企业平均 每月产生约27亿个云事件,而文件共享/协作活动一直是这个数字激增的最大原因。报告还发现,这些云事件中的2,500构成了“异常”事件,其中只有23个是实际的安全事件。有了这样的量,安全团队比以往任何时候都更加努力,过滤掉噪音,并响应合法的安全事件和可疑事件。

对云日志排序

首先,也是最明显的,安全分析师需要做的事是从所有相关的云环境中收集日志。同时,分析师要确保所有云日志都进入到了一个常见的位置。

大部分云服务提供商允许用户从他们的环境中下载日志,或从专门的存储节点,如亚马逊的CloudTrail 或谷歌的Stackdriver Logging。现今,还有许多云适用的安全事件聚合和分析平台,包括Splunk Cloud、Sumo Logic、Loggly和Papertrail。这些服务给团队提供了一种简单的方法 ,来从多个云服务中收集日志,并且通常这些服务 通过提供的API更容易集成。

一旦收集并聚合的云日志后,分析人员需要筛选各类事件,并开始对它们进行优先级排序。对此,有几个关键点需要注意。

  • 添加上下文:如果云日志可以“标记”为来自特定服务提供商,那么这可以帮助提供关于服务用例的上下文。 例如,来自Salesforce.com的日志将关注用户活动和身份验证,以及环境中的管理更改。在Amazon Web Services或Azure中,将有更多变化的活动,以及更多不同类型的用户和角色。
  • 定义优先级:专注于云的安全分析师必须决定哪些事件和行为是最重要的监视。常见的起点包括对云管理控制台的所有登录活动; 对重要云对象和数据的任何更改或尝试更改; 以及凭证或加密密钥的任何创建、删除或修改。
  • 调整警报:虽然这看起来很常见,但一般来说,调整对于云记录和事件管理来说是非常重要的。抑制冗余警报——那些完全可以自操作的警报以及与安全无直接关系的警报。为了在环境中建立合适的行为准线,分析人员可能需要几周或几月的数据积累。另外,也要调整每周监控过程的常规部分。
  • 关注帐户:剩余用户帐户和数据是云中的一个大问题。与人力资源团队密切合作,快速停用云帐户,并在用户离开企业后,至少几周内监控所有尝试登录到已停用或已删除的帐户的行为。在员工离开之前监控用户帐户活动是一个不错的主意。这将确保离职员工不会一起带走公司的数据;还要寻找突然增加的数据导出或整体帐户使用。

云事件的最终聚焦区域应该是云活动的发起点。对许多人来说,在没有业务或用记的新国家或地点登录,都将视为非常高优先级的警报,许多云日志中包含足够的详细信息来记录登录位置。在减少噪声的同时监视云日志以获取这类有价值的信息将极大地有利于安全团队及其组织。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Dave Shackleford
Dave Shackleford

Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。

云的数据隐私>更多

  • 如何发现和预防man-in-the-cloud攻击

    多年来,越来越多的信息已经转移到并存储在许多云平台中。Dropbox,Microsoft OneDrive和Google Drive等服务让这样的过程变得很容易。

  • 云日志安全事件如何高效管理?

    随着开发和运营团队不断把资源迁移向云端,企业对于基于云的服务也使用越来越多,致使安全团队不得不时刻准备应用对不预期的问题——大量新的预警和事件。

  • 亚马逊EC2专用主机可提供哪些安全优势?

    亚马逊弹性计算云实例有两种不同的配置:亚马逊EC2专用主机和专用实例。与在共享服务器上运行的基本EC2实例相比,这两种配置都提供了额外的安全措施。

  • AWS监控归根到底是工具的选择

    AWS有一系列专为其公有云能够变得更易于管理而开发的扩展功能和特性。AWS config、AWS CloudTrail和亚马逊Inspector是能够帮助管理人员处理监控AWS安全和资源配置的三个相关服务。

相关推荐

  • 云如何帮助企业处理安全日志数据

    所有信息安全控制的共同点是都有以日志事件和报警的格式所生成的数据输出。随着企业规模的增加或者安全级别的增加,安全日志数据及其存储需求也在快速增长。

  • 云计算日志最佳方案评估

    日志其实就是安全系统和操作系统团队工作的实质。与以往相比,我们近来收集和分析的日志愈加繁杂。SANS 2012日志管理调查结果显示:82%参与调查的公司认为日志是追踪可疑行为的关键……

技术手册>更多

  • 云计算入门手册

    “虚拟桌面”的概念的从何而来的?支持虚拟桌面的框架有哪些?云计算与虚拟桌面、云计算与SOA的关系是什么?云计算架构模型呢?如何企业考虑使用云计算,应该注意哪些事项?本手册将为您解答在这些方面的疑惑。

  • 移动云计算应用开发全解

    在过去,移动应用一直被分为本地应用程序或网络应用程序两类。在这本技术手册中,我们把网络应用程序归类为移动云应用范畴,因为网络应用程序在移动设备之外运行,而其数据存储也在移动设备以外。“移动云计算”一词通常是指被扩展以处理移动设备的企业云计算基础设施。被提供给用户使用的数据存储和计算处理资源都在云计算平台端而不是在移动设备本身。下面我们就来看看如何开发出顺应BYOD趋势的完整移动云应用。

  • 云中虚拟机配置与保护措施教程

    如何为私有云选择正确的虚拟机,我们分析每一个虚拟机和服务所用的资源,还要检查把这些资源移向云中的风险。有了正确的调查,就可以找到最好的资源和服务,并且可以相对容易的部署到私有云中。部署好了之后,云端虚拟机的安全如何保证与管理又成为问题,保证了正常运转与管理之后,随着业务发展,在云端,虚拟机蔓延该如何控制呢?在这本技术手册中我们将一一为您解答。

  • 云服务模式安全性评估手册

    2012年TechTarget中国云安全调查结果显示,目前已经有79.6%的企业正在进行或者考虑采用云服务,形式包括PaaS、Iaas、SaaS、云存储/备份、私有云和混合云。这也从一个侧面反映了企业对于云计算的认可已经逐渐加强,不再云里雾里。但是谈到云计算安全性的时候,认为云计算安全和不安全的受访者基本持平,分别为51.9%(安全)和48.1%(不安全)。本技术手册中,我们将从三个方面评估并实现云服务模式的安全性。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心