Azure Sentinel 日志分析SOC运维
次
数字化转型和云转型的浪潮在不断冲击着企业的信息安全应对能力。
同时,我们发现,企业信息安全仅仅依靠网络防御是不够的,只有采取主动应对风险方法才能满足企业信息安全的需求。
因此,企业需要能够连接所有系统,并且收集系统中的数据,无论这些数据是在云上还是在企业内部,是商业数据还是系统生成的数据。
传统的 SIEM方法根本无法跟上变革的步伐,企业也没有更多的资金来解决这个问题。
关于安全日志分析,Flyingnets不仅可以提供splunk、elk分析, 还可以基于sentinel对数据进行分析。
因此,针对Microsoft用户,Flyingnets为企业提供了基于Azure Sentinel 的全面日志分析安全运维和服务。
Azure Sentinel 是什么?
它是可缩放的云原生 安全信息事件管理 (SIEM)和 安全业务流程自动响应 (SOAR) 解决方案。
Azure Sentinel 在整个企业范围内提供智能安全分析和威胁智能告警服务,为警报的检测、威胁可见性、主动搜寻和威胁响应提供统一解决方案。
跨用户、设备、应用程序和基础结构(包括本地和多个云),大规模收集数据。
使用Microsoft 的分析和出色的威胁情报,能检测以前未检测到的威胁,并最大限度地减少误报。
借助人工智能调查威胁,结合Microsoft 多年以来的网络安全工作经验,可以大规模搜寻可疑活动。
通过内置的业务流程和常见任务自动化,能快速响应事件
Flyingnets使用Azure Sentinel进行SOC 服务的流程图 01 添加数据源 Azure Sentinel 随附许多适用于 Microsoft 解决方案的开箱即用的连接器,提供实时数据。此外,内置的连接器可以扩展非 Microsoft 解决方案的安全生态系统。也可以使用常用事件格式 Syslog 或 REST-API 将数据源与 Azure Sentinel 相连接。将数据源接入后我们就可以使用Azure Sentinel对接入的安全产品的数据进行分析。 将数据源连接到 Azure Sentinel 后,可以使用 Azure Sentinel 与 Azure Monitor 工作簿的集成来监视数据,这里为创建自定义工作簿提供了多样性。Azure Sentinel 可让您跨数据源创建自定义工作簿,并且还附带了大量内置的工作簿模板供您使用,使您可以在连接数据源后快速便捷的获取到分析结果。 为了帮助降低干扰并尽量减少需要检查和调查的警报数目,Azure Sentinel 使用分析将警报关联到事件。事件是相关警报的分组,它们共同组成了可以调查和解决潜在威胁的完整视图。可以使用内置的关联规则,也可以使用它们作为起点来创建自己的关联规则。 将常见任务自动化,并使用可与 Azure 服务和现有工具集成的 Playbook 来简化安全业务流程。Azure Sentinel 的自动化和业务流程解决方案构建在 Azure 逻辑应用的基础之上,当新的技术和威胁出现时,它能提供高度可扩展的体系结构。 根据 MITRE 框架使用 Azure Sentinel 的强大搜寻功能和查询工具,可以在触发警报之前,主动搜寻组织的不同数据源中的安全威胁。当发现哪个搜索查询可以提供有关潜在攻击的建议后,可以基于该查询创建自定义检测规则,也可以作为警报创建。 点击主页触发的事件,可以使用深入调查工具了解潜在安全威胁的范围,并找到事件触发的根本原因。可以在交互式图形中选择一个实体,以提取有关特定实体的相关信息,然后向下钻取到该实体及其连接,以获取威胁的根本原因,然后将一些关键信息进行结合分析,判断该事件是否存在威胁。(图例为用户举报钓鱼邮件的事件)。 解决了特定事件或者当您的调查有结论时,您可以将事件的状态设置为关闭。当您关闭事件时,您可以通过指定关闭它的原因来分类事件。点击选择分类并从下拉列表中选择以下其中一个: 真正 - 可疑活动 良性 - 可疑但符合预期 假正 - 警报逻辑不正确 假正 - 数据不正确 未确定 选择适当的分类后,可以添加一些描述性的文本。这样会方便对此事件进行回顾。当您完成后点击应用,事件将被关闭。 至此,这就是飞络SOC使用Azure Sentinel从接入数据源到处理触发事件或警报的一个完整流程。 在安全领域,借助 Azure Sentinel,飞络SOC将为您分析最新的信息安全威胁情报,而这些情报是Microsoft通过每天对数万亿个信号进行分析而获得的。 借助 Microsoft 数十年来在全球范围内管理安全性方面的经验,Flyingnets 可以为您的企业打造更安全的信息环境。 下图是Azure Sentinel可以接入数据源的清单:
05 主动搜寻威胁事件
Azure Sentinel对接入数据分析可视化页面:
