欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

您當(dāng)前的位置是:  首頁(yè) > 資訊 > 文章精選 >
 首頁(yè) > 資訊 > 文章精選 >

安全無(wú)小事|一站式云原生監(jiān)控平臺(tái)幫助企業(yè)動(dòng)態(tài)定位云端高風(fēng)險(xiǎn)資產(chǎn)

2021-02-24 13:46:22   作者:   來(lái)源:CTI論壇   評(píng)論:0  點(diǎn)擊:


  對(duì)于很多轉(zhuǎn)型路上的客戶(hù),已經(jīng)習(xí)慣于利用云端的彈性及便捷的方式開(kāi)啟一些新型的業(yè)務(wù)。然而,從安全監(jiān)控的角度,卻找不到合適的方式來(lái)看到云端所發(fā)生的事情。如果使用傳統(tǒng)的本地監(jiān)控方式,這樣的方式既無(wú)法適應(yīng)云端層出不窮的新型業(yè)務(wù)環(huán)境,也無(wú)法完全利用云端的產(chǎn)品優(yōu)勢(shì),只能監(jiān)控 IaaS 層面虛擬機(jī)的一些終端情況,無(wú)法自如的應(yīng)對(duì) PaaS 級(jí)別的各項(xiàng)服務(wù)的安全監(jiān)控,特別是針對(duì)網(wǎng)絡(luò)層的很多服務(wù),傳統(tǒng)的利用鏡像流量進(jìn)行監(jiān)控和分析的方式從成本和便捷程度上還是偏重。對(duì)于很多用戶(hù)來(lái)說(shuō)如何在云端搭建一套起步的安全監(jiān)控環(huán)境,作為小而美的過(guò)渡方案來(lái)配合云端業(yè)務(wù)的逐漸成長(zhǎng)和成熟,已慢慢成為一個(gè)心結(jié)。雖說(shuō)安全無(wú)小事,但很少有公司在前期規(guī)劃階段就會(huì)投重金和人力成本搭建一套完整的、全網(wǎng)全終端覆蓋的安全運(yùn)營(yíng)中心來(lái)保障云端業(yè)務(wù)的安全運(yùn)營(yíng)。
  針對(duì)企業(yè)云端安全監(jiān)控的這一重要需求,我們?cè)O(shè)計(jì)了 一套可以一鍵部署,也可以動(dòng)態(tài)調(diào)整的安全監(jiān)控模板方案, 希望可以給客戶(hù)帶來(lái)最直觀(guān)的安全監(jiān)控方案以及后續(xù)深入調(diào)查的平臺(tái)。
  接下來(lái)我們就會(huì)通過(guò)一個(gè) demo 環(huán)境演示整套方案是如何帶給客戶(hù)安全監(jiān)控的能力。
  首先我們一起來(lái)看下方案的組成部分:
  基于很多用戶(hù)對(duì)于云環(huán)境的需求大多都是起始于搭建一些對(duì)外的,面向全網(wǎng)的服務(wù),從而能夠把一些風(fēng)險(xiǎn)從本地?cái)?shù)據(jù)中心中隔離轉(zhuǎn)移出去,以及保證業(yè)務(wù)的靈活搭建,快速響應(yīng)市場(chǎng)的需求。因此這些業(yè)務(wù)將會(huì)是很多攻擊者眼中最直接的攻擊目標(biāo),利用其暴露的 IP 和端口,發(fā)起一輪又一輪的攻擊。
  因此,我們?cè)O(shè)計(jì)了階段一對(duì)于全網(wǎng)環(huán)境的網(wǎng)絡(luò)日志的監(jiān)控和分析,借助網(wǎng)絡(luò)觀(guān)察程序搜集到的各個(gè)網(wǎng)絡(luò)安全組上的日志,再利用日志分析工具(Log Analytics)從諸如可疑 IP 的訪(fǎng)問(wèn)、每日流量的觀(guān)察、內(nèi)部網(wǎng)段互訪(fǎng)等維度來(lái)幫助企業(yè)的安全團(tuán)隊(duì)定位一些存在風(fēng)險(xiǎn)的虛擬機(jī)。
  經(jīng)過(guò)了階段一,企業(yè)安全團(tuán)隊(duì)將會(huì)從網(wǎng)絡(luò)層對(duì)于企業(yè)的網(wǎng)絡(luò)情況有了一個(gè)全局的可見(jiàn)性,之后根據(jù)從業(yè)務(wù)端的理解和梳理,就能夠初步甄別一些危險(xiǎn)信號(hào),定位一些可疑的終端目標(biāo)。接下來(lái)就需要通過(guò)階段二進(jìn)入到具體的終端服務(wù)器上的日志,通過(guò)分析具體的行為來(lái)判定機(jī)器是否存在異常。
  在進(jìn)入階段二的高風(fēng)險(xiǎn)機(jī)器中,我們需要通過(guò)終端服務(wù)器的日志的具體行為,利用 Azure Defender( 原名 Azure Security Center)或者 Microsoft Defender for Endpoint( 原名 Microsoft Defender ATP)根據(jù) MITRE ATT&CK 上所定義的,以及微軟安全團(tuán)隊(duì)總結(jié)的一些與當(dāng)年威脅相關(guān)的動(dòng)作,對(duì)應(yīng)到具體的 SysLog 或者 Windows Events 中的具體日志,監(jiān)控和狩獵是否存在一些異常情況,來(lái)最終確定機(jī)器是否存在泄漏的問(wèn)題。
  當(dāng)客戶(hù)經(jīng)過(guò)一段時(shí)間的觀(guān)測(cè)和梳理,逐漸掌握了云端各個(gè)資源的正常業(yè)務(wù)情況,便可以進(jìn)入階段三,通過(guò) Sentinel 接入更多的非 Azure 云端的系統(tǒng),利用同一套監(jiān)控邏輯和日常安全運(yùn)維的思路,統(tǒng)一管理本地的或者第三方云端的虛擬機(jī)集群。當(dāng)然也可以加入更多的第三方的安全設(shè)備,建立更多維度的安全監(jiān)控服務(wù),提升企業(yè)的安全監(jiān)控等級(jí)。
  接下來(lái),我們就一起來(lái)看下客戶(hù)可以通過(guò)預(yù)設(shè)的模板一鍵部署以后能夠用來(lái)監(jiān)控的各個(gè)維度:
  通過(guò)該模板,首先客戶(hù)可以從幾個(gè)關(guān)鍵的維度出發(fā),來(lái)掌握云端資源在網(wǎng)絡(luò)層面的一些行為,例如總的流量的實(shí)時(shí)進(jìn)出,細(xì)化到各個(gè)機(jī)器,各個(gè)子網(wǎng)段的情況;另外還能從可疑 IP 對(duì)于公司資源的訪(fǎng)問(wèn)情況,細(xì)化到對(duì)于每臺(tái)機(jī)器、每個(gè)端口的訪(fǎng)問(wèn)情況。如下圖所示就是客戶(hù)從網(wǎng)絡(luò)端可以觀(guān)察到的維度,這些維度可以給到客戶(hù)對(duì)于整個(gè)云端網(wǎng)絡(luò)層的運(yùn)行狀態(tài)的大致?tīng)顟B(tài)的理解,后續(xù)可以再根據(jù)相應(yīng)的異常狀態(tài)進(jìn)行深入的分析,例如下圖一所示,可以看到 Denied Flow 在某幾天的特定時(shí)段有個(gè)指數(shù)級(jí)的暴增,這就需要深入調(diào)查這些 Flow 指的是對(duì)應(yīng)到哪些 IP 的攻擊,攻擊的是什么端口,來(lái)源是哪里等。



  另外補(bǔ)充一點(diǎn),對(duì)于可疑 IP 的定義是動(dòng)態(tài)變化的一個(gè)區(qū)間,如果想要對(duì)可疑 IP 的可信度進(jìn)一步驗(yàn)證或者了解具體的 IP 源為何處,大家可以參考以下網(wǎng)站,輸入 IP 進(jìn)行進(jìn)一步的了解:
  https://www.virustotal.com/gui/home/search
  這邊我們嘗試搜索上述實(shí)例中排在攻擊我們 Demo 環(huán)境第二多的來(lái)自 CN 的 IP:
  首先我們會(huì)看到這個(gè) IP 的源是哪里(可見(jiàn)云資源對(duì)于任何使用者都是十分便捷的資源),可以看到具體被全球哪幾個(gè)機(jī)構(gòu)標(biāo)記成了 Malicious IP 的記號(hào)。
  以上就是我們?cè)诘谝浑A段,通過(guò)網(wǎng)絡(luò)層每個(gè)網(wǎng)絡(luò)安全組上所落點(diǎn)的所有東西向、南北向流量的日志的初步統(tǒng)計(jì)和分析結(jié)果,客戶(hù)的安全團(tuán)隊(duì)可以通過(guò)一些排名和總計(jì),動(dòng)態(tài)掌握每周或者每月哪些服務(wù)器是需要重點(diǎn)關(guān)注的。有了以上的初步定義以后,便可以通過(guò)抓取和分析終端機(jī)上的日志來(lái)了解具體終端機(jī)和用戶(hù)的行為,來(lái)做進(jìn)一步的判斷。
  同樣在虛機(jī)層面,我們也針對(duì)一些維度提供了一些已經(jīng)預(yù)先寫(xiě)好的查詢(xún)語(yǔ)句,幫助客戶(hù)安全團(tuán)隊(duì)快速掌握整個(gè)局面。針對(duì)單機(jī)的檢查,我們提供了以下三個(gè)維度的情況:身份登錄情況、補(bǔ)丁情況以及異常進(jìn)行的情況。
  身份登錄檢查
  終端機(jī)上的用戶(hù)行為分析是比較直觀(guān)以及能夠快速跟業(yè)務(wù)部門(mén)溝通了解情況的維度,因此這里通過(guò)把 Windows Events 中和身份相關(guān)的 事件都做了搜集和排名,可以快速的掌握各個(gè)賬戶(hù)相對(duì)應(yīng)的行為情況。此外,這里還按照具體賬號(hào)的維度,以及單點(diǎn)服務(wù)器的維度展開(kāi)了各類(lèi)事件發(fā)生的頻率和變化趨勢(shì),從而有助于客戶(hù)的安全團(tuán)隊(duì)能夠快速通過(guò)是否有新的賬號(hào)的登錄或者是單臺(tái)服務(wù)器上是否有新的事件產(chǎn)生等信息,快速判斷出對(duì)應(yīng)服務(wù)器是否存在異常。
  補(bǔ)丁情況檢查
  補(bǔ)丁檢查一直以來(lái)都是客戶(hù)在做資產(chǎn)清點(diǎn)和固件維護(hù)中十分重要的一環(huán),由于云端業(yè)務(wù)的快速拉起以及影子 IT 的影響,這部分信息可能也無(wú)法在云端被實(shí)時(shí)掌控,而只要通過(guò)此部分的監(jiān)控面板,客戶(hù)就能很清楚的看到所監(jiān)控的環(huán)境中有多少機(jī)器缺乏多少補(bǔ)丁,并且可以根據(jù)單臺(tái)服務(wù)器詳細(xì)展開(kāi)其缺失的補(bǔ)丁,快速掌握新上線(xiàn)服務(wù)器的系統(tǒng)狀態(tài)。
  進(jìn)程情況檢查
  在終端服務(wù)器上,另一個(gè)最直觀(guān)的反應(yīng)就是可疑進(jìn)程,同樣的,在這個(gè)維度,客戶(hù)的安全團(tuán)隊(duì)可以在面板上快速根據(jù)進(jìn)程名字,進(jìn)程的行為(Windows Events),終端服務(wù)器,用戶(hù)以及時(shí)間等維度快速了解對(duì)應(yīng)的情況,比如是否在非工作時(shí)間,一些服務(wù)器上有些異常的進(jìn)程。如上圖 Demo 中所示,在 BigDataS 這臺(tái)機(jī)器上,CMD 在下班時(shí)間短時(shí)間內(nèi)運(yùn)行了28次,這個(gè)異于日常的操作馬上就會(huì)引起安全團(tuán)隊(duì)的警覺(jué),需要進(jìn)一步做深入的調(diào)查。
  使用以上的云原生監(jiān)控面板,可以通過(guò)網(wǎng)絡(luò)端抓取并分析全網(wǎng)的流量情況,由面定點(diǎn),多維度的定位企業(yè)的疑似風(fēng)險(xiǎn)服務(wù)器,再通過(guò)針對(duì)終端機(jī)的分析,全面排查風(fēng)險(xiǎn)服務(wù)器的情況,真正做到動(dòng)態(tài)監(jiān)控企業(yè)的云端環(huán)境,幫助企業(yè)構(gòu)建 SecOps 的能力。那在后續(xù)的文章中,我們會(huì)通過(guò)一個(gè) Demo 環(huán)境的演示來(lái)展示如何利用現(xiàn)有的監(jiān)控面板對(duì)突發(fā)情況做深入的調(diào)查與分析,敬請(qǐng)期待!來(lái)源:微軟科技
【免責(zé)聲明】本文僅代表作者本人觀(guān)點(diǎn),與CTI論壇無(wú)關(guān)。CTI論壇對(duì)文中陳述、觀(guān)點(diǎn)判斷保持中立,不對(duì)所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請(qǐng)讀者僅作參考,并請(qǐng)自行承擔(dān)全部責(zé)任。

評(píng)論排行

專(zhuān)題

CTI論壇會(huì)員企業(yè)