云日志安全事件如何高效管理?

云日志 安全事件可产生大量数据。本文中专家Dave Shackleford讨论了如何过滤它并获得重要的安全事件。

随着开发和运营团队不断把资源迁移向云端,企业对于基于云的服务也使用越来越多,致使安全团队不得不时刻准备应用对不预期的问题——大量新的预警和事件。

来自云访问安全中介Skyhigh Networks的最新报告,对不断增长的云文件共享和协作服务,以及对安全团队面临的新问题提供了一些观点,即从所有事件中以“影子IT”和疲劳预警形式展示。

报告指出,根据Skyhigh的客户调查,企业平均 每月产生约27亿个云事件,而文件共享/协作活动一直是这个数字激增的最大原因。报告还发现,这些云事件中的2,500构成了“异常”事件,其中只有23个是实际的安全事件。有了这样的量,安全团队比以往任何时候都更加努力,过滤掉噪音,并响应合法的安全事件和可疑事件。

对云日志排序

首先,也是最明显的,安全分析师需要做的事是从所有相关的云环境中收集日志。同时,分析师要确保所有云日志都进入到了一个常见的位置。

大部分云服务提供商允许用户从他们的环境中下载日志,或从专门的存储节点,如亚马逊的CloudTrail 或谷歌的Stackdriver Logging。现今,还有许多云适用的安全事件聚合和分析平台,包括Splunk Cloud、Sumo Logic、Loggly和Papertrail。这些服务给团队提供了一种简单的方法 ,来从多个云服务中收集日志,并且通常这些服务 通过提供的API更容易集成。

一旦收集并聚合的云日志后,分析人员需要筛选各类事件,并开始对它们进行优先级排序。对此,有几个关键点需要注意。

  • 添加上下文:如果云日志可以“标记”为来自特定服务提供商,那么这可以帮助提供关于服务用例的上下文。 例如,来自Salesforce.com的日志将关注用户活动和身份验证,以及环境中的管理更改。在Amazon Web Services或Azure中,将有更多变化的活动,以及更多不同类型的用户和角色。
  • 定义优先级:专注于云的安全分析师必须决定哪些事件和行为是最重要的监视。常见的起点包括对云管理控制台的所有登录活动; 对重要云对象和数据的任何更改或尝试更改; 以及凭证或加密密钥的任何创建、删除或修改。
  • 调整警报:虽然这看起来很常见,但一般来说,调整对于云记录和事件管理来说是非常重要的。抑制冗余警报——那些完全可以自操作的警报以及与安全无直接关系的警报。为了在环境中建立合适的行为准线,分析人员可能需要几周或几月的数据积累。另外,也要调整每周监控过程的常规部分。
  • 关注帐户:剩余用户帐户和数据是云中的一个大问题。与人力资源团队密切合作,快速停用云帐户,并在用户离开企业后,至少几周内监控所有尝试登录到已停用或已删除的帐户的行为。在员工离开之前监控用户帐户活动是一个不错的主意。这将确保离职员工不会一起带走公司的数据;还要寻找突然增加的数据导出或整体帐户使用。

云事件的最终聚焦区域应该是云活动的发起点。对许多人来说,在没有业务或用记的新国家或地点登录,都将视为非常高优先级的警报,许多云日志中包含足够的详细信息来记录登录位置。在减少噪声的同时监视云日志以获取这类有价值的信息将极大地有利于安全团队及其组织。

本文作者:Dave Shackleford

来源:51CTO

时间: 2017-08-02

云日志安全事件如何高效管理?的相关文章

盈世企业邮箱XT5 9大模板提高企业高效管理

向管理要效益,从内部挖潜能,是现代企业提高效益的一个重要方向.在互联网带来的技术和思想革命下,IT管理工具成为企业提高管理效益,向内部挖潜的重要步骤,也是传统企业向"互联网+"转型的题中之意. 近日,盈世企业邮箱正式上线XT5新版本,结合千万级企业客户运营管理需求,从企业实际应用场景出发,该版本首创9大模块管理方式,按功能模块灵活分类,从安全管理到云服务平台,为企业打造一个高效便捷的管理平台. 盈世企业邮箱是中国最早的企业邮箱品牌之一,盈世Coremail旗下的企业邮箱品牌.盈世Cor

高效管理服务器的几个技巧

高效管理服务器一直离不开有效的服务器管理技巧,笔者总结工作经验,提炼出3个小技巧,与读者共享. 拒绝服务器重新启动 一般情况下,在Windows 2003 Server系统中安装完补丁程序后,系统总会提示要重新启动一下服务器.可是许多朋友往往无法容忍Windows 2003 Server服务器"慢吞吞"的启动操作,于是希望打完安全补丁之后服务器不再重新启动.其实,Windows 2003 Server服务器是否会重新启动,跟当前的系统补丁特性有一定的关系.对于那些强制需要系统启动的安全

高效管理服务器的三个技巧

高效管理服务器一直离不开有效的服务器管理技巧,笔者总结工作经验,提炼出3个小技巧,与读者共享. 拒绝服务器重新启动 一般情况下,在Windows 2003 Server系统中安装完补丁程序后,系统总会提示要重新启动一下服务器.可是许多朋友往往无法容忍Windows 2003 Server服务器"慢吞吞"的启动操作,于是希望打完安全补丁之后服务器不再重新启动.其实,Windows 2003 Server服务器是否会重新启动,跟当前的系统补丁特性有一定的关系.对于那些强制需要系统启动的安全

擎天科技携手阿里云 助力政企客户一键管理碳排放

4月27日,在云栖大会·南京峰会上,阿里云与擎天科技达成战略合作意向,将共同构建DT时代的"低碳云",向碳排放管理部门及相关企事业单位提供包括碳的采集.核算.管理.核查.监测与展示为一体的解决方案,助力全社会节能减排,共探大数据时代的低碳路径. 阿里云将把自身在云计算与大数据领域的技术优势与擎天科技在低碳信息化领域的专业能力紧密结合,通过可视化手段,全面.直观地反映城市的碳生态全貌,让节能降碳.生态文明建设可观.可感.可分析.可预测,够为决策者提供翔实的碳数据支撑,助力产业结构转型.

医疗信息整合管控方案 助医院高效管理

本文讲的是医疗信息整合管控方案 助医院高效管理,随着医疗卫生体制改革的深入以及医院业务的发展,医疗行业信息化面临的挑战越来越多,也越来越复杂.医院信息化面临以下挑战:异构系统多,信息孤岛成为信息发展的绊脚石,不能满足医院即时的业务调整需要;医院管理者难以有效监控医院业务运行情况;服务地点聚焦于医院,便捷即时服务手段少,无法满足老百姓方便.快捷获取医疗服务的需求等.区域医疗信息化面临以下挑战:异构系统更庞杂,机构间的数据标准不统一,分享难;业务特点不同,管理标准不同;集团医院管理者难以实时.有效的

混合云内幕:混合动力管理

要实现所有这些目标,必须要煞费苦心地计划和管理一些 IT 基础.有关云计算系列文章的第 3 部分旨在幕后揭示实现这个混合动力体所需的工作. 我们知道 IT 即服务 (IT as a Service) 可基于业务的需求来优化服务的生产和使用,而每个部件即服务 (Every Component as a Service) 打造的是高效的交付方法,联合云能够创建有效的面向http://www.aliyun.com/zixun/aggregation/17487.html">服务业务伙伴关系.现在

云计算环境下高分辨率遥感影像存储与高效管理技术研究

云计算环境下高分辨率遥感影像存储与高效管理技术研究 浙江大学 康俊锋 本文的主要研究内容如下: (1)设计云计算环境下的高分辨率遥感影像存储模型C-RSM在分析和对比当前主流云平台基础上,提出整合已有云平台Hadoop及Eucalyptus,并围绕遥感影像数据共享及地图服务等应用的特点,设计了基于Hadoop云平台下的高分辨率遥感影像数据组织方法:版本变更管理机制:并提出了Hadoop云平台下高分辨率遥感影像数据划分及存储策略:及设计了Hadoop云平台下高分辨率遥感影像存取算法,存取算法主要讨

高效管理 云计算给数据中心带来的机会

数据中心正处于"网络为核心"向"数据为核心"的转变过程中.如何高效管理数据,快捷访问数据,同时又能保证数据安全性成为拥有数据中心的企业或组织的管理者们关心的问题.从数据中心产品投入角度看,关键产品主要包括服务器.存储与网络等.绿色.节能是低碳经济下的国家策略,也是数据中心用户的追求目标,也成为了数据中心运营企业建设的目标.高密度.低能耗.高效率的产品逐渐增多,也促进并推动绿色数据中心市场的未来发展潜力. 数据中心建设企业或组织正在尝试将建设成本.工艺复杂度.资源利用

网管小技巧:用IIS高效管理网站

iis|技巧|网管 利用IIS发布网站信息,已经不是什么新鲜的话题了;不过除了具有发布网站功能之外,IIS还有许多并不引人注意细节功能,巧妙地利用这些功能,可以实现对网站进行高效管理的目的.不信的话,就请各位一起来领略一下IIS的几则新鲜应用,相信这些内容会帮助大家更好地管理好网站. 着眼文档页脚,快速添加网站信息 许多网站都会在主页面的底部显示有网站名称信息.版权信息等,如果我们希望这些网站的名称信息.版权信息能够出现在指定网站的所有页面中该如何实现呢?也许有人说直接用手工添加的方法不就解决问