解决多供应商安全环境的关键挑战 使用Insight和MicrosoftSentinel克服安全倦怠并加强防御的指南 过多的警报意味着要解决的问题可能太多了,影响了团队的意识和可见性,并可能使业务面临更大,更具破坏性的威胁。 思科网络安全总监FadyYounes表示,“未能集成多个安全解决方案也可能会在覆盖范围上留下空白,或者造成IT团队无法正确理解特定解决方案提供的保护或如何提供保护的情况 压力下的安全性 42% 思科2020年CISO基准调查的受访者表示,他们正遭受网络安全的困扰 42%疲劳(定义为实际上放弃主动防御恶意行为者)。 它的工作原理,影响可见性和意识到网络的真实安全状态。“2 在那些痛苦中, 93%收到超过 报, 5,000每天都有警 表明复杂性似乎是安全倦怠的主要原因之一。1 为了管理复杂的威胁环境,大多数组织都在利用多种安全解决方案。但是,管理和编排来自多个不同来源的警报不仅具有挑战性,而且还使组织面临更大的风险。 了解要优先考虑哪些风险和警报在这些环境中变得不那么清楚。 并非所有警报都具有相同的严重性,并且 最佳安全策略可根据风险级别定制安全控制并分配资源。 在多样化的多云环境中, 灾难恢复变得极其复杂,需要主动与被动安全文化。 “处理集成问题和大量的安全警报可能会分散安全工程师的注意力,使他们无法应对他们面临的其他挑战……” -思科中东和非洲网络安全总监FadyYounes SIEM和SOAR 安全团队有两个主要目标:了解其IT环境中发生了什么,并对这些信息做出响应。安全信息和事件管理(SIEM)以及安全编排、自动化和响应(SOAR)解决方案的存在有助于实现这些目标。 SOAR的关键用例: SOAR部署的结果: 90% 安全专业人士 65%SIEM分诊 更快的事件解决 62%网络钓鱼攻击提高了员工效率 说SOAR非常或极其重要他们组织的 整体安全态势。 62%威胁情报 降低总成本3 SIEM工具从IT环境中的各种来源收集和聚合事件数据,然后按优先级或重要性对事件进 行分析和排名。安全团队负责威胁搜寻和响应,以及对SIEM平台进行调整和修复。 SOAR工具提供基于SIEM工具功能的高级分析和自动化,以实现更自主的威胁响应。 SOAR工具利用尽可能多的实时数据,并对管理人员的熟练程度敏感-这些工具的使用方式或多或少有效。 是什么让MicrosoftSentinel与众不同? SOAR是Sentinel的功能,使其与竞争对手区分开来。它允许安全团队在Sentinel中编写代码或剧本,以自动响应威胁的到来 -帮助SOC团队减少警报疲劳并专注于您实际需要关注的事情。 我们的客户非常喜欢您可以交叉关联警报和事件,绘制与特定实体关联的每个事件的地图。 到环境中,提升了他们的权限,执行了大量业务数据下载,然后删除了他们的帐户。这些是您在任何SOAR或SIEM中获得的四个单独的警报。但是在MicrosoftSentinel中,您可以看到一个实体的图形,其中包含四个不同的 他们生成的每个警报的行,以及这些事件的时间顺序时间表。 MicrosoftSentinel确实使威胁狩猎更容易。” -AssociateConsultant,InfoSec,Insight 在此LinkedInLive会话中听到更多信息。 MicrosoftSentinel的案例 MicrosoftSentinel™将SIEM和SOAR的强大功能结合到一个解决方案中。如果您已经投资于 Microsoft®哨兵,你在通往更强大安全的道路上。 Sentinel平台可以帮助您: 识别威胁在他们影响你的生意之前。迅速响应更准确。 简化安全性跨混合、多云、无服务器和其他现代环境。 降低成本通过旧版SIEM解决方案进行威胁调查、许可、存储、基础架构、管理和部署。 该工具基于Microsoft在安全性和最新人工智能功能方面的深厚经验,可与其他Microsoft产品协调使用。它易于扩展且易于扩展。 一个中心,多个数据点 使用MicrosoftSentinel管理多供应商解决方案环境变得不那么复杂。Sentinel能够从多供应商安全解决方案的整个生态系统中提取数据源,从而为组织提供可见性和控制力,以简化威胁搜寻,减少警报疲劳,并捕捉您的安全状况的真实情况。 全线安全。 MicrosoftSentinel是更广泛的程序化网络安全方法的一部分。确保您的组织在整个网络安全范围内采用最佳实践:识别、保护、检测、响应和恢复。 了解有关NIST网络安全框架的更多信息。 实施的最佳做法 MicrosoftSentinel入门相对简单。在实施之前,我们建议建立明确的治理和策略。考虑因素包括合规性标准、成本要求、存储计划、灾难恢复、安全团队人员配置和事件响应计划。 Day1: 启用Microsoft Sentinel。 连接数据源。开始构建查询以调查数据。 Microsoft已经构建了Sentinel,以适应通用事件格式的通用格式化日志,因此甚至可以集成和 分析来自传统或专用设备的日志。 客户故事 再次登录。 与许多其他SIEM工具一样,Syslog和CEF用作摄取点。您可以使用任何Linux®首选发行版 ,包括Microsoft自己的Linux发行版,并安装CEF和Syslog转发器,以将日志转发到 政府组织有兴趣使用一组购买的自定义日志来跟踪对其应用程序之一的管理 Web门户的暴力登录尝试。 Insight团队正在帮助组织了解MicrosoftSentinel中可用的工具-为日志添加书签,避免重复条目,定义适当的阈值以及构建自定义分析规则和查询-以取得积极成果。 MicrosoftSentinel进行摄取。 第2天+: 此时,平台的灵活性和活力将变得显而易见。以下是几种方法,您可以最大限度地提高MicrosoftSentinel的优势,以满足组织的特定需求和风险状况。 1. 2. 检查你的日志转发器。 如果您不密切关注日志转发器的运行状况和VAR日志目录的容量 ,事情可能会很快崩溃,日志摄取将停止。当Insight顾问执行 MicrosoftSentinel部署时,我们使用 Linux发行版的VAR日志挂载点的分区与操作系统分开。这样,如果目录填满,它不会对操作系统产生太大影响。 看看你的摄食率。 估计你一开始可能摄入多少日志是很困难的-但在 一两个月,您将拥有足够的历史数据,以支持围绕适当的数据摄取率做出更好的决策。这将帮助您获得更好的成本输出。 3. 4. 你知道吗? 如果使用MicrosoftSentinel,则来自Microsoft基础结构的任何数据-Office365®,MicrosoftAzure等-不必摄取 ,因此是免费的。 与其他SIEM和SOAR解决方案相比 ,这是一个主要的价格优势,其中每个消息都会产生成本。 组织还可以利用Microsoft存储来获得更经济实惠的保留解决方案。 尽量减少误报。 使用行为分析报告管理功能的许多现成规则可能会产生误报。微软发布了名为“监视列表”的Setiel功能,以帮助减少这些误报,由此产生的噪音和警报疲劳。监视列表允许您将查询(或不同属性的CSV )烘焙到分析规则中,以检查监视列表或密钥标识符对,并且不会对特定活动发出警报。 使用集中式租户。 如果要监视不同的Azure®租户,您需要在每个租户中创建不同的MicrosoftSentinel安装和日志分析工作区。通过使用AzureLighthouse在集中式租户中监视这些工作区,您 可以调整分析规则,获取真相来源,并将规则部署到所有租户 。这将帮助您为阈值、运行频率和其他设置建立一致的基线。 客户故事 摆脱果酱 在与客户端执行部署后,Insight团队收到了一个电话— —流量和相关成本几乎是客户端预期的两倍。 我们的团队回去解析客户的微软哨兵日志。 我们发现有一些防火墙设备正在发送完整的消息,而其他设备则没有。其中一个设备(防火墙管理平台)配置错误,并在MicrosoftSentinel中创建了无意义的消息 。 我们提供了有关消息分类和关键性的建议,以帮助客户减少噪音,使流量和成本与预测保持一致 。 5. 执行开箱即用的失谐。 MicrosoftSentinel提供了与Microsoft生态系统流畅地集成的独特优势。我们的顾问定期建议客户将MicrosoftDefenderforIdentity(MDI)用于本地ActiveDirectory®(AD),例如。但是,当您将MDI插入Sentinel时 ,默认设置会自动转发从MDI发出的所有警报。 您可能希望进入插件连接器并对其进行调离,这样您就不会收到非紧急信息的警报,而仅收到指定严重性范围内的警报 。 还要检查现有分析规则的严重性,并根据您的需要升级、降级或删除它们。许多开箱即用的分析规则以设定的频率运行,这可能太频繁而无法管理。我们建议对高严重性警报使用每15或30分钟运行一次的分析规则,对低严重性警报或对业务没有太大影响的信息性警报每天只运行一次。最终,失谐将帮助您最大程度地减少警报疲劳和噪音。 6. 评估平价。 在使用MicrosoftSetiel之前,您使用了什么来保护您的IT环境?有什么异同?我们的顾问建议并排查看您的旧系统和MicrosoftSetiel环境,并比较可视输出、仪表板、警报、日志源和其他关键属性,以确保您获得同等性能。不应留下任何数据源。这还可以帮助您确保您完全了解日常任务的新范围,护理和喂养以及支持新平台的人员配备要求。 7. 考虑微软的指导。 Microsoft已发布了有关常规活动的建议,以确保Sentinel为您提供最佳的安全性。请查看有关每日、每周和每月任务、要设置的集成以及管理和响应事件的过程的建议。在此处了解更多信息。 自动化的机会 MicrosoftSentinel平台的优势之一是其自动化功能。利用自动化来实现最佳效率和安全性。 以下是您可以使用Sentinel自动化的几种方法: 保留 根据行业、法律和合规性要求,每个组织在数据保留方面都有不同的需求。MicrosoftSentinel提供了在设定的时间段内自动存储的功能,使您的团队可以轻松地打勾,而无需设置提醒或担心容量。 Playbooks 对于更复杂的自动化,playbooks是一个很好的选择。MicrosoftSentinel中的playbooks可以为一系列任务设置,例如: •登录警报失败后阻止用户 •创建ServiceNow®馈送到您的票务系统的事件 •根据对网络上被阻止的设备的更改,在ServiceNow中修改CMDB Microsoft拥有的GitHub托管了许多用于自定义的剧本和想法,以及MicrosoftSentinel中特定于供应商的自动化功能。 可以说,我们的客户希望HIPAA的数据保留时间为7年,或者政府法规遵从性或NIST的数据保留时间为一年。Microsoft的Blob存储是一个不错的选择-它可以让你经济实惠地将日志保留长达七年或八年。为了简化这一点,我们创建了Azure逻辑应用,该应用可自动将摄取的日志从MicrosoftSentinel移动到Blob存储以保留七年。如果需要进行安全调查或研究,组织仍然可以访问日志。” -AssociateConsultant,InfoSec,Insight 展望未来 有无数种方法可以扩展和增强MicrosoftSentinel-随着平台和用户社区的成熟,机会不断增加。 BYOML 自带机器学习(BYOML)是一个备受关注的领域。此MicrosoftGitHub页面充当存储库组织正在使用BYOML启动Databricks,并通过Spark环境从Sentinel提取所有数据,构建用于远程访问或