【创科广场】Microsoft发布云原生SIEM 侦察回应一气呵成
2020-01-21 10:48
网络攻击日益精密,如何保护网络并不足够,而许多时候,必须假设肯定受攻击入侵之后,如何更快速侦察(Detect)和反应(Respond)。
事实上,近期保安已趋向强调自适应(Adaptive),也就是不断随攻击进化而演变。如果保护的机制不与时并进,肯定不能抵抗网络攻击。
企业依赖传统的端点或者防火墙,加入数据保护方案等;但随着云应用增加、数据分散,流动用户和自携设备等趋势;所谓网络的保安边界(Perimeter),似有若无,也更难于防御。
近年,安全资讯和事件管理(SIEM)蒐集大量网络和IT讯息,即时分析后,向企业保安营运中心(SOC)发出警报并解决危机。不过传统SIEM安装困难,误鸣甚多,聘请人手也不易。
传统的SIEM方案包括了Splunk和IBM的Qradar等,纷纷加入人工智能减少误鸣。Microsoft最近发布Microsoft Azure Sentinel,为全球首批云原生SIEM解决方案。SIEM架设于公有云,纯以SaaS方式提供,Sentinel融合Azure和AI功能,亦更有效侦测和防御网络威胁。
快速回应网络威胁
Microsoft大中华网络安全行政官潘汉升说,Sentinel更容易架设,毋须担心基建架构的扩充,紧密结合Microsoft全綫产品,整合Office 365和Microsoft Defender,以各种Azure云端服务,甚至可分析其他公有云纪录档。
Sentinel内置自动化和协作功能设有预定或自定的指南,以处理重复的工作并快速回应网络威胁。Sentinel配合SOAR(Security Orchestration, Automation and Response)即网络保安协调、自动化和回应工具,加强回应的速度,协调分析和完成入侵的侦察过程,Microsoft也为Sentinel加入了机器学习,自动建立入侵警示。
不过,SIEM队伍会根据不同保安警报,设立如何解决不同威胁和入侵步骤,简称为Use Cases。团队根据事先建立的Playbook应付入侵。
Sentinel除了可快速重建入侵的过程,建立度身订造的警示,也可自动化执行Playbook,实时侦察及清除入侵。
Azure Sentinel将加强企业现有的防护和侦测工具,包括最佳的网络保安产品、自家研发工具或其他系统(例如人力资源管理应用程式)和工作流程管理系统(例如ServiceNow)等其他SOAR工具。
Microsoft香港区域科技长许遵发表示:「凭藉崭新SIEM和SOAR(Security Orchestration, Automation and Response)即网络保安协调、自动化和回应工具,透过内置和自动化的协作,改善企业的保安分析能力,让他们更快速应对保安事件,同时控制SIEM的成本。Azure Sentinel提供主动且反应迅速的云原生SIEM,有助客户简化网络保安工作,同时可随着保安工作的增长而扩展。藉着Azure Sentinel正式登陆香港,Microsoft有更独特的优势,进一步保护香港大小企业,令他们实现更多,成就更多。」
Azure Sentinel凭藉内置的AI和机器学习能力,快速分析企业的大量数据,据称警报疲劳降低达90%。透过过滤杂讯、减少错误警报、耗时工作和各种复杂问题, Sentinel 减轻网络保安行动(SecOps)团队负担,优先处理关键任务。
Sentinel 与Microsoft 365深度整合,配合Microsoft威胁防护解决方案组合,包括Microsoft Defender Advanced Threat Protection、Office 365 Advanced Threat Protection和Azure Advanced Threat Protection。
十大热门网络保安工具
Sentinel也获CRN评为 2019 年十大最热门网络保安工具之一。近期Microsoft多项产品亦成为Gartner领导厂商产品。
Sentinel配备内置连接器、结合Microsoft 原生讯号,支援标准记录档格式(如常见事件格式和系统记录),只需简单点击数即可免费上载Microsoft Office 365数据,与其他数据结合分析。Sentinel数据库每天可接超过10PB数据,提供搜寻引擎,数秒之内将数百万条记录排序。
Sentinel收费模式亦以分析数据量计算,跟Splunk收费模式相若;Splunk亦可架设在公有云上;其他公有云上流行SIEM,还包括了LogRhythm等竞争对手。
Sentinel机器学习可将数百万个低逼真度(Low-Fidelity)异常情况,串连起来,并展示成高逼真度(high fidelity)事故,筛选大量警报、或者手动串连来自不同产品或传统关联引擎警报,增加侦察的准确度。
全文刊于《星岛日报》「创科广场」
最新回应