Centralizace přístupu k protokolům zabezpečení (Secure Future Initiative)

Název pilíře: Monitorování a detekce hrozeb
Název vzoru: Centralizace přístupu k protokolům zabezpečení

Protokoly zabezpečení jsou nezbytné pro monitorování hrozeb a podporu vyšetřování, ale bez centralizace a standardizace můžou vytvářet větší režijní náklady na správu a zpomalovat dobu odezvy. Microsoft tyto problémy vyřešil centralizací přístupu k protokolům, standardizací zachytávání dat a prodloužením doby uchovávání, což umožňuje rychlejší a efektivnější šetření. Tato opatření společně s detekcí AI a rozšířeným uchováváním protokolů pro zákazníky zlepšují celkové zabezpečení a forenzní funkce.

Kontext a problém

Protokoly zabezpečení jsou důležitými nástroji pro personál zabezpečení, protože odhalují, kdo k čemu přistupoval, kdy a jak. Protokoly podporují nepřetržité monitorování aktivity hrozeb, urychlují reakci na incidenty a poskytují forenzní záznamy a analýzy pro vyšetřování v oblasti bezpečnosti.

Ale bez centralizace a standardizace můžou protokoly vytvářet více problémů, než řeší. Nekonzistentní formáty, rozmanitá úložiště a různá doba uchovávání ztěžují rychlé sestavení úplného obrazu útoku. V Microsoftu se vyšetřování zpomalilo kvůli fragmentovaným zdrojům protokolů a mezerám v uchovávání, což bezpečnostním týmům znemožnilo sledovat počáteční přístupové body nebo laterální pohyby.

Solution

V rámci SFI společnost Microsoft centralizovala přístup k protokolům zabezpečení a rozšířila zásady uchovávání informací. Mezi klíčová opatření patří:

  • Standardizovaná knihovna protokolování zabezpečení: Zajišťuje konzistentní zachytávání dat napříč službami a snižuje rozdíly pozorovatelnosti.

  • Centralizované shromažďování protokolů: Specializované účty vyšetřovatelů poskytují jednotný přístup k protokolům mezi službami, zjednodušují korelaci a urychlují vyšetřování.

  • Rozšířené uchovávání protokolů: Protokoly auditu se uchovávají po dobu až dvou let napříč službami Microsoftu, aby bylo možné forenzní zkoumání dlouhodobých vzorců útoků.

  • Pokročilá analýza detekce: Integrace strojového učení a modelů využívajících AI zlepšuje detekci složitých technik útoku a snižuje falešně pozitivní výsledky.

  • Rozšířené protokolování zákazníků: Microsoft zvýšil standardní uchovávání protokolů auditu pro zákazníky Microsoftu 365 na 180 dnů s možnostmi delšího uchovávání.

Pokyny

Organizace můžou použít podobný model pomocí následujících postupů, které je možné provést:

Případ použití Doporučená akce Resource
Standardizované protokolování
  • Použijte řešení auditování Microsoft Purview pro protokoly aplikací Microsoft Entra a Microsoft 365 (například Exchange Online, SharePoint, OneDrive).
  • Implementujte společnou knihovnu protokolů napříč aplikacemi a službami, která vynucují konzistentní pole (identita, akce, časové razítka).
Centrální úložiště protokolů
  • Data Lake služby Microsoft Sentinel můžete použít k transformaci SIEM s AI a jednotnými daty zabezpečení.
  • Nasměrujte všechny protokoly zabezpečení do centrálního úložiště, které je přístupné autorizovaným vyšetřovatelům.
  • Centralizovaný přístup k protokolům pomocí služby Azure Monitor a Log Analytics za účelem omezení slepých míst.
  • Využijte řešení SiEM (Security Information and Event Management) služby Microsoft Sentinel k vylepšení viditelnosti a kontextu protokolů zabezpečení a dat, šetření hrozeb a reakce.
Šifrování a neměnné úložiště
  • Ve službě Azure Monitor můžete zabezpečit přenášená data protokolů a šifrovat neaktivní uložená data Log Analytics ve službě Azure Storage pomocí klíčů spravovaných Microsoftem (MMK).
  • Zašifrujte protokoly během přenosu a v klidovém stavu a uložte je neměnně, abyste zachovali forenzní integritu pomocí organizace dat služby Microsoft Sentinel pro úspornější uchovávání.
  • Doporučujeme použít neměnnou ochranu před přepsáním a odstraněním.
Monitorování v reálném čase
  • Nastavení průběžného monitorování a upozornění pomocí služby Azure Monitor a Microsoft Sentinelu pro detekci podezřelých aktivit nebo rozdílů v pokrytí protokolování
  • Ve službě Azure Monitor a Log Analytics můžete monitorovat, zlepšit pokrytí protokolování a upozorňovat na podezřelé aktivity pomocí dotazů A pravidel upozornění KQL.
  • Microsoft Sentinel poskytuje pokročilé funkce monitorování a detekce, jako je příjem protokolů v reálném čase, analytická pravidla pro sledování ingestovaných dat, porovnávání protokolů proti analýze hrozeb, seskupení výstrah do incidentů a orchestrace zabezpečení, automatizace a reakce (SOAR).
Pokročilé analýzy
  • Korelujte protokoly napříč službami pomocí AI/ML a integrujte je s informačními kanály analýzy hrozeb.
  • Provádějte korelaci protokolů ve službě Azure Monitor a Log Analytics pomocí KQL dotazů pro propojení signálů mezi zdroji dat.
  • Využijte pokročilou analýzu v Microsoft Sentinelu s předem připravenými knihovnami pravidel, které se mapují na běžné vzory útoků, analýzu chování uživatelů a entit (UEBA) pro detekci anomálií, korelaci výstrah využívající AI, detekci anomálií řízenou ml a protokoly rozšířené pomocí analýzy hrozeb.
Harmonogram přezkumu
  • Proveďte čtvrtletní kontroly a ověřte pokrytí, dodržování předpisů uchovávání informací a integraci kanálů.
  • Optimalizace procesů SOC s osvědčenými postupy a pokyny k operacím zabezpečení od Microsoftu

Výhody

  • Vylepšená viditelnost: Poskytuje týmům zabezpečení jednotné zobrazení aktivity napříč identitami, infrastrukturou, aplikacemi a zařízeními koncových bodů.
  • Rychlejší šetření: Vyšetřovatelé můžou korelovat události napříč službami bez ručního vyhledávání nebo převodu formátu.
  • Forenzní připravenost: Rozšířené uchovávání zajišťuje, že bezpečnostní týmy můžou analyzovat dlouhodobé kampaně útoků.
  • Proaktivní detekce: Analýzy založené na umělé inteligenci se objevují v dřívějších vzorech útoku.
  • Dodržování právních předpisů: Podporuje dodržování standardů vyžadujících centralizované a uchovávaných důkazů auditu.

Kompromisy

  • Zvýšené náklady na úložiště: Rozšíření uchovávání a centralizace protokolů vyžaduje škálovatelnou infrastrukturu.
  • Složitost zásad správného řízení přístupu: Centralizované účty vyšetřovatelů musí být přísně kontrolovány, aby se zabránilo zneužití.
  • Provozní režie: Týmy musí udržovat knihovny protokolů, kanály a monitorovací nástroje napříč službami.
  • Vyvážení signálu k šumu: Centralizované protokolování zvyšuje objem dat a vyžaduje investice do pokročilého filtrování a analýzy.

Klíčové faktory úspěchu

Pokud chcete sledovat úspěch, změřte následující:

  • Procento služeb využívajících standardizovanou knihovnu protokolování
  • Počet kanálů a služeb úspěšně odesílajících logy do centrálního úložiště.
  • Průměrná doba k prozkoumání (MTTI) se snížila díky centralizovanému přístupu.
  • Dodržování standardu dvouletého uchovávání auditního záznamu.
  • Vylepšení přesnosti detekce z analýz vylepšených pomocí AI/ML

Shrnutí

Centralizace přístupu k protokolům zabezpečení transformuje fragmentovaná data monitorování na užitečné inteligentní funkce. Díky standardizaci formátů protokolů, konsolidaci shromažďování, rozšiřování uchovávání a používání analýz založených na umělé inteligenci microsoft zlepšil rychlost i efektivitu detekce a vyšetřování hrozeb.

Organizace můžou tento přístup využít tak, že zajistí konzistentní formáty protokolů, vynucují centrální úložiště a neměnnost, rozšiřují uchovávání forenzní připravenosti a integrují protokoly s pokročilými analytickými platformami. Tyto kroky umožňují týmům zabezpečení monitorovat a zjišťovat hrozby s přehledností a přesností---vrací protokoly z rozptýlených záznamů do výkonné sjednocené funkce zabezpečení.

Centralizujte dnes své protokoly zabezpečení, abyste omezili slepá místa, zrychlili vyšetřování a byli krok před vyvíjejícími se hrozbami.

  • Last updated on