???SIEM，一個已經存在20多年的安全產品領域，一個很多企業所必須的安全事件監控和管理平臺，但現在它所承載的功能和價值也隨著現在企業辦公環境的變化而面臨巨大的挑戰。

首先，最大的一點的不同在于，企業的安全邊界已經改變，何謂企業的安全邊界，十年前，可以說是企業所擁有的電腦資產和服務器資產，因為在當時近乎所有的辦公都是發生在公司管控范圍內的電腦及服務器上。因此只需針對設備做到監管，如限制USB的接入，限制互聯網的接入等，就能夠很大程度上抵御來自外部的威脅。但如今，不僅企業允許員工自帶辦公設備，越來越多的企業應用在移動設備端的訪問頻次的提升。企業已經很難通過管控設備來達到企業信息安全的管控。因此，現在越來越多的企業已經將安全邊界的確定，轉移到了員工的身上，及從該員工在公司的角色及工作職責范疇來對其在公司企業中的賬號的行為進行管控。比如一個前端業務銷售，如果登錄到企業服務器的數據庫的這個行為就可以被界定為可疑，甚至是高危的行為，需要采取安全措施。

其次，數據信息量的爆炸，延展到員工在工作期間需要交互的信息量的暴漲，導致企業中所產生的日志量的規模已幾何的形式進行增長，如何在巨量的信息中仍舊能夠檢索到有利于判斷潛在威脅的過程，將會對原本部署在本地的日志搜索引擎的擴展靈活性，及服務器的性能有很高的要求。

最后，不得不說，隨著比特幣的出現，及其在資本市場中價格的穩定性的提高，這樣安全攻擊者的獲利成本和風險大大降低，也滋養了這樣的一個市場，因此對于現在的SIEM來說，常規的安全管理的功能不可或缺以外，其提供威脅情報的分析能力，事件調查和響應的能力成為了各廠商的著重發力點。

???????? 一直以來，微軟對于安全的重視及相關功能的開發，也一直受到客戶的追捧，從最早的RMS Server，Windows ATP到現在云端的Microsoft Information Protection, Office 365 ATP, Azure ATP，這些產品借助云端應用的優勢，以及微軟在Machine Learning上的積累，各個產品中的分析能力的優勢越來越凸顯。結合微軟在全球的合作伙伴生態圈的建設，各個產品也開始表現出對于第三方的產品，甚至同類的競品都表現出了極強的延展性。

? ? ? 也正是這樣的大環境下，微軟推出了Azure Sentinel，在已有的微軟一方產品的安全防御及分析的基礎上，將云端無限的計算能力及微軟安全團隊的經驗賦能到客戶所使用的其他第三方安全產品，從而能夠實現對于一個安全事件全視角的分析及追蹤能力。

? ? ??接下來，我們一起就來看下在微軟的Azure Sentinel中，大家如何來做企業安全信息和事件的管理及響應。

????Azure Sentinel的默認儀表板首先會將所監控到的所有日志中所產生的事件，網絡峰值等信息按時序的展現給客戶，并且把從事件所引申出來的威脅警報及案件，作為客戶最關心的重點展現在首頁。

????這些Alerts的匯聚，及案件中各個alert的關聯性，都來自于Azure平臺所賦予的機器學習的能力，以及微軟安全團隊專家在應對每天數以億計的安全事件中如何找到真正威脅所在的經驗等，將這個能力轉化到Azure Sentinel的平臺上，來第一時間甄別出，企業到可疑IP的流量往來；企業內部用戶異常的用戶行為等警告，第一時間幫助客戶防御潛在的威脅。

? ??

????為了能夠賦能客戶已有的安全產品及其他監控組件，客戶在使用Azure Sentinel的第一時間就應當來到Data Connector欄，將已有的微軟的一方安全產品的日志信息，及三方的日志信息對接到平臺上。從目前的支持列表中可以看到，我們不僅支持像F5,Palo Alto，Check Point等主流廠商的快速接入，您也可以通過CEF（Common Event Format）或者Syslog這些常用的日志格式的文件，按配置步驟實現接入。

實例中，我們點擊Palo Alto進行配置，之后就可以看到Palo Alto那邊的流量信息已經展現在面板上，此外，Palo Alto還與微軟合作，將其搜集到的信息，分別由微軟和Palo Alto各制作了一款完整的儀表板來展現客戶所關心的日志信息的匯總。我們點擊Palo Alto設計的儀表板。

?????進入儀表板后，可以看到威脅會按種類，來源的應用及時序的量值按重要性依次從上到下排列在儀表版上，如果您對于默認所展現的列別以及展示的時間段等信息想進行修改，都可以點擊各塊信息右上角的”Edit Query”來修改所要展示的信息。

當你接入好所有一方和三方的日志后，你可以回到首頁，從Azure Sentinel左側的Dash board中看到所有連接的log日志。并且你可以為不同的用戶，設定他所可以查看的儀表版中所能看到的數據的權限，來符合所需要滿足的合規要求。

????上述的儀表版只能對于日志呈現一些簡單的，大局上的信息，如果需要對于特定的安全事件進行搜尋，則可以通過左側欄中的“Logs“來對不同日志源中的數據進行統一的搜索和排查。整個Log平臺依托于微軟的Log Analytics以及Azure Monitor這兩個組件，每天都會幫助客戶處理10 PB以上的日志數據，客戶只需通過短短的幾行搜索命令就能夠進行復雜的搜索邏輯，并且不需要考慮底層計算平臺的算力，快速返回所查詢到的結果。

????當然，你也可以通過左側的篩選器，對所收集的日志進行簡單的分類，從而精準的執行所需要查找的日志數據。

?

另外，很多常用的搜索邏輯，比如查找異常登錄信息，可疑IP地址段的提取等，你都可以直接在右側的Query Explorer中利用微軟安全團隊已經生成的查詢模板，就能夠針對你接入的日志數據進行查詢，查詢的結果你可以根據需要，通過表單形式或者柱狀圖或者餅狀圖的形式展現在下方的結果顯示欄中。

????接下來，我們來看下Azure Sentinel中最強大的部分之一，案件的生成。????

????我曾經看到一份調查報告，它統計到，在2017年每個企業的安全團隊每星期都需要面對近1萬7千條的木馬警告信息，以及數以十萬計的各類事件，這樣的一個工作面使得企業團隊很難去精準的定位潛在的威脅。

? ? ? 同樣的，微軟的安全團隊每天也需要面對是近四千萬行的日志數據，但借助于微軟AI所賦能的分析工具以及團隊的專業經驗，他們每天能將這四千萬行的日志數據篩選到只剩100-200個可疑事件。

????微軟也將這個能力，將專家對于各類事件ID中的洞察力，內置到Azure Sentinel，從而讓客戶所需要直接面對的，變成呈幾何數縮減的警報及案件，能夠基于這個點，從點到面的對案件進行調查，找到真正的漏洞所在。

????這里的Case（案件）指的是一系列相關Event匯聚而成的一個案件，它可以包括多個不同的警報，并且你可以到Analytics自己定義案件的形成方式（會在后續文章中進行講解），并且平臺會按照案件的嚴重程度及狀態反饋給客戶。

案件之所以稱之為案件，就因此客戶的團隊可以按標準流程來跟蹤整個案件的進展，比如對案件的負責人進行指派，案件的進展匯報跟蹤，結案等，都能通過

案件之所以稱之為案件，就因此客戶的團隊可以按標準流程來跟蹤整個案件的進展，比如對案件的負責人進行指派，案件的進展匯報跟蹤，結案等，都能通過Azure Sentinel平臺以及借助其他工具來實現。

??????? 我們回到Demo中，大家可以看到，案件會根據發生的時間順序，并用不同顏色標明嚴重程度，標識在界面上。

?????? 點擊具體的一個案件，它會顯示案件的描述，之后點擊Investigate。

????????首先在Investigate中的右側會把一個事件中相關的Alerts，按時間順序進行排列。在Investigate初期，Alerts相互之間會處于獨立狀態。

??????? 這里我們已一次異常登錄為案件發起點進行調查，點開案件后，針對異常登錄自然會有異常登錄的機器和異常登錄的人員。我們點擊人員，可以看到，你可以去查看與這個人員相關聯的事件，比如這個人員所參與的其他的相關警告，或者他還在其他機器上的登錄記錄等。

????之后點開登錄的機器，我們拉出與這臺機器相關的警報。

????

點開后發現，在anomalous login之后的一個事件點，還有另外一個case，就是該機器上的powershell有異常的活動。這樣就把這個可疑用戶的行為衍生到它所造成的其他嚴重的事件。

那一般的，公司的安全團隊會從最嚴重的case開始調查，這樣他們按照以上的邏輯倒推回來，就會發現在以前的某個時間，是否存在該機器上的異常登錄狀態，追蹤到具體產生異常登錄的用戶，并且橫向移動看到該用戶是否還登錄了其他的機器，從而可以攔截該用戶到其他幾臺機器上，甚至根據其產生的危害，禁止其登錄所有機器等權限管控動作，快速的降低該事件在未來可能發生在其他虛機上的風險。

? ? ? 這樣的一個調查過程，就能夠及時從一個公司內部受危害的點，快速擴展了解到可能泄露的用戶名，并看到其潛在的危害面，從而快速切斷其對于公司環境內其他部分的影響，及時阻止其進入核心數據部分。

???? ?? 以上就是Azure Sentinel 介紹的第一部分，后續我們會來看下Azure Sentinel如何能夠主動進行威脅的探查，根據企業自身的員工行為，企業特點來自定義進行安全的主動防御。

?

?

總結

以上是生活随笔為你收集整理的Azure Sentinel -- 云原生企业安全信息和事件管理平台（SIEM）初探系列一的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。