前言
通常而言,网络安全的生命周期可以简要的分为“事前、事中和事后”这三个阶段。在传统的网络安全理念中,更加注重事前的安全加固和防护,寄望于通过有效的防范措施来直接拦截网络安全威胁和攻击行为。但是随着网络安全攻击技术的不断进化,越过安全防护的漏网之鱼不断涌现,以及基于对于安全防护措施的监控、有效性审计等要求,安全的事中、事后也愈发重要,这带动了网络安全运营的需求,并促成了安全信息与事件管理(SIEM)和安全运营中心(SOC)的出现和高速发展,安全运营已经成为了目前网络安全行业的重要热点。
企业的网络安全运营和IT运营一样,组织/流程、人员和工具技术缺一不可,并且非常依赖于先进的安全遥测、监控、分析调查与自动化技术,“工欲善其事,必先利其器”。Microsoft Sentinel是微软充分结合全球领先地云计算、大数据、安全情报、机器学习/人工智能、自动化与集成等技术,所推出的下一代企业现代化安全运营中心解决方案,是SIEM/SOC解决方案的全球网络安全行业领导者。在这篇文章中,我就Microsoft Sentinel的相关特性为大家做一个概要性的介绍。
对于SOC平台而言,它的核心功能和流程可以分为部署与搜集、监测/分析与调查、响应和自动化这三个阶段,再辅之于性能/高可用性/可扩展性/可集成性/成本等诸多考量(当然自身的安全性这个就不用多说了,安全产品自身的安全性必须足够的强大,虽然通过攻击SOC平台再间接控制其他攻击目标的案例也不少见…)。
在一个企业中,传统的网络安全运营中心平台(SOC)通常部署在企业On-premises环境中,然后实现企业内部各种场景例如网络、应用、系统和端点的安全监测与分析。但是随着移动互联、云计算、物联网等IT新技术的发展,传统的SOC平台面临着以下核心挑战,越来越力不从心:
在部署与搜集方面,传统的SOC平台难以应对新IT技术场景例如云计算、移动互联、远程办公、IoT/OT的挑战,以及跨地域/跨专线、广域网的大量数据搜集。同时难以实现在新IT技术场景下不同产品/安全产品之间的完善覆盖和良好集成,并缺乏自动化的部署和维护能力。
在监测/分析与调查方面,传统的SOC平台往往随着数据量越大,分析能力越差、误报越多;在深度分析能力方面,通常难以快速应对疾速演进的APT攻击威胁,内置使用/分析场景/Use Cases 支持有限,部分情况下需要结合/购买第三方安全情报平台,并且对于安全专业人才/技能的要求较高。
在响应与自动化方面,传统的SOC平台通常缺乏不同平台/工具之间的完善安全自动化(SOAR)集成,主要依赖人工实现事件调查、响应操作或工具、情报的集成,导致缺乏良好的安全事件调查与响应集成自动化流程。
最后在性能、高可用性、可扩展性与成本方面,传统SOC平台需要预先部署成本(CapEx),提供的高可用性部署选择有限,并且随着搜集数据的增加而性能表现越差,可扩展性不高并且运维成本高。
我们不可能使用传统的 SOC 去解决传统 SOC所面临的挑战,因此才有了Microsoft Sentinel – 这个全新的下一代企业现代化安全运营中心解决方案。
Microsoft Sentinel是微软充分结合全球领先地云计算、大数据、安全情报、机器学习/人工智能、自动化与集成等技术,所推出的下一代企业现代化安全运营中心解决方案,是SIEM/SOC解决方案的全球行业领导者,能够帮助企业实现全场景全平台的统一集成安全运营。
和传统的SOC平台不一样,Microsoft Sentinel是一个企业可以开箱即用、按需付费、随用随停的SaaS云安全中心,没有SOC平台的预先部署成本和日常基础设施运维成本,Sentinel的相关成本完全基于搜集的日志数据量(量大还有优惠折扣哦^_^)。接下来,我仍然围绕着SOC平台的核心功能和流程来为大家进行介绍。
Microsoft Sentinel 是基于 Azure 全球云计算平台的下一代的云 SOC 平台,全球本地化区域部署 SaaS 服务,具有近似无限制的性能、高可用性和可扩展性,并支持从全球任何位置、任何数据源进行日志和信息搜集。
作为云端SaaS服务,Sentinel除了能够与微软自身的相关服务(例如Microsoft 365、Azure等)进行原生集成之外,还能够与第三方云服务、或者其他大量第三方产品/服务/管理平台实现集成的自动化部署、监测分析、响应和运维,是一个开箱即用的解决方案(甚至直接在管理界面上点击一个按钮启用即可完成相关配置和部署),如下图所示:
另外微软会根据所面临的安全威胁及挑战在后端持续进行产品功能更新,而用户无需额外成本即可随时拥有最新的安全产品特性 – 这也是SaaS服务的一个重大优点。
监测/分析与调查是SOC平台的核心功能,也是Microsoft Sentinel的核心卖点。Sentinel通过与微软业界领先的全球安全情报、大数据、ML/AI/UEBA等先进技术结合(包含结合微软最近推出的全球首个基于OpenAI’s GPT-4生成式AI的下一代网络安全人工智能产品Microsoft Security Copilot),近乎实时的实现 “Detecting the undetectable”,在确保有效/高效/高质量的同时,降低人工参与。
微软一直以来持续通过塑造领先的技术来赋能企业与员工,在网络安全方面亦是如此。我们通过利用先进的安全情报、大数据、AI/ML、自动化等技术,确保 93% 以上的安全警报正确率,并自动生成相关的调查、溯源和攻击链分析(如下图所示),从而赋能安全运营团队,降低人工参与和负担,同时降低对于人员的专业技能要求,提高企业安全运营的整体效能。
微软在Microsoft Sentinel中针对企业主流的需求内置提供大量的使用/分析场景(截止到2023年3月,拥有超过3,000种并后续持续更新),与MITRE ATT&CK充分集成,并针对最新攻击行为近乎实时的发布相关监测和分析场景案例。
微软最近推出的全球首个基于OpenAI GPT-4生成式AI的下一代网络安全人工智能产品Microsoft Security Copilot已经集成到Microsoft Sentinel中。目前Microsoft Security Copilot 可以围绕着 SOC 中的相关场景,包含通过OpenAI's GPT-4结合微软自身所具有的上百个网络安全AI/ML专用模型,并直接集成微软全球领先的安全情报大数据,实现自动化的安全事件溯源分析/攻击链分析、威胁猎捕、阻断/修复/优化建议、分析/总结报告生成等等,如下图所示:
结合Sentinel的Microsoft Security Copilot具有独特的能力,能够给企业的网络安全带来以下收益:
化繁为简:在安全领域,时间很重要。通过Microsoft Security Copilot这个人工智能助理的协助,企业的网络安全防御团队可以在几分钟内甚至实时对安全事件做出反应,而不再需要几小时或几天。Microsoft Security Copilot通过基于自然语言的交互体验提供关键的Step-by-step指导和背景上下文,从而加速安全事件调查和响应,迅速总结任何过程或事件,并调整报告以适应所需的受众,这种协助能力可以减少防御者的工作负担,使其能够专注于最紧迫的工作。
Detect the undetectable:技艺高超的攻击者隐藏在大量的噪音背后,仅具有微乎其微甚至近似没有的攻击信号,很难被网络安全防御团队发现。Microsoft Security Copilot能够基于企业的网络安全态势,全面监测、分析并评估网络安全威胁和攻击,实时浮现出需要优先考虑的威胁,捕捉别人错过的威胁和攻击行为,并根据微软的全球安全情报大数据持续分析和预测攻击者的下一步行动,从而协助防御者快速拦截和阻断攻击行为,避免遭受进一步的影响。
赋能安全团队:安全团队的总体能力受到团队规模、个人知识技能和工具技术等方面的限制。Microsoft Security Copilot具备了在安全事件响应、漏洞管理和威胁猎捕等领域的专业知识技能,能够辅助和支持网络安全防御团队的学习和应用,提升团队的安全技能,同时它不断地从用户的互动中学习,从而适应企业的偏好,并建议防御者采取最佳的行动方案,以实现更安全的结果。这使安全团队能够事半功倍,实现更大规模、更成熟的组织和执行能力,并提高企业整体的安全运营效能。
作为云端SaaS服务,Sentinel除了能够与微软自身的相关服务(例如Microsoft 365、Azure等)进行原生集成之外,还能够与第三方云服务、或者其他大量第三方产品/服务/管理平台实现集成的自动化部署、监测分析、响应和运维,是一个开箱即用的解决方案(甚至直接在管理界面上点击一个按钮启用即可完成相关配置和部署)。
在安全和服务集成方面,除了支持与微软相关平台、产品或服务的直接集成(包括 Azure、Azure AD、Microsoft Defender 产品系列、M365产品系列、Teams、Power BI 等)之外,Sentinel还通过大量内置集成服务连接器(截止到2023年3月,现有236个并后续持续更新)或自定义方式与外部服务进行集成,例如ServiceNow、Jira、Zendesk 等等。目前相关的部分合作伙伴和解决方案如下图所示:
在响应自动化方面,Microsoft Sentinel已经内置集成了大量Playbook 模板(截止到2023年3月,现有306个),并后续持续更新:
也可以通过第三方共享或定制的 Playbook 来实现自动化或按需的安全响应操作或编排,如下图的响应流程设计:
性能、高可用性、可扩展性与成本方面也是Microsoft Sentinel 的核心优势。作为基于 Azure 全球云计算平台的全球本地化区域部署 SaaS 服务,Sentinel具有近似无限制的性能、高可用性和可扩展性,并可以根据需要随时对部署架构进行优化调整。微软也会根据所面临的安全威胁及挑战在后端持续进行产品功能更新,而用户无需额外成本即可随时拥有最新的安全产品特性 – 这也是SaaS服务的一个重大优点。
另外和传统的SOC平台不一样,Microsoft Sentinel是一个企业可以开箱即用、按需付费、随用随停的SaaS云安全中心,没有SOC平台的预先部署成本和日常基础设施运维成本,Sentinel的相关成本完全基于搜集的日志数据量(量大还有折扣优惠哦^_^)
随着企业数字化转型的不断发展,以及移动互联、云计算和物联网等新技术的应用,我们的企业网络环境在不断的进化,复杂化、云化和碎片化是核心的主题。与之伴生的,我们面临的安全威胁攻击技术也是持续高度进化的,针对不同的应用技术场景,也动态发展出不同的攻击技术和威胁。
“网络安全的未来在云端”,这句话是网络安全行业的共识,Gartner和Forrester也在不同的场合多次提到。但不同的人可能有不同的考量。就我自身的解读而言,我认为这句话主要包含两层含义:
a
首先是从被保护的目标来看,目前企业的数字化应用场景,包含移动互联、云计算、物联网,乃至AI/ML和大数据等等,基本上都是依赖于云相关技术的。网络安全是与主体紧密关联的,它存在的唯一目标就是为了保护主体的安全性,因此我们需要围绕着云相关技术实现全面而完善的网络安全防护。
b
其次是从网络安全防护技术本身的发展而言,无论攻防两端,均在充分的利用云相关技术进行持续高度进化。云相关技术(例如安全遥测、安全情报、大数据、AI/ML和自动化等等)实际上已经成为了网络安全的核心基础技术。网络安全做的好不好,核心就是看云相关的先进技术利用和应用的好不好。
我们不可能使用传统的方式去解决传统方式面临的挑战。我们需要充分地使用像Microsoft Sentinel这种充分结合全球领先地云计算、大数据、安全情报、机器学习/人工智能、自动化与集成等技术的下一代的企业现代化安全运营中心解决方案,实现全场景、全平台、全生命周期的智能集成安全运营,从而帮助企业组织实现更好的安全防护效能。
在之前已经有超过30个企业客户参与Private Preview的基础上,目前Microsoft Sentinel已正式在中国的Azure数据中心进入Public Preview阶段,所有的中国Azure用户均可以在Azure管理平台中直接使用,欢迎大家第一时间体验Microsoft Sentinel的强大功能。后续Microsoft Sentinel也会尽快在China Azure数据中心正式GA。
# CISO 聚焦系列文章
点击即可阅读
1、CISO 聚焦 | AI驱动的微软安全防护:安全不仅仅是默认的,也是可以预测的
2、CISO 聚焦 | 关于微软自身零信任之路的十大关键问题
4、CISO 聚焦 | 如何抵御超过98%的网络安全攻击行为
5、CISO 聚焦 | 如何构建企业组织的网络安全韧性和数字连续性
