👴 👨‍👩‍👧 👩🏼‍🔬 云安全监控。第二部分 🕵🏿 🔚 🎧

因此，我将继续撰写有关监视云提供商安全性的文章。在第一部分中，我谈到了思科在使用外部云服务方面的经验，以及在构建或审核客户的SOC时遇到的思科观察。以第一部分为例，来自Amazon，Microsoft和Google的三个最受欢迎的解决方案（即IaaS / PaaS平台）今天是时候讨论监视SaaS平台了：Dropbox，Salesforce.com，Slack和Apple Business Manager，以及以及关于哪些SIEM最适合当今监控云平台。

示例：基于Dropbox的SaaS中的IS监视

如果基于AWS，Azure或GCP，您可以仅在云中（即，像Dropbox一样执行一项特定任务（例如文件存储）的云服务）创建企业基础结构的几乎完整的类似物。这项服务已远远超出了普通用户存储的范围，它为公司用户提供了一整套安全机制：

用户识别和认证
文件访问控制
远程数据删除
可信设备管理
与外部信息安全解决方案（DLP，SSO，DRM，电子数据展示，SIEM等）集成
安全事件日志记录。

Dropbox Business（在Basic版本或Pro版本中均无法使用）日志记录以下类型的安全事件：

密码保护设置
进入文件存储的成功和失败尝试
控制特权访问和管理员操作
文件操作（添加，编辑，删除，传输，加载等）
连接到第三方应用程序的文件存储
访问Dropbox的设备
添加/删除成员以访问组
创建可从外部访问的文件夹/文件

您可以通过Dropbox Business管理控制台（但不要期望其中有什么大事）或使用与Dropbox Business API一起运行的外部监视解决方案来分析Dropbox中的安全事件。在任何Dropbox Business资费中均无法使用日志访问权限，而只能以高级许可证（请记住Office365，它也不会以基本业务许可证开始访问日志）来访问日志。与AWS一样，值得询问您的SIEM是否支持Dropbox？例如，Splunk有一个单独的模块与Dropbox一起使用，借助REST API，该模块使您可以监视以下安全事件：

登入
添加/删除/用户请求的活动
连接到Dropbox的设备的活动
公司内外的文件共享活动
申请活动
等

其他SIEM不具有Dropbox内置支持-您将必须编写自己的连接器。

例如，基于Slack和Salesforce.com的SaaS中的IS监视

我们知道，当今有大量的云平台可供企业用来解决其问题，并且我们希望从其安全的角度进行监视。我们不会深入研究这些平台中的每一个（并且我没有设置这样的任务，只是想关注云平台信息安全的监视任务的细节），但是我们将尝试通过另外两种常见的业务解决方案（Slack和Salesforce.com）以特定平台为例来完成讨论。。

Slack集成了50多种安全工具（从内容保护和隐私到证书监视和访问控制），但从监视各种安全事件的角度来看，Slack几乎没有现成的集成-在该站点上，此列表仅限于鲜为人知的Symantec CloudSOC，Cisco CloudLock（更多内容见下文）和《纪事》。仅此而已。但是，Slack获得了ISO 27001，SOC2 / 3，Fed-RAMP和许多其他认证，Slack不得不实施高级功能来监视其基础架构，其中一些功能可供客户使用。特别是，使用Audit Logs API（仅适用于Slack Enterprise Grid用户，不适用于Free，Standard，Plus计划），您可以从Slack基础结构中“抽取”大量数据并将其加载到与用户活动相关的SIEM中，但不能具有内容监视功能（对于这些任务，必须使用专门的DLP或电子数据展示解决方案）。同时，Slack没有类似于AWS GuardDuty的机制-它按“原样”发送事件，并且不告诉您事件是好是坏，只有您可以通过在SIEM中编写自己的关联规则或使用具有一组在Slack中的未授权活动的预定义模式（例如，在Cisco CloudLock中）。

Slack日志中的每个事件都有4个关键元素-一个动作，生成该事件的用户（演员），与该事件关联的实体（工作区，应用程序，用户，通道，文件）和位置（上下文）在其中发生此操作（一个单独的工作区或整个组织）。总共，Slack捕获大约70个不同的动作。例如，Slack中的用户注册事件如下所示：

{ "entries":[ { "id":"0123a45b-6c7d-8900-e12f-3456789gh0i1", "date_create":1521214343, "action":"user_login", "actor":{ "type":"user", "user":{ "id":"W123AB456", "name":"Charlie Parker", "email":"bird@slack.com" } }, "entity":{ "type":"user", "user":{ "id":"W123AB456", "name":"Charlie Parker", "email":"bird@slack.com" } }, "context":{ "location":{ "type":"enterprise", "id":"E1701NCCA", "name":"Birdland", "domain":"birdland" }, "ua":"Mozilla\/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/64.0.3282.186 Safari\/537.36", "ip_address":"1.23.45.678" } } ] }

使用Salesforce，情况类似-使用API，您可以访问此云CRM中的所有用户活动，尤其是以下事件：

登入
登出
报告上传
API调用
URI（Salesforce Classic中的网络点击）
闪电（闪电体验和Salesforce移动应用中的网页点击）
Visualforce页面下载
顶点执行
还有其他

此外，您可以监视Salesforce实例的安全性，并在Salesforce管理控制台中使用事件日志。您有4个选择：

监视对SFDC门户的所有访问尝试。 “登录历史记录”页面显示了过去6个月中有关进入门户网站的20,000个条目（指示HTTP登录方法-GET，POST或其他）。如果需要更长的故事，则可以以.csv或.gzip格式下载相应的日志。
监视CRM中的现场工作。通过管理控制台，您可以跟踪过去18个月使用标准和自定义云CRM字段的历史记录，并且可以通过API来访问两年的字段更改历史记录。您还可以将该故事存档长达10年，并在必要时对其进行访问。
监视管理更改。使用设置审核跟踪功能，您可以在过去180天内监视所有管理员的100多个操作（尤其是有多个操作）。
交易监控使用事务处理安全服务，您可以实时捕获Salesforce事件，并使用适当的处理逻辑将通知和警报应用于事件。

最近，Salesforce为其平台-Salesforce Shield开发了一种专门的安全监视解决方案。它包括三个组件-管理所有存储信息的加密，监视安全性和数据使用以及管理安全性策略。对于信息安全监视，Salesforce Shield中的此功能类似于Azure Monitor扩展，它不仅向您显示事件，而且由于事件的处理和可视化告诉您要查找的内容。例如，您能否找出用户最常从哪些设备和平台访问SFDC？或用户何时，最经常地从何处输入其Salesforce副本（这可以帮助标识非典型的入口点）？谁查看机密信息？谁最常将报告下载到他的计算机？这些问题的答案可以使用16个预装面板获得，其输入由单独许可的Einstein Event Monitoring Analytics子系统进行分析（名称不错，不是吗）。借助它的帮助，您还可以为仪表板建模，将数据上传到外部BI系统等。

示例：监视iPhone和iPad上的信息安全

糟糕...您会问iPhone和云监控在哪里？这里的一切都很简单。例如，在撰写本文时，所有SIEM都没有连接到Apple Business Manager平台（或在美国大学中较著名的Apple School Manager）的连接器，该平台允许您管理Apple公司的设备-iPhone，iPad，Mac。对于此任务，您可以使用任何MDM解决方案，也可以使用Apple Business Manager（如果您参加了在俄罗斯无效的Apple设备注册计划或批量购买计划）。可以在本地安装MDM解决方案，并且与云MDM（例如Cisco Meraki）一样，将它们与SIEM集成起来基本上很容易，但是Apple Business Manager的故事具有明显的云颜色，在本文中很有趣了解最大的IT制造商之一如何解决对其解决方案进行安全监控的问题。

总的来说，从这个角度来看，苹果公司在俄罗斯的决定并不为人所知（尽管在西方，我们在SOC项目中面临着这些决定）。因此，普遍的看法是，Apple是一家纯粹的消费类公司，在集成到其SOC方面并未求助于公司客户。同时并非如此。事实是，对于iOS和MacOS而言，苹果拥有足够强大的保护系统，因此继续保持封闭的合作关系，并且不会非常积极地允许外部各方获取有关其产品安全性的信息。虽然情况正在逐渐改变。例如，Apple Business Manager允许您查看有关公司Apple设备上活动的信息，这些信息被合并为三个信息块-事件，事件的状态和事件的开始日期（以及结束日期，a，问题）。受控事件（Apple School Manager的功能更多，但与学生相关）包括：

通过电子邮件发送新登录信息
创建新的登录
通过电子邮件发送新的验证码
分配角色
删除帐号
停用帐户
反应性帐户
分配设备
取消分配设备
释放装置
取消分配和删除服务器
重新分配和删除服务器。

老实说，没有太多的信息。您可以在Apple Business Manager控制面板中使用它，也可以将其作为.csv文件上传到计算机上进行进一步分析。我必须承认，Apple中此功能的主要方向仍集中在发现IT层面的问题上，而不是解决安全问题-Apple没有任何自动日志收集或分析功能。如果将Apple Business Manager与任何MDM解决方案集成，您将获得更多信息-然后，您可以获得有关活动用户，用户ID和设备的信息，包括Wi-Fi地址，已安装应用程序及其版本的数据，是否有未安装的更新，电信运营商，个人接入点，启用的“查找iPhone”功能，数据加密，越狱，已安装的证书，个人ITU的可用性和设置，PIN（在设置时），远程控制现象等这足以完成IS监视任务，但需要某些手势才能将公司的Apple设备集成到SOC中。

SIEM用于云监控

应当指出，与许多其他公共云一样，亚马逊非常重视其安全性，但主要侧重于检测和预防其基础架构中非常简单的威胁以及提供对可使用来分析的事件的访问的机制。外部决定。 Microsoft最接近创建一个用于监视和分析云中安全事件的系统，但是使用其解决方案将需要额外的财务投资。如果仅使用该公司的云，则可以通过扩展将自己限制在Azure安全中心。但是，如果您有多云环境，那么值得考虑使用独立的解决方案-SIEM，也许您已经在使用它来监视内部基础架构的信息安全。在这里，您需要了解SIEM如何选择或选择由您支持的云（及其各种服务）用作数据源。例如，Splunk，QRadar，ArcSight，ELK支持AWS，这在这些监视系统的文档中直接说明，但是不支持相同的RuSIEM或PT SIEM。

应该记住，不同的SIEM可以以不同的方式从不同的云服务中获取数据。以ELK和Amazon为例。许多云服务和应用程序都可以将其事件转发到S3存储桶，然后Logstash可以根据要求进行处理。前面提到的AWS CloudWatch还可以将数据发送到S3，并将其流式传输到AWS Lambda（Logstash将其用于分析）或托管在ElasticSearch云中。好吧，当然，有些应用程序可以绕过S3，Lambda或CloudWatch直接将数据发送到ELK。 IBM QRadar通过AWS CloudWatch收集同一AWS GuardDuty的数据，通过将Amazon VPC Flow Logs日志发布到S3购物篮中，然后在QRadar中进行捕获，并通过S3购物篮或AWS CloudWatch从AWS CloudTrail收集数据。根据您需要监视的数据，此知识可能会帮助您通过选择SIEM避免犯致命的错误，而SIEM在实施后将无法与所需的云应用程序和服务一起使用。

尽管AWS或Azure的流行，但许多SIEM都没有内置的连接器可用于Amazon和Microsoft云，但是可以独立地或在制造商的帮助下创建自己的连接器，例如带有自定义连接器的PT SIEM。值得注意的是，AWS不是了解SIEM如何与云一起工作的正确示例。 AWS是全球最受欢迎的云业务平台，因此许多制造商，包括信息技术领域的制造商，都在尝试将其产品与其集成。但是，即使在这种情况下，我们仍然必须承认，总体而言，今天的SIEM并不经常允许您监视云平台。例如，IBM QRadar仅与以下云服务一起使用（不包括云IB服务，例如Cisco Umbrella，Cisco Meraki，Cisco Threat Grid等）：

AWS GuardDuty和AWS CloudTrail（尚不支持其他AWS服务）
包装盒
Cloudera
天青女士
销售人员

该列表不是很长。用于处理云的模块的相同Splunk基础更加广泛。除了上述针对IBM Qradar的内容外，Splunk的解决方案还支持

Office365
现在服务
亚马逊运动
松弛
吉拉
谷歌驱动器
谷歌云
纳吉奥斯
G Suite应用
码头工人
Kubernetes
和其他

请注意，尚无人支持GCP。

使用适用于AWS的Splunk App扩展（对于ArcSight或QRadar，此想法将类似），您可以实现例如以下用例监视场景，这些场景将允许您从信息安全的角度回答重要问题：

谁将规则添加到保护我们的应用程序服务器的安全组中？
阻止的流量流向何处？
事件发生前后特定用户的活动是什么？
当安全组允许从所有端口访问时通知我
定义了哪些安全组但不与任何资源关联？
从外部IP地址访问控制台时通知我
提交典型的Web攻击用户代理时通知我
实例资源何时超过X％？

一些专门为公司网络设计的SIEM可能会遇到云的体系结构问题。至少，您将需要为将日志发送到周边ITU上的SIEM的所有云系统打开一系列规则。另一个更严重的问题是，拥有用于与云一起工作的连接器并不意味着SIEM已准备好在该角色中使用。如果我们注意6开头提到的监视系统的组件，事实证明SIEM的连接器可以帮助您解决两个必要但显然不足的任务-收集和处理信息安全事件。存储由SIEM本身提供，但是通过分析，我们仍然有一个大问题。如果典型的公司SIEM具有真正有用的“开箱即用”的关联规则与规则总数之比为20到80，那么对于监视云信息安全性，该比率将为5到95左右，甚至更低。因此，不要忘记SIEM与云一起工作并不是监视其真实安全性的全部。您将需要花费更多的精力（更不用说合格的人员）来为您的云，您的云，以及云和公司环境编写事件关联规则（因为您可能希望将连接到云平台的用户的位置数据与公司安全功能）。

如果使用IaaS / PaaS监视的情况或多或少是很好的-源数量，创建的日志量和事件类型足以对其进行分析，那么对于许多SaaS来说，这仍然会造成困难。因此，我想关注以下活动/事件，这些活动/事件适用于大多数严肃的SaaS参与者，并且在监视SaaS时需要在您的SIEM中进行分析：

用户和管理员访问
- 成功和失败的登录尝试
- 入境时间和地点
- 输入设备类型和属性
- 登录尝试失败，然后成功
- SSO活动
- 广告活动
用户行为
- 用户文件活动（下载，删除，复制，打印，传输，发送）
- 与外部和内部用户“共享”文件
- 创建打开/共享链接
- 来自未经授权/不受信任的移动设备的活动
- 网络活动
第三方API访问
- API权限变更
- OAuth证书相关活动
- 与OAuth令牌关联的活动。

至少，对这些事件进行分析（例如，Salesforce.com，Box或Dropbox将为您提供），将使您能够利用云数据和用户识别大量事件。

如何解释使用SIEM监控公司和云环境的能力存在这种差距？低云普及率？我们知道事实并非如此。相反，问题是已经准备好接受云服务但还没有准备好监视其安全性的客户的成熟度，正如我在本文开头所写的那样。否则，就不会招募到所需数量的业务案例，SIEM开发人员也不会急于主动地在其产品中实施云支持。特别是在工作机制的定期更改以及云提供商提供的安全事件返回的情况下（让我们回想一下Azure的AzLog故事）。

您的提供商没有监视工具时该怎么办

但是，如果您的云提供商提供了日志，但是没有自己的工具来分析和监视日志，那么SIEM不支持您选择的云，并且无法编写连接器怎么办？有一个选项允许您使用专门的中介，他们使用现有的云API（应该是），访问您的云提供程序，然后从中提取日志，对其应用各种分析工具，识别各种事件和其他违规行为，以及有关哪些数据的信息。然后可以给您的SIEM。

此类中介的示例是Cloud Access Security Broker CASB解决方案（例如Cisco CloudLock）或某些具有高级访问控制功能的Multi-Factor Authentication MFA解决方案（例如Cisco Duo）。的确，CASB或MFA解决了一个问题，又添加了另一个问题-获得另一个管理控制台，该控制台必须集成到您的SOC中。但是解决这个问题通常比较简单。 SIEM通常没有云连接器，可以与包括CASB和MFA在内的信息安全工具一起使用（毕竟，这是他们的主要任务）。在这种情况下，CASB和MFA中的API可以帮助您将已收集和分析的安全事件发送到公司SIEM，并将它们嵌入到SOC中。事实证明，这是一个三层系统，其中SIEM（无需直接与云集成）为此使用CASB / MFA（在上述情况下，与Cisco Stealthwatch Cloud相同）。

的确，CASB也不是万能药。并非所有的云提供商在其平台中都具有允许将数据发送到公司SOC和SIEM的API。通常，此属性可以区分公司决策。有时甚至流行的云解决方案也没有这样的API，正如您在一开始提到的Bitrix，“ My Office”或SKB Kontur解决方案一样。

示例：使用Cisco CloudLock监视安全性

思科CloudLock是基于API的解决方案，可与各种现有的流行云SaaS平台集成，例如G Suite，Salesforce，Office 365，Dropbox，Box，ServiceNow，Slack，Okta等，以及IaaS / PaaS诸如Salesforce和AWS的平台。与代理CASB不同，基于API的解决方案使您可以处理已加载到云中的数据，分析云间流量，并控制来自移动和非托管公司及个人设备的访问。同时，逐渐成为Cisco Umbrella不可或缺的一部分的Cisco CloudLock不会干扰用户的工作，并由于其API而连接到受控云，这使您可以监视违规情况，例如：

密码猜测
从非典型位置登录（帐户被盗）
违反使用机密信息的规则（将不应该存在的信息存储在云中）
云中的恶意软件
资料泄漏
违反法规要求
从禁止或过期的应用程序访问。

从Cisco CloudLock服务本身以及通过SIEM都可以访问这些事件，CloudLock通过现有的API向SIEM提供必要的信息。当前，Cisco CloudLock可以与Splunk，QRadar和Arcsight集成。

SOC

因此，我们对俄罗斯的流行云环境中的信息安全监控如何工作有了一些了解。现在，您了解了什么数据以及如何将其上传到SIEM。但这是否意味着您可以谈论内置的IS云监视系统？当然不是足以回忆起，根据流行但不完全正确的概念，SOC是人员，流程和技术的组合。上面我们仅谈论技术。现在该谈论其他组件了。

首先，当今的云世界没有明显的喜爱和领导者。公司将不同的云用于不同的任务。上面，我举了一个Cisco的例子，该公司在全球的活动中使用了大约700个云提供商。它们都是不同的，采用不同的方法来确保信息安全及其监视。为了将所有这些都集成到我们的IS监控中心，有必要超越将数据加载到SIEM的方法，并构建成熟的多云监控策略，该策略必须包括以下步骤：

, ( use case). use case Splunk. , . , , - “”. , ? use case . — , .
playbook' runbook', .
, use case, . , , . Amazon — ( , , ..), ( , , Amazon EC2 VPC) (, , ). , , .
, , , , .
, . , , Threat Intelligence, , , ( Cisco Stealthwatch Cloud), (, Amazon Web Services ), , - . .
, .
, , , - . , - osquery.
, (, WORM — Write Once, Read Many), (, AWS Key Management System) (, Amazon S3 Glacier).
, , Threat Intelligence, (, GCP Azure), . , . , , .
(SIEM), CASB NTA (, Cisco Stealthwatch Cloud).
Threat Hunting, , . , , — . .
.

应该记住，这些组件中的某些组件将与您的组织可能面临的其他监视任务重叠-SLA监视，可用性监视，应用程序性能监视，用于后续计费的使用情况监视等。因此，在构建云的信息安全监控系统时，首先要指定其他部门的同事已经完成的工作和计划要做的工作-您可以使用已经取得的成就或工具或与他人共享许多任务。

似乎我没有写任何特别的新内容。如果您的SOC最初设计正确，那么添加任何新的受控实体（无论是云，ICS还是移动设备）都不会导致对先前开发的文档和流程进行重大更改。在设计或进行SOC审核时，我们会尝试在工作中首先考虑所有这些方面。

结论

总而言之，值得再次重申的是，即使对于云市场的“老手”，在云环境中监视信息安全也是一个相对较新的主题。因此，该细分市场不断发生变化，直到最近才出现在云提供商的产品组合中。IS监视功能也相同。无论我们在谈论哪个提供商，他们都可以为您提供以下几种监视选项之一：

— .
SIEM . , “” /.
API, “” . .
.
通过中介进行访问，中介会收集您感兴趣的云数据，为它们提供更多信息，并应用各种分析工具和算法，然后将分析结果传输到您的SIEM或信息安全事件分析系统。

所有这五个选项的不同之处在于使用它们的复杂性，监视和响应的价格以及速度。我不能说要选择哪一个，因为这不仅取决于您正在使用的云，还取决于您的监视策略。IB。我只能提供一系列问题，询问您自己和您的云提供商，您决定与谁“连接生活”：

您是否工作/计划使用一个或多个云？
您的云提供商可以提供哪些保护机制？这取决于您可以监视什么，不能监视什么。
ISO 27001, Fed-RAMP, SOC2/3? , - - .
? .
? ( )?
/ ? , , .
? ? ? threat hunting? - Threat Intelligence?
? / ?
API ?
SIEM ? /API ( )?
“” SIEM? use case ?
SIEM ? — SIEM?
SIEM CASB?
SIEM TI- ?

这是一小段问题，对这些问题的答案将使您可以开始构建监视您或您的企业决定使用的云环境的信息安全性的过程。您越有兴趣回答这些问题，构建监控系统所需的成本就越便宜，并且将资源分配给外部云提供商的事件就越少。正如思科在构建或审核SOC方面的经验所表明的那样，即使是最有效地处理企业网络内事件的最成功的IS监视中心，也不一定总是在其体系结构中提高云监视功能，这需要对其进行重组。我希望这两部分描述的意见和建议将有助于确保网络安全。

云安全监控。 第二部分