新科技速遞
網絡攻擊日益精密,如何保護網絡並不足夠,而許多時候,必須假設肯定受攻擊入侵之後,如何更快速偵察(Detect)和反應(Respond)。
事實上,近期保安已趨向強調自適應(Adaptive),也就是不斷隨攻擊進化而演變。如果保護的機制不與時並進,肯定不能抵抗網絡攻擊。
企業依賴傳統的端點或者防火牆,加入數據保護方案等;但隨著雲應用增加、數據分散,流動用戶和自攜設備等趨勢;所謂網絡的保安邊界(Perimeter),似有若無,也更難於防禦。
近年,安全資訊和事件管理(SIEM)蒐集大量網絡和IT訊息,即時分析後,向企業保安營運中心(SOC)發出警報並解決危機。不過傳統SIEM安裝困難,誤鳴甚多,聘請人手也不易。
傳統的SIEM方案包括了Splunk和IBM的Qradar等,紛紛加入人工智能減少誤鳴。Microsoft最近發佈Microsoft Azure Sentinel,為全球首批雲原生SIEM解決方案。SIEM架設於公有雲,純以SaaS方式提供,Sentinel融合Azure和AI功能,亦更有效偵測和防禦網絡威脅。
Microsoft大中華網絡安全行政官潘漢昇說,Sentinel更容易架設,毋須擔心基建架構的擴充,緊密結合Microsoft全線產品,整合Office 365和Microsoft Defender,以各種Azure雲端服務,甚至可分析其他公有雲紀錄檔。
Sentinel內置自動化和協作功能設有預定或自定的指南,以處理重複的工作並快速回應網絡威脅。Sentinel配合SOAR(Security Orchestration, Automation and Response)即網絡保安協調、自動化和回應工具,加強回應的速度,協調分析和完成入侵的偵察過程,Microsoft也為Sentinel加入了機器學習,自動建立入侵警示。
不過,SIEM隊伍會根據不同保安警報,設立如何解決不同威脅和入侵步驟,簡稱為Use Cases。團隊根據事先建立的Playbook應付入侵。Sentinel除了可快速重建入侵的過程,建立度身訂造的警示,也可自動化執行Playbook,實時偵察及清除入侵。
Azure Sentinel 將加強企業現有的防護和偵測工具,包括最佳的網絡保安產品、自家研發工具或其他系統(例如人力資源管理應用程式)和工作流程管理系統(例如ServiceNow)等其他SOAR工具。
Microsoft 香港區域科技長許遵發表示:「憑藉嶄新SIEM和SOAR(Security Orchestration, Automation and Response)即網絡保安協調、自動化和回應工具,透過內置和自動化的協作,改善企業的保安分析能力,讓他們更快速應對保安事件,同時控制 SIEM 的成本。Azure Sentinel 提供主動且反應迅速的雲原生SIEM,有助客戶簡化網絡保安工作,同時可隨著保安工作的增長而擴展。藉著Azure Sentinel正式登陸香港,Microsoft有更獨特的優勢,進一步保護香港大小企業,令他們實現更多,成就更多。」
Azure Sentinel憑藉內置的 AI 和機器學習能力,快速分析企業的大量數據,據稱警報疲勞降低達90%。透過過濾雜訊、減少錯誤警報、耗時工作和各種複雜問題, Sentinel 減輕網絡保安行動(SecOps)團隊負擔,優先處理關鍵任務。
Sentinel 與Microsoft 365深度整合,配合Microsoft威脅防護解決方案組合,包括 Microsoft Defender Advanced Threat Protection、Office 365 Advanced Threat Protection 和 Azure Advanced Threat Protection。
Sentinel也獲 CRN 評為 2019 年十大最熱門網絡保安工具之一。近期Microsoft多項產品亦成為Gartner領導廠商產品。
Sentinel 配備內置連接器、結合 Microsoft 原生訊號,支援標準記錄檔格式(如常見事件格式和系統記錄),只需簡單點擊數即可免費上載Microsoft Office 365數據,與其他數據結合分析。Sentinel數據庫每天可接超過10PB數據,提供搜尋引擎,數秒之內將數百萬條記錄排序。
Sentinel收費模式亦以分析數據量計算,跟Splunk收費模式相若;Splunk亦可架設在公有雲上;其他公有雲上流行SIEM,還包括了LogRhythm等競爭對手。
Sentinel機器學習可將數百萬個低逼真度(Low-Fidelity)異常情況,串連起來,並展示成高逼真度(high fidelity)事故,篩選大量警報、或者手動串連來自不同產品或傳統關聯引擎警報,增加偵察的凖確度。