微軟安全安全架構(gòu)解讀-安全運(yùn)營(yíng)篇

微軟在其網(wǎng)絡(luò)安全架構(gòu)中對(duì)安全運(yùn)營(yíng)部分基于自身實(shí)踐提出了安全運(yùn)營(yíng)架構(gòu)，微軟認(rèn)為安全運(yùn)營(yíng)的主要挑戰(zhàn)是安全運(yùn)營(yíng)工具的豎井，需要通過工具和數(shù)據(jù)進(jìn)行集成，并提出了微軟的安全運(yùn)營(yíng)架構(gòu)和安全運(yùn)行模型。

豎井是安全運(yùn)營(yíng)的挑戰(zhàn)

安全運(yùn)營(yíng)在嘗試跨系統(tǒng)跟蹤攻擊者時(shí)，經(jīng)常面臨內(nèi)部的諸多障礙，由于企業(yè)IT產(chǎn)業(yè)復(fù)雜和資源類型繁多，安全工具的孤島化，放大了這種復(fù)雜性。因?yàn)楣粽咄ǔＷ裱a(chǎn)用戶在企業(yè)中訪問資源的路徑來完成攻擊任務(wù)，攻擊者則不會(huì)受到這種復(fù)雜性的影響，而防御者通常受限于孤立的工具，且缺乏對(duì)企業(yè)整個(gè)環(huán)境的可視性，很難迅速跟蹤這些攻擊者。

雖然安全運(yùn)營(yíng)使用不同工具執(zhí)行分析工作，來加強(qiáng)團(tuán)隊(duì)之間的協(xié)作，但因?yàn)楣ぞ咴谠O(shè)計(jì)時(shí)并沒有考慮作為單個(gè)系統(tǒng)運(yùn)行，通常整合這些孤島難度很大，主要的挑戰(zhàn)包括不同工具以不同類型的豎井和對(duì)象（如端點(diǎn)、電子郵件）為中心，不同對(duì)象使用的格式和標(biāo)識(shí)符也不同，同的工具有通常有不同的偏差，使得它們之間的數(shù)據(jù)難以集成。

工具和數(shù)據(jù)的集成

微軟做了大量的安全運(yùn)營(yíng)的集成工作，將自身的工具集本地化集成到產(chǎn)品工程中來優(yōu)化分析師使用體驗(yàn)。

• 從功能較強(qiáng)的云擴(kuò)展檢測(cè)工具開始，提供 API 接口供集成的工具之間互相通信，確保數(shù)據(jù)集成符合安全和隱私法規(guī)以及客戶合同。

• 統(tǒng)一實(shí)體的信譽(yù)數(shù)據(jù)，為端點(diǎn)、IP 地址、電子郵件等物品及其各種屬性啟用統(tǒng)一的語(yǔ)言定義，統(tǒng)一每個(gè)工具的信譽(yù)數(shù)據(jù)

• 統(tǒng)一語(yǔ)義和意義，確保各種術(shù)語(yǔ)的使用保持一致

• 自動(dòng)化保護(hù)和補(bǔ)救行動(dòng) ，確保自動(dòng)化運(yùn)行于所有的系統(tǒng)

• 單一門戶體驗(yàn)，整合成單一的Microsoft 365 Defender門戶

微軟安全運(yùn)營(yíng)參考架構(gòu)

安全運(yùn)營(yíng)以人為中心

微軟認(rèn)為安全運(yùn)營(yíng)是技術(shù)性的領(lǐng)域，首先是以人為中心，需要技術(shù)進(jìn)行賦能，這些現(xiàn)代安全運(yùn)營(yíng)技術(shù)能幫助擴(kuò)展人類的技能和經(jīng)驗(yàn)，尤其在多云及混合的環(huán)境下面對(duì)高級(jí)的安全攻擊。

微軟提供了三類顧問或外包專家協(xié)助：

• 微軟威脅專家，內(nèi)置于 Microsoft 365 Defender 中的托管威狩獵服務(wù)，為安全操作中心 （SOC） 提供專家級(jí)別的監(jiān)控和分析，幫助確保您特環(huán)境中的關(guān)鍵威脅不會(huì)錯(cuò)過。
• 微軟事件響應(yīng)和恢復(fù)服務(wù)，微軟的檢測(cè)和響應(yīng)團(tuán)隊(duì) （DART）和客戶支持為事件響應(yīng)、恢復(fù)和搜索（現(xiàn)場(chǎng)和遠(yuǎn)程）提供幫助。
• 合作伙伴 / 托管檢測(cè)和響應(yīng)，Microsoft 與業(yè)內(nèi)頂級(jí)專家合作，建立這些 Microsoft 安全運(yùn)營(yíng)能力的專業(yè)知識(shí)，以便合作伙伴能夠?yàn)榭蛻籼峁┙ㄗh并直接支持客戶。

XDR作為基礎(chǔ)的安全運(yùn)營(yíng)工具

• XDR工具能極大提高安全運(yùn)營(yíng)效率
  微軟認(rèn)為XDR擴(kuò)展檢測(cè)和響應(yīng)工具的引入，能給安全運(yùn)營(yíng)工作的效率和效果帶來了極大的提升，XDR工具一方面提供了針對(duì)特定資產(chǎn)類型的深度可視化，也提供了增強(qiáng)的檢測(cè)、響應(yīng)和恢復(fù)能力，能為SIEM提供高質(zhì)量的警報(bào)，降低誤報(bào)率。使安全分析師可以關(guān)注真實(shí)的風(fēng)險(xiǎn)調(diào)查中，減少檢查誤報(bào)和維護(hù)查詢的時(shí)間。

• 安全自動(dòng)化（SOAR）和集成
  加強(qiáng)安全運(yùn)營(yíng)能力的另一個(gè)關(guān)鍵要素是采用安全編排、自動(dòng)化和修復(fù)（SOAR）技術(shù)將工具集成在一起。以減少分析師的人工活動(dòng)和不必要的控制臺(tái)切換，使用機(jī)器響應(yīng)提高響應(yīng)時(shí)間和速度；可擴(kuò)展安全運(yùn)營(yíng)的規(guī)模，以適應(yīng)不斷增長(zhǎng)的攻擊量和企業(yè)多云/混合環(huán)境的復(fù)雜性。微軟提供了以下工具集成實(shí)現(xiàn)安全自動(dòng)化：

• Azure Sentinel和SIEM的現(xiàn)代化

  Azure Sentinel是一種基于云的SIEM，通過橫跨XDR工具和任意的日志/數(shù)據(jù)源獲得完整的可視性。除了傳統(tǒng)的靜態(tài)分析功能，還集成了 SOAR、ML、UEBA、威脅情報(bào)和安全數(shù)據(jù)湖的方法，以改進(jìn)威脅檢測(cè)、調(diào)查和威脅狩獵流程。Azure Sentinel還利用 Azure 數(shù)據(jù)資源管理器以更低的成本存檔大量數(shù)據(jù)。

安全運(yùn)營(yíng)重要指標(biāo)

通常嚴(yán)重的網(wǎng)絡(luò)攻擊與攻擊人員的攻擊接近實(shí)時(shí)發(fā)生，所以，安全運(yùn)營(yíng)的成功指標(biāo)應(yīng)重點(diǎn)關(guān)注攻擊者在環(huán)境中的駐留時(shí)間上，主要從3個(gè)指標(biāo)衡量：

• 衡量響應(yīng)效率的平均響應(yīng)時(shí)間-MTTA，度量人員在接收到告警后，花費(fèi)多久響應(yīng)并開始檢測(cè)。

• 衡量效果的平均修復(fù)時(shí)間MTTR，度量一個(gè)安全事件從分析到移除花費(fèi)了多久。

• 告警的質(zhì)量，度量警報(bào)的質(zhì)量能確保分析師不浪費(fèi)在誤報(bào)的警報(bào)上，因此組織還應(yīng)進(jìn)行積極的威脅狩獵，用高級(jí)分析師搜索低質(zhì)量的警報(bào)，以主動(dòng)搜尋未被檢測(cè)到的攻擊威脅。

安全運(yùn)營(yíng)模型

微軟也提出了安全運(yùn)營(yíng)分層處理的模型，闡述不同層級(jí)組織、工具、工作內(nèi)容的主要差異，據(jù)此可構(gòu)建合理的安全運(yùn)營(yíng)流程。

微軟認(rèn)為有效的安全運(yùn)營(yíng)專注于管理環(huán)境中主動(dòng)攻擊者的風(fēng)險(xiǎn)，運(yùn)營(yíng)活動(dòng)主要分為三類：反應(yīng)式的事件活動(dòng)（稱為"熱門"路徑） 、主動(dòng)狩獵和告警調(diào)整活動(dòng)（稱為"冷"路徑）、關(guān)鍵的支持功能。每個(gè)安全運(yùn)營(yíng)活動(dòng)由多個(gè)不同的職能組成，每個(gè)職能/團(tuán)隊(duì)都有一個(gè)主要的重點(diǎn)領(lǐng)域，并且還必須與其他功能和外部團(tuán)隊(duì)密切合作才能有效。上圖的模型描繪了配備人員齊全的團(tuán)隊(duì)的完整模型，但在較小的組織中，這些功能通常被合并為單個(gè)角色或團(tuán)隊(duì)，或由 IT 運(yùn)營(yíng)（用于技術(shù)角色）執(zhí)行。

• 自動(dòng)化處理

  從處理反應(yīng)性警報(bào)開始 ，通過自動(dòng)化對(duì)已知攻擊事件類型進(jìn)行近實(shí)時(shí)解決，這些攻擊是組織多次看到的明確定義的攻擊。

• 分類篩選（第1層）

  該團(tuán)隊(duì)屬于一線分析人員，專注于快速修補(bǔ)大量已知事件類型，這些事件類型仍然需要分析人員進(jìn)行快速的人工判斷。通常的任務(wù)是審批批準(zhǔn)自動(dòng)修復(fù)工作流程，并識(shí)別需要升級(jí)或需要調(diào)查團(tuán)隊(duì)（2層）檢查的異常情況。

• 調(diào)查和事件管理（第2層）

  該團(tuán)隊(duì)為分類篩選（第1層）問題的升級(jí)點(diǎn)，主要監(jiān)控任務(wù)包括：觸發(fā)更復(fù)雜的攻擊者行為的警報(bào)、與關(guān)鍵業(yè)務(wù)資產(chǎn)相關(guān)的特殊案例警報(bào)，以及持續(xù)攻擊活動(dòng)的監(jiān)控。

  該團(tuán)隊(duì)對(duì)更復(fù)雜、較低數(shù)量的攻擊（通常是由人類攻擊者進(jìn)行的多階段攻擊）進(jìn)行更深入的調(diào)查。該團(tuán)隊(duì)將新的/不熟悉的警報(bào)類型用于記錄分類團(tuán)隊(duì)和自動(dòng)化流程，通常包括 Azure Defender 在云托管應(yīng)用程序、VM、容器和 Kubernetes、SQL 數(shù)據(jù)庫(kù)等上生成的警報(bào)。該層事件管理團(tuán)隊(duì)負(fù)責(zé)管理安全事件的技術(shù)方面，包括與其他團(tuán)隊(duì)（如溝通、法律、領(lǐng)導(dǎo)和其他業(yè)務(wù)利益相關(guān)者）的協(xié)調(diào)。

• 狩獵和事件管理（第3層）

  這是一個(gè)多學(xué)科的團(tuán)隊(duì)，專注于識(shí)別可能在被動(dòng)的檢測(cè)中未發(fā)現(xiàn)的攻擊者。狩獵團(tuán)隊(duì)主動(dòng)尋找未發(fā)現(xiàn)的威脅，協(xié)助升級(jí)和高級(jí)取證進(jìn)行反應(yīng)性調(diào)查，并改進(jìn)警報(bào)和自動(dòng)化。這些團(tuán)隊(duì)的運(yùn)行方式更多的是假設(shè)驅(qū)動(dòng)的模型，而不是被動(dòng)警報(bào)的模型。該層的事件管理團(tuán)隊(duì)主要處理影響業(yè)務(wù)的重大事件。

不同層級(jí)團(tuán)隊(duì)分工協(xié)同

• 分類篩選團(tuán)隊(duì)分析師（第1層）得到的如惡意軟件警報(bào)等大多數(shù)案例都提供了快速修復(fù)的方法，但通過分析師具體分析后，可能需要高級(jí)的修復(fù)方式，升級(jí)到調(diào)查分析員（第2層），后者可能會(huì)利用Azure Sentinel或其他SIEM獲得更廣泛的深入調(diào)查，著手進(jìn)行補(bǔ)救和結(jié)案。最后，狩獵分析師（第3層）可能會(huì)在審查已關(guān)閉的事件中注意到該案例，再進(jìn)一步挖掘出共性或異常的情況，比如：檢測(cè)可能適合于自動(dòng)修復(fù)的、多個(gè)相似的事件可能有通常的根本原因、其他潛在的流程/工具和告警的改善等。

總結(jié)

結(jié)合以上安全運(yùn)營(yíng)的架構(gòu)的分析，微軟認(rèn)為安全運(yùn)營(yíng)需要重要解決的是主動(dòng)攻擊者的風(fēng)險(xiǎn)，而目前的安全運(yùn)營(yíng)主要依靠采集數(shù)據(jù)到進(jìn)行SIEM的分析是不夠的，因?yàn)椴杉臄?shù)據(jù)缺少檢測(cè)、缺少一致性的語(yǔ)言定義，也缺少在安全運(yùn)營(yíng)各資產(chǎn)相關(guān)安全保護(hù)的工具之間統(tǒng)一的術(shù)語(yǔ)，這就造成了安全工具的豎井，豎井的產(chǎn)生也造成了跨工具追蹤攻擊者的困難。XDR也正是為了解決這一問題而產(chǎn)生，微軟統(tǒng)一了基本覆蓋企業(yè)所有各類資產(chǎn)的XDR控制臺(tái)，實(shí)現(xiàn)了數(shù)據(jù)的共享和集成，在通過安全自動(dòng)化平臺(tái)，以減輕安全運(yùn)營(yíng)的人工工作量，提高安全運(yùn)營(yíng)的效率和效果。

微軟安全架構(gòu)參考材料：aka.ms/MCRA文章來源地址http://www.zghlxwxcb.cn/news/detail-536338.html

到了這里，關(guān)于微軟安全運(yùn)營(yíng)架構(gòu)解讀的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！