有效的云服务报警系统

原文作者：Venkat Pothamsetty

原文地址： https://dzone.com/articles/effective-cloud-security-alerting

任何安全系统的首要组件应是它的报警系统。当异常发生时，警报通常是最快也最有效的方式来提醒你尽快采取行动。但是过于恼人的警报也同样被诟病，例如发出误报或需要繁重精细的调校来保证报警系统的正常工作。毕竟，不影响到终端用户的轻微代码漏洞并不是那类需要在深更半夜叫醒你起床立即着手解决的问题。

那么，为了实现一个能够切合实际地、关注到真正的事故的风险报警系统，我们目前有什么足够好的解决方案呢？你可以在 Threat Stack 云安全平台使用手册 这个网站中了解到搭建安全报警系统的一些非常值得尝试的代码实践内容。

躲开“噪声”：如何设置警报的严重等级

当一些不寻常的事件在你的云服务环境中发生时，你希望能被告警以便及时做出处理。但如果说**每一个**反常的事件包括持续时间非常短的宕机行为都会触发大量并且烦人的警报，反而会给你带不来任何的好处。你需要的应该是触发稳定且准确的警报，并且这些警报应当附带有异常发生的上下文信息，以便你总是能够快速地做出判断，这是否是一个真正需要采取行动的问题。换句话说，你需要一个“克制”的系统：一个能产生不多不少，刚好合适的警报数量的报警系统。

一个很多组织都会犯的错误是，他们在警报系统内添加了太多不同的警报等级。事实上，传统的安全性升级过程 中有超过7个不同的等级（P0 - P7）。尽管能把大量的警报层次分明地分类看上去很美好，但事实却是各种警报很难能如我们所愿般那么容易地归类到不同的等级中。与之相对的，这也是为什么我们推荐只分为3类不同的警报和应对等级：**严重**、**警告**或**信息**/**监听**/**记录**，分别对应不同严重程度的威胁。

这是一个简单的、分为3个等级的升级过程看上去的样子：

3级预警升级过程

远离风吹草动：消除误报

除了使用如上文中提出的3级安全性升级过程模型之外，你还需要持续地为你的系统调整“正常”的标准以避免误报警的情况出现。为了实现这一功能，你需要考虑选择一个 云安全平台，这类平台能够通过结合你的历史数据来理解、区分在你的服务器上什么事件是“正常”或“异常”的，并以此为依据动态调整新的报警基准。值得注意的是，考虑到对于一个存在大数据、物联网、员工使用自己的设备办公(BYOD)的世界来说，手动的调整报警基准是一件非常困难的事情，更何况我们面对的风险和威胁也在不断地发展变化，所以通过自动化实现这些功能是最好的选择。

通过理解你的云服务环境中的各类活动或事件的规律，你能够更加准确地判断到底什么指标或事件才是值得需要被持续不断地记录或监视的。

回到基础：优化得到更加高效的报警系统搭建流程

你需要的报警系统，要能够在需要你采取行动应对异常的时候引起你的注意，但同时，你也不能本末倒置地把所有的时间和精力都用于搭建和仔细精调每一个警报规则上。

实际上，如果你能把搭建报警系统的流程优化的越好，你就能有更多的时间去关注应对异常上。

从基础的报警规则集开始是一个不错的选择，而且这套规则集经过调整后已经用在了很多的产品上。基础的报警规则集能够根据在其他环境中预先观测到的资料来提供自动区分警报等级的功能。举个例子，基础报警规则集能在一个新节点被从网络中删除时、配置列表发生了未被授权的修改、创建了新的用户或着访问权限被修改时提醒你。此外基础的报警规则集往往提供了一定的自定义修改空间让你能够根据你的部门需要单独设置各个报警规则的启用状态和指定各个事件对应警报的严重程度，但不需要任何配置也同样能使用默认的基础框架快速的上手开始使用。

实现你自己的云服务安全报警系统

为了能确定你的组织需要的报警系统应该是什么样子，最好的方法就是先对发生在你的云环境中的各类事件有清晰且透彻的理解，并分析在你的环境中，3个不同的安全等级分别包括了哪些事件，如参考在上文中所提到的3级分类标准。同时请始终牢记，被其他公司分配为1级的警报，对你而言可能属于其它等级的警报，所以一定要结合你的云环境特点和使用情况来决定，该怎样指配警报等级才是合理的。从这里开始，选择一个能实现自动设置警报触发基准、能提供给你一个基础的规则集来缩短你的配置时间的云安全解决方案，以便能让你能将更多的时间用于解决真正的问题上。