云安全警报,你值得拥有!
云安全警报,你值得拥有!
任何安全计划的第一个组成部分都应该是一个警报系统。因为警报系统通常是在出现问题时通知最快和最有效的方式,也方便您可以采取有效行动做出合理的解决措施。但警报也存在过于嘈杂的问题,偶尔会抛出误报或需要很多微调才能正确解决问题。毕竟,在不影响用户的最终使用下,代码中出现的一个小错误并不是值得你着急去解决的问题。
那么,在发生实际事件的情况下,采取一种可以切实遵循的方式来设置威胁警报处理的最佳方法是什么?请查看以下有关“ 防范云威胁的安全手册”中涵盖的安全警报的最佳做法。
避开“噪音”:如何设置警戒级别
当您的云环境发生异常情况时,您就需要提醒,以便及时响应。但是,一堆关于异常行为的嘈杂警报,包括短暂的停机时间,也不会对你的问题产生任何益处。您需要持续准确的警报,并且与之保持紧密联系,以便您可以快速决定是否需要采取行动。换句话说,你需要一个Goldilocks系统:一个提供警报的系统,不是太多,而是恰到好处。
许多组织犯的一个错误是试图把太多的警戒级别放到这个系统中。事实上,传统的安全升级过程 已经超过了七个级别(P0-P7)。虽然看起来有这么多警报似乎让人感到欣慰,但现实是它并不会得到扩展。相反,这就是为什么我们建议持有三种类型的警报和相应的进程的原因: 严重, 警告 或 信息/审计/日志, 具体取决于威胁的严重程度。
以下是一个简单的三级升级流程:
消除“杂草”:消除假警报
除了与上面提到的类似的三层警报升级过程之外,您应该不断对您系统的“正常”进行基准化,以避免误报。要做到这一点,选择一个 云端安全平台 ,可以汇总历史数据,以建立一个基本的理解什么构成您的服务器上的“正常”与“异常”活动。值得注意的是,这最好是以自动化的方式完成,因为在大数据,物联网和BYOD的世界和以及不断变化的威胁环境下,手动基准线太难了。
通过了解整个云环境中的活动模式,您可以更加准确地确定什么是值得和不值得的主动记录或监视。
回到基础:简化安装过程
你需要一个警报系统,当你需要采取行动的时候会引起你的注意。当然你并没有时间在世界上建立和微调每一个警报。
事实上,你可以越精简这个过程,你就越需要专注于回应。
基本规则集是一个很好的起点,并被运用于许多产品。基本规则集根据在其他环境中观察到的情况提供自动警报级别。例如,如果在网络上检测到新节点,未经授权的配置更改,新用户或更改访问权限,则基本规则集可以通知您。通常有一些空间可以根据您的个人组织问题的严重程度开启或关闭,但它们提供了一个基本的框架来开始。
实施您的云安全警报系统
评估贵组织的警报系统最好方法是清楚地了解在您的环境中构成第一,第二或第三层警报的内容,如上所述。并且请记住,被一家公司指定为一级警报的系统可能并不适合您,所以请务必关注您的独特环境和使用案例。从那里,选择一个云安全解决方案,可以自动基于线性活动,并为您提供一个基本的规则集,这样你可以花更少的去进行时间配置也可以有更多的时间来处理实际问题。