有效的云安全警报

警报系统是任何安全程序的首要组成部分。当一些问题出现的时候,警报通常都是最快和最有效的提醒方式,让你能够及时地采取补救措施。但是警报有的时候过于“吵闹”:有时它会放出一些错误的信号;或者有时,你需要进行很多的微调,才能让它不再发出警报。然而其实,把在深夜里沉睡的你叫醒,讓你立刻去修正一些不会影响到终端用户的细微的代码错误也是没有必要的。

所以,如何才能设置一个在真实发生的事件中有实际操作性的警报系统?让我们一起看看“ 威胁防范云安全手册”中提到的设置安全警报的最佳方法 。

避开“噪音”:如何设置安全警报级别

当你的云环境中发生异常情况时,你希望警报能够作出提醒,以便你能及时应对。但是当那一大堆嘈杂的,包括短暂停机这些小问题在内的异常现象的警报同时响起,对你也不会有什么好处。

其实你需要的是持续准确的警报,而且这个警报应该告知你问题的具体内容,以便你能快速判断这个问题是否是一个需要立刻修复的漏洞和威胁。换句话说,你需要的是一个Goldilocks系统:提供不少不多,恰到好处的警报提示。

在系统中设置太多的警戒级别是许多机构都会犯的一个错误。事实上,传统的安全升级流程 已经有超过七个级别(P0-P7)。这么多警报在这里,似乎看上去让人很放心,但是问题是它不能进行扩展。这就是为什么我们建议你根据威胁的严重程度设置 严重(Critical),警告(Warning),信息/审计/记录(Info/Audit/Log)这三种警报和反应机制去代替传统的分级。

以下是一个简单的三级升级流程:

(图片信息:

严重性 严重 警告 信息/审计

意思:

如果这件事发生,请立刻提醒我

我想要在一到两个工作日内检查修复这件事。

记录下这个问题;我可能会在事后调查时需要用到它。

例子:

核心模块被安装在产品上

产品与僵尸网络相连

特权增加 注册错误

异常的IP的有效登陆

开发者(dev)安装程序包)

斩断杂草:消除错误警报

除了与上面提到的类似的三层递进警报流程之外,为了避免误报,您还应该对您的系统设定一个可以接受的“正常”的基准。要做到这一点, 你可以选择云端安全平台去汇总历史数据,了解究竟在你的服务器上,“正常”和“异常”的活动由哪些部分组成。值得注意的是,在面对大数据、物联网和BYOD的世界以及不断变化的威胁时,人工设定基准十分困难,所以以自动化的方式去完成是更好的选择。

通过了解整个云环境中的活动模式,您可以更加准确地确定哪些是值得主动记录或监视的问题,哪些又是不值得的。

回归基本:简化安装过程

你需要一个警报系统,当你遇到急需解决的问题时,它能够及时发出警报引起你的注意,但你也不用花费所有时间在设置和微调每一个小问题上。

事实上,你越精简这个过程,你就越能有更多时间专注于回应重要的问题。

基本规则集就是一个很好的让你开始简化的起点,而且它可以嵌入在许多产品中。基本规则集会根据它在其他环境中观察到的情况,自动提供不同程度的警报。例如,如果在网络上被检测到的新节点是未经授权的配置更改,新用户或访问权限的更改,那么这时基本规则集就会通知您。通常来说,它们已经提供了一个基本的框架,但它也会留有一些调整的余地,让你可以根据自己机构的特殊情况去开关警报和切换严重程度。

执行云安全警报系统

如上面所讲的一样,能对第一,第二或第三层警报的构成内容有清晰的了解是评估你所在组织的警报系统的最好方式。并且请记住,某家公司指定为一级的警报可能在你这里并不适用,所以请务必关注您所在的环境和使用案例的独特性。选择一个可以设定基准和提供基本的规则集的云安全解决方案,这样你可以花更少的时间去配置,而且有更多的时间来处理实际问题。

本文的版权归 用户1204935 所有,如需转载请联系作者。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏平凡文摘

Java 虚拟机:什么是 Java

1104
来自专栏大宽宽的碎碎念

分布式系统如何定位压力问题监控监控什么呢实际的压力问题怎么发生的我用的工具

2766
来自专栏Java架构

前阿里P8架构师:精准定制Java架构师学习计划!

可以说,Java是现阶段中国互联网公司中,覆盖度最广的研发语言,掌握了Java技术体系,不管在成熟的大公司,快速发展的公司,还是创业阶段的公司,都能有立足之地。

1404
来自专栏CSDN技术头条

说实话,分布式系统的复杂度远大于它的好处

最近,有一位酷酷的程序员小哥(由网站头像可得)在Hacker Noon网上发表了一篇名为《全面解析分布式系统》的文章。和以往烂大街的分布式教程不太一样,这位小哥...

842
来自专栏Java架构

前阿里P8架构师:精准定制Java架构师学习计划!

可以说,Java是现阶段中国互联网公司中,覆盖度最广的研发语言,掌握了Java技术体系,不管在成熟的大公司,快速发展的公司,还是创业阶段的公司,都能有立足之地。

702
来自专栏智能计算时代

Salesforce架构师的网络最佳实践

对于在Salesforce平台上实现应用程序的架构师或开发人员来说,在分析应用程序性能时,网络性能测试变得越来越重要。本指南涵盖了帮助您识别风险并找到网络相关挑...

462
来自专栏SDNLAB

SDN实战团分享(十四):网络设备自动化遇到的问题与思考

我一直是做网络的,而且是大家常说的物理网工。 干了16年。虽然,刚刚毕业哪会干了几年的DBA 和SA 的工作。后来就一直在做网络。 企业网,城域网,骨干网都算是...

3636
来自专栏开源项目

运维不仅仅是 Linux,居然还要知道这么多?

运维不仅仅是懂Linux就行,因为还有一大部分的Windows运维,向windows运维人员致敬。 当然我们这篇文章不是说运维除了懂Linux,还要懂Windo...

3337
来自专栏林喜东的专栏

程序世界里的不信任原则

人与人之间最重要的是信任,但程序的世界里,可能信任越少越好;我越发觉得越是高性能高可用的系统里,不信任原则会体现得更加淋漓尽致。

1.7K5
来自专栏Golang语言社区

7大决定决定服务器性能的指标,你测试过几个?

一,服务器PING值 PING测试在一定程度上可以代表服务器的宽带速度。 使用站长工具提供的Ping服务(http://ping.chinaz.com),来测试...

3415

扫码关注云+社区