透過 Microsoft Azure Sentinel 大舉強化 Microsoft 的網路安全攻擊回應能力
您是否發現愛用的工具已跟不上自身的成長腳步?對 Microsoft 而言,內部部署的安全性資訊和事件管理 (SIEM) 系統,正面臨著相同的問題。好在有 Microsoft Azure Sentinel 及時鼎力相助,才得以順利度過難關。
舊版 SIEM 的原訂上限為每日 100 億個事件。我們已開始運用其他解決方案擴大安全性監控的涵蓋範圍。
– Microsoft 數位部門資深方案經理 Mei Lau
身為大型企業,Microsoft 的架構相當龐大。根據我們觀察,網路上存在許多惡意流量,每天衍生超過 200 億個網路安全事件。在這股數量驚人的雜訊之下,找出真正的威脅變得難上加難。好在,本公司改採 Microsoft Azure Sentinel,憑藉雲端和人工智慧的強大威力,駕馭層出不窮的網路安全事件。
Microsoft 數位部門專門推動 Microsoft 內部的支援、保護和革新方案,該部門的資深方案經理 Mei Lau 肩負重任,負責將 Microsoft 的舊版 SIEM 移轉至雲端架構的 Microsoft Azure Sentinel。她表示:「舊版 SIEM 的原訂上限為每日 100 億個事件。我們已開始運用其他解決方案擴大安全性監控的涵蓋範圍。」
如果發生容量不足,即有可能導致最糟的情況,正因如此,Lau 的團隊決定與 Microsoft Azure Sentinel 產品團隊攜手合作,以測試和試驗新的安全性監控系統,當中涵蓋多項有助於節省時間的現代化解決方案,可協助安全性分析人員輕鬆快速地連接和查詢資料集。
Lau 指出:「在擷取資料上,舊版 SIEM 需花費數小時之久。Sentinel 則只需 10 分鐘左右,速度加快 18 倍之多。」
現在,他們已準備將雲端架構版本的 SIEM,部署至 Microsoft 內部的各個安全性作業中心 (SOC) 內。Microsoft Azure Sentinel 團隊與 Microsoft 數位部門 (負責為 Microsoft 提供企業 IT 功能,包括安全性) 聯手出擊,導入了多項有助於節省時間的現代化解決方案,以協助安全性分析人員輕鬆快速地連接和查詢資料集。更棒的是,雙方也大舉運用雲端運算的強大威力。
[探索 Microsoft 如何運用零信任保護自身網路安全。了解 Microsoft 如何透過提高權限的帳戶確保安全性。]
與適當的合作夥伴攜手修正問題
若能協助對方獲致成功,勢必可讓廣大的客戶從中受惠,畢竟,客戶經常面臨著相同的挑戰和需求。
– Microsoft Azure Sentinel 產品團隊首席專案經理 Laura Machado de Wright
Lau 表示:「Azure Sentinel 善加運用了 Azure 平台所提供的每項自動化和擴充功能。」
Microsoft 數位部門和 Microsoft Azure Sentinel 團隊密切合作,讓兩大需求同時迎刃而解。
Microsoft Azure Sentinel 產品團隊首席專案經理 Laura Machado de Wright 解釋:「對方可享有 Azure Sentinel 帶來的事件回應優勢,本產品團隊則能透過與內部數位安全性團隊合作的機會,深入探索客戶的需求。若能協助對方獲致成功,勢必可讓廣大的客戶從中受惠,畢竟,客戶經常面臨著相同的挑戰和需求。」
有了這層協同合作關係,產品團隊就能加速了解企業級客戶的需求。
Machado de Wright 補充說明:「我們能與內部團隊密切合作,且更快速地反覆執行。這樣一來,就能在邀請外部客戶進行正式預覽之前,先行掌握其需求和意見回應。」
產品團隊可透過這些早期互動,及早調整可能對使用者造成干擾之處的細微,舉例來說,Microsoft 數位部門的部分安全性分析人員便發現:某個 Microsoft Azure Sentinel 的某個早期版本會發出許多冗長通知。
Lau 表示:「等到開始測試後,才會發現是否需要特定功能。正因如此,我們才能指出冗長的警示雜訊將對企業造成影響。」
對此,產品團隊導入了隱藏和匯總支援來防止警示疲勞,藉此降低 Microsoft Azure Sentinel 產生的雜訊量。
Lau 說明:「現在,我們可以使用這款出色產品來滿足我們的企業層級需求。」
凝聚眾人心力
Microsoft 數位部門的其中一個目標,就是將所有安全性作業團隊整合至以 Microsoft Azure Sentinel 構建的單一 SIEM 中。Machado de Wright 提到:「視涵蓋範圍而定,許多團隊都肩負保護 Microsoft 安全的重責大任。這些團隊會使用某些共通的解決方案,但許多安全性作業團隊則選擇自行建置解決方案,或運用協力廠商解決方案來管理安全性事件。有了 Azure Sentinel,他們就有機會優先成為 Microsoft 的理想客戶。」
使用 Microsoft Azure Sentinel 後,SOC 就能更輕鬆地開發策略和協調回應,以因應安全性威脅和事件。
Machado de Wright 提到:「即使他們只能看到整個謎團的冰山一角,Azure Sentinel 依舊能擷取來自不同內部團隊的資料,並建立偵測。隨後,則會運用自動化技術,將威脅和事件指派給適當的小組。」
Azure Sentinel 能連接多個來源,以實現豐富且涵蓋多重要素的偵測。
Lau 解釋:「多重要素可協助我們從多個來源汲取資訊,並加以比較。如此即可了解是否有人正透過不同方式攻擊我們。只要交互進行偵測和搜尋,就能輕而易舉掌握實際情況。」
將安全性作業團隊整合至 Microsoft Azure Sentinel 平台,也有利 Microsoft 數位部門旗下安全性團隊採取一致的部署策略。
Lau 表示:「很高興能與 Microsoft 內部的其他 SOC 合作。保護企業整體安全是我們共通的目標,而這也協助我們找出淘汰舊版 SIEM 後所應提供的同級關鍵需求。」
由於 Microsoft 已展開淘汰舊版 SIEM 的相關步驟,因此必須讓 Microsoft Azure Sentinel 及時完成部署。
為了移轉至 Azure Sentinel,產品團隊必須驗證同級功能是否已於新的安全性環境中上線。確保 Azure Sentinel 能對應不同團隊的需求,有助於讓一切水到渠成。
Machado de Wright 回憶:「有些團隊採用的監控系統相當成熟。我們需要依照優先順序處理相關事宜,並透過密切合作來了解對方的情境,才能滿足他們的期限需求。」
透過連接一切來加速實現成果
若要建置新的偵測系統,就必須連接多個資料來源。但在這之前,勢必得找出每個來源,並將其連接至分析引擎。
Lau 說明:「過去,我們需要了解資料的架構方法,才能著手建置軟體,以便連接事件管理系統。Sentinel 擁有廣大的生態系統,可透過高達 18 倍的速度,連接許多現成的資料連接器。」
這正是 Microsoft Azure Sentinel 用以加速和支援工程師和分析人員的主要方式之一。
Lau 表示:「如果資料量十分龐大,找出資料存取途徑將耗費大量的時間。不過,Azure Sentinel 能讓安全性分析人員快速執行開放式查詢,藉此找出存放庫中的資料存取途徑。」
在 Microsoft Azure Sentinel 中追蹤新的連接器或資料來源,現在僅需短短數秒鐘就能完成。省下大量的作業時間後,Microsoft 數位部門旗下安全性團隊就能重新排定工程資源的優先順序,並另行運用先前用以擴充基礎架構的人力。除了節省時間之外,Microsoft Azure Sentinel 導入的自動化作業也減輕 Microsoft 數位部門 SOC 分析人員的工作負擔。
從程式碼撰寫和部署的加快幅度,就能看出節省時間所帶來的成效。
Lau 提到:「速度堪比將程式碼推送至雲端,短短數分鐘就能完成。」
有了此一簡化程序,Microsoft 數位部門就能更妥善地控管變更,從而打造可持續整合和持續偵測的管道。
革新安全性的未來願景
Microsoft 數位部門並非 Microsoft Azure Sentinel 的唯一受惠者。
在開發期間,Microsoft 數位部門和 Microsoft Azure Sentinel 產品團隊也徵詢了其他企業客戶的意見。多虧有這些合作夥伴 (包括某間每日發生 90 億個安全性事件的全球零售商) 大力支援,最終產品才能順利成形。
Machado de Wright 表示:「有時,客戶提供的意見回應會彼此衝突。雖然無法有求必應,我們卻能詢問內部團隊是否會遇到相同的難題或情境,繼而深入探索。」
拜 Microsoft 數位部門及其合作夥伴之賜,Microsoft Azure Sentinel 團隊才能快速開發並推出產品,以因應現代化企業的擴充和安全性需求。
Machado de Wright 指出:「我們有機會接觸許多不同的角色,例如分析人員、工程師、經理和眾多安全性作業團隊。光是能與對方坐下來討論一番,就足以加快整體進度。」
此外,Microsoft Azure Sentinel 也備有多款值得探索的新功能。
舉例來說,可以透過新的方式連接資料集並與其互動,現在,Microsoft 數位部門可搭配機器學習技術來使用新的工具。在這方面,Lau 也補充道:「我們正在將最複雜的幾項偵測功能移轉至 Azure Sentinel。」
對於和 Microsoft 一樣已採用 Microsoft Azure Stack 的企業客戶而言,採用雲端架構的安全性工具,絕對是理所當然的選擇。
Lau 表示:「我們已經在使用 Azure。現在,則能使用這款出色產品來滿足我們的企業層級安全性需求。安全性作業團隊無需離開 Sentinel,就能查詢不同的 Azure 資料總管叢集,以及其他具備權限的工作區。如此一來,就能在單一平台中完成調查工作。」
了解 Microsoft 如何透過提高權限的帳戶確保安全性。
欲了解原文,請至微軟官方部落格
