如果企业做好准备,云中的事件响应将很简单

如果企业做好准备,云中的事件响应将很简单

作者:HERO编译 2022-08-22 10:46:19

云计算

混合云 云中的默认日志仪表板并不是为事件响应调查而构建的。这就是GCP Chronicle和Azure Sentinel等SIEM解决方案存在于每个主要云平台上的原因。这些解决方案增强了可以使云中的事件响应变得简单的原生功能,其前提是这些功能被启用。

如果企业已经将业务转向云计算,AWS和Microsoft 365可以提供的灵活性和可扩展性服务将获得额外的收益。云中的事件响应远比内部部署事件响应简单。

但是有一个问题:需要执行事件响应的所有工具都驻留在企业最喜欢的云计算提供商和SaaS产品的平台中,因此需要进行一些初始设置,以便为灾难事件做好准备。

集中日志记录

云中的默认日志仪表板并不是为事件响应调查而构建的。这就是GCP Chronicle和Azure Sentinel等SIEM解决方案存在于每个主要云平台上的原因。这些解决方案增强了可以使云中的事件响应变得简单的原生功能,其前提是这些功能被启用。

利用云的内置事件,首先要集中所有日志记录。

在通常情况下,可以记录两种操作:

·“读取”操作无需修改即可揭示有关云计算环境及其组件的信息。

·“写入”操作对环境进行更改,例如创建新帐户、添加新用户和部署服务。

记录修改云计算帐户的“写入”操作对于检测至关重要。但对于事件调查来说,这还不够。彻底的事件响应需要能够查看威胁参与者采取的全部行动范围,其中包括“读取”和“写入”事件。

设置完全集中的日志记录至关重要,维护也是如此。这需要检查数据的健康状况和覆盖范围。

人们经常发现在中央日志记录解决方案中限制日志记录以降低成本。与此同时,客户团队可能会假设拥有一套完整的日志,因为随着企业的一些员工离职而失去了对这些限制的了解。如果企业面临与成本相关的问题,建议实施将筛选出的日志存储在冷存储中的程序,以便在需要时将其引入集中式日志记录解决方案。

不能指望云计算提供商

几乎所有云计算提供商都允许用户使用其默认日志门户从特定时间跨度下载操作。但研究发现,这些云计算提供商的门户虽然不断更新,但在较长时间内对下载的完整性存在限制。在下载之后,必须以某种方式处理日志以进行分析,如果正在响应活动事件,这可能会造成重大障碍。

此外,大多数云计算日志门户都对按需下载进行了限制,以保护所有客户端的日志服务的整体可用性。如果企业有一个相当大的云计算环境,这可能是一个大问题。

在最好的情况下,缺少集中式日志会落后一个小时,而这一个小时可能对企业的响应至关重要。这就是为什么所有云服务仍然需要集中日志记录的原因。

默认日志记录是不够的

在通常情况下,企业在云帐户之上使用的服务是将遭受网络事件影响最大的地方。不幸的是,这些服务中很少有默认情况下启用日志记录。

还应特别考虑云中使用的服务的日志记录。这可能需要定义简单的配置,这需要一些时间。但是,未能在这些服务上设置日志记录的成本可能很高。

考虑一个未启用日志的情况,并且AWS S3存储桶已被错误地公开。当监管机构询问企业谁访问了这些数据时,可能将无法回答,因为证据不存在。这可能会让企业面临巨额罚款或带来更多的后果。

标记和映射资产

内部部署事件响应最困难的部分之一是跟踪资产。这通常会阻碍响应者尝试优先考虑哪些计算机要保护或首先调查。

在云中,映射环境也比在内部部署网络中容易得多,可以在任何地方进行映射。证据收集也得到简化。使用云原生工具而不是第三方工具,可以在的家中/办公室捕获证据,而无需进入数据中心获取数据。但是,如果没有正确标记这些快照以帮助调查团队了解它们的场景,那么这些快照可能几乎毫无价值。

至少,云计算资源应标记有成本中心、负责人、相关服务以及这一云计算资源对服务的角色。如果没有这些信息,将浪费一些时间来尝试获取资源周围的场景。

例如,没有适当标记的卷快照很少提供调查所需的证据。对单个卷快照的调查可能很快成为对所有卷快照的审查,但将再次浪费时间。

建立响应者帐户

即使企业拥有所需的所有日志,其安全团队也可能无法访问它们。因此,需要在事件开始之前为其云计算环境创建响应者帐户。如果需要与外部供应商共享日志以获得第三方保证或支持,这些帐户将变得至关重要。

通过间接或只读的访问权限,这些响应者帐户可以访问日志和日志仪表板,并开始调查。这些帐户将无法对环境进行更改,并且需要与云计算管理员联系以直接修复威胁参与者。如果企业安全团队了解在云计算环境中更改策略和重置凭据的直接影响,那么对响应者帐户的直接访问可能是有意义的。

充分利用云计算的优势

传统的事件响应诞生于十多年前,当时操作系统的设计并未考虑到安全性。这要求调查人员依靠无意中留在系统中的证据。

使用云计算解决方案,那里有一个数据基线等待调查。例如,当检查AWS公司的泄露事件时,其调查几乎完全依赖于日志。在通常情况下,不会进行数字取证,其中涉及解析数字文件以找出数据泄露事件是如何发生的。这是因为与任何用户一样,威胁参与者在云计算环境中的行动受到限制。几乎所有的操作都在日志中。因此,调查依赖于相对完整且易于解析的数据源。

将云计算事件响应与内部部署事件响应进行比较,在这种情况下,证据可能不完整,并且格式各异,因此需要特定的解析工作,可能需要几天甚至几周的时间。

企业不可避免地会遭受网络攻击,通过事件响应做好准备节省的时间和资源将超过其本身的成本。没有采取这些步骤所带来的危害可能比任何事件持续得更久。

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/301793.html<

(0)
管理的头像管理
上一篇2025-05-24 12:13
下一篇 2025-05-24 12:14

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注