云日志 安全事件可產生大量數據。本文中專家Dave Shackleford討論了如何過濾它并獲得重要的安全事件。

隨著開發和運營團隊不斷把資源遷移向云端，企業對于基于云的服務也使用越來越多，致使安全團隊不得不時刻準備應用對不預期的問題——大量新的預警和事件。

來自云訪問安全中介Skyhigh Networks的最新報告，對不斷增長的云文件共享和協作服務，以及對安全團隊面臨的新問題提供了一些觀點，即從所有事件中以“影子IT”和疲勞預警形式展示。

報告指出，根據Skyhigh的客戶調查，企業平均 每月產生約27億個云事件，而文件共享/協作活動一直是這個數字激增的最大原因。報告還發現，這些云事件中的2,500構成了“異常”事件，其中只有23個是實際的安全事件。有了這樣的量，安全團隊比以往任何時候都更加努力，過濾掉噪音，并響應合法的安全事件和可疑事件。

對云日志排序

首先，也是最明顯的，安全分析師需要做的事是從所有相關的云環境中收集日志。同時，分析師要確保所有云日志都進入到了一個常見的位置。

大部分云服務提供商允許用戶從他們的環境中下載日志，或從專門的存儲節點，如亞馬遜的CloudTrail 或谷歌的Stackdriver Logging。現今，還有許多云適用的安全事件聚合和分析平臺，包括Splunk Cloud、Sumo Logic、Loggly和Papertrail。這些服務給團隊提供了一種簡單的方法 ，來從多個云服務中收集日志，并且通常這些服務 通過提供的API更容易集成。

一旦收集并聚合的云日志后，分析人員需要篩選各類事件，并開始對它們進行優先級排序。對此，有幾個關鍵點需要注意。

添加上下文：如果云日志可以“標記”為來自特定服務提供商，那么這可以幫助提供關于服務用例的上下文。 例如，來自Salesforce.com的日志將關注用戶活動和身份驗證，以及環境中的管理更改。在Amazon Web Services或Azure中，將有更多變化的活動，以及更多不同類型的用戶和角色。

定義優先級：專注于云的安全分析師必須決定哪些事件和行為是最重要的監視。常見的起點包括對云管理控制臺的所有登錄活動; 對重要云對象和數據的任何更改或嘗試更改; 以及憑證或加密密鑰的任何創建、刪除或修改。

調整警報：雖然這看起來很常見，但一般來說，調整對于云記錄和事件管理來說是非常重要的。抑制冗余警報——那些完全可以自操作的警報以及與安全無直接關系的警報。為了在環境中建立合適的行為準線，分析人員可能需要幾周或幾月的數據積累。另外，也要調整每周監控過程的常規部分。

關注帳戶：剩余用戶帳戶和數據是云中的一個大問題。與人力資源團隊密切合作，快速停用云帳戶，并在用戶離開企業后，至少幾周內監控所有嘗試登錄到已停用或已刪除的帳戶的行為。在員工離開之前監控用戶帳戶活動是一個不錯的主意。這將確保離職員工不會一起帶走公司的數據；還要尋找突然增加的數據導出或整體帳戶使用。

云事件的最終聚焦區域應該是云活動的發起點。對許多人來說，在沒有業務或用記的新國家或地點登錄，都將視為非常高優先級的警報，許多云日志中包含足夠的詳細信息來記錄登錄位置。在減少噪聲的同時監視云日志以獲取這類有價值的信息將極大地有利于安全團隊及其組織。