Centralisera åtkomsten till säkerhetsloggar (Secure Future Initiative)

Pelarnamn: Övervaka och identifiera hot
Mönsternamn: Centralisera åtkomsten till säkerhetsloggar

Säkerhetsloggar är viktiga för övervakning av hot och stöd för undersökningar, men utan centralisering och standardisering kan de skapa mer hanteringskostnader och långsamma svarstider. Microsoft har hanterat dessa utmaningar genom att centralisera loggåtkomst, standardisera datainsamling och utöka kvarhållningsperioder, vilket möjliggör snabbare och effektivare undersökningar. Dessa åtgärder, tillsammans med AI-baserad identifiering och utökad loggkvarhållning för kunder, förbättrar övergripande säkerhets- och kriminaltekniska funktioner.

Kontext och problem

Säkerhetsloggar är viktiga verktyg för säkerhetspersonal, eftersom de visar vem som har åtkomst till vad, när och hur. Loggar stöder kontinuerlig övervakning av hotaktivitet, påskynda incidenthantering och tillhandahålla kriminaltekniska poster för säkerhetsutredningar.

Men utan centralisering och standardisering kan loggar skapa fler problem än de löser. Inkonsekventa format, olika lagringsplatser och variabel kvarhållningsperioder gör det svårt att snabbt pussla ihop en fullständig bild av ett angrepp. På Microsoft bromsades utredningarna av fragmenterade loggkällor och kvarhållningsluckor som gjorde att säkerhetsteamen inte kunde spåra inledande åtkomstpunkter eller laterala rörelsevägar.

Lösning

Som en del av SFI centraliserade Microsoft åtkomsten till säkerhetsloggar och utökade kvarhållningsprinciper. Viktiga åtgärder är:

  • Standardiserat säkerhetsloggningsbibliotek: Säkerställer konsekvent datainsamling mellan tjänster, vilket minskar luckor i observerbarheten.

  • Centraliserad loggsamling: Specialiserade undersökarkonton ger enhetlig åtkomst till loggar mellan tjänster, vilket förenklar korrelationen och påskyndar utredningar.

  • Utökad loggkvarhållning: Granskningsloggar som bevarats i upp till två år i Microsoft-tjänster för att möjliggöra kriminalteknisk undersökning av långsiktiga attackmönster.

  • Avancerad identifieringsanalys: Integrering av maskininlärning och AI-baserade modeller förbättrar identifieringen av komplexa attacktekniker och minskar falska positiva identifieringar.

  • Utökad kundloggning: Microsoft ökade standardkvarhållningen av granskningsloggar för Microsoft 365-kunder till 180 dagar, med alternativ för längre kvarhållning.

Vägledning

Organisationer kan använda ett liknande mönster med hjälp av följande användbara metoder:

Användningsfall Rekommenderad åtgärd Resource
Standardiserad loggning
  • Använd Microsoft Purview-granskningslösningen för Microsoft Entra- och Microsoft 365-programloggar (till exempel Exchange Online, SharePoint, OneDrive).
  • Implementera ett vanligt loggbibliotek för program och tjänster för att framtvinga konsekventa fält (identitet, åtgärder, tidsstämplar).
Central logglagring
  • Använd Microsoft Sentinels datasjö för att transformera SIEM med AI och enhetliga säkerhetsdata.
  • Dirigera alla säkerhetsloggar till en central lagringsplats som är tillgänglig för behöriga utredare.
  • Centralisera åtkomsten till loggar med Azures Monitor och Log Analytics för att minska blinda fläckar.
  • Använd Microsoft Sentinels siem-lösning (säkerhetsinformation och händelsehantering) för att förbättra synligheten och kontexten för säkerhetsloggar och data, hotundersökningar och svar.
Kryptering och oföränderlig lagring
  • I Azure Monitor kan du skydda loggdata under överföring och kryptera Log Analytics-data i vila i Azure Storage med hjälp av Microsoft-hanterade nycklar (MMK)
  • Kryptera loggar under överföring och i vila och lagra dem oföränderligt för att bevara den kriminaltekniska integriteten med hjälp av Microsoft Sentinels datanivåindelning för kostnadseffektiv kvarhållning.
  • Vi rekommenderar att du använder oföränderlig för att skydda mot överskrivningar och borttagningar.
Realtidsövervakning
  • Konfigurera kontinuerlig övervakning och aviseringar med Azure Monitor och Microsoft Sentinel för att identifiera luckor i misstänkt aktivitet eller loggningstäckning.
  • I Azure Monitor och Log Analytics kan du övervaka, förbättra loggningstäckningen och varna om misstänkta aktiviteter med hjälp av KQL-frågor och aviseringsregler
  • Microsoft Sentinel tillhandahåller avancerade funktioner för övervakning och identifiering, till exempel logginmatning i realtid, analysregler för att titta på inmatade data, loggmatchning mot hotinformation, aviseringsgruppering i incidenter och funktioner för säkerhetsorkestrering, automatisering och svar (SOAR).
Avancerad analys
  • Korrelera loggar mellan tjänster med AI/ML och integrera med hotinformationsflöden.
  • Korrelera loggar i Azure Monitor och Log Analytics med hjälp av KQL-frågor för att ansluta signaler mellan datakällor.
  • Tillämpa avancerad analys i Microsoft Sentinel med fördefinierade regelbibliotek som mappar till vanliga attackmönster, användar- och entitetsbeteendeanalys (UEBA) för avvikelseidentifiering, AI-baserad aviseringskorrelation, ML-driven avvikelseidentifiering och loggar som berikats med hotinformation.
Granska kadens
  • Genomför kvartalsvisa granskningar för att verifiera täckning, kvarhållningsefterlevnad och pipelineintegrering.
  • Optimera SOC-processer med Microsofts bästa praxis och vägledning om säkerhetsåtgärder.

Fördelar

  • Förbättrad synlighet: Ger säkerhetsteam en enhetlig vy över aktiviteter mellan identiteter, infrastruktur, program och slutpunktsenheter.
  • Snabbare undersökningar: Utredare kan korrelera händelser mellan tjänster utan manuella sökningar eller formatkonvertering.
  • Kriminalteknisk beredskap: Utökad kvarhållning säkerställer att säkerhetsteam kan analysera långsiktiga attackkampanjer.
  • Proaktiv identifiering: AI-drivna analyser upptäcker framväxande attackmönster tidigare.
  • Regleringsjustering: Stöder efterlevnad av standarder som kräver centraliserade, behållna granskningsbevis.

Kompromisser

  • Ökade lagringskostnader: För att utöka kvarhållnings- och centraliseringsloggarna krävs skalbar infrastruktur.
  • Åtkomststyrningens komplexitet: Centraliserade utredningskonton måste kontrolleras strikt för att förhindra missbruk.
  • Driftkostnader: Teams måste underhålla loggbibliotek, pipelines och övervakningsverktyg för olika tjänster.
  • Signal-till-brus-balans: Centraliserad loggning ökar datavolymen, vilket kräver investeringar i avancerad filtrering och analys.

Viktiga framgångsfaktorer

Mät följande för att spåra framgång:

  • Procentandel tjänster som använder det standardiserade loggningsbiblioteket.
  • Antal pipelines och tjänster som framgångsrikt vidarebefordrar loggar till det centrala arkivet.
  • Genomsnittlig tid för att undersöka (MTTI) minskas med centraliserad åtkomst.
  • Kompatibilitet med kvarhållningsstandarden för två års granskningsloggar.
  • Förbättringar av identifieringsprecision från AI/ML-förbättrad analys.

Sammanfattning

Genom att centralisera åtkomsten till säkerhetsloggar omvandlas fragmenterade övervakningsdata till användbar intelligens. Genom att standardisera loggformat, konsolidera samlingen, utöka kvarhållningen och tillämpa AI-driven analys har Microsoft förbättrat både hastigheten och effektiviteten i hotidentifieringen och undersökningen.

Organisationer kan använda den här metoden genom att säkerställa konsekventa loggformat, framtvinga central lagring och oföränderlighet, utöka kvarhållningen för kriminalteknisk beredskap och integrera loggar med avancerade analysplattformar. De här stegen gör det möjligt för säkerhetsteamet att övervaka och identifiera hot med tydlighet och precision---omvandla loggar från spridda poster till en kraftfull, enhetlig säkerhetsförmåga.

Centralisera dina säkerhetsloggar idag för att minska blinda fläckar, påskynda undersökningar och ligga steget före de hot som utvecklas.

  • Last updated on