Kvarhållningsstandarder för säkerhetsloggar (Secure Future Initiative)

Pelarnamn: Övervaka och identifiera hot
Övningsnamn: Kvarhållningsstandarder för säkerhetsloggar

Säkerhetsloggar är avgörande för hotidentifiering och incidentundersökning, men deras effektivitet är beroende av olika faktorer, inklusive format och kvarhållningsperiod. För att förbättra åtgärderna för hotidentifiering och incidentundersökning förbättrar metoden för kvarhållningsstandarder för säkerhetsloggar säkerhetsloggen genom att standardisera format, centralisera lagring och utöka kvarhållningsperioder.

Kontext och problem

Säkerhetsloggar spelar en viktig roll för att identifiera hot, undersöka incidenter och upprätthålla efterlevnad. Microsoft identifierade dock flera utmaningar som begränsade effektiviteten i säkerhetsloggning mellan tjänster:

  • Inkonsekventa loggningsformat gjorde det svårt för utredare att snabbt tolka och korrelera data.
  • Olika logglagring skapade fördröjningar i hotsvaret genom att kräva att utredare manuellt söker i olika system.
  • Variabel kvarhållningsperioder lämnade luckor i den kriminaltekniska analysen, vilket förhindrar en fullständig förståelse för hur attacker utvecklades över tid.

Utan standardiserade loggformat, centraliserad loggåtkomst och konsekvent kvarhållning av loggar stod incidentsvararna inför betydande kognitiv belastning, vilket ledde till längre undersökningscykler och minskad identifieringseffektivitet.

Lösning

För att lösa dessa problem implementerade Microsoft en omfattande översyn av sin säkerhetsloggningsmetod, med fokus på tre viktiga områden: standardisering, centralisering och utökad kvarhållning. Dessa insatser utfördes inom ramen för Secure Future Initiative (SFI) som en del av pelaren för övervakning och upptäckt av hot.

Viktiga komponenter i Microsofts metod var:

  • Utvecklade ett standardbibliotek för säkerhetsloggning för att förena loggningsmetoder mellan tjänster, minska luckor i telemetri och aktivera konsekvent dataformatering.
  • Centraliserad loggåtkomst genom att upprätta en plattform för logghantering mellan tjänster, vilket gav säkerhetsutredarna enhetlig åtkomst och synlighet.
  • Utökade loggkvarhållningsperioder till två år för de flesta Microsoft-använda tjänstinstanser för att möjliggöra långsiktiga kriminaltekniska undersökningar och identifiering av beständiga hot.
  • Integrerade loggar med avancerade system för hotidentifiering, inklusive maskininlärningsmodeller och AI-driven analys, för att identifiera avvikelser och påskynda identifieringen.

Tillsammans möjliggör dessa ansträngningar effektivare och skalbara säkerhetsåtgärder i Microsofts miljöer samtidigt som transparensen för externa kunder förbättras genom utökade loggningsfunktioner.

Vägledning

Organisationer kan använda ett liknande mönster med hjälp av följande användbara metoder:

Användningsfall Rekommenderad åtgärd Resurs
Standardisera logggenerering
  • Anta ett centraliserat loggningsbibliotek med konsekventa fält.
  • Identifiera och fylla i telemetriluckor mellan tjänster och API:er.
 Säkerhetsloggning och granskning i Azure
Centralisera lagring och åtkomst
  • Använd ett centraliserat logghanteringssystem (t.ex. Azure Data Explorer och Sentinel).
  • Se till att säkerhetsteamen har lämplig åtkomst för att visa och utföra frågor mot relevanta loggar från ett samlat gränssnitt.
Utöka och automatisera kvarhållning
  • Definiera kvarhållningsperioder baserat på hotprofiler, risktolerans och efterlevnad.
  • Skydda loggar med hjälp av kryptering, oföränderlighet och åtkomstkontroller för att förhindra manipulering.
  • Automatisera arbetsflöden för kvarhållning och borttagning för att säkerställa konsekvens och efterlevnad.
Förbättra identifieringen via analys
  • Korrelera loggar med hotinformationsflöden och berika dem med kontextuella metadata.
  • Använd verktyg för maskininlärning och avvikelseidentifiering (t.ex. Microsoft Sentinel) för att identifiera nya hot och misstänkta beteenden.
  • Granska och förfina identifieringsmodeller regelbundet för att hålla jämna steg med nya attacktekniker.
 Arbeta med analysregler för avvikelseidentifiering i Microsoft Sentinel
Övervaka och granska loggningstäckning
  • Inventera alla tjänster och säkerställa fullständig API-loggningstäckning.
  • Utför regelbundna granskningar för att utvärdera loggningsefterlevnad, identifiera regressioner och framtvinga principefterlevnad.
 Azure API Center

Utfall

Microsofts förbättrade metod för loggkvarhållningsstandarder har lett till:

Fördelar

  • Högre signalåtergivning: Standardiserade loggar eliminerar brus och effektiviserar identifieringspipelines.
  • Förbättrad undersökningshastighet: Centraliserad åtkomst minskar tiden som ägnas åt att hitta och tolka loggar.
  • Förbättrad kriminalteknisk beredskap: Längre kvarhållning säkerställer att fullständiga tidslinjer för incidenter är tillgängliga.
  • Skalbar analys: Konsekventa format gör det möjligt för maskininlärning att identifiera misstänkta beteenden mer effektivt.

Kompromisser

  • Betydande teknisk ansträngning för att uppdatera telemetribibliotek och logggenerering över distribuerade tjänster.
  • Samordning mellan team för att framtvinga efterlevnad av nya standarder och kvarhållningsprinciper.
  • Investeringar i skalbar och säker infrastruktur som stöder centraliserad lagring och långsiktig kvarhållning av loggdata.
  • Högre lagrings- och beräkningskostnader som associeras med utökad loggkvarhållning accepteras, vilket uppstår om kunderna överskrider standardgränserna.

Viktiga framgångsfaktorer

För att spåra effektiviteten i din kvarhållningsstrategi för loggar, mät:

  • Procentandel tjänster och API:er som använder standardloggningsbiblioteket
  • Procentandel centraliserad loggningstäckning i olika miljöer
  • Genomsnittlig tid för att identifiera och svara på hot före och efter standardisering
  • Efterlevnad av varaktighet för loggkvarhållning med interna principer och föreskrifter
  • Noggrannhet och volym av hotdetektioner som utlöses från logganalys

Sammanfattning

En omfattande loggningsstrategi är en grundläggande möjliggörare för Säker efter design, Säker som standard och Säkra åtgärder i Microsofts Secure Future Initiative.

Microsofts erfarenhet visar att med rätt mönster och metoder:

Organisationer som implementerar standardiserad, centraliserad och utökad loggkvarhållning kan avsevärt förbättra sina funktioner för hotidentifiering, påskynda undersökningar och upprätthålla en starkare säkerhetsstatus. Kvarhållning av säkerhetsloggar är inte bara en kryssruta för efterlevnad – det är en strategisk investering i driftsresiliens.

Börja standardisera och skala dina loggkvarhållningsinsatser idag – och ge säkerhetsteamen den synlighet och hastighet de behöver för att ligga steget före de hot som utvecklas.

  • Last updated on