Azure Sentinel增加AI驱动SIEM以加强云安全

日期: 2019-03-10 作者:Chris Kanaracus翻译:邹蔚 来源:TechTarget中国 英文

微软确信其最新的公共云工具将提升其Azure云平台的安全性,并可赶超竞争对手,例如AWS和谷歌。

微软的新工具是指Azure Sentinel,目前处于预览状态,这是安全信息和事件管理(SIEM)工具,它利用机器学习算法来查明并识别海量警报中最可怕的威胁。该工具部分依赖于Azure Monitor,其中包含一个日志分析数据库,每天吸收超过10 PB的信息。它使用标准日志格式,例如syslog和公共事件格式。

Azure Sentinel的目标是减少警报疲劳,安全分析师通常要在大量警报数据中“大海捞针般”发现最紧迫的威胁,这很容易出现疲劳。微软在一篇博客文章中表示,他们采用的算法可剔除数以百万计的低保真异常,并可识别并呈现一些高保真的安全事件,这种算法采用微软为其云服务开发的机器学习模型。

数据科学家还可通过Azure机器学习服务向Sentinel添加自己喜欢的模型。此外,Azure Sentinel还提供了一套主动狩猎查询,这些查询源自Microsoft内部事件响应团队。

客户可使用Azure Notebooks来为威胁建模,Azure Notebooks是基于Jupyter开源数据可视化项目。Azure Sentinel通过预定义或定制的自动威胁响应功能。

Sentinel是在Azure上本地构建的,采用按需付费模式。据微软称,与传统SIEM系统相比,这是优势,因为它们消除了设置和管理的复杂性,并可以控制成本。

它集成了Fortinet、Symantec和Check Point等供应商的第三方安全平台,以及Microsoft的Graph Security API。客户可以使用后者重新利用现有威胁情报源并创建自定义检测和警报规则。

微软表示,企业现在可以免费尝试Sentinel预览版,他们稍后将公布具体价格。为了吸引现有客户群体,微软将允许客户免费将其Office 365活动数据移动到Azure Sentinel。该工具还可以从第三方应用程序源中提取数据,以全面了解安全威胁。

Azure Sentinel提供GUI,安全团队可以使用它来跟踪威胁并采取防御措施。

Azure Sentinel可能面临一场艰苦的战斗

在某些方面,Sentinel与Amazon GuardDuty很类似,后者是一种威胁检测服务,可扫描客户AWS账户中的恶意活动。与Sentinel一样,GuardDuty将机器学习和警报整合到其控制台和Amazon CloudWatch Events中,让团队可以采取措施。

我们不应该将GuardDuty归类为SIEM,然而,安全咨询和研究公司Securosis的分析师兼首席执行官Rich Mogull表示:“这更像是威胁情报源,你会希望将其发送给SIEM。”

同时,谷歌云提供Stackdriver,这是一种更通用的监控和日志记录服务,而第三方提供商如Sumo和Splunk则提供基于云的SIEM。

至于Sentinel, Mogull说:“我们需要了解它在客户手中的效果如何,以及它是否能够取代现有的SIEM和SOC [安全运营中心]。”

微软还必须谨慎小心,不要让客户混淆,并让客户了解Azure Sentinel如何与现有产品关联或补充现有产品。

Mogull称:“像Sentinel这样的云原生SIEM很棒,但我需要使用它吗?我是否使用Azure安全中心?我是否同时使用它们?为什么不整合这些?这是一个混乱的市场。”

451 Research分析师Eric Ogren表示,企业IT部门对基于云的SIEM有着强烈的需求,Splunk等公司的财务业绩可证明这一点。然而,从历史上看,SIEM是大型企业或高度监管行业的企业才会购买的昂贵物品。

Orgren称:“我不认为微软和Sentinel会立即争夺大客户,这里需要时间来弄清楚如何正确地利用SIEM。”

然而,如今对网络安全的担忧加剧意味着Azure Sentinel等产品面临较少的认知问题。它也可能吸引那些喜欢Azure Sentinel的订阅定价模型和托管方面的小公司。

他指出:“五年前,安全工作人员非常抵触将安全数据传输到云端,而现在,这种抵制已基本消失。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹蔚
邹蔚

相关推荐

  • 云时代:“SIEM即服务”,你怎么看?

    向云服务的迁移给试图应对海量数据的企业带来不少挑战。而新出现的“SIEM即服务”的出现展示出,云安全领域是动态变化的,而且在此领域更为有趣的许多发展都有望在未来几年崭露头角。

  • SIEM功能如何用于实时分析?

    很多企业主要依靠安全信息和事件管理技术(SIEM)来生成周期性、集中的安全报告,这些报告用于合规性目的以及对攻击事件事后检测及调查。不过,大多数SIEM平台其实还能够执行实时分析……

  • QRadar SIEM:以安全智能保护企业资产和信息远离高级威胁

    IBM Security QRadar SIEM 可整合在网络各处分散的数千个设备、终端和应用中的日志源事件数据。它对原始数据执行直接的标准化和关联化活动,以区分实际威胁和错误判断。

  • 购买SIEM产品前 你需先想清楚这7个问题

    对于企业来说,确定要评估哪些产品已经是相当大的挑战,更遑论选择最适合特定企业或部门的产品。SIEM评估过程应包括创建标准清单,以列出企业特别需要考虑的SIEM功能。