🥇 Cloud Nche nlekota

Ịbugharị data na ngwa na igwe ojii na-enye ihe ịma aka ọhụrụ maka ụlọ ọrụ SOC, nke na-adịghị adị njikere mgbe niile iji nyochaa akụrụngwa ndị ọzọ. Dabere na Netoskope, nkezi ụlọ ọrụ (nke doro anya na US) na-eji 1246 ọrụ igwe ojii dị iche iche, nke bụ 22% karịa otu afọ gara aga. Ọrụ igwe ojii 1246 !!! 175 n'ime ha metụtara ọrụ HR, 170 metụtara ahịa, 110 nọ na ngalaba nkwukọrịta yana 76 nọ na ego na CRM. Cisco na-eji "naanị" 700 ọrụ igwe ojii. Ya mere enwere m mgbagwoju anya na ọnụọgụ ndị a. Ma n'ọnọdụ ọ bụla, nsogbu ahụ abụghị na ha, ma n'eziokwu na igwe ojii amalitela iji ya mee ihe nke ọma site na ọnụ ọgụgụ na-arịwanye elu nke ụlọ ọrụ ndị ga-achọ inwe otu ikike maka nyochaa akụrụngwa igwe ojii dịka na netwọk nke ha. Na omume a na-eto eto - dị ka dị ka American Chamber of Accounts si kwuo Site na 2023, a ga-emechi ebe data 1200 na United States (6250 emechielarị). Ma mgbanwe na ígwé ojii abụghị naanị "ka anyị bugharịa sava anyị na onye na-eweta mpụga." Ihe owuwu IT ọhụrụ, ngwanrọ ọhụrụ, usoro ọhụrụ, mgbochi ọhụrụ ... Ihe a niile na-eweta mgbanwe dị ịrịba ama na ọrụ nke ọ bụghị naanị IT, kamakwa nchekwa ozi. Ma ọ bụrụ na ndị na-enye ọrụ amụtala n'ụzọ ụfọdụ ịnagide n'ịhụ na nchekwa nke ígwé ojii n'onwe ya (ọ dabara nke ọma na e nwere ọtụtụ ndụmọdụ), mgbe ahụ na igwe ojii nlekota oru nchekwa, karịsịa na SaaS nyiwe, e nwere nnukwu ihe isi ike, nke anyị ga-ekwu maka ya.

Ka anyị kwuo na ụlọ ọrụ gị ebugharịla akụkụ nke akụrụngwa ya na igwe ojii ... Kwụsị. Ọ bụghị otú a. Ọ bụrụ na ebufela akụrụngwa ahụ, ma ị na-eche naanị ugbu a ka ị ga-esi nyochaa ya, mgbe ahụ ị furu efu. Ọ gwụla ma ọ bụ Amazon, Google, ma ọ bụ Microsoft (ma na ndoputa), eleghị anya ị gaghị enwe ike iji nyochaa data na ngwa gị. Ọ dị mma ma ọ bụrụ na enyere gị ohere ịrụ ọrụ na ndekọ. Mgbe ụfọdụ, data mmemme nchekwa ga-adị, mana ị gaghị enwe ike ịnweta ya. Dịka ọmụmaatụ, Office 365. Ọ bụrụ na ị nwere ikikere E1 dị ọnụ ala, mgbe ahụ ihe nchekwa agaghị adị gị ma ọlị. Ọ bụrụ na ị nwere ikikere E3, echekwara data gị naanị ụbọchị 90, naanị ma ọ bụrụ na ị nwere ikike E5, ogologo oge ndekọ ahụ dị maka otu afọ (agbanyeghị, nke a nwekwara nuances nke ya metụtara mkpa ọ dị iche iche. Rịọ ọtụtụ ọrụ maka iji ndekọ sitere na nkwado Microsoft rụọ ọrụ). Site n'ụzọ, ikike E3 na-esiwanye ike n'ihe gbasara ọrụ nlekota karịa mgbanwe ụlọ ọrụ. Iji nweta otu ọkwa ahụ, ịchọrọ ikikere E5 ma ọ bụ ikike nnabata dị elu, nke nwere ike ịchọ ego agbakwunyere nke etinyeghị n'ụdị ego gị maka ịkwaga na akụrụngwa igwe ojii. Na nke a bụ naanị otu ihe atụ nke ilele okwu metụtara nleba anya nchekwa ozi igwe ojii. N'isiokwu a, n'emeghị ka ọ bụrụ nke zuru oke, achọrọ m ịdọrọ uche gaa na ụfọdụ nuances nke kwesịrị iburu n'uche mgbe ị na-ahọrọ onye na-eweta igwe ojii site na nche nche. Na njedebe nke isiokwu ahụ, a ga-enye ndepụta nlele nke kwesịrị imecha tupu ị tụlee na edozila okwu nke nlekota nchekwa ozi igwe ojii.

Enwere ọtụtụ nsogbu ndị na-eduga na ihe omume na gburugburu igwe ojii, nke ọrụ nchekwa ozi na-enweghị oge iji zaghachi ma ọ bụ na-ahụghị ha ma ọlị:

Ndekọ nchekwa adịghị. Nke a bụ ọnọdụ a na-ahụkarị, ọkachasị n'etiti ndị egwuregwu novice na ahịa ngwọta igwe ojii. Ma i kwesịghị ịhapụ ha ozugbo. Obere ndị egwuregwu, ọkachasị ndị ụlọ, na-enwe mmetụta karịa ihe ndị ahịa chọrọ ma nwee ike mejuputa ụfọdụ ọrụ achọrọ ngwa ngwa site n'ịgbanwe maapụ akwadoro maka ngwaahịa ha. Ee, nke a agaghị abụ ihe analog nke GuardDuty sitere na Amazon ma ọ bụ modul “Proactive Protection” sitere na Bitrix, mana opekata mpe ihe.
Nchekwa ozi amaghị ebe echekwara ndekọ ma ọ bụ enweghị ohere ịnweta ha. N'ebe a, ọ dị mkpa ịbanye na mkparịta ụka na onye na-ahụ maka ọrụ igwe ojii - ikekwe ọ ga-enye ozi dị otú ahụ ma ọ bụrụ na ọ na-ewere onye ahịa ahụ dị mkpa na ya. Mana n'ozuzu, ọ dịghị mma mgbe a na-enye ohere ịnweta ndekọ "site na mkpebi pụrụ iche."
Ọ na-emekwa na onye na-eweta igwe ojii nwere ndekọ, mana ha na-enye obere nlekota na ndekọ ihe omume, nke na-ezughị ezu iji chọpụta ihe niile merenụ. Dịka ọmụmaatụ, ịnwere ike ịnweta naanị ndekọ mgbanwe na webụsaịtị ma ọ bụ ndekọ nke mbọ nyocha onye ọrụ, mana ọ bụghị mmemme ndị ọzọ, dị ka okporo ụzọ netwọkụ, nke ga-ezonahụ gị ihe omume niile na-akọwa mbọ ị ga-emebi akụrụngwa igwe ojii gị.
Enwere ndekọ, mana ịnweta ha siri ike ịmegharị, nke na-amanye ha ka a na-enyocha ha ọ bụghị mgbe niile, kama na nhazi oge. Ma ọ bụrụ na ịnweghị ike ibudata ndekọ na-akpaghị aka, wee budata ndekọ, dịka ọmụmaatụ, na usoro Excel (dị ka ọtụtụ ndị na-enye ihe ngwọta igwe ojii), nwere ike iduga n'enweghị mmasị n'akụkụ nke ọrụ nchekwa ozi nke ụlọ ọrụ na-ejikọta ha.
Enweghị nlekota log. Nke a nwere ike bụrụ ihe na-edochaghị anya maka ihe omume nchekwa ozi na gburugburu igwe ojii. Ọ dị ka enwere ndekọ, ọ ga-ekwe omume ịmegharị ohere ịnweta ha, mana ọ nweghị onye na-eme nke a. Gịnị kpatara?

Echiche nchekwa igwe ojii ekekọrịtara

Mgbanwe na ígwé ojii na-achọ mgbe niile maka nguzozi n'etiti ọchịchọ ịnọgide na-achịkwa akụrụngwa ma na-ebufe ya na aka ndị ọkachamara nke onye na-eweta igwe ojii bụ ọkachamara na-echekwa ya. Na mpaghara nchekwa igwe ojii, a ga-achọkwa nguzozi a. Ọzọkwa, dabere na ụdị nnyefe ọrụ igwe ojii ejiri (IaaS, PaaS, SaaS), nguzozi a ga-adị iche mgbe niile. N'ọnọdụ ọ bụla, anyị ga-echeta na ndị niile na-eweta igwe ojii taa na-agbaso ihe a na-akpọ ọrụ nkekọrịta yana ụdị nchekwa nchekwa ozi. Igwe ojii na-ahụ maka ihe ụfọdụ, yana ndị ọzọ onye ahịa na-ahụ maka ya, na-etinye data ya, ngwa ya, igwe mebere ya na ihe ndị ọzọ na igwe ojii. Ọ ga-abụ ihe efu ịtụ anya na site na ịga na ígwé ojii, anyị ga-atụgharị ọrụ niile na onye na-eweta ya. Mana ọ bụkwa ihe amamihe na-adịghị na ya iji wuo nchekwa niile n'onwe gị mgbe ị na-aga n'igwe ojii. A chọrọ nguzozi, nke ga-adabere n'ọtụtụ ihe: - atụmatụ njikwa ihe egwu, ihe atụ egwu, usoro nchekwa dị n'aka onye na-eweta igwe ojii, iwu, wdg.

Dịka ọmụmaatụ, nhazi nke data akwadoro na igwe ojii bụ ọrụ mgbe niile nke onye ahịa. Onye na-eweta igwe ojii ma ọ bụ onye na-ahụ maka ọrụ mpụga nwere ike inyere ya aka na ngwaọrụ ndị ga-enyere aka akara data n'igwe ojii, chọpụta mmebi, ihichapụ data mebiri iwu, ma ọ bụ kpuchie ya site na iji otu ụzọ ma ọ bụ ọzọ. N'aka nke ọzọ, nchekwa anụ ahụ bụ mgbe niile ọrụ nke onye na-eweta igwe ojii, nke na-enweghị ike ịkọrọ ndị ahịa. Mana ihe niile dị n'etiti data na akụrụngwa anụ ahụ bụ kpọmkwem isiokwu a ga-atụle n'isiokwu a. Dịka ọmụmaatụ, nnweta ígwé ojii bụ ọrụ nke onye na-eweta ya, na ịtọlite iwu firewall ma ọ bụ ime ka izo ya ezo bụ ọrụ nke onye ahịa. N'isiokwu a, anyị ga-agbalị ileba anya n'ime usoro nlekota nchekwa ozi nke ndị na-eweta igwe ojii na-ewu ewu na Russia na-enye taa, kedu ihe njirimara nke ojiji ha, na mgbe ọ bara uru ileba anya na ngwọta mkpuchi mpụga (dịka ọmụmaatụ, Cisco E- mail Security) na-agbasawanye ike igwe ojii gị n'ihe gbasara cybersecurity. N'ọnọdụ ụfọdụ, karịsịa ma ọ bụrụ na ị na-agbaso atụmatụ igwe ojii, ị gaghị enwe nhọrọ ma ọ bụghị iji ngwọta nlekota nchekwa ozi mpụga n'ọtụtụ gburugburu igwe ojii n'otu oge (dịka ọmụmaatụ, Cisco CloudLock ma ọ bụ Cisco Stealthwatch Cloud). Ọfọn, n'ọnọdụ ụfọdụ ị ga-achọpụta na onye na-eweta ígwé ojii ị họọrọ (ma ọ bụ tinye gị n'ọrụ) anaghị enye ikike nlekota nchekwa ozi ọ bụla. Nke a adịghị mma, ma ọ bụghịkwa ntakịrị, ebe ọ na-enye gị ohere ịlele nke ọma ọkwa nke ihe ize ndụ metụtara ịrụ ọrụ na igwe ojii a.

Nlebanya nchekwa igwe ojii

Iji nyochaa nchekwa nke igwe ojii ị na-eji, ị nwere naanị nhọrọ atọ:

dabere na ngwaọrụ ndị na-eweta igwe ojii nyere gị,
jiri ngwọta sitere na ndị ọzọ ga-enyocha usoro IaaS, PaaS ma ọ bụ SaaS ị na-eji,
wulite akụrụngwa nlekota igwe ojii nke gị (naanị maka nyiwe IaaS/PaaS).

Ka anyị hụ ihe njirimara nke ọ bụla n'ime nhọrọ ndị a nwere. Mana nke mbụ, anyị kwesịrị ịghọta usoro izugbe nke a ga-eji mgbe ị na-elele nyiwe igwe ojii. M ga-egosipụta isi akụkụ 6 nke usoro nleba anya nchekwa ozi na igwe ojii:

Nkwadebe akụrụngwa. Ịchọpụta ngwa dị mkpa na akụrụngwa maka ịnakọta ihe dị mkpa maka nchekwa ozi n'ime nchekwa.
Nchịkọta. N'oge a, a na-ejikọta ihe nchebe site na isi mmalite dị iche iche maka nnyefe na-esote maka nhazi, nchekwa na nyocha.
Ọgwụgwọ. N'oge a, a na-agbanwe data ma mee ka ọ dịkwuo mfe iji kwado nyocha na-esote.
Nchekwa. Akụkụ a na-ahụ maka nchekwa obere oge na ogologo oge nke data anakọtara na nke raw.
Nyocha. N'oge a, ị nwere ike ịchọpụta ihe merenụ wee zaghachi ha ozugbo ma ọ bụ aka.
Na-akọ akụkọ. Oge a na-enyere aka ịmepụta isi ihe na-egosi ndị na-emetụta (njikwa, ndị nyocha, ndị na-eweta igwe ojii, ndị ahịa, wdg) na-enyere anyị aka ime mkpebi ụfọdụ, dịka ọmụmaatụ, ịgbanwe onye na-eweta ma ọ bụ na-ewusi nchekwa ozi ike.

Ịghọta akụkụ ndị a ga-enye gị ohere ikpebi ngwa ngwa n'ọdịnihu ihe ị nwere ike ịnara n'aka onye na-eweta gị, na ihe ị ga-eme n'onwe gị ma ọ bụ na-etinye aka na ndị ọkachamara n'èzí.

Ọrụ igwe ojii arụnyere n'ime ya

Edere m n'elu na ọtụtụ ọrụ igwe ojii taa anaghị enye ikike nlekota nchekwa ozi ọ bụla. N'ozuzu, ha anaghị etinye uche dị ukwuu na isiokwu nke nchekwa ozi. Dịka ọmụmaatụ, otu n'ime ọrụ ndị Russia na-ewu ewu maka izipu akụkọ na ụlọ ọrụ gọọmentị site na Ịntanetị (agaghị m akpọ aha ya kpọmkwem). Akụkụ dum gbasara nchekwa nke ọrụ a gbanyere gburugburu iji CIPF gbaara ezi àmà. Ngalaba nchekwa ozi nke ọrụ igwe ojii ụlọ ọzọ maka njikwa akwụkwọ eletrọnịkị adịghị iche. Ọ na-ekwu maka asambodo igodo ọha, cryptography gbaara agbaziri, na-ewepụ adịghị ike webụ, nchebe megide mwakpo DDoS, iji firewalls, nkwado ndabere na mpaghara, na ọbụna nyocha nchekwa ozi oge niile. Mana ọ nweghị okwu gbasara nleba anya, ma ọ bụ maka ohere ịnweta ohere nchekwa ozi nke nwere ike ịmasị ndị ahịa nke onye na-eweta ọrụ a.

N'ozuzu, site n'ụzọ onye na-eweta igwe ojii si akọwa nsogbu nchekwa ozi na weebụsaịtị ya na akwụkwọ ya, ị nwere ike ịghọta otú o si were okwu a kpọrọ ihe. Dịka ọmụmaatụ, ọ bụrụ na ị gụọ akwụkwọ ntuziaka maka ngwaahịa "My Office", ọ dịghị okwu gbasara nchekwa ma ọlị, mana na akwụkwọ maka ngwaahịa dị iche iche "My Office. KS3”, nke e mere iji chebe pụọ na ohere na-enweghị ikike, enwere ndepụta nke isi ihe nke usoro iri na asaa nke FSTEC, nke “My Office.KS17” na-arụ ọrụ, mana akọwaghị ya ka o si eme ya na, nke kachasị mkpa, otu esi eme ya. jikọta usoro ndị a na nchekwa ozi ụlọ ọrụ. Ikekwe akwụkwọ ndị dị otú ahụ dị, mana ahụghị m ya na ngalaba ọha, na weebụsaịtị "My Office". Ọ bụ ezie na enwere m ike enweghị ohere ịnweta ozi nzuzo a?...

Maka Bitrix, ọnọdụ ahụ ka mma. Akwụkwọ ahụ na-akọwa usoro nke ndekọ ihe omume na, na-akpali mmasị, ndekọ ntinye, nke nwere ihe omume ndị metụtara ihe egwu nwere ike ime na ikpo okwu igwe ojii. Site n'ebe ahụ ị nwere ike wepụ IP, onye ọrụ ma ọ bụ aha ọbịa, isi iyi ihe omume, oge, onye ọrụ, ụdị ihe omume, wdg. N'ezie, ị nwere ike ịrụ ọrụ na ihe omume ndị a ma ọ bụ site na njikwa njikwa nke igwe ojii n'onwe ya, ma ọ bụ bulite data na usoro MS Excel. Ọ na-esiri ike ugbu a iji ọrụ ndekọ Bitrix rụọ ọrụ ma ị ga-eji aka gị rụọ ụfọdụ n'ime ọrụ ahụ (na-ebugo akụkọ ahụ ma tinye ya na SIEM gị). Ma ọ bụrụ na anyị na-echeta na ruo n'oge na-adịbeghị anya ohere dị otú ahụ adịghị adị, mgbe ahụ nke a bụ nnukwu ọganihu. N'otu oge ahụ, ọ ga-amasị m ịmara na ọtụtụ ndị na-eweta igwe ojii si mba ọzọ na-enye ọrụ yiri nke ahụ "maka ndị mbido" - ma jiri anya gị lelee ndekọ ndekọ site na njikwa njikwa, ma ọ bụ bulite data ahụ n'onwe gị (agbanyeghị, ọtụtụ bulite data na . csv, ọ bụghị Excel).

Na-atụleghị nhọrọ enweghị ndekọ, ndị na-enye igwe ojii na-enyekarị gị nhọrọ atọ maka nlekota ihe omume nchekwa - dashboards, data upload and API access. Nke mbụ yiri ka ọ na-edozi ọtụtụ nsogbu maka gị, mana nke a abụghị eziokwu kpamkpam - ọ bụrụ na ị nwere ọtụtụ akwụkwọ akụkọ, ị ga-agbanwe n'etiti ihuenyo na-egosipụta ha, na-efunahụ foto niile. Na mgbakwunye, onye na-ahụ maka igwe ojii enweghị ike inye gị ikike ijikọ ihe omume nchekwa yana nyochaa ya n'ozuzu ya site na nchekwa nchekwa (na-emekarị ị na-emekọ data raw, nke ịkwesịrị ịghọta onwe gị). Enwere ndị ọzọ na anyị ga-ekwu maka ha ọzọ. N'ikpeazụ, ọ bara uru ịjụ ihe omume ndị na-eweta igwe ojii na-edekọ, n'ụdị dị aṅaa, na kedu ka ha si kwekọọ na usoro nlekota nchekwa ozi gị? Dịka ọmụmaatụ, njirimara na nyocha nke ndị ọrụ na ndị ọbịa. Otu Bitrix ahụ na-enye gị ohere, dabere na ihe omume ndị a, ịdekọ ụbọchị na oge ihe omume ahụ, aha onye ọrụ ma ọ bụ ọbịa (ọ bụrụ na ị nwere modul "Web Analytics"), ihe enwetara na ihe ndị ọzọ na-ahụkarị maka weebụsaịtị. . Mana ọrụ nchekwa ozi ụlọ ọrụ nwere ike ịchọ ozi gbasara ma onye ọrụ enwetara igwe ojii site na ngwaọrụ ntụkwasị obi (dịka ọmụmaatụ, na netwọk ụlọ ọrụ Cisco ISE na-arụ ọrụ a). Kedu maka ọrụ dị mfe dị ka ọrụ geo-IP, nke ga-enyere aka ikpebi ma ezuruwo akaụntụ onye ọrụ ọrụ igwe ojii? Ma ọbụlagodi na onye na-eweta igwe ojii na-enye gị ya, nke a ezughị. Otu Cisco CloudLock abụghị naanị nyochaa geolocation, kama ọ na-eji mmụta igwe maka nke a ma na-enyocha data akụkọ ihe mere eme maka onye ọrụ ọ bụla yana nyochaa ihe adịghị mma dị iche iche na nnwale njirimara na nyocha. Naanị MS Azure nwere ọrụ yiri ya (ọ bụrụ na ị nwere ndenye aha kwesịrị ekwesị).

Enwere ihe isi ike ọzọ - ebe ọ bụ na ọtụtụ ndị na-enye igwe ojii nlekota nchekwa ozi bụ isiokwu ọhụrụ ha na-amalite ime, ha na-agbanwe mgbe niile na ihe ngwọta ha. Taa, ha nwere otu ụdị API, echi ọzọ, ụbọchị na-esote echi otu ụzọ atọ. Ị ga-adịkwa njikere maka nke a. Otu ihe ahụ bụ eziokwu na arụmọrụ, nke nwere ike ịgbanwe, nke a ga-ebuba n'uche na sistemụ nleba anya nchekwa ozi gị. Dịka ọmụmaatụ, Amazon na mbụ nwere ọrụ nlekota ihe omume igwe ojii dị iche-AWS CloudTrail na AWS CloudWatch. Mgbe ahụ ọrụ dị iche iche maka nlekota ihe omume nchekwa ozi pụtara - AWS GuardDuty. Mgbe oge ụfọdụ gasịrị, Amazon wepụtara usoro nlekọta ọhụrụ, Amazon Security Hub, nke gụnyere nyocha nke data natara n'aka GuardDuty, Amazon Inspector, Amazon Macie na ọtụtụ ndị ọzọ. Ihe atụ ọzọ bụ ngwa ntinye log Azure na SIEM - AzLog. Ọtụtụ ndị na-ere ahịa SIEM na-arụsi ọrụ ike, ruo na 2018 Microsoft kwupụtara nkwụsị nke mmepe na nkwado ya, nke chere ọtụtụ ndị ahịa na-eji ngwá ọrụ a nsogbu ihu (anyị ga-ekwu maka otu esi edozi ya ma emechaa).

Ya mere, jiri nlezianya nyochaa njirimara nleba anya niile nke onye na-eweta igwe ojii na-enye gị. Ma ọ bụ dabere na ndị na-eweta ihe ngwọta na mpụga ndị ga-eme ka ndị na-emekọrịta ihe n'etiti SOC gị na igwe ojii ịchọrọ inyocha. Ee, ọ ga-adị ọnụ karịa (ọ bụ ezie na ọ bụghị mgbe niile), mana ị ga-atụgharị ọrụ niile n'ubu onye ọzọ. Ma ọ bụ na ọ bụghị ya niile? .. Ka anyị cheta echiche nke nchekwa nkekọrịta ma ghọta na anyị enweghị ike ịgbanwe ihe ọ bụla - anyị ga-aghọta n'onwe anyị ka ndị na-eweta igwe ojii dị iche iche na-enye nlekota nke nchekwa ozi nke data gị, ngwa, igwe mebere na akụrụngwa ndị ọzọ. kwadoro na igwe ojii. Anyị ga-amalite na ihe Amazon na-enye na akụkụ a.

Ọmụmaatụ: nlekota nchekwa ozi na IaaS dabere na AWS

Ee, ee, aghọtara m na Amazon abụghị ihe atụ kachasị mma n'ihi na nke a bụ ọrụ America na enwere ike igbochi ya dịka akụkụ nke ọgụ megide extremism na mgbasa ozi nke amachibidoro na Russia. Ma n'akwụkwọ a, m ga-achọ igosi otú ikpo okwu igwe ojii dị iche iche si dị iche na ike nlekota nchekwa ozi ha na ihe ị kwesịrị ịṅa ntị mgbe ị na-ebufe isi usoro gị na ígwé ojii site na nche. Ọfọn, ọ bụrụ na ụfọdụ ndị na-emepụta Russia nke igwe ojii na-amụta ihe bara uru maka onwe ha, mgbe ahụ nke ahụ ga-adị mma.

Ihe mbụ ị ga-ekwu bụ na Amazon abụghị ebe ewusiri ike a na-apụghị ịgbagha agbagha. Ihe omume dị iche iche na-eme ndị ahịa ya mgbe niile. Dịka ọmụmaatụ, e zuru aha, adreesị, ụbọchị ọmụmụ, na nọmba ekwentị nke nde mmadụ 198 ndị ntuli aka na Deep Root Analytics. Ụlọ ọrụ Israel Nice Systems zuru ndekọ nde 14 nke ndị debanyere aha Verizon. Agbanyeghị, ike arụnyere AWS na-enye gị ohere ịchọpụta ọtụtụ ihe omume. Ọmụmaatụ:

mmetụta na akụrụngwa (DDoS)
node compromise (ngwunye iwu)
imebi akaụntụ yana ịnweta ikike na-akwadoghị
nhazi ezighi ezi na adịghị ike
oghere na-enweghị nchebe na API.

Nkwekọrịta a bụ n'ihi na, dị ka anyị chọpụtara n'elu, onye ahịa n'onwe ya na-ahụ maka nchekwa nke data ndị ahịa. Ma ọ bụrụ na ọ naghị echegbu onwe ya iji gbanye usoro nchebe ma ghara ịgbanye ngwaọrụ nlekota oru, mgbe ahụ, ọ ga-amụta banyere ihe ahụ merenụ site na mgbasa ozi ma ọ bụ n'aka ndị ahịa ya.

Iji chọpụta ihe omume, ị nwere ike iji ọtụtụ ọrụ nlekota oru dị iche iche nke Amazon mepụtara (ọ bụ ezie na ndị a na-ejikarị ngwá ọrụ mpụga dị ka osquery). Yabụ, na AWS, a na-enyocha omume onye ọrụ niile, n'agbanyeghị etu esi eme ha - site na njikwa njikwa, ahịrị iwu, SDK ma ọ bụ ọrụ AWS ndị ọzọ. Ihe ndekọ niile nke ọrụ akaụntụ AWS ọ bụla (gụnyere aha njirimara, omume, ọrụ, paramita ọrụ, na nsonaazụ) yana ojiji API dị site na AWS CloudTrail. Ị nwere ike ịlele ihe omume ndị a (dị ka AWS IAM console logins) site na CloudTrail console, nyochaa ha site na iji Amazon Athena, ma ọ bụ "wepụta" ha na ngwọta mpụga dị ka Splunk, AlienVault, wdg. A na-etinye ndekọ AWS CloudTrail n'onwe ha na bọket AWS S3 gị.

Ọrụ AWS abụọ ọzọ na-enye ọtụtụ ikike nlekota ndị ọzọ dị mkpa. Nke mbụ, Amazon CloudWatch bụ ọrụ nlekota oru maka akụrụngwa na ngwa AWS nke, n'etiti ihe ndị ọzọ, na-enye gị ohere ịmata ọdịiche dị iche iche na ígwé ojii gị. Ọrụ AWS niile arụnyere n'ime, dị ka Amazon Elastic Compute Cloud (sava), Amazon Relational Database Service (databases), Amazon Elastic MapReduce (data analysis), na 30 ọrụ Amazon ndị ọzọ, jiri Amazon CloudWatch chekwaa ndekọ ha. Ndị mmepe nwere ike iji API mepere emepe sitere na Amazon CloudWatch tinye ọrụ nlekota log na ngwa na ọrụ omenala, na-enye ha ohere ịgbasa oke nyocha ihe omume n'ime ọnọdụ nchekwa.

Nke abuo, ọrụ VPC Flow Logs na-enye gị ohere inyocha okporo ụzọ netwọkụ zitere ma ọ bụ natara site na sava AWS gị (mpụga ma ọ bụ n'ime), yana n'etiti microservices. Mgbe ihe ọ bụla nke AWS VPC gị na netwọkụ na-emekọrịta ihe, VPC Flow Logs na-edekọ nkọwa gbasara okporo ụzọ netwọkụ, gụnyere isi mmalite na ebe netwọkụ na-aga, yana adreesị IP, ọdụ ụgbọ mmiri, protocol, ọnụọgụ bytes, na ọnụ ọgụgụ ngwugwu gị. hụrụ. Ndị nwere ahụmahụ na nchekwa netwọkụ mpaghara ga-amata nke a dị ka ihe yiri eriri NetFlow, nke enwere ike ịmepụta site na switches, routers na firewalls ọkwa ụlọ ọrụ. Ndekọ ndị a dị mkpa maka ebumnuche nchekwa nchekwa ozi n'ihi na, n'adịghị ka ihe omume gbasara omume nke ndị ọrụ na ngwa, ha na-enye gị ohere ka ị ghara ileghara mmekọrịta netwọkụ na gburugburu AWS mebere igwe ojii nzuzo.

Na nchịkọta, ọrụ AWS atọ ndị a-AWS CloudTrail, Amazon CloudWatch, na VPC Flow Logs - ọnụ na-enye nghọta siri ike banyere ojiji akaụntụ gị, omume onye ọrụ, njikwa akụrụngwa, ngwa na ọrụ ọrụ, yana ọrụ netwọk. Dịka ọmụmaatụ, enwere ike iji ha chọpụta nsogbu ndị a:

Mgbalị iṅomi saịtị ahụ, chọọ azụ azụ, chọọ adịghị ike site na mgbawa nke "njehie 404".
Mwakpo injection (dịka ọmụmaatụ, ịgba ọgwụ SQL) site na mwepu nke "njehie 500".
Ngwa ọgụ ama ama bụ sqlmap, nikto, w3af, nmap, wdg. site na nyocha nke ubi Agent User.

Ọrụ Weebụ Amazon ewepụtala ọrụ ndị ọzọ maka ebumnuche cybersecurity nke na-enye gị ohere idozi ọtụtụ nsogbu ndị ọzọ. Dịka ọmụmaatụ, AWS nwere ọrụ arụnyere maka nyocha atumatu na nhazi - AWS Config. Ọrụ a na-enye nyocha na-aga n'ihu maka akụrụngwa AWS gị yana nhazi ha. Ka anyị were ihe atụ dị mfe: Ka anyị kwuo na ịchọrọ ijide n'aka na okwuntughe onye ọrụ nwere nkwarụ na sava gị niile yana ohere ga-ekwe omume naanị dabere na asambodo. AWS Config na-eme ka ọ dị mfe ịlele nke a maka sava gị niile. Enwere iwu ndị ọzọ enwere ike itinye n'ọrụ na sava igwe ojii gị: "Ọ nweghị ihe nkesa nwere ike iji ọdụ ụgbọ mmiri 22", "naanị ndị nchịkwa nwere ike ịgbanwe iwu firewall" ma ọ bụ "naanị onye ọrụ Ivashko nwere ike ịmepụta akaụntụ onye ọrụ ọhụrụ, ma ọ nwere ike ime Ọ bụ naanị na Tuesdays. " N'oge ọkọchị nke afọ 2016, a gbasaa ọrụ AWS Config iji mebie nchọpụta nke mmebi iwu ndị mepere emepe. AWS Config Iwu bụ arịrịọ nhazi na-aga n'ihu maka ọrụ Amazon ị na-eji, nke na-emepụta ihe omume ma ọ bụrụ na-emebi iwu ndị kwekọrọ. Dịka ọmụmaatụ, kama ịgba ajụjụ AWS Config kwa oge iji nyochaa na diski niile dị na sava mebere ezoro ezo, AWS Config Rules nwere ike iji na-elele diski ihe nkesa na-aga n'ihu iji hụ na ezutere ọnọdụ a. Ma, nke kachasị mkpa, n'ọnọdụ nke akwụkwọ a, mmebi iwu ọ bụla na-ebute mmemme ndị ọrụ nchekwa ozi nwere ike nyochaa.

AWS nwekwara ihe nhata ya na ngwọta nchekwa ozi ụlọ ọrụ ọdịnala, nke na-emepụta ihe omume nchekwa nke ị nwere ike na kwesịrị ịtụle:

Nchọpụta mbubata - AWS GuardDuty
Njikwa mkpofu ozi - AWS Macie
EDR (n'agbanyeghị na ọ na-ekwu maka njedebe na ígwé ojii ntakịrị ihe ịtụnanya) - AWS Cloudwatch + oghere osquery ma ọ bụ ngwọta GRR
Nyocha Netflow - AWS Cloudwatch + AWS VPC Flow
Nyocha DNS - AWS Cloudwatch + AWS Route53
AD - Ọrụ ndekọ aha AWS
Njikwa Akaụntụ - AWS IAM
SSO - AWS SSD
nyocha nchekwa - AWS Inspector
njikwa nhazi - AWS Config
WAF - AWS WAF.

Agaghị m akọwa n'ụzọ zuru ezu ọrụ Amazon niile nwere ike ịba uru na nchekwa nchekwa ozi. Ihe bụ isi bụ ịghọta na ha niile nwere ike ịmepụta ihe omume ndị anyị nwere ike na kwesịrị nyochaa n'ihe gbasara nchekwa ozi, na-eji maka nzube a ma ikike arụnyere nke Amazon n'onwe ya na ngwọta nke mpụga, dịka ọmụmaatụ, SIEM, nke nwere ike. Were mmemme nchekwa gaa na ebe nleba anya gị wee nyochaa ya n'ebe ahụ yana ihe omume sitere na ọrụ igwe ojii ndị ọzọ ma ọ bụ site na akụrụngwa dị n'ime, gburugburu ma ọ bụ ngwaọrụ mkpanaka.

N'ọnọdụ ọ bụla, ihe niile na-amalite site na isi mmalite data na-enye gị mmemme nchekwa ozi. Isi mmalite ndị a gụnyere, mana ọnweghị oke na:

CloudTrail - API ojiji na Omume
Onye ndụmọdụ ntụkwasị obi - nlele nche megide omume kacha mma
Config - ngwa ahịa na nhazi nke akaụntụ na ntọala ọrụ
VPC Flow Logs - njikọ na mebere interfaces
IAM - ọrụ njirimara na nyocha
Ndekọ nnweta ELB - Ihe nleba anya
Onye nyocha - adịghị ike ngwa
S3 - nchekwa faịlụ
CloudWatch - Ọrụ Ngwa
SNS bụ ọrụ ngosi.

Amazon, mgbe ọ na-enye ụdị ihe omume dị iche iche nke isi mmalite na ngwá ọrụ maka ọgbọ ha, dị oke oke na ikike ya iji nyochaa data anakọtara na ọnọdụ nke nchekwa ozi. Ị ga-enyocha onwe gị na ndekọ ndekọ dịnụ, na-achọ ihe ndị dị mkpa nke nkwekọrịta n'ime ha. AWS Security Hub, nke Amazon weputara n'oge na-adịbeghị anya, chọrọ idozi nsogbu a site n'ịghọ SIEM igwe ojii maka AWS. Ma ruo ugbu a ọ bụ naanị na mmalite nke njem ya ma na-ejedebe ma ọnụ ọgụgụ isi mmalite nke ọ na-arụ ọrụ na ihe mgbochi ndị ọzọ nke ụlọ ọrụ na ndenye aha Amazon n'onwe ya guzobere.

Ọmụmaatụ: Nleba anya nchekwa ozi na IaaS dabere na Azure

Achọghị m ịbanye na arụmụka ogologo banyere nke n'ime ndị na-enye igwe ojii atọ (Amazon, Microsoft ma ọ bụ Google) ka mma (karịsịa ebe ọ bụ na onye ọ bụla n'ime ha ka nwere nkọwa nke ya ma dị mma maka idozi nsogbu nke ya); Ka anyị lekwasị anya na ike nlekota nchekwa ozi nke ndị egwuregwu a na-enye. A ghaghị ịnakwere na Amazon AWS bụ otu n'ime ndị mbụ na mpaghara a, ya mere ọ na-aga n'ihu na ọrụ nchekwa ozi ya (ọ bụ ezie na ọtụtụ ndị kwetara na ha siri ike iji). Mana nke a apụtaghị na anyị ga-eleghara ohere Microsoft na Google na-enye anyị anya.

A na-amata ngwaahịa Microsoft mgbe niile site na “mmeghe” ha yana na Azure ọnọdụ ahụ yiri ya. Dịka ọmụmaatụ, ọ bụrụ na AWS na GCP na-aga n'ihu mgbe niile site na echiche nke "ihe anabataghị ka amachibidoro," mgbe ahụ Azure nwere ụzọ dị iche. Dịka ọmụmaatụ, mgbe ị na-eke netwọkụ mebere na igwe ojii na igwe mebere n'ime ya, ọdụ ụgbọ mmiri na ụkpụrụ niile na-emeghe ma kwere na ndabara. Ya mere, ị ga-etinyekwu mgbalị na nhazi mbụ nke usoro nchịkwa ohere na igwe ojii sitere na Microsoft. Nke a na-amanyekwa gị ihe ndị siri ike n'ihe gbasara ọrụ nlekota na igwe ojii Azure.

AWS nwere ihe dị iche iche jikọtara ya na eziokwu ahụ bụ na mgbe ị na-enyocha akụrụngwa gị mebere, ọ bụrụ na ha dị na mpaghara dị iche iche, mgbe ahụ ị ga-enwe ihe isi ike ijikọta ihe omume niile na nyocha ha jikọtara ọnụ, iji kpochapụ nke ịkwesịrị ịmalite aghụghọ dị iche iche, dị ka. Mepụta koodu nke gị maka AWS Lambda nke ga-ebufe ihe omume n'etiti mpaghara. Azure enweghị nsogbu a - Usoro Ndekọ Ọrụ ya na-akwado ọrụ niile n'ofe nzukọ niile na-enweghị mgbochi. Otu ihe ahụ metụtara AWS Security Hub, nke Amazon mepụtara n'oge na-adịbeghị anya iji mee ka ọtụtụ ọrụ nchekwa dị n'ime otu ebe nchekwa, mana naanị n'ime mpaghara ya, nke, Otú ọ dị, adịghị mkpa maka Russia. Azure nwere ebe nchekwa nke ya, nke na-ejighị mmachi mpaghara, na-enye ohere ịnweta njirimara nchekwa niile nke ikpo okwu igwe ojii. Ọzọkwa, maka ndị otu mpaghara dị iche iche ọ nwere ike ịnye ikike nchekwa nke ya, gụnyere ihe nchekwa nchekwa nke ha na-achịkwa. Ebe nchekwa AWS ka na-aga ime ka ebe nchekwa Azure. Mana ọ bara uru ịgbakwunye ijiji na ude - ị nwere ike wepụ na Azure ọtụtụ ihe akọwara na mbụ na AWS, mana nke a na-eme nke ọma naanị maka Azure AD, Azure Monitor na Azure Security Center. Usoro nchekwa Azure ndị ọzọ, gụnyere nyocha ihe omume nchekwa, ejikwabeghị n'ụzọ kacha adabara. A na-edozi nsogbu ahụ site na API, nke na-emetụta ọrụ Microsoft Azure niile, mana nke a ga-achọ mgbalị ọzọ n'aka gị iji jikọta igwe ojii gị na SOC gị yana ọnụnọ nke ndị ọkachamara ruru eru (n'ezie, dị ka ọ dị na SIEM ọ bụla ọzọ na-arụ ọrụ na igwe ojii). API). Ụfọdụ SIEM, nke a ga-atụle ma emechaa, kwadoro Azure ma nwee ike ịmegharị ọrụ nke nlekota ya, mana ọ nwekwara ihe isi ike nke ya - ọ bụghị ha niile nwere ike ịnakọta ndekọ niile Azure nwere.

A na-enye nchịkọta na nlekota ihe omume na Azure site na iji ọrụ Azure Monitor, nke bụ ngwá ọrụ bụ isi maka ịnakọta, ịchekwa na nyochaa data na igwe ojii Microsoft na akụrụngwa ya - Git repositories, containers, virtual machines, ngwa, wdg. A na-ekewa data niile Azure Monitor na-anakọta ụzọ abụọ - metrik, anakọtara ozugbo yana ịkọwapụta ihe ngosi arụmọrụ nke igwe ojii Azure, yana ndekọ, nwere data ahaziri n'ime ndekọ na-akọwa akụkụ ụfọdụ nke ọrụ Azure akụrụngwa na ọrụ. Na mgbakwunye, iji Data Collector API, ọrụ Azure Monitor nwere ike ịnakọta data sitere na isi iyi REST ọ bụla iji wuo ọnọdụ nleba anya nke ya.

Nke a bụ isi mmalite mmemme nchekwa ole na ole Azure na-enye gị yana ị nwere ike ịnweta site na Azure Portal, CLI, PowerShell, ma ọ bụ REST API (na ụfọdụ naanị site na Azure Monitor/Insight API):

Ndekọ ọrụ - ndekọ a na-aza ajụjụ ndị kpochapụrụ nke "onye," "gịnị," na "mgbe" gbasara ọrụ ide ihe ọ bụla (PUT, Post, DeleTE) na akụrụngwa igwe ojii. Agụnyeghị mmemme metụtara ohere ịgụ akwụkwọ (GET) na ndekọ a, dịka ọtụtụ ndị ọzọ.
Ndekọ nchọpụta nchọpụta - nwere data gbasara arụmọrụ yana otu akụrụngwa etinyere na ndenye aha gị.
Nkwupụta Azure AD - nwere ma ọrụ onye ọrụ yana ọrụ sistemụ metụtara otu na njikwa onye ọrụ.
Windows Event Log na Linux Syslog - nwere mmemme sitere na igwe mebere n'igwe ojii.
Metrics - nwere telemetry gbasara arụmọrụ yana ọkwa ahụike nke ọrụ na akụrụngwa igwe ojii gị. A na-atụkwa nkeji ọ bụla ma chekwaa ya. n'ime ụbọchị 30.
Otu nchekwa netwọkụ Flow Logs - nwere data na mmemme nchekwa netwọkụ anakọtara site na iji ọrụ Watcher Network na nlekota akụrụngwa na ọkwa netwọkụ.
Ndekọ nchekwa - nwere mmemme metụtara ịnweta akụrụngwa nchekwa.

Maka nleba anya, ị nwere ike iji SIEM nke mpụga ma ọ bụ nlebanya Azure arụnyere na ndọtị ya. Anyị ga-ekwu maka sistemụ njikwa ihe omume nchekwa ozi ma emechaa, mana ugbu a, ka anyị hụ ihe Azure n'onwe ya na-enye anyị maka nyocha data na ọnọdụ nchekwa. Isi ihuenyo maka ihe niile metụtara nchekwa na Azure Monitor bụ Log Analytics Security na Audit Dashboard (ụdị efu na-akwado oke nchekwa ihe omume maka naanị otu izu). E kewara dashboard a n'ime mpaghara 5 bụ isi nke na-ahụta ọnụ ọgụgụ nchịkọta nke ihe na-eme na gburugburu igwe ojii ị na-eji:

Ngalaba nchekwa - isi ihe ngụpụta ọnụọgụgụ metụtara nchekwa ozi - ọnụọgụ ihe merenụ, ọnụ ọgụgụ nke ọnụ ndị mebiri emebi, ọnụ na-enweghị oghere, ihe nchekwa netwọkụ, wdg.
Okwu ndị ama ama - na-egosiputa ọnụọgụ na mkpa nke nsogbu nchekwa ozi nọ n'ọrụ
Nchọpụta - na-egosiputa usoro mbuso agha ejiri megide gị
Ọgụgụ isi iyi egwu - na-egosiputa ozi mpaghara na ọnụ mpụga na-awakpo gị
Ajụjụ nchekwa a na-ajụkarị - ajụjụ a na-ahụkarị ga-enyere gị aka inyocha nchekwa ozi gị nke ọma.

Mgbakwunye Azure Monitor gụnyere Azure Key Vault (nchebe nke igodo cryptographic na igwe ojii), Nyocha Malware (nyocha nke nchebe megide koodu ọjọọ na igwe mebere), Azure Application Gateway Analytics (nyocha nke, n'etiti ihe ndị ọzọ, ígwé ojii log firewall), wdg. . Ngwá ọrụ ndị a, nke jupụtara na iwu ụfọdụ maka nhazi ihe omume, na-enye gị ohere iji anya nke uche hụ akụkụ dị iche iche nke ọrụ nke ọrụ igwe ojii, gụnyere nchekwa, ma chọpụta ụfọdụ ọdịiche na ọrụ. Ma, dị ka ọ na-emekarị, ọrụ ọ bụla ọzọ na-achọ ndenye aha akwụ ụgwọ kwekọrọ, nke ga-achọ itinye ego ego kwekọrọ na gị, nke ị ga-eme atụmatụ tupu oge eruo.

Azure nwere ọtụtụ ikike nleba anya ihe egwu etinyere na Azure AD, Azure Monitor, na Azure Security Center. N'ime ha, dịka ọmụmaatụ, nchọpụta nke mmekọrịta nke igwe mebere na IP ndị a ma ama (n'ihi ọnụnọ nke njikọta na ọrụ egwu egwu sitere na Microsoft), nchọpụta malware n'ime akụrụngwa igwe ojii site na ịnweta mkpu site na igwe mebere na igwe ojii, paswọọdụ. ịkọ nkọ "na igwe mebere, adịghị ike na nhazi nke sistemụ njirimara onye ọrụ, ịbanye na sistemụ site na ndị na-amaghị aha ma ọ bụ ọnụ nje, mwepu akaụntụ, ịbanye na sistemụ site na ebe a na-adịghị ahụkebe, wdg. Azure taa bụ otu n'ime ndị na-eweta igwe ojii ole na ole na-enye gị ikike ọgụgụ isi egwu egwu iji mee ka mmemme nchekwa ozi anakọtara.

Dịka ekwuru n'elu, ọrụ nchekwa yana, n'ihi ya, ihe omume nchekwa nke ọ na-eme adịghị adị maka ndị ọrụ niile, mana chọrọ ụfọdụ ndenye aha na-agụnye ọrụ ị chọrọ, nke na-emepụta ihe omume kwesịrị ekwesị maka nlekota nchekwa ozi. Dịka ọmụmaatụ, ụfọdụ ọrụ akọwara na paragraf gara aga maka nlekota anomalies na akaụntụ dị naanị na ikikere P2 maka ọrụ Azure AD. Na-enweghị ya, gị, dị ka ọ dị na AWS, ga-enyocha ihe omume nchekwa anakọtara "aka". Na, kwa, dabere n'ụdị ikike Azure AD, ọ bụghị ihe omume niile ga-adị maka nyocha.

Na Portal Azure, ị nwere ike ijikwa ajụjụ ọchụchọ abụọ maka ndekọ mmasị gị wee guzobe dashboards iji hụ anya nke na-egosi nchekwa ozi. Na mgbakwunye, n'ebe ahụ ị nwere ike họrọ Azure Monitor extensions, nke na-enye gị ohere ịgbasa ọrụ nke Azure Monitor logs wee nweta nyocha miri emi nke ihe omume site na nche.

Ọ bụrụ na ịchọrọ ọ bụghị naanị ikike iji ndekọ na-arụ ọrụ, mana ebe nchekwa nchekwa zuru oke maka ikpo okwu igwe ojii Azure gị, gụnyere njikwa amụma nchekwa ozi, mgbe ahụ ị nwere ike ikwu maka mkpa ọ dị ịrụ ọrụ na Azure Security Center, ọtụtụ ọrụ bara uru nke ya. dị maka ego ụfọdụ, dịka ọmụmaatụ, nchọpụta ihe iyi egwu, nleba anya n'èzí Azure, ntule nnabata, wdg. (na ụdị n'efu, naanị ị ga-enweta nyocha nchekwa yana ndụmọdụ maka iwepụ nsogbu ndị achọpụtara). Ọ na-ejikọta okwu nchekwa niile n'otu ebe. N'ezie, anyị nwere ike ikwu maka ọkwa nchekwa dị elu karịa Azure Monitor na-enye gị, ebe ọ bụ na nke a na-eme ka data anakọtara na ụlọ ọrụ igwe ojii gị niile site na iji ọtụtụ isi mmalite, dị ka Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX , outlook .com, MSN.com, Microsoft Digital Crimes Unit (DCU) na Microsoft Security Response Center (MSRC), nke dị iche iche igwe mmụta mmụta na omume analytics algọridim na-n'elu, nke kwesịrị n'ikpeazụ melite arụmọrụ nke ịchọpụta na ịzaghachi egwu egwu. .

Azure nwekwara SIEM nke ya - ọ pụtara na mbido 2019. Nke a bụ Azure Sentinel, nke dabere na data sitere na Azure Monitor ma nwee ike ijikọ ya. ngwọta nchekwa mpụga (dịka ọmụmaatụ, NGFW ma ọ bụ WAF), ndepụta nke na-eto eto mgbe niile. Na mgbakwunye, site na njikọta nke Microsoft Graph Security API, ị nwere ikike ijikọ nri ọgụgụ isi iyi egwu gị na Sentinel, nke na-eme ka ike nyochaa ihe mere na igwe ojii Azure gị. Enwere ike ịrụ ụka na Azure Sentinel bụ onye mbụ "nwa amaala" SIEM nke pụtara site na ndị na-eweta igwe ojii (otu Splunk ma ọ bụ ELK, nke nwere ike ịkwado na igwe ojii, dịka ọmụmaatụ, AWS, ka na-emepụtabeghị site na ndị na-enye ọrụ igwe ojii). Enwere ike ịkpọ Azure Sentinel na ebe nchekwa SOC maka igwe ojii Azure ma nwee ike ịnwe oke na ha (ya na ndoputa ụfọdụ) ma ọ bụrụ na ịnwekwaghị akụrụngwa ọ bụla wee bufee akụrụngwa kọmpụta gị niile na igwe ojii, ọ ga-abụ Azure Microsoft.

Mana ebe ọ bụ na ike arụnyere n'ime Azure (ọbụlagodi ma ọ bụrụ na ị nwere ndenye aha na Sentinel) anaghị ezuru maka ebumnuche nke nlekota nchekwa ozi yana ijikọ usoro a na isi mmalite ndị ọzọ nke ihe nchekwa (ma igwe ojii na nke ime), enwere mkpa mbupụ data anakọtara na sistemụ mpụga, nke nwere ike ịgụnye SIEM. Emere nke a site na iji API yana iji mgbakwunye pụrụ iche, nke dị ugbu a naanị maka SIEM ndị a - Splunk (Azure Monitor Add-On for Splunk), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight na ELK. Ruo n'oge na-adịbeghị anya, enwere ọtụtụ SIEM ndị dị otú ahụ, mana site na June 1, 2019, Microsoft kwụsịrị ịkwado ngwa Azure Log Integration (AzLog), nke n'isi ụtụtụ nke ịdị adị nke Azure na na enweghị ọkọlọtọ nkịtị nke ịrụ ọrụ na ndekọ (Azure). Nyochaa adịbeghịdị) mere ka ọ dị mfe itinye SIEM mpụga na igwe ojii Microsoft. Ugbu a ọnọdụ ahụ agbanweela na Microsoft na-akwado ikpo okwu Azure Event Hub dị ka isi ihe ntinye maka SIEM ndị ọzọ. Ọtụtụ etinyelarị njikọ dị otú ahụ, mana kpachara anya - ha nwere ike ọ gaghị ejide ndekọ Azure niile, mana ọ bụ naanị ụfọdụ (lee anya na akwụkwọ maka SIEM gị).

Na-emechi njem nlegharị anya dị nkenke na Azure, ọ ga-amasị m ịnye ndụmọdụ gbasara ọrụ igwe ojii a - tupu ị kwuo ihe ọ bụla gbasara ọrụ nlekota nchekwa ozi na Azure, ị kwesịrị ịhazi ha nke ọma ma nwalee na ha na-arụ ọrụ dị ka e dere na akwụkwọ na dị ka ndị ndụmọdụ gwara gị Microsoft (na ha nwere ike inwe echiche dị iche iche na arụmọrụ nke ọrụ Azure). Ọ bụrụ na ị nwere akụrụngwa ego, ị nwere ike wepụ ọtụtụ ozi bara uru sitere na Azure n'ihe gbasara nlekota nchekwa ozi. Ọ bụrụ na akụrụngwa gị nwere oke, yabụ, dịka ọ dị na AWS, ị ga-adabere naanị na ike gị yana data raw nke Azure Monitor na-enye gị. Ma cheta na ọtụtụ ọrụ nlekota na-efu ego na ọ ka mma ịmara onwe gị na amụma ọnụahịa tupu oge eruo. Dịka ọmụmaatụ, n'efu, ị nwere ike ịchekwa ụbọchị 31 nke data ruo ihe ruru 5 GB maka onye ahịa - ịgafe ụkpụrụ ndị a ga-achọ ka ị nweta ego ọzọ (ihe dị ka $ 2+ maka ịchekwa GB ọ bụla n'aka onye ahịa yana $ 0,1 maka $ 1. na-echekwa XNUMX GB kwa ọnwa ọzọ). Ịrụ ọrụ na telemetry ngwa na metrik nwekwara ike ịchọ ego ndị ọzọ, yana ịrụ ọrụ na ọkwa na ọkwa (obere oke dị maka n'efu, nke nwere ike ọ gaghị ezuru gị mkpa).

Ọmụmaatụ: nlekota nchekwa ozi na IaaS dabere na Google Cloud Platform

Google Cloud Platform dị ka nwata ma e jiri ya tụnyere AWS na Azure, mana nke a dị mma. N'adịghị ka AWS, nke mụbara ikike ya, gụnyere ndị nchekwa, nke nta nke nta, na-enwe nsogbu na centralization; GCP, dị ka Azure, na-achịkwa nke ọma nke ọma, nke na-ebelata mperi na oge mmejuputa n'ofe ụlọ ọrụ ahụ. Site n'echiche nchekwa, GCP bụ, n'ụzọ zuru oke, n'etiti AWS na Azure. O nwekwara otu ndebanye aha mmemme maka nzukọ niile, mana ezughị oke. Ụfọdụ ọrụ ka dị na ọnọdụ beta, mana nke nta nke nta, ekwesịrị iwepụ ụkọ a, GCP ga-aghọkwa ikpo okwu tozuru oke n'ihe gbasara nlekota nchekwa ozi.

Ngwá ọrụ bụ isi maka ịbanye ihe omume na GCP bụ Stackdriver Logging (dị ka Azure Monitor), nke na-enye gị ohere ịnakọta ihe omume n'ofe akụrụngwa igwe ojii gị dum (yana site na AWS). Site na nchekwa na GCP, nzukọ ọ bụla, oru ngo ma ọ bụ nchekwa nwere ndekọ anọ:

Ọrụ nchịkwa - nwere mmemme niile metụtara ohere nchịkwa, dịka ọmụmaatụ, ịmepụta igwe mebere, ịgbanwe ikike ịnweta, wdg. A na-ede ndekọ mgbe niile, n'agbanyeghị ọchịchọ gị, ma na-echekwa data ya maka ụbọchị 400.
Nweta data - nwere mmemme niile metụtara iji data ndị ọrụ igwe ojii rụọ ọrụ (mmepụta, mgbanwe, ọgụgụ, wdg). Site na ndabara, edeghị ndekọ a, ka olu ya na-aza ngwa ngwa. N'ihi nke a, ndụ shelf bụ naanị ụbọchị 30. Tụkwasị na nke ahụ, ọ bụghị ihe nile ka edere na magazin a. Dịka ọmụmaatụ, ihe omume metụtara akụrụngwa nke ndị ọrụ niile na-enweta n'ihu ọha ma ọ bụ ndị a na-enweta na-abanyeghị na GCP edeghị ya na ya.
Mmemme Sistemu - nwere mmemme sistemụ na-emetụtaghị ndị ọrụ, ma ọ bụ omume nke onye nchịkwa na-agbanwe nhazi akụrụngwa igwe ojii. A na-ede ya mgbe niile ma chekwaa ya maka ụbọchị 400.
Ịnweta nghọta bụ ihe atụ pụrụ iche nke ndekọ na-ejide omume niile nke ndị ọrụ Google (ma ọ bụghị maka ọrụ GCP niile) ndị na-enweta akụrụngwa gị dịka akụkụ nke ọrụ ha. A na-echekwa ndekọ a maka ụbọchị 400 ma ọ bụghị maka onye ahịa GCP ọ bụla, mana naanị ma ọ bụrụ na enwetara ọtụtụ ọnọdụ (ma ọ bụ nkwado ọkwa ọla edo ma ọ bụ Platinum, ma ọ bụ ọnụnọ nke ọrụ 4 nke otu ụdị dịka akụkụ nke nkwado ụlọ ọrụ). Ọrụ yiri ya dịkwa, dịka ọmụmaatụ, na Office 365 - Igbe mkpọchi.

Ihe atụ ndekọ: Nweta nghọta

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Ịnweta ndekọ ndị a ga-ekwe omume n'ọtụtụ ụzọ (n'otu ụzọ ahụ a tụlere na mbụ Azure na AWS) - site na Log Viewer interface, site na API, site na Google Cloud SDK, ma ọ bụ site na ibe ọrụ nke ọrụ gị nke ị na-eme. nwere mmasị na ihe omume. N'otu ụzọ ahụ, enwere ike ibuga ha na ngwọta mpụga maka nyocha ọzọ. Emere nke ikpeazụ site na mbupụ ndekọ na BigQuery ma ọ bụ Cloud Pub/Sub nchekwa.

Na mgbakwunye na Logging Stackdriver, ikpo okwu GCP na-enyekwa Stackdriver Monitoring functionality, nke na-enye gị ohere inyocha metrics isi (arụmọrụ, MTBF, ahụike zuru oke, wdg) nke ọrụ igwe ojii na ngwa. Data ahaziri na nke a na-ahụ anya nwere ike ime ka ọ dịkwuo mfe ịchọta nsogbu n'ime akụrụngwa igwe ojii gị, gụnyere n'ọnọdụ nchekwa. Mana ekwesịrị iburu n'uche na ọrụ a agaghị abụ ọgaranya nke ukwuu n'ihe gbasara nchekwa ozi, ebe ọ bụ na taa GCP enweghị analog nke otu AWS GuardDuty ma enweghị ike ịchọpụta ndị ọjọọ n'etiti mmemme niile edebanyere aha (Google emepụtala nchọpụta ihe egwu, ma ọ ka na-etolite na beta na ọ dị oke n'oge ikwu banyere uru ya). Enwere ike iji Stackdriver Monitoring dị ka usoro maka ịchọpụta ihe adịghị mma, nke a ga-enyocha wee chọpụta ihe butere ha. Mana n'ihi enweghị ndị ọrụ ruru eru na ngalaba nchekwa ozi GCP n'ahịa ahụ, ọrụ a dị ugbu a siri ike.

Ọ dịkwa mma ịnye ndepụta ụfọdụ modul nchekwa ozi enwere ike iji n'ime igwe ojii GCP gị, yana nke yiri ihe AWS na-enye:

Ebe nchekwa nchekwa igwe ojii bụ analog nke AWS Security Hub na ebe nchekwa Azure.
Cloud DLP - Nchọpụta na edezi akpaaka (dịka nkpuchi) nke data akwadoro n'igwe ojii site na iji atumatu nhazi ọkwa 90 a kara aka.
Cloud Scanner bụ nyocha maka adịghị ike ama ama (XSS, Flash Injection, ọba akwụkwọ a na-edobeghi, wdg) na ngwa ngwa, Injin Compute na Google Kubernetes.
Cloud IAM - Jikwaa ịnweta akụrụngwa GCP niile.
Cloud Identity - Jikwaa onye ọrụ GCP, ngwaọrụ na akaụntụ ngwa site na otu njikwa.
Cloud HSM - nchebe nke igodo cryptographic.
Ọrụ njikwa igodo igwe ojii - njikwa igodo cryptographic na GCP.
Njikwa Ọrụ VPC - Mepụta oghere echekwara gburugburu akụrụngwa GCP gị iji chebe ha pụọ na ntapu.
Igodo nchekwa Titan - nchebe megide phishing.

Ọtụtụ n'ime modul ndị a na-emepụta ihe nchekwa nke enwere ike iziga na nchekwa BigQuery maka nyocha ma ọ bụ mbupụ na sistemụ ndị ọzọ, gụnyere SIEM. Dịka e kwuru n'elu, GCP bụ ikpo okwu na-arụsi ọrụ ike na Google na-emepụta ugbu a ọtụtụ modul nchekwa ozi ọhụrụ maka ikpo okwu ya. Otu n'ime ha bụ nchọpụta ihe egwu egwu (nke dị ugbu a na beta), nke na-enyocha ndekọ Stackdriver na-achọ akara ọrụ na-akwadoghị (ihe yiri GuardDuty in AWS), ma ọ bụ amụma amụma (dị na alfa), nke ga-enye gị ohere ịmepụta atumatu nwere ọgụgụ isi maka. ịnweta akụrụngwa GCP.

Emere m nkọwa dị mkpirikpi nke ike nlekota arụnyere na nyiwe igwe ojii na-ewu ewu. Mana ị nwere ndị ọkachamara nwere ike ịrụ ọrụ na ndekọ ndị na-eweta "raw" IaaS (ọ bụghị onye ọ bụla dị njikere ịzụta ikike dị elu nke AWS ma ọ bụ Azure ma ọ bụ Google)? Tụkwasị na nke ahụ, ọtụtụ ndị maara ilu a bụ "Tụkwasị obi, ma nyochaa," nke bụ eziokwu karịa mgbe ọ bụla n'ihe gbasara nchekwa. Ego ole ka ị tụkwasịrị obi ike arụnyere nke ndị na-eweta igwe ojii na-ezigara gị mmemme nchekwa ozi? Ego ole ka ha na-elekwasị anya na nchekwa ozi ma ọlị?

Mgbe ụfọdụ, ọ bara uru ileba anya na nleba anya ihe nleba anya akụrụngwa nke igwe ojii nwere ike ịkwado nchekwa igwe ojii arụnyere, na mgbe ụfọdụ ụdị azịza a bụ naanị nhọrọ iji nweta nghọta na nchekwa nke data gị na ngwa akwadoro na igwe ojii. Na mgbakwunye, ha dị mfe karịa, ebe ha na-arụ ọrụ niile nke nyocha ndekọ ndekọ dị mkpa sitere na ọrụ igwe ojii dị iche iche sitere na ndị na-eweta igwe ojii dị iche iche. Otu ihe atụ nke ngwọta mkpuchi dị otú ahụ bụ Cisco Stealthwatch Cloud, nke na-elekwasị anya n'otu ọrụ - nlekota nchekwa nchekwa data na gburugburu igwe ojii, gụnyere ọ bụghị naanị Amazon AWS, Microsoft Azure na Google Cloud Platform, kamakwa igwe ojii.

Ọmụmaatụ: Iji Stealthwatch Cloud nlekota oru ozi

AWS na-enye usoro ikpo okwu na-agbanwe agbanwe, mana mgbanwe a na-eme ka ọ dịrị ụlọ ọrụ mfe ịme ihe na-eduga na nsogbu nchekwa. Na nnwekọrịta ozi nche nlereanya na-atụnye naanị na nke a. Akụrụngwa na-agba ọsọ n'igwe ojii na adịghị ike amaghi ama (enwere ike ịlụso ndị a ma ama, dịka ọmụmaatụ, site na AWS Inspector ma ọ bụ GCP Cloud Scanner), okwuntughe adịghị ike, nhazi na-ezighi ezi, ndị n'ime, wdg. A na-egosipụtakwa ihe ndị a niile na omume nke akụrụngwa igwe ojii, nke Cisco Stealthwatch Cloud nwere ike nyochaa, nke bụ usoro nleba anya nchekwa na usoro nchọpụta ọgụ. igwe ojii na nkeonwe.

Otu njiri mara nke Cisco Stealthwatch Cloud bụ ikike ịmebe ụlọ ọrụ. Site na ya, ị nwere ike ịmepụta ụdị sọftụwia (ya bụ, ịme anwansị dị nso) nke akụrụngwa igwe ojii gị ọ bụla (ọ dịghị mkpa ma ọ bụ AWS, Azure, GCP, ma ọ bụ ihe ọzọ). Ndị a nwere ike ịgụnye sava na ndị ọrụ, yana ụdị akụrụngwa akọwapụtara maka gburugburu ígwé ojii gị, dị ka otu nchekwa na otu akpaaka. Ụdị ndị a na-eji iyi data ahaziri ahazi nke ọrụ igwe ojii na-enye dị ka ntinye. Dịka ọmụmaatụ, maka AWS ndị a ga-abụ VPC Flow Logs, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda, na AWS IAM. Nlegharị anya ụlọ ọrụ na-achọpụta ọrụ na omume nke akụrụngwa gị ọ bụla (ị nwere ike ikwu maka ịkọwapụta ọrụ igwe ojii niile). Ọrụ ndị a gụnyere gam akporo ma ọ bụ ngwaọrụ mkpanaka Apple, sava Citrix PVS, sava RDP, ọnụ ụzọ ozi, onye ahịa VoIP, ihe nkesa ọnụ, onye na-ahụ maka ngalaba, wdg. Ọ na-anọgide na-enyocha omume ha iji chọpụta mgbe omume dị ize ndụ ma ọ bụ nke na-eyi egwu na-eme. Ị nwere ike ịchọpụta ịkọ nkọ okwuntughe, ọgụ DDoS, ntapu data, ohere ime ime iwu na-akwadoghị, ọrụ koodu ọjọọ, nyocha adịghị ike na ihe egwu ndị ọzọ. Dịka ọmụmaatụ, nke a bụ ihe ịchọpụta mbọ ịnweta anya site na obodo nke ụlọ ọrụ gị (South Korea) na ụyọkọ Kubernetes site na SSH dị ka:

Nke a bụ ihe ebubo ebubo ntọhapụ nke ozi sitere na nchekwa data Postgress gaa na obodo nke anyị na-ezutebeghị mmekọrịta dị ka:

N'ikpeazụ, nke a bụ ihe ọtụtụ mgbalị SSH si China na Indonesia si na ngwaọrụ dịpụrụ adịpụ dị ka:

Ma ọ bụ, were ya na ihe nkesa na VPC bụ, site na amụma, agaghị abụ ebe nbanye dịpụrụ adịpụ. Ka anyị chee na kọmpụta a nwetara akara ngosi dịpụrụ adịpụ n'ihi mgbanwe na-ezighi ezi na iwu iwu firewall. Njirimara ihe nlebanya nke ụlọ ọrụ ga-achọpụta ma kọọ akụkọ a ("Nnweta Remote na-adịghị ahụkebe") na nso ozugbo wee rụtụ aka na AWS CloudTrail, Azure Monitor, ma ọ bụ GCP Stackdriver Logging API oku (gụnyere aha njirimara, ụbọchị na oge, n'etiti nkọwa ndị ọzọ). ) nke kpaliri mgbanwe na iwu ITU. Mgbe ahụ enwere ike iziga ozi a na SIEM maka nyocha.

A na-emejuputa ikike ndị a maka gburugburu igwe ojii ọ bụla nke Cisco Stealthwatch Cloud na-akwado:

Nlereanya ụlọ ọrụ bụ ụdị nchekwa pụrụ iche nke nwere ike ikpughe nsogbu ndị mmadụ, usoro ma ọ bụ teknụzụ amabeghị mbụ. Dịka ọmụmaatụ, ọ na-enye gị ohere ịchọpụta, tinyere ihe ndị ọzọ, nsogbu nchekwa dịka:

Ọ nwere onye achọpụtala ọnụ ụzọ azụ na ngwanro anyị na-eji?
Enwere ngwanrọ ma ọ bụ ngwaọrụ ndị ọzọ na igwe ojii anyị?
Onye ọrụ enyere ikike na-eme ihe ùgwù?
Enwere mperi nhazi nke nyere ohere ịnweta ebe dịpụrụ adịpụ ma ọ bụ iji akụrụngwa ndị ọzọ na-atụghị anya ya?
Enwere mwepu data sitere na sava anyị?
Ọ nwere onye na-agbalị iji ọnọdụ mpaghara na-adịghị ahụkebe jikọọ anyị?
Ígwé ojii anyị nwere koodu ọjọọ butere ya?

Enwere ike izipu ihe omume nchekwa ozi achọpụtara n'ụdị tiketi kwekọrọ na Slack, Cisco Spark, sistemu njikwa ihe omume PagerDuty, ma zigakwa na SIEM dị iche iche, gụnyere Splunk ma ọ bụ ELK. Iji chịkọta ọnụ, anyị nwere ike ịsị na ọ bụrụ na ụlọ ọrụ gị na-eji atụmatụ igwe ojii ma ọ bụghị naanị na onye ọ bụla na-eweta igwe ojii, ike nlekota nchekwa ozi nke akọwara n'elu, mgbe ahụ iji Cisco Stealthwatch Cloud bụ nhọrọ dị mma iji nweta otu nlekota nlekota oru. ike maka ndị isi igwe ojii - Amazon , Microsoft na Google. Ihe na-adọrọ mmasị bụ na ọ bụrụ na ị na-atụnyere ọnụahịa maka Stealthwatch Cloud na ikikere dị elu maka nlekota nchekwa ozi na AWS, Azure ma ọ bụ GCP, ọ nwere ike pụta na Cisco ngwọta ga-adị ọnụ ala karịa ike arụnyere na Amazon, Microsoft. na Google ngwọta. Ọ bụ paradoxical, mana ọ bụ eziokwu. Na igwe ojii na ike ha ị na-eji, otú ahụ ka uru ngwọta siri ike ga-apụta ìhè.

Na mgbakwunye, Stealthwatch Cloud nwere ike nyochaa ígwé ojii nkeonwe etinyere na nzukọ gị, dịka ọmụmaatụ, dabere na arịa Kubernetes ma ọ bụ site n'ịleba anya nrịbama Netflow ma ọ bụ okporo ụzọ netwọkụ enwetara site na ngosipụta na akụrụngwa netwọkụ (ọbụlagodi nke emepụtara n'ụlọ), data AD ma ọ bụ sava DNS na ihe ndị ọzọ. A ga-eji ozi ọgụgụ isi iyi egwu nke Cisco Talos chịkọta data ndị a niile, otu nnukwu ndị na-abụghị ndị gọọmentị na-eme nchọpụta iyi egwu cybersecurity.

Nke a na-enye gị ohere imejuputa usoro nleba anya jikọtara ọnụ maka igwe ojii na igwe ojii nke ụlọ ọrụ gị nwere ike iji. Enwere ike nyochaa ozi anakọtara site na iji ikike arụnyere Stealthwatch Cloud ma ọ bụ ziga ya na SIEM gị (Splunk, ELK, SumoLogic na ọtụtụ ndị ọzọ na-akwado na ndabara).

Site na nke a, anyị ga-emecha akụkụ mbụ nke isiokwu ahụ, nke m nyochara ngwaọrụ arụnyere na mpụga maka nlekota nchekwa ozi nke nyiwe IaaS / PaaS, nke na-enye anyị ohere ịchọpụta ngwa ngwa ma zaghachi ihe omume na-eme na gburugburu igwe ojii ụlọ ọrụ anyị ahọrọla. N'akụkụ nke abụọ, anyị ga-aga n'ihu na isiokwu ahụ ma lelee nhọrọ maka nyochaa ikpo okwu SaaS site na iji ihe atụ nke Salesforce na Dropbox, anyị ga-agbalịkwa ịchịkọta ma tinye ihe niile ọnụ site na ịmepụta usoro nlekota nchekwa ozi dị n'otu maka ndị na-eweta igwe ojii dị iche iche.

isi: www.habr.com