教您如何高效管理云日志安全事件

　　欢迎大家阅读本篇文章，本篇文章教您教您如何高效管理云日志安全事件，对大多数企业来说最合理的方案，是在基础云服务环境系统上生成日志，这样企业内部的可控性得到了加强。课课家教育平台提醒您：文中有许多的小细节，所以请大家认真阅读本篇文章哦~

　　云日志 安全事件可产生大量数据。本文中专家Dave Shackleford讨论了如何过滤它并获得重要的安全事件。

　　随着开发和运营团队不断把资源迁移向云端，企业对于基于云的服务也使用越来越多，致使安全团队不得不时刻准备应用对不预期的问题——大量新的预警和事件。

　　来自云访问安全中介Skyhigh Networks的最新报告，对不断增长的云文件共享和协作服务，以及对安全团队面临的新问题提供了一些观点，即从所有事件中以“影子IT”和疲劳预警形式展示。

　　报告指出，根据Skyhigh的客户调查，企业平均 每月产生约27亿个云事件，而文件共享/协作活动一直是这个数字激增的最大原因。报告还发现，这些云事件中的2,500构成了“异常”事件，其中只有23个是实际的安全事件。有了这样的量，安全团队比以往任何时候都更加努力，过滤掉噪音，并响应合法的安全事件和可疑事件。

　　云日志：应用介绍

　　与个人邮件帐户同步，即使没有手机或手机丢失，也可通过其它任何邮件客户端查看日志

　　由于日志存储在个人邮件账户中，所以个人私密数据不会轻易泄露

　　超简洁的使用界面，提供分类标签，快速搜索，密码保护功能

　　支持离线方式下的日志存储

　　支持自动上传电话短信记录

　　支持转发邮件或分享微博

　　对云日志排序：

　　首先，也是最明显的，安全分析师需要做的事是从所有相关的云环境中收集日志。同时，分析师要确保所有云日志都进入到了一个常见的位置。

　　大部分云服务提供商允许用户从他们的环境中下载日志，或从专门的存储节点，如亚马逊的CloudTrail 或谷歌的Stackdriver Logging。

　　现今，还有许多云适用的安全事件聚合和分析平台，包括Splunk Cloud、Sumo Logic、Loggly和Papertrail。

　　这些服务给团队提供了一种简单的方法 ，来从多个云服务中收集日志，并且通常这些服务 通过提供的API更容易集成。

　　一旦收集并聚合的云日志后，分析人员需要筛选各类事件，并开始对它们进行优先级排序。对此，有几个关键点需要注意。

　　添加上下文：如果云日志可以“标记”为来自特定服务提供商，那么这可以帮助提供关于服务用例的上下文。

　　例如，来自Salesforce.com的日志将关注用户活动和身份验证，以及环境中的管理更改。在Amazon web Services或Azure中，将有更多变化的活动，以及更多不同类型的用户和角色。

　　定义优先级：专注于云的安全分析师必须决定哪些事件和行为是最重要的监视。常见的起点包括对云管理控制台的所有登录活动; 对重要云对象和数据的任何更改或尝试更改; 以及凭证或加密密钥的任何创建、删除或修改。

　　调整警报：虽然这看起来很常见，但一般来说，调整对于云记录和事件管理来说是非常重要的。

　　抑制冗余警报——那些完全可以自操作的警报以及与安全无直接关系的警报。为了在环境中建立合适的行为准线，分析人员可能需要几周或几月的数据积累。另外，也要调整每周监控过程的常规部分。

　　关注帐户：剩余用户帐户和数据是云中的一个大问题。

　　与人力资源团队密切合作，快速停用云帐户，并在用户离开企业后，至少几周内监控所有尝试登录到已停用或已删除的帐户的行为。

　　在员工离开之前监控用户帐户活动是一个不错的主意。这将确保离职员工不会一起带走公司的数据;还要寻找突然增加的数据导出或整体帐户使用。

　　云事件的最终聚焦区域应该是云活动的发起点。对许多人来说，在没有业务或用记的新国家或地点登录，都将视为非常高优先级的警报，许多云日志中包含足够的详细信息来记录登录位置。在减少噪声的同时监视云日志以获取这类有价值的信息将极大地有利于安全团队及其组织。

　　知识分享：

　　云计算，是分布式计算技术的一种，其最基本的概念，是透过网络将庞大的计算处理程序自动分拆成无数个较小的子程序，再交由多部服务器所组成的庞大系统经搜寻、计算分析之后将处理结果回传给用户。透过这项技术，网络服务提供者可以在数秒之内，达成处理数以千万计甚至亿计的信息，达到和“超级计算机”同样强大效能的网络服务。

　　云计算是一种资源交付和使用模式，指通过网络获得应用所需的资源(硬件、平台、软件)。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的，并且可以随时获取。这种特性经常被比喻为像水电一样使用硬件资源，按需购买和使用。

　　1. 软件即服务(SaaS)

　　这种类型的云计算通过浏览器把程序传给成千上万的用户。在用户眼中看来，这样会省去在服务器和软件授权上的开支;从供应商角度来看，这样只需要维持一个程序就够了，这样能够减少成本。

　　2. 平台即服务(PaaS)

　　平台即服务(Platform as a Service，PaaS)是一种无需下载或安装，即可通过因特网发送操作系统和相关服务的模式。由于平台即服务能够将私人电脑中的资源转移至网络云，所以有时它也被称为“云件”(cloudware)。平台即服务是软件即服务(Software as a Service)的延伸。软件即服务是将软件部署为托管服务并通过因特网提供给客户。

　　3. 基础设施即服务(IaaS)

　　云计算基础设施即服务，提供给客户的是出租处理能力、存储、网络和其它基本的计算资源，用户能够部署和运行任意软件，包括操作系统和应用程序。客户不管理或控制的底层的云计算基础设施，但能控制操作系统、储存、部署的应用，也有可能选择网络组件(例如，防火墙，负载均衡器)。最早是Amazon开创了这个市场，奠定了AWS在这个市场的领先地位。而Rackspace、Gogrid、Flexiscale、Gridlayer等后来者发展势头也不错。

　　小结：相信大家阅读完毕本篇文章后，学到了不少知识吧?进入了大数据和云计算时代以来，网站或系统的日志分析也迎来了革新当然如果大家还想要了解更多相关详细内容的话，请登录课课家教育平台咨询哟~