Microsoft發佈雲原生SIEM 偵察回應一氣呵成

Microsoft 香港區域科技長許遵發（左）及大中華網絡安全行政官潘漢昇：利用Sentinel自動接收Microsoft 365的紀錄檔，馬上分析保安威脅，Sentinel容易建立，有望普及SIEM

新科技速遞

網絡攻擊日益精密，如何保護網絡並不足夠，而許多時候，必須假設肯定受攻擊入侵之後，如何更快速偵察（Detect）和反應（Respond）。

事實上，近期保安已趨向強調自適應（Adaptive），也就是不斷隨攻擊進化而演變。如果保護的機制不與時並進，肯定不能抵抗網絡攻擊。

企業依賴傳統的端點或者防火牆，加入數據保護方案等；但隨著雲應用增加、數據分散，流動用戶和自攜設備等趨勢；所謂網絡的保安邊界（Perimeter），似有若無，也更難於防禦。

近年，安全資訊和事件管理（SIEM）蒐集大量網絡和IT訊息，即時分析後，向企業保安營運中心（SOC）發出警報並解決危機。不過傳統SIEM安裝困難，誤鳴甚多，聘請人手也不易。

傳統的SIEM方案包括了Splunk和IBM的Qradar等，紛紛加入人工智能減少誤鳴。Microsoft最近發佈Microsoft Azure Sentinel，為全球首批雲原生SIEM解決方案。SIEM架設於公有雲，純以SaaS方式提供，Sentinel融合Azure和AI功能，亦更有效偵測和防禦網絡威脅。

Microsoft大中華網絡安全行政官潘漢昇說，Sentinel更容易架設，毋須擔心基建架構的擴充，緊密結合Microsoft全線產品，整合Office 365和Microsoft Defender，以各種Azure雲端服務，甚至可分析其他公有雲紀錄檔。

Sentinel快速重建入侵的整個過程，並自動建立反應步驟，自動化執行Playbook，實時偵察及清除入侵的惡意程式。

Sentinel內置自動化和協作功能設有預定或自定的指南，以處理重複的工作並快速回應網絡威脅。Sentinel配合SOAR（Security Orchestration, Automation and Response）即網絡保安協調、自動化和回應工具，加強回應的速度，協調分析和完成入侵的偵察過程，Microsoft也為Sentinel加入了機器學習，自動建立入侵警示。

不過，SIEM隊伍會根據不同保安警報，設立如何解決不同威脅和入侵步驟，簡稱為Use Cases。團隊根據事先建立的Playbook應付入侵。Sentinel除了可快速重建入侵的過程，建立度身訂造的警示，也可自動化執行Playbook，實時偵察及清除入侵。

Azure Sentinel 將加強企業現有的防護和偵測工具，包括最佳的網絡保安產品、自家研發工具或其他系統（例如人力資源管理應用程式）和工作流程管理系統（例如ServiceNow）等其他SOAR工具。

Microsoft 香港區域科技長許遵發表示：「憑藉嶄新SIEM和SOAR（Security Orchestration, Automation and Response）即網絡保安協調、自動化和回應工具，透過內置和自動化的協作，改善企業的保安分析能力，讓他們更快速應對保安事件，同時控制 SIEM 的成本。Azure Sentinel 提供主動且反應迅速的雲原生SIEM，有助客戶簡化網絡保安工作，同時可隨著保安工作的增長而擴展。藉著Azure Sentinel正式登陸香港，Microsoft有更獨特的優勢，進一步保護香港大小企業，令他們實現更多，成就更多。」

Azure Sentinel憑藉內置的 AI 和機器學習能力，快速分析企業的大量數據，據稱警報疲勞降低達90%。透過過濾雜訊、減少錯誤警報、耗時工作和各種複雜問題， Sentinel 減輕網絡保安行動（SecOps）團隊負擔，優先處理關鍵任務。

Sentinel 與Microsoft 365深度整合，配合Microsoft威脅防護解決方案組合，包括 Microsoft Defender Advanced Threat Protection、Office 365 Advanced Threat Protection 和 Azure Advanced Threat Protection。

Sentinel也獲 CRN 評為 2019 年十大最熱門網絡保安工具之一。近期Microsoft多項產品亦成為Gartner領導廠商產品。

Sentinel 配備內置連接器、結合 Microsoft 原生訊號，支援標準記錄檔格式（如常見事件格式和系統記錄），只需簡單點擊數即可免費上載Microsoft Office 365數據，與其他數據結合分析。Sentinel數據庫每天可接超過10PB數據，提供搜尋引擎，數秒之內將數百萬條記錄排序。

Sentinel收費模式亦以分析數據量計算，跟Splunk收費模式相若；Splunk亦可架設在公有雲上；其他公有雲上流行SIEM，還包括了LogRhythm等競爭對手。

Sentinel機器學習可將數百萬個低逼真度（Low-Fidelity）異常情況，串連起來，並展示成高逼真度（high fidelity）事故，篩選大量警報、或者手動串連來自不同產品或傳統關聯引擎警報，增加偵察的凖確度。