基於雲端資料中心全球部署的優勢,微軟跨足資安事件管理系統(SIEM),提供以雲端原生技術發展的Sentinel服務。不僅由Sentinel實現即時蒐集、彙整和分析來自多種管道的日誌,以盡早識別惡意活動,今年(2023)微軟更推出了Security Copilot,將OpenAI的GPT-4模型整合到資安防禦領域,可幫助資安團隊加快偵測與回應速度。
微軟亞洲首席資安長花村實(Minoru Hanamura)在一場公開演講中提及,根據微軟統計,全球平均每秒鐘發生超過4,000次釣魚郵件盜取密碼的攻擊活動,一旦成功,攻擊者只須72分鐘即可存取個人資料。外部威脅如此嚴峻,但企業卻普遍面臨缺乏資安人才的窘境,勢必須建構一套有效、高可靠度的解決方案,以應對外在的威脅環境。
Security Copilot結合OpenAI最先進的GPT-4模型和微軟超大規模的基礎設施,以及針對資安訓練過的專屬模型,更擁有來自每天65兆個訊號的微軟威脅情報,再加上其內建在產品中的特定資安技能和劇本(Playbook),能幫助SOC(Security Operation Center)在安全領域提升效率。
台灣微軟資安產品資深經理張士龍舉例,當Security Copilot接收到來自資安人員賦予的指令時,它會運用專業的資安模型來判讀,以發揮先進的大型語言模型(LLM)的價值。此外,Security Copilot亦能協助捕捉其他方法可能錯過的內容,並提高資料分析的工作效能,立即針對潛在風險採取行動。
Copilot機制正式納入SIEM平台
已整合Security Copilot機制的Sentinel平台,是採以雲端原生開發的SIEM平台,專為統整企業或組織的應用場域各種日誌資料而設計。張士龍說明,SIEM是企業網路安全的核心組成部分,用於監控、分析,並對各種安全事件進行預警。然而,隨著網路環境越來越複雜,傳統的SIEM解決方案面臨諸多挑戰,包括硬體資源不足、規則更新困難和整合問題等。
他引述實際採用Sentinel平台的客戶回饋,微軟基於雲端原生開發的SIEM平台具備獨特優點,首先是解決了軟體和硬體升級的問題。由於基於雲端平台,企業不再需要為了處理突然增加的資安事件而擔心硬碟空間或頻寬不足,導致維護成本大幅提高。
其次是雲端環境可以實現規則的即時更新。傳統SIEM解決方案維護繁瑣,需要不斷手動更新規則。然而,微軟的Sentinel平台上這些規則可以自動被更新,大幅降低了維護成本和複雜性。此外,微軟的Azure平台提供了豐富的服務和工具,如Microsoft Entra ID(原稱Azure AD)、EDR等,這些服務和工具與Sentinel解決方案高度整合,使得安全監控和事件處理更為順暢。
內建KQL樣本加速自動化分析資料
Sentinel支援多達百種的資料連接器,亦可接取非微軟產品,廣泛地建立安全生態系統。例如使用Syslog、REST API等方式介接,從資料來源拋轉到Sentinel平台。如今再加入Security Copilot技術輔助,可讓Sentinel具備的使用者與實體行為分析(UEBA),以及安全性協調、自動化與回應(SOAR)發揮效益,主動偵測、調查和回應攻擊活動。
UEBA是一種先進的安全分析方法,旨在識別企業內部和外部的異常活動,從而預防或最小化資安風險。利用各種資料來源和機器學習算法,UEBA可以對使用者、裝置、應用程式等多種實體的行為進行全面分析。當出現與基準行為偏離的情況時,UEBA會自動觸發告警,讓資安專家可以立即採取行動。
Sentinel設計的UEBA機制可針對識別出的活動進行評分。這個分數是基於多種指標進行計算,包括活動的性質、頻率,以及與其他使用者或實體的相對行為。目的是釐清風險等級高低,以指引資安團隊排定優先處理任務。
另一方面,在資訊安全領域中,威脅獵捕(Threat Hunting)一直是相當重要的手段,用以主動地尋找潛在的網路威脅。隨著人工智慧和機器學習技術的不斷發展,傳統由專家手動執行威脅獵捕的方式有了新的樣貌。
近年來,威脅獵捕開始普遍使用MITRE ATT&CK框架作為指導。這個框架提供了一套完善的、基於實際案例歸納整理的攻擊技術和戰術分類,包括14個主要的流程步驟,涵蓋攻擊者從初始入侵(Initial Access)到完成資料外洩過程採用的手段。資安團隊可運用這個框架,定期或即時地運行日誌分析,以便及早發現潛在的惡意活動跡象。
過去威脅獵捕大多由資安專家手工執行,隨著SIEM平台與AI應用發展已相當成熟,現在已可設定自動化規則,讓程式碼自行完成初步分析和掃描。這包括設定排程,根據MITRE ATT&CK框架的指引,對蒐集到的日誌進行自動化分析。例如利用Sentinel平台內建的樣本執行Kusto查詢語言(KQL),有助於降低資安人員工作負擔。Kusto查詢語言能夠對大量的資料進行篩選、排序、聚合以及其他複雜操作。在其背後是一種高度靈活和易於使用的資料流程模型,使得用戶可以方便地進行資料查詢與分析。
不過,即使有了自動化機制輔助,資安專家仍然扮演著不可或缺的角色。特定的判斷和分析,例如對異常行為的評估或APT攻擊活動的追蹤,通常還需要人的專業知識和經驗才可達成。
自動化規則輔助執行回應
Sentinel的最大優勢在於其全面性。它不僅提供了SIEM功能,還整合了SOAR,這使得Sentinel成為一個全方位的資訊安全平台。自動化規則和劇本的靈活運用使企業能夠更有效地分配工作任務,抵禦日益複雜和多變的資安威脅。
台灣微軟資安產品資深經理張士龍指出,Security Copilot設計理念是輔助資安團隊執行日常任務,可運用簡單的自然語言對話方式掌握整體威脅態勢,提高工作效率與加速回應異常事件。
資安人員可藉由Sentinel自動化規則建立劇本,以指派任務或關閉事件。此機制可有效減少人力需求,確保即使在最繁忙的狀況下也能夠保持一致和精確的事件處理程序。透過劇本的方式,Sentinel聚集了一系列回應和補救動作,以及一套可以定期從Sentinel執行的邏輯。因此,劇本不僅是一個獨立的自動化項目,而是整個企業資安控管策略的一部分。
由於這些劇本會以Azure Logic Apps建置的工作流程為依據,資安人員可自行定義,方式是藉由視覺化工具並選取預先制定的任務,以Low Code或No Code的方式,快速建置工作流程來整合及管理應用程式、資料、服務和系統。如此一來,企業可借助劇本來整合和協調內部多個應用系統與資安工具,對付日益複雜和多變的滲透入侵。