亚马逊AWS官方博客

使用由 Amazon 提供支持的 Sumo Logic Cloud SIEM 防范多云和混合环境威胁

IT 安全团队需要实时了解其基础设施和应用程序的情况。他们需要能够在这种持续的信息洪流中找到并联系相关数据,以识别可能导致安全漏洞的意外行为或模式。

为了简化这一过程并实现自动化,多年来人们已经实施了许多解决方案。例如:

  • 安全信息管理 (SIM) 系统可将日志文件等数据收集到中央存储库以进行分析。
  • 安全事件管理 (SEM) 平台可简化数据检查以及日志或事件解读。

许多年前,人们结合使用这两种方法来满足信息分析和事件解读需求。这些安全信息和事件管理 (SIEM) 平台可对应用程序、网络硬件和域专用安全工具(如防火墙和端点保护工具)生成的安全警报进行实时分析。

今天,我想介绍我们的一个合作伙伴创建打造的解决方案:由 Amazon 提供支持的 Sumo Logic Cloud SIEM。Sumo Logic Cloud SIEM 在多云和混合环境中提供深度安全分析和情境化威胁数据,以缩短检测和响应威胁的时间。您可以使用此解决方案来快速检测和响应优先级较高的问题,包括对您的业务或品牌造成负面影响的恶意活动。该解决方案提供 300 多项开箱即用的集成(包括主要 Amazon 服务),可以帮助减少针对 PCIHIPAA 等法规进行合规性审查所需的时间和精力。

Sumo Logic Cloud SIEM 通过 Amazon Marketplace 提供,您可以使用免费试用版来评估该解决方案。在了解它的实际工作方式之前,我们先看看它的使用情况。

客户案例研究 – Medidata
我有机会见到一位非常有趣的客户,并就他们如何使用 Sumo Logic Cloud SIEM 进行了探讨。Scott SumnerMedidata 的副总裁兼首席信息安全官,该公司正在重新定义临床试验的可能性。Medidata 正在处理 Moderna 和 Johnson & Johnson 联合开展的新冠肺炎 (COVID-19) 疫苗临床试验的患者数据,因此安全性对他们的重要意义就不言而喻了。对于如此重要的工作负载,该公司必须赢得试验参与者的信任。

Scott 告诉我,“有一句老话:不能衡量,就无法管理。” 事实上,在 2015 年加入 Medidata 时,Scott 首先做的一件事就是实施 SIEM。现在 Medidata 使用 Sumo Logic 已有五年多了。他们看重的是这是一款云原生解决方案,这使他们更容易跟上该工具多年来的发展。

“处理数据的环境不透明对安全专业人士是不利的。” Scott 希望他的团队能够快速响应,为此,他们需要在一个显示所有 IP 呼叫、网络流和任何相关信息的屏幕上查看相关信息。例如,Medidata 会对安全扫描和任何类型的外部访问执行非常严格的检查。要做到这一点,他们不仅要查看周边情况,还要了解整个环境。Sumo Logic Cloud SIEM 使他们能够在不破坏企业环境(包括他们在超过 45 个 Amazon 账户中拥有的资源)的情况下做出反应。

“安全专家给出的一个指标是,最多有五个小时的时间来应对试探性入侵,”Scott 说,“在 Sumo Logic Cloud SIEM 的帮助下,我们足以满足时间要求,大多数情况下我们会在五分钟内做出反应。” 具备了快速响应的能力,Medidata 就能赢得患者的信任。这对他们来说非常重要,因为推迟临床试验可能会影响人们的健康。

Medidata 安全响应由全球团队通过三个级别进行管理。级别 1 由有权阻止简单攻击的合作伙伴负责。对于下一个上报级别(即级别 2),Medidata 在每个区域都有一个团队。除此之外,他们还有级别 3:这是分布在美国、欧洲和亚洲各地的核心法证审查员团队,负责处理更复杂的攻击。

可用性对 Medidata 也非常重要。除了提供 Cloud SIEM 功能外,Sumo Logic 还可以帮助他们监控可用性问题,例如 Web 服务器故障转移,并快速及时地找出可能发生的问题。有趣的是,他们可以使用 Sumo Logic 更好地了解应用程序之间的交流方式。这些不同的使用案例并未使他们的设置复杂化,因为安全和应用程序团队是隔离的,并使用 Suma Logic 作为单个平台,以便在需要时在两个团队之间无缝共享信息。

我问 Scott Sumner,由于新冠肺炎 (COVID-19) 疫情,2020 年 Medidata 是否受到了转向远程工作的影响。对他们来说,这是一个重要的话题,因为当时 Medidata 已经参与了抗击疫情的临床试验。“无论如何,我们都还是一个移动环境。公司的很大一部分以前是移动的。因此,我们已经准备好了,不会因远程工作受到太大影响。我们的所有工具都是远程的,这对我们帮助很大。我不确定我们能否通过本地部署解决方案轻松做到这一点。”

现在,让我们来看看这个解决方案的实际运作方式。

设置 Sumo Logic Cloud SIEM
Amazon Marketplace 中,我搜索“Sumo Logic Cloud SIEM”并查看产品页面。我可以订阅或开始为期一个月的免费试用。免费试用包括 1GB 的安全性和可观察性日志摄取。免费试用到期后,不会自动转换为付费服务。免费试用结束后,我可以选择从 Amazon Marketplace 购买 Sumo Logic Cloud SIEM,或选择不付费。我制定并接受合同,然后设置我的 Sumo Logic 账户。

控制台屏幕截图。

在设置过程中,我选择要使用的 Sumo Logic 部署区域。Sumo Logic 文档提供了一个表格,描述了每项 Sumo Logic 部署使用的 Amazon 区域。稍后,我在设置 Amazon 安全服务和 Sumo Logic Cloud SIEM 之间的集成时会需要这些信息。目前,我选择 US2,它对应 Amazon 中的美国西部(俄勒冈)区域。

当我的 Sumo Logic 账户准备就绪后,我使用 Amazon Quick Start 上的 Sumo Logic 安全集成在我的 Amazon 账户中部署所需的集成。您可以在此 GitHub 存储库中找到此 Quick Start 使用的源文件。我打开部署指南并按照指南进行操作。

此架构图显示了该 Quick Start 所部署的环境:

架构图。

按照部署指南中的步骤,我在 Sumo Logic 账户中创建访问密钥和访问 ID,并记下我的组织 ID。然后,我启动 Quick Start 来部署集成。

Quick Start 使用 Amazon CloudFormation 模板来创建堆栈。首先,我检查我是否在正确的 Amazon 区域。我使用美国西部(俄勒冈)是因为我将 US2 与 Sumo Logic 配合使用。然后,我保留所有默认值并选择 Next (下一步)。在参数中,我选择 US2 作为我的 Sumo Logic 部署区域,然后输入我的 Sumo Logic 访问 ID、访问密钥和组织 ID。

控制台屏幕截图。

之后,我启用并配置与 Amazon 安全服务和工具的集成,例如 Amazon CloudTrailAmazon GuardDutyVPC Flow LogsAmazon Config

控制台屏幕截图。

如果您有 GuardDuty 的委托管理员,则可以启用多个成员账户,只要它们属于同一 Amazon 组织即可。如此一来,成员账户中的所有发现结果都将通过 GuardDuty 事件处理器提供给委托管理员,然后提供给 Sumo Logic Cloud SIEM。

在下一步中,我将堆栈选项保留为默认值。我查看配置并确认此堆栈所需的其他功能(例如创建 IAM 资源的功能),然后选择 Create stack (创建堆栈)

堆栈创建完后,就可以与 Sumo Logic Cloud SIEM 集成了。如果我有混合架构,我可以将这些资源联系起来,从一个角度来分析我的安全事件。

使用 Sumo Logic Cloud SIEM
如需了解与 Amazon 安全服务的集成如何运作以及 SIEM 如何处理安全事件,我使用 amazon-guardduty-tester 开源脚本来生成安全发现结果。

首先,我使用随附的 CloudFormation 模板在 Amazon Virtual Private Cloud (VPC) 私有子网中启动 Amazon Elastic Compute Cloud (Amazon EC2) 实例。堆栈还包括一个堡垒主机,用于提供外部访问权限。创建堆栈后,我记下堆栈输出中的两个实例的 IP 地址。

控制台屏幕截图。

然后,我使用 SSH 通过堡垒主机连接到私有子网中的 EC2 实例。自述文件提供了相关说明,可据此轻松操作。我使用 CloudFormation 在实例中安装的 guardduty_tester.sh 脚本来为我的 Amazon 账户生成安全发现结果。

$ ./guardduty_tester.sh

SSH 屏幕截图。

GuardDuty 处理这些发现结果,并通过我刚刚设置的集成将事件发送给 Sumo Logic。在 Sumo Logic GuardDuty 控制面板中,我看到了可以分析和解决的威胁。

控制台屏幕截图。

可用性和定价
由 Amazon 提供支持的 Sumo Logic Cloud SIEM 是 Amazon Marketplace 中提供的一种多租户软件即服务 (SaaS),可通过 HTTPS/TLS 1.2 在公共互联网上摄取数据。您可以联系来自任何 Amazon 区域以及多云和混合架构的数据,从一个角度了解安全事件。

开始免费试用 Sumo Logic Cloud SIEM,看看它对您的安全团队有多大帮助。

阅读 Sumo Logic 团队的博客文章,了解有关该服务的更多信息。

Danilo