يعد التسجيل السحابي جزءًا مهمًا من أي برنامج للكشف عن السحابة والاستجابة لها. لقد كانت السجلات دائمًا مصدرًا مهمًا للمعلومات لمركز العمليات الأمنية، وتزايدت أهميتها مع ارتفاع الهجمات السحابية. الأحداث الأخيرة مثل مايكروسوفت توقع التسوية الرئيسية والمختلفة حملات TeamTNT، تسليط الضوء على التكرار المتزايد لهذه التهديدات. يعد التسجيل السحابي الفعال أمرًا بالغ الأهمية لتحديد الهجمات والتخفيف من حدتها قبل أن تتصاعد إلى انتهاكات أمنية خطيرة.

تعد إدارة السجلات السحابية أمرًا ضروريًا لأمان السحابة، ولكن فهم عالم التسجيل قد يكون أمرًا معقدًا. يقدم كل موفر خدمة سحابية فئات سجل مختلفة، ولكل منها أسماء وتنسيقات وخيارات تكوين فريدة. قد يكون فهم السجلات التي تحتاج إلى جمعها والتأكد من تمكين جميع السجلات الضرورية أمرًا صعبًا للغاية، خاصة عند النظر في التكلفة.

نحن هنا للمساعدة! سيقدم لك دليلنا الشامل للتسجيل السحابي أنواع السجلات المختلفة ويعرض بعض الحيل التي اخترناها على مر السنين لتحسين تكوين السجل دون إجهاد ميزانيتك. لا تفوت الدليل الكامل هنا. في منشور المدونة هذا، سنقوم بمعاينة بعض النصائح والحيل الموجودة في الدليل ونمنحك نظرة سريعة على بعض الاستراتيجيات الأساسية وأفضل الممارسات.

يعتمد أسلوب التسجيل السحابي الذي نوصي به في دليلنا على إطار عمل قمنا بتطويره، مع تصنيف السجلات السحابية حسب حالة الاستخدام الأمني ​​الخاصة بها. قامت خرائط إطار العمل لدينا بتعيين كل مصدر سجل سحابي إلى فئات: السجلات المرتبطة بالهوية والبيانات والشبكة والحوسبة ومستوى التحكم. تشتمل كل فئة على السجلات الأكثر صلة التي يمكن أن تساعد في التحضير لهجوم إلكتروني يستهدف موارد محددة في الفئة. على سبيل المثال، لاكتشاف عمليات تسريب البيانات التي تستهدف حاويات S3، ستحتاج المؤسسات إلى مراقبة أحداث بيانات S3 في CloudTrail.

الشكل 1 – السجلات حسب الفئات

يوفر إطار العمل طريقة أكثر سهولة لتقييم السجلات الضرورية لجمعها. في هذه المدونة، سنناقش السجلات الأكثر صلة باكتشاف النشاط والتحقيق فيه على مستوى التحكم في السحابة. يحتوي الدليل الكامل على نصائح وحيل وتوصيات لمراقبة النشاط الذي يحدث عبر جميع الفئات، كما يوضح تفاصيل كيفية تعيين هذه السجلات إلى إطار عمل MITRE ATT&CK لمساعدتك في تقييم التغطية الخاصة بك من حيث صلتها بنموذج التهديد التنظيمي الخاص بك.

إذا كان عليك تحديد أولويات السجلات التي سيتم جمعها، فإن السجلات من فئة التحكم هي الخيار الأساسي. غالبًا ما يُشار إلى هذه السجلات باسم سجلات الإدارة، وهي لا تقدر بثمن لالتقاط مجموعة واسعة من التهديدات المحتملة على طول سلسلة القتل السيبرانية. في حين أن السجلات الأخرى توفر رؤى لأجزاء محددة من سلسلة القتل، فإن سجلات الإدارة توفر التغطية الأكثر شمولاً وتعطي رؤى حول جميع أجزاء الهجوم السيبراني، بدءًا من الوصول الأولي إلى التأثير.

ماذا تحتوي هذه السجلات؟

وهي تغطي هوية مستوى التحكم وأنشطة إدارة الموارد مثل إنشاء الموارد والمستخدمين والحذف والتعديل. بالإضافة إلى ذلك، يقومون بتسجيل عمليات تسجيل دخول المستخدم والتطبيق وقراءة الأنشطة على الموارد، بما في ذلك سرد جميع الموارد واسترداد البيانات التعريفية حول موارد محددة. في جميع موفري السحابة، تتوفر هذه السجلات بشكل افتراضي في البوابة الإلكترونية/وحدة التحكم.

لماذا يجب عليك جمعها؟

توفر فئة الإدارة أوسع تغطية، مما يوفر رؤية لجوانب متعددة من سلسلة القتل. والأهم من ذلك، أنها تتفوق في التقاط تقنيات الوصول والاكتشاف الأولية السحابية، مما يوفر إمكانات اكتشاف استباقية ضد المهاجمين المحتملين.

ما الذي يمكنك اكتشافه باستخدام السجلات؟

  • تسجيلات الدخول من مواقع/مقدمي خدمات غير عاديين

  • كلمة المرور القوة الغاشمة

  • إنشاء مستخدمين أو أدوار أو أجهزة افتراضية أو وظائف للاستمرارية

  • نشاط التعداد عبر خدمات متعددة

  • إبداعات الموارد غير عادية

  • تفكيك البيانات

AWS – سجلات CloudTrail

  • استخدم مسار المنظمة – يتم حفظ السجلات بشكل افتراضي في وحدة تحكم Cloudtrail لمدة 90 يومًا. أنت تستطيع إنشاء درب لتوسيع فترة الاحتفاظ أو إرسال السجلات إلى موقع مختلف حيث يمكنك دمجها مع حل الكشف الخاص بك. نوصي باستخدام درب التنظيم الخيار، الذي يقوم تلقائيًا بإنشاء مسار جديد للحسابات الجديدة، مما يضمن التسجيل الشامل عبر جميع الحسابات داخل مؤسستك. من المثير للدهشة مدى سهولة فقدان تتبع الحسابات التي تم إنشاؤها حديثًا والتي تفتقر إلى أي سجلات، كما أن مسارات التنظيم هي الحل لضمان الحفاظ على الرؤية.

  • المسار الأول مجاني – يمكنك تسليم نسخة واحدة من أحداث الإدارة المستمرة الخاصة بك إلى حاوية S3 مجانًا باستخدام المسار.

Azure – سجلات أنشطة الاشتراك وسجلات تسجيل الدخول والتدقيق الخاصة بـ Entra

  • تمديد الاستبقاء – فترة الاحتفاظ الافتراضية لسجلات نشاط الاشتراك في البوابة هي 90 يومًا، بينما تتراوح فترة تدقيق AD وسجلات الدخول من 7 إلى 30 يومًا، حسب الترخيص. ومن الناحية العملية، غالبًا ما تكون هناك حاجة إلى فترات احتفاظ أطول عند التحقيق في التهديدات. نحن نوصي بشدة إعداد إعداد التشخيص لإرسال السجلات إلى وجهة إضافية حيث يمكن الاحتفاظ بها لفترة أطول.

  • لا يوجد نشاط قراءة – تفتقر سجلات التحكم في Azure إلى إمكانية الرؤية في معظم أنشطة قراءة مستوى التحكم، مما يجعلها غير كافية لاكتشاف محاولات الاكتشاف. على الرغم من أنه يمكنك العثور على سجلات حول الوصول إلى موارد البيانات في سجلات مستوى الموارد، إلا أنه لا يتم تسجيل الإجراءات مثل قائمة الموارد والمستخدمين والسياسات في أي مكان.

منصة جوجل السحابية

  • سجلات التدقيق مركزية للغاية – على عكس مقدمي الخدمة الآخرين، يقوم Google Cloud Platform بمركزية معظم بيانات السجل داخل سجل تدقيق واحد بدلاً من فصل البيانات إلى تدفقات سجل مختلفة. يمكن للمؤسسات ببساطة تمكين أنواع الأحداث المختلفة ضمن تدفق سجل التدقيق الفردي.

  • كتابة سجلات النشاط مجانية – تشمل سجلات التدقيق عدة أنواع: نشاط المسؤول، والوصول إلى البيانات، وحدث النظام، ورفض السياسة. يتم تمكين سجلات نشاط المسؤول، التي تغطي نشاط الكتابة في مستوى التحكم، افتراضيًا ويتم الاحتفاظ بها لمدة 400 يوم، وهو ما يكفي عادةً لمعظم حالات الاستخدام.

  • تمكين نشاط القراءة – يتضمن سجل نشاط المسؤول فقط عمليات كتابة مستوى التحكم. لتمكين عملية قراءة مستوى التحكم، تحتاج إلى ذلك يُمكَِن سجلات الوصول إلى البيانات “ADMIN_READ” لجميع الخدمات.

  • نشاط الكتابة الإضافي – تجدر الإشارة إلى أنه يتم تسجيل تغييرات محددة على تكوينات الموارد في سجلات الوصول إلى البيانات “DATA_WRITE”، ولكن لا يتم تمكين هذه السجلات بشكل افتراضي. وسوف نقوم بتغطية تلك السجلات في الأقسام القادمة.

مساحة عمل جوجل

يتم تمكين الأنواع الخمسة لسجلات Google Workspace (المشرف، وتسجيل الدخول، وSAML، وOAuth، والمجموعات) افتراضيًا ويتم الاحتفاظ بها لمدة 6 أشهر في وحدة تحكم المشرف.

  • دفق السجلات إلى Google Cloud Platform – نحن نوصي تدفق سجلات Google Workspace في سجلات تدقيق Google Cloud Platform. تتوفر سجلات البث مجانًا وتسمح لفريق الأمان باستهلاكها في مكان واحد داخل المؤسسة.

  • لا توجد سجلات للأخطاء – من المهم ملاحظة أن جميع أنواع السجلات، باستثناء فئة تسجيل الدخول، لا تتضمن سجلات أخطاء. يمكن أن يؤدي هذا الإغفال إلى تعقيد اكتشاف المحاولات غير المصرح بها لتعديل موارد الهوية.

{

  "appDisplayName": "Azure Portal",

  "appId": "c44b4083-3bb0-49c1-b47d-974e53cbdf3c",

  "resourceDisplayName": "Windows Azure Service Management API",

  "resourceId": "797f4846-ba00-4fd7-ba43-dac1f8f63013",

  "authenticationRequirement": "multiFactorAuthentication",

  "userDisplayName": "User Name",

  "userId": "11111111-1111-1111-1111-111111111111",

  "userPrincipalName": "user@company.comailto:user@company.co
",

  "ipAddress": "12.23.34.45",

  "location": {

    "city": "New York",

    "countryOrRegion": "US",

    "geoCoordinates": {

      "altitude": null,

      "latitude": 40.74839,

      "longitude": -73.9856

    },

    "state": "New York"

  },

  "signInEventTypes": [

    "interactiveUser"

  ],

  "status": {

    "additionalDetails": null,

    "errorCode": 0,

    "failureReason": "Other."

  },

  "userAgent": "Mozilla/5.0 (platform; rv:geckoversion) Gecko/geckotrail Firefox/firefoxversion",

  ...

الشكل 2 – سجل تسجيل دخول مستخدم Azure الجزئي

إحدى الطرق الفعالة لاكتشاف حسابات المستخدمين المخترقة هي تحليل سجلات تسجيل الدخول مثل السابقة، لا سيما من خلال تحديد عمليات تسجيل الدخول من بلدان أو موفري خدمات غير عاديين. يعمل Azure على تبسيط هذه العملية من خلال تضمين معلومات الموقع مباشرة داخل كائن “الموقع” في السجل.

تعد المراقبة الفعالة لسجلات السحابة أمرًا ضروريًا للكشف السريع عن التهديدات والاستجابة لها. في البيئات السحابية، غالبًا ما تكون بيانات السجل هي الطريقة الوحيدة التي يمكن للمؤسسات من خلالها الحصول على رؤى في الوقت الفعلي لبيئاتها السحابية، وتحديد الحالات الشاذة، والاستجابة بسرعة للحوادث المحتملة. قدمت هذه المدونة إطار عمل التسجيل الخاص بنا وناقشت الفئة الأولى من مجموعة السجلات: السجلات المتعلقة بمستوى التحكم. للحصول على خطوات عملية لمساعدتك على تحسين تكوين التسجيل الخاص بك عبر جميع الفئات في إطار عملنا، بدءًا من تحديد أنواع السجلات الصحيحة إلى تنفيذ إستراتيجيات فعالة من حيث التكلفة لضمان حصولك على أقصى استفادة من السجلات التي تجمعها، تأكد من مراجعة دليل التسجيل الكامل الخاص بنا هنا.

للحصول على تغطية شاملة، نوصي بدمج أساليب الكشف المستندة إلى السجل مع أدوات الكشف في وقت التشغيل. يعزز هذا النهج المتكامل قدرتك على اكتشاف التهديدات والاستجابة لها بشكل أكثر فعالية.

يعد التسجيل السحابي عملية ديناميكية يجب أن تتطور جنبًا إلى جنب مع البيئة السحابية الخاصة بك. يضمن التقييم المستمر لممارسات التسجيل الخاصة بك أن تظل متوافقة مع احتياجات الكشف والاستجابة المتغيرة لديك. وإدراكًا لصعوبة هذه المهمة، تتوفر العديد من الحلول لمساعدتك على تقييم تغطية السجل بشكل مستمر والتأكد من مراقبة الموارد الجديدة بشكل مناسب.

شاركها.
اترك تعليقاً