利用 OMS 安全性分析調查混合雲中的可疑活動

混合環境中的監視設備對您的安全態勢是非常重要的。採取緊急安全性行動的目的是為了縮小發現威脅和採取行動妥善制定對策之間的差距。監視在您安全性態勢的偵測階段是很重要的,如下圖:

 

 

在混合環境中,您可以利用 OMS 安全性與稽核方案中的偵測功能來定義威脅,並利用 OMS 提供的一些方針來幫助您妥善回應此威脅。在有些情況下,OMS 可以輕易的偵測到一些威脅,而有時您可能會收到一則警示告知您在特定系統中有可疑的活動。此文將告訴您如何利用 OMS 安全性與稽核方案的一些功能來幫助您調查。

Note: 值得強調的是,您應該利用您組織的案例迴響程序來逐個處理。

跟著警告符號

要定義一個可疑的活動,首先要到 OMS 安全性與稽核儀表板,查看 偵測(預覽) 的磚,如下圖:

 

在查看 alert 列表時,您應該根據嚴重性來解決問題,也就是高嚴重性(紅色)優先。此範例選擇了高嚴重性,名稱為 Suspicious Activity 的偵測。直接點選後會進入以下記錄搜尋頁面:

 

而您也可以設定警示,當此程序又在任何受 OMS 監視的電腦中被執行一次時,OMS 安全性便會傳送 email 通知您。要配置警示,直接在此指令搜尋結果的上方,按下警示的圖示,如下圖:

在新增警示規則的頁面,您可以依需求填入欄位。如下圖:

完成後按下儲存即可。

更多資訊

想看到更多有關如何在事件響應的情況使用 OMS 安全性的資訊或是範例,可以查看以下的影片: