[資安小常識] OMS Log & Security

Operations Management Suite (OMS) 中的 Operational Insight，匯集了來自混和雲環境中、實體機器、虛擬機器、跨平台的完整系統紀錄檔資料。OMS中的安全解決方案利用 Log Analytics 豐富的視覺化和強大的搜尋功能，替我們從繁雜的紀錄檔中做出準確，系統性的整理。而新功能除了找到相關資料和事件以外，也加強了客製化追蹤和評量能力，以及對Linux更完善的支援。

OMS Security & Compliance Solutions

          安全問題涵蓋廣泛，相關聯的資料自然多而雜。Solution Gallery中也能看到多樣的解決方案。有追蹤惡意程式和保護狀態的Malware Assessment，也有System Update Assessment建議或標記遺漏的更新。另外對於安全議題非常重要的事件紀錄檔，有Security and Audit作為核心解決方案：收集事件、找到異常的登入、高權限、原則更動、可疑活動模式等並搜尋弱點。

          對於傳統的安全系統需求，以上的解決方案利用Log Analytics達到了IDS 的需求，而OMS的災難復原能力滿足了IPS的需求。OMS 利用Azure Backup 和Azure Site Recovery在雲端的儲存體和虛擬機器分別保護資料和工作負載，並且用Azure Automation自動化應對措施，而不再只是被動的面對安全問題。OMS的備份與復原能力其實有比安全更廣泛的用途：同步工作、移植機器、開發與版本測試等，皆是使用者的實際應用。另外 Azure 的其他的資料分析服務更是讓來自雲端的OMS超越IDS & IPS格局的潛力。

OMS Data Security

          Data segregation: 資料儲存在編碼保護的BLOB儲存體中，並受到有條理的標記分類

          Data retention: 能夠依解決方案和需求彈性調整資料儲存時間和空間價位。

          Physical Security: 來自雲端的OMS有Azure的值得信任的安全能力。

          Compliance & certification: 微軟堅實的LC團隊持續地為OMS的認證與法規等問題做出貢獻。(註1)

Log Analytics 新功能

          OMS的警訊通知加強讓原本的安全能力更加完備。現在能自訂探索警訊的搜尋模式、頻率、和資料達警訊標準的數值，讓原本就能客製化的管理面板中的資料用更適合自己系統的方式彙整。能在收到特定警訊時發送電子郵件通知管理員收件清單，輔以runbook的自動化工作；在接收到警訊的同時，就已經正在處理安全問題。另外OMS能夠記取不同使用者安裝某項更新的時間，對更新程序做出更好的時間評估，增加自動化的效率。

Linux 支援

以Syslog 作為媒介

          這是大家數一數二關心的問題，也是OMS更新的重點。現在的 Log Analysis囊刮了Linux的Syslog資料、效能數值、和來自Nagios/Zabbix的警訊，並實現了更多解決方案。Linux syslog 精靈收集廣大的資訊，包含系統事件、kernel訊息、使用者稽核資訊。系統使用syslog集中紀錄的一大好處便是能夠透過syslog協定收集自大量應用程式或Unix服務。(註2)

          在應用程式資料部分，紀錄檔不只在解決問題的關鍵，對於開發也非常實用。OMS同時提供開發人員和IT營運橫跨開發、QA/Test、和上線環境的透徹窗口。利用既有的外掛程式，您可以將Jenkins(一個受歡迎的連續整合和自動化工具)的狀態資訊轉至OMS。另一個範例是利用加入logback或log4j等java記錄平台的設定選項，將java程式伺服器資訊直接傳送至syslog精靈。

          網路裝置收集多點資料，且其中一些能傳送資料至syslog。按照一般的指示設定即可將資料轉至OMS代理程式中。加入客製化欄位和警訊系統後網路裝置環境中的細節將更為清楚。

解決方案

          雖然OMS 也能收集Linux完整的紀錄檔，但是卻沒有如Windows環境的高整合度和資料分類，但有了Syslog後更多解決方案得以實現。舉例而言 Security and Audit在進行惡意IP位址偵測時可以整理Windows Firewall / IIS / WireData的資料，換做Linux卻得自行搜尋需要的安全事件。現在Linux也能透過連結Docker後，收集容器的記錄檔、數值、和目錄；整合Linux如Zabbix、Nagios警訊等管理工具。也因為如此，OMS能夠在統一的面板上看見更完整的跨平台資訊：如Alert Management 集中檢視所有警訊，事件發生後不再需要切換不同系統平台的監控工具。

OMS身為獨特的混和雲管理解決方案，持續的更新讓跨平台的表現更加出色。跨平台的資訊更加集中且細緻，讓使用者能夠更有效率的發現系統環境中的安全問題。

註1: OMS Log Analytics currently meet the following security standards:

• Windows Common Engineering Criteria
• Microsoft Trustworthy Computing Certification
• ISO/IEC 27001 compliant
• Service Organization Controls (SOC) 1 Type 1 and SOC 2 Type 1 compliant

註2: 支援版本:

• Red Hat Enterprise Linux Server 5,6 and 7 (x86/x64)
• Ubuntu 12.04 LTS, 14.04 LTS, 15.04, and15.10 (x86/x64)
• SUSE Linux Enterprise Server 11, and 12 (x86/x64)
• CentOS Linux 5,6, and 7 (x86/x64)
• Oracle Linux 5,6, and 7 (x86/x64)
• Debian 6, 7, and 8 (x86/x64)
• Amazon Linux 2012.09 --> 2015.09 (x86/x64)

參考資料:

Security Threat Analysis – Using Operations Management Suite

Explore security with the Security and Audit solution

How OMS secures your data

Operations Management Suite Log Analytics with Linux

What’s new in Microsoft Operations Management Suite: Log Analytics

Operations Management Suite overview