[資安小常識] OMS 最新安全功能
Microsoft Operations Management Suite (OMS) Log Analytics 橫跨內部部署資料中心與雲端,致力於加深對 IT 環境的洞察力。Security and Audit 解決方案用資料幫助驅動更全面的安全措施。新功能增進了使用者體驗、擴大了原本的能力範圍。
Security and Audit 新儀錶板介面
Security and Audit 的新介面可以說是 OMS 安全相關資訊的總整理。不論一天、一周、或是其他自訂的時間長度內,所有的事件、伺服器的狀態報告都能在這裡一覽無疑。新介面含有網頁版和行動版。儀錶板包含三部分:
1.Security Domain Dashboard
安全包含多種領域、有多種資料來源和需要被視覺化的數據,新介面提供儀表板更多 domain dashboard 選項:
Identity and Access:
呈現驗證和控制存取事件相關的安全資訊
Networking:
收集自 OMS WireData 解決方案的網路資料所做的安全提要
Azure Security Center:
Azure Security Center (為 Azure 中的資源提供加強安全防護和偵測)的連結
Malware Assessment:
Malware Assessment 解決方案(顯示不同伺服器的惡意程式保護軟體狀態)的連結。未來 Antimalware 解決方案將整合成為 Security and Audit 新的domain dashboard。
Update Assessment:
System Update Assessment 解決方案的連結
2. Notable issues
問題將依照重要程度排出優先順序。能監控包含清除密碼登入和訪客帳戶活動等問題。將就版圖磚的資料濃縮,避免顯示過多資料。問題清單將會因為 OMS 越來越多元的資料持續更新。
3. Threat intelligence
微軟營運著世界最大的雲端服務,因而對威脅地形有獨到的見解。數億種來源的數兆筆資料成就了智慧安全圖表,其中包含了如何保護端點、偵測攻擊、並加速回應,種種豐富資訊。
Antimalware assessment
反惡意程式軟體是系統最重要的防禦之一。OMS新的反惡意程式解決方案能夠:
涵蓋微軟反惡意程式引擎
更新後 OMS 能利用 System Center Endpoint Protection 和 Windows Defender 等解決方案的資訊。
透過Windows Security Center偵測更多反惡意程式引擎
利用 Windows Security Center 的 API 偵測不同種類的反惡意程式軟體,包含大多數 Windows 用戶端和 Windows Server 環境的反惡意程式軟體。Datacenter 和 Standard 版本的 Windows Server 2016 將會預設 Windows Security Center,能夠偵測所有註冊的反惡意程式軟體 (幾乎所有銷售者都會使用普及 API) 的防護狀態。
OMS 將持續納入常見的反惡意程式能力,透過更好的反惡意程式軟體整合、更理想的視覺化,讓收集到的資訊發揮最大功用。
Security and Audit 中心的威脅智慧部分將可能攻擊模式用多種方式視覺化。透過 WireData、IIS 和 Windows Firewall 的紀錄檔,顯示和外部惡意 IP 交流的伺服器、惡意威脅型態、和 IP 來源。
前景
這只是 OMS Security and Audit 邁向最完整的混和環境解決方案的第一步。以下領域也都已經開始動工:
微軟安全方案整合
安全一直是微軟服務客戶的重點領域,和多種安全產品整合能互利產生更好的效果。包含 Azure Security Center、Advanced Threat Analytics 和 Office Advanced Threat Protection。
Linux
OMS 正為了讓 Linux 成為最高級的服務對象而努力,現有的 Linux 代理程式已經能收集多種驗證與授權資訊。往後會將此視覺化並增進代理程式匯集不同資料的能力。
第三方安全解決方案
OMS 能夠整合市面上許多第三方的安全資產。未來將和更多廠商合作,為安全領域觸及更多安全產品並加強整合。
更多 domain dashboard
OMS 計畫持續增加不同的 domain dashboard,如網路和身分資訊將有更多視覺化。
惡意 IP 和地理標籤
OMS 將增加惡意 IP 偵測和地理標籤來涵蓋多元的紀錄,提供對惡意或可疑活動更好的指標。
參考資料: