本文介绍了IBM Security QRadar如何为云和VMware环境提供安全智能,包括增强可见性、监控虚拟基础架构、安装DSM、配置日志源、自定义仪表板和规则,以及生成相关报告,帮助组织保护云安全。
qradar
通过安全智能获得对云的更好可见性
与过去相比,今天的组织面临的攻击数量和种类更多。 这些攻击变得越来越协调一致,并且针对关键的组织资产,包括客户数据库,知识产权,甚至是由信息系统驱动的物理资产。 随着组织将工作负载转移到云和虚拟数据中心等平台上,出于审计目的以及有效应对组织的虚拟化基础架构面临的威胁,跟踪活动的需求也在增加。
安全管理员通常会担心其云和虚拟环境中的所有“审核”和合规性,例如发生了什么事件, 何时发生, 在哪里发生。 例如,安全管理员可能会对检查整个环境中所有失败和成功的身份验证感兴趣,或者他可能想知道特定事件(例如虚拟机的创建或删除)是否很快。
通过可预测的智能安全性来领先于内部威胁
在本文中,我们介绍了通过可靠的基础控制,智能报告和管理工具的组合来识别和防御内部威胁的方法。 阅读白皮书以了解以下内容:
- 内部威胁的演变
- 应对内部威胁的智能安全系统。
- 通过情报和大数据分析增强安全性的方法。
下载“ 通过可预测的智能安全性,领先于内部威胁 。”
更具体地说,在云中,组织正在寻找更好的方法来:
- 保护和跟踪虚拟基础架构上的用户活动
- 满足虚拟基础架构的审核和合规性需求
- 更好地了解虚拟基础架构中发生的事情
- 获得虚拟基础架构的运营智能
要提供这种情报,需要汇总并分析来自云中各种来源的数据。
图1.安全情报涉及跨各种来源收集和分析事件。
安全情报是通过实时收集,规范化和分析各种来源的日志来识别,跟踪和解决持久性威胁的综合,自动化和主动方式。 为了监视云活动,除传统的数据中心基础架构,数据库,应用程序和设备之外,该平台还需要从虚拟机管理程序和云管理平台收集事件。
IBM Security QRadar安全智能平台是一个集成的产品家族,可以收集和分析来自这些各种来源的数据。 带有新提供的设备特定模块(DSM)的IBM Security QRadar也可以从虚拟基础架构(例如VMware组件)收集日志和事件。 本文详细介绍了这些新功能,并演示了如何通过仪表板上的实时通知来跟踪用户活动,检测攻击并领先于威胁。 您可以通过适用于所有层(包括虚拟机,虚拟机管理程序和云管理系统)的即用型审计和合规性报告,轻松管理云的安全风险。
下一节重点介绍为基于VMware的虚拟化环境提供安全智能的IBM Security QRadar功能。
适用于VMware云和虚拟化环境的安全智能
VMware vCloud环境包含多个组件。 下表描述了一些必需的关键组件,您需要监视这些组件才能了解云环境。 有关组件的完整列表和详细的vCloud架构,请参见VMware vCloud Architecture Toolkit。 (请参阅相关主题 。)
表1. VMware vCloud组件
| vCloud组件 | 描述 |
|---|---|
| VMware vCloud Director | 提取虚拟资源并向消费者显示vCloud组件的软件层。 这包括:
|
| VMware vSphere | 虚拟化平台,为vCloud提供物理基础架构层的抽象。 这包括:
|
如图2所示,IBM Security QRadar从上述VMware组件(主要是ESX / ESXi,vCenter和vCloud)收集任务和事件日志,并将它们分类为几个类别。 例如,vCloud Director的默认事件类别包括:
- 用户事件
- 团体活动
- 用户角色事件
- 会议活动
- 组织活动
- 网络事件
- 目录事件
- 虚拟数据中心(VDC)事件
QRadar对收集的日志执行智能关联,以检测任何异常或事件并警告安全经理,从而使他能够采取适当的措施。 安全经理还可以使用一些可自定义的GUI功能(例如仪表板,报告和攻击规则)来可视化分析几天(例如过去七天)内收集的日志,并根据严重性对操作进行优先级排序的罪行。 所有日志均从集中的QRadar控制台显示,这使管理和监视云环境更加容易。
图2.适用于VMware vCloud的IBM Security Intelligence解决方案
下一节重点介绍为基于VMware的虚拟化环境提供安全智能的IBM Security QRadar功能。
安装设备支持模块(DSM)
DSM为QRadar解析事件信息,以记录和关联从外部来源(例如安全设备(例如,防火墙)和网络设备(例如,交换机和路由器))接收到的事件。 您可以从IBM支持:Fix Central下载并安装VMware DSM。 请参阅相关主题 。
在“ IBM支持:修订中心”页面上,选择产品组安全系统 ,然后为安装的版本选择安全QRadar SIEM 。 显示所有可用的DSM和已安装版本的修复程序。 您还需要下载并安装DSM的相应协议配置,这些支持也可从IBM支持中心:Fix Central获得。
例如,QRadar 7.2的vCloud DSM为7.2.0-QRADAR-DSM-VMwarevCloud-7.2-606240.noarch.rpm ,DSM的协议配置为7.2.0-QRADAR-PROTOCOL-VMwarevCloud-7.2- 606255.noarch.rpm 。
配置DSM
您需要为以下组件配置DSM:
- ESX / ESXi服务器
- VMware vCenter
- VMware vCloud
用于IBM Security QRadar的EMC VMware DSM可以使用VMware或syslog协议来收集事件。 适用于IBM Security QRadar的VMware vCenter DSM通过使用VMware协议收集vCenter Server事件。 VMware协议使用HTTPS轮询vCenter设备以查找事件。 您需要在QRadar中配置日志源以收集VMware vCenter事件。 在配置日志源之前,首先创建一个唯一的用户以轮询事件。 该用户可以是root或管理组的成员,但是您必须为该用户分配一个只读权限角色。 只读权限可确保QRadar可以收集最大数量的事件并为虚拟服务器保留一定的安全级别。 有关用户角色的更多信息,请参见VMware文档。 (请参阅相关主题 。)
QRadar再次通过使用VMware协议支持从vCloud Director 5.1设备轮询VMware vCloud Director事件。 QRadar通过轮询vCloud设备的REST API中的事件来从vCloud API收集安全数据。 使用vCloud REST API收集的事件被组装为日志扩展事件格式(LEEF)事件。 QRadar DSM可以检索VMware vCloud Director事件并将其转换为LEEF格式。
要将vCloud事件与QRadar集成,您必须完成以下任务:
- 在vCloud设备上,为vCloud REST API配置公共地址。
- 在QRadar设备上,配置日志源以轮询vCloud事件。
- 确保没有防火墙规则阻止vCloud设备与QRadar控制台之间的通信
有关更多详细信息,请参阅《 IBM Security QRadar DSM配置指南》 。 请参阅相关主题 。
添加日志源
安装所需的DSM和相应的协议后,请配置关联的日志源。
图3.添加日志源
要添加日志源:
- 单击IBM Security QRadar Admin选项卡中的日志源以打开一个弹出窗口。
- 在弹出窗口中,单击添加 。
- 选择日志源类型: EMC VMware for vCenter或VMware vCloud for vCloud 。
- 选择适当的协议配置。
这些步骤的结果类似于图3中显示的屏幕截图。 指定相应的IP地址,用户名和密码后,可以使用EMC VMware日志源类型连接ESX Server或vCenter。 同样,为vCloud Director指定IP地址,用户名和密码,以配置vCloud日志源。
用于VMware vCloud监控的内容包
内容包提供的默认内容包括虚拟云基础架构仪表板,通知和攻击生成规则以及特定于VMware虚拟云基础架构的报告。 内容可以被定制以适合用户虚拟环境的特定要求。 以下各节提供了一些示例内容的演练,您可能会在可用默认内容的基础上开发这些示例内容。 (某些内容是可通过该软件包获得的默认内容的一部分。)该内容软件包可作为QRadar 7.2版的MR1(维护版本1)的修补程序提供。 版本7.2或更低版本的现有QRadar客户需要升级到7.2 MR1以获取内容包更新。
自定义仪表板(虚拟基础结构仪表板)
IBM Security QRadar通过仪表板向安全和合规人员提供摘要视图。 仪表板提供有关应用程序概述,合规性概述,系统监视以及威胁和安全性监视的信息。 IBM Security QRadar还允许用户创建定制仪表板。 为了易于使用,云安全管理员可以为虚拟基础架构创建自定义仪表板,以监视和跟踪与其云基础架构相关的网络和日志活动。
仪表板样本
图4描述了示例虚拟云基础架构仪表板。 仪表板中的内容和项目可以基于需求进行定义,并且可以包括云安全管理员感兴趣的许多项目。 例如,此自定义仪表板包括:
- 按事件名称列出的VMware Virtual Infrastructure身份验证事件。 此项列出了来自vCenter和vCloud环境的所有身份验证事件,这些事件按Y轴上的事件数与X轴上的事件列表进行分类。
- 按用户名分类的VMware Virtual Infrastructure身份验证失败。 此项列出了来自vCenter和vCloud环境的所有身份验证失败,按Y轴的事件数与X轴的用户名列表进行了分类。
- 系统通知。 此项报告常规系统事件以及特定于VMware vCloud和vCenter环境的事件。 特定于VMware的通知可能包括:
- vApp活动(例如创建,删除,部署,修改)
- vCenter销毁活动(例如,创建,销毁数据存储)
- VM活动(创建,删除,快照,故障消息,迁移)
- vCloud活动(例如虚拟数据中心的创建或删除)
- vCenter活动按事件名称分类。 此项列出了VMware vCenter中的事件和任务活动。
- vCloud活动按事件名称分类。 此项列出了来自VMware vCloud的事件和任务活动。
- 最严重的罪行。 此项列出了QRadar系统检测到的高强度犯罪。 此列表还包括特定于VMware Virtual环境的攻击,例如:
- 违反快照限制
- 半小时内至少检测到五次破坏事件
- 在半小时内检测到至少五个VM创建事件
- 半小时内至少检测到五个VM删除事件
- 在半小时内检测至少五个VM克隆事件
- 最新报告。 顾名思义,该项目包括整个系统的最新报告集,包括特定于VMware Virtual环境的报告。
图4.虚拟基础架构仪表板
自定义规则和违法行为
用户可以创建云资源的参考集(一组元素),并且可以通过使用规则向导来检测与参考集或云资源关联的任何异常活动来创建规则。 这些规则用于在管理员虚拟或云环境中发生的活动异常时警告管理员。 例如,假设在一分钟的时间跨度内启动了五个以上的快照创建事件,并且该时间跨度在环境中是不寻常的。 在这种情况下,QRadar提出了违法行为,因此可以提醒管理员并采取适当的措施来处理此事件。 相似的规则会以5h3的VM或vApp快速创建,删除,克隆和其他操作速度产生攻击。
图5.虚拟基础架构的犯罪
规则是可定制的。 管理员可以设置时间跨度和事件数量的限制,在此之后QRadar必须触发攻击。
报告书
与VMware虚拟环境有关的默认报告位于“虚拟基础结构”文件夹下,并分为两个子类别:“虚拟基础结构(VI)支付卡行业(PCI)”和“ VI用户身份验证”报告。
VI PCI子文件夹生成与虚拟基础架构有关的PCI报告。 这些报告可以应用于符合PCI法规要求的环境。 多个报告涵盖了PCI 8.1,可捕获VI和PCI 10中的用户身份。图6显示了一个示例每周报告,该报告是针对PCI 8.1要求生成的,用于跟踪和收集与云中唯一ID相关的所有事件。
图6. PCI 8.1的示例报告—跟踪和收集与VMware虚拟环境中的唯一ID相关的所有事件
VI用户身份验证子文件夹包含与vCenter和vCloud环境中的用户身份验证相关的报告。 每个报告都是认证失败和成功事件的汇总,每天,每周和每月生成一次。 图7显示了针对vCenter身份验证事件(最近24小时)生成的示例每日报告,该报告按用户名分类。
图7.示例vCenter用户身份验证活动报告
摘要
在本文中,我们讨论了可用于VMware Cloud环境的IBM Security QRadar新功能,并将重点放在如何扩展默认内容包以为您的云环境构建安全智能上。 我们详细介绍了在基于VMware的环境中实施解决方案的步骤。 使用IBM Security QRadar的类似方法,您可以轻松地为其他私有和公共云环境构建安全性情报。 通过安全智能解决方案,随着对虚拟环境的可见性和洞察力的增强,我们希望看到更多的客户有信心将其工作负载转移到云中。
版权声明
VMware,VMware vCloud和VMworld是VMware,Inc.在美国和其他司法管辖区的注册商标和/或商标。 使用“合作伙伴”或“合作伙伴”一词并不意味着与VMware或任何其他公司建立合法的合作关系。 本新闻稿中提及的所有商标均为其各自所有者的财产。
致谢
感谢Nataraj Nagaratnam(IBM安全解决方案的IBM杰出工程师和CTO)鼓励和指导我们撰写本文。 我们还要感谢IBM QRadar开发和集成服务团队的IBM同事Derek(DT)Lohnes,Corey Ferguson,Rory Bray,Colin Hay和Peter Clark,感谢他们对IBM QRadar DSM和内容的支持和指导。积分。
翻译自: https://www.ibm.com/developerworks/security/library/se-virtual-cloud-security/index.html
qradar
扫一扫
1381
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
