1.1. TỔNG QUAN VỀ HỆ THỐNG PRELUDE

1.1.1. PRELUDE SIEM là gì?

Khi ngày càng nhiều doanh nghiệp hoạt động trực tuyến, do đó việc kết hợp các công cụ bảo mật mạng để ngăn chặn thời gian ngừng hoạt động ngày càng quan trọng. Thật không may, nhiều kẻ tấn công mạng vô đạo đức đang hoạt động trên web, chỉ cần chờ đợi có thời cơ để tấn công các hệ thống dễ bị tổn thương. Các sản phẩm Quản lý sự kiện và thông tin bảo mật (SIEM) đã trở thành một phần cốt lõi trong việc xác định và giải quyết các cuộc tấn công trên mạng.

Trong khi một hệ thống SIEM không phải là không dễ dàng, đó là một trong những chỉ báo chính mà một tổ chức có chính sách bảo mật mạng được xác định rõ ràng. Chín lần trong số mười lần, các cuộc tấn công trên mạng không có bất kỳ thông báo rõ ràng nào về mức độ bề mặt. Để phát hiện các mối đe dọa, việc sử dụng các tập nhật ký sẽ hiệu quả hơn. Khả năng quản lý nhật ký vượt trội của SIEM đã làm cho chúng trở thành trung tâm minh bạch của các hệ thống mạng ngày nay

Hầu hết các chương trình bảo mật hoạt động trên quy mô nhỏ, giải quyết các mối đe dọa nhỏ hơn nhưng lại thiếu hình ảnh lớn hơn về các mối đe dọa trên mạng. Một hệ thống phát hiện xâm nhập (IDS) một mình hiếm khi có thể làm nhiều hơn các gói và các địa chỉ IP. Tương tự, nhật ký dịch vụ của bạn chỉ hiển thị phiên người dùng và thay đổi cấu hình. SIEM đặt những hệ thống này và những hệ thống khác cùng với nhau để cung cấp một cái nhìn tổng quan hoàn chỉnh.

Như đã nêu ở trên, SIEM là viết tắt của cụm từ Security Information and Event Management – Hệ thống Thông tin bảo mật và Quản lý sự kiện. Về cơ bản là một hệ thống tập hợp thu thập tất cả thông tin nhật ký (log event) từ các thiết bị đầu cuối ( rất nhiều thiết bị khác nhau ) mà bạn cần quan tâm trong hệ thống, và lưu trữ nó một cách tập trung. Dựa vào những thông tin mà thu thập thì SIEM sẽ tiến hành phân tích và báo cáo các sự kiện mà tổ chức quan tâm mong muốn.

Vậy Prelude SIEM là gi?

Prelude SIEM là một hệ thống SIEM có khả năng tương tác với tất cả các hệ thống có sẵn trên thị trường. Nó thực hiện nguyên bản định dạng trao đổi thông điệp phát hiện xâm phạm (IDMEF, RFC 4765) định dạng bắt đầu được yêu cầu trên toàn thế giới. Theo cách này, IDMEF tương thích với ID nguồn mở: AuditD, Nepenthes, NuFW, OSSEC, Pam, Samhain, Sancp, Snort, Suricata, Kismet, v.v ... nhưng bất kỳ ai cũng có thể viết IDS riêng hoặc sử dụng một số cảm biến của bên thứ 3 có sẵn, được cung cấp các API và thư viện mở của Prelude SIEM.

Có thể sem nó như là một công cụ để điểu khiển an toàn cho IT. Prelude SIEM thu thập và tập trung thông tin về bảo mật CNTT của công ty để cung cấp một quan điểm duy nhất để quản lý nó. Nhờ các bản ghi và phân tích luồng, Prelude SIEM tạo ra các cảnh báo về sự xâm nhập và các mối đe dọa bảo mật trong mạng trong thời gian thực. Prelude SIEM cung cấp nhiều công cụ để thực hiện pháp y và báo cáo về dữ liệu lớn và dữ liệu thông minh để xác định các tín hiệu yếu và mối đe dọa liên tục nâng cao (Advanced Persistent Threat - APT). Cuối cùng, Prelude SIEM nhúng tất cả các công cụ cho giai đoạn khai thác để giúp các nhà khai thác dễ dàng hơn và giúp họ quản lý rủi ro.

Khi một người kẻ tấn công hoặc một phần mềm độc hại có thể tránh được việc phát hiện bởi IDS (NIDS, HIDS, v.v.) của một hệ thống được bố trí sẵn, nhưng nó trở nên khó khăn hơn khi xung quanh các phòng thủ khi có nhiều cơ chế bảo vệ dược tích hợp lại. Prelude SIEM đi kèm với một bộ cảm biến lớn, mỗi người trong số chúng theo dõi các loại sự kiện khác nhau. Prelude SIEM cho phép thu thập cảnh báo theo quy mô WAN, cho dù phạm vi của nó bao gồm thành phố, quốc gia, lục địa hay thế giới.

Prelude SIEM là một hệ thống "Quản lý sự kiện và thông tin bảo mật" (Security Information & Event Management - SIEM). Prelude thu thập, bình thường hóa, sắp xếp, tổng hợp, tương quan và báo cáo tất cả các sự kiện liên quan đến bảo mật độc lập với thương hiệu sản phẩm hoặc giấy phép phát sinh các sự kiện đó.

Cũng như khả năng khôi phục bất kỳ loại nhật ký nào (nhật ký hệ thống, nhật ký sự kiện, người dùng, v.v.), lợi ích Prelude là cho phép hỗ trợ gốc với một số hệ thống dành riêng cho thông tin thu thập phong phú hơn nữa (Snort, Samhain, Ossec, Auditd, v.v.)

Sercurity information event  management  (SIEM) là một giải pháp hoàn chỉnh cho phép các tổ chức thực hiện việc giám sát các sự kiện an toàn thông tin cho một hệ thống. SIEM là sự kết hợp một số tính năng của quản lí thông tin an ninh (SEM) và quản lí sự kiện an ninh (SIM). Trong đó hệ thống mã nguồn mở SIEM có thể được tách làm hai chức năng:

Sercurity event management (SEM): Thu thập các event log data do các thành phần (thiết bị, ứng dụng) trong hệ thống tạo ra. Sau đó tập trung hóa việc lưu trữ và xử lý, phân tích các sự kiện rồi lập báo cáo, đưa ra thông báo, cảnh báo liên quan đến an ninh của hệ thống.

Sercurity  information  management  (SIM): Thông  tin được  lưu  trữ  từ SIM, được sử dụng để báo cáo dữ liệu đăng nhập cho bất kì thời gian nhất định.

SIM và SEM thường bị nhầm lẫn với nhau nhưng thực ra giữa chúng tồn tại những điểm giống và khác nhau cơ bản sau:

SEM giám sát hệ thống và phân tích các event gần như trong thời gian thực để giúp phát hiện các mối đe dọa an ninh, các dấu hiện bất thường nhanh nhất có thể nhưng cũng chính vì thế mà lượng dữ liệu sự kiện đổ về nó rất nhiều và nó không cung cấp khả năng lưu trữ lâu dài cho các dữ liệu log.

Ngược lại, SIM tuy không có khả năng thu thập và xử lý các sự kiện trong thơi gian thực nhưng lại mạnh về quản lý log và có thể lưu trữ một lượng lớn dữ liệu log trong một thời gian dài.

Security Information and Event Management (SIEM) là sự kết hợp của SEM và SIM lại với nhau nhằm khắc phục những hạn chế của chúng.

1.1.2. Tại sao SIEM lại quan trọng?

SIEM đã trở thành một thành phần bảo mật cốt lõi của các tổ chức hiện đại. Lý do chính là mọi người dùng hoặc trình theo dõi đều để lại dấu vết ảo trong dữ liệu nhật ký của mạng. Hệ thống SIEM được thiết kế để sử dụng dữ liệu nhật ký này để tạo ra thông tin chi tiết về các vụ tấn công và sự kiện trong quá khứ. Một hệ thống SIEM không chỉ xác định rằng một cuộc tấn công đã xảy ra, nhưng cho phép bạn xem làm thế nào và tại sao nó xảy ra là tốt.

Khi các tổ chức cập nhật và nâng cao cơ sở hạ tầng CNTT ngày càng phức tạp, SIEM đã trở nên quan trọng hơn trong những năm gần đây. Trái ngược với niềm tin phổ biến, tường lửa và các gói chống vi-rút là không đủ để bảo vệ toàn bộ mạng. Các cuộc tấn công zero-day vẫn có thể xâm nhập vào hệ thống phòng thủ của hệ thống ngay cả với các biện pháp an ninh này.

SIEM giải quyết vấn đề này bằng cách phát hiện hoạt động tấn công và đánh giá nó chống lại hành vi trong quá khứ trên mạng. Một hệ thống SIEM có khả năng phân biệt giữa sử dụng hợp pháp và một cuộc tấn công nguy hiểm. Điều này giúp tăng sự bảo vệ của hệ thống và tránh làm hỏng hệ thống và tài sản ảo.

Việc sử dụng SIEM cũng giúp các công ty tuân thủ một loạt các quy định quản lý mạng công nghiệp. Quản lý nhật ký là phương pháp chuẩn của hoạt động kiểm toán trên mạng CNTT. Hệ thống SIEM cung cấp cách tốt nhất để đáp ứng yêu cầu quy định này và cung cấp tính minh bạch cho các nhật ký để tạo ra những hiểu biết và cải tiến rõ ràng.

1.1.3. Lợi ích của SIEM

3 lợi ích quan trọng của SIEM mang lại:

·        Quản lý tập trung 

·        Giám sát an toàn mạng

·        Cải thiện hoàn toàn hiệu quả trong hoạt động xử lý sự cố trong hệ thống của tổ chức.

Trong rất nhiều tổ chức có triển kha, người ta sử dụng SIEM với một mục đích duy nhất và tối thượng nhất là tập hợp các dữ liệu log. Số lượng thiết bị càng nhiều thì càng sẽ phát sinh log nhiều, nếu không có một giải pháp quản lý tập trung thì bạn sẽ khá là cực công để truy vẫn cũng như tìm ra nhanh các sự cố các sự kiện mà bạn quan tâm.

Từ những thông tin log mà SIEM tập hợp được, chúng ta có thể thực hiện thống kê, phân tích, báo cáo để tạo ra một báo cáo hoàn chỉnh và trực quan nhất những gì đã và đang xảy ra trong hệ thống của bạn.

 

 

Hình 1. 1: Mô hình các lợi ích của SIEM

1.1.4 Các thành phần cơ bản của SIEM

SIEM bao gồm nhiều phần, mỗi phần làm một công việc riêng biệt. Mỗi thành phần trong hệ thống này có thể hoạt động độc lập với các thành phần khác nhưng nếu tất cả không cùng hoạt động cùng một lúc thì chúng ta sẽ không có một SIEM hiệu quả. Tùy thuộc vào hệ thống đang sử dụng nhưng mỗi SIEM sẽ luôn luôn có các thành phần cơ bản cơ bản được mô tả trong chương này. Bằng sự hiểu biết từng phần của SIEM và cách thức hoạt động, chúng ta có thể quản lý một cách hiệu quả và khắc phục sự cố các vấn đề khi phát sinh.

1.1.4.1.           Thiết bị nguồn (Source Divice)

 

Hình 1. 2: Các thành phần cơ bản của SIEM

Thành phần đầu tiên của SIEM là các thiết bị đầu vào cung cấp dữ liệu cho SIEM. Thiết bị nguồn có thể là một thiết bị thực tế trong hệ thống mạng như Router, Switch hoặc một số loại máy chủ và cũng có thể là các bản ghi log từ một ứng dụng hoặc chỉ là bất kỳ dữ liệu nào khác. Việc biết về những gì mình có trong hệ thống là rất quan trọng trong việc triển khai SIEM. Hiểu rõ những nguồn mà chúng ta muốn lấy các bản ghi log trong giai đoạn đầu sẽ giúp chúng ta tiết kiệm được công sức, số tiền đáng kể và giảm sự phức tạp trong triển khai.

1.1.4.2. Log Collection

            Thành phần tiếp theo trong sơ đồ là thành phần thu thập nhật ký (Log Collection ). Cơ chế thu thập các bản ghi Log phụ thuộc vào từng thiết bị nhưng cơ bản có hai phương thức như sau: Push Log và Pull Log.

·        Push Log: Các bản ghi Log sẽ được các thiết bị nguồn gửi về SIEM. Phương pháp này có lợi ích: Dễ dàng cài đặt và cấu hình. Thông thường, chỉ cần thiết lập một bộ tiếp nhận và sau đó kết nối thiết bị nguồn đến bộ phận tiếp nhận này. Ví dụ như SysLog, khi cấu hình thiết bị nguồn sử dụng SysLog, người quản trị có thể thiết lập địa chỉ IP hoặc DNS tên của một máy chủ SysLog trên mạng và thiết bị sẽ tự động gửi các bản ghi của nó thông qua SysLog. Tuy nhiên phương pháp nay cũng còn một số nhược điểm.

Ví dụ, sử dụng SysLog trong môi trường UDP. Bản chất của việc sử dụng SysLog trong môi trường UDP có thể là không đảm bảo rằng các gói tin đến đích, vì UDP là một giao thức không hướng kết nối. Nếu một tình huống xảy ra trên mạng chẳng hạn như khi một loại virus mạnh trên mạng, người quản trị có thể không nhận được gói tin SysLog. Một vấn đề có thể phát sinh là nếu không đặt quyền điều khiển truy cập thích hợp trên máy thu nhận các bản ghi Log thì khi cấu hình sai hoặc có phần mềm độc hại có thể làm tràn ngập các thông tin sai lệch. Điều đó làm cho các sự kiện an ninh khó được phát hiện.

Nếu là một cuộc tấn công có chủ ý nhằm chống lại SIEM thì một kẻ xấu có thể làm sai lệch các thông tin và và thêm các dữ liệu rác vào SIEM. Do vậy sự hiểu biết về các thiết bị gửi các bản ghi Log cho SIEM là điều rất quan trọng

·      Pull Log: Các bản ghi Log sẽ được SIEM lấy về, sau đó chuyển đến thành phần

Parsing Normalization. SIEM sẽ tiến hành phân tích các sự kiện dựa vào thư viện các tập luật

·         

Không giống như phương pháp Push Log, trong đó thiết bị nguồn gửi các bản ghi Log cho SIEM mà không cần bất kỳ sự tương tác từ SIEM. Pull Log đòi hỏi SIEM bắt đầu kết nối với các thiết bị nguồn và chủ động lấy các bản ghi từ các thiết bị nguồn đó bằng một phần mềm được cài đặt trên các thiết bị an ninh. Một ví dụ nếu các bản ghi Log được lưu trữ trong tập tin văn bản chia sẻ trên một mạng. SIEM sẽ thiết lập một kết nối lấy các thông tin được lưu trữ và đọc các file bản ghi từ các thiết bị nguồn.

Đối với phương pháp Push Log, các bản ghi Log của thiết bị nguồn thường gửi các bản ghi đến SIEM ngay sau khi nó được tạo ra. Nhưng với phương pháp Pull Log thì một kết nối sẽ được tạo ra để SIEM tiếp cận với các thiết bị nguồn và kéo các bản ghi Log từ các thiết bị nguồn về. Chu kỳ của việc kết nối để lấy các bản ghi Log của Pull Log có thể là vài giây hoặc theo giờ. Khoảng thời gian này có thể cấu hình theo tùy chọn hoặc để cấu hình mặc định cho SIEM. Điều này cũng cần tính toán về chu kỳ thời gian đẩy các bản ghi về SIEM vì nếu không sẽ dẫn tới việc tràn và nghẽn của hệ thống SIEM khi quá nhiều các thiết bị nguồn cùng đẩy bản ghi Log về.

Chính sách thu thập thông tin: Có thể thiết lập một chính sách ưu tiên và thu thập để lọc và củng cố các thông tin sự kiện an ninh trước khi gửi đến hệ thống. Kỹ thuật này cho phép người quản trị để điều tiết sự kiện an ninh và quản lý những thông tin, nếu không sẽ rất nhiều các sự kiện an ninh trong hệ thống mạng làm cho người quản trị lúng túng không biết bắt đầu từ đâu.

1.1.4.3. Parsing Normalization

Mục đích của việc thu thập thông tin là để nắm bắt và chuẩn hóa các thông tin từ các thiết bị an ninh khác nhau và cung cấp các thông tin đó cho hệ thống để phân tích tiếp. Chức năng nay rất quan trọng vì dữ liệu có định dạng khác nhau từ các thiết bị khác nhau và các nhà cung cấp khác nhau. Vì vậy, đây là thành phần rất quan trọng trong cấu trúc của SIEM.

            Khi thu thập, vô số các bản ghi Log được gửi từ các thiết bị và ứng dụng trong môi trường đến SIEM. Tại thời điểm này, tất cả các bản ghi đang ở định dạng gốc ban đầu, do đó người quản trị không thực hiện được bất cứ điều gì ngoại trừ lưu nó vào một nơi nào đó. Hệ thống SIEM thu thập các bản ghi Log từ rất nhiều các thiết bị khác nhau, việc truyền các bản ghi log từ các thiết bị nguồn tới SIEM cần được giữ bí mật, xác thực và tin cậy bằng việc sử dụng Syslog hoặc các giao thức SNMP, OPSEC, SFTP.

Nhưng để các bản ghi Log hữu ích trong SIEM cần định dạng lại chúng sang một định dạng chuẩn duy nhất. Việc thay đổi tất cả các loại bản ghi Log khác nhau thành các bản ghi có cùng một định dạng duy nhất được gọi là phân tích chuẩn hóa (Parsing Normalization). Nếu các thiết bị không hỗ trợ các giao thức này cần phải sử dụng các Agent. Đó là một điều cần thực hiện để thực hiện việc lấy các bản ghi log có định dạng mà SIEM có thể hiểu được. Việc cài đặt các Agent có thể kéo dài quá trình triển khai SIEM nhưng người quản trị sẽ có những bản ghi log theo dạng chuẩn mong muốn.

Ví dụ hai hệ thống này, một hệ thống Windows Event Log và một ASA Cisco. Cả hai cho thấy cùng một người đăng nhập vào thiết bị. Cách đăng nhập của mỗi nhà cung cấp là khác nhau. Nên cần phải hiểu định dạng và chi tiết có trong sự kiện đó. Do việc chuẩn hóa Log là rất cần thiết.

1.1.4.4. Notifications and Alerts

  SIEM cung cấp ba cách để SIEM thông báo tới các quản trị viên một cuộc tấn công hay một hành vi bất thường đang xảy ra. Thứ nhất, SIEM có thể đưa ra một cảnh báo ngay khi chúng nhận ra rằng có điều gì bất thường. Thứ hai, SIEM sẽ gửi một thông báo vào một thời điểm được xác định trước của cuộc tấn công và thứ ba là các quản trị viên theo dõi giám sát SIEM theo thời gian thực thông qua một giao diện web. Các IDS thông thường đưa ra nhiều cảnh báo giả nhưng với SIEM nó tạo ra một tỷ lệ nhỏ các thông báo giả như vậy. Tuy nhiên tất cả những thông báo có thể là cần thiết để thực hiện một hành động hay đơn giản là bỏ qua nó còn tùy thuộc vào mức độ của sự kiện an ninh.

Một số sản phẩm của SIEM có thể thực hiện các hành động ứng phó như xóa các phần mềm độc hại, đóng một số cổng nào đó thông qua việc kết nối tới các thiết bị đó.

Báo cáo được lập lịch để đưa ra các báo cáo thường xuyên. Các báo này được thể hiện theo chuẩn quốc tế và có thể thể hiện qua những biểu đồ trực quan về những số liệu. Những báo cáo này cung cấp nhanh chóng cái nhìn tổng quan cho các quản trị viên và nhà quản lý. Do đó, thành phần thông báo và cảnh báo (Notifications and Alerts) được SIEM thiết lập nhằm các mục đích nêu trên.

1.1.4.5. Security Incident Detection and Respone

            Phát hiện và phản hồi sự cố là quá trình xác định các sự cố bảo mật hoặc các mối đe dọa và hành động nhanh chóng để giải quyết vấn đề tiềm ẩn. Sự cố bảo mật có thể mất nhiều hình thức, nhưng, về bản chất, nó là một sai lệch so với chính sách an ninh của tổ chức. Ví dụ về sự cố bảo mật là lưu lượng truy cập bất thường trên một cổng không được đề cập, quyền truy cập trái phép vào một chia sẻ tệp cụ thể hoặc phạm vi hoạt động khác vi phạm tiêu chuẩn được chấp nhận của tổ chức.

Để giảm thiểu rủi ro, điều quan trọng là phải có một quy trình để nhanh chóng xác định những sự cố này, điều tra và thực hiện phân tích nguyên nhân gốc và thực hiện các bước để khắc phục tình trạng trước khi thiệt hại về vi phạm dữ liệu trở nên rộng hơn. Rủi ro có thể được giảm thiểu tốt nhất bằng cách hành động nhanh chóng. Nếu các dấu hiệu cảnh báo bị bỏ qua, phạm vi của vụ việc có thể phát triển và cuối cùng dẫn đến một tác động kinh doanh thảm khốc hoặc thậm chí phạt tiền quy định.

            Quá trình phát hiện và phản hồi thường từ 12 phút đến 3 giờ tùy theo các hệ thống SIEM khác nhau , được mô tả theo sơ đồ :

           

Hình 1. 3: Sơ đồ thể hiện thời gian phản hồi sự kiện ở SIEM

1.1.4.6. Threat response workflow

            Đây là thành phần cho phép SIEM có thể đưa ra các sơ đồ phản hồi dựa trên các mối đe dọa khác nhau từ bên trong hoặc bên ngoài. Sự thể hiện này mang tinh trực quan cao, dễ quan sát, dễ hiểu. Chẳng hạn, sơ đồ phân tích sự xâm nhập mạng của kẻ tấn công mà IBM Qradar thu được (Hình vẽ…)

 

Hình 1. 4: Sơ đồ phân tích sự xâm nhập mạng

1.2. CÁC CÔNG CỤ CẦN THIẾT CHO SIEM

            Không phải tất cả các hệ thống SIEM đều  được xây dựng giống nhau, một giải pháp SIEM phù hợp với công ty này có thể không hoàn chỉnh với một công ty khác. Trong phần này chúng ta sẻ phân tích những tính cốt lõi cần thiết cho một hệ thống SIEM

1.2.1. Quản lý nhật ký dữ liệu (Log Data Management)

            Như đã đề cập ở trên, quản lý nhật ký dữ liệu log là một thành phần cốt lõi của bất kỳ hệ thống SIEM ở quy mô doanh nghiệp nào. Một hệ thống SIEM cần phải gộp dữ liệu nhật ký từ nhiều nguồn khác nhau, mỗi nguồn có cách phân loại và ghi dữ liệu riêng. Khi tìm kiếm một hệ thống SIEM, người ta muốn có một hệ thống có khả năng bình thường hóa dữ liệu một cách hiệu quả (có thể cần một chương trình của bên thứ ba nếu hệ thống SIEM của bạn không quản lý tốt dữ liệu nhật ký log khác nhau).

            Khi dữ liệu được chuẩn hóa, sau đó dữ liệu được định lượng và so sánh với dữ liệu đã ghi trước đó. Hệ thống SIEM sau đó có thể nhận ra các mẫu hành vi nguy hiểm và nâng cao thông báo để cảnh báo người dùng thực hiện hành động. Dữ liệu này sau đó có thể được tìm kiếm bởi một nhà phân tích có thể xác định các tiêu chí mới cho các cảnh báo trong tương lai. Điều này giúp phát triển hệ thống phòng thủ của hệ thống chống lại các mối đe dọa mới.

1.2.2. Báo cáo (Reporting)

            Theo yêu cầu và quy định cần thiết, việc SIEM có tính năng báo cáo (Reporting) là rất quan trọng cho hệ thống. Nói chung, hầu hết các hệ thống SIEM có một số loại hệ thống tạo báo cáo trên nó có thể được sử dụng để tuân thủ các quy định cần thiết.

Nếu xảy ra tấn công, chúng ta có thể tạo báo cáo chi tiết cách nó xảy ra. Sau đó, bạn có thể sử dụng dữ liệu này để tinh chỉnh các quy trình nội bộ và thực hiện điều chỉnh cho cơ sở hạ tầng mạng của mình để đảm bảo điều đó không xảy ra lần nữa. Điều này giúp cơ sở hạ tầng mạng của bạn phát triển để giải quyết các mối đe dọa mới.

1.2.3. Tinh chỉnh điều chỉnh cảnh báo (Fine Tuning Alert Conditions)

            Có khả năng thiết lập các tiêu chí cho các cảnh báo trong tương lai là điều cần thiết để duy trì một hệ thống SIEM hiệu quả. Tinh chỉnh cảnh báo là cách chính để bạn giữ cho hệ thống SIEM của bạn được cập nhật chống lại các mối đe dọa mới. Các cuộc tấn công mạng cải tiến đang nổi lên hàng ngày, do đó, việc sử dụng hệ thống được thiết kế để thêm cảnh báo mới sẽ khiến bạn không bị bỏ lại phía sau.

            Khi làm việc với SIEM, bao giờ chúng ta cũng muốn đảm bảo rằng chúng ta sẽ tìm thấy một nền tảng có thể giới hạn số lượng cảnh báo bạn nhận được. Nếu hệ thống bị tràn ngập với cảnh báo, lúc đó chúng ta sẽ không thể giải quyết các mối quan ngại về bảo mật một cách kịp thời. Nếu không có lựa chọn điều chỉnh cảo báo, chúng ta  sẽ phải chọn lọc thông qua khối lượng sự kiện từ tường lửa đến nhật ký xâm nhập.

1.2.4. Bảng điều khiển (Dashboard)

            Một hệ thống SIEM rộng lớn là không tốt nếu chúng ta có một bảng điều khiển nghèo nàn đằng sau nó. Có một bảng điều khiển với một giao diện người dùng đơn giản làm cho nó dễ dàng hơn nhiều để xác định các mối đe dọa. Trong thực tế, chúng ta đang tìm kiếm một trang tổng quan với hình ảnh hóa. Ngay lập tức điều này cho phép nhà phân tích phát hiện ra nếu có bất kỳ sự bất thường nào xảy ra trên màn hình. Lý tưởng nhất là chúng ta muốn có một hệ thống SIEM có thể được cấu hình để hiển thị dữ liệu sự kiện cụ thể trên màn hình điều khiển (Dashboard)

 

1.3. CÁC CÔNG CỤ SIEM TỐT NHẤT TRÊN THỊ TRƯỜNG

            Khi nói đến việc mua một giải pháp của SIEM, thị trường có rất nhiều sự lựa chọn. Từ các công ty lớn như IBM, Intel và HE, đến SolarWinds và Manage Engine, có một giải pháp cho hầu hết mọi quy mô và phong cách của công ty.

Trước khi chọn một công cụ SIEM, điều quan trọng là phải đánh giá mục tiêu của bạn. Ví dụ: nếu bạn đang tìm kiếm một công cụ SIEM để đáp ứng các yêu cầu quy định, việc tạo báo cáo sẽ là một trong những ưu tiên hàng đầu của bạn.

Mặt khác, nếu bạn muốn sử dụng một hệ thống SIEM để luôn được bảo vệ chống lại các cuộc tấn công mới nổi, bạn cần một hệ thống bình thường hóa hoạt động cao và các cơ sở thông báo được người dùng định nghĩa rộng rãi. Dưới đây chúng ta hãy xem xét một số công cụ SIEM tốt nhất trên thị trường.

·        HP ArcSight

·        Splunk Enterprise Security

·        LogRhythm Security Intelligence Platform

·        AlienVault Unified Security Management

·        RSA NetWitness

·        IBM QRadar

·        McAfee Enterprise Security Manager

1.3.1. SolarWinds Log & Event Manager

            Môi trường hoạt động: Hệ điều hành Windows

 

Hình 1. 5: Giao diện SolarWinds Log & Event Manager

Về các công cụ SIEM bên ngoài, SolarWinds Log & Event Manager là một trong những dịch vụ cạnh tranh nhất trên thị trường. LEM thể hiện tất cả các tính năng cốt lõi mà bạn mong đợi từ một hệ thống SIEM, với các tính năng và báo cáo quản lý nhật ký mở rộng. Phản hồi sự cố thời gian thực chi tiết của SolarWinds làm cho nó trở thành một công cụ tuyệt vời cho những người tìm cách tích cực quản lý cơ sở hạ tầng mạng của họ chống lại các mối đe dọa trong tương lai.

Một trong những điều tốt nhất về LEM là thiết kế bảng điều khiển chi tiết và trực quan của nó. Sự đơn giản của các công cụ trực quan giúp người dùng dễ dàng xác định bất kỳ sự bất thường nào. Là tiền thưởng chào mừng, công ty cung cấp hỗ trợ 24/7, vì vậy bạn có thể liên hệ với họ để được tư vấn nếu bạn gặp lỗi.

Có thể xem thêm tại:  www.solarwinds.com/log-event-manager/

1.3.2. HP ArcSight

            Môi trường hoạt động: Hệ điều hành Windows

 

Hình 1. 6: Giao diện HP ArcSight

            Giải pháp Quản lý rủi ro và nguy cơ doanh nghiệp của ArcSight, HP là một trong những công cụ SIEM phổ biến nhất hiện có trên thị trường. Nền tảng ETRM này có tất cả các tính năng bạn mong đợi từ hệ thống SIEM, với khả năng biên dịch dữ liệu nhật ký và tiến hành phân tích dữ liệu mở rộng. Bạn có thể xem phân tích thời gian thực từ Trình quản lý bảo mật doanh nghiệp của hệ thống. Điều này làm cho nó dễ dàng hơn để xác định các mối đe dọa kịp thời.

Nền tảng này lý tưởng để quản lý các môi trường CNTT lớn hơn vì ArcSight Logger cho phép người dùng tìm kiếm thông qua các nhật ký hiện có. Điều này làm cho nó lý tưởng cho các công ty lớn hơn cần các công cụ bảo mật mạng mạnh mẽ hơn. Ngoài ra, chương trình đã tích hợp tính năng theo dõi nhận dạng để bạn có thể dễ dàng xác định người dùng không mong muốn trên mạng của mình. Về công cụ tiêu chuẩn công nghiệp, HP ArcSight khó đánh bại.

Có thể xem thêm tại: https://searchsecurity.techtarget.com/feature/Hewlett-Packard-Enterprises-ArcSight-ESM-SIEM-product-overview

1.3.3. Splunk Enterprise Security

            Môi trường hoạt động: Hệ điều hành Windows và Linux

 

Hình 1. 7: Giao diện Splunk Enterprise Security

            Splunk là một trong những giải pháp quản lý SIEM phổ biến nhất trên thế giới. Những gì đặt nó ngoài sự cạnh tranh là nó đã kết hợp phân tích vào trung tâm của SIEM của nó. Dữ liệu mạng và máy có thể được theo dõi trên cơ sở thời gian thực khi hệ thống rà soát các lỗ hổng tiềm ẩn. Chức năng Notables của Enterprise Security hiển thị các cảnh báo có thể được tinh chỉnh bởi người dùng.

Xét về việc đáp ứng các mối đe dọa bảo mật, giao diện người dùng cực kỳ đơn giản. Khi tiến hành xem xét sự cố, người dùng có thể bắt đầu bằng một tổng quan cơ bản trước khi nhấp vào các chú thích chuyên sâu về sự kiện trong quá khứ. Tương tự như vậy, các điều tra viên tài sản làm một công việc tốt của cờ hành động độc hại và ngăn ngừa thiệt hại trong tương lai. Bạn cần phải liên hệ với nhà cung cấp để biết báo giá để rõ ràng đây là nền tảng được thiết kế với các tổ chức lớn hơn.

            Có thể xem thêm tại: https://www.splunk.com/en_us/software/enterprise-security.html

1.3.4. LogRhythm Security Intelligence Platform

            Môi trường hoạt động: Hệ điều hành Windows và Linux

 

Hình 1. 8: Giao diện Splunk Enterprise Security

            LogRhythm từ lâu đã trở thành những người tiên phong trong lĩnh vực giải pháp SIEM. Từ phân tích hành vi để đăng nhập mối tương quan và trí tuệ nhân tạo, nền tảng này có tất cả. Hệ thống tương thích với nhiều loại thiết bị và loại nhật ký. Về cấu hình cài đặt của bạn, hầu hết hoạt động được quản lý thông qua Trình quản lý triển khai. Ví dụ, bạn có thể sử dụng Windows Host Wizard để chọn lọc thông qua nhật ký Windows.

Điều này giúp việc thu hẹp những gì đang xảy ra trên mạng của bạn trở nên dễ dàng hơn nhiều thông qua việc chọn lọc thông tin qua nhật ký Windows

Có thể xem thêm tại: https://logrhythm.com/products/threat-lifecycle-management-platform/

1.4.5. AlienVault Unified Security Management

            Môi trường hoạt động:  Hệ điều hành Windows và Mac

             

Hình 1. 9: Giao diện AlienVault Unified Security Management

            Là một trong những giải pháp SIEM có giá cạnh tranh hơn trong danh sách này, AlienVault là một sản phẩm rất hấp dẫn. Tại cốt lõi của nó, đây là một sản phẩm SIEM truyền thống với tính năng phát hiện xâm nhập tích hợp, giám sát hành vi và đánh giá tính dễ bị tổn thương. AlienVault có phân tích trên máy bay mà bạn mong đợi cho một nền tảng của quy mô này.

Một trong những khía cạnh độc đáo hơn của nền tảng AlienVault là Open Threat Exchange (OTX). OTX là một cổng web cho phép người dùng tải lên “các chỉ số thỏa hiệp” (IOC) để giúp người dùng khác gắn cờ các mối đe dọa. Đây là một nguồn tài nguyên tuyệt vời về kiến thức chung và các mối đe dọa. Giá thấp của hệ thống SIEM này làm cho nó lý tưởng cho các doanh nghiệp vừa và nhỏ tìm cách nâng cao cơ sở hạ tầng an ninh của họ.

Có thể xem thêm tại: https://www.alienvault.com/products

1.3.6. RSA NetWitness

            Môi trường hoạt động: Hệ điều hành Windows

 

Hình 1. 10: Giao diện RSA NetWitness

            RSA NetWitness là một trong những tùy chọn SIEM trung cấp hơn có sẵn trên thị trường. Nếu bạn đang tìm kiếm giải pháp phân tích mạng hoàn chỉnh, hãy xem xét không xa hơn RSA Netwitness. Đối với các tổ chức lớn hơn, đây là một trong những công cụ mở rộng nhất hiện có trên thị trường. Tuy nhiên, nếu bạn đang tìm kiếm một sản phẩm dễ sử dụng, bạn có thể muốn tìm ở nơi khác.

Thật không may, thiết lập ban đầu có thể khá tốn thời gian khi so sánh với các sản phẩm khác trong danh sách này. Điều đó đang được nói, tài liệu người dùng toàn diện sẽ giúp bạn trong suốt quá trình thiết lập. Hướng dẫn cài đặt không giúp ích gì với mọi thứ nhưng cung cấp cho bạn đủ thông tin để ghép các mảnh lại với nhau.

Có thể xem thêm tại: https://www.rsa.com/en-us/products/threat-detection-response

1.3.7. IBM Qradar

            Môi trường hoạt động: Hệ điều hành Windows anh Mac

 

Hình 1. 11: Giao diện IBM Qradar

            Trong vài năm trở lại đây, câu trả lời của IBM đối với SIEM đã trở thành một trong những sản phẩm tốt nhất trên thị trường. Nền tảng này cung cấp một bộ quản lý nhật ký, phân tích, thu thập dữ liệu và các tính năng phát hiện xâm nhập để giúp duy trì và chạy cơ sở hạ tầng mạng của bạn. Tất cả quản lý nhật ký đều đi qua một công cụ: Trình quản lý nhật ký QRadar. Khi nói đến phân tích, QRadar là một giải pháp gần hoàn chỉnh.

Hệ thống có phân tích mô hình rủi ro có thể mô phỏng các cuộc tấn công tiềm năng. Điều này có thể được sử dụng để theo dõi một loạt các môi trường vật lý và ảo trên mạng của bạn. IBM QRadar là một trong những dịch vụ hoàn thiện nhất trong danh sách này và là một lựa chọn tuyệt vời nếu bạn đang tìm kiếm giải pháp SIEM linh hoạt. Chức năng đa dạng của hệ thống SIEM tiêu chuẩn của ngành này đã làm cho nó trở thành tiêu chuẩn công nghiệp cho nhiều tổ chức lớn hơn.

            Có thể xem thêm tại: https://www.ibm.com/us-en/marketplace/ibm-qradar-siem

1.3.8. McAfee Enterprise Security Manager

            Môi trường hoạt động: Hệ điều hành Windows và Mac

 

Hình 1. 12: Giao diện McAfee Enterprise Security Manager

            McAfee Enterprise Security Manager được coi là một trong những nền tảng SIEM tốt nhất về phân tích. Người dùng có thể thu thập nhiều nhật ký trên một loạt các thiết bị thông qua hệ thống Active Directory. Về bình thường hóa, công cụ tương quan của McAfee biên dịch các nguồn dữ liệu khác nhau một cách dễ dàng. Điều này làm cho nó dễ dàng hơn nhiều để phát hiện khi một sự kiện bảo mật xảy ra.

 Về mặt hỗ trợ, người dùng có quyền truy cập vào cả McAfee Enterprise Technical Support và McAfee Business Technical Support. Người dùng có thể chọn để trang web của họ được Trình quản lý tài khoản hỗ trợ truy cập hai lần một năm nếu họ chọn. Nền tảng của McAfee nhắm tới các công ty lớn ở mức trung bình đang tìm kiếm giải pháp quản lý sự kiện bảo mật hoàn chỉnh.

Có thể xem thêm tại: https://www.mcafee.com/enterprise/en-us/products/enterprise-security-manager.html

1.3.9. EventLog Analyzer

Môi trường hoạt động: Hệ điều hành Windows và Linux

 

Hình 1. 13: Giao diện EventLog Analyzer

EventLog Analyzer là một giải pháp quản lý tuân thủ và quản lý sự kiện dựa trên web, thời gian thực, quản lý sự kiện và bảo mật (SIEM) nhằm cải thiện an ninh mạng nội bộ và giúp bạn tuân thủ yêu cầu kiểm toán CNTT mới nhất. Sử dụng một kiến trúc không có kiến thức, EventLog Analyzer có thể thu thập, phân tích, tìm kiếm, báo cáo và lưu trữ một loạt các bản ghi được tạo ra từ máy tính (Windows, Linux, UNIX, v.v.), thiết bị mạng (bộ định tuyến, thiết bị chuyển mạch, vv ..) , các ứng dụng (Oracle, Apache, v.v.). Nó cung cấp thông tin chi tiết quan trọng về hoạt động của người dùng mạng, vi phạm chính sách, dị thường mạng, thời gian ngừng hoạt động hệ thống và các mối đe dọa nội bộ. Nó được sử dụng bởi các quản trị viên mạng và các nhà quản lý CNTT để thực hiện kiểm tra hệ thống mạng và tạo ra các báo cáo tuân thủ quy định cho các chính sách như SOX, HIPAA, PCI DSS, GLBA, v.v.

Có thể xem thêm tại :  https://www.manageengine.com/products/eventlog/?MEtab/

 

ü  Bất kể công cụ SIEM nào bạn chọn để kết hợp vào doanh nghiệp của bạn, điều quan trọng là phải áp dụng giải pháp SIEM thận trọng. Không có cách theo dõi nhanh để thực hiện một hệ thống SIEM. Phương pháp tốt nhất để tích hợp một nền tảng SIEM vào môi trường CNTT của bạn là đưa nó vào dần dần. Điều này có nghĩa là áp dụng bất kỳ giải pháp nào trên cơ sở từng phần.

ü  Làm như vậy sẽ cung cấp cho bạn khả năng nhận trữ của môi trường CNTT và tinh chỉnh quy trình nhận thêm. Thực hiện một hệ thống SIEM dần dần sẽ giúp bạn phát hiện xem bạn có để bản thân mở cửa cho các cuộc tấn công nguy hiểm hay không. Điều quan trọng nhất là đảm bảo rằng bạn có cái nhìn rõ ràng về các mục tiêu bạn đang tìm kiếm để đáp ứng khi sử dụng hệ thống SIEM.

ü  Trong suốt hướng dẫn này, bạn sẽ thấy một loạt các nhà cung cấp SIEM khác nhau cung cấp các sản phẩm cuối cùng khác nhau. Nếu bạn muốn tìm dịch vụ phù hợp với mình, hãy dành thời gian nghiên cứu các tùy chọn có sẵn và tìm một tùy chọn phù hợp với mục tiêu tổ chức của bạn. Trong giai đoạn đầu, bạn sẽ muốn chuẩn bị cho trường hợp xấu nhất.

Chuẩn bị cho trường hợp xấu nhất có nghĩa là bạn được trang bị để giải quyết ngay cả những cuộc tấn công khắc nghiệt nhất. Cuối cùng, tốt hơn là được bảo vệ chống lại các cuộc tấn công không gian mạng hơn là được bảo vệ dưới mức. Khi bạn đã chọn công cụ bạn muốn sử dụng, hãy cam kết cập nhật. Một hệ thống SIEM chỉ tốt như cập nhật của nó. Nếu bạn không cập nhật nhật ký và tinh chỉnh thông báo của mình, bạn sẽ không chuẩn bị sẵn sàng khi một mối đe dọa mới nổi xảy ra.