Mạng - Máy tính

1.2. CÁC CÔNG CỤ CẦN THIẾT CHO SIEM

           Không phải tất cả các hệ thống SIEM đều được xây dựng giống nhau, một giải pháp SIEM phù hợp với công ty này có thể không hoàn chỉnh với một công ty khác. Trong phần này chúng ta sẻ phân tích những tính cốt lõi cần thiết cho một hệ thống SIEM

1.2.1. Quản lý nhật ký dữ liệu (Log Data Management)

           Như đã đề cập ở trên, quản lý nhật ký dữ liệu log là một thành phần cốt lõi của bất kỳ hệ thống SIEM ở quy mô doanh nghiệp nào. Một hệ thống SIEM cần phải gộp dữ liệu nhật ký từ nhiều nguồn khác nhau, mỗi nguồn có cách phân loại và ghi dữ liệu riêng. Khi tìm kiếm một hệ thống SIEM, người ta muốn có một hệ thống có khả năng bình thường hóa dữ liệu một cách hiệu quả (có thể cần một chương trình của bên thứ ba nếu hệ thống SIEM của bạn không quản lý tốt dữ liệu nhật ký log khác nhau).

           Khi dữ liệu được chuẩn hóa, sau đó dữ liệu được định lượng và so sánh với dữ liệu đã ghi trước đó. Hệ thống SIEM sau đó có thể nhận ra các mẫu hành vi nguy hiểm và nâng cao thông báo để cảnh báo người dùng thực hiện hành động. Dữ liệu này sau đó có thể được tìm kiếm bởi một nhà phân tích có thể xác định các tiêu chí mới cho các cảnh báo trong tương lai. Điều này giúp phát triển hệ thống phòng thủ của hệ thống chống lại các mối đe dọa mới.

1.2.2. Báo cáo (Reporting)

           Theo yêu cầu và quy định cần thiết, việc SIEM có tính năng báo cáo (Reporting) là rất quan trọng cho hệ thống. Nói chung, hầu hết các hệ thống SIEM có một số loại hệ thống tạo báo cáo trên nó có thể được sử dụng để tuân thủ các quy định cần thiết.

Nếu xảy ra tấn công, chúng ta có thể tạo báo cáo chi tiết cách nó xảy ra. Sau đó, bạn có thể sử dụng dữ liệu này để tinh chỉnh các quy trình nội bộ và thực hiện điều chỉnh cho cơ sở hạ tầng mạng của mình để đảm bảo điều đó không xảy ra lần nữa. Điều này giúp cơ sở hạ tầng mạng của bạn phát triển để giải quyết các mối đe dọa mới.

1.2.3. Tinh chỉnh điều chỉnh cảnh báo (Fine Tuning Alert Conditions)

           Có khả năng thiết lập các tiêu chí cho các cảnh báo trong tương lai là điều cần thiết để duy trì một hệ thống SIEM hiệu quả. Tinh chỉnh cảnh báo là cách chính để bạn giữ cho hệ thống SIEM của bạn được cập nhật chống lại các mối đe dọa mới. Các cuộc tấn công mạng cải tiến đang nổi lên hàng ngày, do đó, việc sử dụng hệ thống được thiết kế để thêm cảnh báo mới sẽ khiến bạn không bị bỏ lại phía sau.

           Khi làm việc với SIEM, bao giờ chúng ta cũng muốn đảm bảo rằng chúng ta sẽ tìm thấy một nền tảng có thể giới hạn số lượng cảnh báo bạn nhận được. Nếu hệ thống bị tràn ngập với cảnh báo, lúc đó chúng ta sẽ không thể giải quyết các mối quan ngại về bảo mật một cách kịp thời. Nếu không có lựa chọn điều chỉnh cảo báo, chúng ta  sẽ phải chọn lọc thông qua khối lượng sự kiện từ tường lửa đến nhật ký xâm nhập.

1.2.4. Bảng điều khiển (Dashboard)

           Một hệ thống SIEM rộng lớn là không tốt nếu chúng ta có một bảng điều khiển nghèo nàn đằng sau nó. Có một bảng điều khiển với một giao diện người dùng đơn giản làm cho nó dễ dàng hơn nhiều để xác định các mối đe dọa. Trong thực tế, chúng ta đang tìm kiếm một trang tổng quan với hình ảnh hóa. Ngay lập tức điều này cho phép nhà phân tích phát hiện ra nếu có bất kỳ sự bất thường nào xảy ra trên màn hình. Lý tưởng nhất là chúng ta muốn có một hệ thống SIEM có thể được cấu hình để hiển thị dữ liệu sự kiện cụ thể trên màn hình điều khiển (Dashboard)

1.3. CÁC CÔNG CỤ SIEM TỐT NHẤT TRÊN THỊ TRƯỜNG

           Khi nói đến việc mua một giải pháp của SIEM, thị trường có rất nhiều sự lựa chọn. Từ các công ty lớn như IBM, Intel và HE, đến SolarWinds và Manage Engine, có một giải pháp cho hầu hết mọi quy mô và phong cách của công ty.

Trước khi chọn một công cụ SIEM, điều quan trọng là phải đánh giá mục tiêu của bạn. Ví dụ: nếu bạn đang tìm kiếm một công cụ SIEM để đáp ứng các yêu cầu quy định, việc tạo báo cáo sẽ là một trong những ưu tiên hàng đầu của bạn.

Mặt khác, nếu bạn muốn sử dụng một hệ thống SIEM để luôn được bảo vệ chống lại các cuộc tấn công mới nổi, bạn cần một hệ thống bình thường hóa hoạt động cao và các cơ sở thông báo được người dùng định nghĩa rộng rãi. Dưới đây chúng ta hãy xem xét một số công cụ SIEM tốt nhất trên thị trường.

·       HP ArcSight

·       Splunk Enterprise Security

·       LogRhythm Security Intelligence Platform

·       AlienVault Unified Security Management

·       RSA NetWitness

·       IBM QRadar

·       McAfee Enterprise Security Manager

1.3.1. SolarWinds Log & Event Manager

           Môi trường hoạt động: Hệ điều hành Windows

Hình 1.5. Giao diện SolarWinds Log & Event Manager

Về các công cụ SIEM bên ngoài, SolarWinds Log & Event Manager là một trong những dịch vụ cạnh tranh nhất trên thị trường. LEM thể hiện tất cả các tính năng cốt lõi mà bạn mong đợi từ một hệ thống SIEM, với các tính năng và báo cáo quản lý nhật ký mở rộng. Phản hồi sự cố thời gian thực chi tiết của SolarWinds làm cho nó trở thành một công cụ tuyệt vời cho những người tìm cách tích cực quản lý cơ sở hạ tầng mạng của họ chống lại các mối đe dọa trong tương lai.

Một trong những điều tốt nhất về LEM là thiết kế bảng điều khiển chi tiết và trực quan của nó. Sự đơn giản của các công cụ trực quan giúp người dùng dễ dàng xác định bất kỳ sự bất thường nào. Là tiền thưởng chào mừng, công ty cung cấp hỗ trợ 24/7, vì vậy bạn có thể liên hệ với họ để được tư vấn nếu bạn gặp lỗi.

Có thể xem thêm tại:  www.solarwinds.com/log-event-manager/

1.3.2. HP ArcSight

           Môi trường hoạt động: Hệ điều hành Windows

Hình 1.6. Giao diện HP ArcSight

           Giải pháp Quản lý rủi ro và nguy cơ doanh nghiệp của ArcSight, HP là một trong những công cụ SIEM phổ biến nhất hiện có trên thị trường. Nền tảng ETRM này có tất cả các tính năng bạn mong đợi từ hệ thống SIEM, với khả năng biên dịch dữ liệu nhật ký và tiến hành phân tích dữ liệu mở rộng. Bạn có thể xem phân tích thời gian thực từ Trình quản lý bảo mật doanh nghiệp của hệ thống. Điều này làm cho nó dễ dàng hơn để xác định các mối đe dọa kịp thời.

Nền tảng này lý tưởng để quản lý các môi trường CNTT lớn hơn vì ArcSight Logger cho phép người dùng tìm kiếm thông qua các nhật ký hiện có. Điều này làm cho nó lý tưởng cho các công ty lớn hơn cần các công cụ bảo mật mạng mạnh mẽ hơn. Ngoài ra, chương trình đã tích hợp tính năng theo dõi nhận dạng để bạn có thể dễ dàng xác định người dùng không mong muốn trên mạng của mình. Về công cụ tiêu chuẩn công nghiệp, HP ArcSight khó đánh bại.

Có thể xem thêm tại: https://searchsecurity.techtarget.com/feature/Hewlett-Packard-Enterprises-ArcSight-ESM-SIEM-product-overview.

1.3.3. Splunk Enterprise Security

           Môi trường hoạt động: Hệ điều hành Windows và Linux

Hình 1.7. Giao diện Splunk Enterprise Security

           Splunk là một trong những giải pháp quản lý SIEM phổ biến nhất trên thế giới. Những gì đặt nó ngoài sự cạnh tranh là nó đã kết hợp phân tích vào trung tâm của SIEM của nó. Dữ liệu mạng và máy có thể được theo dõi trên cơ sở thời gian thực khi hệ thống rà soát các lỗ hổng tiềm ẩn. Chức năng Notables của Enterprise Security hiển thị các cảnh báo có thể được tinh chỉnh bởi người dùng.

Xét về việc đáp ứng các mối đe dọa bảo mật, giao diện người dùng cực kỳ đơn giản. Khi tiến hành xem xét sự cố, người dùng có thể bắt đầu bằng một tổng quan cơ bản trước khi nhấp vào các chú thích chuyên sâu về sự kiện trong quá khứ. Tương tự như vậy, các điều tra viên tài sản làm một công việc tốt của cờ hành động độc hại và ngăn ngừa thiệt hại trong tương lai. Bạn cần phải liên hệ với nhà cung cấp để biết báo giá để rõ ràng đây là nền tảng được thiết kế với các tổ chức lớn hơn.

           Có thể xem thêm tại: https://www.splunk.com/en_us/software/enterprise-security.html

1.3.4. LogRhythm Security Intelligence Platform

           Môi trường hoạt động: Hệ điều hành Windows và Linux

Hình 1.8. Giao diện Splunk Enterprise Security

           LogRhythm từ lâu đã trở thành những người tiên phong trong lĩnh vực giải pháp SIEM. Từ phân tích hành vi để đăng nhập mối tương quan và trí tuệ nhân tạo, nền tảng này có tất cả. Hệ thống tương thích với nhiều loại thiết bị và loại nhật ký. Về cấu hình cài đặt của bạn, hầu hết hoạt động được quản lý thông qua Trình quản lý triển khai. Ví dụ, bạn có thể sử dụng Windows Host Wizard để chọn lọc thông qua nhật ký Windows.

Điều này giúp việc thu hẹp những gì đang xảy ra trên mạng của bạn trở nên dễ dàng hơn nhiều thông qua việc chọn lọc thông tin qua nhật ký Windows.