Hệ thống giám sát an toàn thông tin (Security information and event management – SIEM)

Hệ thống giám sát an toàn thông tin (Security information and event management – SIEM)

 

Ngày nay các vấn đề về tấn công mạng, lừa đảo trực tuyến hay các vấn đề về bùng phát mã độc… đang trở nên phổ biến và là vấn đề lớn đối với các tổ chức. Hệ thống thông tin của tổ chức cần một giải pháp thu thập, quản lý và phân tích các sự kiện an ninh thông tin. Hệ thống giám sát an toàn thông tin SIEM (Security information and event management – SIEM) là hệ thống được thiết kế nhằm thu thập thông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối và lưu trữ dữ liệu một cách tập trung, cho phép các tổ chức hạn chế được các rủi ro, tiết kiệm thời gian, nhân lực.
1.Khái quát
Ngày nay các vấn đề về tấn công mạng, lừa đảo trực tuyến hay các vấn đề về bùng phát mã độc… đang trở nên phổ biến và là vấn đề lớn đối với các tổ chức. Để giải quyết các mối lo này các tổ chức cần đầu tư vào các giải pháp an ninh, bảo vệ có chiều sâu và theo nhiều lớp. Một xu hướng phổ biến là các giải pháp này đều là các giải pháp tốt, dẫn đầu thị trường nhưng đa số lại thuộc về nhiều nhà cung cấp khác nhau.
Điều này tạo ra nhiều vấn đề đối với đội ngũ vận hành an ninh (Security) như:
  • Không có khả năng phân tích toàn bộ nhật ký: Hàng ngày các hệ thống như Firewall, IPS, OS, Database… đưa ra hàng triệu nhật ký. Các tổ chức với đội ngũ làm việc của mình không có cách nào hoàn thành việc phân tích với các công cụ thủ công.
  • Số lượng các thông báo giả: Trong số hàng triệu các sự kiện đó thì có một phần rất lớn các thông báo không chính xác và không thực sự quan trọng.
  • Thực hiện bảo vệ riêng lẻ, thiếu khả năng bao quát: Với mỗi hệ thống cần có một hoặc vài người quản trị, thông thường những người này chỉ làm việc với chuyên môn của họ. Khi có nhu cầu thực hiện phân tích, điều tra một vấn đề trong hệ thống, họ sẽ mất nhiều thời gian để tìm hiểu về các hệ thống khác có liên quan hoặc làm việc với các bộ phận khác…Như vậy thời gian thực hiện sẽ lâu, dễ dàng bỏ qua các sự kiện tưởng như không nguy hiểm. Bởi vì người quản trị không có khả năng quan sát toàn bộ các vấn đề về an ninh đang diễn ra trong hệ thống.
  • Mỗi hệ thống có một định dạng nhật ký khác nhau: Điều này gây khó khăn trong việc đồng bộ và phân tích.
Với yêu cầu như vậy, hệ thống thông tin của tổ chức cần một giải pháp thu thập, quản lý và phân tích các sự kiện an ninh thông tin, một Hệ thống giám sát an toàn thông tin SIEM (Security information and event management – SIEM) là hệ thống được thiết kế nhằm thu thập thông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối và lưu trữ dữ liệu một cách tập trung. Hệ thống SIEM phải thực hiện thu thập nhật ký từ tất cả các hệ thống mà các tổ chức quan tâm, cung cấp đa dạng và linh hoạt các công cụ cho việc tìm kiếm, phân tích, theo dõi các sự kiện an ninh theo thời gian thực trên duy nhất một giao diện. Tính năng phân tích sự tương quan giữa các sự kiện cho phép hệ thống chỉ ra được các vấn đề lớn về an ninh mà hệ thống đang phải đối mặt. Điều này sẽ cho phép các tổ chức hạn chế được các rủi ro, tiết kiệm thời gian, nhân lực.
2. Các thành phần của hệ thống SIEM
Hệ thống SIEM bao gồm nhiều phần, mỗi phần làm một nhiệm vụ riêng biệt. Mỗi thành phần trong hệ thống này có thể hoạt động độc lập với các thành phần khác nhưng nếu tất cả không hoạt động cùng một lúc thì sẽ có không có một SIEM hiệu quả.
Tùy thuộc vào hệ thống đang sử dụng mỗi SIEM sẽ có những thành phần cơ bản. Bằng sự hiểu biết từng phần của SIEM và cách thức hoạt động, người quản trị có thể quản lý một cách hiệu quả và khắc phục sự cố các vấn đề khi phát sinh.
Các thành phần của SIEM
Thiết bị đầu vào cung cấp dữ liệu
Thành phần đầu tiên của SIEM là các thiết bị đầu vào cung cấp dữ liệu cho SIEM. Thiết bị nguồn có thể là một thiết bị thực tế trong hệ thống mạng như Router, Switch hoặc một số loại máy chủ và cũng có thể là các bản ghi Log từ một ứng dụng hoặc chỉ là bất kỳ dữ liệu nào khác. Việc xác định những gì có trong hệ thống là rất quan trọng trong việc triển khai SIEM. Xác định được những nguồn cung cấp dữ liệu trong giai đoạn đầu sẽ giúp tiết kiệm được công sức, số tiền đáng kể và giảm sự phức tạp trong triển khai.
  • Hệ điều hành: Microsoft Windows và các biến thể của Linux và UNIX, AIX, Mac OS là những hệ điều hành thường hay được sử dụng. Hầu hết các hệ điều hành về cơ bản công nghệ khác nhau và thực hiện chuyên một nhiệm vụ nào đó nhưng một trong những điều mà tất cả đều có điểm chung là chúng tạo ra các bản ghi Log. Các bản ghi Log sẽ cho thấy hệ thống của đã làm gì: Ai là người đăng nhập, làm những gì trên hệ thống?…Các bản ghi Log được tạo ra bởi một hệ điều hành về hệ thống và người sử dụng hoạt động sẽ rất hữu ích khi tiến hành ứng phó sự cố an ninh hoặc chuẩn đoán vấn đề hay chỉ là việc cấu hình sai.
  • Thiết bị: Thực tế các quản trị viên hệ thống không có quyền truy cập từ xa vào các thiết bị trong hệ thống như router, switch, firewall, server để thực hiện một số việc quản lý cơ bản. Nhưng có thể quản lý các thiết bị thông qua một cổng giao diện đặc biệt. Giao diện này có thể dựa trên web, dòng lệnh hoặc chạy qua một ứng dụng được tải về máy trạm của quản trị viên. Hệ điều hành các thiết bị mạng chạy có thể là một hệ điều hành thông thường như Microsoft Windows, hay một bản tùy biến dựa trên nguồn mở như Linux, nhưng có thể được cấu hình theo cách mà hệ điều hành thông thường. Các thiết bị router, switch là một trường hợp điển hình, do không phụ thuộc vào nhà cung cấp, nên không bao giờ có thể truy cập trực tiếp vào hệ thống điều hành cơ bản của nó mà chỉ có thể truy cập vào thông qua dòng lệnh hoặc giao diện web được sử dụng để quản lý. Các thiết bị lưu trữ các bản ghi Log của chúng trên hệ thống hoặc thường có thể được cấu hình để gửi các bản ghi ra thông qua SysLog hoặc FTP.
  • Ứng dụng: Chạy trên các hệ điều hành là những ứng dụng được sử dụng cho một loạt các chức năng. Trong một hệ thống có thể có hệ thống tên miền (DNS), dịch vụ cấp phát địa chỉ động (DHCP), máy chủ web, hệ thống thư điện tử và vô số các ứng dụng khác. Các bản ghi ứng dụng chứa thông tin chi tiết về tình trạng của ứng dụng, ví dụ như thống kê, sai sót, hoặc thông tin tin nhắn. Một số ứng dụng sinh ra bản ghi Log sẽ có ích cho người quản trị? Dùng để yêu cầu duy trì, lưu trữ các bản ghi Log theo sự tuân thủ của pháp luật.
  • Xác định bản ghi Log cần thiết: Sau khi xác định các thiết bị nguồn cung cấp dữ liệu trong hệ thống, người quản trị cần xem xét việc thu thập các bản ghi Log từ các thiết bị nào là cần thiết và quan trọng cho SIEM. Một số điểm cần chú ý trong việc thu thập các bản ghi Log như sau:
  • Thiết bị nguồn nào được ưu tiên? Dữ liệu nào quan trọng cần phải thu thập? Kích thước bản ghi Log sinh ra trong khoảng thời gian nhất định là bao nhiêu? Những thông tin này dùng để xác định SIEM cần bao nhiêu tài nguyên cho chúng, đặc biệt là không gian lưu trữ.
  • Tốc độ các thiết bị nguồn này sinh ra bản ghi Log là bao lâu? Thông tin này kết hợp với kích thước bản ghi Log để lựa chọn việc sử dụng đường truyền mạng khi thu thập các bản ghi.
  • Cách thức liên kết giữa các thiết bị nguồn với SIEM?
  • Có cần các bàn ghi Log theo thời gian thực hay thiết lập quá trình thực hiện tại một thời điểm cụ thể trong ngày.
Các thông tin trên rất có ích trong việc xác định nguồn thiết bị cần thiết cho SIEM. Chúng có quá nhiều nhưng nó là cần thiết để xác định chính xác hơn điều gì là cần thiết cho SIEM. Số lượng người sử dụng, lịch bảo trì hệ thống và nhiều yếu tố khác có thể tác động đáng kể đến số lượng các bản ghi Log được tạo ra mỗi ngày.
2. Phương pháp thu thập thông tin
Thu thập bản ghi Log
Thành phần tiếp theo trong sơ đồ là thành phần thu thập Log. Cơ chế thu thập các bản ghi Log phụ thuộc vào từng thiết bị nhưng cơ bản có hai phương thức như sau: Push Log và Pull Log.
  • Push Log: Các bản ghi Log sẽ được các thiết bị nguồn đẩy về SIEM
Phương pháp này có lợi ích: Dễ dàng cài đặt và cấu hình. Thông thường, chỉ cần thiết lập một bộ tiếp nhận và sau đó kết nối thiết bị nguồn đến bộ phận tiếp nhận này. Ví dụ như SysLog, khi cấu hình thiết bị nguồn sử dụng SysLog, người quản trị có thể thiết lập địa chỉ IP hoặc DNS tên của một máy chủ SysLog trên mạng và thiết bị sẽ tự động gửi các bản ghi của nó thông qua SysLog. Tuy nhiên phương pháp này cũng còn một số nhược điểm.
Sử dụng SysLog trong môi trường UDP (User Datagram Protocol – là một trong những giao thức cốt lõi của giao thức TCP/IP). Bản chất của việc sử dụng SysLog trong môi trường UDP có thể là không đảm bảo rằng các gói tin đến đích, vì UDP là một giao thức không hướng kết nối. Nếu một tình huống xảy ra trên mạng chẳng hạn như khi một loại virus mạnh trên mạng, người quản trị có thể không nhận được gói tin SysLog. Một vấn đề có thể phát sinh là nếu không đặt quyền điều khiển truy cập thích hợp trên máy thu nhận các bản ghi Log thì khi cấu hình sai hoặc có phần mềm độc hại có thể làm tràn ngập các thông tin sai lệch. Điều đó làm cho các sự kiện an ninh khó được phát hiện. Nếu là một cuộc tấn công có chủ ý nhằm chống lại SIEM thì một kẻ xấu có thể làm sai lệch các thông tin và và thêm các dữ liệu rác vào SIEM. Do vậy sự hiểu biết về các thiết bị gửi các bản ghi Log cho SIEM là điều rất quan trọng
  • Pull Log: Các bản ghi Log sẽ được SIEM lấy về
Không giống như phương pháp Push Log, trong đó thiết bị nguồn gửi các bản ghi Log cho SIEM mà không cần bất kỳ sự tương tác từ SIEM. Pull Log đòi hỏi SIEM bắt đầu kết nối với các thiết bị nguồn và chủ động lấy các bản ghi từ các thiết bị nguồn đó bằng một phần mềm được cài đặt trên các thiết bị an ninh. Một ví dụ nếu các bản ghi Log được lưu trữ trong tập tin văn bản chia sẻ trên một mạng. SIEM sẽ thiết lập một kết nối lấy các thông tin được lưu trữ và đọc các file bản ghi từ các thiết bị nguồn.
Đối với phương pháp Push Log, các bản ghi Log của thiết bị nguồn thường gửi các bản ghi đến SIEM ngay sau khi nó được tạo ra. Nhưng với phương pháp Pull Log thì một kết nối sẽ được tạo ra để SIEM tiếp cận với các thiết bị nguồn và kéo các bản ghi Log từ các thiết bị nguồn về. Chu kỳ của việc kết nối để lấy các bản ghi Log của Pull Log có thể là vài giây hoặc theo giờ. Khoảng thời gian này có thể cấu hình theo tùy chọn hoặc để cấu hình mặc định cho SIEM. Điều này cũng cần tính toán về chu kỳ thời gian đẩy các bản ghi về SIEM vì nếu không sẽ dẫn tới việc tràn và nghẽn của hệ thống SIEM khi quá nhiều các thiết bị nguồn cùng đẩy bản ghi Log về.
Chính sách thu thập thông tin: Có thể thiết lập một chính sách ưu tiên và thu thập để lọc và củng cố các thông tin sự kiện an ninh trước khi gửi đến hệ thống. Kỹ thuật này cho phép người quản trị để điều tiết sự kiện an ninh và quản lý những thông tin, nếu không sẽ rất nhiều các sự kiện an ninh trong hệ thống mạng làm cho người quản trị lúng túng không biết bắt đầu từ đâu.
Phân tích, chuẩn hóa Log
Vô số các bản ghi Log được gửi từ các thiết bị và ứng dụng trong môi trường đến SIEM. Tại thời điểm này, tất cả các bản ghi đang ở định dạng gốc ban đầu, do đó người quản trị không thực hiện được bất cứ điều gì ngoại trừ lưu nó vào một nơi nào đó. Hệ thống SIEM thu thập các bản ghi Log từ rất nhiều các thiết bị khác nhau, việc truyền các  bản ghi log từ các thiết bị nguồn tới SIEM cần được giữ bí mật, xác thực và tin cậy bằng việc sử dụng Syslog hoặc các giao thức SNMP, OPSEC, SFTP.
Nhưng để các bản ghi Log hữu ích trong SIEM cần định dạng lại chúng sang một định dạng chuẩn duy nhất. Việc thay đổi tất cả các loại bản ghi Log khác nhau thành các bản ghi có cùng một định dạng duy nhất được gọi là chuẩn hóa. Nếu các thiết bị không hỗ trợ các giao thức này cần phải sử dụng các Agent. Đó là một điều cần thực hiện để thực hiện việc lấy các bản ghi log có định dạng mà SIEM có thể hiểu được. Việc cài đặt các Agent có thể kéo dài quá trình triển khai SIEM nhưng người quản trị sẽ có những bản ghi log theo dạng chuẩn mong muốn.
Chuẩn hóa Log
Mục đích của việc thu thập thông tin là để nắm bắt và chuẩn hóa các thông tin từ các thiết bị an ninh khác nhau và cung cấp các thông tin đó cho hệ thống để phân tích tiếp. Chức năng nay rất quan trọng vì dữ liệu có định dạng khác nhau từ các thiết bị khác nhau và các nhà cung cấp khác nhau.
Ví dụ như Hình: Chuẩn hóa Log hai hệ thống này, một hệ thống Windows Event Log và một ASA Cisco. Cả hai cho thấy cùng một người đăng nhập vào thiết bị. Cách đăng nhập của mỗi nhà cung cấp là khác nhau. Nên cần phải hiểu định dạng và chi tiết có trong sự kiện đó. Do việc chuẩn hóa Log là rất cần thiết.
Trong phần 2, bài viết sẽ đi sâu vào các kỹ thuật xác định quy luật quản trị SIEM.
Kỹ thuật xác định quy luật quản trị SIEM
1. Kỹ thuật tương quan sự kiện
Các quy luật cho phép mở rộng việc chuẩn hóa các bản ghi các sự kiện an ninh từ các nguồn khác nhau trong việc kích hoạt cảnh báo trong SIEM. Cách viết các quy luật trong SIEM bắt đầu thường khá đơn giản, nhưng có thể trở nên cực kỳ phức tạp. Người quản trị thường viết các quy tắc sử dụng một biểu thức Boolean Logic để xác định điều kiện cụ thể được đáp ứng và kiểm tra xem có phù hợp trong các dữ liệu.
Tương quan là một tập hợp các quy tắc. Tương quan sự kiện an ninh giúp liên kết các sự kiện an ninh từ các nguồn khác nhau thành một sự kiện an ninh chính xác. Tương quan các sự kiện an ninh được thực hiện nhằm đơn giản hóa các thủ tục ứng phó sự cố cho cho hệ thống, bằng việc thể hiện một sự cố duy nhất được liên hệ từ nhiều sự kiện an ninh đến từ các thiết bị nguồn khác nhau.
Thông thường có hai kiểu tương quan sự kiện là dựa trên các quy tắc kiến thức đã biết (Rule- based) và dựa trên phương pháp thống kê (Statistical-based):
  • Rule – based
Là phương pháp tương quan sự kiện dựa trên các quy tắc và kiến thức đã biết về các cuộc tấn công. Các kiến thức đã biết về các cuộc tấn công được sử dụng để liên kết các sự kiện lại với nhau và phân tích trong một bối cảnh chung. Các quy tắc được xây dựng vào các mẫu xác định và do các nhà cung cấp phát triển hoặc người quản trị có thể tự xây dựng, phát triển và bổ sung vào hệ thống theo thời gian và kinh nghiệm tích lũy.
  • Statistical – based
Phương thức tương quan không sử dụng bất kỳ kiến thức của các hoạt động cho là nguy hiểm đã biết trước đó. Nhưng thay vì dựa vào những kiến thức của các hoạt động bình thường đã được công nhận và tích lũy theo thời gian. Các sự kiện đang diễn ra được đánh giá bởi một thuật toán và có thể được so sánh với mẫu bình thường để phân biệt hành vi bình thường và hành vi bất thường. Hệ thống phân tích các sự kiện an ninh trong một khoảng thời gian và sử dụng trọng số để đánh giá tài sản, hệ thống. Các giá trị trọng này sau đó được phân tích để xác định nguy cơ kiểu tấn công này xảy ra. Các hệ thống này cũng thiết lập mức độ hoạt động mạng bình thường và tìm kiếm sai lệch so với những mẫu có hành vi bình thường có thể chỉ ra một cuộc tấn công.
Nếu nhìn vào ví dụ trong Hình 3, có thể thấy được nhiều sự kiện an ninh đăng nhập vào SIEM trong khoảng thời gian 10 giây. Nhìn vào điều này có thể nhìn thấy các sự kiện đăng nhập thất bại và đăng nhập thành công từ nhiều địa chỉ đến để một số địa chỉ đích. Nếu nhìn kỹ, có thể thấy một một địa chỉ nguồn duy nhất đăng nhập vào nhiều địa chỉ đích nhiều lần, và sau đó đột ngột thấy một đăng nhập thành công. Điều này có thể là một cuộc tấn công Brute-Force với máy chủ.
Các Log được thu thập trong vòng 10 giây
Mở rộng theo ví dụ này và thay vì chỉ 10 sự kiện an ninh trong một khoảng thời gian 10 giây, hệ thống có 1000 sự kiện an ninh trong 10 giây. Hãy chọn ra những sự kiện an ninh từ tất cả, trong hệ thống có thể hiển thị một sự kiện an ninh nguy cơ nguy hại là điều cực kỳ khó khăn. Nên cần một cách để loại bỏ tất cả các thông tin sự kiện an ninh không liên quan trong các bản ghi Log và chỉ ần theo dõi các thông tin sự kiện an ninh mà có thể chỉ ra một nguy hại qua nhiều sự kiện an ninh.
2. Lưu trữ Log
Với các bản ghi Log gửi tới SIEM cần một cách để lưu trữ chúng để phục vụ các mục đích lưu giữ và truy vấn sau này. Có ba cách mà có thể lưu trữ các bản ghi trong SIEM là: Dùng một cơ sở dữ liệu, file Text và dưới dạng file nhị phân.
  • Cơ sở dữ liệu
Lưu trữ các bản ghi Log trong cơ sở dữ liệu là cách lưu trữ các bản ghi Log hay được dùng nhất trong SIEM. Cơ sở dữ liệu thường là một nền tảng cơ sở dữ liệu chuẩn như Oracle, MySQL, Microsoft SQL hoặc một trong các ứng dụng cơ sở dữ liệu lớn khác đang được sử dụng trong doanh nghiệp.
Phương pháp này cho phép khá dễ dàng tương tác với dữ liệu vì các truy vấn cơ sở dữ liệu là một phần của ứng dụng cơ sở dữ liệu. Hiệu suất cũng khá tốt khi truy cập vào các bản ghi Log trong cơ sở dữ liệu, phụ thuộc vào phần cứng cơ sở dữ liệu đang chạy, nhưng các ứng dụng cơ sở dữ liệu phải được tối ưu hóa để chạy với SIEM.
Sử dụng cơ sở dữ liệu là một giải pháp tốt cho việc lưu trữ nhật ký, nhưng một số vấn đề có thể phát sinh tùy thuộc vào cách SIEM triển khai cơ sở dữ liệu tương ứng với nó. Nếu SIEM là một thiết bị thường không có nhiều sự tương tác với cơ sở dữ liệu, do đó việc cung cấp và bảo trì thường không phải là một vấn đề. Nhưng nếu SIEM đang chạy trên phần cứng riêng thì việc quản lý cơ sở dữ liệu cho mình cũng là vấn đề lớn. Điều này có thể là khó khăn nếu hệ thống không có một DBA.
  • Lưu trữ dưới dạng file text
Một tập tin văn bản chuẩn để lưu trữ các thông tin trong một định dạng có thể đọc được. Các thông tin cần phải có một ranh giới phân cách có thể là dấu phẩy, khoảng cách tab hoặc một số kí hiệu khác. Vì vậy thông tin có thể được phân tích và đọc đúng. Phương pháp lưu trữ này không được sử dụng thường xuyên. Hành động viết và đọc từ tập tin văn bản dường như chậm hơn so với các phương pháp khác.
Thật sự không có nhiều lợi ích khi sử dụng một tập tin text để lưu trữ dữ liệu, nhưng nó dễ dàng cho các ứng dụng bên ngoài để truy cập dữ liệu này. Nếu các bản ghi Log được lưu trữ trong một tập tin văn bản, thì sẽ không khó khăn khi viết mã để mở các tập tin và lấy thông tin để cung cấp cho cho một ứng dụng khác. Một lợi ích khác là khi tập tin văn bản con người có thể đọc được và dễ dàng để nhà phân tích tìm kiếm và hiểu nó.
  • Lưu trữ dưới dạng nhị phân
Định dạng tập tin nhị phân là sử dụng một tập tin với định dạng tùy chỉnh để lưu trữ thông tin duới dạng nhị phân. SIEM biết làm thế nào để đọc và ghi vào những file này.
Theo dõi và giám sát
Giai đoạn cuối cùng là phương pháp tương tác với các bản ghi được lưu trữ trong SIEM. Một khi đã có tất cả các bản ghi trong SIEM và các sự kiện an ninh đã được xử lý, điều cần làm tiếp theo là như thế nào để sử dụng hữu ích với các thông tin từ các bản ghi Log khác nhau. Hệ thống SIEM cung cấp giao diện điều khiển dựa trên web hoặc ứng dụng tải về máy trạm. Cả hai giao diện sẽ cho phép tương tác với các dữ liệu được lưu trữ trong SIEM. Giao diện điều khiển này cũng được sử dụng để quản lý SIEM.
SIEM cung cấp ba cách để thông báo tới các quản trị viên một cuộc tấn công hay một hành vi bất thường đang xảy ra. Thứ nhất, SIEM có thể đưa ra một cảnh báo ngay khi có điều chúng nhận ra là bất thường. Thứ hai, SIEM sẽ gửi một thông báo vào một thời điểm được xác định trước của cuộc tấn công và thứ ba là các quản trị viên theo dõi giám sát SIEM theo thời gian thực thông qua một giao diện web.
Giao diện ứng dụng này cho phép xử lý sự cố hoặc cung cấp cái nhìn tổng quan về môi trường của hệ thống. Bình thường, khi muốn xem các thông tin hoặc xử lý sự cố thì các kỹ sư sẽ phải đi đến các thiết bị khác nhau và xem các bản ghi Log trong định dạng gốc của nó. Nhưng với SIEM sẽ đơn giản và tiện lợi hơn nhiều. Nó có thể xử lý tại một nơi duy nhất, phân tích tất cả các bản ghi Log khác nhau dễ dàng bởi vì SIEM đã chuẩn hóa các thông tin dữ liệu đó.
Trong quản lý và giám sát giao diện điều khiển của SIEM, người quản trị có thể phát triển nội dung và quy định được sử dụng để tìm ra thông tin từ các sự kiện an ninh được xử lý. Giao diện điều khiển này là một cách để giao tiếp với các dữ liệu được lưu trữ trong SIEM.
Kết luận
Việc triển khai hệ thống SIEM không làm thay đổi kiến trúc mạng của hệ thống. Các thiết bị có thể được đặt ở bất kỳ đâu trong hệ thống mạng như các máy chủ, tối ưu nhất là vùng quản trị của hệ thống, còn máy chủ theo dõi và giám sát có thể bố trí đặt ở những vị trí thuận tiện cho việc thu thập nhật ký từ các hệ thống.
Với mục đích giúp khách hàng xác định ý nghĩa của bất kỳ sự kiện nào bằng cách đặt nó trong ngữ cảnh để trả lời các câu hỏi: cái gì, ở đâu, khi nào và lý do tại sao sự kiện đó xảy và và ảnh hưởng của nó đối với khách hàng. Hệ thống SIEM cung cấp mối tương quan giữa các sự kiện dựa trên mức độ ưu tiên, tự động đánh giá chính xác các rủi ro an ninh bảo mật và vi phạm tuân thủ các chính sách trong môi trường công nghệ thông tin của khách hàng. Khả năng cảnh báo thời gian thực đưa ra các nguy cơ và rủi ro đối với hệ thống an ninh bảo mật dựa trên các nội dung cần thiết đã phân tích.
Song Phương – FPT IS / https://techinsight.com.vn/

Thank you so much

Comments