TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP. HỒ CHÍ MINH
KHOA CÔNG NGHỆ THÔNG TIN

BÀI BÁO CÁO

TIỂU LUẬN CHUYÊN NGÀNH
ĐỀ TÀI:

TÌM HIỂU SECURITY INFORMATION
AND EVENT MANAGEMENT (SIEM) VÀ
THỰC NGHIỆM TRÊN MÃ NGUỒN MỞ
Giảng viên hướng dẫn :

ThS. Nguyễn Thị Thanh Vân

Sinh viên thực hiện

Phan Văn Hưng – 15110224

:

Trương Trọng Ân -16110280

TP. HỒ CHÍ MINH – 10/2019

1


Mục Lục
PHẦN MỞ ĐẦU........................................................................................................... 4
1.

Lý do chọn đề tài................................................................................................ 4

2.

Mục tiêu đề tài................................................................................................... 5

3.

Đối tượng của đề tài........................................................................................... 5

4.

Nội dung của đề tài............................................................................................ 5

5.

Ý nghĩa của đề tài............................................................................................... 5

PHẦN NỘI DUNG....................................................................................................... 7
Chương 1: HỆ THỐNG SECURITY INFORMATION AND EVENT
MANAGEMENT (SIEM)............................................................................................. 7
1.1.

Tổng quan về SIEM........................................................................................ 7

1.2.

Các tính năng của hệ thống SIEM................................................................ 16


1.2.1. Thu thập dữ liệu, quản lí tập trung, tương quan sự kiện an ninh...............16
1.2.2. Báo cáo, cảnh báo tới quản trị viên hệ thống, hiển thị tình trạng hệ thống17
1.2.3. Kiểm soát truy cập, giám sát, đảm bảo an toàn hệ thống..........................17
1.2.4. Cung cấp các giải pháp xử lý sự cố........................................................... 18
1.3.

Lợi ích, ưu điểm của SIEM.......................................................................... 19

1.4.

Các thành phần của hệ thống SIEM.............................................................. 20

1.4.1. Thiết bị nguồn và các dịch vụ................................................................... 21
1.4.2. Các dạng bản ghi log................................................................................ 23
1.5.

Cơ chế hoạt động của hệ thống SIEM.......................................................... 24

1.5.1. Thu thập thơng tin từ các thiết bị.............................................................. 24
1.5.2. Phân tích, chuẩn hóa bản ghi log, tương quan các sự kiện an ninh...........27
1.5.3. Theo dõi và giám sát hệ thống.................................................................. 29
1.5.4. Báo cáo, cảnh báo, lưu trữ dữ liệu............................................................ 30
Chương 2: SIEM TOOLS........................................................................................... 32
2.1.

Splunk Enterprise......................................................................................... 32

2.1.1. Cơ chế Splunk Enterprise thu thập thông tin............................................. 33
2.1.2. Splunk Enterprise giám sát hệ thống......................................................... 35
2.1.3. Splunk Enterprise lưu trữ dữ liệu.............................................................. 35

2.1.4. Splunk Enterprise ứng phó với sự cố........................................................ 35
2.1.5 Triển khai Splunk Enterprise....................................................................... 35
2.1.6 Mở rộng....................................................................................................... 36


2.2.

AlienVault OSSIM........................................................................................ 37

2.2.1. Phương pháp thu thập thông tin của OSSIM............................................. 38
2.2.2. Tương quan sự kiện an ninh trong OSSIM............................................... 38
2.2.3. Các hành động ứng phó sự cố an ninh trong OSSIM................................ 39
2.2.4. Một số công cụ mã nguồn mở tích hợp trong OSSIM............................... 40
Chương 3: THỰC NGHIỆM...................................................................................... 42
3.1.

Mơ tả............................................................................................................ 42

3.2 Kịch bản tấn công.............................................................................................. 42


PHẦN MỞ ĐẦU
1. Lý do chọn đề tài

Ngày nay, sự bùng nổ và phát triển của công nghệ thông tin và mạng internet
trên toàn thế giới thúc đẩy sự tăng trưởng mọi mặt của nền kinh tế, công nghệ
và đời sống...Đi kèm với sự phát triển nhanh chóng ấy là những nguy cơ như
mất an tồn thơng tin, dữ liệu, với yêu cầu bảo mật những dữ liệu, thông tin
quan trọng thì vấn đề đảm bảo an ninh mạng là vấn đề mà các tổ chức, cơ quan,
doanh ngiệp luôn đặt lên hàng đầu. Đó cũng là lý do mà hệ thống giám sát an

tồn mạng và quản lí sự kiện ra đời (SIEM) ra đời, nhằm thu thập thông tin nhật
ký các sự kiện an ninh từ các thiết bị đầu cuối và lưu trữ dữ liệu một cách tập
trung. Theo đó, các sản phẩm SIEM cho phép phân tích tập trung và báo cáo về
các sự kiện an tồn mạng của hệ thống. Kết quả phân tích này có thể được dùng
để phát hiện ra các cuộc tấn công mà không thể phát hiện được theo phương
pháp thông thường. Một số sản phẩm SIEM cịn có khả năng ngăn chặn các
cuộc tấn công mà chúng phát hiện được.
Sản phẩm SIEM đã xuất hiện nhiều năm nay, nhưng tiền thân của sản phẩm này
nhắm đến các tổ chức lớn với khả năng và đội ngũ phân tích an ninh chuyên
biệt. SIEM đang dần trở nên nổi bật, phù hợp cả với nhu cầu của các tổ chức
vừa và nhỏ. Kiến trúc SIEM ngày nay bao gồm phầm mềm SIEM cài đặt trên
một máy chủ cục bộ, một phần cứng cục bộ hoặc một thiết bị ảo dành riêng cho
SIEM, kèm theo đó là một dịch vụ đám mây SIEM.
SIEM là một giải pháp hồn chính, đầy đủ cho phép các tổ chức thực hiện việc
giám sát các sự kiện an tồn thơng tin cho một hệ thống, đảm bảo an ninh thơng
tin và quản lí các sự kiện an ninh của hệ thống một cách khoa học và hợp lý,
giúp quản trị viên có cái nhìn tổng quan và chính xác về tình trạng của hệ thống,
ngồi ra cịn giúp quản trị viên đưa ra phương án xử lí thích hợp khi xảy sự cố.


Với những lợi ích thiết thực của mình, hệ thống SIEM ngày càng phát triển và
trở nên phổ biến, vì vậy với vai trị là những kỹ sư cơng nghệ thông tin tương
lai, chúng em thực hiện đề tài này với mong mỏi phát triển tri thức, tìm hiểu và
thực nghiệm hệ thống này nhằm phục vụ công việc sau này và phát triển hơn về
sau.
2. Mục tiêu đề tài

Tìm hiểu về cơ chế hoạt động, tính năng và ứng dụng của hệ thống giám sát an
toàn mạng và quản lí sự kiện SIEM
Thực nghiệm triển khai hệ thống SIEM trên mã nguồn mở với mơ hình mạng

nhỏ, thực hiện một số tính năng nổi biệt của SIEM
3. Đối tượng của đề tài

Hệ thống giám sát an toàn mạng và quản lí sự kiện security information and
event management (SIEM).
4. Nội dung của đề tài

 Khái niệm hệ thống SIEM
 Các tính năng của hệ thống SIEM
 Lợi ích của một hệ thống SIEM
 Thành phần và cách hoạt động của hệ thống SIEM
 Các công cụ triển khai SIEM và tính năng nổi bật
 Triển khai hệ thống trên mã nguồn mở
5. Ý nghĩa của đề tài

Việc thực hiện đề tài giúp người thực hiện có thêm tri thức về hệ thống giám sát
an tồn mạng và quản lí sự kiện an ninh mà trong thời buổi công nghệ thông tin
và mạng internet ngày càng phát triển mạnh mẽ, đi kèm với đó là những nguy
cơ, rủi ro về vấn đề bảo mật thơng tin, an tồn mạng cục bộ và toàn cầu. Để một


phần nào đó giải quyết những vấn đề trên, hệ thống SIEM được ra đời và ngày


càng hoàn thiện giúp quản trị viên hệ thống mạng dễ dàng hơn trong việc quản
lí các sự kiện an ninh diễn ra trong hệ thống, giám sát an toàn hệ thống mạng
một cách khoa học và hiệu quả… Đề tài sẽ mang tới cho người đọc, người
nghiên cứu một nguồn tri thức khoa học về vấn đề của đề tài, là nền tảng để
phát triển đề tài về sau.



PHẦN NỘI DUNG
Chương 1:

HỆ THỐNG SECURITY INFORMATION AND EVENT
MANAGEMENT (SIEM)

1.1.

Tổng quan về SIEM

SIEM (Security Infomation and Event Management - Hệ thống bảo mật thông
tin và quản lý sự kiện an ninh) là hệ thống các phần mềm và dịch vụ được kết
hợp từ SIM (Security information management) và SEM (Security event
management). SIEM cung cấp dịch vụ phân tích thời gian thực và cảnh báo bảo
mật được tạo từ dữ liệu thu thập từ các ứng dụng và phần cứng mạng.
SIEM thu thập các dữ liệu về các sự kiện an ninh từ nhiều thiết bị khác
nhau trong hệ thống để phân tích, tương quan và đưa ra cảnh báo bảo mật cho
người quản trị về những nguy cơ đang xảy ra với hệ thống. SIEM còn cung cấp
giải pháp ứng phó với các sự cố an ninh mạng, chuẩn hóa, lưu trữ và quản lý dữ
liệu an ninh và dữ liệu đăng nhập.


Hình 1: Các tính năng của hệ thống SIEM

SIEM cung cấp các tính năng như:
 Thu thập file log
 Phân tích file log
 Tương quan sự kiện an ninh
 Đảm bảo tuân thủ tiêu chuẩn công nghệ thông tin

 Quản lý, giám sát đăng nhập và xác thực
 Kiểm soát truy cập ứng dụng
 Kiểm soát hoạt động của người dùng
 Báo cáo, cảnh báo, thống kê tình trạng hệ thống


 Đảm bảo sự toàn vẹn dữ liệu
 Giám sát hệ thống, đảm bảo an ninh các thiết bị đầu cuối
 Cảnh báo thời gian thực
 Tạo biểu đồ thể hiện tình trạng hệ thống một cách trực quan
 Phát hiện lỗ hổng, nguy cơ và cung cấp giải pháp xử lý, khắc phục sự cố
 Lưu trữ dữ liệu, đánh chỉ mục dữ liệu đảm bảo cho việc tìm kiếm về sau
SIEM là một giải pháp hồn chính, đầy đủ cho phép các tổ chức thực hiện việc
giám sát các sự kiện an tồn thơng tin cho một hệ thống mạng.
SIEM có thể được so sánh với một máy phức tạp trong đó SIEM có một số
bộ phận chuyển động, mỗi bộ phận thực hiện một công việc cụ thể, cần phải
hoạt động đúng với nhau nếu khơng tồn bộ hệ thống sẽ thất bại. Có các biến
thể trên SIEM tiêu chuẩn với các bộ phận cụ thể bổ sung nhưng một SIEM đơn
giản có thể được chia thành sáu phần riêng biệt.Những mảnh riêng lẻ này là
thiết bị nguồn, bộ sưu tập nhật ký,phân tích cú pháp / chuẩn hóa nhật ký, cơng
cụ quy tắc, lưu trữ nhật ký và giám sát sự kiện và thu hồi. Mỗi bộ phận này có
thể hoạt động độc lập với các bộ phận khác, nhưng khơng có tất cả chúng hoạt
động cùng nhau, tồn bộ SIEM sẽ khơng hoạt động đúng.

Hầu hết mọi người không nhận ra khối lượng lớn các bản ghi được tạo ra
mỗi ngày thông qua hoạt động hàng ngày của họ. Họ tạo ra nhật ký từ vơ số
thiết bị khác nhau: người dùng máy tính, cùng với các bộ định tuyến, chuyển
mạch và tường lửa khác nhau mà người dùng sẽ phải truy cập để truy cập trang
web và sau đó chính trang web chứa tất cả các hộp thư đến email của người
dùng, tất cả đều tạo ra các bản ghi hiển thị chính xác những gì người dùng đã

làm và nơi người dùng đã đi. Tùy thuộc vào những gì bạn đang tìm kiếm, một
số thơng tin này khơng phải là rất hữu ích, và một số thơng tin rất hữu ích. Phần


đầu tiên của SIEM là thiết bị nguồn cung cấp thông tin vào SIEM. Thiết bị
nguồn là thiết bị ứng dụng hoặc một số loại dữ liệu khác mà bạn muốn lấy nhật
ký từ đó sau đó bạn lưu trữ và xử lý trong SIEM của bạn. Thiết bị nguồn có thể
là một thiết bị thực tế trên mạng của bạn, chẳng hạn như bộ định tuyến, bộ
chuyển mạch hoặc một số loại máy chủ, nhưng nó cũng có thể là nhật ký từ một
ứng dụng hoặc bất kỳ dữ liệu nào khác mà bạn có thể có được, thu được. Thiết
bị nguồn không phải là một phần thực tế của SIEM, khi nhìn vào SIEM như một
ứng dụng bạn mua, nhưng nó là một phần quan trọng của quy trình SIEM tổng
thể. Tất cả các hệ thống trên mạng của bạn có mặt để xử lý một số loại thông tin
cho bạn và người dùng của bạn. Các máy chủ dịch vụ web, email và thư mục
của bạn đều xử lý thông tin được tạo bởi người dùng của bạn. Khơng có thiết bị
nguồn và thơng tin mà thiết bị tạo ra, SIEM của bạn chỉ là một ứng dụng đẹp mà
khơng có gì.

Log Collection:Bước tiếp theo trong luồng nhật ký của thiết bị hoặc ứng dụng
là bằng cách nào đó có được tất cả những điều này nhật ký khác nhau từ các
thiết bị gốc của họ đến SIEM. Các cơ chế thực tế như thế nào nhật ký được truy
xuất khác nhau tùy thuộc vào SIEM cụ thể mà bạn đang sử dụng, nhưng tại đó
cơ bản nhất, các quy trình thu thập nhật ký có thể được chia thành hai cơ bản
phương thức thu thập: Thiết bị nguồn gửi nhật ký của nó đến SIEM, đó là được
gọi là phương thức đẩy hoặc SIEM tiếp cận và lấy các bản ghi từ nguồn thiết bị,
được gọi là phương pháp kéo. Mỗi phương pháp đều có mặt tích cực và tiêu cực
khi được sử dụng trong mơi trường của bạn, nhưng cả hai đều thành công trong
việc có được dữ liệu từ thiết bị nguồn vào SIEM.
Parsing/Normalization of Log: Giờ đây, nhật ký từ vô số thiết bị và ứng dụng
trong môi trường của bạn đang được chuyển tiếp đến SIEM, điều gì xảy ra tiếp

theo? Tại thời điểm này, tất cả các bản ghi vẫn còn ở định dạng gốc của chúng
để bạn không thực sự đạt được bất cứ thứ gì, ngồi tập trung kho lưu trữ nhật ký


của bạn. Điều gì cần xảy ra để làm cho các bản ghi này hữu ích trong SIEM là
định dạng lại chúng thành một định dạng tiêu chuẩn duy nhất có thể sử dụng
được bởi SIEM. Các hành động thay đổi tất cả các loại nhật ký khác nhau thành
một định dạng được gọi là chuẩn hóa. Mỗi loại SIEM sẽ xử lý hành động chuẩn
hóa theo các cách khác nhau, nhưng kết thúc kết quả là có tất cả các bản ghi, bất
kể loại thiết bị hoặc nhà sản xuất, nhìn tương tự trong SIEM.Cách các hệ thống
khác nhau đăng nhập tương tự hành động phụ thuộc vào nhà cung cấp. Như đã
nói trước đây, bạn cần hiểu các định dạng và chi tiết có trong sự kiện này. Đây
là nơi ghi nhật ký SIEM bình thường hóa thực sự có ích.
Rule Engine/Correlation Engine:Cơng cụ quy tắc mở rộng khi chuẩn hóa các
sự kiện từ các nguồn khác nhau để kích hoạt cảnh báo trong SIEM do các điều
kiện cụ thể trong các nhật ký này. Các phương pháp viết các quy tắc SIEM
thường bắt đầu khá đơn giản, nhưng có thể trở thành vơ cùng phức tạp. Bạn
thường viết các quy tắc bằng cách sử dụng một dạng logic Boolean để xác định
xem các điều kiện cụ thể có được đáp ứng hay khơng và kiểm tra sự phù hợp
của mẫu trong trường dữ liệu. Bạn muốn có một trình kích hoạt cảnh báo của
bất kỳ ai đăng nhập vào máy chủ với thông tin xác thực cấp quản trị viên cục
bộ, như trong Hình 2. Nếu bạn có nhiều của các hệ điều hành máy chủ khác
nhau trong mơi trường của bạn, bạn sẽ cần tìm kiếm các hệ điều hành khác nhau
kích hoạt trong nhật ký phụ thuộc vào hệ điều hành báo hiệu khi tài khoản quản
trị viên cục bộ đã được sử dụng để đăng nhập cục bộ. Đối với Windows Server,
bạn sẽ muốn tìm kiếm tên người dùng quản trị viên tên lửa và trên máy chủ
Linux, bạn sẽ tìm tên người dùng root để chỉ ra rằng một quản trị viên cục bộ
đã đăng nhập vào máy chủ. Với SIEM,thay vì có nhiều quy tắc kích hoạt cho
các loại đăng nhập quản trị viên khác nhau,bạn có thể viết một quy tắc bằng
cách sử dụng logic bên trong SIEM để kích hoạt quy tắc dựa trên nhiều biến.



Hình 2: admin login rules
Cơng cụ tương quan:Cơng cụ tương quan là một tập hợp con của công cụ quy
tắc. Công cụ tương quan là để khớp nhiều sự kiện tiêu chuẩn từ các nguồn khác
nhau thành một mối tương quan duy nhất. Sự tương quan của các sự kiện tiêu
chuẩn thành một sự kiện tương quan được thực hiện để đơn giản hóa các quy
trình ứng phó sự cố cho môi trường của bạn, bằng cách hiển thị một sự kiện
được kích hoạt từ nhiều sự kin đến từ các thiết bị nguồn khác nhau.


Hình 3: cơng cụ tương quan cho SIEM

Bạn cần một cách để loại bỏ tất cả thông tin không liên quan trong nhật ký của
bạn và chỉ theo dõi các sự kiện cụ thể có thể chỉ ra một sự kiện độc hại lan rộng
trên nhiều sự kiện. Đối với sự thỏa hiệp về sức mạnh vũ phu có thể, bạn sẽ cần
phải khớp một cách hợp lý một số sự kiện đăng nhập thất bại với cùng một địa
chỉ nguồn đến cùng một đích địa chỉ và sau đó đăng nhập thành cơng vào máy
chủ đích từ nguồn ban đầu trên một khung thời gian cụ thể. Vì vậy, thay vì phải
tìm kiếm nhật ký của bạn để tìm kiếm các sự kiện riêng lẻ và mối quan hệ giữa
các sự kiện đó, bạn có thể sử dụng logic dựng sẵn SIEM để tập hợp các sự kiện
mạng của bạn thành một sự kiện tương quan.
Log Storage:Để làm việc với khối lượng nhật ký đi vào SIEM, bạn cần một
cách để lưu trữ chúng cho mục đích duy trì và truy vấn lịch sử. Thông thường


có ba cách SIEM có thể lưu trữ nhật ký của nó: trong cơ sở dữ liệu, tệp văn bản
phẳng hoặc tệp nhị phân.
Cơ sở dữ liệu:Lưu trữ nhật ký trong cơ sở dữ liệu là cách mà hầu hết các SIEM
lưu trữ nhật ký của họ. Cơ sở dữ liệu thường là một nền tảng cơ sở dữ liệu tiêu

chuẩn như Oracle, MySQL, Microsoft SQL hoặc các ứng dụng cơ sở dữ liệu lớn
khác đang được sử dụng trong doanh nghiệp. Phương pháp này cho phép tương
tác và truy xuất dữ liệu được lưu trữ khá dễ dàng vì cơ sở dữ liệu các cuộc gọi
là một phần của ứng dụng cơ sở dữ liệu. Hiệu suất cũng khá tốt.
Khi truy cập nhật ký trong cơ sở dữ liệu, tùy thuộc vào phần cứng của cơ sở dữ
liệu đang chạy, nhưng ứng dụng cơ sở dữ liệu nên được tối ưu hóa để chạy với
SIEM.Sử dụng cơ sở dữ liệu là một giải pháp tốt để lưu trữ nhật ký, nhưng một
số vấn đề có thể phát sinh tùy thuộc vào cách SIEM thực hiện cơ sở dữ liệu của
nó. Nếu SIEM của bạn là một thiết bị ,thơng thường bạn sẽ khơng có nhiều
tương tác với cơ sở dữ liệu cơ bản, vì vậy cung cấp và bảo trì thường khơng
phải là một vấn đề. Nhưng nếu SIEM đang chạy trên phần cứng của riêng bạn,
bạn có thể cần phải tự quản trị cơ sở dữ liệu. Cái này có thể trở nên thách thức
nếu bạn khơng có DBA đủ điều kiện trong mơi trường của mình.
Tệp văn bản:Một tệp văn bản phẳng chỉ là một tệp văn bản tiêu chuẩn lưu trữ
thông tin ở định dạng khá dễ đọc. Tệp cần phải là một số loại tệp được phân
định, có thể là dấu phẩy, tab hoặcmột số ký tự khác, vì vậy thơng tin có thể
được phân tích cú pháp và đọc đúng. Bộ lưu trữ nàyphương pháp khơng được
sử dụng rất thường xun, vì nó khơng được thiết kế để mở rộng ra các môi
trường lớn.Vấn đề khác bạn sẽ gặp phải là hiệu suất. Hành động viết và đọc
từtệp văn bản sẽ chậm hơn các phương thức khác.Bạn khơng thực sự nhận được
nhiều tích cực khi sử dụng tệp văn bản phẳng để lưu trữ dữ liệu của bạn,nhưng
nó giúp các ứng dụng bên ngồi dễ dàng truy cập dữ liệu này. Nếu nhật ký của
bạn làđược lưu trữ trong một tệp văn bản, không khó để viết mã của riêng bạn
để mở tệp và truy xuấtLưu trữ nhật kýBộ sưu tập nhật ký thiết bị nguồnCông cụ


quy tắcTương quanĐộng cơLưu trữ nhật ký phân tích cú phápBình thường
hóaGiám sát Giai đoạn cuối cùng trong giải phẫu của SIEM là phương pháp
tương tác với các bản ghiđược lưu trữ trong SIEM của bạn. Khi bạn có tất cả
các bản ghi trong SIEM và các sự kiện đã đượcđã xử lý, bạn cần một cách để

làm một cái gì đó hữu ích với thơng tin khác nếunhật ký chỉ trong SIEM cho
mục đích lưu trữ. Một SIEM sẽ có bảng điều khiển giao diện,sẽ dựa trên web
hoặc dựa trên ứng dụng và được tải trên máy trạm của bạn.
Cả hai giao diện sẽ cho phép bạn tương tác với dữ liệu được lưu trữ trong SIEM
của bạn. Điều nàybảng điều khiển, có thể dựa trên web hoặc dựa trên ứng dụng,
cũng sẽ được sử dụng để quản lý SIEM của bạn.Giao diện này vào ứng dụng
SIEM thực tế sẽ cho phép xử lý sự cố của bạn hoặckỹ sư hệ thống một cái nhìn
độc đáo vào mơi trường của bạn. Thông thường, để xemthông tin mà SIEM tập
hợp, xử lý sự cố hoặc kỹ sư sẽ phải truy cậpcác thiết bị khác nhau và xem nhật
ký ở định dạng gốc của chúng. SIEM giúp xemvà phân tích tất cả các nhật ký
khác nhau này dễ dàng hơn nhiều vì SIEM bình thường hóa dữ liệu.Trong bảng
điều khiển giám sát và quản lý SIEM, bạn sẽ có thể phát triểnnội dung và quy
tắc sẽ được sử dụng để lấy thông tin từ các sự kiệnxử lý. Bảng điều khiển này sẽ
là cách chính để bạn giao tiếp với dữ liệuđược lưu trữ trong SIEM của bạn. Hãy
nghĩ về nó như giao diện vào cơ sở dữ liệu, nơi bạn có thể sử dụngNgơn ngữ nội
bộ SIEMiến để truy vấn dữ liệu được lưu trữ ở đó.thơng tin sẽ được sử dụng
trong một ứng dụng khác. Một lợi ích khác là từ văn bảntập tin ở dạng người có
thể đọc được, nó giúp người phân tích dễ dàng tìm kiếm thơng quatập tin. Bạn
có thể mở tệp và sử dụng GREP hoặc một số cơng cụ tìm kiếm tệp văn bản khác
để lấy ra thơng tin bạn đang tìm kiếm mà không cần mở bảng điều khiển quản
lý.
Tập tin nhị phân:Định dạng tệp nhị phân là một tệp sử dụng định dạng tùy
chỉnh để lưu trữ thông tin nhị phân chỉ được sử dụng bởi SIEM cụ thể để lưu trữ


thông tin. SIEM là ứng dụng duy nhất biết cách đọc và ghi vào tập tin độc
quyền cao này.
Monitoring:Giai đoạn cuối cùng trong phân tích của SIEM là phương pháp
tương tác với các bản ghi được lưu trữ trong SIEM của bạn. Khi bạn có tất cả
các bản ghi trong SIEM và các sự kiện đã được đã xử lý, bạn cần một cách để

làm một cái gì đó hữu ích với thông tin khác nếu nhật ký chỉ trong SIEM cho
mục đích lưu trữ. Một SIEM sẽ có bảng điều khiển giao diện, sẽ dựa trên web
hoặc dựa trên ứng dụng và được tải trên máy trạm của bạn. Cả hai giao diện sẽ
cho phép bạn tương tác với dữ liệu được lưu trữ trong SIEM của bạn. Điều này
bảng điều khiển, có thể dựa trên web hoặc dựa trên ứng dụng, cũng sẽ được sử
dụng để quản lý SIEM của bạn.
Giao diện này vào ứng dụng SIEM thực tế sẽ cho phép xử lý sự cố của bạn
hoặc kỹ sư hệ thống một cái nhìn độc đáo vào môi trường của bạn. Thông
thường, để xem thông tin mà SIEM tập hợp, xử lý sự cố hoặc kỹ sư sẽ phải truy
cập các thiết bị khác nhau và xem nhật ký ở định dạng gốc của chúng. SIEM
giúp xem và phân tích tất cả các nhật ký khác nhau này dễ dàng hơn nhiều vì
SIEM bình thường hóa dữ liệu. Trong bảng điều khiển giám sát và quản lý
SIEM, bạn sẽ có thể phát triển nội dung và quy tắc sẽ được sử dụng để lấy
thông tin từ các sự kiện xử lý. Bảng điều khiển này sẽ là cách chính để bạn giao
tiếp với dữ liệu được lưu trữ trong SIEM của bạn. Hãy nghĩ về nó như giao diện
vào cơ sở dữ liệu, nơi bạn có thể sử dụng ngôn ngữ nội bộ SIEM để truy vấn dữ
liệu được lưu trữ ở đó.
1.2.

Các tính năng của hệ thống SIEM

1.2.1. Thu thập dữ liệu, quản lí tập trung, tương quan sự kiện an ninh
SIEM thu thập và quản lý các bản ghi nhật ký (log), bản ghi sự kiện an ninh từ
các thiết bị trong hệ thống, chuẩn hóa chúng về một dạng nhất định và lưu trữ
chúng trong cơ sở dữ liệu tập trung, sau đó sẽ thực hiện thống kê, phân tích, báo


cáo để tạo ra một báo cáo duy nhất cho thấy sự tương quan giữa các sự kiện an
ninh của các thiết bị đánh chỉ mục dữ liệu giúp cho việc tìm kiếm dữ liệu sau
này dễ dàng hơn.

SIEM đưa dữ liệu thu thập được vào bộ nhớ và lưu trữ một cách hợp lý dựa trên
sự phân loại chúng theo nhiều tiêu chí về mức độ quan trọng cũng như nội dung
của file log, dạng file log, nguồn file log …
SIEM so sánh, phân tích, liên kết các bản ghi sự kiện an ninh để đưa ra kết luận
về tình trạng và nguy cơ của hệ thống, thể hiện qua các dạng báo cáo, biểu đồ
nhằm cung cấp cho người quản trị một cái nhìn tổng quan và chính xác.
1.2.2. Báo cáo, cảnh báo tới quản trị viên hệ thống, hiển thị tình trạng
hệ thống
SIEM cung cấp đa dạng các loại báo cáo, hỗ trợ sẵn các mẫu báo cáo phù hợp
với các chuẩn quốc tế như Health Insurance Portability and Accountability Act
(HIPAA), Payment Card Industry Data Security Standard (PCI DSS) và
Sarbanes-Oxley Act (SOX). Nhờ SIEM, một tổ chức có thể tiết kiệm đáng kể
thời gian, nguồn lực để đạt được đủ các yều cầu về báo cáo an ninh định kỳ.
SIEM cung cấp nhiều dạng cảnh báo tới quản trị viên qua nhiều phương tiện,
hình thức như qua email, tin nhắn sms, cuộc gọi, … cùng với các hoạt động ứng
phó với sự kiện diễn ra.
Các báo cáo, cảnh báo được định dạng theo thời gian thực, hỗ trợ người quản trị
kịp thời nhìn nhận các vấn đề của hệ thống. Kịp thời theo dõi và có biện pháp
phịng chống, xử lí, giảm thiểu thiệt hại cho hệ thống, đảm bảo toàn vẹn dữ liệu.
SIEM cung cấp tương tác qua giao diện web trực quan, thể hiện tình trạng hệ
thống qua nhiều hình thức như bảng, biểu đồ, sơ đồ, …
1.2.3. Kiểm soát truy cập, giám sát, đảm bảo an toàn hệ thống


SIEM dựa trên phân tích các bản ghi sự kiện an ninh, bản ghi log để giám sát
toàn bộ các thiết bị đầu cuối, các thiết bị mạng, máy chủ, ứng dụng, các thiết bị
bảo mật mạng, phát hiện sự cố, nguy cơ đối với hệ thống. SIEM cung cấp việc
quản lý cũng như đánh giá tài sản, các thiết bị. Bên cạnh là việc dò quét lỗ hổng
và cập nhật các bản vá.
Nhiều hệ thống SIEM có thể theo dõi các thiết bị như PC, server, Firewall. Một

số hệ thống SIEM thậm chí có thể quản lý an ninh cho thiết bị đầu cuối, có sự
điều chỉnh và hồn thiện hơn đối với thiết bị an ninh đó trên hệ thống như cấu
hình Firewall, cập nhật và theo dõi Anti Virus, chống spyware, chống spam
email.
SIEM có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện khi các
cuộc tấn cơng đang diễn ra. SIEM khơng tự mình trực tiếp ngăn chặn các cuộc
tấn cơng, thay vào đó nó kết nối vào hệ thống an ninh khác như tường lửa và
chuyển chúng đến phần cấu hình để ngăn chặn hành vi độc hại. Điều này cho
phép SIEM ngăn chặn các cuộc tấn công không nhận biết được bởi các thành
phần an ninh khác.
SIEM cịn có khả năng kiểm sốt truy cập nội bộ và từ bên ngồi, giám sát truy
cập của người dùng trong hệ thống.
1.2.4. Cung cấp các giải pháp xử lý sự cố
Người quản trị có thể cấu hình cho SIEM thực hiện các hoạt động xử lý, giảm
thiểu thiệt hại gây ra bởi sự cố dựa trên những quy tắc, bộ lọc và dữ liệu thu
thập được từ các thiết bị.
Bằng cách thu thập sự kiện của tồn tổ chức, SIEM có thể thấy được nhiều phần
khác nhau của các cuộc tấn công thông qua nhiều thiết bị và sau đó tái cấu trúc
lại chuỗi sự kiện và xác định cuộc tấn công ban đầu là gì và nó đã thành cơng
hay chưa. Nói theo cách khác, trong khi một giải pháp ngăn chặn xâm nhập IPS
có thể thấy được một phần của một cuộc tấn công và hệ điều hành của máy chủ


mục tiêu cũng cho thấy được một phần khác của cuộc tấn cơng đó, một SIEM
có thể kiểm tra dữ liệu nhật ký của tất cả sự kiện này và xác định máy chủ mục
tiêu đó đã bị nhiễm mã độc, hay tấn cơng thành cơng hay chưa, từ đó có thể
thực hiện cách li chúng ra một mạng riêng và xử lí cuộc tấn cơng.
SIEM cịn gia tăng đáng kể hiệu quả việc xử lý sự cố, tiết kiệm đáng kể thời
gian và nguồn lực đối cho các nhân viên xử lý sự cố. SIEM cải thiện điều này
bằng cách cung một một giao diện đơn giản để xem xét tất cả dữ liệu nhật ký an

ninh từ nhiều thiết bị đầu cuối.
 Cho phép nhân viên xử lý sự cố nhanh chóng phát hiện một mũi của cuộc
tấn cơng vào hệ thống
 Cho phép xác định nhanh chóng tất cả thiết bị đầu cuối bị ảnh hưởng bởi
cuộc tấn công.
 Cung cấp cơ chế tự động nhằm ngăn chặn các cuộc tấn công đang diễn ra và
cách ly các thiết bị đầu cuối đã bị xâm hại.
1.3.

Lợi ích, ưu điểm của SIEM

SIEM là hệ thống có thể phát hiện ra các sự cố mà các thiết bị thông thường
không phát hiện được. Rất nhiều thiết bị đầu cuối có phần mềm ghi lại sự kiện
an ninh nhưng khơng tích hợp khả năng phát hiện sự cố. Dù có thể quan sát các
sự kiện và tạo ra các nhật ký, chúng ln thiếu khả năng phân tích để xác định
các dấu hiệu của hành vi độc hại.
SIEM cho thấy sự tương quan liên kết sự kiện giữa các thiết bị, bằng cách này
SIEM có thể thấy được nhiều phần khác nhau của các cuộc tấn công thông qua
nhiều thiết bị, sau đó tái cấu trúc lại chuỗi sự kiện và xác định cuộc tấn cơng
ban đầu là gì và nó đã thành cơng hay chưa.
Nếu SIEM phát hiện bất cứ hành vi độc hại nào đã biết liên quan đến thiết bị
đầu cuối, nó sẽ phản ứng ngăn chặn các kết nối hoặc làm gián đoạn, cách ly


thiết bị đang tương tác với thiết bị khác nhằm ngăn ngừa cuộc tấn công từ điểm
đầu tiên.
SIEM cho phép tổ chức có được bức tranh tồn cảnh về các sự kiện an ninh xảy
ra. Bằng cách tập hợp các dữ liệu nhật ký an ninh từ các thiết bị an ninh, hệ điều
hành của thiết bị đầu cuối, ứng dụng và các phần mềm khác, SIEM có thể phân
tích một lượng lớn dữ liệu nhằm xác định các cuộc tấn công và xâm hại ẩn dấu

đằng sau các dữ liệu này.
SIEM cung cấp cái nhìn trực quan thơng qua các biểu đồ, đồ thị giúp theo dõi rõ
ràng hơn. Cơng cụ thể hiện dữ liệu sự kiện và có thể hiện thành biểu đồ thông
tin để hỗ trợ cho thấy mơ hình và xác định hoạt động khơng phù hợp.
1.4.

Các thành phần của hệ thống SIEM

SIEM bao gồm nhiều phần, mỗi phần làm một công việc riêng biệt. Mỗi thành
phần trong hệ thống này có thể hoạt động độc lập với các thành phần khác
nhưng nếu tất cả không cùng hoạt động cùng một lúc thì chúng ta sẽ khơng có
một SIEM hiệu quả.
Tùy thuộc vào hệ thống đang sử dụng nhưng mỗi SIEM sẽ ln ln có hai
thành phần cơ bản được mô tả dưới đây.


Hình 4: Thành phần của hệ thống SIEM
1.4.1. Thiết bị nguồn và các dịch vụ
Thành phần đầu tiên của SIEM là các thiết bị nguồn cung cấp dữ liệu cho
SIEM.Thiết bị nguồn có thể là một thiết bị thực tế trong hệ thống mạng như
Router, Switch hoặc một số loại máy chủ và cũng có thể là các bản ghi log từ
một ứng dụng hoặc chỉ là bất kỳ dữ liệu nào khác. Việc biết về những gì mình
có trong hệ thống là rất quan trọng trong việc triển khai SIEM. Hiểu rõ những
nguồn mà chúng ta muốn lấy các bản ghi log trong giai đoạn đầu sẽ giúp chúng
ta tiết kiệm được công sức, số tiền đáng kể và giảm sự phức tạp trong triển khai.
Hệ điều hành
Microsoft Windows và các biến thể của Linux và UNIX, AIX, Mac OS là
những hệ điều hành thường hay được sử dụng. Hầu hết các hệ điều hành về cơ
bản công nghệ khác nhau và thực hiện chuyên một nhiệm vụ nào đó nhưng một
trong những điều mà tất cả đều có điểm chung là chúng tạo ra các bản ghi log.



Các bản ghi log sẽ cho thấy hệ thống của bạn đã làm gì: Ai là người đăng nhập,
làm những gì trên hệ thống ?... Các bản ghi log được tạo ra bởi một hệ điều
hành về hệ thống và người sử dụng hoạt động sẽ rất hữu ích khi tiến hành ứng
phó sự cố an ninh hoặc chẩn đốn vấnđề hay chỉ là việc cấu hình sai.
Thiết bị, phần cứng
Hầu hết các thiết bị là các hộp đen, các quản trị hệ thống khơng có quyền truy
cập trực tiếp vào hệ thống để thực hiện một số việc quản lý cơ bản. Nhưng có
thể quản lý các thiết bị thơng qua một giao diện. Giao diện này có thể dựa trên
web, dòng lệnh hoặc chạy qua một ứng dụng được tải về máy trạm của quản trị
viên. Hệ điều hành các thiết bị mạng chạy có thể là một hệ điều hành thông
thường, chẳng hạn như Microsoft Windows hoặc phiên bản của Linux, nhưng
nó cũng có thể được cấu hình theo cách mà hệ điều hành thơng thường. Một ví
dụ như một router hoặc switch. Nó khơng phụ thuộc vào nhà cung cấp, chúng ta
khơng bao giờ có thể truy cập trực tiếp vào hệ thống điều hành cơ bản của nó
mà chỉ có thẻ truy cập vào thơng qua dòng lệnh hoặc giao diện web được sử
dụng để quản lý. Các thiết bị lưu trữ các bản ghi log của chúng trên hệ thống
hoặc thường có thể được cấu hình để gửi các bản ghi ra thơng qua syslog hoặc
FTP.
Ứng dụng, dịch vụ hệ thống
Chạy trên các hệ điều hành là những ứng dụng được sử dụng cho một loạt các
chức năng. Trong một hệ thống chúng ta có thể có hệ thống tên miền (DNS),
dịch vụ cấp phát địa chỉ động (DHCP), máy chủ web, hệ thống thư điện tử và vô
số cácứng dụng khác. Các bản ghi ứng dụng chứa thơng tin chi tiết về tình trạng
của ứng dụng, ví dụ như thống kê, sai sót, hoặc thông tin tin nhắn. Một số ứng
dụng sinh ra bản ghi log sẽ có ích cho chúng ta? Chúng ta được yêu cầu để duy
trì, lưu trữ các bản ghi log theo sự tuân thủ của pháp luật.



Bản ghi nhật ký (log)
Sau khi xác định các thiết bị nguồn trong hệ thống, chúng ta cần xem xét việc
thu thập các bản ghi log từ các thiết bị nào là cần thiết và quan trọng cho SIEM.
Một số điểm cần chú ý trong việc thu thập các bản ghi log như sau:
 Thiết bị nguồn nào được ưu tiên? Dữ liệu nào là quan trọng mà chúng ta cần
phải thu thập?
 Kích thước các bản ghi log sinh ra trong khoảng thời gian nhất định là bao
nhiêu? Những thông tin này dùng để xác định SIEM cần bao nhiêu
tài nguyên cho chúng, đặc biệt là không gian lưu trữ.
 Tốc độ các thiết bị nguồn này sinh ra các bản ghi log là bao lâu? Thông tin
này cùng với kích thước bản ghi log để lựa chọn việc sử dụng đường truyền
mạng khi thu thập các bản ghi.
 Cách thức liên kết giữa các thiết bị nguồn với SIEM?
 Có cần các bản ghi log theo thời gian thực hay thiết lập quá trình thực hiện
tại một thời điểm cụ thể trong ngày?
Các thơng tin trên rất có ích trong việc xác định nguồn thiết bị cần thiết cho
SIEM của chúng ta.
1.4.2. Các dạng bản ghi log
1.4.2.1 Push log
Các bản ghi log sẽ được các thiết bị nguồn gửi về SIEM.
Phương pháp này dễ dàng cài đặt và cấu hình. Thơng thường, chúng ta chỉ cần
thiết lập một bộ tiếp nhận và sau đó kết nối thiết bị nguồn đến bộ phận tiếp nhận
này. Khi cấu hình thiết bị nguồn sử dụng syslog, chúng ta có thể thiết lập địa chỉ
IP hoặc DNS tên của một máy chủ syslog trên mạng và thiết bị sẽ tự động gửi
các bản ghi của nó thơng qua syslog. Tuy nhiên phương pháp nay cũng còn một


số nhược điểm. Ví dụ, sử dụng syslog trong mơi trường UDP. Bản chất vốn của
việc sử dụng syslog trong mơi trường UDP có nghĩa là khơng bao giờ có thể
đảm bảo rằng các gói tin đến đích, vì UDP là một giao thức khơng hướng kết

nối. Nếu một tình huống xảy ra trên mạng chẳng hạn như khi một loại virus
mạnh trên mạng, chúng ta có thể khơng nhận được gói tin syslog. Một vấn đề có
thể phát sinh là nếu khơng đặt quyền điều khiển truy cập thích hợp trên máy thu
nhận các bản ghi log thì khi cấu hình sai hoặc có phần mềm độc hại có thể làm
tràn ngập các thơng tin sai lệch. Điều đó làm cho các sự kiện an ninh khó được
phát hiện. Nếu là một cuộc tấn cơng có chủ ý nhằm chống lại SIEM thì một kẻ
xấu có thể làm sai lệch các thông tin và và thêm các dữ liệu rác vào SIEM.
Do vậy sự hiểu biết về các thiết bị gửi các bản ghi log cho SIEM là điều rất
quan trọng.
1.4.2.2 Pull log
Các bản ghi log sẽ được SIEM đi tới và lấy về.
Không giống như phương pháp push log, trong đó thiết bị nguồn gửi các bản
ghi log cho SIEM mà không cần bất kỳ sự tương tác từ SIEM. Pull log đòi hỏi
SIEM bắt đầu kết nối với các thiết bị nguồn và chủ động lấy các bản ghi từ các
thiết bị nguồn đó. Ví dụ : Nếu các bản ghi log được lưu trữ trong tập tin văn bản
chia sẻ trên một mạng, SIEM sẽ thiết lập một kết nối lấy các thông tin được lưu
trữ và đọc các file bản ghi từ các thiết bị nguồn.
Đối với phương pháp push Log, các bản ghi log của thiết bị nguồn thường gửi
các bản ghi đến SIEM ngay sau khi nó được tạo ra. Nhưng với phương pháp
Pull Log thì một kết nối sẽ được tạo ra để SIEM tiếp cận với các thiết bị nguồn
và kéo các bản ghi log từ các thiết bị nguồn về. Chu kỳ của việc kết nối để lấy
các bản ghi log của Pull Log có thể là vài giây hoặc theo giờ. Khoảng thời gian
này chúng ta có thể cấu hình theo tùychọn hoặc để cấu hình mặc định cho
SIEM.