MỤC LỤC
GIÁM SÁT BẢO MẬT SIEM...................................................................1
I. TÌM HIỂU VỀ SIEM.................................................................................1
1. Định nghĩa.............................................................................................1
2. Mục Đích của việc sử dụng SEIM..........................................................2
II. SPLUNK...............................................................................................6
1. Splunk là gì?.........................................................................................6
2. Cách thức làm việc và chức năng của splunk...................................7


GIÁM SÁT BẢO MẬT SIEM
SPLUNK
I. TÌM HIỂU VỀ SIEM
1. Định nghĩa.
Hệ thống giám sát an ninh mạng viết tắt là
SIEM(Security
information
and
event
management – SIEM) là hệ thống được thiết kế
nhằm thu thập và phân tích nhật ký, các sự kiện
an ninh từ các thiết bị đầu cuối và được lưu trữ
tập trung.
Hệ thống SIEM cho phép phân tích tập trung
và báo cáo về các sự kiện an ninh mạng của tổ
chức, phát hiện thông qua các bộ luật tương
quan (correlation rule), giúp phát hiện các cuộc
tấn công mà không thể phát hiện được bởi các
giải pháp thông thường (IDS/IPS, Firewall…).

2. Mục Đích của việc sử dụng SEIM
Các tổ chức khác nhau sử dụng hệ thống
SIEM với mục đích khác nhau, do đó lợi ích thu
được cũng khác nhau. Ba lợi ích có thể kể đến là:
 Quản lý tập trung
 Giám sát an ninh mạng
 Cải thiện hiệu quả trong hoạt động xử lý
sự cố

a. Quản lý tập trung
Rất nhiều tổ chức triển khai SIEM với một mục
đích duy nhất: tập hợp các dữ liệu thông qua một giải
pháp nhật ký tập trung. Mỗi thiết bị đầu cuối cần có
hệ thống ghi lại sự kiện an ninh và thường xuyên
truyền dữ liệu nhật ký (log) này về máy chủ SIEM.
Một máy chủ SIEM nhận dữ liệu nhật ký từ rất nhiều
thiết bị khác nhau và sau đó sẽ thực hiện thống kê,
phân tích, báo cáo để tạo ra một báo cáo duy nhất cho
thấy sự tương quan giữa các sự kiện an ninh của các
thiết bị.


Một tổ chức khơng có các hệ thống tập trung dữ
liệu nhật ký sẽ cần rất nhiều công sức trong việc tập
hợp báo cáo. Trong môi trường như vậy, cần phải tạo
ra báo cáo riêng về tình trạng hoạt động cho mỗi
thiết bị đầu cuối, hoặc lấy dữ liệu định kì bằng cách
thủ cơng từ mỗi thiết bị rồi tập hợp chúng lại và phân
tích để thành một báo cáo. Khó khăn xảy ra là khơng
nhỏ do sự khác biệt hệ điều hành, ứng dụng và các

phần mềm khác nhau dẫn đến các nhật ký sự kiện an
ninh được ghi lại khác nhau. Nếu khơng có SEIM thì
việc chuyển đổi về một chuẩn chung cho tất cả dữ
liệu nhật ký đó sẽ rất là vất vả và cồng kềnh.

HÌnh ảnh: Mô tả việc thu thập log từ nhiều nguồn thiết bị.


b. Giám sát an ninh mạng – SIEM
Lí do chính cho việc triển khai SIEM là h ệ th ống
này có thể phát hiện ra các sự cố mà các thiết bị thông
thường không phát hiện được. Thứ nhất, rất nhiều
thiết bị đầu cuối có phần mềm ghi lại sự kiện an ninh
nhưng khơng tích hợp khả năng phát hiện sự cố. Dù
có thể quan sát các sự kiện và tạo ra các nhật ký,
chúng luôn thiếu khả năng phân tích để xác định các
dấu hiệu của hành vi độc hại.
Lý do thứ hai là nâng cao khả năng phát hiện của
SEIM là chúng có thể cho thấy sự tương quan sự kiện
giữa các thiết bị. Bằng cách thu thập sự kiện tồn t ổ
chức, nó sẽ có thể nhìn thấy nhiều phần của cuộc tấn
công thông qua nhiều thiết bị, sau đó tái cấu trúc lại
các sự kiện để đánh giá xem cuộc tấn công đã thành
công hay chưa. Từ đó có thể xác định xem máy chủ
mục tiêu đó đã bị nhiễm mã độc hay chưa và k ết quả
của cuộc tấn cơng để từ đó có thể đưa ra những giải
pháp cách ly kịp thời để cách ly riêng và xử lý cu ộc t ấn
công
SEIM không thể thay thế IPS, firewall hay các
phần mềm antivirus, bởi bì một SEIM độc lập khơng

có chức năng gì ngồi theo dõi sự kiện. Để có kh ả
năng ngăn chặn cuộc tấn công mà chúng phát hiện


đang diễn ra. SEIM sẽ cần kết nối vào hệ thống an
ninh khác của hệ thống như tường lửa và chuyển
chúng đến phần cấu hình để ngăn chặn hành vi nguy
hiểm. Điều này cho phép SEIM ngăn chặn được các
cuộc tấn công mà các thành phần an ninh khác không
phát hiện được.

c. Cải thiện hoạt động phát hiện và xử lý
sự c ố
Một lợi ích khác của các hệ thống SIEM là gia tăng
đáng kể hiệu quả việc xử lý sự cố, tiết kiệm đáng kể
thời gian và nguồn lực đối với các nhân viên xử lý sự
cố. SIEM cải thiện điều này bằng cách cung một một
giao diện đơn giản để xem xét tất cả dữ liệu nhật
ký an ninh từ nhiều thiết bị đầu cuối.
Ví dụ:

 Cho phép nhân viên xử lý sự cố nhanh chóng phát
hiện một mũi của cuộc tấn công vào doanh
nghiệp.
 Cho phép xác định nhanh chóng tất cả thiết bị
đầu cuối bị ảnh hưởng bởi cuộc tấn công.
 Cung cấp cơ chế tự động nhằm ngăn chặn các
cuộc tấn công đang diễn ra và cách ly các thiết
bị đầu cuối đã bị xâm hại.



Hệ thống SIEM cho phép tổ chức có cái nhìn tổng thể
về các sự kiện an ninh của của hệ thống. Bằng cách
tập hợp từ các thiết bị an ninh, thiết bị đầu cuối và
những ứng dụng . SEIM có thể phân tích một lượng dữ
liệu lớn nhằm mục đích đánh giá các cuộc tấn công và
xâm hại ẩn dấu sau các dữ liệu này.

II. SPLUNK
1. Splunk là gì?
Splunk là một phần mềm giám sát an ninh mạng dựa
trên sức mạnh phân tích log của mình. Splunk thực
hiện các cơng việc tìm kiếm , giám sát và phân tích giữ
liệu log lớn được sinh ra từ các thiết bị và ứng dụng
khác nhau. Nó có thể làm việc được với các định dạng
dữ liệu khác nhau.

2. Cách thức làm việc và chức năng của
splunk
Tính năng định dạng Log: Splunk hỗ trợ hầu
như tất cả các loại log của hệ thống, thiết bị hạ tầng
mạng, phần mềm, Firewall, IDS/IPS, Log Event,
Register của các máy trạm


Các hình thức thu thập dữ liệu: Splunk có thể
thực hiện việc thu thập log từ rất nhiều nguồn khác
nhau. Như từ 1 file nén, thư mục, Qua các kết nối UDP,
TCP từ các Splunk Server khác trong mơ hình Splunk
phân tán, từ các event Logs từ windows.

Cập nhật dữ liệu: Splunk cập nhật dữ liệu liên
tục khi có thay đổi trong thời gian thực. Giúp cho việc
phát hiện và cảnh báo chính xác trong thời gian thực.
Tìm kiếm thơng tin: Splunk làm việc được với
dữ liệu lớn và cập nhật liên tục. Nó cung cấp cơ chế
tìm kiếm với một “Splunk Language” cực kỳ thông
minh bao gồm các từ khóa, các hàm.
Khắc phục sự cố: splunk cịn cịn cung cấp cơ
chế tự động khắc phục những vấn đề đe dọa xảy ra
bằng cách chạy các lệnh file Script mà người dùng tự
tạo ví dụ như chặn ip, chặn port khi có cảnh báo về
sự cố.
Hiển thị thơng tin: Splunk cung cấp một giao
diện web trực quan và chuyên nghiệp để người dùng
dễ dành đánh giá và hình dung về tình trạng hệ thống
một các dễ dàng.
Một vài điều đáng lưu ý: Splunk mạnh về khả
năng phân tích logs mạnh mẽ của mình tuy nhiên nó


lại không mạnh về việc thu thập và truyền tải logs.
Cụ thể nó chưa có khả năng bảo mật trên đường
truyền, khơng phù hợp với những hệ thống địi hỏi
u cầu bảo mật cao. Splunk chưa có cơ chế giúp tự
động phát hiện ra các tấn công hay các vấn đề từ bên
ngoài. Những điều này phụ thuộc vào kinh nghiệm sử
dụng và vốn hiểu biết về bảo mật của người quản trị.
Đề triển khai được một hệ thống sử dụng Splunk
hiệu quả chúng ta cũng cần có một hệ thống riêng,
đây cũng là một trở ngại không nhỏ với các hệ thống

có quy mơ trung bình và nhỏ.