BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

ĐỒ ÁN TỐT NGHIỆP
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG SOAR SHUFFLE TÍCH HỢP
VÀO HỆ THỐNG GIÁM SÁT

Ngành: An tồn thơng tin
Mã số: 7.48.02.02

Sinh viên thực hiện:
Đoàn Chung Anh – MSSV: AT160301
Người hướng dẫn:
ThS. Trần Thị Phương Chi
Phòng CNTT, Ngân hàng TMCP Kỹ thương Việt Nam

Hà Nội, 2023


LỜI NÓI ĐẦU
Xuất phát từ nhu cầu ngày càng tăng của các hệ thống giám sát hiện đại. Trong
các hệ thống này, việc giám sát và quản lý dữ liệu trở nên phức tạp hơn do sự tăng
trưởng nhanh chóng của thông tin và nguồn dữ liệu. Điều này đặt ra thách thức về việc
xử lý và hiển thị dữ liệu một cách hiệu quả và dễ dàng. Mục tiêu của đề tài này là
“Nghiên cứu và triển khai hệ thống SOAR Shuffle tích hợp vào hệ thống giám sát”.
Nhằm tận dụng sự mạnh mẽ của kiến trúc SOAR để xử lý và phân tích dữ liệu giám
sát một cách thơng minh và tự động. Q trình triển khai sẽ tiếp cận từ lý thuyết đến
thực tế, đồng thời thực hiện các thực nghiệm và đánh giá hiệu suất của hệ thống được
triển khai. Kết quả thu được từ các thực nghiệm này sẽ đóng góp vào việc đánh giá
tính khả thi và hiệu quả của hệ thống SOAR Shuffle trong việc giám sát dữ liệu.

Đồ án này sẽ trình bày chi tiết về quá trình nghiên cứu và triển khai hệ thống
SOAR Shuffle, cùng với các kết quả và phân tích thu được từ các thực nghiệm. Đồng
thời đánh giá giá trị và tiềm năng của hệ thống SOAR Shuffle trong việc cải thiện quá
trình giám sát dữ liệu.
Đồ án gồm 3 chương với nội dung như sau:
Chương 1: Cơ sở lý thuyết. Chương 1 trình bày về hệ thống giám sát an tồn
thơng tin; hệ thống điều phối, tự động hóa và phản ứng an tồn thơng tin; một số yêu
cầu đối với hệ thống điều phối, tự động hóa và phản ứng an tồn thơng tin và khảo sát
một số sản phẩm hiện có.
Chương 2: Tích hợp SOAR Shuffle vào hệ thống giám sát. Chương 2 trình bày
về hiện trạng hệ thống SIEM Splunk; nghiên cứu SOAR Shuffle và đề xuất tích hợp
SOAR Shuffle và hệ thống giám sát an tồn thơng tin.
Chương 3: Thực nghiệm giải pháp SOAR Shuffle. Chương 3 trình bày về mơ
hình triển khai; cài đặt và cấu hình; một số kịch bản thực nghiệm và đánh giá kết quả.
Do còn nhiều hạn về chế kiến thức cũng như thời gian thực hiện nên đồ án
khơng thể tránh khỏi những sai sót. Vì vậy, em rất mong nhận được ý kiến đóng góp
của Thầy, Cơ để đồ án của em được hồn chỉnh hơn. Em xin chân thành cảm ơn!


LỜI CẢM ƠN
Lời đầu tiên, em xin bày tỏ lòng biết ơn đến Cơ ThS. Trần Thị Phương Chi –
Phịng CNTT, Ngân hàng TMCP Kỹ thương Việt Nam và Thầy TS. Lại Minh Tuấn –
Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã, người đã tận tình hướng dẫn, chỉ
bảo và giúp đỡ em trong suốt quá trình nghiên cứu và hồn thành đồ án. Trong thời
gian làm việc với Thầy, Cô, em không những học hỏi được nhiều kiến thức bổ ích mà
cịn học được tinh thần làm việc, thái độ nghiên cứu khoa học nghiêm túc từ Thầy, Cô.
Thực hiện đồ án là cơ hội giúp em tổng hợp được kiến thức đã học trên lớp,
đồng thời đúc kết được những bài học thực tế phục vụ cho việc học tập và làm việc sau
khi tốt nghiệp. Với trình độ cịn nhiều hạn chế của bản thân và vốn kiến thức vẫn cịn ít
khỏi nên đồ án khó tránh khỏi những thiếu sót. Em mong nhận được sự góp ý của

Thầy, Cơ đề đồ án của em được hoàn thiện hơn.
Một lần nữa em xin chân thành cảm ơn và luôn mong nhận được sự góp ý q
báu của Thầy, Cơ.
Sinh viên thực hiện đồ án

Đoàn Chung Anh


MỤC LỤC
DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT..............................................................i
DANH MỤC HÌNH VẼ............................................................................................................ii
DANH MỤC BẢNG BIỂU.......................................................................................................v
TĨM TẮT ĐỒ ÁN...................................................................................................................vi
CHƯƠNG 1. CƠ SỞ LÝ THUYẾT........................................................................................1
1.1. Hệ thống giám sát an toàn thơng tin.................................................................1
1.1.1. Khái niệm hệ thống giám sát an tồn thông tin...........................................1
1.1.2. Các thành phần của hệ thống giám sát an tồn thơng tin.............................2
1.1.3. Quy trình hoạt động của hệ thống giám sát an tồn thơng tin.....................7
1.1.4. Ưu điểm và hạn chế của hệ thống giám sát an tồn thơng tin...................11
1.2. Hệ thống điều phối, tự động hóa và phản ứng an tồn thơng tin.................13
1.2.1. Khái niệm hệ thống điều phối, tự động hóa và phản ứng an tồn thơng tin
.........................................................................................................................................13
1.2.2. Các thành phần của hệ thống điều phối, tự động hóa và phản ứng an tồn
thơng tin...........................................................................................................................13
1.2.3. Ưu điểm và hạn chế của hệ thống điều phối, tự động hóa và phản ứng an
tồn thơng tin...................................................................................................................15
1.3. Một số u cầu đối với hệ thống điều phối, tự động hóa và phản ứng an tồn
thơng tin..............................................................................................................................17
1.3.1. u cầu về chức năng điều phối xử lý và giám sát...................................17
1.3.2. Yêu cầu về chức năng tích hợp và tự động hóa.........................................19

1.4. Khảo sát một số sản phẩm điều phối, tự động hóa và phản ứng an tồn
thơng tin hiện có.................................................................................................................20
1.4.1. Sản phẩm thương mại................................................................................20
1.4.2. Sản phẩm mã nguồn mở............................................................................25
1.5. Kết luận Chương 1...........................................................................................28
CHƯƠNG 2. TÍCH HỢP SOAR SHUFFLE VÀO HỆ THỐNG GIÁM SÁT..................29
2.1. Hiện trạng hệ thống giám sát an tồn thơng tin Splunk................................29
2.1.1. Khảo sát về kiến trúc hệ thống..................................................................29
2.1.2. Khảo sát về quy trình vận hành trong tiếp nhận và xử lý cảnh báo...........33


2.1.3. Những vấn đề còn tồn đọng trong hệ thống giám sát an tồn thơng tin
Splunk..............................................................................................................................37
2.2. Nghiên cứu SOAR Shuffle..............................................................................38
2.2.1. Tổng quan về SOAR Shuffle.....................................................................38
2.2.2. Cách thức hoạt động của SOAR Shuffle:..................................................39
2.2.3. Một số tính năng của SOAR Shuffle.........................................................39
2.3. Đề xuất tích hợp SOAR Shuffle vào hệ thống giám sát an tồn thơng tin....45
2.4. Kết luận Chương 2...........................................................................................45
CHƯƠNG 3. THỰC NGHIỆM GIẢI PHÁP SOAR SHUFFLE........................................46
3.1. Mơ hình triển khai...........................................................................................46
3.2. Cài đặt và cấu hình..........................................................................................47
3.2.1. Cài đặt Shuffle...........................................................................................47
3.2.2. Cài đặt thehive5.........................................................................................48
3.2.3. Quản trị kết nối..........................................................................................50
3.2.4. Kết quả sau khi tích hợp............................................................................51
3.3. Một số kịch bản thực nghiệm và đánh giá kết quả.........................................52
3.3.1. Use case 1: Phát hiện và tự động chặn IP độc hại trên Pfsense.................57
3.3.2. Use case 2: Phát hiện và tự động xác minh tiến trình độc hại...................67
3.4. Kết luận Chương 3...........................................................................................75

3.4.1. Ưu điểm/thuận lợi của thực nghiệm..........................................................75
3.4.2. Nhược điểm/khó khăn của thực nghiệm....................................................76
KẾT LUẬN..............................................................................................................................77
Kết luận chung........................................................................................................77
Hướng phát triển.....................................................................................................77
Kiến nghị và đề xuất...............................................................................................77
TÀI LIỆU THAM KHẢO......................................................................................................79



DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT

Từ viết tắt

Dạng đầy đủ của từ

Ý nghĩa

SIEM

Security Information and Event Hệ thống giám sát an tồn thơng
Management
tin

SIM

Security Information Management

Quản lý thơng tin bảo mật


SEM

Security Event Management

Quản lý sự kiện bảo mật

SOAR

Security Orchestration, Automation Hệ thống điều phối, tự động hóa
and Response
và phản ứng an tồn thơng tin

IPS

Intrusion Prevention System

Hệ thống phịng chống xâm
nhập

IDS

Intrusion Detection System

Hệ thống phát hiện xâm nhập

UEBA

User and Entity Behavior Analytics

Phân tích hành vi người dùng và

thực thể

IP

Internet Protocol

Giao thức Internet

IoC

Indicators of Compromise

Dấu hiệu về sự thỏa hiệp

URL

Uniform Resource Locator

Hệ thống định vị tài nguyên
thống nhất

AI

Artificial Intelligence

Trí tuệ nhân tạo

DDoS

Distributed Denial of Service


Từ chối dịch vụ phân tán

SaaS

Software as a Service

Phần mềm dưới dạng dịch vụ

BYOD

Bring Your Own Device

Mang theo thiết bị của riêng bạn

SOC

Security Operations Center

Trung tâm điều hành an ninh
thông tin

LAN

Local Area Network

Hệ thống mạng nội bộ

API


Application Programming Interface

Giao diện lập trình ứng dụng

DANH MỤC HÌNH
Hình 1.1 Hệ thống giám sát ATTT................................................................................1
Hình 1.2 Quy trình hoạt động của SIEM.......................................................................8
Hình 1.3 Nền tảng SOAR cung cấp sự kết hợp giữa thông tin về mối đe dọa, khả năng
điều phối và tự động hóa để cho phép ứng phó sự cố hiệu quả....................................13
Hình 1.4 Top 3 SOAR Gartner được đánh giá theo bộ tiêu chí về ngành ngân hàng...21
Hình 1.5 Sản phẩm SOAR của Google........................................................................21

i


Hình 1.6 Sản phẩm SOAR Security Onion..................................................................26
Hình 1.7 Sản phẩm Demisto Community Edition........................................................27
Hình 1.8 Gói free của SOAR Shuffle...........................................................................28
Hình 1.9 Bản cập nhật mới nhất được ra mắt ngày 20/11/2023...................................28
Hình 1.10 Cộng đồng tham gia phát triển lớn và chuyên nghiệp..............................28Y
Hình 2.1 Mơ hình hoạt động tại ngân hàng X..............................................................29
Hình 2.2 Mơ hình tổng quan........................................................................................32
Hình 2.4 Danh sách các cổng nhận dữ liệu trên SIEM Splunk....................................33
Hình 2.5 Mơ hình hoạt động của SIEM Splunk...........................................................33
Hình 2.6 Hiện trạng số lượng log theo từng giờ...........................................................34
Hình 2.7 Log source web access được đẩy về index web_access................................35
Hình 2.8 Log source eventlog, Sysmon được đẩy về index server_2019.....................35
Hình 2.9 Log source syslog firewall pfsense được đẩy về index fw_pfsense..............35
Hình 2.10 Hiện trạng số lượng rule trên SIEM Splunk................................................36
Hình 2.11 Cảnh báo về "Detect SQL injection attack" trên telegram...........................37

Hình 2.12 Cảnh báo về "Detect Webshell" trên telegram............................................37
Hình 2.13 Kết quả tìm kiếm.........................................................................................37
Hình 2.14 Các thành phần SOAR Shuffle....................................................................38
Hình 2.15 Case được tạo trên thehive khi được Shuffle gọi tới...................................40
Hình 2.16 Workflow thực hiện hành động block IP trên fortigate được chia sẻ miễn phí
..................................................................................................................................... 41
Hình 2.17 Một đoạn chat trong quá trình vận hành Shuffle.........................................42
Hình 2.18 Một workflows được chia sẻ miễn phí trên trang chủ.................................43
Hình 2.19 Các app được chia sẻ trên trang chủ 4
Hình 3.1 Mơ hình triển khai.........................................................................................46
Hình 3.2 Các thành phần của thehive...........................................................................47
Hình 3.3 Cấu hình ảo hóa của Ubuntu Shuffle server..................................................48
Hình 3.4 Cấu hình ảo hóa của Ubuntu thehive.............................................................48
Hình 3.5 Giao diện chính hiển thị các workflow..........................................................51
Hình 3.6 Giao diện thehive quả lý case........................................................................51
Hình 3.7 Workflow cho usecase 1...............................................................................52
Hình 3.8 Webhook tiếp nhận cảnh báo........................................................................53
Hình 3.9 Một số chức năng mà API pfsense hỗ trợ.....................................................54

ii


Hình 3.10 Một số chức năng mà API thehive hỗ trợ....................................................54
Hình 3.11 Các chức năng của task alert_info...............................................................54
Hình 3.14 Custom script sau khi được đưa lên SOAR Shuffle....................................55
Hình 3.15 Một số chức năng mà API Splunk hỗ trợ....................................................55
Hình 3.16 Workflow tổng quan cho cả hai use case....................................................56
Hình 3.17 Điều kiện để thực thi use case 1..................................................................56
Hình 3.18 Điều kiện để thực thi use case 2..................................................................56
Hình 3.19 Subworkflow mơ tả cách hoạt động của use case 1.....................................57

Hình 3.20 Kết quả của cảnh báo “Detect SQL injection”............................................57
Hình 3.21 Cảnh báo được đưa vào SOAR dưới dạng JSON........................................58
Hình 3.22 Script kết nối đến thehive sau khi được đưa lên SOAR Shuffle..................59
Hình 3.23 Kết quả của task create_incident_1.............................................................60
Hình 3.24 Case đã được tạo trên thehive.....................................................................60
Hình 3.25 Kết quả sau khi thực thi task notify_incident_status_1...............................61
Hình 3.26 Message được gửi về telegram....................................................................62
Hình 3.27 Task truy vấn đến kết quả search của Splunk..............................................62
Hình 3.28 Lệnh search với search id 1701538851.2888..............................................63
Hình 3.29 IoC IP của kẻ tấn cơng khi được đưa vào Shuffle.......................................63
Hình 3.30 Thực thi bash script trên SOAR Shuffle......................................................64
Hình 3.31 Script được thực thi thành cơng và trạng thái trả về 200.............................65
Hình 3.32 Rule được tạo thành cơng lên pfsense.........................................................65
Hình 3.33 Message thơng báo trạng thái chặn.............................................................66
Hình 3.34 Thời gian xử lý từ khi tiếp nhận cảnh báo đến khi chặn IP thành cơng.......67
Hình 3.35 Subworkflow mơ tả cách hoạt động của use case 2.....................................67
Hình 3.36 Kết quả của rule “Webshell Detect”............................................................68
Hình 3.37 Cảnh báo được đưa lên Shuffle...................................................................68
Hình 3.38 Case đã được tạo trên thehive.....................................................................69
Hình 3.39 Message thơng báo case đã được tạo...........................................................69
Hình 3.40 Chuỗi giá trị băm được thu thập..................................................................69
Hình 3.41 Chuỗi giá trị băm được lấy ra......................................................................70
Hình 3.42 Task IoC_MD5_parser................................................................................70
Hình 3.43 Kết quả thu được chuỗi MD5......................................................................71
Hình 3.44 Task get_hash_IOC.....................................................................................71
Hình 3.45 Kết quả sau khi chuỗi giá trị băm được bóc tách.........................................72

iii



Hình 3.46 Tác vụ kiểm tra IoC khi được đưa lên SOAR Shuffle.................................73
Hình 3.47 Kết quả kiểm tra với Virustotal...................................................................73
Hình 3.48 Thông tin về chuỗi MD5 được đưa lên telegram.........................................74

iv


DANH MỤC BẢNG BI
Bảng 1.1 Các nguồn dữ liệu SIEM điển hình.................................................................9
Bảng 1.2 So sánh các giải pháp theo các đánh giá trên Gartner...................................23
Bảng 1.3 Bảng đánh giá tổng thể các tiêu chí theo Gartner.........................................24
Bảng 1.4 Bảng đánh giá tiêu chí Evaluation and Contracting theo Gartner.................24
Bảng 1.5 Bảng đánh giá tiêu chí Integration and Deployment theo Gartner................24
Bảng 1.6 Bảng đánh giá tiêu chí Service and Support theo Gartner..........................25Y
Bảng 2.1 Thành phần và chức năng của SIEM Splunk................................................36
Bảng 2.2 Một số tính năng của SOAR 4
Bảng 3.1 Danh sách các kết nối trong hệ thống SOAR Shuffle...................................55

v


TÓM TẮT ĐỒ ÁN
Đồ án “Nghiên cứu triển khai hệ thống SOAR Shuffle tích hợp vào hệ thống
giám sát” bao gồm ba chương. Nội dung của đồ án sẽ đi từ những khái niệm cơ bản
mà tên đề tài đề cập đến như hệ thống giám sát an tồn thơng tin hay hệ thống điều
phối, tự động hóa và phản ứng an tồn thơng tin cùng với chức năng, thành phần, cách
thức hoạt động của từng loại hệ thống. Khảo sát một số sản phẩm hiện có trên thị
trường và đưa ra so sánh những sản phẩm đó.
Việc xây dựng mơ hình mạng của đồ án được dựa trên tìm hiểu cá nhân và thực
tế tại một ngân hàng, đồng thời dựa trên Quyết định của Bộ Thông tin và Truyền

thơng. Mơ hình mạng mặc dù đã đảm bảo an tồn thơng tin bằng hệ thống giám sát an
tồn thơng tin nhưng chưa tối ưu và tồn đọng nhiều vấn đề. Qua đó, việc triển khai hệ
thống điều phối, tự động hóa và phản ứng an tồn thơng tin mà cụ thể trong đồ án là
SOAR Shuffle sẽ góp phần giải quyết các vấn đề còn tồn đọng của giải pháp giám sát
an tồn thơng tin. Việc lựa chọn SOAR Shuffle cũng đã được quyết định sau khi đánh
giá và so sánh các hệ thống điều phối, tự động hóa và phản ứng an tồn thơng tin khác
hiện có trên thị trường.
Từ việc đáp ứng tốt các yếu tố về hệ thống, triển khai thực tế qua từng giai đoạn
như tạo mơ hình mạng, phân chia phân vùng mạng, cài đặt và cấu hình hệ thống. Hệ
thống được đưa vào thực nghiệm qua các use case để đưa ra kết quả chính xác trong
mơi trường thực tế. Từ đó rút ra kết luận qua quá trình thực nghiệm.

vi


CHƯƠNG 1. CƠ SỞ LÝ THUYẾT
Chương 1 trình bày các nội dung về hệ thống giám sát an tồn thơng tin và
hệ thống điều phối, tự động hóa và phản ứng an tồn thơng tin. Bao gồm khái
niệm, các thành phần, quy trình hoạt động, ưu nhược điểm của từng hệ thống.
Sau đó tiến hành so sánh một vài loại sản phẩm điều phối, tự động hóa và phản
ứng an tồn thơng tin trên thị trường, từ đó đánh giá về lý do lựa chọn SOAR
Shuffle.

1.1. Hệ thống giám sát an tồn thơng tin
1.1.1. Khái niệm hệ thống giám sát an tồn thơng tin
Hệ thống giám sát an tồn thơng tin (ATTT) – Security Information and Event
Management (SIEM) là một giải pháp bảo mật giúp các tổ chức phát hiện, phân tích và
ứng phó với các mối đe dọa bảo mật trước khi chúng gây hại cho các hoạt động của tổ
chức. Hệ thống giám sát ATTT thu thập thông tin từ các thiết bị bảo mật khác nhau,
giám sát và phân tích thơng tin này sau đó hiển thị kết quả theo cách phù hợp với

doanh nghiệp sử dụng nó.

1


Hình 1.1 Hệ thống giám sát ATTT

SIEM kết hợp quản lý thông tin bảo mật – Security Information Management
(SIM) và quản lý sự kiện bảo mật – Security Event Management (SEM) vào một hệ
thống quản lý bảo mật. SIEM cảnh báo các tổ chức về các cuộc tấn công tiềm ẩn, sự cố
bảo mật thơng tin hoặc thậm chí các vấn đề tuân thủ. Các giải pháp SIEM cung cấp
khả năng giám sát và phân tích các sự kiện theo thời gian thực bằng cách tăng cường
phát hiện mối đe dọa và quản lý sự cố bảo mật thông qua việc lấy dữ liệu trực tiếp và
dữ liệu sự kiện bảo mật lịch sử.
Chức năng cốt lõi của SIEM bao gồm nhiều chức năng: giám sát, ghi nhật ký,
thu thập và quản lý dữ liệu bảo mật cho mục đích tuân thủ hoặc kiểm toán, bao gồm
các khả năng vận hành như báo cáo, tổng hợp dữ liệu, giám sát bảo mật và giám sát
hoạt động của người dùng. Nguyên tắc cơ bản của mọi hệ thống SIEM là tổng hợp dữ
liệu liên quan từ nhiều nguồn, xác định hoạt động sai lệch so với định mức bằng việc
phân tích thời gian thực và thực hiện hành động thích hợp. Ví dụ: khi phát hiện sự cố
tiềm ẩn, hệ thống SIEM có thể ghi lại thơng tin bổ sung, tạo cảnh báo và hướng dẫn
các biện pháp kiểm soát bảo mật khác để ngăn chặn sự hoạt động của tiến trình độc
hại.
SIEM cung cấp cho các tổ chức khả năng hiển thị hoạt động trong mạng nội bộ
để có thể phản ứng nhanh chóng với các cuộc tấn cơng mạng tiềm ẩn và đáp ứng các

2


yêu cầu tuân thủ. Ở cấp độ cơ bản nhất, hệ thống SIEM có thể dựa trên các quy tắc

hoặc sử dụng công cụ tương quan thống kê để tạo kết nối giữa các mục nhật ký sự
kiện. Các hệ thống SIEM nâng cao đã phát triển để bao gồm việc phân tích hành vi của
người dùng và thực thể cũng như khả năng điều phối, tự động hóa và phản ứng ATTT
– Security Orchestration, Automation and Response (SOAR).
Hệ thống SIEM hoạt động bằng cách triển khai nhiều tác nhân thu thập theo
cách phân cấp để thu thập các sự kiện liên quan đến bảo mật từ thiết bị người dùng
cuối, máy chủ và thiết bị mạng cũng như thiết bị bảo mật chuyên dụng như tường lửa,
chương trình chống virus hoặc hệ thống phòng chống xâm nhập – Intrusion Prevention
System (IPS). Bộ thu thập sẽ chuyển tiếp các sự kiện tới bảng điều khiển quản lý tập
trung, nơi mà các nhà phân tích bảo mật lọc thơng tin nhiễu và ưu tiên các sự cố bảo
mật. Trong một số hệ thống, q trình tiền xử lý có thể xảy ra tại các bộ thu biên, chỉ
một số sự kiện nhất định được chuyển qua nút quản lý tập trung. Bằng cách này, khối
lượng thông tin được truyền đạt và lưu trữ có thể giảm đi. Mặc dù những tiến bộ trong
học máy đang giúp các hệ thống phát hiện sự bất thường chính xác hơn nhưng các nhà
phân tích vẫn phải cung cấp phản hồi liên tục về môi trường.
1.1.2. Các thành phần của hệ thống giám sát an tồn thơng tin
Các thành phần chính của SIEM:
Quản lý nhật ký (Log Management)
Quản lý sự kiện bảo mật (Security Event Management)
Quản lý thơng tin bảo mật (Security Information Management)
Tích hợp thơng tin về mối đe dọa (Threat Intelligence Integration)
Phân tích hành vi người dùng và thực thể (User and Entity Behavior
Analytics – UEBA)
 Quản lý case và quy trình xử lý (Case Management and Workflow)







1.1.2.1. Quản lý nhật ký
Về cốt lõi, SIEM xoay quanh việc quản lý nhật ký, một cơ chế liên quan đến
việc thu thập, lưu trữ và phân tích dữ liệu nhật ký từ nhiều nguồn khác nhau trên mạng
của tổ chức.
Dữ liệu nhật ký là bản ghi liên tục về các sự kiện trong môi trường công nghệ
thông tin của tổ chức. Điều này bao gồm mọi thứ từ hoạt động của người dùng, hoạt
động của hệ thống và cả cảnh báo hoặc thông báo lỗi từ các ứng dụng phần mềm. Về
cơ bản, nhật ký đóng vai trị như một dạng “hộp đen” cho hệ thống cơng nghệ thơng
tin, cung cấp dịng thời gian hoạt động toàn diện.

3


Vai trị chính của quản lý nhật ký trong SIEM là thu thập và lưu trữ lượng dữ
liệu nhật ký khổng lồ được tạo từ nhiều nguồn khác nhau như máy chủ, cơ sở dữ liệu
(CSDL), mạng và ứng dụng. Lượng dữ liệu nhật ký này đảm bảo nắm bắt và có một
cái nhìn tồn diện về mơi trường cơng nghệ thông tin của tổ chức, cung cấp bối cảnh
cần thiết để xác định các sự cố bảo mật.
Nhưng việc thu thập và lưu trữ dữ liệu nhật ký chỉ là một phần nhỏ. Dữ liệu
được lấy từ các nguồn khác nhau sẽ có những định dạng và cấu trúc khác nhau. Do đó,
việc chuẩn hóa và phân tích cú pháp (chuyển đổi dữ liệu sang một định dạng nhất
quán) là rất quan trọng để q trình phân tích bảo mật hiệu quả. Quá trình này cho
phép hệ thống SIEM phân tích chung dữ liệu nhật ký từ nhiều dạng khác nhau, cho
phép phát hiện và ứng phó mối đe dọa chính xác hơn.
Quản lý nhật ký cũng liên quan đến việc tổng hợp và tương quan dữ liệu nhật
ký để xác định các mẫu, hiện trạng và sự bất thường. Tổng hợp dữ liệu là quá trình thu
thập và kết hợp nhiều mục nhật ký để hợp lý hóa việc phân tích bảo mật. Mặt khác,
tương quan dữ liệu liên quan đến việc kết nối các mục nhật ký liên quan và xác định
các mẫu có thể đại diện cho một sự kiện hoặc sự cố bảo mật.
Cuối cùng, việc quản lý nhật ký SIEM bao gồm cả việc lưu trữ nhật ký và các

vấn đề tuân thủ. Nhiều tổ chức thường yêu cầu về mặt pháp lý phải lưu trữ dữ liệu nhật
ký trong một khoảng thời gian nhất định, chủ yếu cho mục đích kiểm tốn và tuân thủ.
Các hệ thống SIEM có thể tự động hóa quy trình này, đảm bảo rằng các tổ chức đáp
ứng yêu cầu lưu giữ nhật ký, đồng thời cung cấp dữ liệu có giá trị cho việc điều tra và
kiểm tra bảo mật trong tương lai.
1.1.2.2. Quản lý sự kiện bảo mật
Một thành phần quan trọng khác của SIEM là quản lý sự kiện bảo mật (SEM).
SEM mang lại khả năng giám sát, cảnh báo và đánh giá theo thời gian thực, trong khi
quản lý dữ liệu nhật ký chủ yếu xử lý dữ liệu thì SEM lại tập trung vào những gì đang
xảy ra theo thời gian thực. Bằng cách liên tục giám sát và phân tích dữ liệu của sự
kiện, SEM hỗ trợ phát hiện các cuộc tấn công đang diễn ra, các lỗ hổng tiềm ẩn và
thậm chí cả các vi phạm trong chính sách.
Một trong những tính năng chính của SEM là giám sát và cảnh báo sự kiện theo
thời gian thực. Cơ chế này giám sát các điểm dữ liệu đầu vào và có thể gửi cảnh báo
ngay khi xác định hoạt động bất thường hoặc gửi cảnh báo cho một sự kiện được xác
định trước đó. Việc phát hiện theo thời gian thực như vậy cho phép các tổ chức phản
ứng nhanh chóng và dứt khốt trước các mối đe dọa, có khả năng giảm thiểu thiệt hại
trước khi chúng có thể xảy ra.

4


SEM hỗ trợ phát hiện và ứng phó sự cố thơng qua việc phân tích và tương quan
các sự kiện. Bằng cách tương quan các sự kiện có liên quan đến nhau, SEM có thể
phát hiện các mối đe dọa phức tạp và các mẫu độc hại có thể khơng rõ ràng khi xem
xét các sự cố riêng lẻ. Khả năng này giúp các nhóm bảo mật ưu tiên ứng phó và tập
trung vào các mối đe dọa nguy hiểm nhất.
Một khía cạnh quan trọng của SEM là việc sử dụng các quy tắc, bộ lọc và dấu
hiệu để xác định các sự kiện bảo mật. Các quy tắc sẽ xác định những gì tạo nên một sự
kiện, các bộ lọc giúp loại bỏ những dữ liệu gây nhiễu từ lượng lớn dữ liệu được thu

thập, các dấu hiệu sẽ so khớp các kiểu tấn công đã biết với các sự kiện hiện tại. Những
yếu tố này kết hợp lại giúp xác định chính xác và nhanh chóng các sự cố bảo mật tiềm
ẩn.
Cuối cùng, SEM không bị giới hạn ở việc chỉ phân tích dữ liệu nội bộ. SEM có
thể tích hợp với các nguồn dữ liệu chứa thơng tin về những mối đe dọa bên ngoài để
chủ động phát hiện mối đe dọa. Các nguồn cấp dữ liệu này cung cấp thông tin cập nhật
về các lỗ hổng mới được phát hiện, các mối đe dọa mới, các IP độc hại, v.v. Bằng cách
kết hợp với dữ liệu này, SEM có thể xác định các mối đe dọa dựa trên các thông tin
mới nhất, nâng cao khả năng bảo vệ tổ chức.
Về bản chất, quản lý sự kiện bảo mật cung cấp khả năng giám sát theo thời gian
thực và thời gian phản ứng nhanh với các mối đe dọa. Điều này là rất quan trọng trong
bối cảnh hiện nay. Bằng cách giám sát, phân tích và ứng phó với các sự kiện bảo mật
khi chúng xảy ra, SEM bổ sung một lớp phịng thủ khơng thể thiếu cho chiến lược an
ninh mạng của tổ chức.

5


1.1.2.3. Quản lý thông tin bảo mật
Quản lý thông tin bảo mật (SIM) là một thành phần khác của SIEM, đóng vai
trị là kho lưu trữ dữ liệu liên quan đến các sự kiện bảo mật. SIM liên quan đến việc
thu thập, phân tích và báo cáo dữ liệu bảo mật từ các nguồn khác nhau trong mạng của
tổ chức.
Một phần quan trọng về vai trò của SIM trong SIEM là lưu trữ tập trung và
quản lý dữ liệu liên quan đến bảo mật. Bằng cách hợp nhất nhật ký, cảnh báo và dữ
liệu sự kiện bảo mật khác ở một nơi, SIM tạo điều kiện phân tích tồn diện và gắn kết
về tình hình bảo mật của tổ chức. Quản lý dữ liệu tập trung cũng tăng cường khả năng
truy cập, giúp nhân viên bảo mật dễ dàng truy xuất và phân tích dữ liệu cần thiết khi
cần.
Một chức năng thiết yếu khác của SIM là tích hợp với các công cụ đánh giá lỗ

hổng và hệ thống quản lý tài sản. Thông tin từ các công cụ và hệ thống này khi kết hợp
với dữ liệu nhật ký và sự kiện sẽ cho thấy một cái nhìn chi tiết hơn về bối cảnh bảo
mật của tổ chức, điều này rất quan trọng để xác định chính xác lỗ hổng và các mối đe
dọa tiềm ẩn.
SIM chịu trách nhiệm tạo bảng điều khiển, báo cáo và trực quan hóa để cung
cấp thơng tin chi tiết về bảo mật tồn diện. Những cơng cụ trực quan này giúp đơn
giản hóa dữ liệu phức tạp, giúp dễ dàng hiểu được các xu hướng, điểm bất thường và
mẫu trong các sự kiện bảo mật. Bảng điều khiển có thể cung cấp chế độ xem theo thời
gian thực về trạng thái bảo mật của tổ chức, trong khi các báo cáo cung cấp phân tích
chun sâu về dữ liệu lịch sử.
Vài trị của SIM trong SEM không chỉ dừng lại ở việc lưu trữ dữ liệu mà còn là
việc khai thác những dữ liệu đó để cung cấp các thơng tin chi tiết, từ đó có thể đưa ra
các hành động, hỗ trợ đánh giá lỗ hổng, cho phép báo cáo toàn diện và cuối cùng là
nâng cao chiến lược an ninh mạng của tổ chức.
1.1.2.4. Tích hợp thơng tin về mối đe dọa
Tích hợp thơng tin về mối đe dọa trong SIEM là một quá trình liên quan đến
việc tận dụng các nguồn dữ liệu bên ngoài để nâng cao hiểu biết của tổ chức về các
mối đe dọa và lỗ hổng mới. Dữ liệu bên ngồi đó được gọi là thơng tin về mối đe dọa,
nó thường bắt nguồn từ các nguồn cấp dữ liệu và các CSDL khác nhau nhằm theo dõi
các xu hướng mới nhất về các mối đe dọa mạng trên tồn cầu.
Tích hợp thơng tin về mối đe dọa liên quan đến việc sử dụng các nguồn cấp dữ
liệu về mối đe dọa bên ngoài và các dấu hiệu về sự thỏa hiệp – Indicators of
Compromise (IoC). Các IoC này có thể bao gồm thơng tin chi tiết về IP, URL, các tệp

6


băm độc hại, v.v, cung cấp thông tin kịp thời và có giá trị về bối cảnh mối đe dọa
mạng hiện tại. Bằng cách tích hợp thơng tin bên ngồi này với dữ liệu nhật ký nội bộ,
các tổ chức có thể phát hiện và ứng phó chính xác hơn với các mối đe dọa tiềm ẩn.

Các nền tảng và dịch vụ tích hợp thơng tin về mối đe dọa thường được tích hợp
với hệ thống SIEM để hợp lý hóa quy trình. Các nền tảng này hợp nhất dữ liệu từ các
nguồn cấp dữ liệu về các mối đe dọa khác nhau, cung cấp cái nhìn tồn diện hơn về
các mối đe dọa tiềm ẩn.
Việc tích hợp thơng tin về mối đe dọa không chỉ dừng lại ở việc thu thập dữ
liệu. Chúng cũng liên quan đến bối cảnh hóa các sự kiện và sự cố bảo mật với dữ liệu
về mối đe dọa này. Bằng cách cung cấp bối cảnh, thơng tin về mối đe dọa có thể giúp
các nhà phân tích bảo mật hiểu được phạm vi, mức độ liên quan và tác động tiềm tàng
của một sự kiện bảo mật.
Tích hợp thơng tin về mối đe dọa có thể nâng cao đáng kể khả năng ứng phó sự
cố của tổ chức. Với thơng tin về mối đe dọa được cập nhật, các nhóm bảo mật có thể
lường trước và dự đoán trước được các cuộc tấn cơng tiềm ẩn, điều này cho phép
phịng thủ chủ động và ứng phó sự cố nhanh hơn.
1.1.2.5. Phân tích hành vi người dùng và thực thể
Phân tích hành vi người dùng và thực thể – User and Entity Behavior Analytics
(UEBA) là một sự bổ sung tương đối gần đây cho các khả năng của SIEM. Thành
phần này tập trung vào hành vi của người dùng và các thực thể trong mạng của tổ
chức. Bằng cách sử dụng phân tích nâng cao và học máy, UEBA giúp phát hiện các
mối đe dọa nội bộ, tài khoản bị xâm nhập và các thực thể độc hại mà các biện pháp
bảo mật khác có thể bỏ qua.
UEBA hoạt động dựa trên nguyên tắc lập hồ sơ hành vi và lập các đường cơ sở.
Tìm hiểu hành vi “bình thường” của người dùng và các thực thể trong mạng và thiết
lập một đường cơ sở để so sánh với các hành vi trong tương lai. Bất kỳ sai lệch đáng
kể nào so với các đường cơ sở này đều có thể chỉ ra mối đe dọa tiềm ẩn.
Một trong những mục tiêu chính của UEBA là phát hiện các mối đe dọa và sự
bất thường nội bộ. Chúng có thể bao gồm các hoạt động của tài khoản người dùng đã
bị xâm phạm, nhân viên có mục đích xấu hoặc bên thứ ba có mục đích xấu, v.v. Bằng
cách giám sát hành vi của người dùng và thực thể, UEBA có thể phát hiện những mối
đe dọa này, đây có thể là những mối đe dọa không được chú ý.
UEBA sử dụng công nghệ học máy và phân tích nâng cao để xử lý khối lượng

lớn và độ phức tạp tuyệt đối của dữ liệu. Những cơng nghệ này có thể xác định các mơ
hình và mối tương quan mà các nhà phân tích có thể bỏ lỡ, giúp UEBA trở nên hiệu
quả và chính xác hơn.

7


Dữ liệu và thông tin chi tiết do UEBA cung cấp không độc lập. Chúng tương
quan với dữ liệu của các thành phần SIEM khác để phân tích tồn diện. Mối tương
quan này có thể làm sáng tỏ các mối đe dọa phức tạp, nhiều mặt và nâng cao hiệu quả
tổng thể của hệ thống SIEM.
1.1.2.6. Quản lý case và quy trình xử lý
Quản lý case và quy trình xử lý là một thành phần quan trọng của SIEM nhằm
đảm bảo ứng phó và giải quyết hiệu quả các sự cố bảo mật. Thành phần này chịu trách
nhiệm theo dõi, quản lý và điều phối các nhiệm vụ liên quan đến sự cố bảo mật.
Một khía cạnh quan trọng của việc này là lập ticket và theo dõi sự cố. Khi phát
hiện sự cố bảo mật, một ticket sẽ được tạo, nó sẽ theo dõi sự cố qua từng giai đoạn của
quy trình ứng phó. Điều này cho phép q trình theo dõi và quản lý sự cố một cách
hiệu quả, đảm bảo khơng có sự cố nào bị bỏ sót.
Quản lý case cũng tạo điều kiện cho sự hợp tác và phối hợp giữa các nhóm bảo
mật. Bằng cách tập trung thông tin liên quan đến sự cố bảo mật, nó cho phép các nhóm
và các thành viên trong các nhóm khác nhau làm việc cùng nhau một cách hiệu quả,
thúc đẩy q trình ứng phó sự cố một cách thống nhất trước các mối đe dọa bảo mật.
Tự động hóa và điều phối các quy trình bảo mật đóng một vai trị quan trọng
trong quản lý case. Bằng cách tự động hóa các nhiệm vụ thường ngày và điều phối
luồng hoạt động, SIEM có thể giảm thiểu thời gian phản hồi, giúp nhân viên an ninh
có nhiều thời gian để tập trung vào các nhiệm vụ khác phức tạp hơn.
Quản lý case cũng giúp ích đối với tài liệu. Bằng cách tạo hồ sơ về các sự cố
bảo mật và các phản hồi tương ứng của các sự cố đo, nó cung cấp một cơ sở kiến thức
có giá trị để tham khảo trong tương lai. Điều này có thể giúp cải thiện các chiến lược

ứng phó sự cố và cung cấp thông tin chi tiết về đào tạo và cải tiến quy trình.
Tóm lại, SIEM bao gồm các thành phần: quản lý nhật ký, quản lý sự kiện bảo
mật, quản lý thơng tin bảo mật, tích hợp thơng tin về mối đe dọa, phân tích hành vi
người dùng và thực thể, quản lý case và quy trình xử lý. SIEM hoạt động như một giải
pháp toàn diện để điều hướng bối cảnh an ninh mạng đầy thách thức. Chính sức mạnh
tổng hợp giữa các thành phần này cho phép SIEM cung cấp khả năng bảo vệ 24/24.
Khi bối cảnh an ninh mạng phát triển, SIEM cũng phải phát triển. Điều này sẽ địi hỏi
sự thích ứng và đổi mới liên tục để chống lại các mối đe dọa mới. Bằng cách cung cấp
cái nhìn gắn kết và sâu sắc về các sự kiện bảo mật, SIEM thực sự là một công cụ
không thể thiếu trong việc duy trì một mơi trường kỹ thuật số linh hoạt.
1.1.3. Quy trình hoạt động của hệ thống giám sát an tồn thơng tin
Quy trình hoạt động của SIEM:

8