Tải bản đầy đủ (.docx) (85 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

NGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTT

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.74 MB, 85 trang )

BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

ĐỒ ÁN TỐT NGHIỆP

NGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR
CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTT

Ngành: Công nghệ thông tin
Chuyên ngành: An toàn thông tin
Mã số: 52.48.02.01

Hà Nội, 2016


BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

ĐỒ ÁN TỐT NGHIỆP

NGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR
CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTT

Ngành: Công nghệ thông tin
Chuyên ngành: An toàn thông tin
Mã số: 52.48.02.01

Hà Nội, 2016



MỤC LỤC

3


DANH MỤC HÌNH ẢNH

4


DANH MỤC BẢNG

5


DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT
CDIR
CNTT
CPU
DBA
DDoS
DHCP
DNS
DoS
EC
ECS
EP
EPS
FC

FPM
FP
FTP
GSANM
HA
HIPAA
IDS
IIS
IPS
IPSEC
JDBC
NIC
OPSEC
PC
PCI DSS
RAID
SDEE
SFP
SIM
SEM
SNMP
SOX
UDP
VNISA
WMI

Classless Inter-Domain Routing
Công nghệ thông tin
Central Processing Unit
DataBase Administrator

Distributed Denial of Service
Dynamic Host Control Protocol
Domain Name Server
Denial of Service
Event Collector
Event Correlation Service
Event Processor
Event Per Second
Flow Collector
Flow Per Minute
Flow Processor
File Transfer Protocol
Giám sát an ninh mạng
High Availability
Health Insurance Portability and Accountability Act
Integrated Directory Service
Internet Information Services
Intrusion Prevention System
Internet Protocol Security
Java Database Connectivity
Network Interface Card
Operations Security
Personal Computer
Payment Card Industry Data Security Standard
Redundant Array of Independent Disks
Security Device Event Exchange
Small Form-Factor Pluggable
Security Information Management
Security Events Management
Simple Network Management Protocol

Sarbanes-Oxley Act
User Datagram Protocol
Vietnam Information Security Association
Windows Management Instrumentation

6


LỜI CẢM ƠN
Trên thực tế không có thành công nào mà không gắn liền với những sự giúp
đỡ dù ít hay nhiều, dù trực tiếp hay là gián tiếp. Trong suốt thời gian từ khi bắt đầu
học tập ở Học viện kỹ thuật Mật Mã cho đến nay em đã nhận được rất nhiều sự
quan tâm, giúp đỡ của Thầy Cô, gia đình và bạn bè.
Để hoàn thành đồ án tốt nghiệp này em xin chân thành cảm ơn sâu sắc tới
hai người TS. Trần Đức Sự và KS. Võ Văn Hoàng đã tạo điều kiện và giúp đỡ em
tận tình chu đáo trong thời gian làm đồ án tốt nghiệp vừa qua.
Mặc dù đã có nhiều cố gắng thực hiện đề tài một cách hoàn thiện nhất. Song
do hạn chế về kiến thức và kinh nghiệm nên không tránh khỏi những thiếu sót nhất
định mà bản thân chưa thấy được. Vì vậy rất mong được sự góp ý của quý Thầy,
Cô giáo để đề tài được hoàn thiện hơn.
Em xin trân thành cảm ơn!
SINH VIÊN THỰC HIỆN ĐỒ ÁN

Hoàng Văn Thái

7


LỜI MỞ ĐẦU
Với sự phát triển mạnh mẽ của Internet và World Rộng Web đã đặt ra nhiệm

vụ đảm bảo an toàn thông tin cho các hệ thống mạng của các cơ quan, tổ chức
nhằm tránh khỏi những hiểm họa mất an toàn thông tin trước những tấn công mạng
có thể xảy ra. Để có thể làm việc này các cơ quan, tổ chức cần có một hệ thống
giám sát an ninh mạng đủ mạnh nhằm kiểm soát, thu thập toàn bộ lưu lượng dữ
liệu vào ra cho cả một hệ thống mạng và đưa ra những cảnh báo chính xác tới
người quản trị hệ thống khi có tấn công xảy ra.
Việc giám sát an ninh mạng hiện nay đã được các quốc gia trên thế giới vô
cùng quan tâm và nó có vai trò sống còn cho an ninh quốc gia. Trong đó, Mỹ là
quốc gia đi tiên phong cho lĩnh vực giám sát an ninh mạng trên toàn cầu. Ngoài ra,
các quốc gia láng giềng bên cạnh nước ta như Hàn Quốc, Trung Quốc cũng xem
đây là một nhiệm vụ tối mật cho quốc phòng an ninh. Tại Việt Nam, trong những
năm gần đây giám sát an ninh mạng cũng được xem là một nhiệm vụ trọng yếu
được các cơ quan cấp bộ, ban, ngành vô cùng quan tâm và thực hiện công việc này
một cách tích cực.
Tuy nhiên, để có thể thực hiện tốt được nhiệm vụ này đòi hỏi phải có một
chính sách giám sát an ninh mạng cả chiều rộng lẫn chiều sâu cộng với các thiết bị
giám sát an ninh mạng hiện đại. Một hệ thống giám sát an ninh mạng tốt cần phải
thu thập được tất cả các nhật ký vào ra của hệ thống, sau đó thực hiện phân tích
những dữ liệu này, và dựa trên những dấu hiệu hoặc tập luật sẵn có để đưa ra cảnh
bảo tới người quản trị hệ thống.
Trên thực tế có nhiều giải pháp giám sát an ninh mạng hiện nay được sử
dụng. Nhiều sản phẩm thương mại xuất hiện trên thị trường, mỗi sản phẩm có các
ưu điểm và yếu điểm khác nhau. Nhưng nhìn chung, các sản phẩm hiện nay được
sử dụng dựa trên công nghệ SIEM là chủ yếu.
Trong đồ án này em đã nghiên cứu, tìm hiểu về việc triển khải giải pháp
giám sát an ninh mạng của IBM Qradar. Một trong những giải pháp được triển khai
ở một số cơ quan, doanh nghiệp trong nước hiện nay. Qua đó, nghiên cứu và trình
bày về: cơ chế, thành phần, chức năng, giải pháp triển khai, dịch vụ cung cấp cũng
như việc triển khai một hệ thống giám sát an ninh mạng nói chúng và hệ thống
giám sát an ninh mạng Qradar nói riêng.


8


CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG GIÁM SÁT AN NINH MẠNG
1.1. Tình hình chung về hệ thống giám sát an ninh mạng
Thuật ngữ “Giám sát an ninh mạng” (GSANM) không phải là mới nhưng có
lẽ nó vẫn còn xa lạ hoặc chưa được nhiều người biết đến. Trong những thập niên
trở lại đây, công nghệ thông tin phát triển một cách nhanh chóng, song song với
các sáng tạo công nghệ nhằm giúp con người phát triển thì luôn tồn tại nhiều mặt
trái của nó. Các vấn đề còn tồn tại chính là các hiểm họa mất cắp thông tin quan
trọng liên quan đến danh tiếng, tiền bạc, hoặc chỉ với mục đích giải trí,… do những
kẻ tấn công thực hiện thông qua môi trường Internet.
Theo báo cáo thường niên hàng năm về các hiểm họa an toàn Internet của
hãng Symantec trong năm 2013-2014 đã thống kê dựa trên dữ liệu địa lý của dạng
tấn công thông qua môi trường Internet liên quan đến mã độc, Spam zombie,
Phishing host, máy tính nhiễm Botnet, nguồn gốc tấn công mạng, nguồn gốc tấn
công Web cho biết: Mỹ là quốc gia đứng đầu với 20.7 % về các hoạt động tấn công
liên quan đến mã độc. Tiếp sau đó là Trung Quốc, Ấn Độ, và Việt Nam đứng thứ 9
trong bảng xếp hạng này với 2.4%. Cũng theo thống kê trên về các tấn công liên
quan đến Spam zombie thì Việt Nam là quốc gia xếp đầu tiên với 10.1%, tiếp sau
đó là các nước như Hà Lan, Iran, Nga, Đức,…. Liên quan đến các tấn công
Phishing host thì Mỹ là quốc gia xếp thứ nhất với 46.6%, trong đó Trung Quốc là
quốc gia đứng đầu tiên với 16.5% các máy tính nhiễm Botnet. Ngoài ra Mỹ là
nước đứng đầu với 21.1% các tấn công Web và Trung Quốc lại là nước đứng đầu
với liên quan tới các tấn công mạng với 28.7%[7].
1.1.1. Các nguy cơ an ninh mạng
Khi các hoạt động kinh tế, giáo dục, chính trị, quân sự hiện nay trên toàn thế
giới đều dựa vào hệ thống mạng và kết nối Internet thì nguy cơ dẫn đến cuộc chiến
tranh liên quan đến không gian mạng giữa các quốc gia đang dần được kích hoạt.

Nhận thấy những hiểm họa tiềm ẩn xuất phát từ Internet này mà các quốc gia trên
thế giới đã và đang thành lập các lực lượng phản ứng phòng chống và tác chiến
mạng.
Trong đó Mỹ là quốc gia đã tập trung vào lĩnh vực an ninh mạng từ những
năm 1990. Chịu trách nhiệm cho lĩnh vực này gồm có Bộ An ninh nội địa
(Department of Homeland Security), Cục điều tra liên bang FBI (Federal Bureau
of Investigation), Bộ Quốc phòng Mỹ (Department of Defense) và US Cyber
Command. Bộ An ninh nội địa có trách nhiệm chính trong việc bảo đảm an ninh
9


trong nước. Đơn vị National Cyber Security Division của Bộ An ninh Nội địa được
giao nhiệm vụ “hợp tác làm việc với các cơ quan nhà nước, tư nhân và quốc tế để
đảm bảo không gian mạng và quyền lợi không gian mạng của nước Mỹ”. Đơn vị
này cũng có một số chương trình để bảo vệ cơ sở hạ tầng mạng chống lại các tấn
công. Đơn vị National Cyber Response Coordination Group thuộc đơn vị National
Cyber Security Division bao gồm 13 cơ quan liên bang và có trách nhiệm phối hợp
phản ứng liên bang trong sự cố không gian mạng mang tầm cỡ quốc gia. Cyber
Command, một đơn vị con nằm dưới sự quản lý của Cơ quan chỉ huy chiến lược
Hoa Kỳ (US Strategic Command) có trách nhiệm đối phó với các mối đe dọa liên
quan đến cơ sở hạ tầng mạng quân sự. Các đơn vị thành viên của Cyber Command
bao gồm các lực lượng Army Forces Cyber Command, Air Force 24, Hạm đội
Cyber Command, và Marine Cyber Command.
Tại Anh một lực lượng đặc biệt được thành lập đầu năm 2011 với tên gọi
Cyber Security Operations Centre chịu trách nhiệm về cả khả năng tấn công và
phòng thủ không gian mạng. Trung tâm này thực hiện nhiệm vụ chính là giám sát
sự phát triển và tình trạng hiện tại của hệ thống IT chính phủ Anh, phân tích các xu
hướng và nâng cao sự phản ứng lại khi có sự cố mạng xảy ra.
Tại Trung Quốc sách trắng về Quốc phòng năm 2004 đã nêu rõ Quân ủy
Trung ương Trung Quốc (PLA) xác định PLA Air Force chịu trách nhiệm cho các

hoạt động liên quan đến thông tin và hoạt động phản động liên quan đến thông tin.
Cục 4 của Tổng cục nhân viên PLA chịu trách nhiệm về các hoạt động phản động
liên quan đến điện tử và nghiên cứu phát triển công nghệ chiến tranh thông tin,
chịu trách nhiệm về khả năng không gian mạng cho quân đội. Cục 3 chịu trách
nhiệm cho các tín hiệu thông minh và tập trung vào việc thu thập, phân tích, khai
thác thông tin điện tử. Cục 3 và 4 cũng tiến hành nghiên cứu các công nghệ tiên
tiến về bảo mật thông tin.
Sách trắng của Bộ quốc phòng Hàn Quốc năm 2008 đã xác định an ninh
mạng là một thành phần thiết yếu của quốc phòng. Năm 2010 sách này cũng vạch
ra tấn công mạng là một trong những hiểm họa an toàn phi truyền thống. Các đội
ứng cứu khẩn cấp đã được thành lập ở mức quân đoàn để giám sát các hệ thống
thông tin quốc phòng. Trung tâm chiến tranh mạng (Cyber War Center) của Bộ
quốc phòng đã được thành lập năm 2010. Mục đích chính của trung tâm này là
tăng tính bảo mật cho hệ thống mạng của chính phủ và các thông tin tài chính. Bộ
quốc phòng cũng tuyên bố tạo ra một đơn vị Cyber Warfare Command độc lập chịu
10


trách nhiệm cho các hoạt động phòng thủ và tấn công trong không gian mạng. Hội
đồng chiến lược An ninh mạng Quốc gia (National Cybersecurity Strategy
Council) là cơ quan điều phối phát triển các chính sách không gian mạng, và được
chủ trì bởi người đứng đầu các hoạt động tình báo quốc gia (National Intelligence
Service) [8].
1.1.2. Tính cấp thiết về việc giám sát an ninh mạng
Tại Việt Nam các cơ quan bộ ngành khác nhau chịu trách nhiệm giám sát an
ninh mạng cho từng lĩnh vực khác nhau. Để thực hiện GSANM yêu cầu và đòi hỏi
một sự đầu tư lớn về con người và vật chất, bên cạnh đó các chuyên gia thực hiện
GSANM phải am hiểu và có trình độ kỹ thuật sâu đối với công nghệ thông tin nói
chung và các mảng đặc biệt về mạng nói riêng.
Bộ Thông tin và Truyền thông thực hiện nhiệm vụ, quyền hạn quy định tại

Nghị định số 36/2012/NĐ-CP và Nghị định số 132/2013/NĐ-CP bảo đảm an toàn
thông tin cho các hệ thống thông tin và Internet; bảo đảm an toàn thông tin cho các
hoạt động ứng dụng và phát triển công nghệ thông tin; phòng, chống thư rác; tổ
chức thực hiện chức năng quản lý, điều phối các hoạt động ứng cứu sự cố máy tính
trong toàn quốc. Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (Vietnam
Computer Emergency Response Team - VNCERT) là đơn vị trực thuộc Bộ thông
tin – Truyền thông được thành lập ngày 20/12/2005 theo quyết định số 339/QĐTTg của Thủ tướng Chính phủ thực hiện chức năng điều phối và tổ chức các hoạt
động phản ứng nhanh các sự cố máy tính cho mạng Internet Việt Nam.
Bên cạnh đó Bộ Quốc phòng thực hiện quản lý nhà nước về an toàn thông
tin trong lĩnh vực quốc phòng. Một đơn vị khác chịu trách nhiệm xây dựng, đề xuất
ban hành các tiêu chuẩn và quy định kỹ thuật về mật mã trong an toàn và bảo mật
thông tin đó chính là Ban Cơ yếu Chính phủ. Bộ Công an chịu trách nhiệm quản
lý, kiểm soát, phòng ngừa, phát hiện, ngăn chặn, đấu tranh chống âm mưu, hoạt
động lợi dụng hệ thống thông tin gây phương hại đến an ninh quốc gia, trật tự an
toàn xã hội và lợi ích của công dân. Bộ Công an đã có một số Cục chức năng liên
quan tới hoạt động đảm bảo an toàn, an ninh cho hệ thống CNTT của các cơ quan
Nhà nước như Cục Công nghệ tin học nghiệp vụ, Cục Phòng chống tội phạm công
nghệ cao, Cục An ninh mạng, Cục An ninh thông tin…
Một số tổ chức khác cũng chung tay góp phần đảm bảo an ninh mạng cho
quốc gia như: Hiệp hội an toàn thông tin (viết tắt là VNISA) đã ra đời và là tổ chức
xã hội nghề nghiệp phi lợi nhuận đầu tiên hoạt động trong lĩnh vực bảo mật thông
11


tin được nhà nước Việt Nam công nhận. VNISA tập hợp các cá nhân, tổ chức làm
công tác nghiên cứu giảng dạy, ứng dụng và phát triển an toàn thông tin nhằm
hướng dẫn thực hiện các chủ trương đường lối của nhà nước trong việc ứng dụng
và phát triển kỹ thuật, công nghệ, an toàn thông tin, đưa ra đề xuất, khuyến nghị
với cơ quan quản lý nhà nước trong việc xây dựng cơ chế chính sách phát triển
ngành.

Trung tâm an ninh mạng Bách Khoa, tên đầy đủ là Trung tâm phần mềm và
giải pháp an ninh mạng là một trung tâm nghiên cứu của Trường Đại học Bách
Khoa Hà Nội. Hỗ trợ chuyên môn cho các cơ quan chức năng của Chính phủ trong
công tác phòng chống, truy tìm tội phạm tin học tham gia, xây dựng luật pháp về
tội phạm tin học. Tham gia các hoạt động phòng chống tấn công phá hoại bằng
CNTT; Hợp tác với các tổ chức An ninh mạng và Cứu hộ các sự cố máy tính của
các nước trên thế giới và trong khu vực trong việc khắc phục sự cố máy tính, chia
sẻ thông tin về an ninh thông tin.
1.2. Các giải pháp giám sát an ninh mạng
Trong giai đoạn hiện nay, cùng với sự phát triển của công nghệ thông tin là
sự bùng nổ của các cuộc tấn công mạng và nguy cơ chiến tranh mạng. Do vậy, việc
giám sát an ninh mạng là một vấn đề rất cần thiết và ngày càng được chú trọng
hơn. Nhằm mục đích phát hiện sớm các tấn công mạng cũng như các nguy cơ đối
với hệ thống mạng và đưa ra các giải pháp ngăn chặn kịp thời. Đáp ứng nhu cầu đó
hệ thống giám sát an ninh mạng được phát triển và xây dựng qua các giai đoạn và
công nghệ sau: Quản lý thông tin an ninh (SIM – Security infomation
managemant), quản lý sự kiện an ninh (SEM – Security event management) và giải
pháp quản lý phân tích sự kiện an toàn thông tin (SIEM – Security information and
event management).
1.2.1. Security Information Management
Hệ thống SIM là hệ thống được xây dựng đầu tiên. Chức năng chính của nó
là thu thập dữ liệu ghi sự kiện từ các thiết bị an ninh, chẳng hạn như tường lửa,
máy chủ proxy, hệ thống phát hiện xâm nhập và phần mềm chống virus.
Nhật ký an ninh thông tin bao gồm dữ liệu Log được tạo ra từ nhiều nguồn,
bao gồm cả các hệ thống phần mềm chống virus, phát hiện xâm nhập (IDS), hệ
thống ngăn chặn xâm nhập (IPS), tập tin hệ thống, tường lửa, router, máy chủ …

12



Cung cấp khả năng quản lý đăng nhập và có khả năng lưu trữ các bản ghi
Multi- terabyte trong thời gian rất dài. Do chưa có thành phần phân tích và xử lý sự
kiện an ninh nên SIM chỉ có thể phát hiện và xử lý được các biến cố đơn giản.
• Các sản phẩm thương mại của SIM là: Splunk, ArcSight Logger, Log
Logic, RSA envision, NetIQ Security Manager, IBM TCIM,
eIQnetworks range, nFX's SIM One, Prism Microsystems
EventTracker, Trigeo, Symantec's Security Information Manager,
Cisco Security MARS and Snare.
• Các sản phẩm mã nguồn mở của SIM: OSSIM...
1.2.2. Security Event Managerment
Hệ thống thu thập các dữ liệu sự kiện nhật ký do các thành phần (thiết bị,
ứng dụng) trong hệ thống tạo ra. Sau đó tập trung hóa việc lưu trữ và xử lí, phân
tích các sự kiện rồi lập báo cáo, đưa ra thông báo, cảnh báo liên quan đến an ninh
của hệ thống.
Không giống như SIM, hạn chế của SEM là không có khả năng lưu trữ nhật
ký trong thời gian dài. Nhưng những sản phẩm này cung cấp, phân tích quản lý các
sự kiện một cách mạnh mẽ, ứng phó các sự cố và các hoạt động an ninh.
Các sản phẩm của SEM: ArcSight ESM, netForensics, Novell Sentinel,
Intelitactics, Cisco MARS and IBM TSOM.
1.2.3. Security Information and Event Management
SIEM là một giải pháp hoàn chỉnh cho phép các tổ chức thực hiện việc giám
sát các sự kiện an toàn thông tin cho một hệ thống. Giải pháp này được kết hợp từ
hai giải pháp SIM và SEM, nó được xây dựng trên những ưu điểm của hai giải
pháp đó và được bổ sung thêm các tính năng mới nhằm mục đích tăng cường hiệu
quả trong việc giám sát an ninh mạng.
Nguyên lý cơ bản của SIEM là thu thập các dữ liệu về các sự kiện an ninh từ
nhiều thiết bị khác nhau ở các vị trí khác nhau trong hệ thống. Từ đó giúp người
quản trị có thể dễ dàng theo dõi tất cả các dữ liệu ở tại một vị trí duy nhất để phát
hiện xu hướng và theo dõi các dấu hiệu bất thường cũng như các dấu hiệu tấn công
mạng có thể xẩy ra.

Một điểm mạnh nữa của SIEM là khả năng giám sát quản lý người dùng và
sự thay đổi cấu hình cho các hệ thống khác nhau, cũng như cung cấp kiểm toán
đăng nhập và xem xét ứng phó sự cố.

13


Các sản phẩm thương mại của SIEM: Qradar SIEM, AccelOps, ArcSight,
RSA EnVision, BLUESOC, Cisco Security MARS, ImmuneSecurity, LogLogic,
SenSage, và Symantec Security Information Manager.
1.3. Các dịch vụ của SIEM
Các chuyên gia bảo mật sử dụng SIEM nhằm theo dõi, xác định, quản lý hệ
thống tài sản và ứng phó với các sự cố an ninh. Một số sự kiện an ninh như tấn
công từ chối dịch vụ (DoS), tấn công có chủ đích, tấn công mã độc và phát tán
virus, SIEM có thể phát hiện mà các thiết bị khác không dễ phát hiện ra. Nhiều sự
kiện khó phát hiện được che đậy bởi hàng ngàn sự kiện an ninh khác mỗi giây. Bên
cạnh đó SIEM có thể phát hiện những sự kiện an ninh khó phát hiện hơn như hành
vi vi phạm chính sách, cố gắng truy cập trái phép và phương thức tấn công của
những kẻ tấn công có trình độ cao xâm nhập vào hệ thống CNTT.
Một mục tiêu quan trọng cho các nhà phân tích an ninh mạng sử dụng SIEM
là giảm số lượng cảnh báo giả. Hệ thống an ninh được cho là yếu kém, chẳng hạn
như hệ thống phát hiện xâm nhập (IDS) thường có những cảnh báo nhiều về sự
kiện giả. Nhiều cảnh báo này gây lãng phí thời gian, công sức của nhà phân tích an
ninh và thường tập trung vào cảnh báo đó. Điều đó làm cho các nhà phân tích
nhầm lẫn hoặc loại đi các cảnh báo chính xác hơn. Với hệ thống SIEM, việc giảm
cảnh báo giả được thực hiện một cách cẩn thận bởi các bộ lọc và các quy tắc tương
quan liên kết giữa các thông tin sự kiện an ninh với nhau. Điều đó xác định và
cảnh báo chính xác khi có sự kiện an ninh bất chấp số lượng lớn những sự kiện an
ninh lớn và nhiều.
Hệ thống SIEM cung cấp các dịch vụ sau:


Quản lý bản ghi sự kiện an ninh
Hệ thống SIEM quản lý các Log từ các thiết bị trong hệ thống. Bắt đầu với
việc cấu hình các vị trí quan trọng trong hệ thống để gửi các sự kiện an ninh vào
một cơ sở dữ liệu tập trung. Giải pháp SIEM sẽ chuẩn hóa các Log này về định
dạng duy nhất để phân tích, tương quan liên kết. Sau đó, SIEM sẽ lưu trữ các file
Log, tổ chức, tìm kiếm và các dịch vụ khác để đáp ứng nhu cầu quản lý mà các tổ
chức yêu cầu. Phần quản lý dữ liệu này cũng sử dụng để phân tích về thời gian
thực, tình trạng khai thác dữ liệu và an ninh của hệ thống CNTT.

Tuân thủ các quy định về CNTT
Tất cả các sự kiện từ các hệ thống quan trọng đang được sử dụng truy nhập,
người quản trị có thể xây dựng các bộ lọc hoặc các thiết lập các luật và tính toán
14


thời gian để kiểm tra và xác thực việc tuân thủ của họ hoặc để xác định hành vi vi
phạm các yêu cầu tuân thủ đã đặt ra của tổ chức.
Các luật đó sẽ đối chiếu với Log được đưa vào hệ thống. Từ đó có thể giám
sát số lần thay đổi mật khẩu, xác định hệ điều hành hoặc các bản vá lỗi ứng dụng,
kiểm tra chống virus, phần mềm gián điệp và cập nhật. Người quản trị có thể xây
dựng tập luật riêng của mình cho các bộ lọc hoặc các luật để hỗ trợ trong việc tuân
thủ các quy định đã đề ra.
Nhiều nhà cung cấp SIEM có các tập đóng gói sẵn các quy tắc được thiết kế
đặc biệt để đáp ứng các yêu cầu về pháp luật và các quy định khác nhau mà các
doanh nghiệp cần phải tuân thủ. Chúng được đóng gói và cung cấp bởi các nhà
cung cấp một cách miễn phí hoặc mất một khoản chi phí.

Tương quan liên kết các sự kiện an ninh
Sự tương quan liên kết giữa các sự kiện an ninh mạng đem lại thông báo tốt

hơn cho hệ thống, không chỉ qua một sự kiện duy nhất để quyết định cách ứng phó
hay không ứng phó với nó. Với tương quan liên kết giữa các sự kiện an ninh, xem
xét điều kiện khác nhau trước khi kích hoạt báo động.
Ví dụ, một máy chủ có CPU sử dụng 100% có thể được gây ra bởi nhiều
nguyên nhân khác nhau. Nó có thể do một vấn đề xảy ra hoặc có thể không. Cũng
có thể là một dấu hiệu cho thấy hệ thống bị quá tải với các hoạt động và yêu cầu
một hoặc nhiều dịch vụ hoặc các ứng dụng cần được chia sẻ trên các máy chủ
khác. Và cũng có thể là máy chủ đạt đến hết công suất do một tấn công từ chối
dịch vụ (DoS) vào hệ thống. Hoặc nó có thể là ngừng trệ tạm thời tự nhiên của
máy chủ.
Các công cụ tương quan trên một SIEM có thể kiểm tra và xem xét các sự
kiện khác không phải liên quan đến việc sử dụng CPU. Có thể cung cấp một bức
tranh đầy đủ hơn về tình trạng của máy chủ để loại trừ giả thuyết về nguyên nhân
của vấn đề. Ví dụ, trong trường hợp sử dụng CPU 100%, SIEM có thể được cấu
hình để xem xét một số nguyên nhân sau đây:
o
Phần mềm Anti-Virus có xác định được có phần mềm độc hại
o

ở trên máy chủ hay không?
Ngoài máy chủ này ra còn máy chủ nào sử dụng với CPU

o

100%? Cần xem xét có sự tồn tại của virus hay không.
Một ứng dụng hoặc nhiều ứng dụng, dịch vụ nào đó ngừng
hoạt động?
15



o

Sự gia tăng lưu lượng mạng do nhu cầu chính đáng của người

o

sử dụng nhưng vượt quá sự cung cấp dịch vụ của máy chủ.
Sự gia tăng lưu lượng mạng nhưng do nhu cầu không chính

đáng của người sử dụng vượt quá sự cung cấp của máy chủ
như một cuộc tấn công DoS? Từ các nguồn khác nhau? Có thể
là một cuộc tấn công từ chối dịch vụ phân tán DDoS?
Đó là sự tương quan các sự kiện an ninh. Cảnh báo của SIEM giúp người
quản trị đưa ra cách ứng phó tùy thuộc vào điều kiện.

Cung cấp hoạt động ứng phó
Tất cả các thiết bị cung cấp đầu vào cho SIEM, các quy tắc và bộ lọc sẽ xác
định và phân tích mối quan hệ giữa các thông tin đầu vào đó. Qua đó người quản
trị có thể cấu hình các hành động và thực hiện các phản ứng, ứng phó cho các sự
kiện an ninh hoặc có thể cấu hình riêng biệt cho từng loại sự kiện khác nhau.
Lợi ích việc thực hiện các hoạt động ứng phó là rất tốt, nhưng bên cạnh đó
nó cũng có điều bất lợi. Nếu không cấu hình cẩn thận và chính xác thì nó có thể
đưa ra các hành động ứng phó không cần thiết, các báo động giả (Failse-positives
Events). Hoạt động ứng phó tự động này dễ dàng trở thành con dao hai lưỡi cho hệ
thống.

Đảm bảo an ninh thiết bị đầu cuối
Hầu hết các hệ thống SIEM có thể giám sát an ninh cho các thiết bị đầu cuối
để thông báo sự an toàn của hệ thống. Giải pháp SIEM cung cấp việc quản lý cũng
như đánh giá tài sản các thiết bị. Bên cạnh là việc dò quét lỗ hổng và cập nhật các

bản vá. Nhiều hệ thống SIEM có thể theo dõi các thiết bị như PC, server, Firewall.
Một số hệ thống SIEM thậm chí có thể quản lý an ninh cho thiết bị đầu cuối, có sự
điều chỉnh và hoàn thiện hơn đối với thiết bị an ninh đó trên hệ thống. Như cấu
hình Firewall, cập nhật và theo dõi Anti-Virus, chống spyware, chống spam
email[1].
1.4. Các thành phần của SIEM
Hệ thống SIEM bao gồm nhiều phần, mỗi phần làm một nhiệm vụ riêng biệt.
Mỗi thành phần trong hệ thống này có thể hoạt động độc lập với các thành phần
khác nhưng nếu tất cả không hoạt động cùng một lúc thì sẽ có không có một SIEM
hiệu quả.

16


Tùy thuộc vào hệ thống đang sử dụng mỗi SIEM sẽ có những thành phần cơ
bản. Bằng sự hiểu biết từng phần của SIEM và cách thức hoạt động, người quản trị
có thể quản lý một cách hiệu quả và khắc phục sự cố các vấn đề khi phát sinh.

Hình 1.: Các thành phần của SIEM





1.4.1. Thiết bị nguồn
Thành phần đầu tiên của SIEM là các thiết bị đầu vào cung cấp dữ liệu cho
SIEM. Thiết bị nguồn có thể là một thiết bị thực tế trong hệ thống mạng như
Router, Switch hoặc một số loại máy chủ và cũng có thể là các bản ghi Log từ một
ứng dụng hoặc chỉ là bất kỳ dữ liệu nào khác. Việc biết về những gì có trong hệ
thống là rất quan trọng trong việc triển khai SIEM. Hiểu rõ những nguồn muốn lấy

các bản ghi Log trong giai đoạn đầu sẽ giúp tiết kiệm được công sức, số tiền đáng
kể và giảm sự phức tạp trong triển khai.
Hệ điều hành: Microsoft Windows và các biến thể của Linux và UNIX, AIX, Mac
OS là những hệ điều hành thường hay được sử dụng. Hầu hết các hệ điều hành về
cơ bản công nghệ khác nhau và thực hiện chuyên một nhiệm vụ nào đó nhưng một
trong những điều mà tất cả đều có điểm chung là chúng tạo ra các bản ghi Log.
Các bản ghi Log sẽ cho thấy hệ thống của đã làm gì: Ai là người đăng nhập, làm
những gì trên hệ thống?...Các bản ghi Log được tạo ra bởi một hệ điều hành về hệ
thống và người sử dụng hoạt động sẽ rất hữu ích khi tiến hành ứng phó sự cố an
ninh hoặc chuẩn đoán vấn đề hay chỉ là việc cấu hình sai.
Thiết bị: Muốn tương tác giữa quyền administrator của hệ thống với các thiết bị
hầu hết các quản trị hệ thống không có quyền truy cập từ xa vào hệ thống để thực
hiện một số việc quản lý cơ bản. Nhưng có thể quản lý các thiết bị thông qua một
cổng giao diện đặc biệt. Giao diện này có thể dựa trên web, dòng lệnh hoặc chạy
qua một ứng dụng được tải về máy trạm của quản trị viên. Hệ điều hành các thiết
bị mạng chạy có thể là một hệ điều hành thông thường, chẳng hạn như Microsoft
17






Windows hoặc phiên bản của Linux, nhưng nó cũng có thể được cấu hình theo
cách mà hệ điều hành thông thường. Một ví dụ như một router hoặc switch. Nó
không phụ thuộc vào nhà cung cấp, nên không bao giờ có thể truy cập trực tiếp vào
hệ thống điều hành cơ bản của nó mà chỉ có thể truy cập vào thông qua dòng lệnh
hoặc giao diện web được sử dụng để quản lý. Các thiết bị lưu trữ các bản ghi Log
của chúng trên hệ thống hoặc thường có thể được cấu hình để gửi các bản ghi ra
thông qua SysLog hoặc FTP.

Ứng dụng: Chạy trên các hệ điều hành là những ứng dụng được sử dụng cho một
loạt các chức năng. Trong một hệ thống có thể có hệ thống tên miền (DNS), dịch
vụ cấp phát địa chỉ động (DHCP), máy chủ web, hệ thống thư điện tử và vô số các
ứng dụng khác. Các bản ghi ứng dụng chứa thông tin chi tiết về tình trạng của ứng
dụng, ví dụ như thống kê, sai sót, hoặc thông tin tin nhắn. Một số ứng dụng sinh ra
bản ghi Log sẽ có ích cho người quản trị? Dùng để yêu cầu duy trì, lưu trữ các bản
ghi Log theo sự tuân thủ của pháp luật.
Xác định bản ghi Log cần thiết: Sau khi xác định các thiết bị nguồn trong hệ thống,
người quản trị cần xem xét việc thu thập các bản ghi Log từ các thiết bị nào là cần
thiết và quan trọng cho SIEM. Một số điểm cần chú ý trong việc thu thập các bản
ghi Log như sau:
o Thiết bị nguồn nào được ưu tiên? Dữ liệu nào quan trọng cần phải
o

thu thập
Kích thước bản ghi Log sinh ra trong khoảng thời gian nhất định

o

là bao nhiêu? Những thông tin này dùng để xác định SIEM cần
bao nhiêu tài nguyên cho chúng, đặc biệt là không gian lưu trữ.
Tốc độ các thiết bị nguồn này sinh ra bản ghi Log là bao lâu?

o

Thông tin này kết hợp với kích thước bản ghi Log để lựa chọn
việc sử dụng đường truyền mạng khi thu thập các bản ghi.
Cách thức liên kết giữa các thiết bị nguồn với SIEM?

o


Có cần các bàn ghi Log theo thời gian thực hay thiết lập quá trình

thực hiện tại một thời điểm cụ thể trong ngày.
Các thông tin trên rất có ích trong việc xác định nguồn thiết bị cần thiết cho
SIEM. Chúng có quá nhiều nhưng nó là cần thiết để xác định chính xác hơn điều gì
là cần thiết cho SIEM. Số lượng người sử dụng, lịch bảo trì hệ thống và nhiều yếu
tố khác có thể tác động đáng kể đến số lượng các bản ghi Log được tạo ra mỗi
ngày.
18


1.4.2. Thu thập Log
Thành phần tiếp theo trong sơ đồ là thành phần thu thập Log. Cơ chế thu
thập các bản ghi Log phụ thuộc vào từng thiết bị nhưng cơ bản có hai phương thức
như sau: Push Log và Pull Log.

Push Log: Các bản ghi Log sẽ được các thiết bị nguồn gửi về SIEM
Phương pháp này có lợi ích: Dễ dàng cài đặt và cấu hình. Thông thường, chỉ
cần thiết lập một bộ tiếp nhận và sau đó kết nối thiết bị nguồn đến bộ phận tiếp
nhận này. Ví dụ như SysLog, khi cấu hình thiết bị nguồn sử dụng SysLog, người
quản trị có thể thiết lập địa chỉ IP hoặc DNS tên của một máy chủ SysLog trên
mạng và thiết bị sẽ tự động gửi các bản ghi của nó thông qua SysLog. Tuy nhiên
phương pháp nay cũng còn một số nhược điểm.
Ví dụ, sử dụng SysLog trong môi trường UDP. Bản chất của việc sử dụng
SysLog trong môi trường UDP có thể là không đảm bảo rằng các gói tin đến đích,
vì UDP là một giao thức không hướng kết nối. Nếu một tình huống xảy ra trên
mạng chẳng hạn như khi một loại virus mạnh trên mạng, người quản trị có thể
không nhận được gói tin SysLog. Một vấn đề có thể phát sinh là nếu không đặt
quyền điều khiển truy cập thích hợp trên máy thu nhận các bản ghi Log thì khi cấu

hình sai hoặc có phần mềm độc hại có thể làm tràn ngập các thông tin sai lệch.
Điều đó làm cho các sự kiện an ninh khó được phát hiện.
Nếu là một cuộc tấn công có chủ ý nhằm chống lại SIEM thì một kẻ xấu có
thể làm sai lệch các thông tin và và thêm các dữ liệu rác vào SIEM. Do vậy sự hiểu
biết về các thiết bị gửi các bản ghi Log cho SIEM là điều rất quan trọng

Pull Log: Các bản ghi Log sẽ được SIEM lấy về
Không giống như phương pháp Push Log, trong đó thiết bị nguồn gửi các
bản ghi Log cho SIEM mà không cần bất kỳ sự tương tác từ SIEM. Pull Log đòi
hỏi SIEM bắt đầu kết nối với các thiết bị nguồn và chủ động lấy các bản ghi từ các
thiết bị nguồn đó bằng một phần mềm được cài đặt trên các thiết bị an ninh. Một ví
dụ nếu các bản ghi Log được lưu trữ trong tập tin văn bản chia sẻ trên một mạng.
SIEM sẽ thiết lập một kết nối lấy các thông tin được lưu trữ và đọc các file bản ghi
từ các thiết bị nguồn.
Đối với phương pháp Push Log, các bản ghi Log của thiết bị nguồn thường
gửi các bản ghi đến SIEM ngay sau khi nó được tạo ra. Nhưng với phương pháp
Pull Log thì một kết nối sẽ được tạo ra để SIEM tiếp cận với các thiết bị nguồn và
kéo các bản ghi Log từ các thiết bị nguồn về. Chu kỳ của việc kết nối để lấy các
19


bản ghi Log của Pull Log có thể là vài giây hoặc theo giờ. Khoảng thời gian này có
thể cấu hình theo tùy chọn hoặc để cấu hình mặc định cho SIEM. Điều này cũng
cần tính toán về chu kỳ thời gian đẩy các bản ghi về SIEM vì nếu không sẽ dẫn tới
việc tràn và nghẽn của hệ thống SIEM khi quá nhiều các thiết bị nguồn cùng đẩy
bản ghi Log về.
Chính sách thu thập thông tin: Có thể thiết lập một chính sách ưu tiên và thu
thập để lọc và củng cố các thông tin sự kiện an ninh trước khi gửi đến hệ thống. Kỹ
thuật này cho phép người quản trị để điều tiết sự kiện an ninh và quản lý những
thông tin, nếu không sẽ rất nhiều các sự kiện an ninh trong hệ thống mạng làm cho

người quản trị lúng túng không biết bắt đầu từ đâu.
1.4.3. Phân tích, chuẩn hóa Log
Vô số các bản ghi Log được gửi từ các thiết bị và ứng dụng trong môi
trường đến SIEM. Tại thời điểm này, tất cả các bản ghi đang ở định dạng gốc ban
đầu, do đó người quản trị không thực hiện được bất cứ điều gì ngoại trừ lưu nó vào
một nơi nào đó. Hệ thống SIEM thu thập các bản ghi Log từ rất nhiều các thiết bị
khác nhau, việc truyền các bản ghi log từ các thiết bị nguồn tới SIEM cần được
giữ bí mật, xác thực và tin cậy bằng việc sử dụng Syslog hoặc các giao thức
SNMP, OPSEC, SFTP.
Nhưng để các bản ghi Log hữu ích trong SIEM cần định dạng lại chúng sang
một định dạng chuẩn duy nhất. Việc thay đổi tất cả các loại bản ghi Log khác nhau
thành các bản ghi có cùng một định dạng duy nhất được gọi là chuẩn hóa. Nếu các
thiết bị không hỗ trợ các giao thức này cần phải sử dụng các Agent. Đó là một điều
cần thực hiện để thực hiện việc lấy các bản ghi log có định dạng mà SIEM có thể
hiểu được. Việc cài đặt các Agent có thể kéo dài quá trình triển khai SIEM nhưng
người quản trị sẽ có những bản ghi log theo dạng chuẩn mong muốn.

20


Hình 1.: Chuẩn hóa Log
Mục đích của việc thu thập thông tin là để nắm bắt và chuẩn hóa các thông
tin từ các thiết bị an ninh khác nhau và cung cấp các thông tin đó cho hệ thống để
phân tích tiếp. Chức năng nay rất quan trọng vì dữ liệu có định dạng khác nhau từ
các thiết bị khác nhau và các nhà cung cấp khác nhau.
Ví dụ như hình 1.2 hai hệ thống này, một hệ thống Windows Event Log và
một ASA Cisco. Cả hai cho thấy cùng một người đăng nhập vào thiết bị. Cách
đăng nhập của mỗi nhà cung cấp là khác nhau. Nên cần phải hiểu định dạng và chi
tiết có trong sự kiện đó. Do việc chuẩn hóa Log là rất cần thiết.
1.4.4. Kỹ thuật tương quan sự kiện

Các quy luật cho phép mở rộng việc chuẩn hóa các bản ghi các sự kiện an
ninh từ các nguồn khác nhau trong việc kích hoạt cảnh báo trong SIEM. Cách viết
các quy luật trong SIEM bắt đầu thường khá đơn giản, nhưng có thể trở nên cực kỳ
phức tạp. Người quản trị thường viết các quy tắc sử dụng một biểu thức Boolean
Logic để xác định điều kiện cụ thể được đáp ứng và kiểm tra xem có phù hợp trong
các dữ liệu.
Tương quan là một tập hợp các quy tắc. Tương quan sự kiện an ninh giúp
liên kết các sự kiện an ninh từ các nguồn khác nhau thành một sự kiện an ninh
chính xác. Tương quan các sự kiện an ninh được thực hiện nhằm đơn giản hóa các
thủ tục ứng phó sự cố cho cho hệ thống, bằng việc thể hiện một sự cố duy hất được
liên hệ từ nhiều sự kiện an ninh đến từ các thiết bị nguồn khác nhau.
Thông thường có hai kiểu tương quan sự kiện là dựa trên các quy tắc kiến
thức đã biết (Rule- based) và dựa trên phương pháp thống kê (Statistical-based):
21


Rule - based
Là phương pháp tương quan sự kiện dựa trên các quy tắc và kiến thức đã biết
về các cuộc tấn công. Các kiến thức đã biết về các cuộc tấn công được sử dụng để
liên kết các sự kiện lại với nhau và phân tích trong một bối cảnh chung. Các quy tắc
được xây dựng vào các mẫu xác định và do các nhà cung cấp phát triển hoặc người
quản trị có thể tự xây dựng, phát triển và bổ sung vào hệ thống theo thời gian và
kinh nghiệm tích lũy.

Statistical - based
Phương thức tương quan không sử dụng bất kỳ kiến thức của các hoạt động
cho là nguy hiểm đã biết trước đó. Nhưng thay vì dựa vào những kiến thức của các
hoạt động bình thường đã được công nhận và tích lũy theo thời gian. Các sự kiện
đang diễn ra được đánh giá bởi một thuật toán và có thể được so sánh với mẫu bình
thường để phân biệt hành vi bình thường và hành vi bất thường. Hệ thống phân

tích các sự kiện an ninh trong một khoảng thời gian và sử dụng trọng số để đánh
giá tài sản, hệ thống. Các giá trị trọng này sau đó được phân tích để xác định nguy
cơ kiểu tấn công này xảy ra. Các hệ thống này cũng thiết lập mức độ hoạt động
mạng bình thường và tìm kiếm sai lệch so với những mẫu có hành vi bình thường
có thể chỉ ra một cuộc tấn công.
Nếu nhìn vào ví dụ trong hình 1.3, có thể thấy được nhiều sự kiện an ninh
đăng nhập vào SIEM trong khoảng thời gian 10 giây. Nhìn vào điều này có thể
nhìn thấy các sự kiện đăng nhập thất bại và đăng nhập thành công từ nhiều địa chỉ
đến để một số địa chỉ đích. Nếu nhìn kỹ, có thể thấy một một địa chỉ nguồn duy
nhất đăng nhập vào nhiều địa chỉ đích nhiều lần, và sau đó đột ngột thấy một đăng
nhập thành công. Điều này có thể là một cuộc tấn công Brute-Force với máy chủ.


Hình 1.: Các Log được thu thập trong vòng 10 giây
22


Mở rộng theo ví dụ này và thay vì chỉ 10 sự kiện an ninh trong một khoảng
thời gian 10 giây, hệ thống có 1000 sự kiện an ninh trong 10 giây. Hãy chọn ra
những sự kiện an ninh từ tất cả, trong hệ thống có thể hiển thị một sự kiện an ninh
nguy cơ nguy hại là điều cực kỳ khó khăn. Nên cần một cách để loại bỏ tất cả các
thông tin sự kiện an ninh không liên quan trong các bản ghi Log và chỉ ần theo dõi
các thông tin sự kiện an ninh mà có thể chỉ ra một nguy hại qua nhiều sự kiện an
ninh.
1.4.5. Lưu trữ Log
Với các bản ghi Log gửi tới SIEM cần một cách để lưu trữ chúng để phục vụ
các mục đích lưu giữ và truy vấn sau này. Có ba cách mà có thể lưu trữ các bản ghi
trong SIEM là: Dùng một cơ sở dữ liệu, file Text và dưới dạng file nhị phân.

Cơ sở dữ liệu

Lưu trữ các bản ghi Log trong cơ sở dữ liệu là cách lưu trữ các bản ghi Log
hay được dùng nhất trong SIEM. Cơ sở dữ liệu thường là một nền tảng cơ sở dữ
liệu chuẩn như Oracle, MySQL, Microsoft SQL hoặc một trong các ứng dụng cơ
sở dữ liệu lớn khác đang được sử dụng trong doanh nghiệp.
Phương pháp này cho phép khá dễ dàng tương tác với dữ liệu vì các truy vấn
cơ sở dữ liệu là một phần của ứng dụng cơ sở dữ liệu. Hiệu suất cũng khá tốt khi
truy cập vào các bản ghi Log trong cơ sở dữ liệu, phụ thuộc vào phần cứng cơ sở
dữ liệu đang chạy, nhưng các ứng dụng cơ sở dữ liệu phải được tối ưu hóa để chạy
với SIEM.
Sử dụng cơ sở dữ liệu là một giải pháp tốt cho việc lưu trữ nhật ký, nhưng
một số vấn đề có thể phát sinh tùy thuộc vào cách SIEM triển khai cơ sở dữ liệu
tương ứng với nó. Nếu SIEM là một thiết bị thường không có nhiều sự tương tác
với cơ sở dữ liệu, do đó việc cung cấp và bảo trì thường không phải là một vấn đề.
Nhưng nếu SIEM đang chạy trên phần cứng riêng thì việc quản lý cơ sở dữ liệu
cho mình cũng là vấn đề lớn. Điều này có thể là khó khăn nếu hệ thống không có
một DBA.

Lưu trữ dưới dạng file text
Một tập tin văn bản chuẩn để lưu trữ các thông tin trong một định dạng có thể
đọc được. Các thông tin cần phải có một ranh giới phân cách có thể là dấu phẩy,
khoảng cách tab hoặc một số kí hiệu khác. Vì vậy thông tin có thể được phân tích
và đọc đúng. Phương pháp lưu trữ này không được sử dụng thường xuyên. Hành

23


động viết và đọc từ tập tin văn bản dường như chậm hơn so với các phương pháp
khác.
Thật sự không có nhiều lợi ích khi sử dụng một tập tin text để lưu trữ dữ
liệu, nhưng nó dễ dàng cho các ứng dụng bên ngoài để truy cập dữ liệu này. Nếu

các bản ghi Log được lưu trữ trong một tập tin văn bản, thì sẽ không khó khăn khi
viết mã để mở các tập tin và lấy thông tin để cung cấp cho cho một ứng dụng khác.
Một lợi ích khác là khi tập tin văn bản con người có thể đọc được và dễ dàng để
nhà phân tích tìm kiếm và hiểu nó.

Lưu trữ dưới dạng nhị phân
Định dạng tập tin nhị phân là sử dụng một tập tin với định dạng tùy chỉnh để
lưu trữ thông tin duới dạng nhị phân. SIEM biết làm thế nào để đọc và ghi vào
những file này.
1.4.6. Theo dõi và giám sát
Giai đoạn cuối cùng là phương pháp tương tác với các bản ghi được lưu trữ
trong SIEM. Một khi đã có tất cả các bản ghi trong SIEM và các sự kiện an ninh đã
được xử lý, điều cần làm tiếp theo là như thế nào để sử dụng hữu ích với các thông
tin từ các bản ghi Log khác nhau. Hệ thống SIEM cung cấp giao diện điều khiển
dựa trên web hoặc ứng dụng tải về máy trạm. Cả hai giao diện sẽ cho phép tương
tác với các dữ liệu được lưu trữ trong SIEM. Giao diện điều khiển này cũng được
sử dụng để quản lý SIEM.
SIEM cung cấp ba cách để thông báo tới các quản trị viên một cuộc tấn công
hay một hành vi bất thường đang xảy ra. Thứ nhất, SIEM có thể đưa ra một cảnh
báo ngay khi có điều chúng nhận ra là bất thường. Thứ hai, SIEM sẽ gửi một thông
báo vào một thời điểm được xác định trước của cuộc tấn công và thứ ba là các
quản trị viên theo dõi giám sát SIEM theo thời gian thực thông qua một giao diện
web.
Giao diện ứng dụng này cho phép xử lý sự cố hoặc cung cấp cái nhìn tổng
quan về môi trường của hệ thống. Bình thường, khi muốn xem các thông tin hoặc
xử lý sự cố thì các kỹ sư sẽ phải đi đến các thiết bị khác nhau và xem các bản ghi
Log trong định dạng gốc của nó. Nhưng với SIEM sẽ đơn giản và tiện lợi hơn
nhiều. Nó có thể xử lý tại một nơi duy nhất, phân tích tất cả các bản ghi Log khác
nhau dễ dàng bởi vì SIEM đã chuẩn hóa các thông tin dữ liệu đó.
Trong quản lý và giám sát giao diện điều khiển của SIEM, người quản trị có

thể phát triển nội dung và quy định được sử dụng để tìm ra thông tin từ các sự kiện
24


an ninh được xử lý. Giao diện điều khiển này là một cách để giao tiếp với các dữ
liệu được lưu trữ trong SIEM.
1.5. Kết luận
Chương này, đồ án đã giới thiệu tình hình giám sát an ninh mạng tại một số
nước trên thế giới và Việt Nam. Đồng thời tổng quan về các giải pháp giám sát an
ninh mạng đang được sử dụng hiện nay, và mô tả các dịch vụ của SIEM. Chương 2
sẽ giới thiệu các thành phần cấu tạo nên một hệ thống giám sát và các giải pháp
triển khai giám sát an ninh mạng của IBM Qradar SIEM.

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×