TÌM HIỂU VỀ GIÁM SÁT AN TỒN MẠNG
(Security Information
And Event Management –SIEM)

Lê Văn Thắng
Hồng Thi Thêu
Ngơ Quang Thiên

1
2
3
1


Mục lục

0
Tổng1
quan
về SIEM
0
Cách
thức
3
hoạt động

0
Thành
2phần
04
Tổng kết

2


Introduction to SIEM
 Security Information and Event Management (SIEM)
được đưa ra bởi Mark Nicollet và Amrit William của
Gartner vào năm 2005. Họ đã đề xuất hệ thống bảo mật
này dựa trên cơ sở của 2 thế hệ bảo mật trước.
 SIEM là sự kết hợp giữa quản lý thông tin bảo mật
(SIM) và quản lý sự kiện bảo mật (SEM).

3


Sơ lược về SIM, SEM và SIEM
 Giải pháp SIM: tập trung vào việc thu thập, lưu trữ và
biểu diễn nhật ký, nhưng chỉ xử lý được các biến cố đơn
giản
 Giải pháp SEM: tập trung vào việc phân tích và xử lý
các nhật ký đã được thu thập nhưng khơng có khả năng
lưu trữ trong thời gian dài
 Giải pháp SIEM: SIEM ra đời, là sự kết hợp của cả 2
giải pháp SIM và SEM.

4


01
Tổng quan
về SIEM



1.1 SIEM là gì ?
SIEM được hiểu là Security Information and
Event Management. SIEM là hệ thống được
thiết kế nhằm thu thập thơng tin nhật kí, những
sự kiện an ninh từ thiết bị đầu cuối và tập hợp
chúng lại thành 1 giao diện duy nhất. Ngồi ra,
SIEM cịn giúp phát hiện tấn công mà không
thể phát hiện ở các giải pháp thông thường
(IDS/IPS, Firewall…)
6


1.2 Chức năng của SIEM

Quản lý tập trung

01
02

Xử lý sự cố hiệu
quả

Giám sát an ninh
mạng

03
7



1.2 Chức năng của SIEM (tiếp)
Hệ thống SIEM có 3 chức năng chính sau:
 Quản lý tập trung: Thu thập vào lưu trữ tập trung vào nhật
kiện từ tất cả các thiết bị trên 1 giao diện giúp quản trị viên có
được cái nhìn tồn diện về những gì đang xảy ra trong hệ
thống.
 Giám sát an toàn mạng: Phân tích thơng tin qua các thuật,
dự đốn các sự cố bảo mật giúp các bộ phận liên quan chủ
động hơn trong công việc.
 Xử lý sự cố hiêu quả: Đưa ra cảnh báo khi có xâm nhập trái
phép để kịp thời xử lý và khắc phuc sự cố nhanh nhất.
8


1.3 Đặc điểm của SIEM
Bảo mật dữ liệu
Phân tích
chuyên sâu
theo realtime

Tính khả
dụng cao

Tính tồn
vẹn dữ liệu
9


02

Thành
phần

Thu thập nhật kí ATTT
1
Phân tích và lưu trữ
2

Quản trị tập trung
3
10


2.1 Thu thập nhật ký ATTT
Bao gồm các giao diện thu thập nhật ký ATTT trực
tiếp từ các thiết bị dịch vụ , ứng dụng.Thành
phần này có tính năng:
 Thu thập tồn bộ dữ liệu nhật ký
 Kiểm sốt băng thông và không gian lưu trữ
 Phân tách từng sự kiện và chuẩn hóa vào 1
lược đồ chung
 Tích hợp các sự kiện để giảm thiểu số lượng
 Chuyển toàn bộ sự kiện đã thu thập về thành
phân tích và lưu trữ
11


2.2 Phân tích và lưu trữ
Phân tích và lưu trữ kết nối với các thành phần thu thập nhật
ký để tập hợp nhật ký tập trung và tiến hành phân tích và so

sánh tương quan.
 Mơđun phân tích sẽ được hỗ trợ bởi các luật cũng
như khả năng tùy biến để đưa ra kết quả chính xác nhất.
 Các nhật ký ATTT được phân tích và so sánh tương quan
dựa theo thời gian thực (real-time).
 Cho phép phân tích các dữ liệu trong quá khứ.
 Nâng cao khả năng lưu trữ và xây dựng kế hoạch phòng,
chống mất dữ liệu.
12


2.3 Quản trị tập trung
Quản trị tập trung cung cấp giao diện quản trị tập trung
cho hệ thống GSANM. Các giao diện được phân quyền
theo vai trò của người quản trị. Người quản trị sẽ được
hỗ trợ sẵn hàng nghìn mẫu báo cáo, các giao diện theo
dõi, điều kiện lọc…
Ngoài ra, cơng cụ này cịn cho phép tùy biến, thay đổi
hay tạo mới các báo cáo một cách dễ dàng. Bên cạnh đó,
Quản trị tập trung cho phép người quản trị tạo lập các
công cụ mới phù hợp với hệ thống của mình.

13


2.3 Quản trị tập trung (Tiếp)
Hỗ trợ các công cụ cho việc xử lý các sự kiện ATTT xảy ra
trong hệ thống:
 Mỗi bộ phận đều có chức năng và nhiệm vụ riêng biệt. Khi
kết hợp hoạt động cùng lúc sẽ tạo nên giải pháp SIEM hoàn

chỉnh, làm việc hiệu quả.
 Do tính vượt trội của giải pháp SIEM, nên hiện nay thị
trường các sản phẩm về GSANM hầu hết phát triển theo mơ
hình SIEM. Các sản phẩm cũng rất đa dạng, có thể dưới dạng
phần mềm hoặc thiết bị chuyên dụng, với 1 số sản phẩm tiêu
biểu có thể kể đến như: IBM Qrada, Hp ArcSight, Splunk,
McAfee, Symantec, SSIM, RSA Envision…
14


03
Cách thức hoạt
động


3.1 Cách hoạt động của SIEM
Khả năng hiển thị

Phát hiện mối đe
dọa

Điều tra an ninh
mạng

Phản ứng trước sự
cố

16



3.2 Khả năng hiển thị
SIEM có thể tương quan dữ liệu trên tồn bộ bề mặt tấn cơng
của tổ chức, từ người dùng, điểm cuối và dữ liệu mạng đến
nhật ký tường lửa cho đến các sự kiện của antivirus. Dù tại
chỗ hay trên đám mây, chúng đều cung cấp chế độ xem dữ
liệu này trong một màn hình duy nhất. Hỡn nữa, chế độ xem
tổng hợp do SIEM cung cấp có thể giảm mức độ phức tạp của
cơng cụ mà các nhóm SOC đang chống lại. SIEM cịn có khả
năng phát hiện mối đe dọa bằng cách thu thập dữ liệu mạng
và cấp hệ thống đáng ngờ thành các cảnh cáo bảo mật toàn
diện.
17


3.3 Phát hiện mối đe dọa
Sau khi các nhóm có dữ liệu của họ ở một nơi, họ sẽ dễ
dàng phát hiện ra hoạt động độc hại và các mẫu bất
thường hơn. SIEM có thể phát hiện mối đe dọa không
xác định và khai thác high-profile. Chẳng hạn như
những kẻ nhắm mục tiêu đến SolarWinds Orion hoặc
Microsoft EXchange, những kẻ tấn công này đã tinh vi
hơn trong các kĩ thuật. Lúc này SIEM có thể hỗ trợ các
nhóm SOC phát hiện những thay đổi nhỏ trong hành vi
của mạng, người dùng và hệ thống.
18


3.4 Điều tra an ninh mạng
Khi phát hiện mối đe dọa, SIEM có thể tận dụng
các cuộc điều tra tự động và làm phong phú dữ liệu

để điều tra thêm. Các chức năng này giúp làm giảm
bớt các công việc thủ cơng được thực hiện bởi các
nhà phân tích. Chẳng hạn như có 1 tổ chức đã cắt
điều tra từ 3h xuống chỉ còn 3 phút với sự giúp đỡ
của AI để xác định dương tính giả. Do đó, việc điều
tra mối đe dọa hiệu quả là vô cùng quan trọng.

19


3.5 Phản ứng trược sự cố
Khi SIEM phát hiện ra mối đe dọa tiềm ẩn, SIEM sẽ cung
cấp dữ liệu sự kiện đó trong thời gian thực cho nhóm SOC để
điều tra thêm. Các cảnh báo , sự kiện đáng ngờ hoặc sự cố do
SIEM phát hiện ra có thể kích hoạt các cuộc điều tra theo
cách thủ cơng hoặc theo tự động hóa. Thơng thường, các
nhóm phản hồi sử dụng dữ liệu từ SIEM để điều tra sự cố
như 1 phần của quy trình được xác định trong playbooks và
cơng cụ SOAR. Do đó, các đội có thể chuyển thế trận an
ninh của mình từ phản ứng sang chủ động.

20


Tổng kết
Qua bài thuyết trình trên, chúng ta
đã hiểu hơn về SIEM, về tầm
quan trọng và những lợi ích của nó
mang lại. Sau đây sẽ đến phần
demo của nhóm.


INTERESTED

KNOW MORE

21


THANKS
22


?

CAN YOU TELL US QUESTION ABOUT
THE PRESENTATION?

23