TÀI LIỆU BỒI DƯỠNG HỌC SINH GIỎI LÝ LUẬN VĂN HỌC NĂM HỌC 2023-2024 - MÔN NGỮ ...
Đề tài: Tìm hiểu và triển khai công nghệ quản lý thông tin và sự kiện an ninh
1. ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
TÌM HIỂU VÀ TRIỂN KHAI CÔNG NGHỆ QUẢN
LÝ THÔNG TIN VÀ SỰ KIỆN AN NINH
KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Công Nghệ Thông Tin
HÀ NỘI - 2013
2. ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
TÌM HIỂU VÀ TRIỂN KHAI CÔNG NGHỆ QUẢN
LÝ THÔNG TIN VÀ SỰ KIỆN AN NINH
KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Công Nghệ Thông Tin
Cán bộ hướng dẫn:
HÀ NỘI - 2013
3. VIETNAM NATIONAL UNIVERSITY, HANOI
UNIVERSITY OF ENGINEERING AND TECHNOLOGY
<THESIS TITLE>
(Upper case, bold, 18pt, centered)
Major: FACULTY OF INFORMATION TECHNOLOGY
Supervisor: DOAN MINH PHUONG
HA NOI - 2013
4. iv
TÓM TẮT
Tóm tắt: Cùng với sự phát triển của xã hội, việc ứng dụng Công nghệ thông tin vào đời
sống và làm việc ngày càng được phát triển và nâng cao hiệu quả. Vấn đề An ninh thông
tin nói chung và an ninh mạng nói riêng đang là vấn đề được quan tâm không chỉ ở Việt
Nam mà trên toàn thế giới.
Trong lĩnh vực an ninh mạng, phát hiện và phòng chống tấn công xâm nhập cho
các mạng máy tính là một đề tài hay, thu hút được sự chú ý của nhiều nhà nghiên cứu
với nhiều hướng nghiên cứu trong và ngoài nước khác nhau. Chính vì vậy em đã lựa
chọn đề tài “Tìm hiểu và triển khai giải pháp Quản lý thông tin và sự kiện an ninh” được
viết tắt là SIEM (Security Information and Event Management). SIEM là một giải mới
cung cấp cái nhìn tổng thể về hệ thống, quét các lỗ hổng, đánh giá tổn thương, thu thập
dữ liệu sau đó phân tích liên kết các sự kiện an ninh đưa ra cảnh báo và báo cáo đáp ứng
với chuẩn quốc tế. Với mong muốn tìm hiểu cũng như triển khai trên thực tế một giải
pháp công nghệ mới đang là xu thế ứng dụng đảm bảo an ninh cho hệ thống mạng trên
thế giới. Trong quá trình tìm hiểu, nghiên cứu và triển khai, khóa luận đã chứng minh
được vai trò, cũng như ưu điểm của SIEM trong việc đảm bảo an ninh cho hệ thống.
Từ khóa: SIEM, Security information and event management.
6. SUPERVISOR’S APPROVAL
“I hereby approve that the thesis in its current form is ready for committee examination
as a requirement for the Bachelor of Information Systems degree at the University of
Engineering and Technology.”
Signature:………………………………………………
7. MỤC LỤC
TÓM TẮT................................................................................................................iv
ABSTRACT..............................................................................................................v
MỤC LỤC................................................................................................................ ii
LỜI CẢM ƠN..........................................................................................................iv
DANH MỤC CÁC HÌNH........................................................................................v
DANH MỤC CÁC BẢNG ......................................................................................vi
DANH MỤC CÁC TỪ VIẾT TẮT..........................................................................i
MỞ ĐẦU ...................................................................................................................1
TỔNG QUAN VỀ SIEM .........................................................................................2
1.1. Tổng quan về SIEM.........................................................................................2
1.1.1. Quản lý nhật ký sự kiện an ninh................................................................4
1.1.2. Tuân thủ các quy định về CNTT ...............................................................4
1.1.3. Tương quan liên kết các sự kiện an ninh ..................................................4
1.1.4. Cung cấp các hoạt động ứng phó .............................................................5
1.1.5. Đảm bảo an ninh thiết bị đầu cuối............................................................6
1.2. Ưu điểm của SIEM..........................................................................................7
THÀNH PHẦN CỦA SIEM....................................................................................9
2.1. Thiết bị nguồn................................................................................................10
2.2. Thu thập Log .................................................................................................12
2.2.1. Push Log .................................................................................................12
2.2.2. Pull Log...................................................................................................12
2.3. Phân tích, chuẩn hóa Log ..............................................................................14
2.4. Kỹ thuật tương quan sự kiện an ninh.............................................................15
2.5. Lưu trữ Log ...................................................................................................16
2.6. Theo dõi và giám sát......................................................................................18
8. iii
HOẠT ĐỘNG CỦA SIEM....................................................................................19
3.1. Thu thập thông tin .........................................................................................20
3.2. Chuẩn hóa và tổng hợp sự kiện an ninh ........................................................22
3.3. Tương quan sự kiện an ninh ..........................................................................23
3.4. Cảnh báo và báo cáo......................................................................................25
3.5. Lưu trữ...........................................................................................................26
THỰC NGHIỆM, KẾT QUẢ ...............................................................................27
4.1. Một số công cụ triển khai SIEM....................................................................28
4.1.1. AlienVault OSSIM...................................................................................28
4.1.2. Q1 Labs Qradar......................................................................................29
4.1.3. MARS ......................................................................................................30
4.2. Triển khai SIEM với AlienVault OSSIM......................................................31
4.2.1. Phương pháp thu thập thông tin .............................................................31
4.2.2. Một số công cụ mã nguồn mở trong AlienVault OSSIM.........................31
4.2.3. Tương quan sự kiện an ninh trong AlienVault OSSIM ...........................33
4.2.4. Đánh giá rủi ro .......................................................................................33
4.2.5. Các hành động ứng phó sự cố an ninh ...................................................34
4.2.6. Báo cáo trong AlienVault OSSIM...........................................................35
4.3. Thực nghiệm kết quả với AlienVault OSSIM...............................................36
4.3.1. Lab 1 .......................................................................................................36
4.3.2. Lab 2 .......................................................................................................36
4.3.3. Lab 3 .......................................................................................................36
KẾT LUẬN.............................................................................................................37
TÀI LIỆU THAM KHẢO .....................................................................................38
Phụ lục A.................................................................................................................40
9. iv
LỜI CẢM ƠN
Lời đầu tiên em xin chân thành cảm ơn đến thầy cô trường Đại học Công Nghệ-
ĐHQGHN đã tận tình chỉ bảo và truyền đạt kiến thức cho chúng em trong suốt các
năm học qua. Đặc biệt là các thầy trong bộ môn đã hết lòng trực tiếp hướng dẫn,
quan tâm và dạy dỗ, truyền đạt nhiều kinh nghiệm cũng như cho em nhiều ý kiến,
kiến thức quý báu trong suốt quá trình chuẩn bị, thực hiện và hoàn thành khóa luận
tốt nghiệp này.
Tôi xin cảm ơn các bạn sinh viên K55 trường Đại học Công Nghệ - Đại học
Quốc Gia Hà Nội, đặc biệt là các bạn sinh viên lớp K55C-CLC và K55CB đã đoàn
kết, giúp đỡ cùng tôi tham gia theo học các môn học bổ ích và thú vị trong chương
trình đại học.
Với kiến thức còn hạn hẹp, khả năng áp dụng kiến thức vào thực tiễn chưa
được tốt. Do đó trong quá trình xây dựng bài khóa luận không tránh khỏi những sai
sót và những hạn chế. Em rất mong nhận được những đóng góp, ý kiến của quý thầy
cô để em hoàn chỉnh kiến thức của mình.
Cuối cùng em xin chúc quý Thầy Cô và toàn thể cán bộ trong trường Đại học
Công Nghệ - ĐHQGHN dồi dào sức khỏe và thành công trong công việc.
Em xin chân thành cảm ơn!
Hà Nội, tháng 05 năm 2013.
10. v
DANH MỤC CÁC HÌNH
Figure 2-1 – UET Logo..................................... Error! Bookmark not defined.
Figure 2-2 – University of Engineering and Technology: (a) Logo of UET (b) Front view
of UET Headquater..................................................... Error! Bookmark not defined.
11. DANH MỤC CÁC BẢNG
Table 2.1 – Average day of a UET graduate student.Error! Bookmark not defined.
12. DANH MỤC CÁC TỪ VIẾT TẮT
SIEM Security Information and Event Management
IDS Bit Error Rate
IPS Fast Fourier Transform
LOG Signal to Noise Ratio
Guidelines:
Put them in alphabetical order. Note that in the main text of the thesis, the first
time you introduce an abbreviation, it must be given in full. For example:
Fast Fourier transform (FFT) was developed by Cooley and Tuckey in 1965.
And even an abbreviation has been introduced earlier, you still need to re-provide
the full text when you give a definition about it.
13. 1
MỞ ĐẦU
An toàn an ninh mạng cho một hệ thống đang là một nhu cầu cần thiết cho các tổ
chức. Các cuộc tấn công ngày càng trở lên phức tạp tinh vi hơn. Một hệ thống mạng
hàng ngày tạo ra một lượng lớn dữ liệu bản ghi log từ các thiết bị và ứng dụng khác
nhau. Việc thu thập phân tích các bản ghi log ngày càng trở lên phức tạp và khó khăn
hơn. Đã có nhiều đề tài nghiên cứu và các giải pháp nhằm phát hiện, ngăn chặn và đưa
ra cảnh báo về các sự kiện an ninh trong hệ thống như các thiết bị IDS, IPS. Mỗi thiết
bị đều có những ưu điểm và lợi ích riêng giúp chúng ta đảm bảo phần nào nhu cầu an
ninh cho hệ thống. Song hầu hết các thiết bị này hoạt động một cách riêng lẻ, việc quản
lý tập trung, xử lý các dữ liệu, phân tích các thông tin và quản lý sự kiện an ninh trong
hệ thống là không có. SIEM là một giải pháp có thể giúp các tổ chức giải quyết các vấn
đề trên và làm giảm nguy cơ hệ thống bị tấn công xâm nhập. SIEM giúp chúng ta quản
lý các thiết bị, dò quét các lổ hổng trong hệ thống, thu thập các dữ liệu từ các thiết bị và
các ứng dụng khác nhau, dữ liệu sau đó được chuẩn hóa sang một định dạng chuẩn riêng,
phân tích tương quan các thông tin sự kiện an ninh với nhau theo ngữ cảnh và cảnh báo
cho các quản trị viên cảnh báo trong trường hợp bị tấn công. Bên cạnh đó SIEM đáp
ứng các tuân thủ về hoạt động công nghệ thông tin và cung cấp sẵn các báo cáo theo
đúng chuẩn quốc tế quy định về an toàn thông tin.
Phần tiếp theo của khóa luận được tổ chức như sau:
Chương 1: Tổng quan về SIEM. Trong chương này sẽ giới thiệu một cách tổng
quan về SIEM. Nhằm cung cấp cái nhìn sơ lược về SIEM và những ưu điểm của SIEM.
Chương 2: Thành phần của SIEM. Chương này cung cấp thông tin về thành phần
của SIEM.
Chương 3: Hoạt động của SIEM. Sau khi đã biết về thành phần của SIEM gồm
những thành phần nào ở chương trước thì chương này cung cấp các thông tin về cách
mà SIEM hoạt động. Giúp hiểu thêm về công nghệ SIEM.
Chương 4: Thực nghiệm kết quả. Trong chương này, em tiến hành tìm hiểu một số
công cụ triển khai SIEM và lựa chọn một công cụ triển khai thực tế nhằm thể hiện rõ
hơn lợi ích của công nghệ SIEM.
Chương 5: Kết luận. Chương này tổng…………..
14. 2
Chương 1
TỔNG QUAN VỀ SIEM
1.1. Tổng quan về SIEM
Sự phát triển của hệ thống mạng ngày càng phát triển, một số nhu cầu đặt ra như:
Làm sao để quản lý rất nhiều các thiết bị, việc quản lý thông tin và sự kiện an ninh trong
hệ thống vận hành tốt và an toàn? Đó là câu hỏi mà các nhà nghiên cứu hay các quản trị
viên an ninh mạng đang đi tìm câu trả lời sao cho tối ưu nhất. Đã có rất nhiều các thiết
bị IDS, IPS ra đời nhằm trả lời điều đó. Nhưng hầu hết các thiết bị này đều hoạt động
riêng lẻ, quản lý tập chung là không có, sự tương quan liên kết các sự kiện an ninh cũng
không có, bên cạnh đó là việc đảm bảo tuân thủ an ninh còn hạn chế và có thể là rất mệt
mỏi để hoàn thành các báo cáo về tình trạng an ninh của hệ thống đúng theo chuẩn quốc
tế. Chính vì vậy SIEM (Security information and event management – Công nghệ quản
lý thông tin và sự kiện an ninh) ra đời một cách khách quan và theo xu hướng phát triển
của thế giới. SIEM giải quyết được các vấn đề nêu trên đảm bảo cho hệ thống của chúng
ta an toàn và hiệu quả hơn.
Giải pháp quản lý thông tin và sự kiện an ninh (SIEM) là một giải pháp bảo mật
an ninh cung cấp cái nhìn tổng thể về hệ thống công nghệ thông tin của một tổ chức.
SIEM là sự kết hợp giữa quản lý thông tin an ninh (SIM - Security Information
Management) và quản lý sự kiện an ninh (SEM - Security Event Management).
Nguyên lý cơ bản của SIEM là thu các dữ liệu về các sự kiện an ninh từ nhiều thiết
bị khác nhau ở các vị trí khác nhau trong hệ thống và chúng ta có thể dễ dàng phân tích,
theo dõi tất cả các dữ liệu ở tại một vị trí duy nhất để phát hiện xu hướng và theo dõi
các dấu hiệu bất thường.
SIEM thu thập Log và các tài liệu liên quan đến an ninh khác để phân tích, tương
quan liên kết. SIEM làm việc thu thập Log và các sự kiện an ninh thông qua các Agent.
Từ người dùng đầu cuối, các máy chủ, các thiết bị mạng và thậm chí là các thiết bị an
15. 3
ninh chuyên nghiệp như Firewall, Anti Virus hoặc các hệ thống phòng chống xâm nhập.
Các thiết bị thu thập thông tin chuyển tiếp thông tin tới trung tâm nhằm chuẩn hóa, quản
lý tập trung, phân tích, tương quan các sự kiện an ninh. Tiếp sau đó có thể xác định các
sự kiện bất thường và thông báo tới quản trị viên.
< sach imple>
Các chuyên gia bảo mật và các nhà phân tích sử dụng SIEM nhằm theo dõi, xác
định, quản lý hệ thống tài sản và ứng phó với các sự cố an ninh. Một số sự kiện an ninh
như tấn công từ chối dịch vụ (DoS), tấn công có chủ ý, tấn công mã độc hại và phát
virus. SIEM cũng có thể xác định mà không dễ phát hiện bằng các thiết bị khác. Nhiều
sự kiện khó phát hiện hoặc bị che khuất bởi hàng ngàn các sự kiện an ninh khác trong
mỗi giây. Bên cạnh đó SIEM có thể phát hiện những sự kiện an ninh khó phát hiện hơn
như các hành vi vi phạm chính sách, cố gắng truy cập trái phép và phương thức tấn công
của những kẻ tấn công có trình độ cao xâm nhập vào hệ thống CNTT.
Một mục tiêu quan trọng cho các nhà phân tích an ninh sử dụng SIEM là giảm số
lượng cảnh báo giả. Hệ thống an ninh được cho là yếu kém, chẳng hạn như hệ thống
phát hiện xâm nhập (IDS) thường có những cảnh báo về nhiều sự kiện giả. Nhiều cảnh
báo này gây lãng phí thời gian, công sức của các nhà phân tích an ninh và thường tập
trung chú ý vào các cảnh báo đó. Điều đó làm cho các nhà phân tích lại bỏ qua các cảnh
báo đúng đắn và quan trọng hơn. Với hệ thống SIEM, việc giảm các cảnh báo giả được
thực hiện một cách cẩn thận bởi các bộ lọc và các quy tắc tương quan liên kết giữa các
thông tin sự kiện an ninh với nhau. Điều đó xác định và cảnh báo chính xác khi có sự
kiện an ninh bất chấp số lượng lớn những sự kiện an ninh lớn và nhiều.
SIEM cung cấp các dịch vụ sau:
- Quản lý nhật lý sự kiện an ninh (Log management).
- Tuân thủ các quy định về CNTT (IT regulatory compliance).
- Tương quan liên kết các sự kiện an ninh (Event correlation).
- Cung cấp các hoạt động ứng phó (Active response).
- Đảm bảo an ninh thiết bị đầu cuối (Endpoint security).
16. 4
1.1.1. Quản lý nhật ký sự kiện an ninh
SIEM quản lý Log từ các thiết bị trong hệ thống. Bắt đầu với việc cấu hình các vị
trí quan trọng trong hệ thống để gửi các sự kiện an ninh vào một cơ sở dữ liệu tập trung.
SIEM sẽ chuẩn hóa các Log này về một định dạng duy nhất để phân tích, tương quan
liên kết. Sau đó, SIEM lưu trữ các file Log, tổ chức, tìm kiếm và các dịch vụ khác để
đáp ứng nhu cầu quản lý mà các tổ chức yêu cầu. Phần quản lý dữ liệu này cũng sử dụng
để phân tích về thời gian thực, trình trạng khai thác dữ liệu và an ninh của tất cả hệ thống
CNTT.
1.1.2. Tuân thủ các quy định về CNTT
Tất cả các sự kiện từ các hệ thống quan trọng đang được sử dụng truy nhập, chúng
ta có thể xây dựng các bộ lọc hoặc các thiết lập các luật và tính toán thời gian để kiểm
tra và xác thực việc tuân thủ của họ hoặc để xác định hành vi vi phạm các yêu cầu tuân
thủ đã đặt ra của tổ chức. Các luật đó được đối chiếu với log được đưa vào hệ thống. Có
thể giám sát số lần thay đổi mật khẩu, xác định hệ điều hành hoặc các bản vá lỗi ứng
dụng, kiểm tra chống virus, phần mềm gián điệp và cập nhật. Chúng ta có thể xây dựng
tập luật riêng của mình cho các bộ lọc hoặc các luật để hỗ trợ trong việc tuân thủ các
quy định đã đề ra. Nhiều nhà cung cấp SIEM có các tập đóng gói sẵn các quy tắc được
thiết kế đặc biệt để đáp ứng các yêu cầu về pháp luật và các quy định khác nhau mà các
doanh nghiệp cần phải tuân thủ. Chúng được đóng gói và cung cấp bởi các nhà cung cấp
một cách miễn phí hoặc mất một khoản chi phí.
1.1.3. Tương quan liên kết các sự kiện an ninh
Sự tương quan liên kết giữa các sự kiện an ninh mang đem lại thông báo tốt hơn
cho hệ thống. Chúng ta không chỉ qua một sự kiện duy nhất để quyết định cách ứng phó
hay không ứng phó với nó. Với tương quan liên kết giữa các sự kiện an ninh, chúng ta
xem xét điều kiện khác nhau trước khi kích hoạt báo động. Ví dụ, một máy chủ có CPU
sử dụng 100% có thể được gây ra bởi nhiều nguyên nhân khác nhau. Nó có thể do một
vấn đề xảy ra hoặc có thể không. Cũng có thể là một dấu hiệu cho thấy hệ thống bị quá
tải với các hoạt động và yêu cầu một hoặc nhiều dịch vụ hoặc các ứng dụng cần được
17. 5
chia sẻ trên các máy chủ khác. Và cũng có thể là máy chủ đạt đến hết công suất do một
một tấn công từ chối dịch vụ (DoS) vào hệ thống. Hoặc nó có thể là ngừng trệ tạm thời
một cách tự nhiên của máy chủ.
Các công cụ tương quan trên một SIEM có thể kiểm tra và xem xét (tương quan)
các sự kiện khác không phải liên quan đến việc sử dụng CPU. Có thể cung cấp một bức
tranh đầy đủ hơn về tình trạng của máy chủ để loại trừ giả thuyết về nguyên nhân của
vấn đề. Ví dụ, trong trường hợp sử dụng CPU 100%, SIEM có thể được cấu hình để xem
xét một số nguyên nhân sau đây:
- Phần mềm chống virus xác định có phần mềm độc hại trên máy chủ hay không?
- Bất kỳ máy chủ nào có CPU sử dụng 100%? Cần xem xét có hay không sự tồn
tại của virus?
- Một ứng dụng hoặc nhiều ứng dụng, dịch vụ ngừng hoạt động?
- Sự gia tăng lưu lượng mạng do nhu cầu chính đáng của người dùng nhưng vượt
quá sự cung cấp dịch vụ của máy chủ.
- Sự gia tăng lưu lượng mạng nhưng không do nhu cầu chính đáng của người dùng
vượt quá sự cung cấp dịch vụ của máy chủ như một cuộc tấn công DoS? Từ các nguồn
khác nhau? Có thể là một từ chối dịch vụ phân tán (DDoS)?
Đó là sự tương quan các sự kiện an ninh. Cảnh báo của SIEM giúp chúng ta đưa
ra cách ứng phó tùy thuộc vào các điều kiện.
1.1.4. Cung cấp các hoạt động ứng phó
Tất cả các thiết bị cung cấp đầu vào cho SIEM, các quy tắc và bộ lọc sẽ xác định
và phân tích mối quan hệ giữa các thông tin đầu vào đó. Chúng ta có thể cấu hình các
hành động và thực hiện các phản ứng ứng phó cho tất cả các sự kiện an ninh hoặc có thể
cấu hình riêng biệt cho từng loại sự kiện khác nhau.
Lợi ích việc thực hiện các hoạt động ứng phó là rất tốt, nhưng bên cạnh đó nó cũng
có điều bất lợi. Nếu chúng ta không cấu hình cẩn thận và chính xác thì nó có thể đưa ra
các hành động ứng phó không cần thiết. Hoạt động ứng phó tự động này dễ dàng trở
thành con dao hai lưỡi cho chúng ta.
18. 6
1.1.5. Đảm bảo an ninh thiết bị đầu cuối
Hầu hết các hệ SIEM có thể giám sát an ninh cho các thiết bị đầu cuối để thông
báo sự an toàn của hệ thống. SIEM cung cấp việc quản lý cũng như đánh giá tài sản các
thiết bị. Bên cạnh là việc dò quét lỗ hổng và cập nhật các bản vá. Nhiều hệ thống SIEM
có thể theo dõi các thiết bị như PC, server, Firewall. Một số hệ thống SIEM thậm chí có
thể quản lý an ninh cho thiết bị đầu cuối, có sự điều chỉnh và hoàn thiện hơn đối với
thiết bị an ninh đó trên hệ thống. Như cấu hình Firewall, cập nhật và theo dõi Anti-Virus,
chống spyware, chống spam email.
19. 7
1.2. Ưu điểm của SIEM
Với sự phát triển của hệ thống mạng thì ngày càng nhiều các thiết bị gia tăng và
việc quản lý nó trở lên phức tạp hơn rất nhiều. Do vậy SIEM là một giải pháp giúp chúng
ta quản lý chúng tốt hơn.
Log từ các thiết bị tạo ra ngày càng nhiều (Có thể hàng trăm triệu bản ghi log trong
một ngày) thì các quản trị viên hay các công cụ trước đó khó có thể phân tích một cách
nhanh chóng, chính xác được. SIEM cung cấp việc tích hợp dữ liệu quản lý file log từ
nhiều nguồn, bao gồm cả mạng, máy chủ, cơ sở dữ liệu, ứng dụng, cung cấp khả năng
hợp nhất dữ liệu để tránh mất các sự kiện quan trọng.
Việc đánh giá giá trị tài sản của các thiết bị trong hệ thống là không có với các hệ
thống an ninh trước đó. SIEM cung cấp việc đánh giá giá trị của các thiết bị hay ứng
dụng trong hệ thống (Giá trị tăng dần từ 0-5) và sắp xếp theo sự ưu tiên cảnh báo và bảo
vệ chúng.
SIEM cung cấp sự tương quan liên kết giữa các sự kiện an ninh lại với nhau rồi
sau đó đưa ra kết luận có hay không một cuộc tấn công. Ví dụ như tấn công Brute Force.
Nếu nhận thấy có hành vi quét cổng, bên cạnh đó là thấy số lần đăng nhập sai tên đăng
nhập hoặc mật khẩu quá một giá trị nào đó và từ một IP nguồn trong một thời gian thì
SIEM liên kết các sự kiện này với nhau và khẳng chắc rằng có một tấn công Brute Force
đang xảy ra với hệ thống. Với các hệ thống an ninh trước đó các sự kiện an ninh này
không được liên kết lại với nhau. Chúng chỉ có thể đưa ra cảnh báo rằng có những hành
vi như quét cổng, đăng nhập sai hay gì đó… Với SIEM nếu có một trong các sự kiện an
ninh nói trên thì chúng đưa ra cảnh báo mức trung bình và nếu cùng với đó xảy ra các
sự kiện an ninh tiếp theo xảy ra thì nâng mức cảnh báo cao hơn và báo cho quản trị viên
biết để ứng phó.
SIEM cung cấp công cụ đánh giá lỗ hổng của các thiết bị trong hệ thống xem chúng
có những lỗ hổng anh ninh nào? Hoặc có những bản vá cập nhật cho những lỗ hổng đó
cần được cập nhật.
SIEM cung cấp cái nhìn trực quan thông qua các biểu đồ, đồ thị giúp theo dõi rõ
ràng hơn. Công cụ có thể hiện dữ liệu sự kiện và có thể thể hiện thành biểu đồ thông tin
để hỗ trợ cho thấy mô hình hoặc xác định hoạt động không phù hợp.
SIEM cung cấp các khuôn mẫu báo cáo chuẩn theo các tiêu chuẩn về an ninh quốc
tế nhau như HIPAA, ISO27001 để các quản trị viên bảo mật có thể tập trung vào các
hoạt động tăng cường an ninh mạng.
20. 8
Cung cấp việc lưu trữ các bản ghi log trong một thời gian lâu dài phục vụ cho nhu
cầu điều tra tổng hợp sau này và tuân thủ các quy định trong hoạt động CNTT.
21. DOWNLOAD ĐỂ XEM ĐẦY ĐỦ NỘI DUNG
MÃ TÀI LIỆU: 50571
DOWNLOAD: + Link tải: Xem bình luận
Hoặc : + ZALO: 0932091562