Tải bản đầy đủ (.pdf) (58 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

TÌM HIỂU SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM) và THỰC NGHIỆM TRÊN MÃ NGUỒN MỞ

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.95 MB, 58 trang )

TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP. HỒ CHÍ MINH
KHOA CÔNG NGHỆ THÔNG TIN
❖

BÀI BÁO CÁO

TIỂU LUẬN CHUYÊN NGÀNH
ĐỀ TÀI:

TÌM HIỂU SECURITY INFORMATION AND
EVENT MANAGEMENT (SIEM) VÀ THỰC
NGHIỆM TRÊN MÃ NGUỒN MỞ
Giảng viên hướng dẫn :

ThS. Nguyễn Thị Thanh Vân

Sinh viên thực hiện

14110054 Nguyễn Trường Hận

:

TP. HỒ CHÍ MINH, THÁNG 1 NĂM 2018


Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
...........................................................................................................................................


...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................

Tp. Hồ Chí Minh, ngày… tháng … năm ……
Giảng viên hướng dẫn


Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN

...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................

Tp. Hồ Chí Minh, ngày… tháng … năm ……
Giảng viên phản biện

2


Báo cáo tiểu luận chuyên ngành mạng máy tính


Hệ thống SIEM

LỜI CẢM ƠN
Trên thực tế không có sự thành công nào mà không gắn liền với những sự hỗ trợ,
giúp đỡ dù ít hay nhiều, dù trực tiếp hay gián tiếp của người khác. Trong suốt thời gian
từ khi bắt đầu thực hiện đề tài đến nay, chúng em đã nhận được rất nhiều sự quan tâm,
giúp đỡ và hướng dẫn của cô giảng viên hướn dẫn. Chúng em xin chân thành cảm ơn cô
Nguyễn Thị Thanh Vân giảng viên khoa Công nghệ thông tin đã tận tâm hướng dẫn
chúng em qua từng buổi báo cáo trên lớp cũng như những buổi nói chuyện, thảo luận về
lĩnh vực sáng tạo trong báo cáo tiểu luận chuyên ngành. Nếu không có những lời hướng
dẫn, dạy bảo của cô thì bài báo cáo này của chúng em rất khó có thể hoàn thiện được.
Một lần nữa, em xin chân thành cảm ơn cô. Bài báo cáo được thực hiện trong khoảng
thời gian hơn 4 tháng. Bước đầu đi vào thực tế, tìm hiểu về lĩnh vực sáng tạo trong
nghiên cứu khoa học, kiến thức của chúng em còn hạn chế và còn nhiều bỡ ngỡ.
Trong quá trình làm bài báo cáo tiểu luận chuyên ngành , khó tránh khỏi sai sót,
rất mong cô và hội đồng bỏ qua. Đồng thời do trình độ cũng như kinh nghiệm thực tiễn
còn hạn chế nên bài báo cáo không thể tránh khỏi những thiếu sót, chúng em rất mong
nhận được ý kiến đóng góp cô và hội đồng để chúng em học thêm được nhiều kinh
nghiệm và sẽ hoàn thành tốt hơn bài báo cáo tốt nghiệp sắp tới.
Sau cùng, em xin kính chúc quý thầy cô thật dồi dào sức khỏe, niềm tin để tiếp tục
thực hiện sứ mệnh cao đẹp của mình là truyền đạt kiến thức cho thế hệ mai sau.

TP. Hồ Chí Minh, ngày 6 tháng 1 năm 2018
Sinh viên thực hiện

Trần Đình Thi
Nguyễn Trường Hận

3



Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM

DANH MỤC TỪ VIẾT TẮT
PC: Personal Computer (Máy tính cá nhân)
OS: Operating system (Hệ điều hành)
DNS: Domain Name System (Hệ thống phân giải tên miền)
DHCP: Dynamic Host Configuration Protocol (Hệ thống cấp phát địa chỉ Ip động)
IDS: Intrucsion Detection System (Hệ thống phát hiện xâm nhập)
FTP: File Transfer Protocol (Phương thức chuyển tập tin)
SIEM: Security Infomation and Event Management (Hệ thống bảo mật thông tin
và quản lý sự kiện an ninh)
SEM: Security event management
SIM: Security information management
UDP: User Datagram Protocol (Giao thức cốt lõi của giao thức TCP/IP)
SNMP: Simple Network Management Protocol (Tập hợp các giao thức mạng)
OPSEC: Open Platform for Security
SFTP: Secure File Transfer Protocol
NAS: Network Attached Storage (Hệ thống lưu trữ dữ liệu)
SAN: Storage Area Networks
OpenVAS: Open Vulnerability Assessment System (Phần mền rò quét điểm yếu
hệ thống)
P0f: Passive OS fingerprinting
OSSEC: Open Source Host-based Intrusion Detection System
GPL: GNU General Public License

4



Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM

DANH MỤC HÌNH ẢNH
Hình 1: Các tính năng của hệ thống SIEM ........................................................... 13
Hình 2: Thành phần của hệ thống SIEM .............................................................. 18
Hình 3: Các nguồn dữ liệu SIEM thu thập ........................................................... 22
Hình 4: Các dạng hiển thị dữ liệu của SIEM ....................................................... 25
Hình 5: Giao diện Splunk Enterprise ................................................................... 28
Hình 6: Sơ đồ thu thập dữ liệu của Splunk Enterprise ......................................... 28
Hình 7: Công cụ tích hợp với Splunk Enterprise ................................................. 30
Hình 8: Giao diện web OSSIM ............................................................................ 31
Hình 9: Mô hình mạng thực nghiệm .................................................................... 35
Hình 10: Giao diện Splunk Enterprise ................................................................. 37
Hình 11: Upload dữ liệu lên server ...................................................................... 37
Hình 12: Danh sách file logs ................................................................................ 38
Hình 13: Mở file cấu hình bằng quyền administrator .......................................... 38
Hình 14: Cấu hình file inputs.conf ....................................................................... 39
Hình 15: Khởi động Splunk forwader .................................................................. 40
Hình 16: Cấu hình port trên server nhận dữ liệu .................................................. 40
Hình 17: : Cấu hình port trên server nhận dữ liệu ................................................ 40
Hình 18: Kiểm tra server đã nhận host chưa ........................................................ 41
Hình 19: Danh sách file logs sau khi nhận log từ host ......................................... 41
Hình 20: Download universal forwader cho linux ............................................... 41
Hình 21: Cài đặt universal forwader trên client linux .......................................... 42
Hình 22: Cài đặt universal forwader trên client linux .......................................... 42
Hình 23: Khởi động universal forwader trên client linux .................................... 43
Hình 24: Cấu hình nhận server trên client linux .................................................. 43

Hình 25: Xem danh sách server ........................................................................... 43
Hình 26: Kiểm tra cấu hình đã được ghi lại trong file outputs.config hay chưa .. 43
Hình 27: Cấu hình thêm data file inputs.config ................................................... 44
Hình 28: Chạy cấu hình trong file input.config ................................................... 44
5


Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM

Hình 29: Kiểm tra server đã nhận host chưa ........................................................ 44
Hình 30: Danh sách file log khi nhận host ........................................................... 45
Hình 31: Tạo báo cáo cho dịch vụ SSH ............................................................... 45
Hình 32: Tạo báo cáo cho dịch vụ NTP ............................................................... 45
Hình 33: Tạo một báo cáo cho dịch vụ web ......................................................... 46
Hình 34: Tạo báo cáo cho dịch vụ Telnet và login .............................................. 46
Hình 35: Tạo báo cáo cho dịch vụ FTP ................................................................ 46
Hình 36: Danh sách báo cáo ................................................................................. 47
Hình 37: Cấu hình email dùng để gửi cảnh báo ................................................... 47
Hình 38: Cài đặt bảo mật cho mail dùng để gửi cảnh cáo tới mail quản trị viên nhận
cảnh báo......................................................................................................................... 48
Hình 39: Tạo cảnh báo cho FTP khi kết nối thất bại............................................ 48
Hình 40: Tạo cảnh báo cho dịch vụ SSH khi kết nối thất bại .............................. 49
Hình 41: Đã thiết đặt email thành công ................................................................ 49
Hình 42: Xem dữ liệu của hệ thống ..................................................................... 50
Hình 43: Nội dung file text lưu trữ nội dung các file log tronng khoảng thời gian
nhất định ........................................................................................................................ 50
Hình 44: Dashboard cho dịch vụ SSH.................................................................. 51
Hình 45: Dashboard cho dịch vụ FTP .................................................................. 51

Hình 46: Thư mục lưu log cảnh báo của hệ thống OSSEC .................................. 52
Hình 47: Tải thư mục chứa các file logs cảnh báo của hệ thống OSSEC vào Splunk
server ............................................................................................................................. 52
Hình 48: Danh sách file logs cảnh bảo cảu hệ thống OSSEC gửi lên Splunk server
....................................................................................................................................... 53
Hình 49: Giao diện công cụ DVWA .................................................................... 53
Hình 50: Tấn công SQL injection vào website trên server .................................. 54
Hình 51: Các file log nhận được khi tấn công website ........................................ 54
Hình 52: Tạo cảnh cáo khi website bị tấn công ................................................... 54
Hình 53: Cảnh báo được gửi tới mail của quản trị viên ....................................... 55
6


Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM

DANH MỤC BẢNG BIỂU
Bảng 1: Hệ thống mạng thực nghiệm .................................................................. 35

7


Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM

MỤC LỤC
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN ........................................................1
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN ...........................................................2

LỜI CẢM ƠN .............................................................................................................3
DANH MỤC TỪ VIẾT TẮT ......................................................................................4
DANH MỤC HÌNH ẢNH ..........................................................................................5
DANH MỤC BẢNG BIỂU ........................................................................................7
MỤC LỤC

...............................................................................................................8

PHẦN MỞ ĐẦU .......................................................................................................11
1. Lý do chọn đề tài .....................................................................................11
2. Mục tiêu đề tài .........................................................................................11
3. Đối tượng của đề tài.................................................................................12
4. Nội dung của đề tài ..................................................................................12
5. Ý nghĩa của đề tài ....................................................................................12
PHẦN NỘI DUNG ...................................................................................................13
Chương 1:

TÌM HIỂU HỆ THỐNG SECURITY INFORMATION AND EVENT

MANAGEMENT (SIEM) .........................................................................................13
1.1.

Tổng quan về SIEM ..........................................................................13

1.2.

Các tính năng của hệ thống SIEM .....................................................14
Thu thập dữ liệu, quản lí tập trung, tương quan sự kiện an ninh .14
Báo cáo, cảnh báo tới quản trị viên hệ thống, hiển thị tình trạng hệ


thống

......................................................................................................15
Kiểm soát truy cập, giám sát, đảm bảo an toàn hệ thống .............15
Cung cấp các giải pháp xử lý sự cố ..............................................16

1.3.

Lợi ích, ưu điểm của SIEM ...............................................................16

1.4.

Các thành phần của hệ thống SIEM ..................................................17
Thiết bị nguồn và các dịch vụ.......................................................18
Các dạng bản ghi log ....................................................................20

1.5.

Cơ chế hoạt động của hệ thống SIEM ...............................................21
8


Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM

Thu thập thông tin từ các thiết bị ..................................................21
Phân tích, chuẩn hóa bản ghi log, tương quan các sự kiện an ninh ..
......................................................................................................23
Theo dõi và giám sát hệ thống ......................................................25

Báo cáo, cảnh báo, lưu trữ dữ liệu ................................................25
Chương 2:
2.1.

CÁC CÔNG CỤ TRIỂN KHAI HỆ THỐNG SIEM ..........................27
Splunk Enterprise ..............................................................................27
Cơ chế Splunk Enterprise thu thập thông tin ................................28
Splunk Enterprise giám sát hệ thống ............................................29
Splunk Enterprise lưu trữ dữ liệu .................................................29
Splunk Enterprise ứng phó với sự cố ...........................................29
Mở rộng ........................................................................................29

2.2.

AlienVault OSSIM ............................................................................30
Phương pháp thu thập thông tin của OSSIM ................................31
Tương quan sự kiện an ninh trong OSSIM ..................................31
Các hành động ứng phó sự cố an ninh trong OSSIM ...................33
Một số công cụ mã nguồn mở tích hợp trong OSSIM .................33

Chương 3:

THỰC NGHIỆM .................................................................................35

3.1.

Mô tả ..................................................................................................35

3.2.


Sơ đồ mạng ........................................................................................35

3.3.

Kịch bản.............................................................................................36

3.4.

Công cụ ..............................................................................................36

3.5.

Triển khai...........................................................................................36
Upload dữ liệu từ thư mục var/logs ở máy server ........................37
Cài đặt để client windows gửi log về server.................................38
Cấu hình Universal forwarder trên máy client Ubuntu để gửi log cho

server

......................................................................................................41
Tạo báo cáo cho các dịch vụ.........................................................45

9


Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM

Tạo cảnh báo khi các dịch vụ kết nối thất bại và gửi cảnh báo đến mail

của quản trị viên .................................................................................................47
Xem dữ liệu được lưu ở dạng chỉ mục .........................................49
Tạo Dashboard về các dịch vụ......................................................50
Kết hợp Splunk Enterprise với hệ thống phát hiện chống xâm nhập
OSSEC

......................................................................................................51
Tạo cảnh cáo khi website tại server bị tấn công ...........................53

PHẦN KẾT LUẬN ...................................................................................................56
1. Kết quả đạt được ......................................................................................56
2. Chưa đạt được ..........................................................................................56
3. Khó khăn ..................................................................................................56
TÀI LIỆU THAM KHẢO .........................................................................................57

10


Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM

PHẦN MỞ ĐẦU
1. Lý do chọn đề tài
Ngày nay, sự bùng nổ và phát triển của công nghệ thông tin và mạng internet trên
toàn thế giới thúc đẩy sự tăng trưởng mọi mặt của nền kinh tế, công nghệ và đời sống...Đi
kèm với sự phát triển nhanh chóng ấy là những nguy cơ như mất an toàn thông tin, dữ
liệu, với yêu cầu bảo mật những dữ liệu, thông tin quan trọng thì vấn đề đảm bảo an
ninh mạng là vấn đề mà các tổ chức, cơ quan, doanh ngiệp luôn đặt lên hàng đầu. Đó
cũng là lý do mà hệ thống giám sát an toàn mạng và quản lí sự kiện ra đời (SIEM) ra

đời, nhằm thu thập thông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối và lưu
trữ dữ liệu một cách tập trung. Theo đó, các sản phẩm SIEM cho phép phân tích tập
trung và báo cáo về các sự kiện an toàn mạng của hệ thống. Kết quả phân tích này có
thể được dùng để phát hiện ra các cuộc tấn công mà không thể phát hiện được theo
phương pháp thông thường. Một số sản phẩm SIEM còn có khả năng ngăn chặn các
cuộc tấn công mà chúng phát hiện được.
Sản phẩm SIEM đã xuất hiện nhiều năm nay, nhưng tiền thân của sản phẩm này
nhắm đến các tổ chức lớn với khả năng và đội ngũ phân tích an ninh chuyên biệt. SIEM
đang dần trở nên nổi bật, phù hợp cả với nhu cầu của các tổ chức vừa và nhỏ. Kiến trúc
SIEM ngày nay bao gồm phầm mềm SIEM cài đặt trên một máy chủ cục bộ, một phần
cứng cục bộ hoặc một thiết bị ảo dành riêng cho SIEM, kèm theo đó là một dịch vụ đám
mây SIEM.
SIEM là một giải pháp hoàn chính, đầy đủ cho phép các tổ chức thực hiện việc
giám sát các sự kiện an toàn thông tin cho một hệ thống, đảm bảo an ninh thông tin và
quản lí các sự kiện an ninh của hệ thống một cách khoa học và hợp lý, giúp quản trị viên
có cái nhìn tổng quan và chính xác về tình trạng của hệ thống, ngoài ra còn giúp quản
trị viên đưa ra phương án xử lí thích hợp khi xảy sự cố. Với những lợi ích thiết thực của
mình, hệ thống SIEM ngày càng phát triển và trở nên phổ biến, vì vậy với vai trò là
những kỹ sư công nghệ thông tin tương lai, chúng em thực hiện đề tài này với mong mỏi
phát triển tri thức, tìm hiểu và thực nghiệm hệ thống này nhằm phục vụ công việc sau
này và phát triển hơn về sau.
2. Mục tiêu đề tài
Tìm hiểu về cơ chế hoạt động, tính năng và ứng dụng của hệ thống giám sát an
toàn mạng và quản lí sự kiện SIEM
11


Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM


Thực nghiệm triển khai hệ thống SIEM trên mã nguồn mở với mô hình mạng nhỏ,
thực hiện một số tính năng nổi biệt của SIEM
3. Đối tượng của đề tài
Hệ thống giám sát an toàn mạng và quản lí sự kiện security information and event
management (SIEM).
4. Nội dung của đề tài
✓ Khái niệm hệ thống SIEM
✓ Các tính năng của hệ thống SIEM
✓ Lợi ích của một hệ thống SIEM
✓ Thành phần và cách hoạt động của hệ thống SIEM
✓ Các công cụ triển khai SIEM và tính năng nổi bật
✓ Triển khai hệ thống trên mã nguồn mở
5. Ý nghĩa của đề tài
Việc thực hiện đề tài giúp người thực hiện có thêm tri thức về hệ thống giám sát
an toàn mạng và quản lí sự kiện an ninh mà trong thời buổi công nghệ thông tin và mạng
internet ngày càng phát triển mạnh mẽ, đi kèm với đó là những nguy cơ, rủi ro về vấn
đề bảo mật thông tin, an toàn mạng cục bộ và toàn cầu. Để một phần nào đó giải quyết
những vấn đề trên, hệ thống SIEM được ra đời và ngày càng hoàn thiện giúp quản trị
viên hệ thống mạng dễ dàng hơn trong việc quản lí các sự kiện an ninh diễn ra trong hệ
thống, giám sát an toàn hệ thống mạng một cách khoa học và hiệu quả… Đề tài sẽ mang
tới cho người đọc, người nghiên cứu một nguồn tri thức khoa học về vấn đề của đề tài,
là nền tảng để phát triển đề tài về sau.

12


Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM


PHẦN NỘI DUNG
Chương 1:

TÌM HIỂU HỆ THỐNG SECURITY INFORMATION
AND EVENT MANAGEMENT (SIEM)

1.1. Tổng quan về SIEM
SIEM (Security Infomation and Event Management - Hệ thống bảo mật thông tin
và quản lý sự kiện an ninh) là hệ thống các phần mềm và dịch vụ được kết hợp từ SIM
(Security information management) và SEM (Security event management). SIEM cung
cấp dịch vụ phân tích thời gian thực và cảnh báo bảo mật được tạo từ dữ liệu thu thập
từ các ứng dụng và phần cứng mạng.
SIEM thu thập các dữ liệu về các sự kiện an ninh từ nhiều thiết bị khác nhau
trong hệ thống để phân tích, tương quan và đưa ra cảnh báo bảo mật cho người quản trị
về những nguy cơ đang xảy ra với hệ thống. SIEM còn cung cấp giải pháp ứng phó với
các sự cố an ninh mạng, chuẩn hóa, lưu trữ và quản lý dữ liệu an ninh và dữ liệu đăng
nhập.

Hình 1: Các tính năng của hệ thống SIEM

13


Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM

SIEM cung cấp các tính năng như:
✓ Thu thập file log

✓ Phân tích file log
✓ Tương quan sự kiện an ninh
✓ Đảm bảo tuân thủ tiêu chuẩn công nghệ thông tin
✓ Quản lý, giám sát đăng nhập và xác thực
✓ Kiểm soát truy cập ứng dụng
✓ Kiểm soát hoạt động của người dùng
✓ Báo cáo, cảnh báo, thống kê tình trạng hệ thống
✓ Đảm bảo sự toàn vẹn dữ liệu
✓ Giám sát hệ thống, đảm bảo an ninh các thiết bị đầu cuối
✓ Cảnh báo thời gian thực
✓ Tạo biểu đồ thể hiện tình trạng hệ thống một cách trực quan
✓ Phát hiện lỗ hổng, nguy cơ và cung cấp giải pháp xử lý, khắc phục sự cố
✓ Lưu trữ dữ liệu, đánh chỉ mục dữ liệu đảm bảo cho việc tìm kiếm về sau
SIEM là một giải pháp hoàn chính, đầy đủ cho phép các tổ chức thực hiện việc
giám sát các sự kiện an toàn thông tin cho một hệ thống mạng.
1.2. Các tính năng của hệ thống SIEM
Thu thập dữ liệu, quản lí tập trung, tương quan sự kiện an ninh
SIEM thu thập và quản lý các bản ghi nhật ký (log), bản ghi sự kiện an ninh từ các
thiết bị trong hệ thống, chuẩn hóa chúng về một dạng nhất định và lưu trữ chúng trong
cơ sở dữ liệu tập trung, sau đó sẽ thực hiện thống kê, phân tích, báo cáo để tạo ra một
báo cáo duy nhất cho thấy sự tương quan giữa các sự kiện an ninh của các thiết bị đánh
chỉ mục dữ liệu giúp cho việc tìm kiếm dữ liệu sau này dễ dàng hơn.
SIEM đưa dữ liệu thu thập được vào bộ nhớ và lưu trữ một cách hợp lý dựa trên
sự phân loại chúng theo nhiều tiêu chí về mức độ quan trọng cũng như nội dung của file
log, dạng file log, nguồn file log …
14


Báo cáo tiểu luận chuyên ngành mạng máy tính


Hệ thống SIEM

SIEM so sánh, phân tích, liên kết các bản ghi sự kiện an ninh để đưa ra kết luận về
tình trạng và nguy cơ của hệ thống, thể hiện qua các dạng báo cáo, biểu đồ nhằm cung
cấp cho người quản trị một cái nhìn tổng quan và chính xác.
Báo cáo, cảnh báo tới quản trị viên hệ thống, hiển thị tình trạng hệ
thống
SIEM cung cấp đa dạng các loại báo cáo, hỗ trợ sẵn các mẫu báo cáo phù hợp với
các chuẩn quốc tế như Health Insurance Portability and Accountability Act (HIPAA),
Payment Card Industry Data Security Standard (PCI DSS) và Sarbanes-Oxley Act
(SOX). Nhờ SIEM, một tổ chức có thể tiết kiệm đáng kể thời gian, nguồn lực để đạt
được đủ các yều cầu về báo cáo an ninh định kỳ.
SIEM cung cấp nhiều dạng cảnh báo tới quản trị viên qua nhiều phương tiện, hình
thức như qua email, tin nhắn sms, cuộc gọi, … cùng với các hoạt động ứng phó với sự
kiện diễn ra.
Các báo cáo, cảnh báo được định dạng theo thời gian thực, hỗ trợ người quản trị
kịp thời nhìn nhận các vấn đề của hệ thống. Kịp thời theo dõi và có biện pháp phòng
chống, xử lí, giảm thiểu thiệt hại cho hệ thống, đảm bảo toàn vẹn dữ liệu.
SIEM cung cấp tương tác qua giao diện web trực quan, thể hiện tình trạng hệ thống
qua nhiều hình thức như bảng, biểu đồ, sơ đồ, …
Kiểm soát truy cập, giám sát, đảm bảo an toàn hệ thống
SIEM dựa trên phân tích các bản ghi sự kiện an ninh, bản ghi log để giám sát toàn
bộ các thiết bị đầu cuối, các thiết bị mạng, máy chủ, ứng dụng, các thiết bị bảo mật
mạng, phát hiện sự cố, nguy cơ đối với hệ thống. SIEM cung cấp việc quản lý cũng như
đánh giá tài sản, các thiết bị. Bên cạnh là việc dò quét lỗ hổng và cập nhật các bản vá.
Nhiều hệ thống SIEM có thể theo dõi các thiết bị như PC, server, Firewall. Một số
hệ thống SIEM thậm chí có thể quản lý an ninh cho thiết bị đầu cuối, có sự điều chỉnh
và hoàn thiện hơn đối với thiết bị an ninh đó trên hệ thống như cấu hình Firewall, cập
nhật và theo dõi Anti Virus, chống spyware, chống spam email.
SIEM có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện khi các cuộc

tấn công đang diễn ra. SIEM không tự mình trực tiếp ngăn chặn các cuộc tấn công, thay
vào đó nó kết nối vào hệ thống an ninh khác như tường lửa và chuyển chúng đến phần

15


Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM

cấu hình để ngăn chặn hành vi độc hại. Điều này cho phép SIEM ngăn chặn các cuộc
tấn công không nhận biết được bởi các thành phần an ninh khác.
SIEM còn có khả năng kiểm soát truy cập nội bộ và từ bên ngoài, giám sát truy
cập của người dùng trong hệ thống.
Cung cấp các giải pháp xử lý sự cố
Người quản trị có thể cấu hình cho SIEM thực hiện các hoạt động xử lý, giảm thiểu
thiệt hại gây ra bởi sự cố dựa trên những quy tắc, bộ lọc và dữ liệu thu thập được từ các
thiết bị.
Bằng cách thu thập sự kiện của toàn tổ chức, SIEM có thể thấy được nhiều phần
khác nhau của các cuộc tấn công thông qua nhiều thiết bị và sau đó tái cấu trúc lại chuỗi
sự kiện và xác định cuộc tấn công ban đầu là gì và nó đã thành công hay chưa. Nói theo
cách khác, trong khi một giải pháp ngăn chặn xâm nhập IPS có thể thấy được một phần
của một cuộc tấn công và hệ điều hành của máy chủ mục tiêu cũng cho thấy được một
phần khác của cuộc tấn công đó, một SIEM có thể kiểm tra dữ liệu nhật ký của tất cả sự
kiện này và xác định máy chủ mục tiêu đó đã bị nhiễm mã độc, hay tấn công thành công
hay chưa, từ đó có thể thực hiện cách li chúng ra một mạng riêng và xử lí cuộc tấn công.
SIEM còn gia tăng đáng kể hiệu quả việc xử lý sự cố, tiết kiệm đáng kể thời gian
và nguồn lực đối cho các nhân viên xử lý sự cố. SIEM cải thiện điều này bằng cách cung
một một giao diện đơn giản để xem xét tất cả dữ liệu nhật ký an ninh từ nhiều thiết bị
đầu cuối.

✓ Cho phép nhân viên xử lý sự cố nhanh chóng phát hiện một mũi của cuộc tấn công
vào hệ thống
✓ Cho phép xác định nhanh chóng tất cả thiết bị đầu cuối bị ảnh hưởng bởi cuộc tấn
công.
✓ Cung cấp cơ chế tự động nhằm ngăn chặn các cuộc tấn công đang diễn ra và cách
ly các thiết bị đầu cuối đã bị xâm hại.
1.3. Lợi ích, ưu điểm của SIEM
SIEM là hệ thống có thể phát hiện ra các sự cố mà các thiết bị thông thường không
phát hiện được. Rất nhiều thiết bị đầu cuối có phần mềm ghi lại sự kiện an ninh nhưng
không tích hợp khả năng phát hiện sự cố. Dù có thể quan sát các sự kiện và tạo ra các

16


Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM

nhật ký, chúng luôn thiếu khả năng phân tích để xác định các dấu hiệu của hành vi độc
hại.
SIEM cho thấy sự tương quan liên kết sự kiện giữa các thiết bị, bằng cách này
SIEM có thể thấy được nhiều phần khác nhau của các cuộc tấn công thông qua nhiều
thiết bị, sau đó tái cấu trúc lại chuỗi sự kiện và xác định cuộc tấn công ban đầu là gì và
nó đã thành công hay chưa.
Nếu SIEM phát hiện bất cứ hành vi độc hại nào đã biết liên quan đến thiết bị đầu
cuối, nó sẽ phản ứng ngăn chặn các kết nối hoặc làm gián đoạn, cách ly thiết bị đang
tương tác với thiết bị khác nhằm ngăn ngừa cuộc tấn công từ điểm đầu tiên.
SIEM cho phép tổ chức có được bức tranh toàn cảnh về các sự kiện an ninh xảy
ra. Bằng cách tập hợp các dữ liệu nhật ký an ninh từ các thiết bị an ninh, hệ điều hành
của thiết bị đầu cuối, ứng dụng và các phần mềm khác, SIEM có thể phân tích một lượng

lớn dữ liệu nhằm xác định các cuộc tấn công và xâm hại ẩn dấu đằng sau các dữ liệu
này.
SIEM cung cấp cái nhìn trực quan thông qua các biểu đồ, đồ thị giúp theo dõi rõ
ràng hơn. Công cụ thể hiện dữ liệu sự kiện và có thể hiện thành biểu đồ thông tin để hỗ
trợ cho thấy mô hình và xác định hoạt động không phù hợp.
1.4. Các thành phần của hệ thống SIEM
SIEM bao gồm nhiều phần, mỗi phần làm một công việc riêng biệt. Mỗi thành
phần trong hệ thống này có thể hoạt động độc lập với các thành phần khác nhưng nếu
tất cả không cùng hoạt động cùng một lúc thì chúng ta sẽ không có một SIEM hiệu quả.
Tùy thuộc vào hệ thống đang sử dụng nhưng mỗi SIEM sẽ luôn luôn có hai thành
phần cơ bản được mô tả dưới đây.

17


Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM

Hình 2: Thành phần của hệ thống SIEM

Thiết bị nguồn và các dịch vụ
Thành phần đầu tiên của SIEM là các thiết bị nguồn cung cấp dữ liệu cho
SIEM.Thiết bị nguồn có thể là một thiết bị thực tế trong hệ thống mạng như Router,
Switch hoặc một số loại máy chủ và cũng có thể là các bản ghi log từ một ứng dụng
hoặc chỉ là bất kỳ dữ liệu nào khác. Việc biết về những gì mình có trong hệ thống là rất
quan trọng trong việc triển khai SIEM. Hiểu rõ những nguồn mà chúng ta muốn lấy các
bản ghi log trong giai đoạn đầu sẽ giúp chúng ta tiết kiệm được công sức, số tiền đáng
kể và giảm sự phức tạp trong triển khai.
1.4.1.1 Hệ điều hành

Microsoft Windows và các biến thể của Linux và UNIX, AIX, Mac OS là những
hệ điều hành thường hay được sử dụng. Hầu hết các hệ điều hành về cơ bản công nghệ
khác nhau và thực hiện chuyên một nhiệm vụ nào đó nhưng một trong những điều mà
tất cả đều có điểm chung là chúng tạo ra các bản ghi log. Các bản ghi log sẽ cho thấy hệ
thống của bạn đã làm gì: Ai là người đăng nhập, làm những gì trên hệ thống ?... Các bản
ghi log được tạo ra bởi một hệ điều hành về hệ thống và người sử dụng hoạt động sẽ rất
hữu ích khi tiến hành ứng phó sự cố an ninh hoặc chẩn đoán vấnđề hay chỉ là việc cấu
hình sai.
18


Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM

1.4.1.2 Thiết bị, phần cứng
Hầu hết các thiết bị là các hộp đen, các quản trị hệ thống không có quyền truy cập
trực tiếp vào hệ thống để thực hiện một số việc quản lý cơ bản. Nhưng có thể quản lý
các thiết bị thông qua một giao diện. Giao diện này có thể dựa trên web, dòng lệnh hoặc
chạy qua một ứng dụng được tải về máy trạm của quản trị viên. Hệ điều hành các thiết
bị mạng chạy có thể là một hệ điều hành thông thường, chẳng hạn như Microsoft
Windows hoặc phiên bản của Linux, nhưng nó cũng có thể được cấu hình theo cách mà
hệ điều hành thông thường. Một ví dụ như một router hoặc switch. Nó không phụ thuộc
vào nhà cung cấp, chúng ta không bao giờ có thể truy cập trực tiếp vào hệ thống điều
hành cơ bản của nó mà chỉ có thẻ truy cập vào thông qua dòng lệnh hoặc giao diện web
được sử dụng để quản lý. Các thiết bị lưu trữ các bản ghi log của chúng trên hệ thống
hoặc thường có thể được cấu hình để gửi các bản ghi ra thông qua syslog hoặc FTP.
1.4.1.3 Ứng dụng, dịch vụ hệ thống
Chạy trên các hệ điều hành là những ứng dụng được sử dụng cho một loạt các chức
năng. Trong một hệ thống chúng ta có thể có hệ thống tên miền (DNS), dịch vụ cấp phát

địa chỉ động (DHCP), máy chủ web, hệ thống thư điện tử và vô số cácứng dụng khác.
Các bản ghi ứng dụng chứa thông tin chi tiết về tình trạng của ứng dụng, ví dụ như thống
kê, sai sót, hoặc thông tin tin nhắn. Một số ứng dụng sinh ra bản ghi log sẽ có ích cho
chúng ta? Chúng ta được yêu cầu để duy trì, lưu trữ các bản ghi log theo sự tuân thủ của
pháp luật.
1.4.1.4 Bản ghi nhật ký (log)
Sau khi xác định các thiết bị nguồn trong hệ thống, chúng ta cần xem xét việc thu
thập các bản ghi log từ các thiết bị nào là cần thiết và quan trọng cho SIEM. Một số
điểm cần chú ý trong việc thu thập các bản ghi log như sau:
✓ Thiết bị nguồn nào được ưu tiên? Dữ liệu nào là quan trọng mà chúng ta cần phải
thu thập?
✓ Kích thước các bản ghi log sinh ra trong khoảng thời gian nhất định là bao
nhiêu? Những thông tin này dùng để xác định SIEM cần bao nhiêu tài nguyên cho
chúng, đặc biệt là không gian lưu trữ.
✓ Tốc độ các thiết bị nguồn này sinh ra các bản ghi log là bao lâu? Thông tin này cùng
với kích thước bản ghi log để lựa chọn việc sử dụng đường truyền mạng khi thu
thập các bản ghi.
19


Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM

✓ Cách thức liên kết giữa các thiết bị nguồn với SIEM?
✓ Có cần các bản ghi log theo thời gian thực hay thiết lập quá trình thực hiện tại một
thời điểm cụ thể trong ngày?
Các thông tin trên rất có ích trong việc xác định nguồn thiết bị cần thiết cho SIEM
của chúng ta.
Các dạng bản ghi log

1.4.2.1 Push log
Các bản ghi log sẽ được các thiết bị nguồn gửi về SIEM.
Phương pháp này dễ dàng cài đặt và cấu hình. Thông thường, chúng ta chỉ cần thiết
lập một bộ tiếp nhận và sau đó kết nối thiết bị nguồn đến bộ phận tiếp nhận này. Khi
cấu hình thiết bị nguồn sử dụng syslog, chúng ta có thể thiết lập địa chỉ IP hoặc DNS
tên của một máy chủ syslog trên mạng và thiết bị sẽ tự động gửi các bản ghi của nó
thông qua syslog. Tuy nhiên phương pháp nay cũng còn một số nhược điểm. Ví dụ, sử
dụng syslog trong môi trường UDP. Bản chất vốn của việc sử dụng syslog trong môi
trường UDP có nghĩa là không bao giờ có thể đảm bảo rằng các gói tin đến đích, vì UDP
là một giao thức không hướng kết nối. Nếu một tình huống xảy ra trên mạng chẳng hạn
như khi một loại virus mạnh trên mạng, chúng ta có thể không nhận được gói tin syslog.
Một vấn đề có thể phát sinh là nếu không đặt quyền điều khiển truy cập thích hợp trên
máy thu nhận các bản ghi log thì khi cấu hình sai hoặc có phần mềm độc hại có thể làm
tràn ngập các thông tin sai lệch. Điều đó làm cho các sự kiện an ninh khó được phát
hiện. Nếu là một cuộc tấn công có chủ ý nhằm chống lại SIEM thì một kẻ xấu có thể
làm sai lệch các thông tin và và thêm các dữ liệu rác vào SIEM.
Do vậy sự hiểu biết về các thiết bị gửi các bản ghi log cho SIEM là điều rất quan
trọng.
1.4.2.2 Pull log
Các bản ghi log sẽ được SIEM đi tới và lấy về.
Không giống như phương pháp push log, trong đó thiết bị nguồn gửi các bản ghi
log cho SIEM mà không cần bất kỳ sự tương tác từ SIEM. Pull log đòi hỏi SIEM bắt
đầu kết nối với các thiết bị nguồn và chủ động lấy các bản ghi từ các thiết bị nguồn đó.
Ví dụ : Nếu các bản ghi log được lưu trữ trong tập tin văn bản chia sẻ trên một mạng,

20


Báo cáo tiểu luận chuyên ngành mạng máy tính


Hệ thống SIEM

SIEM sẽ thiết lập một kết nối lấy các thông tin được lưu trữ và đọc các file bản ghi từ
các thiết bị nguồn.
Đối với phương pháp push Log, các bản ghi log của thiết bị nguồn thường gửi các
bản ghi đến SIEM ngay sau khi nó được tạo ra. Nhưng với phương pháp Pull Log thì
một kết nối sẽ được tạo ra để SIEM tiếp cận với các thiết bị nguồn và kéo các bản ghi
log từ các thiết bị nguồn về. Chu kỳ của việc kết nối để lấy các bản ghi log của Pull Log
có thể là vài giây hoặc theo giờ. Khoảng thời gian này chúng ta có thể cấu hình theo
tùychọn hoặc để cấu hình mặc định cho SIEM.
Custom Log Collection: Với các thiết bị khác nhau trong mạng có thể có một số
nguồn bản ghi log không có phương pháp thu thập log chuẩn cung cấp sẵn bởi SIEM.
Chúng ta cần có phương thức để lấy các bản ghi log từ một nguồn bằng việc xây dựng
phương pháp riêng để thu thập các bản ghi log. Việc xây dựng phương thức riêng để lấy
bản ghi log và phân tích có thể tốn nhiều công sức và thời gian, nhưng nếu được thực
hiện đúng cách, nó sẽ có nghĩa là các bản ghi sẽ được kéo trực tiếp từ các thiết bị vào
SIEM. Một lợi ích khác của việc xây dựng phương pháp thu tập riêng là chúng ta có thể
kiểm soát tất cả các quá trình phân tích và tìm kiếm.
1.5. Cơ chế hoạt động của hệ thống SIEM
SIEM lấy các thông tin dữ liệu từ các thiết bị, sau đó sẽ phân tích các dữ liệu trên,
chuyển các dữ liệu trên sang một định dạng mà SIEM có thể hiểu được (chuẩn hóa).
SIEM tìm ra các dữ liệu liên quan đến nhau rồi liên kết chúng với nhau (tương quan).
Qua đó, SIEM sẽ cảnh báo nếu có điều gì bất thường sắp xảy ra hoặc báo cáo dữ liệu
một cách trực quan đến quản trị viên . Cuối cùng, SIEM sẽ lưu trữ lại các dữ liệu không
còn cần thiết tới nơi khác.
Thu thập thông tin từ các thiết bị
Mục đích việc thu thập thông tin là để nắm bắt và chuẩn hóa các thông tin từ các
thiết bị an ninh khác nhau và cung cấp nó cho các máy chủ để phân tích tiếp. Chức năng
này là rất quan trọng vì các dữ liệu có định dạng khác nhau từ các thiết bị và nhà cungcấp
khác nhau. Sau khi dữ liệu đã được thu thập và chuẩn hóa có thể được sử dụng kết hợp

với các dữ liệu khác từ các nguồn khác. Khi đã cùng một định dạng thì việc phát hiện
sự kiện an ninh có khả năng độc hại được nâng cao và chính xác hơn.

21


Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM

Hình 3: Các nguồn dữ liệu SIEM thu thập

SIEM thu thập các bản ghi Log từ rất nhiều các thiết bị khác nhau như syslog/
agent, , việc truyền các bản ghi log từ các thiết bị nguồn tới SIEM cần được giữ bí mật,
xác thực và tin cậy bằng việc sử dụng syslog hoặc các giao thức SNMP, OPSEC, SFTP,
IDXP. Sau đó các bản ghi log chuẩn hóa đưa về cùng một định dạng. Nếu các thiết bị
không hỗ trợ syslog hay các giao thức này chúng ta cần phải sử dụng các Agent. Đó là
một điều cần thực hiện để thực hiện việc lấy các bản ghi log có định dạng mà SIEM có
thể hiểu được. Việc cài đặt các Agent có thể kéo dài quá trình triển khai SIEM nhưng
chúng ta sẽ có những bản ghi log theo dạng chuẩn mong muốn.
Có hai cách để SIEM thu thập bản ghi log từ các thiết bị nguồn:
1.5.1.1 Pull log
SIEM sẽ truy xuất tới các thiết bị nguồn và lấy các bản ghi log về. Thời gian để
truy xuất tới các thiết bị SIEM có thể tùy chọn.
Một phần mềm được cài đặt trên các thiết bị an ninh và sử dụng để lấy dữ liệu từ
các thiết bị bằng cảm biến hoặc máy chủ. Các thiết bị an ninh sử dụng plugin để phân
tích thông tin từ một định dạng cụ thể tùy thuộc vào thiết bị hoặc nhà cung cấp. Kỹ thuật
này thường sử dụng trên các máy chủ và máy trạm vì nó rất dễ dàng để cài đặt thêm
phần mềm vào.
22



Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM

1.5.1.2 Push log
Các thiết bị nguồn tự đẩy các bản ghi log về cho SIEM. Điều này cần tính toán về
chu kỳ thời gian đẩy các bản ghi về SIEM vì nếu không sẽ dẫn tới việc tràn và bận của
SIEM khi quá nhiều các thiết bị nguồn cùng gửi bản ghi log về.
Dữ liệu định dạng gốc được lấy từ các thiết bị an ninh. Việc này được thực hiện
bằng SNMP hoặc SYSLOG và không thay đổi được các phần mềm chạy trên các thiết
bị an ninh. Kỹ thuật này thường dùng cho các thiết bị mà khó có thể cài đặt thêm phần
mềm vào.
Khi các sự kiện an ninh đến máy chủ, mức độ ưu tiên sẽ được định dạng theo chuẩn
từ 0 đến 5. Người quản trị có thể điều chỉnh các giá trị mặc định thông qua một bảng
tiêu chuẩn và chính sách ưu tiên. Chính sách thu thập thông tin: Có thể thiết lập một
chính sách ưu tiên và thu thập ở các bộ cảm biến để lọc và củng cố các thông tin sự kiện
an ninh trước khi gửi chúng đến máy chủ. Kỹ thuật này cho phép người quản trị để điều
tiết sự kiện an ninh và quản lý những thông tin, nếu không sẽ rất nhiều các sự kiện an
ninh trong hệ thống mạng làm cho chúng ta lúng túng không biết bắt đầu từ đâu.
SIEM sử dụng một số kỹ thuật để thu thập log từ các thiết bị kết nối. Theo lí thuyết,
thu thập log có thể từ bất kỳ thiết bị gì, như firewall, router, server …, những thiết bị
này sẽ định tuyến log dữ liệu đến Collector, Logger và SIEM application. Nhưng đây là
cách khá bất khả thi. Vì thế, SIEM sử dụng các Agents - các process chạy trên các thiết
bị, các process này sẽ thu thập log từ nhiều nguồn thiết bị, server ... sau đó gửi qua
đường an toàn đến Collector. Ngoài ra, SIEM còn thu thập log không thông qua Agent.
Với cách này, Collector sẽ thu thập log từ các thiết bị thông qua một mạng chia sẻ, từ
một drive hoặc một nguồn được bảo vệ khác. Cách này chỉ sử dụng khi không có agent
thích hợp cho các thiết bị đặc biệt hoặc khi thiết bị đang chạy với công suất tối đa.

Phân tích, chuẩn hóa bản ghi log, tương quan các sự kiện an ninh
Mỗi dữ liệu bản ghi log có mỗi kiểu định dạng khác nhau. Trong môi trường doanh
nghiệp có thể có hàng trăm hệ thống từ đó thu thập và phân tích các bản ghi log. Mỗi hệ
thống có mục đích riêng và sự kiện có thể có những thông tin khác nhau. Giả sử chúng
ta bắt đầu thu thập các sự kiện và sự cố xảy ra. Làm thế nào chúng ta có thể tìm thấy các
sự kiện liên quan đến sự cố đó? Chuẩn hóa cung cấp khả năng ánh xạ các sự kiện từ bất
kỳ nguồn log nào vào chương trình. Mỗi loại nguồn log có thể có định dạng và nội dung
riêng. Các bản ghi proxy của Web chứa URL địa chỉ IP nguồn, mã trạng thái, tên và
23


Báo cáo tiểu luận chuyên ngành mạng máy tính

Hệ thống SIEM

phiên bản trình duyệt ... Các bản ghi tường lửa chứa các địa chỉ IP nguồn và đích và các
cổng, giao thức … Chuẩn hóa đưa các log trên về một định dạng riêng mà nó có thể hiểu
được. Khi các dữ liệu được chuẩn hóa thì một số thông số quan cần được lưu ý là : Date
– Time, Username, Source IP, Destination IP, Protocol, Request URL …
Quá trình tương quan sự kiện an ninh là từ các bản ghi sự kiện an ninh khác nhau
được liên kết lại với nhau nhằm đưa ra kết luận có hay không một tấn công vào hệ thống.
Quá trình đòi hỏi việc xử lý tập trung và chuyên sâu vì chúng phải hiểu được một tấn
công diễn ra như thế nào? Mà thông thường sẽ sử dụng các thông tin dữ liệu trong cơ sở
dữ liệu sẵn có và liên kết với các thông tin về bối cảnh trong môi trường mạng của hệ
thống. Các thông tin này có thể như các thư mục người dùng, các thiết bị và vị trí của
chúng. Điều tuyệt vời là SIEM có thể học được từ những sự kiện an ninh mới mà dữ
liệu gửi về và cập nhật các thông tin về bối cảnh.
Tương quan là việc liên kết nhiều sự kiện lại với nhau để phát hiện hành vi lạ. Nó
là sự kết hợp của các sự kiện khác nhau nhưng liên quan đến một sự cố duy nhất trong
hệ thống. Thông thường có hai kiểu tương quan là dựa trên các quy tắc kiến thức đã biết.

(Rule- based) và dựa trên phương pháp thống kê (statistical-based).
✓ Rule -based: Là phương pháp tương quan sự kiện dựa trên các quy tắc và kiến thức
đã biết về các cuộc tấn công. Các kiến thức đã biết về các cuộc tấn công được sử
dụng để liên kết các sự kiện lại với nhau và phân tích chúng trong một bối cảnh
chung, các quy tắc được xây dựng vào các mẫu xác định và do các nhà cung cấp
phát triển hoặc chúng ta có thể tự xây dựng, phát triển và bổ sung vào hệ thống theo
thời gian và kinh nghiệm tích lũy
✓ Statistical -based: Phương thức tương quan không sử dụng bất kỳ kiến thức của các
hoạt động cho là nguy hiểm đã biết trước đó. Nhưng thay vì dựa vào những kiến
thức của các hoạt động bình thường đã được công nhận và tích lũy theo thời gian.
Các sự kiện đang diễn ra được đánh giá bởi một thuật toán và có thể được so sánh
với mẫu bình thường để phân biệt hành vi bình thường và hành vi bất thường. Hệ
thống phân tích các sự kiện an ninh trong một khoảng thời gian và sử dụng trọng số
để đánh giá tài sản, hệ thống. Các giá trị trọng này sau đó được phân tích để xác
định nguy cơ kiểu tấn công này xảy ra. Các hệ thống này cũng thiết lập mức độ hoạt
động mạng bình thường và tìm kiếm sai lệch so với những mẫu có hành vi bình
thường có thể chỉ ra một cuộc tấn công.
24


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×