MỤC LỤC GIÁM SÁT BẢO MẬT SIEM 1 I TÌM HIỂU VỀ SIEM 1 1 Định nghĩa 1 2 Mục Đích của việc sử dụng SEIM 2 II SPLUNK 6 1 Splunk là gì? 6 2 Cách thức làm việc và chức năng của splunk 7 GIÁM SÁT BẢO MẬT SIE.Hệ thống giám sát an ninh mạng viết tắt là SIEM(Security information and event management – SIEM) là hệ thống được thiết kế nhằm thu thập và phân tích nhật ký, các sự kiện an ninh từ các thiết bị đầu cuối và được lưu trữ tập trung. Hệ thống SIEM cho phép phân tích tập trung và báo cáo về các sự kiện an ninh mạng của tổ chức, phát hiện thông qua các bộ luật tương quan (correlation rule), giúp phát hiện các cuộc tấn công mà không thể phát hiện được bởi các giải pháp thông thường (IDSIPS, Firewall…).
MỤC LỤC GIÁM SÁT BẢO MẬT SIEM I TÌM HIỂU VỀ SIEM .1 Định nghĩa Mục Đích việc sử dụng SEIM II SPLUNK .6 Splunk gì? .6 Cách thức làm việc chức splunk GIÁM SÁT BẢO MẬT SIEM SPLUNK I TÌM HIỂU VỀ SIEM Định nghĩa Hệ thống giám sát an ninh mạng viết tắt SIEM(Security information and event management – SIEM) hệ thống thiết kế nhằm thu thập phân tích nhật ký, kiện an ninh từ thiết bị đầu cuối lưu trữ tập trung Hệ thống SIEM cho phép phân tích tập trung báo cáo kiện an ninh mạng tổ chức, phát thông qua luật tương quan (correlation rule), giúp phát công mà phát giải pháp thông thường (IDS/IPS, Firewall…) 2 Mục Đích việc sử dụng SEIM Các tổ chức khác sử dụng hệ thống SIEM với mục đích khác nhau, lợi ích thu khác Ba lợi ích kể đến là: Quản lý tập trung Giám sát an ninh mạng Cải thiện hiệu hoạt động xử lý cố a Quản lý tập trung Rất nhiều tổ chức triển khai SIEM với mục đích nhất: tập hợp liệu thơng qua giải pháp nhật ký tập trung Mỗi thiết bị đầu cuối cần có hệ thống ghi lại kiện an ninh thường xuyên truyền liệu nhật ký (log) máy chủ SIEM Một máy chủ SIEM nhận liệu nhật ký từ nhiều thiết bị khác sau thực thống kê, phân tích, báo cáo để tạo báo cáo cho thấy tương quan kiện an ninh thiết bị Một tổ chức khơng có hệ thống tập trung liệu nhật ký cần nhiều công sức việc tập hợp báo cáo Trong môi trường vậy, cần phải tạo báo cáo riêng tình trạng hoạt động cho thiết bị đầu cuối, lấy liệu định kì cách thủ cơng từ thiết bị tập hợp chúng lại phân tích để thành báo cáo Khó khăn xảy khơng nhỏ khác biệt hệ điều hành, ứng dụng phần mềm khác dẫn đến nhật ký kiện an ninh ghi lại khác Nếu khơng có SEIM việc chuyển đổi chuẩn chung cho tất liệu nhật ký vất vả cồng kềnh HÌnh ảnh: Mơ tả việc thu thập log từ nhiều nguồn thiết bị b Giám sát an ninh mạng – SIEM Lí cho việc triển khai SIEM h ệ th ống phát cố mà thiết bị thông thường không phát Thứ nhất, nhiều thiết bị đầu cuối có phần mềm ghi lại kiện an ninh khơng tích hợp khả phát cố Dù quan sát kiện tạo nhật ký, chúng ln thiếu khả phân tích để xác định dấu hiệu hành vi độc hại Lý thứ hai nâng cao khả phát SEIM chúng cho thấy tương quan kiện thiết bị Bằng cách thu thập kiện tồn t ổ chức, nhìn thấy nhiều phần cơng thơng qua nhiều thiết bị, sau tái cấu trúc lại kiện để đánh giá xem công thành cơng hay chưa Từ xác định xem máy chủ mục tiêu bị nhiễm mã độc hay chưa k ết cơng để từ đưa giải pháp cách ly kịp thời để cách ly riêng xử lý cu ộc t ấn công SEIM thay IPS, firewall hay phần mềm antivirus, bì SEIM độc lập khơng có chức ngồi theo dõi kiện Để có kh ả ngăn chặn công mà chúng phát diễn SEIM cần kết nối vào hệ thống an ninh khác hệ thống tường lửa chuyển chúng đến phần cấu hình để ngăn chặn hành vi nguy hiểm Điều cho phép SEIM ngăn chặn công mà thành phần an ninh khác không phát c Cải thiện hoạt động phát xử lý c ố Một lợi ích khác hệ thống SIEM gia tăng đáng kể hiệu việc xử lý cố, tiết kiệm đáng kể thời gian nguồn lực nhân viên xử lý cố SIEM cải thiện điều cách cung một giao diện đơn giản để xem xét tất liệu nhật ký an ninh từ nhiều thiết bị đầu cuối Ví dụ: Cho phép nhân viên xử lý cố nhanh chóng phát mũi công vào doanh nghiệp Cho phép xác định nhanh chóng tất thiết bị đầu cuối bị ảnh hưởng công Cung cấp chế tự động nhằm ngăn chặn công diễn cách ly thiết bị đầu cuối bị xâm hại Hệ thống SIEM cho phép tổ chức có nhìn tổng thể kiện an ninh của hệ thống Bằng cách tập hợp từ thiết bị an ninh, thiết bị đầu cuối ứng dụng SEIM phân tích lượng liệu lớn nhằm mục đích đánh giá công xâm hại ẩn dấu sau liệu II SPLUNK Splunk gì? Splunk phần mềm giám sát an ninh mạng dựa sức mạnh phân tích log Splunk thực cơng việc tìm kiếm , giám sát phân tích giữ liệu log lớn sinh từ thiết bị ứng dụng khác Nó làm việc với định dạng liệu khác Cách thức làm việc chức splunk Tính định dạng Log: Splunk hỗ trợ tất loại log hệ thống, thiết bị hạ tầng mạng, phần mềm, Firewall, IDS/IPS, Log Event, Register máy trạm Các hình thức thu thập liệu: Splunk thực việc thu thập log từ nhiều nguồn khác Như từ file nén, thư mục, Qua kết nối UDP, TCP từ Splunk Server khác mơ hình Splunk phân tán, từ event Logs từ windows Cập nhật liệu: Splunk cập nhật liệu liên tục có thay đổi thời gian thực Giúp cho việc phát cảnh báo xác thời gian thực Tìm kiếm thơng tin: Splunk làm việc với liệu lớn cập nhật liên tục Nó cung cấp chế tìm kiếm với “Splunk Language” thơng minh bao gồm từ khóa, hàm Khắc phục cố: splunk còn cung cấp chế tự động khắc phục vấn đề đe dọa xảy cách chạy lệnh file Script mà người dùng tự tạo ví dụ chặn ip, chặn port có cảnh báo cố Hiển thị thông tin: Splunk cung cấp giao diện web trực quan chuyên nghiệp để người dùng dễ dành đánh giá hình dung tình trạng hệ thống dễ dàng Một vài điều đáng lưu ý: Splunk mạnh khả phân tích logs mạnh mẽ nhiên lại khơng mạnh việc thu thập truyền tải logs Cụ thể chưa có khả bảo mật đường truyền, không phù hợp với hệ thống đòi hỏi yêu cầu bảo mật cao Splunk chưa có chế giúp tự động phát công hay vấn đề từ bên Những điều phụ thuộc vào kinh nghiệm sử dụng vốn hiểu biết bảo mật người quản trị Đề triển khai hệ thống sử dụng Splunk hiệu cần có hệ thống riêng, trở ngại khơng nhỏ với hệ thống có quy mơ trung bình nhỏ ...GIÁM SÁT BẢO MẬT SIEM SPLUNK I TÌM HIỂU VỀ SIEM Định nghĩa Hệ thống giám sát an ninh mạng viết tắt SIEM( Security information and event management – SIEM) hệ thống thiết kế... cồng kềnh HÌnh ảnh: Mơ tả việc thu thập log từ nhiều nguồn thiết bị b Giám sát an ninh mạng – SIEM Lí cho việc triển khai SIEM h ệ th ống phát cố mà thiết bị thông thường không phát Thứ nhất,... ẩn dấu sau liệu II SPLUNK Splunk gì? Splunk phần mềm giám sát an ninh mạng dựa sức mạnh phân tích log Splunk thực cơng việc tìm kiếm , giám sát phân tích giữ liệu log lớn sinh từ thiết bị ứng