MỤC LỤC HỆ THÓNG GSANMTổng quan về hệ thống GSANMTầm quan trọng của GSANM Những yếu tố cần thiết cho một hệ thống GSANMCông nghệ triển khai hệ thống GSANM Một số giải pháp công nghệ GSAN
HE THONG GIÁM SÁT AN NINH MẠNG (GSANM) - Tổng quan lý thuyết, khái niệm co bản về hệ thống GSANM- Giới thiệu một số giải pháp GSANM nỗi bật.
1.1 Tổng quan về hệ thống GSANM
Hệ thống GSANM là hệ thống quản lý và phân tích các sự kiện ATTT được sinh ra từ các thành phần trong hạ tang công nghệ thông tin của cơ quan/tổ chức từ đó kịp thời phát hiện các sự cố, nguy cơ mat ATTT (các cuộc tan công mạng, máy tính nhiễm mã độc, các lỗ héng bao mật của các thiết bi/img dụng ), đồng thời cung cấp bằng chứng số phục vụ công tác điều tra khi xảy ra sự cố cũng như giám sát việc tuân thủ chính sách an ninh thông tin của các thành phan trong hệ thống thông tin của cơ quan/té chức.
1.1.1 I.LI Tam quan trọng cia GSANM
Ngày nay, hệ thống mạng có độ phức tạp ngày càng cao Các thiết bị như router, switch, hub đã kết nối vô số các máy con đến các dịch vụ trên máy chủ cũng như ra ngoài
Internet Thêm vào đó là rất nhiều các tiện ích bảo mật và truyền thông được cài đặt bao gồm ca tường lửa, mạng riêng ảo (VPN), các dich vụ phòng chống mã độc và thư rác Sự hiểu biết về cấu trúc của hệ thống cũng như có được khả năng cảnh báo về hệ thống là một yếu tố quan trọng trong việc duy trì hiệu suất cũng như tính toàn vẹn của hệ thống Có hàng ngàn khả năng có thé xảy ra đối với một hệ thống và quản trị viên phải dam bảo được rằng các nguy cơ xảy ra được thông báo một cách kịp thời và chính xác.
Hệ thống mạng không còn là một cấu trúc cục bộ riêng rẽ Nó được xây dựng dé phục vụ các nguồn truy cập từ Internet, mạng cục bộ (LAN), mạng diện rộng (WAN), với sự kết hợp của các thiết bị, server (máy chủ), ứng dụng chạy trên hệ thống đó.
Thực tế là các hệ thống mạng rất phức tạp và mỗi thành phần trong mạng đại diện cho một nguy cơ ảnh hưởng đến hệ thống Đó cũng là lý do tại sao nó cần thiết phải được giám sát để giảm thiểu tối đa các nguy cơ tiềm tàng Tuy nhiên không phải mọi vấn đề đều có thé được giải quyết một cách chủ động trước bat kỳ dấu hiệu cảnh báo nao Nhưng nếu ta có thé giám sát hệ thống trong thời gian thực thì có thể xác định các van đề trước khi chúng trở nên nguy hiểm hơn Ví dụ, một máy chủ bị quá tải có thể được thay thế trước khi nó bị treo Điều này sẽ làm giảm thiểu các nguy cơ đối với hệ thống và tăng hiệu suất làm việc của hệ thống Với một hệ thống GSANM, ta sẽ biết được tình trạng của tất cả các thiết bị trên mang mà không cần phải kiểm tra một cách cụ thé từng thiết bị và cũng nhanh chóng xác định chính xác vấn đề khi cần thiết.
1.1.2 1.1.2 Những yếu tô cần thiết cho một hệ thong GSANM
Dé hiểu được về hệ thống, cần một giải pháp giám sát dé có thể cung cấp các thông tin quan trọng trong thời gian thực và ở bat cứ đâu cũng như bắt cứ thời điểm nao Đối với các doanh nghiệp, tổ chức thì cần các giải pháp đơn giản đề triển khai, sử dụng Nếu một tô chức yêu cầu tính sẵn sàng cao, thì cần một giải pháp tin cậy đã được triển khai và chứng minh là hoạt động tốt.
Hệ thống mạng ngày nay có rất nhiều thiết bị trên hệ thống và phải thu thập rất nhiều thông tin liên quan Chính vì vậy cần một giải pháp hiển thị hệ thống như bản đồ mạng, báo cáo dữ liệu, cảnh báo sự có Bên cạnh việc xử lý sự cô dé dàng hơn, điều này sẽ giúp tận dụng mạng lưới dữ liệu để hiểu được các xu hướng trong việc sử dụng thiết bị, sử dụng mang, và dung lượng mạng tong thé dé thiết kế hệ thống mạng lưới hiệu qua.
Theo NIST SP 800-137 [7], các bước trong tiến trình giám sát liên lục gồm:
Xác định chiến lược: định nghĩa chiến lược theo chính sách rủi ro của tô chức, xây dựng và triển khai các chính sách, phát triển các thủ tục và các mẫu đề hỗ trợ thực hiện chiến lược và chính sách.
Thiết lập đo lường và các đại lượng đo: thiết lập những thông số và tình trạng của các thành phần cần xác thực/không xác thực trên mạng để thu thập các thông tin cho hoạt động giám sát như tình trạng hoạt động của thiết bị, các giao tiép vào ra, phan bố các dòng dữ liệu (flow), Các đối tượng được giám sát như giám sát nguồn/đích và lưu lượng luồng dữ liệu, giám sát các dịch vụ như các công, các giao thức, giám sát các loại dữ liệu như các sơ sở đữ liệu, thư điện tử,
Thiết lập giám sát và theo dõi thường xuyên: Giám sát và kiểm soát các đại lượng và các phép đo thường xuyên dựa trên một số thông tin như: các rủi ro về hệ thống của tổ chức, thông tin về các mối nguy và lỗ hông bảo mật, kiểm soát các điểm yếu đã được nhận diện, kiểm soát các chức năng bảo mật quan trọng, kết quả nhận diện các rủi ro, các yêu cầu báo cáo,
Thực hiện giám sát: thu thập thông tin đã thiết lập cho hoạt động giám sát.
Phân tích các thông tin (dữ liệu) có liên quan và lập báo cáo: dữ liệu được phân tích trong ngữ cảnh như các rủi ro của tô chức đã được chấp nhận, các điểm yếu tiềm an trong các quá trình vận hành hệ thống mạng của của tô chức.
Phan ứng với các rủi ro như từ chối, chuyển, hoặc chấp nhận Cảnh báo là một trong những bước đầu tiên quan trọng của việc phản ứng Dựa trên đó, người
15 quản trị hoặc người có trách nhiệm sẽ thực hiện các hành động tiếp theo trực tiếp tại chỗ hay từ xa như tiếp tục theo dõi, xử lý, thay đôi, xoá
- Xem xét lại và cập nhật chiến lược và chương trình giám sát.
Các bước này cần được lưu ý và triển khai trong các hệ thống GSANM Tuy theo điều kiện và yêu cầu thực tế mà hệ thống GSANM ở mỗi tổ chức sẽ được hoạch định và triển khai khác nhau theo các tiêu chí khác nhau.
1.13 1.1.3 Công nghệ triển khai hệ thống GSANM
Có nhiều công nghệ được dùng cho các hệ thống GSANM Tuy nhiên, có thé phân thành 3 nhóm công nghệ cơ bản thường dùng cho các hệ thống các hệ thống GSANM liên tục:
- Thu thập dữ liệu trực tiếp về tình trạng hoạt động của mạng thông qua các giao thức như ICMP, SNMP, Syslog, NetFlow,
- _ Tổng hợp và Phân tích bằng giải pháp SIEM (Quản lý sự kiện và thông tin bảo mật), quản lý qua Dashboard.
- Tu động hoá: giao thức SCAP (Security Content Automation Protocol - Giao thức tự động bảo mật nội dung).
THIET KE GIẢI PHÁP GSANM CHO HE THONG MẠNG TẠI HỆPHONG QUAN LÝ XUẤT NHẬP CANH CATP HÀ NỘI - Khảo sát, phân tích hệ thống mang tại phòng Quản lý xuất nhập cảnh CATP Hà
- Phan tích đánh giá các nguy cơ, rủi ro đối với hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội Xác định các thành phần cần được giám sát từ đó đưa ra các yêu cầu, tiêu chí để lựa chọn, thiết kết giải pháp GSANM phi hop.
- Lwya chọn, dé xuất giải pháp, công nghệ GSANM phù hợp.
2.1 Các thành phần của hệ thống GSANM cho hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội
Hệ thống GSANM tại phòng Quản lý xuất nhập cảnh CATP Hà Nội được xây dựng theo mô hinh triển khai với giải pháp phần mềm ArcSight đã lựa chọn gồm 3 thành phan: thành phần thu thập thông tin, thành phần lưu trữ, phân tích sơ bộ thành phần phân tích quản trị tập trung được tích hợp với mô hình hoạt động cụ thể như sau: a can ig
Thu tập thông tin dữ liệu từ các thiết bị thành phần trong hệ thống mạng Thông tin thu thập được chuẩn hóa theo mẫu dữ liệu phù hợp của hệ thống GSANM va gửi tới Thành phần Lưu trữ và Phân tích sơ bộ để lưu trữ, quản lý tập trung.
Thanh phan thu thập thông tin sử dụng phần mềm ArcSight Connector được cai đặt dưới dang agent dé thu thập thông tin từ máy chủ thiết bị, chuẩn hóa thông tin theo chuẩn ArcSight SmartMessage rồi gửi tới thành phần lưu trữ phân tích sơ bộ Hệ thống cũng sử dụng 01 máy chủ được cài đặt các agent AreSight Connector phù hợp để kết nối và thu thập thông tin từ các thiết bị không thực hiện cai đặt được agent (CoreSwitch, Firewall ).
Một số phần mềm có hỗ trợ sẵn chuẩn thông tin ArcSight SmartMessage và sử các giao thức chuẩn cho phép kết nối với thành phần phân tích sơ bộ (ArcSight Logger) sẽ không cần sử dụng thêm connector dé hỗ trợ thu thập thông tin (WebSense).
1.1.7 — 2.L2 Thanh phan lưu trữ, phân tích sơ bộ
Nhận thông tin thu thập được từ thành phần thu thập Lưu trữ và phân tích sơ bộ các thông tin thập được sau đó chuyển thông tin cần thiết tới Thành phần phân tích và quản trị tập trung Thành phần này cho phép định nghĩa các luật cơ bản để trích lọc, tìm kiếm các thông tin cần thiết để phân tích và quản trị Việc phân tích tại thành phần lưu trữ chỉ thực hiện được ở mức cơ bản, chủ yếu phục vụ công tác tra cứu thông tin và trích lọc, giảm bớt các thông tin, dữ liệu không cần thiết dé gửi tới Thành phần Phân tích Quản trị tập trung.
Thành phần lưu trữ, phân tích sơ bộ được cài đặt trên 01 máy chủ với phần mềm
Trong phạm vi của đề tài, người thực hiện chi sử dụng thành phan lưu trữ dé tìm kiếm, tra cứu thông tin, chưa thực hiện trích lọc phân tích sơ bộ thông tin Toàn bộ thông tin thu thập được từ thành phần thu thập sẽ được lưu trữ và chuyên tiếp tới Thành phần quản tri tập trung.
1.1.8 2.1.3 Thành phan phân tích quan trị tập trung
Phân tích sâu các thông tin sự kiện được chuyên tới từ thành phần lưu trữ Sử dụng các tập luật, chính sách đề phân tích đưa ra các cảnh báo tới người quản trị về các lỗ hồng, nguy cơ xuất hiện trong hệ thống mạng.
Thành phan phân tích quan trị tập trung được cai đặt trên 01 máy chủ, sử dụng phần mềm Arcsight ESM (Enterprise Security Management) để thu nhận và phân tích thông tin.
1.1.9 2.1.4 Các giao thức sử dụng tích hợp các thành phan trong GSANM
Trong phạm vi đề tài, người thực hiện sử dụng một 86 giao thức chuẩn như SNMP, sFlow/NetFlow, Syslog, HTTP/HTTPS để kết nối các thiết bị cần thu thập thông tin, tích hợp, trao đổi thông tin giữa các thành phan trong hệ thống GSANM Thông tin sơ lược về các giao thức được sử dụng như sau: a Giao thức SNMP [4|
Vào đầu năm 1988, Tổ chức kiến trúc Internet IAB (Internet Architecture Board) nhận thấy sự cần thiết có bộ công cụ quản lý cho TCP/IP nên đã cho ra đời RFC 1052.
REC 1052 là các yêu cầu tiêu chuan hoá quản lý mạng và tập trung vào các van dé quản lý mạng phải thực hiện: vé Đảm bảo tính mở rộng
+ Đảm bảo tính da dạng dé phát triển ¥ Pam bảo tính đa dạng trong quản lý
+ Bao trùm nhiều lớp giao thức Tháng 4 năm 1993, SNMPv2 trở thành tiêu chuẩn quản ly mạng đơn giản thay thé SNMPv1 SNMPv2 bổ sung một số van dé mà SNMPv1 còn thiếu Tuy nhiên, SNMPv2 khá phức tạp và khó tương thích với SNMPv1.
Năm 1997, SNMPv3 ra đời nhằm tương thích với các giao thức đa phương tiện trong quản lý mạng, phát triển trên nền Java và đưa ra kiến trúc và giao thức mới như giao thức quản ly đa phương tiện HMMP (Hypermedia Management Protocol).
- Ưu điểm sử dung giao thức SNMP: SNMP được thiết kế dé đơn giản hóa quá trình quản lý các thành phan trong mạng Nhờ đó các phần mềm SNMP có thé được phát triển nhanh và tốn ít chỉ phí SNMP được thiết kế để có thể mở rộng các chức năng quản lý, giám sát Khi có một thiết bị mới với các thuộc tính, tính năng mới thì người ta có thé thiết kế tùy chọn SNMP dé phục vụ cho riêng mình.
TRIEN KHAI XÂY DỰNG HỆ THONG GSANM CHO HỆ THONGMẠNG TẠI PHONG QUAN LÝ XUAT NHẬP CẢNH CATP HÀ NỘI
Thiết kế mô hình hoạt động, giải pháp kỹ thuật, giao thức kết nối các thành phần của Hệ thống GSANM tại phòng Quản lý xuất nhập cảnh CATP Hà Nội dựa trên giải pháp đã lựa chọn trong chương 2
Xây dựng, triển khai cài đặt, cau hình các thành phan của hệ thống GSANM Xây dựng một số chính sách thực hiện giám sát cơ bản.
Theo dõi hoạt động của hệ thống GSANM đã xây dựng.
3.1 Đề xuất giải pháp, mô hình hệ thống GSANM phù hợp cho hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội
1.1.14 3.1.1 Các yêu cầu đỗi với hệ thong GSANM phù hợp
Hiện nay, để xây dựng một giải pháp GSANM theo các yêu cầu như trên có nhiều lựa chọn do các hãng uy tín trên thế giới đề xuất như IBM Qradar, HP ArcSight, McAfee ESM hay xây dựng dựa trên mã nguồn mở như OSSIM, mỗi giải pháp đều có thế mạnh và mô hình ứng dụng phù hợp riêng Qua phân tích đánh giá về hiện trạng hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội như trên, người thực hiện đề nhận thấy để quản trị bảo mật hiệu quả, hệ thống GSANM phủ hợp với hiện trạng hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội cần đáp ứng được các tiêu chí như sau:
Việc triển khai hệ thống GSANM đảm bảo không thay đổi kiến trúc mạng của hệ thống, các thiết bị phần cứng có thê đặt ở bất kỳ đâu trong hệ thống mạng như các máy chủ.
Có kha năng thu thập, lưu trữ va quản tri tập trung log/cac sự kiện an ninh của tất cả các thiết bị/hệt hống/ứng dụng của tô chức bao gồm: Hệ thống hạ tang mạng (thiết bị Switch, Router), hệ thống bảo mật (Firewall, IPS, Web Proxy,
Mail Gateway, DDoS Protection, Web Application Firewall, Database firewall, database monitoring, hé théng Anti Virus/Endpoint Security, hé théng do quét/quản lý điểm yéu, ), hệ thống ứng dụng (Web Server, Mail Server, Database Server, Active Directory, ), hệ thống máy trạm, máy chủ
Cung cấp khả năng quan trị log/sự kiện an ninh một cách mềm dẻo và tối ưu bao gồm: Khả năng lưu trữ log trong thời gian dai, dam bảo tuân thủ yêu cầu của các tiêu chuân ATTT , Khả năng thiết lập chính sách lưu log mềm dẻo khác nhau tùy theo từng loại log, có cơ chế nén log để tối ưu hóa lưu trữ, có cơ chế đánh chỉ mục dé cho phép tìm kiếm hiệu quả, có cơ chế kiểm tra tính toàn vẹn của log được lưu trữ.
- = Cung cấp khả năng tổng hợp, phân tích bảo mật dựa trên log/sự kiện bảo mật từ nhiều nguồn khác nhau để xác định các nguy cơ, đe dọa bảo mật, các vi phạm bảo mật tại thời điểm hiện tại cũng như trong quá khứ Cho phép đánh giá mức độ rủi ro/ảnh hưởng (Risk) của các đe dọa, các tấn công, vi phạm được khám phá ra, giúp tô chức ước lượng rủi ro bảo mật của hệ thống.
- C6 khả năng giám sát nội dung của ứng dụng truyền gửi, các truy xuất tới hệ thống database, tái tạo các kết nối kết hợp phân tích tương quan với hệ thống log sẵn có dé khám phá các tấn công, nguy cơ bảo mật chưa biết cũng như cung cấp bằng chứng trong việc truy vết và điều tra bảo mật.
- Kha năng cập nhật và đánh giá tương quan giữa hệ thống hiện tại bên trong tổ chức với các thông tin bảo mật, các tấn công, đe dọa trên Internet Từ đó xác định các nguy cơ tiềm ấn đã, đang và sẽ diễn ra đồng thời điều tra đưa ra biện pháp đối phó nhanh chóng, phù hợp.
- Kha năng báo cáo bảo mật và hỗ trợ tuân thủ theo một số tiêu chuẩn như
ISO/IEC 27002:2005, JOX, NERC, NIST 800-53, PCI-DSS, HIPAA, FISMA,
GLBA, SOX , có quy trình quan lý các security case — Case Management.
- — Nên được thiết kế với tính sẵn sàng cao, kha năng mở rộng dé dàng: dam bảo tính sẵn sàng nhận log, lưu log, xử lý log, điều tra cũng như đảm bảo khả năng mở rộng hệ thống SIEM khi hệ thống công nghệ thông tin của tổ chức được mở rong.
Sau khi nghiên cứu, đánh giả các giải pháp SIEM nỗi bật, đồng thời với phân tích, đánh giá hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội như trên, người thực hiện đề xuất xây dựng hệ thống GSANM cho hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội dựa trên sản phẩm ArcSight SIEM của HP.
ArcSight SIEM là giải pháp cung cấp một công cụ mạnh mẽ cho các tổ chức trong việc thu thập và giám sát các sự kiện an ninh xảy ra trong hệ thống Từ đó cho phép các tổ chức chủ động ngăn chặn các tan công/các mối de dọa sớm hon.
ArcSight SIEM có những đặc điểm nổi bật phù hợp với yêu cầu như sau:
- _ Về tính năng thu thập
Y Hỗ trợ thu thập nhật ký từ nhiều loại sản phẩm, thiết bị và từ nhiều nhà cung cấp khác nhau Các loại thiết bị như: thiết bị mạng, thiết bị an ninh mạng, các hệ điều hành, hệ thống kiểm soát truy cập, các ứng dụng, CSDL,
Cho phép mở rộng khả năng thu thập nhật ký đối với các ứng dụng chuyên biệt của tổ chức thông qua việc sử dụng công cụ tùy biến việc thu thập nhật ký.
Hỗ trợ triển khai theo dạng tập trung, phân tán hoặc kết hợp Việc quản trị được thực hiện tập trung.
Hỗ trợ nhiều công nghệ cho việc thu thập nhật ký Giải pháp cho phép thu thập theo dang Agent và Agent-less.
Nhật ký được thu thập và lưu trữ tồn tại cả ở dạng nguyên ban (Raw log).
Thực hiện chuẩn hóa các nhật ký sau thu thập thành một dạng chung, phổ biến (CEF) Đồng thời các trường giá trị của nhật ký được phân tách và phân loại rõ ràng. Đảm bảo an toàn cho dữ liệu nhật ký sau khi thu thập và trong quá trình truyền tải, thông qua sử dụng tính năng như: mã hóa, nén.
Cho phép kiểm soát băng thông sử dụng cho việc truyền dữ liệu nhật ký sau khi thu thập.
Cho phép thực hiện thu thập có chọn lọc thông qua tính năng loc (Filter).
Thành phần thu thập cho phép truyền dữ liệu đến nhiều đích khác nhau theo các cơ chê như: Active-Active, Fail-over.
- — Về tinh năng phân tích v Cung cấp sẵn các công cụ cho việc theo dõi an ninh như: Dashboard,
Cho phép tùy biến, thay đổi các công cụ theo dõi theo mục đích và phù hợp với hệ thống hiện tại.
Cho phép thực hiện phân tích sâu (Drill down) ở bat cứ đâu ngay cả trên giao diện Dashboard.
BÓN BƯỚC BAO MẬT THÔNG MINHThiết bị CORR tăng cường phân tích bao mật: - š - Phát hiện nhiều nguy hiém - Định vị đữ liệu
~ Hoạt dong hiệu qua hon
Thu thập đữ liệu từ dam mây, hệ - Danh giá nguy hiệm thời gian thực thông ảo và các thiết bi thực dé - Tìm kiêm hiểm hoạ nhanh —_ hoàn toàn minh bach dit liệu va - Thu thập thông tin liên quan về việc truy cận đến nỗ các vai trò người dùng, giới hạn tải nguyễn và dữ liệu theo thời gian thực va sử dung nó dé giảm
@ Tích hợp dữ liệu thông qua tự nhhững tác động sai trái động hod va qua trình xử lý các quy luật cơ bản HP Aresight chuẩn hoá va phân loại dir liệu nhật ký thành hon 400 trường thông tin vi, Kết qua
+ Giảm sat sự kiện bảo mật đơn viv xI/ sls san tiles ail aad @ fa dé quản ly
* HP ArcSight SIEM xử lý các ©D rts si te tee tev ink eS hop ác chật ý inhi nguôn Ge Sh Settee va tương tac các sự kiện với pees nhau dé tạo những cảnh bảo theo thời gian thực
L4 ArcSight các thiết bị máy chủ CORR (Correlation
Retrieval) như một nên tảng dé phát hiện hiếm hoa, phan tích an ninh va quan tý dik liệu nhật key
Hình 3.1: ArcSight SIEM — 4 bước để đảm bảo an toàn a Thực hiện thu thập nhật ký (Data collection)
Công việc đầu tiên là thực hiện thu thập tất cả các thông tin từ tất cả các thiết bị về một chỗ Điều này có nghĩa là thực hiện thu thập thông tin từ: cloud, virtual và các thiết bị như: thiết bi mạng (network device), các ứng dụng (applications), các máy chu (servers), CSDL (databases), các máy trạm (desktops) và các thiết bị an ninh (security devices) Việc thực hiện thu thập thập toàn bộ các thông tin sẽ cho tô chức nhìn thấy rõ Ai đang thực hiện truy cập vào thông tin? Thông tin nào được người dùng đang thực hiện truy cập đến? Truy cập đó được thực hiện khi nào và từ đâu?
ArcSight Connector cho phép thu thập từ hơn 350 sản phẩm từ hơn 100 nhà sản xuất khác nhau, các tổ chức có thể hoàn toàn sử dụng dạng Agent-less dé thu thập thông tin.
ArcSight Connector thực hiện thu thập hoàn toàn thông minh và chủ động chứ không phải bị động ArcSight Connector cho phép thực hiện: loc (filter), tích hợp (aggregation) dé đáp ứng nhu cầu thu thập, lưu trữ và xử lý các thông tin nhật ký cần thiết thay vì phải thực hiện toàn bộ Các tính năng như: mã hóa, nén (compression), kiểm soát băng thông (bandwidth control), lưu trữ tạm thời (caching), truyền dữ liệu theo đợt (batching) cho phép giải quyết bài toán khi kết nối mạng gặp sự cố, hay khi triển khai qua mạng WAN.
Ngoài ra đối với các ứng dụng, hệ thống chưa được hỗ trợ bởi ArcSight có thể được thu thập nhật ký thông qua phần mềm FlexConnector Kit, đây là một công cụ phát triển cho phép khách hàng tùy biến để thu thập nhật ký. b Thực hiện tích hợp dữ liệu nhật ký (Data integration) Đây là một điểm quan trọng, nếu đữ liệu nhật ký chỉ đơn thuần là thu thập ở dạng thô (raw) và không được xử lý thì hệ thống sẽ không thé hiểu và phân tích được Việc này được ArcSight Connector xử lý thông qua tinh năng chuẩn hóa và phân loại nhật ký Sau khi thu thập nhật ký sẽ được chuẩn hóa thành một định dạng chung nhất là Comment Event Format (CEF) ArcSight sử dụng một lược đồ với hon 400 trường thông tin dé phân tách nhật ký, do vậy các thông tin trong một sự kiện nhật ký sẽ được hién thị rõ ràng.
Khả năng này cho phép hệ thống ArcSight thực hiện phân tích sự tương quan giữa các sự kiện an ninh một cách chính xác, hiệu quả, đồng thời cho phép khách hàng tủy biến và tạo mới tối đa các giao diện theo dõi, các luật theo một nhu cầu theo dõi an ninh nao đó.
Jun 17 2009 12:16:03: %PIX-6-106015: Deny TCP (no connection) from 10.50.215.102/15605to204.110.227.16/443 flags FINACK on interface outside
Jun 17 2009 14:53:16 drop gw.foobar.com >eth0 product VPN-1 & Firewall-1 src xxx.xxx.146.12_port 2523 dst XXX.XXX.10.2 service ms-sql-m proto udp rule 49
Cisco PIX Access /Firewall ‘Failure
‘Checkpoint Firewall-1/VPN-1 JAccess/Start (Firewall /Failure
Hình 3.3: Mẫu dữ liệu nhật kỷ sau khi được ArcSight chuẩn hóa
%ASA-6-106015: Deny TCP (no connection) from 192.168.1.102/59738 to 67.210.229.52/443 flags FIN ACK on interface inside into structured categorySignificance /nformational/Warning deviceVendor cisco categoryBehavior /Access deviceProduct ASA categoryDeviceGroup /Firewall deviceEventClassid 106015 categoryOutcome /Failure name Deny TCP categoryObject /Host/Application/Service transportProtocol TCP + sourceAddress 192.168.1.102 sourcePort 59738 | analyze | destinationAddress 67.210.229.52 destinationPort 443 = 5 deviceInboundInterface inside Vendor independent
Hinh 3.4: ArcSight chuẩn hóa nhật ky thành I định dạng chung CEF c Phân tích dữ liệu (Data analysis)
Nhật ký sau khi được thu thập và chuẩn hóa sẽ được tiến hành phân tích theo thời gian thực ArcSight sử dụng nhiều kỹ thuật để thực hiện việc phân tích như: dua theo mẫu, theo hành vi, sử dụng ngữ cảnh dé phân tích.
Hình 3.5: Các kỹ thuật ArcSight su dụng để phân tích tương quan (Correlation)
Ngữ cảnh là vô cùng quan trọng đôi với hệ thông SIEM và ArcSight SIEM thực sự hiểu được ngữ cảnh trong môi trường của tổ chức. Đầu tiên ngữ cảnh ở đây là tài nguyên mạng (assets) Điểm yếu nào mà tài nguyên của hệ thống dé bị tắn công ? Công kết nối nào trên tài nguyên của hệ thống đang thực hiện lắng nghe ? Tài nguyên nào trong mạng là quan trọng? Nếu một máy chủ đang chạy ứng dụng Web thì đó là một tài nguyên vô cùng quan trọng Nếu đó là chỉ là một máy chủ dịch vụ in thì nó không thực sự quan trọng.
Tất cả các thông tin đó sẽ cung cấp cho ArcSight ngữ cảnh dé giúp hệ thống đánh giá mức độ ưu tiên.
Nếu có một ai đó đang thực hiện tan công vào hệ thống và trên tài nguyên đó không tồn tại điểm yếu và không lắng nghe trên công kết nối mà kẻ tan công đang có khai thác,
ArcSight SIEM sẽ đưa ra cảnh báo cho người quản tri cùng với độ ưu tiên và mức độ cảnh báo là thấp (low) Tuy nhiên nếu đó là một tài nguyên quan trọng và tài nguyên đó dang lắng nghe trên công mà kẻ tấn công đang khai thác thi ArcSight SIEm sẽ đưa ra cảnh báo cùng độ ưu tiên và mức độ cảnh báo là cao (high).
Ngữ cánh tiếp theo là người dùng, ArcSight tích hợp với hệ thống Indentity Management (IdM) như Microft Active Directory, ArcSight có khả năng hiểu các thuộc tính của người dùng như: vai trò của người dùng, tài khoản của người dùng, bộ phận của người dùng và trạng thái của người dùng đó Điều này giúp ArcSight có thêm ngữ cảnh để hiểu người dùng hoặc nhận ra các van đề như sự vi phạm vai trò của người dùng Ví dụ: một ai đó nằm trong bộ phận Sales thực hiện truy cập trực tiếp đến hệ thống CRM thông qua hệ thống File trong khi họ chỉ được phép truy cập qua giao điện Web Portal.
: | 0 ackson@arc.com Robert ẹ i robertj Jackson ¡0ì rjackson_dba 510-555-1212 it
Hinh 3.6: ArcSight Identity View Va ngữ cảnh tiép theo là vi trí, bao gôm hai khía cạnh là vật ly (physical) va logic.
ArcSight cho phép hiểu được kiến trúc của hệ thống mạng như: đâu là Internal, External; đâu là vùng mạng DMZ Server; đâu là vùng mang Client Việc hiểu được khía cạnh nay sẽ cho phép ArcSight phân tích va đưa ra cảnh báo chính xác hon.