CƠNG TY TNHH AN NINH AN TỒN THƠNG TIN CMC – CMC CYBER SECURITY LTD Tầng 15 tòa nhà CMC, phố Duy Tân, Dịch Vọng Hậu, Cầu Giấy, Hà Nội | Tel: 84.4.3795 8282 | Fax: 84.4.3984 5053 | www.cmccybersecurity.com 15th Floor, CMC Tower, Duy Tan Street, Dich Vong Hau Ward, Cau Giay District, Hanoi | Tel: 84.4.3795 8282 | Fax: 84.4.3984 5053 | www.cmccybersecurity.com DATASHEET GIẢI PHÁP THU THẬP, QUẢN LÝ TẬP TRUNG VÀ PHÂN TÍCH DỮ LIỆU AN NINH AN TỒN THƠNG TIN (CMC SMART SENSOR & SIEM) **Thành viên thức AVAR ICSA** Hà Nội, 03/07/2020 CƠNG TY TNHH AN NINH AN TỒN THƠNG TIN CMC Version 2.0 Date 10/07/2020 Document Type Datasheet Nguyen Anh Tai Prepared By Luu Duc Hien Ta Dang Son Tung I Cấu phần thu thập thông tin CMC Smart SensorTM Là chìa khóa cho việc thu thập thơng tin, Sensor lắp đặt kết nối với Core Switch mạng thông qua SPAN Port để giám sát traffic Smart Sensor đồng thời đóng vai trị thiết bị log collector nhận nhiều loại log khác từ cấu phần Firewall, Router, ứng dụng Các tính CMC Smart Sensor: Tính Lợi ích Hỗ trợ quan sát lưu lượng mạng vào/ra thiết bị tồn hệ thống trực quan nhanh chóng qua module Network Monitoring & Scanning ASSET DISCOVERY Hỗ trợ tự động thống kê thiết bị đầu cuối (endpoint), máy chủ, thiết bị mạng,… Hỗ trợ việc identify assets xác định mức độ phòng thủ (defense value) cho asset dựa vào thuật toán (algorithm) giao thức mạng (network protocol) VULNERABILITY Tự động đánh giá dịch vụ hệ thống, phát báo cáo mối ASSESSMENT nguy hại INTRUSION DETECTION Nhanh chóng phát mối đe dọa, công vào hệ thống với module IDS tích hợp sẵn BEHAVIORAL MONITORING Hỗ trợ giám sát hành vi hệ thống dựa vào kỹ thuật Log Collection, Netflow Analysis, Deep content Inspection Network Capture Framework Để đáp ứng nhu cầu thực tiễn tối ưu hóa hoạt động cách tối đa tương thích tốt với thuật toán AI, CMC SOC phát triển riêng framework chuyên dụng để capture network traffic CMC SOC Network Capture framework chuyển đổi hiệu luồng network packets thành ghi neutral type-safe platform đại diện cho giao thức cụ thể trừu tượng hóa tùy chỉnh Các ghi lưu trữ đĩa trao đổi qua mạng phù hợp làm nguồn liệu cho thuật toán học máy Việc parsing liệu đầu vào dạng untrusted gây nguy hiểm cho hoạt động chung hệ thống, CMC SOC Network Capture framework phát triển nhằm tạo ổn định cung cấp thời gian chạy an toàn cho memory safe runtime collected CMC SOC Network Capture framework sử dụng Google Protocol Buffers để encode output, cho phép truy cập sử dụng loại ngôn ngữ, hỗ trợ số công việc Trung tâm điều hành An ninh mạng CMC SOC như: • • • • Giám sát honeypot Giám sát thiết bị công nghiệp/y tế Nghiên cứu chế phát hành động bất thường Điều tra số Log Collection CMC Smart Sensor có khả thu thập logs/events từ tất thiết bị mạng, máy chủ, CSDL thiết bị bảo mật bao gồm khơng giới hạn: • Thiết bị: o Firewall: Cíco, Checkpoint, NetContinium o Cache: Citrix, BlueCoat Pro Series o IDS/IPS detector and defense: Intrusion Securenet, IP Source fire, Tipping Point o Network (Switch, Router): Cisco, Jupiter, Nétcreen, Linksys o Các thiết bị VPN o Các thiết bị bảo mật vật lý: CCTV, Fingerprint verification • • • • Mainframe servers: IBM PowerSeries, IBM AIX, SunMicro… Operation Systems: Windows, AIX, Linux, HPUX, Sun Solaris… Database: Oracle, MSSQL, OpenSQL… Applications: o Infrastructure: AD, PKI, MS-Exchange, TACAS+… o Web server: Apache, Microsoft IIS… o Anti-Malware: Kaspersky, Symantec, CMC Antivirus… o Các hệ thống xác thực o Các ứng dụng chuyên môn liên quan đến công việc khách hàng CMC SOC Smart Sensor hỗ trợ đầy đủ việc thu thập (collect) phân tích (analyze) thiết bị, hệ thống xuất logs theo định dạng 'syslog, cef' Thơng số kỹ thuật: • Số lượng thiết bị đầu cuối (endpoint) giám sát: 4000 endpoints • Tốc độ đường truyền đầu vào: Gbps (Upto 10 Gbps) • Số lượng event đầu vào (đối với Sensor tiêu chuẩn): 100.000 EPS (events per second) Số lượng EPS nâng cấp lên 550.000 EPS • Định dạng log/event đầu vào: Tất định dạng (syslog, http logs, database logs, IDS/IPS logs…) • Concurrent TCP Flows: Unlimited Cơ chế bảo mật • Các liệu CMC Smart Sensors truyền CMC SOC Core CMC SOC security event, khơng thực truyền tồn nội dung gói tin thu tập • Kênh truyền CMC Smart Sensors CMC SOC Core thiết lập qua OpenVPN Point to Point, công nghệ sử dụng giao thức SSL/TLS version 1.2, 1.3 OpenSSL library để thực cơng đoạn mã hóa liệu xác thực Cụ thể, SSL session cặp key hai đầu mã hóa với khóa mã có độ dài 2048 bit Các liệu truyền kênh mã hóa thuật tốn AES-256 Đánh giá ảnh hưởng tới hệ thống khách hàng • Thiết bị sensor lắp vào hệ thống với mục đích thu thập gói tin vào/ra dải mạng mục tiêu giám sát thông qua cổng giám sát (SPAN Port) Switch nên hồn tồn khơng ảnh hưởng đến cấu trúc mạng • Sau thu thập gói tin, event từ hệ thống, sensor tiến hành phân tích lọc kiện cần thiết (sử dụng công nghệ AI CMC Cyber Security phát triển) để gửi hệ thống SOC nên lượng băng thông sử dụng khơng ảnh hưởng đến băng thơng chung hệ thống • Thiết bị sensor kết nối với trung tâm SOC CMC qua mạng riêng ảo (OpenVPN) với chế mã hóa xác thực hai điểm đầu; chế mã hóa gói tin đường truyền… nên khơng ảnh hưởng đến sách ANTT chung hệ thống Phân tích mã độc APT Scanning CMC SOC Sensor tích hợp sẵn đồng thời nhiều cơng nghệ/phương thức phân tích mã độc nâng cao APT như: • Blacklist & Whitelist • Anti-Virus/Anti-Malware • Reputation: Phân tích dựa cơng nghệ danh tiếng bao gồm File Reputation, URL Reputation, IP Reputation • Gateway Anti-Malware: Giả lập phân tích hành vi (emulation behavioral analysis) • Dynamic Analysis: Phân tích hành vi mã độc/APT mơi trường máy ảo (sandbox) • In-depth code analysis: Disassembly code mã độc thực phân tích mã (Assembly) để định danh chương trình/hành vi độc hại • Custom YARA rules: Phân tích sử dụng YARA rule có sẵn record SOC • Machine learning: Phân tích sử dụng cơng nghệ Deep neural network Triển khai Sensors Danh sách thiết bị hệ thống CMC Smart Sensor hỗ trợ tích hợp log: OS Database Windows MYSQL All XPSP2, version XPSP3, Window 7,8,10 Windows SQL Server Server 2005,2008,20 20003, 12,2017 2008,2012,20 18 IBM AIX 6,7 Oracle 9,10,11,12 Centos 5,6,7 MongoDB Redhat 4,5,6,7 Ubuntu 12,14,16,18 Debian 6,7,8,9 All *Nix Operating Systems are compatible Postgresql IBM DB2 Microsoft Access Redis Network devices Cisco All Model Web Server Fortinet All Model Apache McAfee All Model Checkpoint All Model Juniper All Model F5 All Model Nginx Fireeye All Model Sophos All Model IIS LiteSpeed Web Server Caddy Tomcat Lighttpd Jigsaw Security Device Cisco All Model Endpoint SIEM Others Symantec McAfee Sharepoint Fortinet All Model McAfee Qradar Hyper-V HP Arcsight Splunk Active Directory Dynamics Logrhythm Lync Alienvault USM Bitdefender Exchange McAfee All Avast Model Checkpoint Carbon Black All Model Juniper All Imperva Model F5 All Model Microsoft Fireeye All Model Sophos All Model CrowdStrike SentinelOne Mac OS X 10.9 (Mavericks), Mac OS X 10.10 (Yosemite), Mac OS X 10.11 (El Capitan), Mac OS X 10.12 (Sierra) Dell All Model Hiawatha Dell All Model Comodo Imperva All Model Bluecoat All Model Sysmantec All Model Jetty Imperva All Model Bluecoat All Model Sysmantec All Model Cylance Mikrotik All Model IBM HTTP Server Oracle WebLogic Server/Oracl e HTTP Server/Oracl e iPlanet Web Server Mikrotik All Model AppGuard OPSWAT Cybereason Tất thiết bị khác hỗ trợ xuất logs theo chuẩn syslog hỗ trợ Tất thiết bị khác hỗ trợ xuất logs theo chuẩn syslog hỗ trợ Infocyte II Giải pháp CMC SIEMTM CMC SOC SIEMTM giải pháp cấu thành nên CMC SOC Core, có nhiệm vụ nhận liệu từ Smart Sensor, cung cấp nhìn chuyên sâu theo thời gian thực kiện ANTT, liệu log netflow đáp ứng đa dạng quy mô thực tế khách hàng SIEM lưu trữ lại tồn thông tin liệu, thông tin nhật ký generate từ hệ thống IT OT • SIEM Index Layer: Dữ liệu sau xử lý Smart sensor truyền CMC SOC core qua đường truyền mã hóa tới Queue & Distributer vào SIEM Dữ liệu tầng analysis chuẩn hóa, làm mịn, phân loại phục vụ cho q trình phân tích đưa cảnh báo Các tính SIEM 2.1 Tính phân tích/xử lý liệu: • Các liệu sau parsing/normalize phân loại ingest/index vào phân vùng buckets riêng rẽ, liệu khách khách hàng lưu trữ phân vùng buckets riêng biệt, mã hóa theo thuật tốn riêng CMC SOC phát triển để đảm bảo liệu bảo vệ tuyệt đối CMC phát triển tảng lưu trữ CMC Storage Platform, CMC Storage Platform đảm bảo đầy đủ tiêu chí riêng tư liệu, mã hóa an tồn loại liệu, dự phịng thất thoát liệu Tùy mức độ quan trọng liệu hệ thống đánh giá, liệu phân vào node chạy RAID RAID 10 để đảm bảo an toàn cao với loại liệu khách hàng • Khả index chuẩn hóa liệu cao có khả mở rộng theo lượng liệu nhận từ Smart Sensor Qua đó, kết hợp với Analytic Engine cung cấp khả phát nhanh chóng mối đe dọa vào hệ thống cần điều tra, xử lý; loại bỏ cảnh khơng xác • Hệ thống SIEM cho phép quản trị viên nghiên cứu nguyên nhân gốc lỗi vi phạm bảo mật cách xem xét thơng tin logs báo cáo Người dùng xác định xác nguyên nhân gây lỗi (như thay đổi cấu hình, v.v.) hệ thống dễ bị cơng 2.2 Tính lưu trữ: • Hệ thống lưu trữ CMC SOC chạy tảng private cloud CMC SOC xây dựng đặt DC tầng tầng thuộc CMC Telecom tồ nhà CMC Tower • SIEM solutions cung cấp khả xếp, chuẩn hóa phân loại liệu theo chuẩn chung giúp nâng cao khả phân tích, điều tra xử lý cố • SIEM solutions hỗ trợ điều tra số (forensic) nhanh chóng nhờ việc lưu trữ truy xuất tất liệu khoảng thời gian 19 2.3 Tính xuất báo cáo: • Hệ thống SIEM hỗ trợ xuất report theo tiêu chí đa dạng top 'n' IP có lượng truy cập Internet lớn • Ngồi việc đưa cảnh váo thơng qua SMS email, báo cáo xuất theo định dạng PDF, Docx 20 Cơ chế log parsing engine Tại phase này, liệu log thu thập xử lý Bộ Tiền xử lý Sensor trước chuyển tới Parser & Filter Engine Tại log tái cấu trúc định dạng CMC Sensor phân loại theo Vendor, program trước trở thành Output data cho phase sau Tại phase này, output data phase trước chuyển tới Decoder để bóc tách, trích xuất thơng tin thành khối, phục vụ cho q trình phân tích sensor kết hợp biểu thức quy (regex) Các khối thông tin record thành events khớp với rules Nếu match với rules event trở thành cảnh báo hệ thống Các events 21 record bao gồm kiện trùng với rules không trùng với rule Tại phase events alert chuyển CMC SOC Core để tổng hợp, phân tích, gắn nhãn trở thành tài nguyên cho hệ thống sở liệu SOC Các liệu sau lập mục (indexing) lưu trữ sở liệu tương ứng báo cáo trực quan tăng cường lực Analytics Engine 22 Cơ chế log parsing engine thể hình CMC SOC SIEM: Tại quy trình thu thập phân tích log hai phase Log Collecting Analytics Engine hiển thị với việc decoding filter log data dựa theo rules đặt trước Sau đó, alert sinh gửi SOC Core tới quản trị viên với thông tin ngày giờ, tên sensor collect log, 23 Playbook Trong phần “Playbook” SOC Portal, case bảo mật SOC thực lưu lại Playbook phục vụ thư viện, chứa cố xảy bước xử lý Khi cố xảy ra, chúng so sánh với thư viện này, có trùng khớp kiểu cố xảy trước đó, bước xử lý áp dụng, giúp tiết kiệm thời gian phân tích Đồng thời, thư viện phục vụ việc đào tạo nhân phân tích xử lý cố Với chức “Add Playbook”, quản trị viên thêm kiểu cơng gặp vào thư viện Chức “Search” giúp tìm kiếm cố cụ thể 24 Với tab “All”, tất entries hiển thị tab “Collections” cố phân loại hiển thị theo kiểu công Kiểu cơng phân loại tạo playbook 25 Các tảng hỗ trợ 5.1 Nền tảng lưu trữ (Storage Platform) CMC Storage (CMCSP): máy chủ lưu trữ đối tượng phân tán, hiệu suất cao, thiết kế cho sở hạ tầng liệu quy mô lớn Đây thay tương thích S3 lý tưởng cho Hadoop HDFS cho việc ML khối lượng công việc bigdata khác CMC Storage hỗ trợ loạt modern workloads từ machine learning đến backup cách sử dụng công nghệ gốc đám mây phân tách lớp tính toán lưu trữ để tạo giải pháp lưu trữ đối tượng hiệu mở rộng 5.1.1 Một số tính CMCSP • Erasure Coding: CMCPS bảo vệ liệu với đối tượng, mã hóa xóa nội tuyến viết mã lắp ráp để mang lại hiệu suất cao CMCPS sử dụng mã Reed-Solomon để sọc đối tượng vào n / liệu n / khối chẵn lẻ - chúng cấu hình theo mức độ dự phịng mong muốn Điều có nghĩa thiết lập 12 ổ đĩa, đối tượng phân chia thành khối liệu khối chẵn lẻ Ngay bạn tối đa ((n / 2) HP1), dù ngang liệu, bạn tái tạo lại liệu cách đáng tin cậy từ ổ lại Việc triển khai CMCPS sườn đảm bảo đối tượng đọc đối tượng viết nhiều thiết bị bị không khả dụng Cuối cùng, mã xóa CMCPS cấp đối tượng chữa lành đối tượng CMCPS bảo vệ liệu chống lại lỗi phần cứng hỏng liệu im lặng cách sử dụng mã xóa tổng kiểm tra Với mức độ dự phịng cao nhất, bạn tới nửa (N / 2) tổng số ổ đĩa khôi phục liệu Erasure code thuật toán toán học để xây dựng lại liệu bị thiếu bị hỏng CMCPS sử dụng mã Reed-Solomon để phân chia đối tượng thành khối liệu khối chẵn lẻ Ví dụ, thiết lập 12 ổ đĩa, đối tượng chuyển sang số lượng liệu khối chẵn lẻ khác tất ổ đĩa - từ sáu khối liệu sáu khối chẵn lẻ đến mười khối liệu hai khối chẵn lẻ 26 Theo mặc định, CMCPS phân chia đối tượng liệu N / ổ đĩa chẵn lẻ N / Mặc dù, bạn sử dụng lớp lưu trữ để sử dụng cấu hình tùy chỉnh Chúng khuyến nghị liệu N / khối chẵn lẻ, đảm bảo bảo vệ tốt khỏi lỗi ổ đĩa Trong 12 ví dụ ổ đĩa trên, với máy chủ MinIO chạy cấu hình mặc định, bạn ổ số sáu ổ đĩa tái cấu trúc liệu cách đáng tin cậy từ ổ đĩa lại Erasure code bảo vệ liệu khỏi nhiều ổ đĩa bị lỗi, khơng giống RAID replication Ví dụ, RAID6 bảo vệ chống lại hai lỗi ổ đĩa trong Erasure code CMCPS, bạn tới nửa ổ đĩa liệu an tồn Hơn nữa, mã xóa CMCPS cấp đối tượng chữa lành đối tượng Đối với RAID, việc chữa bệnh thực volume level có nghĩa thời gian chết cao Khi CMCPS mã hóa đối tượng riêng lẻ, chữa lành đối tượng tăng dần Máy chủ lưu trữ triển khai không nên yêu cầu thay ổ đĩa chữa bệnh suốt vòng đời máy chủ Phần phụ trợ mã hóa xóa CMCPS thiết kế để đạt hiệu hoạt động tận dụng tối đa khả tăng tốc phần cứng có sẵn • Bit-rot Protection Tham nhũng liệu im lặng bit-rot vấn đề nghiêm trọng mà ổ đĩa phải đối mặt dẫn đến liệu bị hỏng mà khơng có kiến thức người dùng Những lý đa dạng (ổ đĩa cũ, đột biến tại, lỗi phần sụn đĩa, ghi ảo, đọc / ghi sai, lỗi trình điều khiển, ghi đè vơ tình) kết liệu bị xâm phạm Việc triển khai tối ưu hóa thuật tốn HighwayHash đảm bảo khơng đọc liệu bị hỏng - nắm bắt chữa lành đối tượng bị hỏng di chuyển Tính tồn vẹn đảm bảo từ đầu đến cuối cách tính băm READ xác minh WRITE từ ứng dụng, mạng đến nhớ / ổ đĩa Việc triển khai thiết kế cho tốc độ đạt tốc độ băm 10 GB / giây lõi đơn CPU Intel Dữ liệu ổ đĩa âm thầm bị hỏng mà khơng báo hiệu lỗi xảy ra, khiến cho việc quay bit trở nên nguy hiểm so với lỗi ổ cứng vĩnh viễn 27 • Encryption Mã hóa liệu động chuyện, mã hóa liệu tĩnh lại chuyện khác CMCPS hỗ trợ nhiều chương trình mã hóa phía máy chủ tinh vi để bảo vệ liệu - nơi Phương pháp tiếp cận CMCPS sườn đảm bảo tính bảo mật, tính tồn vẹn tính xác thực với chi phí hoạt động khơng đáng kể Mã hóa phía máy chủ phía máy khách hỗ trợ AES256-GCM, ChaCha20-Poly1305 AES-CBC Các đối tượng mã hóa chống giả mã hóa phía máy chủ AEAD Ngồi ra, CMCPS tương thích thử nghiệm tất giải pháp Quản lý khóa thường sử dụng (ví dụ: HashiCorp Vault) CMCPS sử dụng hệ thống quản lý khóa (KMS) để hỗ trợ SSE-S3 Nếu máy khách yêu cầu SSE-S3 mã hóa tự động bật, máy chủ CMCPS mã hóa đối tượng khóa đối tượng bảo vệ khóa KMS quản lý Với chi phí thấp đặc biệt, mã hóa tự động bật cho ứng dụng ví dụ • Write once read many (WORM) Khi WORM bật, CMCPS vô hiệu hóa tất API có khả làm thay đổi liệu đối tượng siêu liệu Điều có nghĩa liệu viết trở thành chứng giả mạo Điều có ứng dụng thực tế cho số yêu cầu quy định khác • Identity Management CMCPS hỗ trợ tiêu chuẩn tiên tiến quản lý danh tính, tích hợp với nhà cung cấp tương thích kết nối OpenID nhà cung cấp IDP bên ngồi Điều có nghĩa quyền truy cập tập trung mật tạm thời xoay, không lưu trữ tệp cấu hình sở liệu Hơn nữa, sách truy cập chi tiết có cấu hình cao, điều có nghĩa việc hỗ trợ triển khai nhiều đối tượng thuê đa đối tượng trở nên đơn giản • Continuous Replication Thách thức với phương pháp nhân rộng truyền thống chúng không mở rộng hiệu vượt vài trăm TB Phải nói rằng, người cần chiến lược chép để hỗ trợ khắc phục thảm họa chiến lược cần trải rộng khu vực địa lý, trung tâm liệu đám 28 mây Sao chép liên tục CMCPS thiết kế cho quy mô lớn, triển khai trung tâm liệu chéo Bằng cách tận dụng Lambda tính tốn thơng báo siêu liệu đối tượng, tính tốn delta cách hiệu nhanh chóng Thơng báo Lambda đảm bảo thay đổi lan truyền trái ngược với chế độ hàng loạt truyền thống Sao chép liên tục có nghĩa liệu giữ mức tối thiểu xảy lỗi - đối mặt với liệu động Cuối cùng, giống tất CMCPS làm, chép liên tục đa nhà cung cấp, có nghĩa vị trí lưu bạn thứ từ NAS đến đám mây cơng cộng • Global Federation Các doanh nghiệp đại có liệu khắp nơi CMCPS cho phép trường hợp khác kết hợp để tạo thành không gian tên tồn cầu thống Cụ thể, kết hợp tối đa 32 máy chủ CMCPS thành Chế độ phân tán nhiều Chế độ phân tán kết hợp thành Liên kết máy chủ CMCPS Mỗi Liên kết máy chủ CMCPS cung cấp quản trị viên không gian tên thống Máy chủ Liên kết CMCPS hỗ trợ số lượng Chế độ phân tán không giới hạn Tác động phương pháp cửa hàng đối tượng mở rộng quy mô lớn cho doanh nghiệp phân phối lớn mặt địa lý trì khả đáp ứng nhiều loại ứng dụng (S3Select, MinQuery, Spark, Hive, Presto, TensorFlow, H20) từ bảng điều khiển 5.2 Nền tảng Trí Thơng minh Nhân tao (AI Platform) CMC SOC hệ thống phân tán với nhiều cảm biến thông minh (Smart Sensor) chạy sở khách hàng Trung bình khách hàng bình thường với kích thước mạng 50 máy tính (hoặc endpoint) tạo khoảng 50 GB liệu thô (raw data) hàng ngày Một SOC nhỏ với đến cảm biến chạy mạng có kích thước khác (từ nhỏ đến trung bình với 1000 endpoint), luồng mạng (UDP, TCP giao thức khác) tạo ngày dễ dàng chiếm khoảng 10 triệu flows 8GB sở liệu lớn Hơn nữa, quy mô, hệ thống bảo mật SIEM tạo khoảng triệu kiện ngày Những điều đặt thách thức lớn để phát bất thường toàn môi trường SOC Chúng 29 định phát triển cụm máy học (machine learning cluster) nội SOC dạng modelas-service, cung cấp API đơn giản rõ ràng Có nhiều loại bất thường tạo từ mạng công ty Mọi thứ thay đổi theo thời gian Những coi bất thường ngày hơm hoạt động bình thường hơm sau sách kinh doanh thay đổi Về mặt kỹ thuật, machine learning cluster CMC SOC thu thập liệu lớn (big data), đưa mơ hình xác định trước đưa dự đoán cho hoạt động tương lai phát bất thường thời gian thực 5.2.1 Một số tính • Phát bất thường theo chuỗi thời gian với mơ hình tích hợp Một số mơ hình hỗ trợ: o Siem-eps-model: phát đột biến số lượng kiện bảo mật, khoảng thời gian mặc định SIEM phút o Flow-coming-bytes: phát tăng đột biến tổng số byte tải xuống phút, tất cảm biến (sensor), tất network endpoint o Flow-outgoing-bytes: phát tổng số byte tải lên phút, tất cảm biến (sensor), tất network endpoint o Flow-outgoing-pkts: phát tổng số gói gửi phút, tất sensor, tất network endpoint Ngồi mơ hình tích hợp, machine learning model-as-service CMC SOC có khả xâu chuỗi thời gian để phát bất thường cho giao thức lớp sau: 30 Lưu ý: mơ hình tích hợp cần tháng hoạt động mạng thực (từ người dùng tiêu chuẩn) để huấn luyện (train) Một số trường hợp áp dụng: o Phát bất thường việc sử dụng giao thức điều khiển từ xa như: Windows Remote Desktop, Teamviewer, VNC, v.v 31 o Phát bất thường việc truy cập máy chủ sở liệu: Oracle, MySQL, MSSQL, v.v o Phát bất thường việc sử dụng tảng xã hội: Facebook, Twitter, Zalo, v.v o Phát bất thường việc sử dụng ứng dụng trò chuyện: Telegram, Viber, Skype, WhatsApp, v.v • Phát hành vi bất thường người dùng CMC SOC model-as-service platform sử dụng công nghệ topic modeling để phát bất thường hành vi người dùng; cung cấp mơ hình phát hành vi bất thường tích hợp sau: o Phát tên miền tiềm ẩn (ẩn) o Phát chứng SSL tiềm ẩn o Phát tên miền máy chủ http tiềm ẩn o Phát IP máy chủ tiềm ẩn CMC SOC chủ động nghiên cứu model phương pháp trích xuất tính cho tình thực tế khác Một số mơ hình áp dụng vào hệ thống, số mơ hình khác phát triển tích cực Một số trường hợp áp dụng: o Đăng nhập thành công đáng ngờ từ địa IP lạ (vị trí) - cho biết thơng tin bị đánh cắp o Các mối đe dọa nội - số người cắm thiết bị USB nguy hiểm ổ đĩa flash vào mạng cơng ty o Rị rỉ liệu, thoát liệu bất thường (volume cao thấp) o Tập tin lạ tải lên số máy chủ o Nhóm hack nâng cao với cơng nghệ lọc liệu tiên tiến qua giao thức bất thường 32 o Khởi chạy quy trình bất thường - quy trình biết / chưa biết bắt đầu trình quản lý bất thường, cho thấy khai thác zero-day o Khởi chạy quy trình với tham số bất thường (cho thấy mối đe dọa liên tục nâng cao triển khai) 33