Công cụ quản lý sự kiện và thông tin an toàn (SIEM)

Một phần của tài liệu CÔNG NGHỆ THÔNG TIN – KỸ THUẬT AN TOÀN –CHỌN LỰA, TRIỂN KHAI VÀ VẬN HÀNH HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP (Trang 28 - 29)

1 Phạm vi áp dụng

5.5.6Công cụ quản lý sự kiện và thông tin an toàn (SIEM)

Các tổ chức sử dụng SIEM để hợp nhất báo cáo tới cùng một giao diện điều khiển cảnh báo và quản lý. Một công cụ quản lý thông tin an toàn có thể thu thập thông tin từ IDPS, tường lửa, và các bộ nghe lén thông tin…có thể giảm quá tải thông tin, quản lý một khối lượng lớn thông tin dùng để phân tích. Lý do thứ hai là việc thu thập dữ liệu tập trung về một điểm giúp cho việc so sánh tương quan nhiều phần

nhỏ, một gói tin, nhiều nguồn, trong thời gian dài, theo sự định vị, các tấn công mà có thể là phủ định sai với một IDPS.

Các công cụ SIEM có thể được sử dụng để xử lý dữ liệu thu được bởi IDPS. Điển hình các công cụ quản lý thông tin an toàn được sử dụng để triển khai các chức năng sau:

- Thu thập và duy trì dữ liệu sự kiện liên quan tới an toàn từ nhiều nguồn khác nhau vào một cơ sở dữ liệu tập trung. Nó có thể chứa dữ liệu từ một hoặc nhiều IDPS, tập tin nhật ký từ các thiết bị mạng và các máy cũng như dữ liệu sự kiện từ các công cụ diệt vi-rút.

- Xử lý sau khi thu thập, đặc biệt cung cấp khả năng lọc mở rộng, kết hợp và so sánh tương quan. - Tương quan sự kiện bằng việc xây dựng ngữ cảnh giữa các sự kiện liên quan tới an toàn và không an toàn để phát hiện các vi phạm an toàn không có mẫu liên quan.

- Lọc sự kiện bằng việc giảm thiểu mức độ cảnh báo dựa trên tương quan nhờ sự liên quan như các cảnh báo IDPS và mức độ vá lỗi an toàn.

- Tập hợp các sự kiện bằng cách thu thập và chuẩn hóa các sự kiện dựa trên nguồn, đích, nhãn thời gian và mô tả sự kiện... để giảm thiểu các lỗi tràn cảnh báo IDPS.

- Cung cấp giao diện đơn giản và tiện ích cho việc báo cáo các cảnh báo liên quan và cung cấp trợ giúp để phân tích sâu các cảnh báo dựa trên dữ liệu đã thu thập.

Mục đích chính của các công cụ SIEM là cung cấp một cách tự động hóa để phân biệt giữa các cảnh báo liên quan, đưa ra mối đe dọa có thể ở mức cao, và các cảnh báo không liên quan hoặc khẳng định sai không phải mối đe dọa. Việc cấu hình phù hợp các công cụ SIEM là một điều kiện không thể thiếu để đạt được mục tiêu này và tổ chức nên xem xét nó như một công việc quan trọng khi lập kế hoạch giới thiệu công cụ SIEM. Với các hệ thống IDPS, việc cấu hình đòi hỏi có chuyên môn cao và khối lượng công việc lớn. Khi được cài đặt và cấu hình phù hợp các công cụ SIEM có thể cung cấp một giá trị cao, và đặc biệt có thể cung cấp thông tin có thể có giá trị để kích hoạt các quy trình và các hoạt động như quản lý sự cố.

Một phần của tài liệu CÔNG NGHỆ THÔNG TIN – KỸ THUẬT AN TOÀN –CHỌN LỰA, TRIỂN KHAI VÀ VẬN HÀNH HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP (Trang 28 - 29)

(66 trang)