Khả năng sử dụng hiệu quả các thông tin tình báo của hệ thống

Một phần của tài liệu Nghiên cứu khảo sát các hệ thống siem và phát triển một số giải pháp mã nguồn mở nhỏ gọn (Trang 68)

bằng cách thực hiện giám sát riêng của chúng bên cạnh công việc quản lý nhật ký

thường xuyên của chúng. Về bản chất, điều này mở rộng SIEM từ việc hoàn toàn là một công cụ thu thập, phân tích và báo cáo nhật ký tập trung sang việc tạo dữ

liệu nhật ký thô thay mặt cho các máy chủ khác.

4.1.3 Khả năng sử dụng hiệu quả các thông tin tình báo của hệ thống SIEM SIEM

Hầu hết các SIEM đều có khả năng sử dụng nguồn cấp dữ liệu thông tin tình báo về các mối đe dọa. Các nguồn cấp dữ liệu này, thường được lấy từ các nguồn đăng ký riêng biệt, chứa thông tin cập nhật về hoạt động của mối đe dọa

được quan sát trên toàn thế giới, bao gồm cả những máy chủ nào đang được sử

dụng để phân chia hoặc khởi động các cuộc tấn công và đặc điểm của các cuộc tấn công này là gì. Giá trị lớn nhất của việc sử dụng các nguồn cấp dữ liệu này là

cho phép SIEM xác định các cuộc tấn công chính xác hơn và đưa ra các quyết

định sáng suốt hơn, thường là tựđộng, về các cuộc tấn công nào cần phải loại bỏ

và ngân chặn cũng như phương pháp tốt nhất là đểngăn chặn chúng.

Tất nhiên, chất lượng của thông tin về mối đe dọa khác nhau giữa các nhà cung cấp. Các yếu tố cần xem xét khi đánh giá thông tin tình báo về mối đe dọa nên bao gồm tần suất cập nhật thông tin tình báo về mối đe dọa và cách nhà cung cấp thông tin tình báo về mối đe dọa thể hiện sự tin tưởng của họ vào bản chất

độc hại của từng mối đe dọa.

độc hại của từng mối đe dọa. thống, SIEM chỉ thu thập dữ liệu do các nguồn nhật ký khác cung cấp.

Tuy nhiên, gần đây một số hệ thống SIEM đã bổ sung các khảnăng điều tra số khác nhau có thể thu thập dữ liệu của riêng họ liên quan đến hoạt động đáng

ngờ. Một ví dụ phổ biến là khả năng thực hiện chụp toàn bộ gói tin cho một kết nối mạng có liên quan đến hoạt động độc hại. Giả sử rằng các gói tin này không

được mã hóa, nhà phân tích SIEM sau đó có thể xem xét nội dung của chúng kỹ hơn để hiểu rõ hơn về bản chất của các gói tin.

Một khía cạnh khác của điều tra số là ghi nhật ký hoạt động của máy chủ; sản phẩm SIEM có thể thực hiện ghi nhật ký như vậy mọi lúc hoặc ghi nhật ký có

Một phần của tài liệu Nghiên cứu khảo sát các hệ thống siem và phát triển một số giải pháp mã nguồn mở nhỏ gọn (Trang 68)

Tải bản đầy đủ (PDF)

(82 trang)