Hệ thống SIEM sau khi xây dựng sẽ đem lại các lợi ích cho doanh nghiệp
như sau [4]:
a) Tổng hợp và trực quan hóa dữ liệu
Khảnăng hiển thị toàn bộmôi trường CNTT của doanh nghiệp là một trong những lợi ích lớn nhất của SIEM. Khảnăng hiển thị này đi đôi với cách mà các bản ghi được chuẩn hóa và tương quan trong một công cụ SIEM.
Bất kể quy mô của một doanh nghiệp, có thể có nhiều thành phần khác
nhau trong môi trường CNTT, mỗi thành phần trong sốđó đang tạo, định dạng và gửi một lượng lớn dữ liệu. Những thành phần này không chỉ tạo ra hàng tấn dữ
liệu, chúng còn có khả năng làm như vậy theo những cách khác nhau. Cố gắng hiểu tất cả dữ liệu đó theo cách thủ công là một nhiệm vụ gần như bất khả thi và một nhiệm vụđòi hỏi phải dành một lượng lớn thời gian và công sức.
Đó là lý do tại sao chức năng tổng hợp và chuẩn hóa dữ liệu lại rất hữu ích. SIEM không chỉ thu thập và lưu trữ dữ liệu từ các công cụ bảo mật trong môi
trường CNTT của doanh nghiệp và lưu trữ tập trung mà còn chuẩn hóa chúng thành một định dạng thống nhất để quản trị viên có thể dễ dàng so sánh dữ liệu. Công cụ này cũng phân tích và đối chiếu dữ liệu, tìm ra các kết nối có thể giúp quản trị viên phát hiện các sự cố bảo mật một cách nhanh chóng.
b) Khả năng phát hiện sự cố
Các thiết bị, phần mềm độc lập thường sẵn có khảnăng ghi lại nhật ký hoạt
động, nhưng đôi khi chúng lại không có khảnăng tự phát hiện sự cố bảo mật trên chính chúng. Điều đó có nghĩa là họ có thể quan sát các sự kiện và tạo các mục nhập nhật ký, nhưng không thểphân tích chúng để tìm hoạt động đáng ngờ tiềm
ẩn. Tuy nhiên, vì các công cụ SIEM tương quan và phân tích dữ liệu nhật ký
18 do các nhật ký liên quan không được phân tích hoặc do chúng được phân tách quá rộng giữa các máy chủ nên không thể phát hiện được .
Khi các cuộc tấn công mạng ngày càng tinh vi hơn, chúng có thể tránh bị
phát hiện tốt hơn bao giờ hết. Bằng cách thu thập và chuẩn hóa dữ liệu nhật ký từ
các hệ thống khác nhau, công cụ SIEM có thể thấy các yếu tố tấn công khác nhau
được thấy trên các máy chủ khác nhau trong hệ thống. Ví dụ: một phần của cuộc tấn công có thể được nhìn thấy trên hệ điều hành của máy tính, trong khi phần khác có thể được nhìn thấy bởi hệ thống ngăn chặn xâm nhập mạng. Bằng cách
tương quan dữ liệu nhật ký từ mỗi máy chủ, công cụ sau đó có thể xây dựng lại chuỗi sự kiện để xác định bản chất chính xác của cuộc tấn công và liệu cuộc tấn công có thành công hay không. Khi sự kiện tương quan đãđược phát hiện, công cụ có thể gửi cảnh báo để thông báo cho nhóm quản trị viên về toàn bộ phạm vi của cuộc tấn công và hướng họ đến dữ liệu nhật ký được liên kết để họ có thể
phản hồi tương ứng.
Có một sự khác biệt rất lớn giữa việc phát hiện một cuộc tấn công khi nó
đang xảy ra so với việc phát hiện nó một thời gian dài sau khi nó đã thành công.
SIEM có thể hạn chế quy mô thiệt hại có thể xảy ra do mối đe dọa.
c) Cải thiện hiệu quả năng suất làm việc
Hệ thống SIEM có thể cải thiện đáng kể hiệu quả của bạn khi hiểu và xử lý các sự kiện trong môi trường CNTT. Với các công cụ SIEM, quản trị viên có thể
xem dữ liệu nhật ký bảo mật từ nhiều máy chủ khác nhau trong hệ thống của mình từ một giao diện duy nhất. Điều này thúc đẩy quá trình xử lý sự cố theo một số cách. Đầu tiên, khả năng dễ dàng xem dữ liệu nhật ký từ các máy chủ trong
môi trường của bạn cho phép nhóm quản trị nhanh chóng xác định lộ trình tấn công trong doanh nghiệp. Thứ hai, dữ liệu tập trung cho phép dễ dàng xác định các máy chủ bịảnh hưởng bởi một cuộc tấn công.
Các công cụ SIEM cũng bao gồm các cơ chế tự động sử dụng sự tương
quan và phân tích dữ liệu để ngăn chặn các cuộc tấn công ngay khi chúng được phát hiện. Những khả năng này cho phép SIEM ngăn chặn các cuộc tấn công trong khi chúng vẫn đang diễn ra và chứa các máy chủ đã bị xâm phạm, do đó
giảm tác động của vi phạm bảo mật.
19 Trên thực tế, mọi doanh nghiệp, bất kể quy mô hay ngành nghềnào, đều có ít nhất một sốquy định mà họ cần phải tuân thủ. Đảm bảo rằng bạn đang tuân thủ các quy định đó và doanh nghiệp có thể chứng minh sự tuân thủ của mình có thể
là một nhiệm vụkhó khăn và tốn thời gian. May mắn thay, nhờ vào việc thu thập, chuẩn hóa và tổ chức dữ liệu nhật ký, các công cụ SIEM có thể giúp đơn giản hóa quy trình báo cáo tuân thủ. Trên thực tế, lợi ích của các công cụ SIEM như
các giải pháp ghi nhật ký tập trung cho báo cáo tuân thủ là rất quan trọng nên một số doanh nghiệp triển khai SIEM chủ yếu để hợp lý hóa báo cáo tuân thủ của họ.
Hầu hết các báo cáo tuân thủđều yêu cầu các báo cáo được tùy chỉnh phong
phú liên quan đến tất cả các sự kiện bảo mật đã ghi có liên quan từ các máy chủ khác nhau trong môi trường CNTT. Nếu không có hệ thống SIEM, không chắc doanh nghiệp đó có khảnăng ghi nhật ký tập trung mạnh mẽ. Điều đó có nghĩa là
doanh nghiệp đó có thể cần truy xuất thủ công dữ liệu từ từng máy chủ trong môi
trường CNTT của mình hoặc buộc phải tạo báo cáo riêng lẻ từ từng máy chủ rồi tập hợp chúng lại thành một báo cáo duy nhất. Điều này đặc biệt khó khăn vì tất cả các máy chủ khác nhau trong hệ thống củ có khảnăng ghi dữ liệu của chúng
theo cách khác nhau, điều này làm cho mối tương quan trở thành một nỗ lực rất lớn nếu không có các công cụ SIEM tựđộng chuẩn hóa dữ liệu nhật ký của bạn.
Các công cụ của SIEM có thể giúp doanh nghiệp tiết kiệm cả thời gian và tiền bạc bằng cách đơn giản hóa việc báo cáo tuân thủ để đảm bảo khách hàng của MSP không vi phạm bất kỳ quy định nào. Nếu không có báo cáo chính xác
để chứng minh sự tuân thủ, các doanh nghiệp có thể phải đối mặt với các khoản tiền phạt rất nặng và mất công nhận. Với các công cụ SIEM, các MSP có thể dễ
dàng tạo báo cáo cung cấp thông tin chi tiết về việc khách hàng của họ tuân thủ
20
CHƯƠNG 3.GIỚI THIỆU MỘT SỐ GIẢI PHÁP SIEM VÀ CÁC GIẢI
PHÁP MÃ NGUỒN MỞ CÓ THỂ TÍCH HỢP 3.1 Một số giải pháp SIEM hiện có trên thịtrường
Thông thường, bản thân các phần mềm, thiết bị cũng tự trang bị cho nó phần mềm quản lý log riêng cho mình. Tuy nhiên, như đã trình bày ở trên, các phần mềm này có điểm yếu là không hỗ trợ quản lý log tập trung cũng như không có
khảnăng xâu chuỗi, tương quan giữa các sự kiện với nhau hay khảnăng truy xuất dữ liệu, báo cáo hoặc nâng cấp, mở rộng của hệ thống trong tương lai.
Bài toán triển khai một hệ thống giám sát, cảnh báo an ninh cho doanh nghiệp có thểđược thực hiện bằng nhiều giải pháp, nền tảng khác nhau [6] như các
giải pháp có tính phí hoặc các giải pháp mã nguồn mở như Syslog-NG, Logzilla
hay điển hình nhất là 2 phần mềm Splunk và ELK Stack. Những tính năng nổi bật của các giải pháp giám sát và phân tích này là khả năng tìm kiếm mạnh mẽ, khả năng giám sát và cảnh báo theo thời gian thực và các tính năng liên quan đến việc báo cáo, thống kê số liệu.
Trong phần trình bày sau đây, tác giả sẽ trình bày các thông tin cơ bản, cốt lõi của từng giải pháp để từđó so sánh, đối chiếu để chọn lựa ra phương pháp tối
ưu nhất.
3.1.1 Syslog-NG
3.1.1.1. Tổng quan
Kiến trúc của Syslog NG
21 Syslog-ng [9] là một công cụ thu thập Log rất hiệu quả và linh hoạt là sự lựa chọn của rất nhiều nhà quản trị mạng trong việc xây dựng một hệ thống log tập trung. Syslog-ng được xây dựng dựa trên chuẩn syslog trên nền tảng Unix và các hệ điều hành tương tự. Gồm xây dựng với 2 thành phần Syslog-ng client và Syslog-ng Server. Các Client thực hiện việc thu thập log quan trọng gửi tới máy chủ tập trung và lưu trữ.
Syslog-ng là một phần mềm mã nguồn mở được phát triển trên nền tảng của Syslogd. Hiện nay nó có hai phiên bản và được phát triên bởi Balabit IT Security Ltd:
- Phiên bản miễn phí: Syslog-ng Open Source Edition (OSE). - Phiên bản trảphí độc quyền: Premium Edition (PE).
3.1.1.2. Tính năng
- Thu thập dữ liệu: Syslog-client thực hiện việc tập trung log từ các host và gửi về Syslog server. Syslog-ng thực hiện việc thu thập log từ các server khác nhau dựa trên giao thức TCP, đảm bảo không bị mất mát thông tin trên đường truyền Synlog-ng cung cấp một sốcơ chế truy xuất log an toàn dựa trên SSL/TLS - Định dạng log: Theo mặc định Syslog-ng chỉ hỗ trợ chuẩn Syslog trong Unix. Theo mặc đinh Windows không hỗ trợ Syslog.Tuy nhiên chúng ta có thể
sử dụng một số biện pháo để chuyển các loại log về dạng Syslog. Syslog-ng cũng
hoạt động rất tốt trên những môi trường (hệ điều hành, phần cứng) khác nhau: Linux, BSD, Sun Solaris, HP-UX, AIX và Unix khác.
- Lưu trữ: Với Syslog-ng, ta có thể lưu trữ dữ liệu vào cơ sở dữ liệu cho phép tìm kiếm và truy vấn dễ dàng. Syslog-ng hỗ trợ các hệ CSDL: MSSQL, MYSQL, Oracle và PostgreSQL.
- Lọc và phân loại: Syslog-ng cung cấp cơ chế lọc nhằm phân loại các Log
message và cũng hạn chếlượng dữ liệu đổ về server log từcác client. Cơ chế lọc của Syslog-ng dựa trên các thông sốkhác nhau như source host, ứng dụng, sựưu
tiên trong Log message.
- Cơ chế thu thập Log: Syslog-ng client được đặt trên các các client sẽ thực hiệc việc thu tập các loại Log trên client đó. Sau đó dữ liệu sẽ được đi qua bộ
phận lọc của syslog-ng (gồm những luật đã được cấu hình trước). Sau đó mới
được gửi đến các Server log hoặc chuyển đến một Relay server rồi mới chuyển tới Log Server.
22
Các nhược điểm của giải pháp SIEM Syslog-NG:
- Syslog-ng không phải là 1 phần mềm phân tích cho nên syslog-ng chỉ có thể lọc những log message phù hợp với 1 sốtiêu chí định trước. Syslog-ng không thể làm tốt nhiệm vụ phân tích và cảnh báo các nguy cơ đến người quản trị.
3.1.1.3. Phương thức triển khai
Để triển khai một hệ thống syslog-ng ta cần có 2 thành phần là một server
được cài đặt syslog-ng server và các client được cài đặt trên các client để thu thập log. Một điểm đáng chú ý là Syslog không hỗ trợ windows.
3.1.2 Logzilla (PHP Syslog-NG)
3.1.2.1. Tổng quan
Kiến trúc tổng quan của Logzilla:
Hình 3.2 Kiến trúc tổng quan của Logzilla
Là phần mềm mã nguồn mở hỗ trợ việc quản lý Log tập trung được phát triển dự trên PHP-Syslog-ng. Logzilla [10] có thể quản lý với hàng triệu thông
điệp Log, hàng ngàn thiết bị cùng lúc. Được xây dựng trên nền web với một giao diện quản lý trực quan và thuận tiện cho người dùng. Là sự lựa chọn của nhiều nhà quản lý và giám sát anh ninh mạng.
3.1.2.2. Tính năng
Thu thập dữ liệu: LogZilla mặc định không hỗ trợ việc thu thập Log từ các thiết bị hay các Server khác nó tập trung vào việc thực hiện trên Log đã có dựa trên việc thu thập Log của Syslog-ng.
23 Syslog giống như Syslog-ng. Tuy nhiên, nó có thể hỗ trợ quản lý các sự kiện trong Windows.
Tìm kiếm thông tin: LogZilla cung cấp một giao diện tìm kiêm theo từ khóa và theo một số thuộc tính khá trực quan và thông minh. Tuy không được đánh giá cao như Splunk nhưng LogZilla cũng được các nhà quản trị mạng đánh giá khá
cao về chức năng tìm kiếm các thông tin trong Log.
Cảnh báo và giám sát mạng: LogZilla hỗ trợ việc phát hiện các sự kiện một cách nhanh chóng trong thời gian thực. Có thể nhanh chóng phát hiện các điểm suy thoái của các thiết bị và máy chủ. LogZilla cũng hỗ trợ việc cảnh báo qua Email.
Trích xuất thông tin: LogZilla cũng hỗ trợ việc tạo kết xuất ra các báo cáo
theo các định dạng: Excel và CSV. LogZilla còn hỗ trợ việc hiển thị dưới một số
dạng biểu đồgiúp người quản trị dễ dàng hình dung hệ thống một cách trực quan.
3.1.2.3. Triển khai
LogZilla nhìn chung chỉ thực hiện việc tìm kiếm và quản lý các thông tin đã
có trên Log một cách nhanh chóng. Ta cần thiết phải kết hợp với các công cụ khác
để tập trung và xử lý Log hiệu quảhơn (Syslog-ng).
Để triển khai LogZilla ta cần kết hợp với một hệ thống thu thập Log khác thực hiện công việc thu thập thông tin từ các máy chủ và thiết bị khác trên mạng.
Triển khai một hệ thống LogZilla hoạt động tương đối dễ dàng ta chỉ cần thực hiện cấu hình trên Syslog-ng Server để đọc các dữ liệu mà Syslog-ng đã lưu
trữ.
24
3.1.3 Splunk
3.1.3.1. Tổng quan về Splunk
Splunk [11] là hệ thống có thể captures, trích ra các dữ liệu thời gian thực có liên quan tới nhau từđó nó có thể tạo ra các đồ thị, các báo cáo, các cảnh báo và các biểu đồ. Mục đích của Splunk là giúp cho việc xác định mô hình dữ liệu và thu thập dữ liệu máy trên toàn hệ thống dễdàng hơn. Splunk có thể tìm kiếm các sự
kiện đã và đang xảy ra, đồng thời cũng có thể báo cáo và phân tích thống kê các kết quảtìm được. Nó có thể nhập các dữ liệu của máy dưới dạng có cấu trúc hoặc phi cấu trúc. Hoạt động tìm kiếm và phân tích sử dụng SPL (Search Processing
Language) được tạo để quản lý Big Data. Do được phát triển từ Unix Piping và SQL nên Splunk có khảnăng tìm kiếm dữ liệu, lọc, sửa đổi, chèn và xóa dữ liệu.
Splunk cung cấp một giao diện chung cho tất cả dữ liệu cũng như tìm kiếm dữ liệu, những cảnh báo, những báo cáo (report), hay ta có thể chia sẻ dữ liệu đó
cho một ai đó.
Splunk cung cấp giải pháp tìm kiếm tối ưu. Splunk tìm kiếm những dữ liệu có liên quan với nhau, giúp thu hẹp phạm vi tìm kiếm, tiết kiệm thời gian, và làm cho công tác quản trị mạng tốt hơn.
Mô hình sử dụng phổ biến của Splunk
Hình 3.4 Kiến trúc của Splunk
25 - Nhiều thiết bị Forwarders trung gian phục vụ cho quá trình load, tính sẵn sàng cao, và cải thiện tốc độ xử lý các event sắp tới.
- Một Indexer có thể được liên kết với nhiều hệ thống nhằm mục đích thu
thập log. Nhiều search-peer (indexer) giúp cải thiện hiệu năng của quá trình nhập dữ liệu và tìm kiếm. Nó giúp giảm thời gian tìm kiếm và cung cấp tính dự phòng cao.
- Có nhiều đầu tìm kiếm (ES search header). Những hệ thống riêng biệt này chịu trách nhiệm phân phối bất kỳ yêu cầu tìm kiếm trên tất cả các search-peer đã
cấu hình trước đó để cải thiện hiệu năng tìm kiếm. Đầu tìm kiếm riêng biệt được