- audit: chứa các sự kiện liên quan đến sự giám sát thay đổi hệ thống, kiểm toán, và tất cả các lịch sử tìm kiếm của người dùng.
e) Disable user account
4.3. Kết luận chươn g
Mơ hình triển khai được trình bày trong chương cho thấy được q trình detect và ứng phó sự cỗ diễn ra một cách nhanh chóng, tất cả đều được giải quyết tập trung. Việc ngăn chặn sự cố cũng diễn ra khá đơn giản trong ví dụ này, với nhưng trường hợp phức tạp hơn người ra quyết định giải quyết sự cố là IR team leader, là người có kỹ năng quản lý và ra quyết định tốt.
KẾT LUẬN
Qua bốn chương của đồ án đã thể hiện được ý tưởng xây dựng một hệ thống giám sát và ứng phó sự cố tập trung từ con người đến công nghệ, cụ thể:
Chương 1 và chương 2 đề cập đến việc triển khai một hệ thống giám sát tập trung, đã tóm lược lại các yêu cầu cần tính đến khi triển khai một hệ thống giám sát nói chung. Chỉ ra rằng việc giám sát mạng đơn lẻ khơng có sự kết hợp thơng tin từ nhiều nguồn là một hạn chế lớn trong quá trình giám sát. Việc triển khai một hệ thống giám sát tập trung SIEM là một nhu cầu thực tế đang được quan tâm tại các doanh nghiệp hiện nay. Splunk là một phần mềm giám sát mạng dựa trên sức mạnh của việc phân tích Log. Splunk thực hiện các cơng việc tìm kiếm, giám sát và phân tích các dữ liệu lớn được sinh ra từ các ứng dụng, các hệ thống và các thiết bị hạ tầng mạng đáp ứng đúng yêu cầu của một hệ thống SIEM.
Chương 3 đã chỉ ra những yêu cầu về con người và công cụ trong việc ứng phó sự cố. Sự phân chia trách nhiệm và các hành động ngăn chặn kịp thời giúp giải quyết sự cố nhanh gọn và giảm hậu quả tối đa. Công cụ Falcon Orchestrator đã đáp ứng được những nhu cầu đó.
Chương 4 đưa ra mơ hình triển khai thử nghiệm, mặc dù q trình thử nghiệm khá đơn giản nhưng đã thể hiện được bản chất của quy trình giám sát và ứng phó sự cố tập trung.
Hạn chế
Dù vậy, đồ án vẫn chưa nhấn mạnh được nhiều về các công việc diễn ra trong q trình ứng phó sự cố. Vì vấn đề này phụ thuộc vào các đặc điểm của các sự cố khác nhau mà có các quy trình xử lý khác nhau, trong phạm vi đồ án này không thể đề cập được hết các trường hợp.
Trong q trình triển khai mơ hình thử nghiệm được đề ra trong chương 4, có gặp khó khăn trong việc xin tài khoản dùng thử dịch vụ cloud của hãng Crowdstrike. Vì vậy phần triển khai thử nghiệm chưa thể hiện hết khả năng làm việc của hệ thống ứng phó sự cố.
Hướng phát triển
Cơng cụ Falcon Orchestrator là một mã nguồn mở vì thế ta có thể phát triển theo hướng sửa lại mã nguồn để cơng cụ có thể làm việc với nhiều hệ thống SIEM khác nhau mà không nhất thiết là SIEM của hãng Crowdstrike. Với đồ án này ta có thể sử dụng chức năng tạo cảnh báo alert của Splunk có hành động tạo webhook
qua Http Post giúp đẩy sự kiện detect sang Falcon Orchestrator. Và đây cũng chính là hướng phát triển trong tương lai của đồ án.