Tìm hiểu và triển khai công nghệ quản lý thông tin và sự kiện an ninh.doc

DỊCH VỤ VIẾT THUÊ ĐỀ TÀI TRỌN GÓI ZALO / TEL: 0909.232.620
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
HIỂU VÀ TRIỂN KHAI CÔNG NGHỆ QUẢN
LÝ THÔNG TIN VÀ SỰ KIỆN AN NINH
KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Công Nghệ Thông Tin
HÀ NỘI - 2013

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
TÌM HIỂU VÀ TRIỂN KHAI CÔNG NGHỆ QUẢN
LÝ THÔNG TIN VÀ SỰ KIỆN AN NINH
KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Công Nghệ Thông Tin
Cán bộ hướng dẫn:
HÀ NỘI - 2013

VIETNAM NATIONAL UNIVERSITY, HANOI
UNIVERSITY OF ENGINEERING AND TECHNOLOGY
<THESIS TITLE>
(Upper case, bold, 18pt, centered)
Major: FACULTY OF INFORMATION TECHNOLOGY
Supervisor: DOAN MINH PHUONG
HA NOI - 2013

TÓM TẮT
Tóm tắt: Cùng với sự phát triển của xã hội, việc ứng dụng Công nghệ thông tin vào
đời sống và làm việc ngày càng được phát triển và nâng cao hiệu quả. Vấn đề An ninh
thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được quan tâm không
chỉ ở Việt Nam mà trên toàn thế giới.
Trong lĩnh vực an ninh mạng, phát hiện và phòng chống tấn công xâm nhập cho các
mạng máy tính là một đề tài hay, thu hút được sự chú ý của nhiều nhà nghiên cứu với
nhiều hướng nghiên cứu trong và ngoài nước khác nhau. Chính vì vậy em đã lựa chọn đề
tài “Tìm hiểu và triển khai giải pháp Quản lý thông tin và sự kiện an ninh” được viết tắt là
SIEM (Security Information and Event Management). SIEM là một giải mới cung cấp cái
nhìn tổng thể về hệ thống, quét các lỗ hổng, đánh giá tổn thương, thu thập dữ liệu sau đó
phân tích liên kết các sự kiện an ninh đưa ra cảnh báo và báo cáo đáp ứng với chuẩn quốc
tế. Với mong muốn tìm hiểu cũng như triển khai trên thực tế một giải pháp công nghệ mới
đang là xu thế ứng dụng đảm bảo an ninh cho hệ thống mạng trên thế giới. Trong quá
trình tìm hiểu, nghiên cứu và triển khai, khóa luận đã chứng minh được vai trò, cũng như
ưu điểm của SIEM trong việc đảm bảo an ninh cho hệ thống.
Từ khóa: SIEM, Security information and event management.
iv

ABSTRACT
Abstract:
Keywords: SIEM, Security information and event management.
v

SUPERVISOR’S APPROVAL
“I hereby approve that the thesis in its current form is ready for committee examination
as a requirement for the Bachelor of Information Systems degree at the University of
Engineering and Technology.”
Signature:………………………………………………

MỤC LỤC
TÓM TẮT............................................................................................................... iv
ABSTRACT..............................................................................................................v
MỤC LỤC................................................................................................................ ii
LỜI CẢM ƠN......................................................................................................... iv
DANH MỤC CÁC HÌNH ........................................................................................v
DANH MỤC CÁC BẢNG ..................................................................................... vi
DANH MỤC CÁC TỪ VIẾT TẮT......................................................................... i
MỞ ĐẦU ...................................................................................................................1
TỔNG QUAN VỀ SIEM..........................................................................................2
1.1. Tổng quan về SIEM.........................................................................................2
1.1.1. Quản lý nhật ký sự kiện an ninh................................................................4
1.1.2. Tuân thủ các quy định về CNTT ...............................................................4
1.1.3. Tương quan liên kết các sự kiện an ninh ..................................................4
1.1.4. Cung cấp các hoạt động ứng phó .............................................................5
1.1.5. Đảm bảo an ninh thiết bị đầu cuối............................................................6
1.2. Ưu điểm của SIEM..........................................................................................7
THÀNH PHẦN CỦA SIEM....................................................................................9
2.1. Thiết bị nguồn................................................................................................10
2.2. Thu thập Log .................................................................................................12
2.2.1. Push Log .................................................................................................12
2.2.2. Pull Log...................................................................................................12
2.3. Phân tích, chuẩn hóa Log ..............................................................................14
2.4. Kỹ thuật tương quan sự kiện an ninh.............................................................15
2.5. Lưu trữ Log....................................................................................................16
2.6. Theo dõi và giám sát......................................................................................18

HOẠT ĐỘNG CỦA SIEM ....................................................................................19
3.1. Thu thập thông tin..........................................................................................20
3.2. Chuẩn hóa và tổng hợp sự kiện an ninh ........................................................22
3.3. Tương quan sự kiện an ninh ..........................................................................23
3.4. Cảnh báo và báo cáo......................................................................................25
3.5. Lưu trữ...........................................................................................................26
THỰC NGHIỆM, KẾT QUẢ................................................................................27
4.1. Một số công cụ triển khai SIEM....................................................................28
4.1.1. AlienVault OSSIM...................................................................................28
4.1.2. Q1 Labs Qradar......................................................................................29
4.1.3. MARS ......................................................................................................30
4.2. Triển khai SIEM với AlienVault OSSIM......................................................31
4.2.1. Phương pháp thu thập thông tin .............................................................31
4.2.2. Một số công cụ mã nguồn mở trong AlienVault OSSIM.........................31
4.2.3. Tương quan sự kiện an ninh trong AlienVault OSSIM ...........................33
4.2.4. Đánh giá rủi ro .......................................................................................33
4.2.5. Các hành động ứng phó sự cố an ninh ...................................................34
4.2.6. Báo cáo trong AlienVault OSSIM...........................................................35
4.3. Thực nghiệm kết quả với AlienVault OSSIM...............................................36
4.3.1. Lab 1 .......................................................................................................36
4.3.2. Lab 2 .......................................................................................................36
4.3.3. Lab 3 .......................................................................................................36
KẾT LUẬN.............................................................................................................37
TÀI LIỆU THAM KHẢO .....................................................................................38
Phụ lục A.................................................................................................................40
iii

LỜI CẢM ƠN
Lời đầu tiên em xin chân thành cảm ơn đến thầy cô trường Đại học Công
Nghệ-ĐHQGHN đã tận tình chỉ bảo và truyền đạt kiến thức cho chúng em trong
suốt các năm học qua. Đặc biệt là các thầy trong bộ môn đã hết lòng trực tiếp
hướng dẫn, quan tâm và dạy dỗ, truyền đạt nhiều kinh nghiệm cũng như cho em
nhiều ý kiến, kiến thức quý báu trong suốt quá trình chuẩn bị, thực hiện và hoàn
thành khóa luận tốt nghiệp này.
Tôi xin cảm ơn các bạn sinh viên K55 trường Đại học Công Nghệ - Đại học
Quốc Gia Hà Nội, đặc biệt là các bạn sinh viên lớp K55C-CLC và K55CB đã đoàn
kết, giúp đỡ cùng tôi tham gia theo học các môn học bổ ích và thú vị trong chương
trình đại học.
Với kiến thức còn hạn hẹp, khả năng áp dụng kiến thức vào thực tiễn chưa
được tốt. Do đó trong quá trình xây dựng bài khóa luận không tránh khỏi những
sai sót và những hạn chế. Em rất mong nhận được những đóng góp, ý kiến của quý
thầy cô để em hoàn chỉnh kiến thức của mình.
Cuối cùng em xin chúc quý Thầy Cô và toàn thể cán bộ trong trường Đại học
Công Nghệ - ĐHQGHN dồi dào sức khỏe và thành công trong công việc.
Em xin chân thành cảm ơn!
Hà Nội, tháng 05 năm 2013.
iv

DANH MỤC CÁC HÌNH
Figure 2-1 – UET Logo. .................................... Error! Bookmark not defined.
Figure 2-2 – University of Engineering and Technology: (a) Logo of UET (b) Front
view of UET Headquater ..................................................... Error! Bookmark not defined.
v

DANH MỤC CÁC BẢNG
Table 2.1 – Average day of a UET graduate student.Error! Bookmark not defined.

DANH MỤC CÁC TỪ VIẾT TẮT
SIEM Security Information and Event Management
IDS Bit Error Rate
IPS Fast Fourier Transform
LOG Signal to Noise Ratio
Guidelines:
Put them in alphabetical order. Note that in the main text of the thesis, the first
time you introduce an abbreviation, it must be given in full. For example:
Fast Fourier transform (FFT) was developed by Cooley and Tuckey in 1965.
And even an abbreviation has been introduced earlier, you still need to re-provide
the full text when you give a definition about it.

MỞ ĐẦU
An toàn an ninh mạng cho một hệ thống đang là một nhu cầu cần thiết cho các tổ
chức. Các cuộc tấn công ngày càng trở lên phức tạp tinh vi hơn. Một hệ thống mạng
hàng ngày tạo ra một lượng lớn dữ liệu bản ghi log từ các thiết bị và ứng dụng khác
nhau. Việc thu thập phân tích các bản ghi log ngày càng trở lên phức tạp và khó khăn
hơn. Đã có nhiều đề tài nghiên cứu và các giải pháp nhằm phát hiện, ngăn chặn và đưa
ra cảnh báo về các sự kiện an ninh trong hệ thống như các thiết bị IDS, IPS. Mỗi thiết
bị đều có những ưu điểm và lợi ích riêng giúp chúng ta đảm bảo phần nào nhu cầu an
ninh cho hệ thống. Song hầu hết các thiết bị này hoạt động một cách riêng lẻ, việc
quản lý tập trung, xử lý các dữ liệu, phân tích các thông tin và quản lý sự kiện an ninh
trong hệ thống là không có. SIEM là một giải pháp có thể giúp các tổ chức giải quyết
các vấn đề trên và làm giảm nguy cơ hệ thống bị tấn công xâm nhập. SIEM giúp chúng
ta quản lý các thiết bị, dò quét các lổ hổng trong hệ thống, thu thập các dữ liệu từ các
thiết bị và các ứng dụng khác nhau, dữ liệu sau đó được chuẩn hóa sang một định dạng
chuẩn riêng, phân tích tương quan các thông tin sự kiện an ninh với nhau theo ngữ
cảnh và cảnh báo cho các quản trị viên cảnh báo trong trường hợp bị tấn công. Bên
cạnh đó SIEM đáp ứng các tuân thủ về hoạt động công nghệ thông tin và cung cấp sẵn
các báo cáo theo đúng chuẩn quốc tế quy định về an toàn thông tin.
Phần tiếp theo của khóa luận được tổ chức như sau:
Chương 1: Tổng quan về SIEM. Trong chương này sẽ giới thiệu một cách tổng quan
về SIEM. Nhằm cung cấp cái nhìn sơ lược về SIEM và những ưu điểm của SIEM.
Chương 2: Thành phần của SIEM. Chương này cung cấp thông tin về thành phần
của SIEM.
Chương 3: Hoạt động của SIEM. Sau khi đã biết về thành phần của SIEM gồm
những thành phần nào ở chương trước thì chương này cung cấp các thông tin về cách
mà SIEM hoạt động. Giúp hiểu thêm về công nghệ SIEM.
Chương 4: Thực nghiệm kết quả. Trong chương này, em tiến hành tìm hiểu một
số công cụ triển khai SIEM và lựa chọn một công cụ triển khai thực tế nhằm thể hiện
rõ hơn lợi ích của công nghệ SIEM.
Chương 5: Kết luận. Chương này tổng…………..
1

Chương 1
TỔNG QUAN VỀ SIEM
1.1. Tổng quan về SIEM
Sự phát triển của hệ thống mạng ngày càng phát triển, một số nhu cầu đặt ra như:
Làm sao để quản lý rất nhiều các thiết bị, việc quản lý thông tin và sự kiện an ninh
trong hệ thống vận hành tốt và an toàn? Đó là câu hỏi mà các nhà nghiên cứu hay các
quản trị viên an ninh mạng đang đi tìm câu trả lời sao cho tối ưu nhất. Đã có rất nhiều
các thiết bị IDS, IPS ra đời nhằm trả lời điều đó. Nhưng hầu hết các thiết bị này đều
hoạt động riêng lẻ, quản lý tập chung là không có, sự tương quan liên kết các sự kiện
an ninh cũng không có, bên cạnh đó là việc đảm bảo tuân thủ an ninh còn hạn chế và
có thể là rất mệt mỏi để hoàn thành các báo cáo về tình trạng an ninh của hệ thống
đúng theo chuẩn quốc tế. Chính vì vậy SIEM (Security information and event
management – Công nghệ quản lý thông tin và sự kiện an ninh) ra đời một cách khách
quan và theo xu hướng phát triển của thế giới. SIEM giải quyết được các vấn đề nêu
trên đảm bảo cho hệ thống của chúng ta an toàn và hiệu quả hơn.
Giải pháp quản lý thông tin và sự kiện an ninh (SIEM) là một giải pháp bảo mật
an ninh cung cấp cái nhìn tổng thể về hệ thống công nghệ thông tin của một tổ chức.
SIEM là sự kết hợp giữa quản lý thông tin an ninh (SIM - Security Information
Management) và quản lý sự kiện an ninh (SEM - Security Event Management).
Nguyên lý cơ bản của SIEM là thu các dữ liệu về các sự kiện an ninh từ nhiều
thiết bị khác nhau ở các vị trí khác nhau trong hệ thống và chúng ta có thể dễ dàng
phân tích, theo dõi tất cả các dữ liệu ở tại một vị trí duy nhất để phát hiện xu hướng và
theo dõi các dấu hiệu bất thường.
SIEM thu thập Log và các tài liệu liên quan đến an ninh khác để phân tích, tương
quan liên kết. SIEM làm việc thu thập Log và các sự kiện an ninh thông qua các Agent.
Từ người dùng đầu cuối, các máy chủ, các thiết bị mạng và thậm chí là các thiết bị an
2

ninh chuyên nghiệp như Firewall, Anti Virus hoặc các hệ thống phòng chống xâm
nhập. Các thiết bị thu thập thông tin chuyển tiếp thông tin tới trung tâm nhằm chuẩn
hóa, quản lý tập trung, phân tích, tương quan các sự kiện an ninh. Tiếp sau đó có thể
xác định các sự kiện bất thường và thông báo tới quản trị viên.
< sach imple>
Các chuyên gia bảo mật và các nhà phân tích sử dụng SIEM nhằm theo dõi, xác
định, quản lý hệ thống tài sản và ứng phó với các sự cố an ninh. Một số sự kiện an
ninh như tấn công từ chối dịch vụ (DoS), tấn công có chủ ý, tấn công mã độc hại và
phát virus. SIEM cũng có thể xác định mà không dễ phát hiện bằng các thiết bị khác.
Nhiều sự kiện khó phát hiện hoặc bị che khuất bởi hàng ngàn các sự kiện an ninh khác
trong mỗi giây. Bên cạnh đó SIEM có thể phát hiện những sự kiện an ninh khó phát
hiện hơn như các hành vi vi phạm chính sách, cố gắng truy cập trái phép và phương
thức tấn công của những kẻ tấn công có trình độ cao xâm nhập vào hệ thống CNTT.
Một mục tiêu quan trọng cho các nhà phân tích an ninh sử dụng SIEM là giảm số
lượng cảnh báo giả. Hệ thống an ninh được cho là yếu kém, chẳng hạn như hệ thống
phát hiện xâm nhập (IDS) thường có những cảnh báo về nhiều sự kiện giả. Nhiều cảnh
báo này gây lãng phí thời gian, công sức của các nhà phân tích an ninh và thường tập
trung chú ý vào các cảnh báo đó. Điều đó làm cho các nhà phân tích lại bỏ qua các
cảnh báo đúng đắn và quan trọng hơn. Với hệ thống SIEM, việc giảm các cảnh báo giả
được thực hiện một cách cẩn thận bởi các bộ lọc và các quy tắc tương quan liên kết
giữa các thông tin sự kiện an ninh với nhau. Điều đó xác định và cảnh báo chính xác
khi có sự kiện an ninh bất chấp số lượng lớn những sự kiện an ninh lớn và nhiều.
SIEM cung cấp các dịch vụ sau:
- Quản lý nhật lý sự kiện an ninh (Log management).
- Tuân thủ các quy định về CNTT (IT regulatory compliance).
- Tương quan liên kết các sự kiện an ninh (Event correlation).
- Cung cấp các hoạt động ứng phó (Active response).
- Đảm bảo an ninh thiết bị đầu cuối (Endpoint security).
3

1.1.1. Quản lý nhật ký sự kiện an ninh
SIEM quản lý Log từ các thiết bị trong hệ thống. Bắt đầu với việc cấu hình các vị
trí quan trọng trong hệ thống để gửi các sự kiện an ninh vào một cơ sở dữ liệu tập
trung. SIEM sẽ chuẩn hóa các Log này về một định dạng duy nhất để phân tích, tương
quan liên kết. Sau đó, SIEM lưu trữ các file Log, tổ chức, tìm kiếm và các dịch vụ
khác để đáp ứng nhu cầu quản lý mà các tổ chức yêu cầu. Phần quản lý dữ liệu này
cũng sử dụng để phân tích về thời gian thực, trình trạng khai thác dữ liệu và an ninh
của tất cả hệ thống CNTT.
1.1.2. Tuân thủ các quy định về CNTT
Tất cả các sự kiện từ các hệ thống quan trọng đang được sử dụng truy nhập,
chúng ta có thể xây dựng các bộ lọc hoặc các thiết lập các luật và tính toán thời gian để
kiểm tra và xác thực việc tuân thủ của họ hoặc để xác định hành vi vi phạm các yêu
cầu tuân thủ đã đặt ra của tổ chức. Các luật đó được đối chiếu với log được đưa vào hệ
thống. Có thể giám sát số lần thay đổi mật khẩu, xác định hệ điều hành hoặc các bản
vá lỗi ứng dụng, kiểm tra chống virus, phần mềm gián điệp và cập nhật. Chúng ta có
thể xây dựng tập luật riêng của mình cho các bộ lọc hoặc các luật để hỗ trợ trong việc
tuân thủ các quy định đã đề ra. Nhiều nhà cung cấp SIEM có các tập đóng gói sẵn các
quy tắc được thiết kế đặc biệt để đáp ứng các yêu cầu về pháp luật và các quy định
khác nhau mà các doanh nghiệp cần phải tuân thủ. Chúng được đóng gói và cung cấp
bởi các nhà cung cấp một cách miễn phí hoặc mất một khoản chi phí.
1.1.3. Tương quan liên kết các sự kiện an ninh
Sự tương quan liên kết giữa các sự kiện an ninh mang đem lại thông báo tốt hơn cho
hệ thống. Chúng ta không chỉ qua một sự kiện duy nhất để quyết định cách ứng phó hay
không ứng phó với nó. Với tương quan liên kết giữa các sự kiện an ninh, chúng ta xem xét
điều kiện khác nhau trước khi kích hoạt báo động. Ví dụ, một máy chủ có CPU sử dụng
100% có thể được gây ra bởi nhiều nguyên nhân khác nhau. Nó có thể do một vấn đề xảy
ra hoặc có thể không. Cũng có thể là một dấu hiệu cho thấy hệ thống bị quá tải với các
hoạt động và yêu cầu một hoặc nhiều dịch vụ hoặc các ứng dụng cần được
4

chia sẻ trên các máy chủ khác. Và cũng có thể là máy chủ đạt đến hết công suất do một
một tấn công từ chối dịch vụ (DoS) vào hệ thống. Hoặc nó có thể là ngừng trệ tạm thời
một cách tự nhiên của máy chủ.
Các công cụ tương quan trên một SIEM có thể kiểm tra và xem xét (tương quan)
các sự kiện khác không phải liên quan đến việc sử dụng CPU. Có thể cung cấp một
bức tranh đầy đủ hơn về tình trạng của máy chủ để loại trừ giả thuyết về nguyên nhân
của vấn đề. Ví dụ, trong trường hợp sử dụng CPU 100%, SIEM có thể được cấu hình
để xem xét một số nguyên nhân sau đây:
- Phần mềm chống virus xác định có phần mềm độc hại trên máy chủ hay không?
- Bất kỳ máy chủ nào có CPU sử dụng 100%? Cần xem xét có hay không sự tồn
tại của virus?
- Một ứng dụng hoặc nhiều ứng dụng, dịch vụ ngừng hoạt động?
- Sự gia tăng lưu lượng mạng do nhu cầu chính đáng của người dùng nhưng vượt
quá sự cung cấp dịch vụ của máy chủ.
- Sự gia tăng lưu lượng mạng nhưng không do nhu cầu chính đáng của người
dùng vượt quá sự cung cấp dịch vụ của máy chủ như một cuộc tấn công DoS? Từ các
nguồn khác nhau? Có thể là một từ chối dịch vụ phân tán (DDoS)?
Đó là sự tương quan các sự kiện an ninh. Cảnh báo của SIEM giúp chúng ta đưa
ra cách ứng phó tùy thuộc vào các điều kiện.
1.1.4. Cung cấp các hoạt động ứng phó
Tất cả các thiết bị cung cấp đầu vào cho SIEM, các quy tắc và bộ lọc sẽ xác định
và phân tích mối quan hệ giữa các thông tin đầu vào đó. Chúng ta có thể cấu hình các
hành động và thực hiện các phản ứng ứng phó cho tất cả các sự kiện an ninh hoặc có
thể cấu hình riêng biệt cho từng loại sự kiện khác nhau.
Lợi ích việc thực hiện các hoạt động ứng phó là rất tốt, nhưng bên cạnh đó nó
cũng có điều bất lợi. Nếu chúng ta không cấu hình cẩn thận và chính xác thì nó có thể
đưa ra các hành động ứng phó không cần thiết. Hoạt động ứng phó tự động này dễ
dàng trở thành con dao hai lưỡi cho chúng ta.
5

1.1.5. Đảm bảo an ninh thiết bị đầu cuối
Hầu hết các hệ SIEM có thể giám sát an ninh cho các thiết bị đầu cuối để thông
báo sự an toàn của hệ thống. SIEM cung cấp việc quản lý cũng như đánh giá tài sản
các thiết bị. Bên cạnh là việc dò quét lỗ hổng và cập nhật các bản vá. Nhiều hệ thống
SIEM có thể theo dõi các thiết bị như PC, server, Firewall. Một số hệ thống SIEM
thậm chí có thể quản lý an ninh cho thiết bị đầu cuối, có sự điều chỉnh và hoàn thiện
hơn đối với thiết bị an ninh đó trên hệ thống. Như cấu hình Firewall, cập nhật và theo
dõi Anti-Virus, chống spyware, chống spam email.
6

1.2. Ưu điểm của SIEM
Với sự phát triển của hệ thống mạng thì ngày càng nhiều các thiết bị gia tăng và
việc quản lý nó trở lên phức tạp hơn rất nhiều. Do vậy SIEM là một giải pháp giúp
chúng ta quản lý chúng tốt hơn.
Log từ các thiết bị tạo ra ngày càng nhiều (Có thể hàng trăm triệu bản ghi log
trong một ngày) thì các quản trị viên hay các công cụ trước đó khó có thể phân tích
một cách nhanh chóng, chính xác được. SIEM cung cấp việc tích hợp dữ liệu quản lý
file log từ nhiều nguồn, bao gồm cả mạng, máy chủ, cơ sở dữ liệu, ứng dụng, cung cấp
khả năng hợp nhất dữ liệu để tránh mất các sự kiện quan trọng.
Việc đánh giá giá trị tài sản của các thiết bị trong hệ thống là không có với các hệ
thống an ninh trước đó. SIEM cung cấp việc đánh giá giá trị của các thiết bị hay ứng
dụng trong hệ thống (Giá trị tăng dần từ 0-5) và sắp xếp theo sự ưu tiên cảnh báo và
bảo vệ chúng.
SIEM cung cấp sự tương quan liên kết giữa các sự kiện an ninh lại với nhau rồi sau
đó đưa ra kết luận có hay không một cuộc tấn công. Ví dụ như tấn công Brute Force. Nếu
nhận thấy có hành vi quét cổng, bên cạnh đó là thấy số lần đăng nhập sai tên đăng nhập
hoặc mật khẩu quá một giá trị nào đó và từ một IP nguồn trong một thời gian thì SIEM
liên kết các sự kiện này với nhau và khẳng chắc rằng có một tấn công Brute Force đang
xảy ra với hệ thống. Với các hệ thống an ninh trước đó các sự kiện an ninh này không
được liên kết lại với nhau. Chúng chỉ có thể đưa ra cảnh báo rằng có những hành
vi như quét cổng, đăng nhập sai hay gì đó… Với SIEM nếu có một trong các sự kiện
an ninh nói trên thì chúng đưa ra cảnh báo mức trung bình và nếu cùng với đó xảy ra
các sự kiện an ninh tiếp theo xảy ra thì nâng mức cảnh báo cao hơn và báo cho quản trị
viên biết để ứng phó.
SIEM cung cấp công cụ đánh giá lỗ hổng của các thiết bị trong hệ thống xem
chúng có những lỗ hổng anh ninh nào? Hoặc có những bản vá cập nhật cho những lỗ
hổng đó cần được cập nhật.
SIEM cung cấp cái nhìn trực quan thông qua các biểu đồ, đồ thị giúp theo dõi rõ
ràng hơn. Công cụ có thể hiện dữ liệu sự kiện và có thể thể hiện thành biểu đồ thông
tin để hỗ trợ cho thấy mô hình hoặc xác định hoạt động không phù hợp.
SIEM cung cấp các khuôn mẫu báo cáo chuẩn theo các tiêu chuẩn về an ninh
quốc tế nhau như HIPAA, ISO27001 để các quản trị viên bảo mật có thể tập trung vào
các hoạt động tăng cường an ninh mạng.
7

Cung cấp việc lưu trữ các bản ghi log trong một thời gian lâu dài phục vụ cho
nhu cầu điều tra tổng hợp sau này và tuân thủ các quy định trong hoạt động CNTT.
8

Chương 2
THÀNH PHẦN CỦA SIEM
SIEM bao gồm nhiều phần, mỗi phần làm một công việc riêng biệt. Mỗi thành
phần trong hệ thống này có thể hoạt động độc lập với các thành phần khác nhưng nếu
tất cả không cùng hoạt động cùng một lúc thì chúng ta sẽ không có một SIEM hiệu
quả. Tùy thuộc vào hệ thống đang sử dụng nhưng mỗi SIEM sẽ luôn luôn có các thành
phần cơ bản cơ bản được mô tả trong chương này. Bằng sự hiểu biết từng phần của
SIEM và cách thức hoạt động, chúng ta có thể quản lý một cách hiệu quả và khắc phục
sự cố các vấn đề khi phát sinh.
9

2.1. Thiết bị nguồn
Hình 2.1.
Thành phần đầu tiên của SIEM là các thiết bị đầu vào cung cấp dữ liệu cho
SIEM. Thiết bị nguồn có thể là một thiết bị thực tế trong hệ thống mạng như Router,
Switch hoặc một số loại máy chủ và cũng có thể là các bản ghi log từ một ứng dụng
hoặc chỉ là bất kỳ dữ liệu nào khác. Việc biết về những gì mình có trong hệ thống là
rất quan trọng trong việc triển khai SIEM. Hiểu rõ những nguồn mà chúng ta muốn lấy
các bản ghi log trong giai đoạn đầu sẽ giúp chúng ta tiết kiệm được công sức, số tiền
đáng kể và giảm sự phức tạp trong triển khai.
 Hệ điều hành: Microsoft Windows và các biến thể của Linux và UNIX, AIX,
Mac OS là những hệ điều hành thường hay được sử dụng. Hầu hết các hệ điều hành vê
cơ bản công nghệ khác nhau và thực hiện chuyên một nhiệm vụ nào đó nhưng một
trong những điều mà tất cả đều có điểm chung là chúng tạo ra các bản ghi log. Các bản
ghi log sẽ cho thấy hệ thống của bạn đã làm gì: Ai là người đăng nhập, làm những gì
trên hệ thống?...Các bản ghi log được tạo ra bởi một hệ điều hành về hệ thống và
người sử dụng hoạt động sẽ rất hữu ích khi tiến hành ứng phó sự cố an ninh hoặc chẩn
đoán vấn đề hay chỉ là việc cấu hình sai.

 Thiết bị: Hầu hết các thiết bị là các hộp đen, các quản trị hệ thống không có quyền
truy cập trực tiếp vào hệ thống để thực hiện một số việc quản lý cơ bản. Nhưng có thể
quản lý các thiết bị thông qua một giao diện. Giao diện này có thể dựa trên web, dòng lệnh
hoặc chạy qua một ứng dụng được tải về máy trạm của quản trị viên. Hệ điều hành các
thiết bị mạng chạy có thể là một hệ điều hành thông thường, chẳng hạn như Microsoft
Windows hoặc phiên bản của Linux, nhưng nó cũng có thể được cấu hình theo cách mà hệ
điều hành thông thường. Một ví dụ như một router hoặc switch. Nó không phụ thuộc vào
nhà cung cấp, chúng ta không bao giờ có thể truy cập trực tiếp vào hệ thống điều hành cơ
bản của nó mà chỉ có thẻ truy cập vào thông qua dòng lệnh hoặc
10

giao diện web được sử dụng để quản lý. Các thiết bị lưu trữ các bản ghi log của chúng
trên hệ thống hoặc thường có thể được cấu hình để gửi các bản ghi ra thông qua syslog
hoặc FTP.
 Ứng dụng: Chạy trên các hệ điều hành là những ứng dụng được sử dụng cho
một loạt các chức năng. Trong một hệ thống chúng ta có thể có hệ thống tên miền
(DNS), dịch vụ cấp phát địa chỉ động (DHCP), máy chủ web, hệ thống thư điện tử và
vô số các ứng dụng khác. Các bản ghi ứng dụng chứa thông tin chi tiết về tình trạng
của ứng dụng, ví dụ như thống kê, sai sót, hoặc thông tin tin nhắn. Một số ứng dụng
sinh ra bản ghi log sẽ có ích cho chúng ta? Chúng ta được yêu cầu để duy trì, lưu trữ
các bản ghi log theo sự tuân thủ của pháp luật.

 Xác định bản ghi log cần thiết: Sau khi xác định các thiết bị nguồn trong hệ
thống, chúng ta cần xem xét việc thu thập các bản ghi log từ các thiết bị nào là cần
thiết và quan trọng cho SIEM. Một số điểm cần chú ý trong việc thu thập các bản ghi
log như sau:
- Thiết bị nguồn nào được ưu tiên? Dữ liệu nào là quan trọng mà chúng ta cần
phải thu thập?
- Kích thước các bản ghi log sinh ra trong khoảng thời gian nhất định là bao
nhiêu? Những thông tin này dùng để xác định SIEM cần bao nhiêu tài nguyên cho
chúng, đặc biệt là không gian lưu trữ.
- Tốc độ các thiết bị nguồn này sinh ra các bản ghi log là bao lâu? Thông tin này
cùng với kích thước bản ghi log để lựa chọn việc sử dụng đường truyền mạng khi thu
thập các bản ghi.
- Cách thức liên kết giữa các thiết bị nguồn với SIEM?
- Có cần các bản ghi log theo thời gian thực hay thiết lập quá trình thực hiện tại
một thời điểm cụ thể trong ngày?
Các thông tin trên rất có ích trong việc xác định nguồn thiết bị cần thiết cho SIEM
của chúng ta. Chúng có quá nhiều nhưng nó là cần thiết để xác định chính xác hơn điều gì
là cần thiết cho SIEM. Số lượng người sử dụng, lịch bảo trì hệ thống và nhiều yếu tố khác
có thể tác động đáng kể đến số lượng các bản ghi log được tạo ra mỗi ngày.
11

2.2. Thu thập Log
Bước tiếp theo trong sơ đồ là làm thế nào để thu thập các bản ghi log từ các thiết
bị khác nhau. Cơ chế thu thập các bản ghi log phụ thuộc vào từng thiết bị nhưng cơ
bản nhất có hai phương thức như sau: Pull log và Push log.
2.2.1. Push Log
Push log: Các bản ghi log sẽ được các thiết bị nguồn gửi về SIEM.
Phương pháp này có lợi ích: Dễ dàng cài đặt và cấu hình. Thông thường, chúng ta
chỉ cần thiết lập một bộ tiếp nhận và sau đó kết nối thiết bị nguồn đến bộ phận tiếp nhận
này. Ví dụ như syslog. Khi cấu hình thiết bị nguồn sử dụng syslog, chúng ta có thể thiết
lập địa chỉ IP hoặc DNS tên của một máy chủ syslog trên mạng và thiết bị sẽ tự động gửi
các bản ghi của nó thông qua syslog. Tuy nhiên phương pháp nay cũng còn một số nhược
điểm. Ví dụ, sử dụng syslog trong môi trường UDP. Bản chất vốn của việc sử dụng syslog
trong môi trường UDP có nghĩa là không bao giờ có thể đảm bảo rằng các gói tin đến
đích, vì UDP là một giao thức không hướng kết nối. Nếu một tình huống xảy ra trên mạng
chẳng hạn như khi một loại virus mạnh trên mạng, chúng ta có thể không nhận được gói
tin syslog. Một vấn đề có thể phát sinh là nếu không đặt quyền điều khiển truy cập thích
hợp trên máy thu nhận các bản ghi log thì khi cấu hình sai hoặc có phần mềm độc hại có
thể làm tràn ngập các thông tin sai lệch. Điều đó làm cho các sự kiện an ninh khó được
phát hiện. Nếu là một cuộc tấn công có chủ ý nhằm chống lại SIEM thì một kẻ xấu có thể
làm sai lệch các thông tin và và thêm các dữ liệu rác vào SIEM. Do vậy sự hiểu biết về
các thiết bị gửi các bản ghi log cho SIEM là điều rất quan trọng.
2.2.2. Pull Log
Pull log: Các bản ghi log sẽ được SIEM đi tới và lấy về.
Không giống như phương pháp Push log, trong đó thiết bị nguồn gửi các bản ghi
log cho SIEM mà không cần bất kỳ sự tương tác từ SIEM. Pull log đòi hỏi SIEM bắt
đầu kết nối với các thiết bị nguồn và chủ động lấy các bản ghi từ các thiết bị nguồn đó.
Một ví dụ nếu các bản ghi log được lưu trữ trong tập tin văn bản chia sẻ trên một
mạng. SIEM sẽ thiết lập một kết nối lấy các thông tin được lưu trữ và đọc các file bản
ghi từ các thiết bị nguồn.
12

Đối với phương pháp Push Log, các bản ghi log của thiết bị nguồn thường gửi
các bản ghi đến SIEM ngay sau khi nó được tạo ra. Nhưng với phương pháp Pull Log
thì một kết nối sẽ được tạo ra để SIEM tiếp cận với các thiết bị nguồn và kéo các bản
ghi log từ các thiết bị nguồn về. Chu kỳ của việc kết nối để lấy các bản ghi log của Pull
Log có thể là vài giây hoặc theo giờ. Khoảng thời gian này chúng ta có thể cấu hình
theo tùy chọn hoặc để cấu hình mặc định cho SIEM.
- Prebuilt Log collection: Tùy thuộc vào SIEM, thường có các phương pháp được
xây dựng sẵn có sẵn để lấy được các bản ghi từ các thiết bị hoặc các ứng dụng. Ví dụ,
chúng ta có thể trỏ một máy chủ SIEM chạy cơ sở dữ liệu Oracle cung cấp cho các
thông tin cơ sở dữ liệu SIEM. SIEM sẽ có những phương pháp xác thực và quy tắc
(logic) được xây dựng để lấy thông tin từ cơ sở dữ liệu Oracle.
Ví dụ này làm cho việc lấy các bản ghi từ các thiết bị nguồn được dễ dàng hơn.
Nhưng đối với một ứng dụng nào đó mà chúng ta muốn lấy những bản ghi log nhưng
không có phương pháp hay quy tắc logic nào được xác định trước đó thì hơi khó.
Trong trường hợp này, cần thay đổi các bản ghi từ các định dạng file gốc thành một cái
gì đó mà SIEM có thể hiểu được. Một ví dụ là nếu chúng ta đang chạy một ứng dụng
trên một máy chủ và ứng dụng lưu trữ các bản ghi của nó trong một định dạng tập tin
trên máy chủ. Chúng ta có thể sử dụng một ứng dụng khác để đọc tập tin này và gửi
các bản ghi thông qua syslog. Trong trường hợp máy chủ Windows, một cách khác để
làm việc với các bản ghi không chuẩn sẽ được để viết nhật ký để Windows Event Log
và kéo Windows Event Log vào SIEM.
- Custom Log Collection: Với các thiết bị khác nhau trong mạng có thể có một số
nguồn bản ghi log không có phương pháp thu thập log chuẩn cung cấp sẵn bởi SIEM.
Chúng ta cần có phương thức để lấy các bản ghi log từ một nguồn bằng việc xây dựng
phương pháp riêng để thu thập các bản ghi log. Việc xây dựng phương thức riêng để
lấy bản ghi log và phân tích có thể tốn nhiều công sức và thời gian, nhưng nếu được
thực hiện đúng cách, nó sẽ có nghĩa là các bản ghi sẽ được kéo trực tiếp từ các thiết bị
vào SIEM. Một lợi ích khác của việc xây dựng phương pháp thu tập riêng là chúng ta
có thể kiểm soát tất cả các quá trình phân tích và tìm kiếm.
13

2.3. Phân tích, chuẩn hóa Log
Vô số các bản ghi log được gửi từ các thiết bị và ứng dụng trong môi trường đến
SIEM, điều gì sẽ xảy ra tiếp theo? Tại thời điểm này, tất cả các bản ghi đang ở định
dạng gốc ban đầu, do đó chúng ta không thực hiện được bất cứ điều gì ngoại trừ lưu nó
vào một nơi nào đó. Nhưng để các bản ghi log hữu ích trong SIEM chúng ta cần định
dạng lại chúng sang một định dạng chuẩn duy nhất. Việc thay đổi tất cả các loại bản ghi
log khác nhau thành các bản ghi có cùng một định dạng duy nhất được gọi là chuẩn
hóa. Việc chuẩn hóa các bản ghi log giúp cho SIEM có thể thống nhất các bản ghi log,
nhanh chóng phân tích cũng như tương quan sự kiện an ninh sau nay.
14

2.4. Kỹ thuật tương quan sự kiện an ninh
Các quy luật cho phép mở rộng việc chuẩn hóa các bản ghi các sự kiện an ninh từ
các nguồn khác nhau trong việc kích hoạt cảnh báo trong SIEM. Cách viết các quy luật
trong SIEM bắt đầu thường khá đơn giản, nhưng có thể trở nên cực kỳ phức tạp.
Chúng ta thường viết các quy tắc sử dụng một biểu thức Boolean logic để xác định
điều kiện cụ thể được đáp ứng và kiểm tra xem có phù hợp trong các dữ liệu.
Tương quan là một tập hợp các quy tắc. Tương quan sự kiện an ninh giúp liên kết
các sự kiện an ninh từ các nguồn khác nhau thành một sự kiện an ninh chính xác.
Tương quan các sự kiện an ninh được thực hiện nhằm đơn giản hóa các thủ tục ứng
phó sự cố cho cho hệ thống, bằng việc thể hiện một sự cố duy nhất được liên hệ từ
nhiều sự kiện an ninh đến từ các thiết bị nguồn khác nhau. Nếu nhìn vào ví dụ trong
bảng dưới, nó cho thấy nhiều sự kiện an ninh đăng nhập vào SIEM trong khoảng thời
gian 10 giây. Nhìn vào điều này có thể nhìn thấy sự thất bại đăng nhập và đăng nhập
thành công từ nhiều địa chỉ đến để một số địa chỉ đích. Nếu nhìn kỹ, có thể thấy một
một địa chỉ nguồn duy nhất đăng nhập vào nhiều địa chỉ đích nhiều lần, và sau đó đột
ngột thấy một đăng nhập thành công. Điều này có thể là một cuộc tấn công brute-force
với máy chủ. Nhưng trừ khi chúng ta có một trí nhớ rất tốt mới nhận ra điều đó.
Thường là chúng ta có thể đã quên các sự kiện an ninh đầu tiên xảy ra.
(Hình bảng)
Mở rộng theo ví dụ này và thay vì chỉ 10 sự kiện an ninh trong một khoảng thời
gian 10 giây, chúng ta có 1000 sự kiện an ninh trong 10 giây. Hãy chọn ra những sự
kiện an ninh từ tất trong hệ thống có thể hiển thị một sự kiện an ninh nguy cơ nguy hại
là điều cực kỳ khó khăn. Chúng ta cần một cách để loại bỏ tất cả các thông tin sự kiện
an ninh không liên quan trong các bản ghi log và chỉ cần theo dõi các thông tin sự kiện
an ninh mà có thể chỉ ra một nguy hại qua nhiều sự kiện an ninh.
15

2.5. Lưu trữ Log
Với các bản ghi log gửi tới SIEM chúng ta cần một cách để lưu trữ chúng để
phục vụ các mục đích lưu giữ và truy vấn sau này. Có ba cách mà có thể lưu trữ các
bản ghi trong SIEM là: Dùng một cơ sở dữ liệu, file Text và dưới dạng file nhị phân.
Lưu trữ dưới dạng cơ sở dữ liệu
Lưu trữ các bản ghi log trong cơ sở dữ liệu là cách lưu trữ các bản ghi log hay
được dùng nhất trong SIEM. Cơ sở dữ liệu thường là một nền tảng cơ sở dữ liệu chuẩn
như Oracle, MySQL, Microsoft SQL hoặc một trong các ứng dụng cơ sở dữ liệu lớn
khác đang được sử dụng trong doanh nghiệp. Phương pháp này cho phép khá dễ dàng
tương tác với dữ liệu vì các truy vấn cơ sở dữ liệu là một phần của ứng dụng cơ sở dữ
liệu. Hiệu suất cũng khá tốt khi truy cập vào các bản ghi log trong cơ sở dữ liệu, phụ
thuộc vào phần cứng cơ sở dữ liệu đang chạy, nhưng các ứng dụng cơ sở dữ liệu phải
được tối ưu hóa để chạy với SIEM. Sử dụng cơ sở dữ liệu là một giải pháp tốt cho việc
lưu trữ nhật ký, nhưng một số vấn đề có thể phát sinh tùy thuộc vào cách SIEM triển
khai cơ sở dữ liệu tương ứng với nó. Nếu SIEM là một thiết bị thường không có nhiều
sự tương tác với cơ sở dữ liệu, do đó việc cung cấp và bảo trì thường không phải là
một vấn đề. Nhưng nếu SIEM đang chạy trên phần cứng riêng thì việc quản lý cơ sở
dữ liệu cho mình cũng là vấn đề lớn. Điều này có thể là khó khăn nếu chúng ta không
có một DBA.
Lưu trữ dưới dạng file Text
Một tập tin văn bản chuẩn để lưu trữ các thông tin trong một định dạng có thể đọc
được. Các thông tin cần phải có một ranh giới phân cách có thể là dấu phẩy, tab hoặc một
số kí hiệu khác. Vì vậy thông tin có thể được phân tích và đọc đúng. Phương pháp lưu trữ
này không được sử dụng thường xuyên. Hành động viết và đọc từ tập tin văn bản dường
như chậm hơn so với các phương pháp khác. Thật sự không có nhiều lợi ích khi sử dụng
một tập tin text để lưu trữ dữ liệu, nhưng nó dễ dàng cho các ứng dụng bên ngoài để truy
cập dữ liệu này. Nếu các bản ghi log được lưu trữ trong một tập tin văn bản, thì sẽ không
khó khăn khi một viết mã của riêng để mở các tập tin và lấy thông tin để cung cấp cho cho
một ứng dụng khác. Một lợi ích khác là khi tập tin văn bản con người có thể đọc được và
dễ dàng để nhà phân tích tìm kiếm và hiểu nó. Chúng ta có thể mở các tập tin và sử dụng
lệnh grep hoặc một số công cụ tìm kiếm tập tin văn bản khác để tìm ra thông tin tìm kiếm
mà không cần mở một giao diện điều khiển.
16

Lưu trữ dưới dạng file nhị phân
Định dạng tập tin nhị phân là sử dụng một tập tin với định dạng tùy chỉnh để lưu
trữ thông tin duới dạng nhị phân. SIEM biết làm thế nào để đọc và ghi vào những file
này.
17

2.6. Theo dõi và giám sát
Khi đã có tất cả các bản ghi log trong SIEM và các sự kiện an ninh đã được xử
lý, điều cần làm tiếp theo như thế nào để sử dụng hữu ích với các thông tin từ các bản
ghi log khác nhau. SIEM có một giao diện điều khiển dựa trên web hoặc ứng dụng tải
về máy trạm. Cả hai giao diện sẽ cho phép tương tác với các dữ liệu được lưu trữ trong
SIEM. Giao diện điều khiển này cũng được sử dụng để quản lý SIEM.
Giao diện ứng dụng này cho phép xử lý sự cố hoặc cung cấp cái nhìn tổng quan
về môi trường của chúng ta. Bình thường khi muốn xem các thông tin hoặc xử lý sự cố
các kỹ sư sẽ phải đi đến các thiết bị khác nhau và xem các bản ghi log trong định dạng
gốc của nó. Nhưng với SIEM sẽ đơn giản và tiện lợi hơn nhiều. Nó có thể xử lý tại một
nơi duy nhất, phân tích tất cả các bản ghi log khác nhau dễ dàng bởi vì SIEM đã chuẩn
hóa các thông tin dữ liệu đó. Trong quản lý và giám sát giao diện điều khiển của
SIEM, chúng ta có thể phát triển nội dung và quy định được sử dụng để tìm ra thông
tin từ các sự kiện an ninh được xử lý. Giao diện điều khiển này là một cách để giao
tiếp với các dữ liệu được lưu trữ trong SIEM.
18

Chương 3
HOẠT ĐỘNG CỦA SIEM
Việc quan trọng khi thực hiện triển khai SIEM là cần phải hiểu nó làm việc như
thế nào? Đối với mỗi nhà cung cấp khác nhau sẽ có đôi chút khác nhau nhưng chúng
đều dựa trên những khái niệm cốt lõi. Thành phần cơ bản vẫn là thu thập thông tin,
phân tích và lưu trữ. Các bản ghi Log được thu thập từ các thiết bị khác nhau và chúng
có thể có những định dạng theo từng loại thiết bị. Chúng ta cần thu thập và chuyển nó
về một định dạng chung. Quá trình này gọi là hợp nhất dữ liệu (consolidation). Sau đó
sẽ tiến hành phân tích từ các dữ liệu này và thực hiện tương quan sự kiện an ninh
(Correlation) để đưa tới kết luận có một cuộc tấn công hay không? Các thông tin về
môi trường mạng và các mối đe dọa phổ biến rất có ích trong giai đoạn này. Việc đưa
ra cảnh báo và các báo cáo sẽ được tạo ra như một kết quả của việc phân tích. Các bản
ghi Log được lưu trữ trực tiếp trên SIEM ít nhất vài giờ đồng hồ sau đó chuyển tới nơi
lưu trữ lâu dài để phục vụ cho quá trình điều tra hoặc sử dụng sau này.
19

3.1. Thu thập thông tin
Hình 3.1.
Mục đích việc thu thập thông tin là để nắm bắt và chuẩn hóa các thông tin từ các
thiết bị an ninh khác nhau và cung cấp nó cho các máy chủ để phân tích tiếp. Chức
năng này là rất quan trọng vì các dữ liệu có định dạng khác nhau từ các thiết bị và nhà
cung cấp khác nhau. Sau khi dữ liệu đã được thu thập và chuẩn hóa có thể được sử
dụng kết hợp với các dữ liệu khác từ các nguồn khác. Khi đã cùng một định dạng thì
việc phát hiện sự kiện an ninh có khả năng độc hại được nâng cao và chính xác hơn.
SIEM thu thập các bản ghi Log từ rất nhiều các thiết bị khác nhau, việc truyền
các bản ghi log từ các thiết bị nguồn tới SIEM cần được giữ bí mật, xác thực và tin cậy
bằng việc sử dụng syslog hoặc các giao thức SNMP, OPSEC, SFTP, IDXP. Sau đó các
bản ghi log chuẩn hóa đưa về cùng một định dạng. Nếu các thiết bị không hỗ trợ
syslog hay các giao thức này chúng ta cần phải sử dụng các Agent. Đó là một điều cần
thực hiện để thực hiện việc lấy các bản ghi log có định dạng mà SIEM có thể hiểu
được. Việc cài đặt các Agent có thể kéo dài quá trình triển khai SIEM nhưng chúng ta
sẽ có những bản ghi log theo dạng chuẩn mong muốn.
Có hai cách để SIEM thu thập bản ghi log từ các thiết bị nguồn. Các thứ nhất là
Pull log, trong cách này SIEM sẽ truy xuất tới các thiết bị nguồn và lấy các bản ghi log
về. Thời gian để truy xuất tới các thiết bị SIEM có thể tùy chọn. Cách thứ hai là Push
log, các thiết bị nguồn tự đẩy các bản ghi log về cho SIEM. Điều này cũng cần tính
toán về chu kỳ thời gian đẩy các bản ghi về SIEM vì nếu không sẽ dẫn tới việc tràn và
bận của SIEM khi quá nhiều các thiết bị nguồn cùng gửi bản ghi log về.
20

 Pull Log: Một phần mềm được cài đặt trên các thiết bị an ninh và sử dụng để
lấy dữ liệu từ các thiết bị bằng cảm biến hoặc máy chủ. Các thiết bị an ninh sử dụng
plugin để phân tích thông tin từ một định dạng cụ thể tùy thuộc vào thiết bị hoặc nhà
cung cấp. Kỹ thuật này thường sử dụng trên các máy chủ và máy trạm vì nó rất dễ
dàng để cài đặt thêm phần mềm vào.

 Push Log: Dữ liệu định dạng gốc được lấy từ các thiết bị an ninh. Việc này
được thực hiện bằng SNMP hoặc SYSLOG và không thay đổi được các phần mềm
chạy trên các thiết bị an ninh. Kỹ thuật này thường dùng cho các thiết bị mà khó có thể
cài đặt thêm phần mềm vào.
Khi các sự kiện an ninh đến máy chủ, mức độ ưu tiên sẽ được định dạng theo
chuẩn từ 0 đến 5. Người quản trị có thể điều chỉnh các giá trị mặc định thông qua một
bảng tiêu chuẩn và chính sách ưu tiên.
Chính sách thu thập thông tin: Có thể thiết lập một chính sách ưu tiên và thu thập
ở các bộ cảm biến để lọc và củng cố các thông tin sự kiện an ninh trước khi gửi chúng
đến máy chủ. Kỹ thuật này cho phép người quản trị để điều tiết sự kiện an ninh và
quản lý những thông tin, nếu không sẽ rất nhiều các sự kiện an ninh trong hệ thống
mạng làm cho chúng ta lúng túng không biết bắt đầu từ đâu.
21

3.2. Chuẩn hóa và tổng hợp sự kiện an ninh
Rất nhiều các dữ liệu bản ghi log cần được SIEM chuẩn hóa đưa về một định
dạng riêng mà nó có thể hiểu được. Khi các dữ liệu được chuẩn hóa thì một số thông
số quan cần được lưu ý như ngày tháng, thời gian và thời gian thu thập dữ liệu. Các
thông số này thông thường được cung cấp bởi Network Time Protocol (NTP).
Sau quá trình chuẩn hóa các bản ghi log thì quá trình tổng hợp sự kiện an ninh
diễn ra. Mục đích của quá trình này là tổng hợp các sự kiện an ninh thuộc cùng một
kiểu để thấy được sự tổng thể của hệ thống. Điều này có vẻ tương tự như với quá trình
tương quan sự kiện an ninh nhưng thực sự không phải vậy. Tương quan sự kiện an
ninh thì sẽ tổng hợp nhiều sự kiện an ninh khác nhau để đưa ra kết luận có hay không
về một cuộc tấn công.
22

3.3. Tương quan sự kiện an ninh
Quá trình tương quan sự kiện an ninh là từ các bản ghi sự kiện an ninh khác nhau
được liên kết lại với nhau nhằm đưa ra kết luận có hay không một tấn công vào hệ
thống. Quá trình đòi hỏi việc xử lý tập trung và chuyên sâu vì chúng phải hiểu được
một tấn công diễn ra như thế nào? Mà thông thường sẽ sử dụng các thông tin dữ liệu
trong cơ sở dữ liệu sẵn có và liên kết với các thông tin về bối cảnh trong môi trường
mạng của hệ thống. Các thông tin này có thể như các thư mục người dùng, các thiết bị
và vị trí của chúng. Điều tuyệt vời là SIEM có thể học được từ những sự kiện an ninh
mới mà dữ liệu gửi về và cập nhật các thông tin về bối cảnh.
Như chúng ta đã biết, có nhiều thiết bị IDS và IPS là những thiết bị phát hiện và
ngăn chặn tấn công phổ biến đang được dùng trong hiện tại. Nhưng chúng đều là hoạt
động một cách độc lập hay riêng lẻ. Một câu hỏi đặt ra trong nhu cầu tất yếu của sự
phát triển liệu có một giải pháp nào giải quyết được những hạn chế trên. Nếu duy nhất
một tập tin có thể chứa tất cả các thông tin cần thiết để phân tích an ninh, chúng ta sẽ
không cần phải bận tâm với việc thu thập và liên kết các sự kiện từ nhiều nguồn khác
nhau. Sự thật là mỗi bản ghi log hoặc sự kiện có chứa một mẩu thông tin. Để đưa ra
quyết định có chính xác về những gì đang xảy ra với các ứng dụng và trong hệ thống,
chúng ta cần phải kết hợp các sự kiện từ nhiều nguồn khác nhau. Các sự kiện chúng ta
muốn và phần nào của dữ liệu từ những sự kiện chúng ta cần là những gì mà SIEM
mang đến cho chúng ta.
Vậy tương quan là gì? Tương quan là việc liên kết nhiều sự kiện lại với nhau để
phát hiện hành vi lạ. Nó là sự kết hợp của các sự kiện khác nhau nhưng liên quan đến
một sự cố duy nhất trong hệ thống. Thông thường có hai kiểu Correlation là dựa trên
các quy tắc kiến thức đã biết (Rule - based) và dựa trên phương pháp thống kê
(statistical-based).
Rule - based: Là phương pháp tương quan sự kiện dựa trên các quy tắc và kiến
thức đã biết về các cuộc tấn công. Các kiến thức đã biết về các cuộc tấn công được sử
dụng để liên kết các sự kiện lại với nhau và phân tích chúng trong một bối cảnh chung.
Các quy tắc được xây dựng vào các mẫu xác định và do các nhà cung cấp phát
triển hoặc chúng ta có thể tự xây dựng, phát triển và bổ sung vào hệ thống theo thời
gian và kinh nghiệm tích lũy.
23

Ví dụ: Nếu một quản trị viên dùng các quy tắc theo dõi giám sát xem có sự quét
các cổng trên các thiết bị. Nếu thấy rằng có sự quét cổng để cố gắng telnet vào đó, các
quy tắc sau đó tiếp tục theo dõi xem khoảng thời gian trước đó đã xảy ra hay chưa?
Nếu có một kết nối telnet được xác định từ một nguồn IP không rõ thì hệ thống tương
quan sự kiện này sẽ gửi cảnh báo qua giao diện điều khiển hoặc có thể nhắn tin, gửi
mail đến cho các quản trị viên được biết.
Statistical - based: Phương thức tương quan không sử dụng bất kỳ kiến thức của
các hoạt động cho là nguy hiểm đã biết trước đó. Nhưng thay vì dựa vào những kiến
thức của các hoạt động bình thường đã được công nhận và tích lũy theo thời gian. Các
sự kiện đang diễn ra được đánh giá bởi một thuật toán và có thể được so sánh với mẫu
bình thường để phân biệt hành vi bình thường và hành vi bất thường.
Hệ thống phân tích các sự kiện an ninh trong một khoảng thời gian và sử dụng
trọng số để đánh giá tài sản, hệ thống. Các giá trị trọng này sau đó được phân tích để
xác định nguy cơ kiểu tấn công này xảy ra. Các hệ thống này cũng thiết lập mức độ
hoạt động mạng bình thường và tìm kiếm sai lệch so với những mẫu có hành vi bình
thường có thể chỉ ra một cuộc tấn công.
24

3.4. Cảnh báo và báo cáo
SIEM cung cấp ba cách để SIEM thông báo tới các quản trị viên một cuộc tấn công
hay một hành vi bất thường đang xảy ra. Thứ nhất, SIEM có thể đưa ra một cảnh báo ngay
khi chúng nhận ra rằng có điều gì bất thường. Thứ hai, SIEM sẽ gửi một thông báo vào
một thời điểm được xác định trước của cuộc tấn công và thứ ba là các quản trị viên theo
dõi giám sát SIEM theo thời gian thực thông qua một giao diện web. Các IDS thông
thường đưa ra nhiều cảnh báo giả nhưng với SIEM nó tạo ra một tỷ lệ nhỏ các thông báo
giả như vậy. Tuy nhiên tất cả những thông báo có thể là cần thiết để thực hiện một hành
động hay đơn giản là bỏ qua nó còn tùy thuộc vào mức độ của sự kiện an ninh.
Một số sản phẩm của SIEM có thể thực hiện các hành động ứng phó như xóa các
phần mềm độc hại, đóng một số cổng nào đó thông qua việc kết nối tới các thiết bị đó.
Báo cáo được lập lịch để đưa ra các báo cáo thường xuyên. Các báo này được thể
hiện theo chuẩn quốc tế và có thể thể hiện qua những biểu đồ trực quan về những số
liệu. Những báo cáo này cung cấp nhanh chóng cái nhìn tổng quan cho các quản trị
viên và nhà quản lý.
25

3.5. Lưu trữ
Khi phân tích thì các dữ liệu được lưu trữ trực tuyến và khi không còn cần thiết
thì chúng sẽ được chuyển tới nơi khác để lưu trữ dài hạn. Dữ liệu có thể được lưu trữ
dưới dạng đã chuẩn hóa (hay đã tổng hợp) nhằm đẩy nhanh tốc độ tìm kiếm sử dụng
sau này. Bên cạnh đó chúng cũng được lưu trữ dưới dạng gốc ban đầu nhằm phục vụ
nhu cầu bằng chứng và điều tra pháp y sau này. Thông thường chúng được lưu trữ
dưới dạng nén và có thể được mã hóa. SIEM cung cấp khả năng lưu trữ đến TB hàng
trăm triệu sự kiện an ninh khác nhau.
26

Chương 4
THỰC NGHIỆM, KẾT QUẢ
Guidelines:
1. Restate the Thesis Problem, the Thesis Objectives, the Methods used to carry out the
Objectives, and ALL corresponding results obtained in Chapter 4.
2. Provide interpretations/perspectives of several MOST important results which you think
they are significant and help draw a better picture about the Context of the thesis.
3. Give 1 or 2 future directions/tasks such that, apart from the results obtained in Chapter
4, by undertaking these directions/tasks, one (not just you) can help solve the Thesis
Problem, or even to extend it. This helps guide other people to complete/extend your
work. Do not write about future works which are FAR related to the Thesis Problem.
A good length of this chapter is about 2 pages.
27

4.1. Một số công cụ triển khai SIEM
4.1.1. AlienVault OSSIM
OSSIM là một cách tiếp cận hấp dẫn đối với SIEM. OSSIM là mã nguồn mở do
đó có thể tải về miễn phí, cài đặt và chỉnh sửa phù hợp với hoạt động riêng cho từng hệ
thống. OSSIM được phát triển bởi AlienVault, gồm hai phiên bản miễn phí và tính phí.
Phiên bản miễn phí có một số hạn chế liên quan đến hiệu suất, lưu trữ và việc hỗ trợ.
Tuy nhiên khi chúng ta dùng các phiên bản cao hơn phiên bản miễn phí thì nó có thể
đáp ứng rất nhiều nhu cầu của chúng ta.
Một tính năng quan trọng AlienVault OSSIM là Logger. Nó là một cơ sở dữ liệu
bổ sung cho mục đích pháp y. Logger cho phép lưu trữ các bản ghi số lượng lớn trong
thời gian lâu dài. Chúng sử dụng chủ yếu là hệ thống lưu trữ NAS/SAN. OSSIM phát
triển dựa trên cộng đồng và khả năng tùy chỉnh giống như với bất kỳ phần mềm mã
nguồn mở khác.
OSSIM có thể được sử dụng bởi các tổ chức nhỏ nhưng hiệu quả nhất khi được
sử dụng bởi các tổ chức lớn, nơi có nhiều thiết bị mạng như Firewall, IDS/IPS, Anti-
Virus và các máy chủ web,... OSSIM đã được tích hợp với các công cụ bảo mật mã
nguồn mở khác nhưng không giới hạn Snort, ntop, OpenVAS, P0f, PADs, arpwatch,
OSSEC, Osiris, Nagios, OCS, và Kismet. Có công cụ mã nguồn mở nổi tiếng như là
một phần của nền tảng làm cho các chuyên gia an ninh dễ dàng làm việc với nó.
Hoạt động cơ bản của AlienVault OSSIM:
 Ứng dụng bên ngoài và các thiết bị tạo ra các sự kiện an ninh.

 Các ứng dụng chuyển với AlienVault tạo ra sự kiện an ninh ( AlienVault cảm

biến )

 Sự kiện an ninh được thu thập và chuẩn hóa trước khi được gửi đến một máy
chủ trung tâm.

 Các AlienVault Server đánh giá rủi ro, tương quan và lưu trữ các sự kiện an
ninh trong một cơ sở dữ liệu SQL.

 Các máy chủ lưu trữ AlienVault các sự kiện an ninh trong một hệ thống lưu
trữ, thường NAS cho bản mã nguồn mở hoặc SAN cho bản thương mại.
28

 Một giao diện web cho phép và cung cấp một hệ thống số liệu, báo cáo, (bảng
điều khiển, hệ thống, báo cáo lỗ hổng, hệ thống quản lý và thông tin thời gian thực của
mạng.
4.1.2. Q1 Labs Qradar
Q1 Labs tham gia vào thị trường SIEM vào năm 2001 với dòng sản phẩm đầy đủ
tính năng. Họ cung cấp công nghệ trong một thiết bị (bao gồm cả phần cứng và phần
mềm) và một phiên bản phần mềm mà chúng ta có thể cài đặt trên phần cứng của
riêng. Sản phẩm hàng đầu của họ được gọi là QRadar SIEM. Hệ thống này bao gồm
tất cả mọi thứ cần thiết để có được những thông tin về mức độ bảo mật của và các dịch
vụ quản lý sự kiện an ninh. Hệ thống QRadar đáp ứng yêu cầu tuân thủ để lưu trữ sự
kiện an ninh, giám sát, báo cáo và bao gồm các chức năng sau đây để thực hiện yêu
cầu an ninh bảo mật của tổ chức:
 Theo dõi sự kiện an ninh.

 Theo dõi lưu lượng mạng.

 Tích hợp máy quét lỗ hổng.

 Kiểm kê tài sản và tạo ra hồ sơ về nó.

 Phân tích dữ liệu.

 Tương quan dữ liệu.

 Phát hiện ra những mối đe dọa.

 Tạo ra các báo cáo.
Các dòng sản phẩm gồm: QRadar 2100 có giá không quá cao dành cho các doanh
nghiệp vừa và nhỏ. Dòng sản phẩm QRadar 3100 dành cho các doanh nghiệp quy mô
lớn hơn. Trong triển khai các thiết bị giám sát, lưu trữ trên toàn mạng tạo thành một hệ
thống phân cấp và cung cấp nguồn dữ liệu vào Management Console. QRadar là một
trong những sản phẩm đơn giản nhất triển khai SIEM. Nó dễ dàng được thu nhỏ và tùy
chỉnh mở rộng nhằm giảm thiểu các thông báo giả, lọc các luồng và phân tích sự kiện
an ninh.
29

4.1.3. MARS
Hệ thống theo dõi, giám sát và ứng phó (MARS - Monitoring Analysis and
Response System) là một sản phẩm triển khai SIEM được sản xuất bởi Cisco. MARS
là một sản phẩm thương mại rất được ưa chuộng trong việc triển khai SIEM. Do công
ty chiếm lĩnh đa phần thị trường thiết bị mạng nên việc áp dụng rộng dãi và tác động
của nó cũng trở lên dễ dàng hơn. Theo nguồn tin từ công ty thì MARS có một lộ trình
trong tương lai là tích hợp công cụ này với các sản phẩm của họ trong thời gian tới.
MARS được thiết kế với mục đích giảm nhẹ một phần của SIEM. Khi triển khai
một cách chính xác thì MARS có thể:
 Xác định một cuộc tấn công nào được tiến hành.

 Hiện thị các thông tin chi tiết và mạng hay đường dẫn liên quan đến sự việc.

 Xác định các thiết bị có thể sử dụng để ngăn chặn các cuộc tấn công.

 Trong nhiều trường hợp nó có thể cung cấp các lệnh cụ thể áp dụng cho các
thiết bị để ngăn chặn các cuộc tấn công.
Giống như nhiều sản phẩm SIEM khác, MARS cũng cung cấp chức năng phục
vụ điều tra pháp y và báo cáo. Kiểm toán các chính sách về hệ thống mạng, báo cáo
hiện trạng mạng, việc sử dụng các thiết bị và xác định định hướng quy hoạch phạm vi
của SIEM.
MARS vẫn cung cấp khả năng thu thập thông tin sự kiện an ninh từ các thiết bị
và ứng dụng qua Syslog hoặc giao thức SNMP.
30

4.2. Triển khai SIEM với AlienVault OSSIM
Các bản ghi log luôn phản ánh đúng các sự kiện an ninh, nó rất quan trọng để
tổng hợp và phân tích các bản ghi mạng nội bộ và bên ngoài để các công ty có thể
ngăn chặn hành vi vi phạm hoặc thực hiện ứng phó sự cố một cách kịp thời. Vì lý do
an ninh, các công ty sử dụng SIEM như một giải pháp và nó được triển khai trong một
tổ chức để giải quyết các mối đe dọa quản lý, ứng phó sự cố và tuân thủ. Theo Magic
Quadrant hơn 80% của việc triển khai ban đầu SIEM mất một chi phí rất lớn. Đó là
một điều không may và hầu hết ban giám đốc chỉ phê duyệt ngân sách cho SIEM khi
họ đã gặp rắc rối về đề an ninh. Đó không phải là một hành động là an ninh chủ động.
Thật may mắn, có một cách để quản lý hệ thống của chúng ta mà không chi tiêu
một xu nào khi sử dụng SIEM bằng cách triển khai OSSIM AlienVault của (Open
Source SIM). OSSIM có thể là một điều tuyệt vời cho những công ty có nhu cầu cho
SIEM nhưng không thể đủ khả năng tài chính hoặc cho những công ty đang xem xét
việc quản lý an ninh của AlienVault nhưng muốn thử các chức năng cơ bản trước khi
mua bản tính phí.
OSSIM AlienVault tham gia thị trường SIEM từ năm 2003, nền tảng SIEM mã
nguồn mở hiện nay theo trang web của AlienVault việc triển khai OSSIM là khoảng
18.000, đó là một con số khá lớn đối với các sản phẩm cùng loại khác trên thế giới.
4.2.1. Phương pháp thu thập thông tin
Có nhiều cách để thu thập các bản ghi từ máy chủ sử dụng các Agent như
OSSEC và Snare. Lựa chọn thay thế để cài đặt các Agent cho các hệ thống Linux chỉ
đơn giản là cấu hình rsyslog hoặc thiết lập snmptrapd. Cách tốt nhất để chuyển tiếp các
bản ghi từ một hệ thống Windows là sử dụng Snare.
4.2.2. Một số công cụ mã nguồn mở trong AlienVault OSSIM
Các công cụ mã nguồn mở cung cấp sự linh hoạt, cho phép các tổ chức giảm chi
phí và tận dụng tài năng của hàng ngàn lập trình viên trên toàn thế giới. Hầu hết các tổ
chức đã sử dụng một số loại ứng dụng bảo mật được xây dựng từ mã nguồn mở.
OSSIM đã tích hợp và sử dụng những công cụ này. Hơn 15 loại công cụ mã nguồn mở
tốt nhất được biên dịch vào OSSIM.
Snort
31

Snort là công cụ mã nguồn mở hàng đầu về IDS ngày nay. Một phiên bản với
những tùy chọn được tích hợp vào OSSIM. Nó cung cấp các cảnh báo liên quan đến
các cuộc tấn công mạng.
OpenVAS
OpenVAS được cấp phép (GPL) của phiên bản Nessus. Một công cụ mã nguồn
mở quét lỗ hổng phổ biến. Công cụ này được sử dụng nhằm cung cấp các thông tin về
các lỗ hổng quét trong mạng và thêm các thông tin có giá trị cho cơ sở dữ liệu OSSIM.
Ntop
Ntop là một công cụ mã nguồn mở giám sát lưu lượng mạng phổ biến. Công cụ
này cung cấp những thông tin về lưu lượng truy cập trên mạng, có thể được sử dụng để
phát hiện một cách chủ động những vấn đề bất thường hay độc hại.
Nagios
Nagios là một công cụ phần mềm mã nguồn mở giám sát thiết bị mạng phổ biến.
Công cụ này được sử dụng để giám sát các thiết bị mạng, các dịch vụ theo thời gian và
cung cấp các cảnh báo trong trường hợp ngừng hoạt động.
PADs
(Passive Asset Detection System) Hệ thống phát hiện thụ động tài sản là một
công cụ duy nhất. Công cụ lặng lẽ theo dõi lưu lượng mạng, các bản ghi log và dịch
vụ. Dữ liệu này được theo dõi bởi OSSIM khi có sự bất thường trong dịch vụ mạng.
P0f
Công cụ P0f được sử dụng thu thập thông tin về hệ điều hành. Công cụ này theo
dõi lưu lượng truy cập mạng và xác định hệ điều hành. Thông tin này rất hữu ích trong
quá trình suy luận tương quan.
OCS-NG
(Open Computer and Software Inventory Next Generation) Phần mềm giám sát,
thống kê các thiết bị, tài sản của hệ thống. Công cụ này thực hiện một cách tự động
theo dõi những tài sản và cung cấp các phân tích thông tin an ninh cần thiết.
OSSEC
32

OSSEC là một công cụ mã nguồn mở phát hiện xâm nhập trên host. Công cụ này
cung cấp nền tảng phân tích log, kiểm tra tính toàn vẹn của tập tin, phát hiện rootkit,
giám sát chính sách, thời gian thực và đưa ra cảnh báo.
OSVDB
(Open Source Vulnerability Database) Là một dự án mã nguồn mở cập nhật
thông tin lỗ hổng cơ sở dữ liệu. Nó được tích hợp vào OSSIM sử dụng trong quá trình
tương quan và cho các nhà phân tích.
NFSen/NFDump
Netflow là một phần quan trọng của theo dõi hệ thống mạng và rất ích trong quá
trình tương quan. NFSen cung cấp một giao diện dựa trên web đồ họa làm việc. Cả
NFSen và NFDump đã được tích hợp vào OSSIM và đã được điều chỉnh để làm việc
với các công cụ khác.
Inprotect
Inprotect là thể hiện giao diện trên nền web của Nessus, OpenVAS và Nmap.
Inprotect đã được tích hợp vào OSSIM và cung cấp khả năng quét theo mẫu, quét theo
lịch và xuất ra kết quả sang các định dạng khác nhau.
4.2.3. Tương quan sự kiện an ninh trong AlienVault OSSIM
Sự tương quan liên kết sự kiện an ninh là một trong những tính năng cốt lõi của
OSSIM phân biệt nó với IDS/IPS. Nó giúp giảm các cảnh báo giả bằng cách tương quan
liên kết nhiều sự kiện an ninh khác nhau và báo động cho các quản trị viên biết và chú
ý đến các sự kiện an ninh. Tính năng tương quan bao gồm tương quan chéo và tương
quan hợp lý (tương quan Chỉ thị ). Chéo tương quan chỉ làm việc với các sự kiện an
ninh đã được xác định IP đích đến bởi vì nó đã kiểm tra các máy chủ đích để xác định
xem nó có bất kỳ lỗ hổng không có trong cơ sở dữ liệu và thay đổi giá trị độ tin cậy
của sự kiện an ninh phù hợp. Giá trị độ tin cậy của sự kiện an ninh là một trong những
số liệu được sử dụng để tính toán rủi ro trong OSSIM.
4.2.4. Đánh giá rủi ro
Đánh giá rủi ro là việc làm quan trọng nhằm xác định cái gì là quan trọng cái gì
là không? Việc đánh giá rủi ro được coi như là một trợ lý của quá trình ra quyết định.
33

OSSIM tính toán rủi ro cho từng sự kiện an ninh. Việc tính toán này dựa trên ba thông
số sau:
 Giá trị tài sản (Mất bao nhiêu giá trị nếu bị xâm nhập?)

 Nguy cơ nào sẽ xảy ra?

 Xác suất xảy ra nó là bao nhiêu?
Bản ghi log được cung cấp từ các nguồn dữ liệu khác nhau đến máy chủ OSSIM.
Các bản ghi log chuẩn hóa và hiển thị trong giao diện quản lý web như các sự kiện an
ninh. Tickets được tự mở hoặc tự động tạo ra trong OSSIM. Để xử lý sự cố, OSSIM sẽ
được xem xét báo động, tạo ra một ticket về sự cố có liên quan và gán nó cho thành
phần thích hợp. Báo động xảy ra khi giá trị rủi ro của sự kiện an ninh bằng hoặc lớn
hơn một giá trị nào đó. Rủi ro được tính toán theo công thức sau:
[ASSET VALUE(0-5)*PRIORITY(0-5)*RELIABILITY(0-10)] /25 = RISK OF
THE EVENT(0-10)
Trong đó:
ASSET VALUE: Giá trị của tài sản.
PRIORITY: Độ ưu tiên cho từng sự kiện an ninh.
RELIABILITY: Độ tin cậy của sự kiện an ninh.
RISK OF THE EVENT: Mức độ rủi ro của sự kiện an ninh.
Các tài sản trong OSSIM có giá trị tài sản từ 0-5. Số càng cao là càng có giá trị
tài sản. Tài sản có thể là một nhóm máy chủ, các nhóm máy chủ, mạng và nhóm mạng.
Căn cứ vào độ tin cậy có thể để nhận thấy xác suất của một cuộc tấn công. Ví dụ, một
giá trị cao (9 hoặc 10) có nghĩa là các cuộc tấn công là có thật.
4.2.5. Các hành động ứng phó sự cố an ninh
OSSIM có khả năng ứng phó tự động với các sự kiện an ninh nhất định hoặc thiết
lập các ứng phó cho các sự kiện an ninh. Ứng phó bao gồm việc gửi một email tới
quản trị viên, đưa ra cảnh báo trên giao diện quản lý hoặc thực hiện một hành động
nào đó nhằm ngăn chặn các hành vi vi phạm an ninh. Điều này rất có ích nhưng cũng
nguy hiểm bởi chúng ta cấu hình không tốt sẽ gây ra những cảnh báo giả hay đưa ra
các hành động không tốt cho hệ thống.
34

4.2.6. Báo cáo trong AlienVault OSSIM
AlienVault OSSIM cung cấp công cụ tạo báo cáo một cách trực quan thông qua
các biểu đồ và nhiều kiểu báo cáo khác nhau. Bên cạnh đó là khả năng tùy chỉnh, mở
rộng và dễ dàng để làm việc tạo các báo cáo tương ứng với mục đích cụ thể theo chuẩn
quốc tế.
35

4.3. Thực nghiệm kết quả với AlienVault OSSIM
4.3.1. Lab 1: Tấn công Bruteforce
4.3.2. Lab 2: Tấn công khai thác lỗ hổng bảo mật
4.3.3. Lab 3: Tấn công Ddos botnet
36

Chương 5
KẾT LUẬN
Guidelines:
4. Restate the Thesis Problem, the Thesis Objectives, the Methods used to carry out
the Objectives, and ALL corresponding results obtained in Chapter 4.
5. Provide interpretations/perspectives of several MOST important results which
you think they are significant and help draw a better picture about the Context of
the thesis.
6. Give 1 or 2 future directions/tasks such that, apart from the results obtained in
Chapter 4, by undertaking these directions/tasks, one (not just you) can help
solve the Thesis Problem, or even to extend it. This helps guide other people to
complete/extend your work. Do not write about future works which are FAR
related to the Thesis Problem.
A good length of this chapter is about 2 pages.
37

TÀI LIỆU THAM KHẢO
Tiếng Việt
Tiếng Anh
(Ví dụ)
[1] ITU, “Internet protocol data communication service – IP packet transfer
and availability performance parameters,” ITU-T Recommendation Y.1540,
Feb. 1999.
[2] IEEE Reference Format [Online] http://www.ieee.org/auinfo03.pdf
[3] B. Callaghan, Voices from the Margins: Postmodernism and Latin
American Fiction, Master thesis, University College Cork, 1994.
[4] H. Schimanski and C. Thanner, “Raiders of the lost ark,” IEEE Trans.
Electromagnetic Compatibility, vol. 51, no. 5, pp. 543–547, May 2003.
[5] J. Matula and R. Franck, “A case for two,” in Proc. 15th Int. Zurich
Symposium and Technical Exhibition on Electromagnetic Compatibility,
Zurich, Switzerland, Feb. 2003, vol. 1, pp. 347–350.
38

Guidelines to format the references, in accordance with the IEEE.
Journal articles:
[6] H. Schimanski and C. Thanner, “Raiders of the lost ark,” IEEE Trans.
Electromagn. Compat., vol. 51, no. 5, pp. 543–547, May 2003.
Conference papers:
[7] J. Matula and R. Franck, “A case for two,” in Proc. 15th Int. Zurich Symp.
and Technical Exhibition on Electromagnetic Compatibility, Zurich,
Switzerland, Feb. 2003, vol. 1, pp. 347–350.
Books:
[8] F.T. Ulaby, Fundamentals of Applied Electromagnetics, 2nd
edn., Prentice
Hall, 2004
Standards:
[9] ITU, “Internet protocol data communication service – IP packet transfer
and availability performance parameters,” ITU-T Recommendation
Y.1540, Feb. 1999.
Online:
[10] IEEE Reference Format [Online] http://www.ieee.org/auinfo03.pdf
Thesis:
[11] B. Callaghan, Voices from the Margins: Postmodernism and Latin
American Fiction, Master thesis, University College Cork, 1994.
39

Phụ lục A
Guidelines:
This includes some concepts/materials which are used in the thesis but do not fit
with the structures written in the thesis. For examples:
1. While in a previous chapter you wrote about definition of this function and use it
to analyse the bit-error-rate performance of a communication system, you may
want to explain about the properties of the Q(x) function and how it is used in
detection theory.
2. Provide some important MATLAB codes.
40

Tìm hiểu và triển khai công nghệ quản lý thông tin và sự kiện an ninh.doc

Recommended

Recommended

More Related Content

Similar to Tìm hiểu và triển khai công nghệ quản lý thông tin và sự kiện an ninh.doc

Similar to Tìm hiểu và triển khai công nghệ quản lý thông tin và sự kiện an ninh.doc (20)

More from Dịch Vụ Viết Bài Trọn Gói ZALO 0917193864

More from Dịch Vụ Viết Bài Trọn Gói ZALO 0917193864 (20)

Recently uploaded

Recently uploaded (18)

Tìm hiểu và triển khai công nghệ quản lý thông tin và sự kiện an ninh.doc