Giải Pháp Thu Thập, Phân Tích Nhật Ký An Ninh Tập Trung – ArcSight SIEM

Giải Pháp Thu Thập, Phân Tích Nhật Ký An Ninh Tập Trung - ArcSight SIEM

Hiện nay, khi hệ thống CNTT ngày càng trưởng thành, lớn hơn và phức tạp hơn thì việc theo dõi, phân tích và phản ứng lại các sự cố về an toàn thông tin là hết sức quan trọng. Tuy nhiên người quản lý hệ thống đang gặp phải một số khó khăn sau:

• Bị “tràn ngập” bởi các thông tin nhật ký được sinh ra từ nhiều hệ thống nên một số thông tin cảnh báo quan trọng có thể bị bỏ qua, không được xử lý kịp thời
• Việc điều tra về nguồn tấn công, đích tấn công, nguyên lý tấn công…thường phải làm thủ công, mất nhiều thời gian và công sức nhưng lại không có hiệu quả kịp thời
• Bị hạn chế, không có khả năng theo dõi, đánh giá tổng thể về vấn đề an ninh đang diễn ra trong hệ thống;
• Thường gặp các cảnh báo giả về sự cố
• Thông tin cảnh báo xuất hiện đơn lẻ trên các hệ thống độc lập như Firewall, IDS/IPS, OS System…, khó có được cái nhìn tổng quát để trả lời các câu hỏi:
  • Cái gì đang xảy ra?
  • Ở đâu?
  • Lúc nào?
  • Ai gây ra?
  • Xảy ra như thế nào?
• Có quá nhiều các định dạng nhật ký, gây khó khăn trong việc phân tích;
• Việc lưu trữ các thông tin cảnh báo không đồng đều, tập trung, lúc thừa lúc thiếu

Hơn nữa các tổ chức hiện này còn phải tuân thử theo các quy định, chính sách về An toàn thông tin được Chính phủ ban hành như luật an toàn thông tin, nghị định về đảm bảo an toàn hệ thống thông tin theo cấp độ…Trong đó đều nêu ra yêu cầu về quản lý nhật ký và giám sát an toàn hệ thống thông tin.

1           Giải pháp đề xuất

1.1        Các yêu cầu về giải pháp SIEM.

Lưu trữ và quản lý nhật ký:

Các bộ phận vận hành hệ thống và bộ phận đảm bảo an ninh thông tin cho hệ thống Công nghệ thông tin nhận thức và đánh giá sự cần thiết và quan trọng của việc phân tích nhật ký an ninh để cải thiện việc đánh giá rủi ro an ninh, cho phép phát hiện và có kế hoạch đảm bảo an toàn cho hệ thống. Hiện nay đối với hiện trạng của khách hàng, đối với việc quản lý và lưu trữ log cần đáp ứng các yêu cầu:

• Thiết lập việc ghi nhận nhật ký an ninh trên các hệ thống CNTT quan trọng
• Thực hiện quản lý tập trung toàn bộ dữ liệu nhật ký an ninh trên các hệ thống CNTT quan trọng thay vì đang quản lý rời rạc và không đồng bộ trên từng hệ thống riêng biệt.
• Thực hiện quản lý truy cập, đảm bảo tính toàn vẹn cho dữ liệu nhật ký.
• Khai thác và báo cáo định kỳ về các vấn đề an ninh.

Quản lý an toàn thông tin

Ngoài các yêu cầu trên, hệ thống SIEM còn có một mục tiêu là tập hợp và hợp nhất các sự kiện an ninh từ tất cả các hệ thống quan trọng hỗ trợ quá trình kinh doanh của khách hàng. SIEM thực hiện phân tích sự tương quan giữa các sự kiện an ninh, giảm thiểu các cảnh báo sai và nhận diện các sự cố an ninh nghiêm trọng. Do vậy việc triển khai và thiết lập hệ thống SIEM cần phải đáp ứng được các yêu cầu cơ bản sau:

• Cung cấp khả năng chuẩn hóa, phân loại nhật ký (Categorization), phân tách nhật ký tất cả các trường thông tin trong một sự kiện nhật ký.
• Cung cấp các tính năng đảm bảo tính Audit-Quality cho dữ liệu nhật ký trong quá trình thu thập và truyền như:
  • Tính năng lưu trữ tạm thời (caching).
  • Cung cấp tính năng mã hõa dữ liệu khi truyền
  • Lọc nhật ký (filter), tích hợp dữ liệu nhật ký trong khi thu thập (Aggregation of data logs).
• Cho phép thực hiện truyền/đẩy nhật ký sau khi thu thập đến nhiều đích (destinations) theo các cơ chế như: Active – Active, Fail – over.
• Cung cấp tính năng phân tích sự tương quan (Correlation) các sự kiện theo thời gian thực và trong quá khứ Việc phân tích sự tương quan dựa vào mẫu, hành vi.
• Cho phép xác định/phát hiện các mối đe dọa như:
  • Bots, Worms, and Virus Reporting
  • Hacker Detection
  • Policy Violation Reporting
  • Unauthorized Application and System Access Detection
  • VPN Sneak Attack Detection
  • Compliance Audit Support
• Cho phép định nghĩa, xây dựng mô hình mạng (Network Model) theo mô hình mạng vật lý.
• Cung cấp các công cụ cho việc quản lý, xử lý công việc (workflow), bao gồm: có khả năng chú thích (annotations), quản lý theo hồ sơ (cases).
• Cung cấp sẵn các mẫu và cho phép tùy biến báo cáo. Cung cấp các loại báo cáo như: HTML, PDF, CSV, XLS.
• Kiến trúc hệ thống cho phép mở rộng hệ thống trong tương lai và đáp ứng được các yêu cầu phát triển của hệ thống KHÁCH HÀNG như Xây dựng Trung tâm điều hành an ninh SOC.

Yêu cầu về kiến trúc giải pháp và năng lực

• Hệ thống SIEM được triển khai trong giai đoạn đầu theo mô hình tập trung và hỗ trợ triển khai phân tán trong tương lai khi mở rộng phạm vi.
• Cung cấp các tính năng đảm bảo tính an toàn, sẵn sàng cho dữ liệu nhật ký trong quá trình truyền nhận từ các Remote office về hệ thống trung tâm như:
  • Nén dữ liệu khi truyền
  • Kiểm soát băng thông sử dụng để truyền nhật ký
  • Dữ liệu được truyền trên kênh truyền mã hóa, được cung cấp bởi giải pháp.
• Chủng loại nguồn nhật ký bao gồm:
  • Various Operating Systems (i.e. Windows 2016. 2019, Unix, AIX, Linux etc)
  • Network Devices (i.e. Cisco Router / Switches, Firewalls, Network Load Balancer etc)
  • Databases (i.e. MSSQL, Oracle etc)
  • Mainframe (i.e. z/OS RACF etc)
  • DLP Solutions (i.e. Symantec DLP, McAfee DLP)
  • Applications (i.e. Exchange Server, Endpoint Protection, Anti-virus etc

1.2        Giải pháp Micro Focus ArcSight SIEM

Giải pháp của chúng tôi đề xuất là dựa trên giải pháp Micro Focus ArcSight SIEM - là một Platform SIEM hàng đầu trên thế giới, giúp tổ chức giải quyết các khó khăn cốt lõi và các yêu cầu cụ thể về phân tích an ninh.

Sản phẩm gồm:

• Phần mềm giải pháp phân tích log an ninh bảo mật cho hệ thống
• Phần mềm lưu trữ log tập trung
• Phần mềm SmartConnector đi kèm thiết bị, phần mềm này cài đặt trên 3^rd server để thực hiện thu thập nhật ký từ các nguồn log bên trên.

Kiến trúc logic của giải pháp đề xuất:

1.3        Tại sao lựa chọn Micro Focus ArcSight SIEM

Để giữ cho hệ thống an toàn, Khách hàng cần một giải pháp SIEM thực sự hiệu quả. Giải pháp SIEM cần cung cấp Real-time monitoring, Threat intelligence, Behavior Profiling và Application Monitoring. Micro Focus ArcSight Platform là một Platform toàn diện, đảm bảo cung cấp và mở rộng đầy đủ các chức năng SIEM cho phép giám sát các rủi ro và mối đe dọa an ninh vô cùng phức tạp hiện nay.

Micro Focus ArcSight cho phép khách hàng phân tích, tương quan bất kỳ sự kiện an ninh nào xẩy ra trong tổ chức và đưa ra chính xác mức độ nghiêm trọng của Security risks và Compliance violations. ArcSight Correlation Engine là bộ não phân tích mạnh mẽ, cho phép phân tích hàng triệu bản ghi nhật ký để tìm ra các sự cố an ninh có mức độ nghiệm trọng nhất. Các sự cố an ninh được quan sát thông qua Real-time Dashboards, gửi cảnh báo và báo cáo cho người quản trị. Khi một sự cố an ninh được nhận diện, ArcSigt cho phép người quản trị sử dụng ngay Work flow engine để quản lý sự cố và giảm thiểu thiệt hại.

Với việc thu thập và có đầy đủ các thông tin trong tổ chức bao gồm: thông tin Users, User’s Roles, Network Activities, Flows. Micro Focus ArcSight cho phép người quản trị nhận diện Ai đang ở trong hệ thống? Dữ liệu nào đang được truy cập? Hành động nào của Users đang thực hiện đối với dữ liệu và ảnh hưởng của nó đến tổ chức như thế nào? Không giống như các đối thủ, Micro Focus ArcSight có thể mô hình hóa không chỉ IP addesses/network zones, system, application. Micro Focus ArcSight còn cho phép mô hình hóa Users, Employees, Customers và Partner để hỗ trợ khả năng phân tích tương quan.

Micro Focus ArcSight hiện tại cung cấp nhiều hơn các sản phẩm, tính năng của một hệ thống SIEM thông thường. ArcSight ngoài việc cung cấp tính năng Real-time correlation, còn cung cấp tính năng phân tích hành vi của người dùng (User & Entity Behavior Analytics), Threat Hunting…Các tính năng bổ sung cho phép tổ chức theo dõi các mối đe dọa như Insider Threat, Unknown Threat. Bên dưới là mô hình bao gồm các thành phần trong một Security Operations, phần Technology thể hiện các giải pháp của Micro Focus ArcSight hiện tại.

Micro Focus cung cấp đẩy đủ các dịch vụ chuyên nghiệp (Professional Service) cho các khách hàng từ giai đoạn đánh giá & tư vấn thiết kế, phát triển & triển khai, quản lý & vận hành và tối ưu & trưởng thành. Điều này đảm bảo cho khách hàng đạt được các mục tiêu đề ra của dự án.

Giải pháp chúng tôi đề xuất có một số điểm khác biệt và vượt trội so với các đối thủ cạnh tranh như sau:

• Các thiết bị hỗ trợ (Device support): ArcSight mặc định hỗ trợ thu thập hơn 400 thiết bị/nguồn nhật ký, từ hơn 100 vendor với hơn 50 loại danh mục thiết bị. ArcSight hỗ trợ các nguồn log nhiều hơn các bất kỳ đối thủ nào và đơn giản việc chuẩn hóa nhật ký nguyên thủy (raw data) thành định dạng dễ hiểu nhất.
• Chuẩn hóa và phân loại (Normalization/Categorization): ArcSight chuẩn hóa và phân loại dữ liệu trong lớp tích hợp (Integration layer) tại thành phần thu thập. Giúp đẩy nhanh tốc độ, tính chính xác của quá trình phân tích tính tương quan (Correlation).
• Thiết lập ngưỡng băng thông (Bandwidth Throttling): cho phép quản lý các luồng sự kiện trong mạng phân tán về mặt địa lý:
  • Compression: nén dữ liệu nhật ký trong khi truyền
  • Batching, time delay: cho phép truyền dữ liệu nhật ký theo đợt, theo thời gian.
  • Committed bit-rate: cho phép định nghĩa, ấn định lượng băng thông sẽ dùng cho việc truyền nhật ký.

Các tính năng đặc biệt quan trọng đối với các khách hàng trong tình huống xẩy ra tấn công vì khi đó nhật ký đến từ các Remote Sites sẽ làm bão hòa hay nghẽn các kết nối WAN của tổ chức.

• Tính năng Smart Aggregation và Smart filtering: tích hợp nhật ký giống nhau và lọc bớt những nhật ký không có giá trị và cần thiết. Các tính năng này được hỗ trợ cấu hình ở mức rất sâu, không phải chỉ cho phép cấu hình Enable/Disable.
• Đảm bảo an toàn khi truyền (Transactional Assurance): ArcSight Connector có thể cài đặt theo nhiều cách bao gồm: Agent-based, Agent-less hoặc cung cấp sẵn trên thiết bị ArcSight Appliance. ArcSight đảm bảo tính toàn vẹn, tính bí mật, tính sẵn sàng của nhật ký.
• Đánh giá các mối đe dọa (Threat Evaluation): ArcSight sử dụng phương pháp đánh giá Threat dựa trên việc thu thập, phân tích các thông tin liên quan đến người dùng (thông tin, vai trò), các tài sản quan trọng, dữ liệu về các điểm yếu an ninh, thông tin về vùng mạng, mức độ của tấn công và danh sách theo dõi theo thời gian thực.
• Hiệu năng phân tích tương quan (Correlation Performance): ArcSight thực hiện việc phân tích sự tương quan theo thời gian thực và thực hiện việc này trong bộ nhớ (memory/ram) nên hiệu năng phân tích tương quan giữa các sự kiện là real-time.
• Thông báo và quy trình xử lý sự cố (Notification and Workflow): ArcSight ESM Express cho phép khách hàng thực hiện đầy đủ một quy trình giám sát và điều tra sự cố an ninh thông qua bộ các công cụ Notification & Workflow trên giao diện quản trị.

2         Giới thiệu về Micro Focus ArcSight

2.1        ArcSight SmartConnectors

ArcSight Smart Connector là giao diện làm việc trực tiếp với các hệ thống cần thu thập và quản lý nhật ký. SmartConnector, là phần mềm được cài đặt trên các máy chủ Linux, Window, Server. SmartConnector cung cấp các tính năng sau:

• Thu thập toàn bộ dữ liệu nhật ký từ các nguồn thiết bị, ứng dụng được ArcSight hỗ trợ.
• Thực hiện chuẩn hóa và phân loại nhật ký.
• Kiểm soát băng thông và không gian lưu trữ thông qua khả năng chọn lọc dữ liệu nhật ký
• Phân tách từng sự kiện và chuẩn hóa các sự kiện vào bên trong một lược đồ chung (Common Schema)
• Tích hợp và lọc các sự kiện để giảm thiểu số lượng các sự kiện gửi về thành phần phân tích và lưu trữ.
• Phân loại các sự kiện sử dụng một định dạng phổ biến mà mọi người có thể hiểu được.
• Chuyển toàn bộ các sự kiện sau khi thu thập đến các thành phần phân tích và lưu trữ.
• Cung cấp kênh truyền mã hóa giữa Connector và ArcSight ESM Express.

2.2        ArcSight Logger

Giải pháp lưu trữ log tập trung hỗ trợ thu tập log từ rất nhiều nguồn khác nhau trong hệ thống như thiết bị mạng, hệ thống server ứng dụng, database và sắp xếp phân loại, lưu trữ trong khoảng thời gian dài có thể tới 1 năm.

Mục đích của giải pháp thu thập và lưu trữ log tập trung:

• Thiết lập việc ghi nhận nhật ký an ninh trên các hệ thống CNTT quan trọng
• Thực hiện quản lý tập trung toàn bộ dữ liệu nhật ký an ninh trên các hệ thống CNTT quan trọng thay vì đang quản lý rời rạc và không đồng bộ trên từng hệ thống riêng biệt.
• Thực hiện quản lý truy cập, đảm bảo tính toàn vẹn cho dữ liệu nhật ký.
• Khai thác và báo cáo định kỳ về các vấn đề an ninh.

Giao diện Dashboards ArcSight Logger

Giải pháp gồm 2 thành phần chính:

• Smart Connector: là phần mềm được cài đặt trên các máy chủ Linux, Window, thu thập nhật ký từ các thiết bị mạng, ứng dụng, OS…
• Logger: Là nơi lưu trữ log được gửi từ các bộ Connector Appliance, quản lý phân loại và hỗ trợ tìm kiếm nhanh các sự kiện an ninh.

Nguyên lý hoạt động:

Connector Appliance là giao diện làm việc trực tiếp với các hệ thống cần thu thập và quản lý nhật ký. Connector Appliance là phần mềm được cài đặt trên các máy chủ Linux, Window. Sau khi thu thập nhật ký từ các thiết bị mạng, ứng dụng, OS… Connector Appliance sẽ thực hiện chuẩn hóa dữ liệu theo các phần: chuẩn hóa các giá trị (như: severity, priority và time-zone) vào trong một định dạng chung (common format) và chuẩn hóa cấu trúc của dữ liệu vào lược đồ chung (common schema). Connector Appliance có thể thực hiện việc lọc (filter) và tích hợp (aggregation) các sự kiện để giảm thiểu không gian lưu trữ trên thiết bị phân tích và thiết bị lưu trữ, nâng cao hiệu năng khi xử lý.

Kết quả tìm kiếm nhanh log sự kiện

2.3        ArcSight Enterprise Security Manager (ESM)

ArcSight ESM Express là thiết bị quan trọng nhất trong giải pháp SIEM. Nó thực hiện công việc phân tích nâng cao, tạo báo cáo, đưa ra cảnh báo an nình và quy trình xử lý các sự kiện an ninh diễn ra trong hệ thống. ArcSight hỗ trợ:

Khả năng phân tích sự tương quan (ArcSight Correlation)

ArcSight ESM Express cung cấp khả năng mềm dẻo và thông minh trong việc phân tích sự tương quan cho toàn bộ các Use-cases đối với các dữ liệu nhật ký. Khả năng phân tích sự tương quan đối với: các mối đe dọa bên trong (Insider threat), các mối đe dọa ở vùng mạng biện (Perimeter threat) hay vấn đề tuân thủ trong hệ thống (regulatory compliance).

Các tính năng phân tích sự tương quan của ArcSight:

• Loại bỏ false positives thông qua các điểm yếu đã được chứng minh khi phân tích sự tương quan các sự kiện.
• Tự động, phân loại chính xác dựa trên mức độ quan trọng của các tài nguyên trong hệ thống, mức độ quan trọng của các sự kiện an ninh và trạng thái các điểm yếu an ninh…
• Cung cấp sẵn các Correlation rules và hướng dẫn sử dụng các Rules này phù hợp cho từng môi trường và yêu cầu của khách hàng. Hiện nay Micro Focus cung cấp giao diện ArcSight Market place – đây là Store các Use-case được Micro Focus xây dựng sẵn, khách hàng có thể download và Import vào ArcSight ESM Express từng Use-case cụ thể tương ứng với bài toán giám sát của mình.
• Thực hiện phân tích sự tương quan theo thời gian thực và thực hiện trong bộ nhớ cho phép đảm bảo tốc độ cao.
• Dễ dàng thay đổi, tùy biến, tạo mới các Correlation rules. KHÁCH HÀNG có thể xây dựng bất cứ Correlation rule nào để giải quyết các khó khăn đang gặp phải. Việc tạo rule được thực hiện vô cùng đơn giản và tường minh. Đây là một điểm mà các đối thủ khác bị hạn chế.

Tính năng theo dõi:

ArcSight cho phép liên tục duy trì theo dõi trạng thái các vấn đề an ninh đang được quan tâm thông qua giao diện tập trung, Live và Theo thời gian thực. Giao diện theo dõi của ArcSight cung cấp một giao theo dõi trực quan, hiệu quả ở dạng đồ họa.

Các tính năng theo dõi chính bao gồm:

• Hiển thị các thông tin dữ liệu an ninh theo thời gian thực (real-time) và trong quá khứ (Historical) thông qua ArcSight Console hoặc ArcSight Web.
• Khả năng mở rộng các tài nguyên, công cụ cho việc theo dõi dựa vào các tài nguyên có sẵn được xây dựng bởi ArcSight, đáp ứng theo yêu cầu của tổ chức.
• Khả năng tùy biến các giao diện đồ họa theo dõi cùng với khả năng phân tích sâu (drill down). Cho phép theo dõi các sự kiện theo vị trí địa lý (Geographic) và quản lý các giao diện theo dõi dựa theo vai trò chức năng.
• Hiển thị các Event ở dạng biểu đồ (Event Graphs) cho phép tổ chức quan sát và nhanh chóng xác định mức độ và phạm vi của các mối đe dọa.
• Chức năng theo dõi dạng Geographic và Network Map cho phép người quản trị duy trì liên tục đến các khu vực có mức độ rủi ro cao.

Điều tra và phản ứng sự cố an ninh

Hệ thống quản quản lý và phân tích nhật ký an ninh không chỉ là quản lý và theo dõi. Một tính năng quan trọng trong hệ thống này đó là khả năng điều tra và phản ứng lại khi có sự cố an ninh thông tin. Sau khi có một sự cố, khả năng nhanh chóng thực hiện điều tra sẽ cho phép tổ chức ngăn chặn các tấn công tương tự có thể gặp phải sau đó, cụ thể:

• Hệ thống quản lý hồ sơ sẵn có (Case management system) được cung cấp để cung cấp khả năng giám sát việc quản lý các hồ sơ về sự cố an ninh và khả năng thực hiện các công cụ điều tra trực tiếp từ Case.
• Tích hợp với thư viện dữ liệu (Knowledgebase) cho phép thống nhất và mở rộng thư viện Practices và Experience của tổ chức.
• Tương tác theo thời gian thực để nhanh chóng xác định các mối đe dọa hiện hữu.
• Tích hợp sẵn các công cụ cho việc điều tra như: Ping, TraceRouter, WhoIS, WebSearch, Use case, NSlookup, Send log, Customizable scripts. Người quản trị chỉ cần nháy chuột phải để lựa chọn và thực hiện lựa chọn các công cụ.
• Làm việc đồng thời với dữ liệu theo thời gian thực và dữ liệu trong quá khứ.
• Dễ dàng tích hợp với các công cụ phân tích gói tin hay giải pháp của 3^rd party

Báo cáo an ninh ArcSight Reporting:

ArcSight ESM Express cung cấp tự động và toàn diện tính năng báo cáo về tình hình an ninh và trạng thái tuân thủ của hệ thống. Báo cáo của ArcSight liên kết các thông tin giữa vấn đề Business và Technical trong hệ thống, đánh giá xu thế & sự thay đổi, gia tăng về tình hình an ninh…

Các tính năng báo cáo của Arcsight:

• Cung cấp hơn 350 mẫu báo cáo mặc định cho phép ngay lập tức đáp ứng các yêu cầu về việc tạo báo cáo.
• Cho phép tùy chỉnh, bổ sung các mẫu báo cáo dựa trên các báo cáo có sẵn hoặc tự định nghĩa.
• Cung cấp các mức/loại báo cáo đối với: Compliance status, Business risk và User profiling.
• Tự động lập lịch báo cáo và thực hiện.
• Các dạng Charts và Views cung cấp các thông tin liên quan phụ vụ cho bất kỳ yêu cầu nào.

3           Thiết kế giải pháp

3.1        Mô hình đề xuất

Dựa theo các yêu cầu đề cập ở trên, sản phẩm mà chúng tôi đề xuất gồm:

• Phần mềm giải pháp thu thập log và phân tích an ninh bảo mật cho hệ thống ArcSight ESM
• Phần mềm lưu trữ ArcSight Logger, năng lực xử lý 250 EPS (Event Per Second). EPS là giá trị EPS trung bình của toàn bộ hệ thống sinh ra và được đo đếm trong 24h.
• Phần mềm SmartConnector đi kèm thiết bị, phần mềm này cài đặt trên 3^rd server để thực hiện thu thập nhật ký từ các nguồn log bên trên. Mỗi Site triển khai 01 SmartConnector Server.

Kiến trúc logic của giải pháp đề xuất:

Kiến trúc đề xuất bao gồm 03 lớp: 

• Lớp tích hợp:
  • Triển khai phần mềm SmartConnector lên 3^rd Server để thu thập nhật ký từ các thiết bị (Source Devices) trong hạ tầng CNTT.
  • SmartConnector thực hiện thu thập và tiền xử lý nhật ký thô trước khi gửi đến ESM Express.
  • SmartConnector thu thập nhật ký thông qua các phương thức Pull hoặc Push dựa theo mỗi Source Devices cụ thể. Toàn bộ các cấu hình tích hợp thu thập nhật ký đều hỗ trợ sẵn mà không phải tùy biến.
  • Kết nối giữa SmartConnector đến ArcSight Logger và ArcSight ESM được mã hóa bởi TLS, do đó đảm bảo tính an toàn cho dữ liệu trong quá trình truyền.
• Lớp xử lý:
  • 01 thiết bị ArcSight ESM– nhận các nhật ký đã được chuẩn hóa bởi Arcsight Logger và thực hiện các chức năng như phân tích tương quan, quản lý nhật ký, đưa ra báo cáo và cảnh báo.
  • ArcSight ESM là bộ não của hệ thống, ở đây sẽ triển khai các Use-case giám sát cụ thể cho khách hàng dựa theo các yêu cầu đưa ra bên trên và các nguồn nhật ký.
• Lớp lưu trữ:
  • Thu thập toàn bộ dữ liệu nhật ký từ Connector được ArcSight hỗ trợ.
  • Cung cấp kênh truyền mã hóa giữa Connector và hệ thống ESM
• Lớp Module:
  • Cung cấp giao diện quản trị, vận hành, phân tích cho Quản trị viên.
  • Bao gồm hai giao diện quản trị ArcSight Console và ArcSight Web Console.
  • ArcSight Console có thể cài đặt trên các máy chủ quản trị riêng biệt hoặc trên máy trạm của Quản trị viên.

3.2  Yêu cầu phần mềm và phần cứng từ 3^rd Party

3.2.1        Máy chủ cài đặt ArcSight Connector

3.2.2        Máy chủ cài đặt cho ArcSight Logger

3.2.3        Máy chủ cài đặt cho ArcSight ESM

4 Các giá trị của giải pháp đề xuất

Giải pháp chúng tôi đã đề xuất được thiết kế để đáp ứng các yêu cầu cụ thể của khách hàng và mang lại các lợi ích sau:

• Tăng hiệu quả sử dụng các thông tin về sự kiện, log an ninh cho các cán bộ phụ trách an ninh, vận hành hệ thống: giải pháp SIEM cho phép thu thập, chuẩn hóa log từ nhiều nguồn, giao diện quản trị mạnh mẽ, tập trung.
• Phát hiện nhanh sự cố và các mối đe dọa: công cụ SIEM thu thập các thông tin từ nhiều nguồn để phát hiện các loại tấn công phức tạp. SIEM có thể phát hiện các thay đổi từ các hoạt động bình thường để chỉ ra các mối đe dọa sắp xảy ra và các nguy cơ trong hệ thống. Ví dụ: bùng nổ mã độc, spam mail, xâm nhập trái phép, dò quét, tấn công dịch vụ....
• Hỗ trợ đảm bảo tính tuân thủ về bảo mật: công cụ SIEM thu thập tất cả các thông tin liên quan và hỗ trợ công tác theo dõi đảm bảo tuân thủ.
• Đưa ra cái nhìn toàn diện về tình trạng an ninh trên hệ thống: thông qua các báo cáo ở các cấp độ khác nhau, giải pháp SIEM có thể đưa ra cái nhìn toàn diện về tình trạng an ninh trên toàn hệ thống.
• Giảm thời gian, nhân lực phục vụ giám sát vận hành và an ninh: giao diện quản trị tập trung, tính năng phân tích mạnh mẽ giúp giảm thời gian, nhân lực phục vụ việc giám sát vận hành và an ninh hệ thống so với các công cụ riêng rẽ khác và cách làm thủ công

Giảm chi phí hoạt động và bảo trì: có thể quản lý, phân tích log đối với hầu hết các hệ thống và cơ sở dữ liệu từ nhiều nhà cung cấp khác nhau bằng một giải pháp SIEM duy nhất. Việc này giúp doanh nghiệp tiết kiệm thời gian, tiền bạc so với mua và bảo trì nhiều hệ thống giám sát và phân tích khác nhau.