Hệ Thống Quản Lý Sự Kiện An Ninh

1. Giới thiệu chung

Ngày nay các vấn đề về tấn công mạng, lừa đảo trực tuyến hay các vấn đề về bùng phát mã độc,…đang trở nên phổ biến và là vấn đề lớn đối với các tổ chức. Để giải quyết các mối lo này các tổ chức đầu tư vào các giải pháp an ninh, bảo vệ có chiều sâu và theo nhiều lớp. Một xu hướng phổ biến là các giải pháp này đều là các giải pháp tốt, dẫn đầu thì trường nhưng đa số lại thuộc về nhiều nhà cung cấp khác nhau. Điều này tạo ra nhiều vấn đề đối với đội ngũ vận hành an ninh (Security) như:

-           Không có khả năng phân tích toàn bộ nhật ký: hàng ngày các hệ thống như Firewall, IPS, OS, Database… đưa ra hàng triệu nhật ký. Các tổ chức với đội ngũ làm việc của mình không có cách nào hoàn thành việc phân tích với các công cụ thủ công.

-           Số lượng các thông báo giả: trong số hàng triệu các sự kiện đó thì có một phần rất lớn các thông báo không chính xác và không thực sự quan trọng.

 

LogRhythm là một công ty có trụ sở tại Mỹ chuyên phát triển các dòng sản phẩm SIEM từ năm 2003, là một trong những công ty có công nghệ hàng đầu trên thế giới về giải pháp SIEM. LogRhythm liên tục đứng trong top các công ty tốt nhất theo đánh giá của Gartner trong 5 năm trở lại đây. Đây cũng là một trong những công ty đầu tiên ứng dụng công nghệ tiên tiến Elastic search, học máy (machine learning) và trí thông minh nhân tạo (AI) tích hợp vào bộ giải pháp SIEM. Do vậy kiến trúc của LogRhythm khá đồng nhất và ứng dụng triển khai cho nhiều mô hình khác nhau của khách hàng, từ mô hình vừa và nhỏ, đến mô hình rất lớn.

2. Kiến trúc hệ thống

LogRhythm có kiến trúc hệ thống như mô tả ở hình vẽ sau, bao gồm các thành phần: Thành phần quản lý tập trung (Platform Manager), mô đun phân tích thông tin – sử dụng trí thông minh nhân tạo (AIE -AI Engine), mô đun đánh chỉ mục (Data Indexer), mô đun xử lý thông tin (Data Processor) và mô đun thu thập thông tin (Data Collector).

 

 

Mô hình chức năng khi có sự tham gia của công nghệ học máy và trí thông minh nhân tạo được thể hiện qua hình sau:

 

LogRhythm cũng mềm dẻo trong cách tính chi phí bản quyền phần mềm nhằm đem lại khả năng đầu tư linh hoạt cũng như bảo vệ chi phí đầu tư cho khách hàng.

  • Tách rời bản quyền phần mềm và phần cứng

  • Phần cứng có thể triển khai trên thiết bị chuyên dụng chính hãng, hoặc khách hàng tự trang bị thiết bị hay môi trường ảo hóa.

  • Khả năng mở rộng linh hoạt khi khách hàng hoàn toàn chủ động trong việc chuẩn bị hạ tầng triển khai.

  • Chi phí bản quyền phần mềm, LogRhythm cung cấp license theo số lượng sự kiện xử lý/ giây, tính trung bình theo ngày nhằm đảm bảo tính linh hoạt trong hệ thống. Do đặc thù hệ thống IT thường chỉ sinh ra log khi hệ thống có giao dịch nhiều hoặc khi bị tấn công. Số lượng sự kiện lớn nhất sẽ không bị giới hạn, mà phụ thuộc vào hạ tầng phần cứng triển khai.

3. Chức năng hệ thống

3.1 Platform Manager

Quản lý cảnh báo, thông cáo, trường hợp và quản lý các sự cố an ninh thông tin, cho phép tìm kiếm kiểu phân phối, phân tích truy vết (điều tra), báo cáo và các mà hình giám sát (dashboard) theo thời gian thực.

                       

 

 

            Các màn hình quản trị - dashboard có thể được phân quyền, và gán cho nhiều cán bộ quản trị khác nhau tùy theo mức độ và vai trò. PM cũng cung cấp khả năng mềm dẻo trong việc tùy chỉnh khả năng hiển thị cho từng quản trị viên khác nhau.

3.2 AI Engine (AIE)

Thực hiện phân tích dựa trên stream của máy tính được ngữ cảnh (context) và dữ liệu truy vết và tạo ra các cảnh báo theo nguy cơ ưu tiên với các sự cố an ninh mạng có độ nguy hiểm từ cao đến thấp. AIE cũng cung cấp khả năng xử lý thông tin song song nhằm đảm bảo tính cập nhật theo thời gian thực, cho phép quản trị viên nắm bắt được các nguy cơ an ninh trong mạng một cách nhanh nhất và phản ứng kịp thời. Sơ đồ sau mô tả chi tiết cách AIE làm việc.

 

 

3.3 Data Indexer (DX)

Khác với một số hãng khác, mô đun này thường được triển khai với các thành phần khác. LogRhytm thiết kế DX là một mô đun độc lập, nhằm tăng cường khả năng đánh chỉ mục (index) thông tin từ DP đưa sang. Mô đun này cũng cho phép triển khai theo cơ chế clustering, nhằm nâng cao khả năng index. Nó cũng cung cấp khả năng tìm kiếm và phân tích thông tin dạng text dựa theo công nghệ Elasticsearch.

3.4 Data Processor (DP)

Dữ liệu sau khi được thu thập, có rất nhiều định dạng khác nhau, cần được chuẩn hóa và lưu lại thành các dữ liệu chuẩn, để phục vụ cho các mục đích index, gán nhãn, tìm kiếm, phân tích và ánh xạ thông tin nâng cao. Do vậy DP là một trong những mô đun tiền xử lý rất quan trọng. Khác với một số hãng khác, thường gộp DP, DC hay cả DX vào thành một hệ thống. Do vậy rất khó mở rộng hệ thống theo chiều ngang, và tăng năng lực hệ thống một cách mềm dẻo như LogRhythm.

3.5 Data Collector (DC)

  • Push Log: Các bản ghi Log sẽ được các thiết bị nguồn gửi về SIEM

  • Pull Log: Các bản ghi Log sẽ được SIEM lấy về

ADINTEK