Phần 10: Configuring Your SIEM

SIEM (Security Information and Event Management)

Công cụ phần mềm/hardware cung cấp khả năng phân tích cảnh báo bảo mật theo thời gian thực hoặc gần thời gian thực, đồng thời cho phép tương quan sự kiện giữa các hệ thống và ứng dụng.

Log Review

Quá trình phân tích nhật ký hệ thống để phát hiện hành vi bất thường, là thành phần quan trọng trong việc đảm bảo an ninh bảo mật.

SIEM Deployment Considerations

Khi triển khai SIEM, cần: log sự kiện liên quan, lọc dữ liệu không cần thiết, xác định phạm vi, phát triển use case, lập kế hoạch IR, thiết lập ticketing, lên lịch threat hunting, và tạo đường dẫn chứng cứ cho auditor.

Event Correlation

Khả năng của SIEM trong việc kết hợp nhiều sự kiện nhỏ từ các nguồn khác nhau để xác định mối đe dọa tổng thể.

Splunk

Công cụ phân tích big data hàng đầu dùng để thu thập và phân tích dữ liệu máy; hỗ trợ triển khai tại chỗ hoặc cloud; sử dụng add-on/connector để ingest log.

ELK/Elastic Stack

Bộ công cụ SIEM mã nguồn mở gồm Elasticsearch (tìm kiếm/analytics), Logstash (thu thập/chuẩn hóa), Kibana (visualization), Beats (agent endpoint); triển khai được tại chỗ hoặc cloud.

Elasticsearch

Thành phần của ELK dùng để tìm kiếm và phân tích dữ liệu log với tốc độ cao.

Logstash

Công cụ thu thập, lọc và chuẩn hóa log trước khi gửi đến Elasticsearch.

Kibana

Công cụ visualization của ELK dùng để biểu diễn dữ liệu log dưới dạng dashboard và biểu đồ.

Beats

Agent nhẹ chạy trên endpoint, thu thập log và gửi về Logstash hoặc Elasticsearch.

ArcSight

Nền tảng SIEM dùng cho quản lý log, phân tích bảo mật, compliance (HIPAA, SOX, PCI DSS).

QRadar

SIEM của IBM hỗ trợ log management, phân tích sự kiện, và compliance reporting.

AlienVault / AT&T Cybersecurity

Nền tảng SIEM ban đầu bởi AlienVault, nay thuộc AT&T; hỗ trợ quản lý sự kiện, threat intelligence, và tích hợp nhiều công cụ bảo mật.

OSSIM (Open-Source Security Information Management)

Phiên bản SIEM mã nguồn mở của AlienVault tích hợp Snort, OpenVAS và nhiều công cụ khác, cung cấp giao diện web để quản trị môi trường bảo mật.

Threat Hunting Schedule

Việc lập lịch cho hoạt động chủ động tìm kiếm các mối đe dọa tiềm ẩn trong hạ tầng mạng.

Ticketing Process

Hệ thống theo dõi và quản lý sự kiện bảo mật, giúp đảm bảo mọi cảnh báo được ghi nhận và xử lý hợp lý.

Security Intelligence Value Decay

Giá trị của thông tin tình báo giảm dần theo thời gian; càng cũ thì càng kém hữu ích trong phát hiện và phản ứng với mối đe dọa.

SIEM Automation in Intelligence Cycle

SIEM có thể tự động hóa phần lớn quy trình tình báo bảo mật bằng cách thu thập, phân tích, và cảnh báo sự kiện liên quan đến mối đe dọa.

SIEM Event Focus Configuration

Cấu hình SIEM chỉ tập trung vào các sự kiện liên quan đến nhu cầu tổ chức nhằm giảm nhiễu và tăng độ chính xác của cảnh báo.

False Positive

Cảnh báo sai khi hệ thống báo động về sự cố không thực sự tồn tại; gây lãng phí tài nguyên phân tích và phản hồi.

False Negative

Khi hệ thống không phát hiện mối đe dọa thực sự; khiến tổ chức bị phơi nhiễm trước nguy cơ mà không hay biết.

False Negative Problem

Làm quản trị viên bảo mật bị đe dọa mà không có cảnh báo, tăng rủi ro bị xâm nhập.

False Positive Problem

Gây quá tải phân tích viên và hệ thống phản ứng; cần giảm thiểu bằng các use case hiệu quả.

Use Case (Security Monitoring)

Một điều kiện cụ thể cần được báo cáo, ví dụ: đăng nhập đáng ngờ hoặc process chạy từ thư mục tạm.

Use Case Template

Template chứa: nguồn dữ liệu, chỉ số (indicators), query strings để tương quan sự kiện, và các hành động cần thực hiện khi event được kích hoạt.

==> mẫu tài liệu để định nghĩa cách SIEM phát hiện một hành vi hay sự cố bảo mật.

Use Case – 5 Ws

Mỗi use case cần xác định: WHEN bắt đầu/kết thúc, WHO liên quan, WHAT xảy ra, WHERE xảy ra, và WHY nguồn gốc sự kiện xuất phát.

Who ==> Ai là đối tượng liên quan đến sự kiện

What ==> Sự kiện xảy ra là gì
When ==> Thời điểm / tấn suất / khung thời gian xảy ra

Where ==> Vị trí của sự kiện trong hệ thống.

Why ==> Mục tiêu bảo mật là gì

Indicator Data Sources (Use Case)

Các nguồn log hoặc telemetry chứa thông tin giúp xác định và kích hoạt use case.

Query Strings (Use Case)

Câu lệnh tìm kiếm/tương quan được SIEM dùng để phát hiện các điều kiện của use case.

Triggered Event Actions

Các bước cần thực hiện khi use case được kích hoạt, như cảnh báo, tạo ticket, cô lập endpoint, hoặc escalation.

Security Data Sources

Dữ liệu bảo mật được thu thập từ nhiều hệ thống trong tổ chức: endpoint, network devices, servers, applications, sensors, và các thiết bị bảo mật.

Data Normalization

Quá trình chuẩn hóa hoặc tái định dạng dữ liệu giúp công cụ SIEM dễ dàng quét, phân tích và tương quan sự kiện.

SIEM Data Sources – Agent-Based

Phương pháp thu thập log bằng agent cài trên từng host; agent sẽ log, lọc, gom dữ liệu và chuẩn hóa trước khi gửi về SIEM.

SIEM Data Sources – Listener/Collector

Hệ thống nhận log từ các thiết bị gửi đến SIEM qua protocol như syslog hoặc SNMP.

SIEM Data Sources – Sensors

SIEM thu thập dữ liệu mạng từ packet capture, flow analysis, và các network sensor đặt tại nhiều vị trí trong mạng.

Data Aggregation

Tập hợp dữ liệu từ nhiều nguồn và nhiều định dạng khác nhau vào một hệ thống phân tích tập trung.

Common Log Formats

Các định dạng log phổ biến gồm: proprietary binary, TSV, CSV, database logs, syslog, SNMP, XML, JSON, text-based.

Data Parsing

Quá trình phân tích cú pháp để SIEM hiểu được dữ liệu từ các định dạng khác nhau.

Normalization (SIEM Context)

Chuẩn hóa dữ liệu sang một format thống nhất để tương quan, phân tích và lưu trữ hiệu quả.

Connectors / Plug-ins

Phần mềm mở rộng cho SIEM dùng để parse và normalize dữ liệu từ các thiết bị hoặc ứng dụng cụ thể.

Time Synchronization

Đồng bộ thời gian giúp SIEM tương quan sự kiện từ nhiều nguồn và dựng lại timeline chính xác.

Coordinated Universal Time (UTC)

Tiêu chuẩn thời gian chung, không phải múi giờ; dùng để đồng bộ timestamp trong toàn tổ chức.

Log Volume Challenge

Tổ chức lớn có thể tạo ra gigabytes đến terabytes log mỗi giờ, gây thách thức trong lưu trữ, xử lý và bảo mật dữ liệu.

Securing Stored Logs

Log phải được bảo vệ bằng nguyên tắc CIA: Confidentiality (bảo mật), Integrity (toàn vẹn), Availability (sẵn sàng).

Event Timeline Reconstruction

Quá trình ghép sự kiện thành dòng thời gian; trở nên khó khăn nếu không có đồng bộ thời gian thống nhất.

Event Log (Definition)

Log được tạo bởi hệ điều hành trên mỗi client hoặc server để ghi lại cách người dùng và phần mềm tương tác với hệ thống.

Event Log Format Variability

Định dạng event log thay đổi tùy theo hệ điều hành (Windows, Linux, macOS…).

Windows Event Log Categories

Windows phân loại log thành 5 nhóm: Application, Security, System, Setup, Forwarded Events.

Application Log (Windows)

Chứa sự kiện do ứng dụng và dịch vụ tạo ra.

Security Log (Windows)

Ghi lại các audit events như failed logon, access denied, privilege use.

System Log (Windows)

Chứa sự kiện từ hệ điều hành và các dịch vụ hệ thống.

Setup Log (Windows)

Ghi lại các sự kiện xảy ra trong quá trình cài đặt Windows.

Forwarded Events (Windows)

Log được gửi từ máy khác đến local host thông qua event forwarding.

Windows Event Log Severity Levels

Bốn mức độ gồm: Information, Warning, Error, Audit Success/Failure.

Event Log Metadata

Log cung cấp tên sự kiện, chi tiết lỗi, event ID, nguồn sự kiện, và mô tả cảnh báo/lỗi.

Event Subscriptions (Windows)

Chức năng cho phép Windows forward log từ nhiều máy về một host duy nhất để phân tích tập trung.

EVTX Format

Định dạng XML (.evtx) dùng trong Windows Event Viewer để gửi và lưu trữ sự kiện hiện đại.

Syslog (Definition)

Giao thức cho phép các thiết bị và ứng dụng gửi log hoặc sự kiện về một máy chủ trung tâm; là tiêu chuẩn de facto cho logging của hệ thống phân tán.

Syslog Client-Server Model

Syslog hoạt động theo mô hình client gửi log đến server để tập trung lưu trữ và phân tích.

Syslog Default Port

Chạy trên Port 514/UDP trong mô hình gốc.

Syslog Message Structure

Một syslog message gồm PRI code, header, và message portion.

PRI Code

Mã được tính dựa trên facility và severity, dùng để xác định mức độ ưu tiên của sự kiện.

Syslog Header

Chứa timestamp của sự kiện và hostname nơi sự kiện phát sinh.

Syslog Message Portion

Phần chứa tên process nguồn và nội dung sự kiện.

Syslog Drawback – UDP Issues

Việc dùng UDP khiến syslog dễ bị mất gói trong mạng tắc nghẽn, không đảm bảo delivery.

Syslog Drawback – Lack of Security

Syslog gốc không tích hợp encryption hay authentication, dẫn đến nguy cơ bị giả mạo dữ liệu.

Syslog Newer Features

Các cải tiến gồm: sử dụng TCP (port 1468), hỗ trợ TLS, xác thực MD5/SHA-1, filtering, log analysis, event scripting.

Secure Syslog Transmission

Sử dụng TLS để mã hóa thông tin log và tăng tính bảo mật trong truyền tải.

Syslog Authentication

Dùng MD5 hoặc SHA-1 để đảm bảo integrity và xác thực message.

Syslog-ng

Phiên bản nâng cấp của syslog với nhiều tính năng bảo mật, filtering, và mở rộng.

Rsyslog

Một bản nâng cấp khác của syslog hỗ trợ TCP, TLS, indexing, và hiệu năng cao.

Syslog Term Ambiguity

"Syslog" có thể chỉ giao thức, máy chủ syslog server, hoặc log entries.