NGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTT

BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
ĐỒ ÁN TỐT NGHIỆP
NGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR
CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTT
Ngành: Công nghệ thông tin
Chuyên ngành: An toàn thông tin
Mã số:52.48.02.01
MÃ TÀI LIỆU : 0049
Kết bạn zalo tải tài liệu : 0936 8484 22
Tham khảo giá dịch vụ viết báo cáo theo yêu cầu:
Luanvantrust.com
Hà Nội, 2016

BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
ĐỒ ÁN TỐT NGHIỆP
NGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR
CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTT
Ngành: Công nghệ thông tin
Chuyên ngành: An toàn thông tin
Mã số:52.48.02.01
Hà Nội, 2016

i
MỤC LỤC
DANH MỤC HÌNH ẢNH ......................................................................................iii
DANH MỤC BẢNG ..............................................................................................iv
DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT......................................................... v
LỜI CẢM ƠN.......................................................................................................vii
LỜI MỞ ĐẦU......................................................................................................viii
CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG GIÁM SÁT AN NINH MẠNG ......... 1
1.1. Tình hình chung về hệ thống giám sát an ninh mạng....................................... 1
1.1.1. Các nguy cơ an ninh mạng....................................................................... 1
1.1.2. Tính cấp thiết về việc giám sát an ninh mạng tại Việt Nam........................ 3
1.2. Các giải pháp giám sát an ninh mạng ............................................................. 4
1.2.1. Security Information Management ........................................................... 4
1.2.2. Security Event Managerment ................................................................... 5
1.2.3. Security Information and Event Management ........................................... 5
1.3. Các dịch vụ của SIEM................................................................................... 6
1.4. Các thành phần của SIEM ............................................................................. 8
1.4.1. Thiết bị nguồn......................................................................................... 9
1.4.2. Thu thập Log..........................................................................................11
1.4.3. Phân tích, Chuẩn hóa Log.......................................................................12
1.4.4. Kỹ thuật tương quan sự kiện ...................................................................13
1.4.5. Lưu trữ Log ...........................................................................................15
1.4.6. Theo dõi và giám sát...............................................................................16
1.5. Kết luận.......................................................................................................17
CHƯƠNG 2: THIẾT BỊ VÀ GIẢI PHÁP TRIỂN KHAI HỆ THỐNG QRADAR
SIEM....................................................................................................................18
2.1. Các thiết bị triển khai giám sát an ninh mạng ................................................18
2.1.1. Chức năng của các thiết bị......................................................................19
2.1.2. Thông số kỹ thuật của các thiết bị chính..................................................21
2.2. Các giải pháp triển khai................................................................................29
2.2.1. Giải pháp tập trung.................................................................................30
2.2.2. Giải pháp phân tán..................................................................................31
2.3. Cơ chế hoạt động chung của hệ thống...........................................................32
2.3.1. Event Collector Component....................................................................33

ii
2.3.2. Event Processor Component ...................................................................34
2.3.3. Magistrate..............................................................................................34
2.4. Kết luận.......................................................................................................34
CHƯƠNG 3: QUY TRÌNH TRIỂN KHAI HỆ THỐNG QRADAR SIEM...............36
3.1. Giải pháp triển khai......................................................................................36
3.2. Quy trình triển khai hệ thống QRADAR SIEM .............................................37
3.2.1. Cấu hình kết nối các thiết bị Qradar ........................................................44
3.2.2. Cấu hình thu thập Log............................................................................50
3.3. Giao diện quản trị ........................................................................................56
3.3.1. Trình duyệt được hỗ trợ..........................................................................56
3.3.2. Giao diện thao tác chung.........................................................................57
3.3.3. Giao diện các Tab chức năng ..................................................................61
3.3.4. Quản lý cấu hình hệ thống ......................................................................68
3.3.5. Quản lý người dùng................................................................................70
3.3.6. Quản lý tài sản .......................................................................................71
3.3.7. Quản lý Log Source................................................................................73
3.3.8. Quản lý Flows........................................................................................74
3.4. Đánh giá kết quả triển khai...........................................................................75
3.5. Kết luận.......................................................................................................77
KẾT LUẬN ..........................................................................................................78
TÀI LIỆU THAM KHẢO......................................................................................79

iii
DANH MỤC HÌNH ẢNH
Hình 1.1: Các thành phần của SIEM........................................................................ 9
Hình 1.2: Chuẩn hóa Log.......................................................................................13
Hình 1.3: Các Log được thu thập trong vòng 10 giây ..............................................14
Hình 2.1: Mô hình sản phẩm Qradar 2100 ..............................................................23
Hình 2.2: Mô hình triển khai sản phẩm Qradar 3105 ...............................................25
Hình 2.3: Mô hình triển khai giải pháp tập trung.....................................................30
Hình 2.4: Mô hình triển khai giải pháp phân tán......................................................31
Hình 2.5: Các thành phần của ECS.........................................................................32
Hình 3.1: Mô hình phân tán....................................................................................36
Hình 3.2: Quy trình triển khai giám sát an ninh mạng..............................................37
Hình 3.3: Mô hình triển khai..................................................................................38
Hình 3.4: Màn hình chào mừng..............................................................................40
Hình 3.5: Giao diện đăng nhập Web.......................................................................45
Hình 3.6: Mô hình triển khai cấu hình thu thập Log ................................................50
Hình 3.7: Giao diện Add Log Source......................................................................55
Hình 3.8: Giao diện khi Add Server Web IIS thành công.........................................56
Hình 3.9: Giao diện đăng nhập...............................................................................56
Hình 3.10: Giao diện Tab Dashboard......................................................................61
Hình 3.11: Giao diện Tab Offenses.........................................................................62
Hình 3.12: Giao diện Tab Log Activity...................................................................64
Hình 3.13: Giao diện Tab Network Activity............................................................65
Hình 3.14: Giao diện Tab Assets............................................................................66
Hình 3.15: Giao diện Tab Report............................................................................67
Hình 3.16: Giao diện Tab Admin ...........................................................................68
Hình 3.17: Giao diện cấu hình hệ thống..................................................................68
Hình 3.18: Giao diện quản lý người dùng ...............................................................70
Hình 3.19: Giao diện quản lý Log Source...............................................................73
Hình 3.20: Giao diện quản lý Flows .......................................................................74

iv
DANH MỤC BẢNG
Bảng 2.1: So sánh chi tiết phần cứng giữa 2 dòng sản phẩm trên cùng 1 thiết bị.......22
Bảng 2.2: Chi tiết phần cứng thiết bị Qradar 3105...................................................24
Bảng 2.3: Chi tiết phần cứng thiết bị Qradar QFlow Collector 1201.........................26
Bảng 2.4: Chi tết phần cứng thiết bị Qradar QFlow processor 1705 .........................26
Bảng 2.5: Chi tiết phần cứng thiết bị QRadar Event Collector 1501 .........................28
Bảng 2.6: Chi thết phần cứng thiết bị Qradar Event Processor 1605.........................28
Bảng 3.1: Trình duyệt được hỗ trợ..........................................................................56
Bảng 3.2: Một số tùy chọn chức năng của tin nhắn..................................................57
Bảng 3.3: Chi tiết các tùy chọn chức năng làm mới, tạm dừng.................................58
Bảng 3.4: Chi tiết tùy chọn các chức năng điều tra địa chỉ IP...................................59
Bảng 3.5: Chi tiết tùy chọn các chức năng điều tra tài sản, người dung ....................59
Bảng 3.6: Chi tiết chức năng tùy chọn cập nhật người dung.....................................61
Bảng 3.7: Chức năng điều hướng Tab Offenses ......................................................63
Bảng 3.8: Chi tiết chức năng của một số chức năng cấu hình hệ thống.....................70
Bảng 3.9: Chi tiết chức năng của một số chức năng cấu hình quản lý người dùng.....71
Bảng 3.10: Chi tiết chức năng của một số chức năng cấu hình quản lý Log Source...74
Bảng 3.11: Chi tiết chức năng của một số chức năng cấu hình quản lý Flows...........75

v
DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT
CDIR Classless Inter-Domain Routing
CNTT Công nghệ thông tin
CPU Central ProcessingUnit
DBA DataBase Administrator
DDoS Distributed Denial of Service
DHCP Dynamic Host Control Protocol
DNS Domain Name Server
DoS Denial of Service
EC Event Collector
ECS Event Correlation Service
EP Event Processor
EPS Event Per Second
FC Flow Collector
FPM Flow Per Minute
FP Flow Processor
FTP File Transfer Protocol
GSANM Giám sát an ninh mạng
HA High Availability
HIPAA Health Insurance Portability and Accountability Act
IDS Integrated Directory Service
IIS Internet Information Services
IPS Intrusion Prevention System
IPSEC Internet ProtocolSecurity
JDBC Java Database Connectivity
NIC Network Interface Card
OPSEC Operations Security
PC Personal Computer
PCI DSS Payment Card Industry Data Security Standard
RAID Redundant Array of Independent Disks
SDEE Security Device Event Exchange
SFP Small Form-FactorPluggable
SIM Security Information Management

vi
SEM Security Events Management
SNMP Simple Network Management Protocol
SOX Sarbanes-Oxley Act
UDP User Datagram Protocol
VNISA Vietnam Information Security Association
WMI Windows Management Instrumentation

vii
LỜI CẢM ƠN
Trên thực tế không có thành công nào mà không gắn liền với những sự giúp
đỡ dù ít hay nhiều, dù trực tiếp hay là gián tiếp. Trong suốt thời gian từ khi bắt đầu
học tập ở Học viện kỹ thuật Mật Mã cho đến nay em đã nhận được rất nhiều sự
quan tâm, giúp đỡ của Thầy Cô, gia đình và bạn bè.
Để hoàn thành đồ án tốt nghiệp này em xin chân thành cảm ơn sâu sắc tới
hai người TS. Trần Đức Sự và KS. Võ Văn Hoàng đã tạo điều kiện và giúp đỡ em
tận tình chu đáo trong thời gian làm đồ án tốt nghiệp vừa qua.
Mặc dù đã có nhiều cố gắng thực hiện đề tài một cách hoàn thiện nhất. Song
do hạn chế về kiến thức và kinh nghiệm nên không tránh khỏi những thiếu sót nhất
định mà bản thân chưa thấy được. Vì vậy rất mong được sự góp ý của quý Thầy,
Cô giáo để đề tài được hoàn thiện hơn.
Em xin trân thành cảm ơn!
SINH VIÊN THỰC HIỆN ĐỒ ÁN
Hoàng Văn Thái

viii
LỜI MỞ ĐẦU
Với sự phát triển mạnh mẽ của Internet và World Rộng Web đã đặt ra nhiệm
vụ đảm bảo an toàn thông tin cho các hệ thống mạng của các cơ quan, tổ chức
nhằm tránh khỏi những hiểm họa mất an toàn thông tin trước những tấn công mạng
có thể xảy ra. Để có thể làm việc này các cơ quan, tổ chức cần có một hệ thống
giám sát an ninh mạng đủ mạnh nhằm kiểm soát, thu thập toàn bộ lưu lượng dữ
liệu vào ra cho cả một hệ thống mạng và đưa ra những cảnh báo chính xác tới
người quản trị hệ thống khi có tấn công xảy ra.
Việc giám sát an ninh mạng hiện nay đã được các quốc gia trên thế giới vô
cùng quan tâm và nó có vai trò sống còn cho an ninh quốc gia. Trong đó, Mỹ là
quốc gia đi tiên phong cho lĩnh vực giám sát an ninh mạng trên toàn cầu. Ngoài ra,
các quốc gia láng giềng bên cạnh nước ta như Hàn Quốc, Trung Quốc cũng xem
đây là một nhiệm vụ tối mật cho quốc phòng an ninh. Tại Việt Nam, trong những
năm gần đây giám sát an ninh mạng cũng được xem là một nhiệm vụ trọng yếu
được các cơ quan cấp bộ, ban, ngành vô cùng quan tâm và thực hiện công việc này
một cách tích cực.
Tuy nhiên, để có thể thực hiện tốt được nhiệm vụ này đòi hỏi phải có một
chính sách giám sát an ninh mạng cả chiều rộng lẫn chiều sâu cộng với các thiết bị
giám sát an ninh mạng hiện đại. Một hệ thống giám sát an ninh mạng tốt cần phải
thu thập được tất cả các nhật ký vào ra của hệ thống, sau đó thực hiện phân tích
những dữ liệu này, và dựa trên những dấu hiệu hoặc tập luật sẵn có để đưa ra cảnh
bảo tới người quản trị hệ thống.
Trên thực tế có nhiều giải pháp giám sát an ninh mạng hiện nay được sử
dụng. Nhiều sản phẩm thương mại xuất hiện trên thị trường, mỗi sản phẩm có các
ưu điểm và yếu điểm khác nhau. Nhưng nhìn chung, các sản phẩm hiện nay được
sử dụng dựa trên công nghệ SIEM là chủ yếu.
Trong đồ án này em đã nghiên cứu, tìm hiểu về việc triển khải giải pháp
giám sát an ninh mạng của IBM Qradar. Một trong những giải pháp được triển
khai ở một số cơ quan, doanh nghiệp trong nước hiện nay. Qua đó, nghiên cứu và
trình bày về: cơ chế, thành phần, chức năng, giải pháp triển khai, dịch vụ cung cấp
cũng như việc triển khai một hệ thống giám sát an ninh mạng nói chúng và hệ
thống giám sát an ninh mạng Qradar nói riêng.

1
CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG GIÁM SÁT AN NINH MẠNG
1.1. Tình hình chung về hệ thống giám sátan ninh mạng
Thuật ngữ “Giám sát an ninh mạng” (GSANM) không phải là mới nhưng có
lẽ nó vẫn còn xa lạ hoặc chưa được nhiều người biết đến. Trong những thập niên
trở lại đây, công nghệ thông tin phát triển một cách nhanh chóng, song song với
các sáng tạo công nghệ nhằm giúp con người phát triển thì luôn tồn tại nhiều mặt
trái của nó. Các vấn đề còn tồn tại chính là các hiểm họa mất cắp thông tin quan
trọng liên quan đến danh tiếng, tiền bạc, hoặc chỉ với mục đích giải trí,… do những
kẻ tấn công thực hiện thông qua môi trường Internet.
Theo báo cáo thường niên hàng năm về các hiểm họa an toàn Internet của
hãng Symantec trong năm 2013-2014 đã thống kê dựa trên dữ liệu địa lý của dạng
tấn công thông qua môi trường Internet liên quan đến mã độc, Spam zombie,
Phishing host, máy tính nhiễm Botnet, nguồn gốc tấn công mạng, nguồn gốc tấn
công Web cho biết: Mỹ là quốc gia đứng đầu với 20.7 % về các hoạt động tấn công
liên quan đến mã độc. Tiếp sau đó là Trung Quốc, Ấn Độ, và Việt Nam đứng thứ 9
trong bảng xếp hạng này với 2.4%. Cũng theo thống kê trên về các tấn công liên
quan đến Spam zombie thì Việt Nam là quốc gia xếp đầu tiên với 10.1%, tiếp sau
đó là các nước như Hà Lan, Iran, Nga, Đức,…. Liên quan đến các tấn công
Phishing host thì Mỹ là quốc gia xếp thứ nhất với 46.6%, trong đó Trung Quốc là
quốc gia đứng đầu tiên với 16.5% các máy tính nhiễm Botnet. Ngoài ra Mỹ là
nước đứng đầu với 21.1% các tấn công Web và Trung Quốc lại là nước đứng đầu
với liên quan tới các tấn công mạng với 28.7%[7].
1.1.1. Các nguy cơ an ninh mạng
Khi các hoạt động kinh tế, giáo dục, chính trị, quân sự hiện nay trên toàn thế
giới đều dựa vào hệ thống mạng và kết nối Internet thì nguy cơ dẫn đến cuộc chiến
tranh liên quan đến không gian mạng giữa các quốc gia đang dần được kích hoạt.
Nhận thấy những hiểm họa tiềm ẩn xuất phát từ Internet này mà các quốc gia trên
thế giới đã và đang thành lập các lực lượng phản ứng phòng chống và tác chiến
mạng.
Trong đó Mỹ là quốc gia đã tập trung vào lĩnh vực an ninh mạng từ những
năm 1990. Chịu trách nhiệm cho lĩnh vực này gồm có Bộ An ninh nội địa
(Department of Homeland Security), Cục điều tra liên bang FBI (Federal Bureau of
Investigation), Bộ Quốc phòng Mỹ (Department of Defense) và US Cyber
Command. Bộ An ninh nội địa có trách nhiệm chính trong việc bảo đảm an ninh

2
trong nước. Đơn vị National Cyber Security Division của Bộ An ninh Nội địa được
giao nhiệm vụ “hợp tác làm việc với các cơ quan nhà nước, tư nhân và quốc tế để
đảm bảo không gian mạng và quyền lợi không gian mạng của nước Mỹ”. Đơn vị
này cũng có một số chương trình để bảo vệ cơ sở hạ tầng mạng chống lại các tấn
công. Đơn vị National Cyber Response Coordination Group thuộc đơn vị National
Cyber Security Division bao gồm 13 cơ quan liên bang và có trách nhiệm phối hợp
phản ứng liên bang trong sự cố không gian mạng mang tầm cỡ quốc gia. Cyber
Command, một đơn vị con nằm dưới sự quản lý của Cơ quan chỉ huy chiến lược
Hoa Kỳ (US Strategic Command) có trách nhiệm đối phó với các mối đe dọa liên
quan đến cơ sở hạ tầng mạng quân sự. Các đơn vị thành viên của Cyber Command
bao gồm các lực lượng Army Forces Cyber Command, Air Force 24, Hạm đội
Cyber Command, và Marine Cyber Command.
Tại Anh một lực lượng đặc biệt được thành lập đầu năm 2011 với tên gọi
Cyber Security Operations Centre chịu trách nhiệm về cả khả năng tấn công và
phòng thủ không gian mạng. Trung tâm này thực hiện nhiệm vụ chính là giám sát
sự phát triển và tình trạng hiện tại của hệ thống IT chính phủ Anh, phân tích các xu
hướng và nâng cao sự phản ứng lại khi có sự cố mạng xảy ra.
Tại Trung Quốc sách trắng về Quốc phòng năm 2004 đã nêu rõ Quân ủy
Trung ương Trung Quốc (PLA) xác định PLA Air Force chịu trách nhiệm cho các
hoạt động liên quan đến thông tin và hoạt động phản động liên quan đến thông tin.
Cục 4 của Tổng cục nhân viên PLA chịu trách nhiệm về các hoạt động phản động
liên quan đến điện tử và nghiên cứu phát triển công nghệ chiến tranh thông tin,
chịu trách nhiệm về khả năng không gian mạng cho quân đội. Cục 3 chịu trách
nhiệm cho các tín hiệu thông minh và tập trung vào việc thu thập, phân tích, khai
thác thông tin điện tử. Cục 3 và 4 cũng tiến hành nghiên cứu các công nghệ tiên
tiến về bảo mật thông tin.
Sách trắng của Bộ quốc phòng Hàn Quốc năm 2008 đã xác định an ninh
mạng là một thành phần thiết yếu của quốc phòng. Năm 2010 sách này cũng vạch
ra tấn công mạng là một trong những hiểm họa an toàn phi truyền thống. Các đội
ứng cứu khẩn cấp đã được thành lập ở mức quân đoàn để giám sát các hệ thống
thông tin quốc phòng. Trung tâm chiến tranh mạng (Cyber War Center) của Bộ
quốc phòng đã được thành lập năm 2010. Mục đích chính của trung tâm này là
tăng tính bảo mật cho hệ thống mạng của chính phủ và các thông tin tài chính. Bộ
quốc phòng cũng tuyên bố tạo ra một đơn vị Cyber Warfare Command độc lập

3
chịu trách nhiệm cho các hoạt động phòng thủ và tấn công trong không gian mạng.
Hội đồng chiến lược An ninh mạng Quốc gia (National Cybersecurity Strategy
Council) là cơ quan điều phối phát triển các chính sách không gian mạng, và được
chủ trì bởi người đứng đầu các hoạt động tình báo quốc gia (National Intelligence
Service) [8].
1.1.2. Tính cấp thiết về việc giám sátan ninh mạng
Tại Việt Nam các cơ quan bộ ngành khác nhau chịu trách nhiệm giám sát an
ninh mạng cho từng lĩnh vực khác nhau. Để thực hiện GSANM yêu cầu và đòi hỏi
một sự đầu tư lớn về con người và vật chất, bên cạnh đó các chuyên gia thực hiện
GSANM phải am hiểu và có trình độ kỹ thuật sâu đối với công nghệ thông tin nói
chung và các mảng đặc biệt về mạng nói riêng.
Bộ Thông tin và Truyền thông thực hiện nhiệm vụ, quyền hạn quy định tại
Nghị định số 36/2012/NĐ-CP và Nghị định số 132/2013/NĐ-CP bảo đảm an toàn
thông tin cho các hệ thống thông tin và Internet; bảo đảm an toàn thông tin cho các
hoạt động ứng dụng và phát triển công nghệ thông tin; phòng, chống thư rác; tổ
chức thực hiện chức năng quản lý, điều phối các hoạt động ứng cứu sự cố máy tính
trong toàn quốc. Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (Vietnam
Computer Emergency Response Team - VNCERT) là đơn vị trực thuộc Bộ thông
tin – Truyền thông được thành lập ngày 20/12/2005 theo quyết định số 339/QĐ-
TTg của Thủ tướng Chính phủ thực hiện chức năng điều phối và tổ chức các hoạt
động phản ứng nhanh các sự cố máy tính cho mạng Internet Việt Nam.
Bên cạnh đó Bộ Quốc phòng thực hiện quản lý nhà nước về an toàn thông
tin trong lĩnh vực quốc phòng. Một đơn vị khác chịu trách nhiệm xây dựng, đề xuất
ban hành các tiêu chuẩn và quy định kỹ thuật về mật mã trong an toàn và bảo mật
thông tin đó chính là Ban Cơ yếu Chính phủ. Bộ Công an chịu trách nhiệm quản
lý, kiểm soát, phòng ngừa, phát hiện, ngăn chặn, đấu tranh chống âm mưu, hoạt
động lợi dụng hệ thống thông tin gây phương hại đến an ninh quốc gia, trật tự an
toàn xã hội và lợi ích của công dân. Bộ Công an đã có một số Cục chức năng liên
quan tới hoạt động đảm bảo an toàn, an ninh cho hệ thống CNTT của các cơ quan
Nhà nước như Cục Công nghệ tin học nghiệp vụ, Cục Phòng chống tội phạm công
nghệ cao, Cục An ninh mạng, Cục An ninh thông tin…
Một số tổ chức khác cũng chung tay góp phần đảm bảo an ninh mạng cho
quốc gia như: Hiệp hội an toàn thông tin (viết tắt là VNISA) đã ra đời và là tổ chức
xã hội nghề nghiệp phi lợi nhuận đầu tiên hoạt động trong lĩnh vực bảo mật thông

4
tin được nhà nước Việt Nam công nhận. VNISA tập hợp các cá nhân, tổ chức làm
công tác nghiên cứu giảng dạy, ứng dụng và phát triển an toàn thông tin nhằm
hướng dẫn thực hiện các chủ trương đường lối của nhà nước trong việc ứng dụng
và phát triển kỹ thuật, công nghệ, an toàn thông tin, đưa ra đề xuất, khuyến nghị
với cơ quan quản lý nhà nước trong việc xây dựng cơ chế chính sách phát triển
ngành.
Trung tâm an ninh mạng Bách Khoa, tên đầy đủ là Trung tâm phần mềm và
giải pháp an ninh mạng là một trung tâm nghiên cứu của Trường Đại học Bách
Khoa Hà Nội. Hỗ trợ chuyên môn cho các cơ quan chức năng của Chính phủ trong
công tác phòng chống, truy tìm tội phạm tin học tham gia, xây dựng luật pháp về
tội phạm tin học. Tham gia các hoạt động phòng chống tấn công phá hoại bằng
CNTT; Hợp tác với các tổ chức An ninh mạng và Cứu hộ các sự cố máy tính của
các nước trên thế giới và trong khu vực trong việc khắc phục sự cố máy tính, chia
sẻ thông tin về an ninh thông tin.
1.2. Các giải pháp giám sátan ninh mạng
Trong giai đoạn hiện nay, cùng với sự phát triển của công nghệ thông tin là
sự bùng nổ của các cuộc tấn công mạng và nguy cơ chiến tranh mạng. Do vậy, việc
giám sát an ninh mạng là một vấn đề rất cần thiết và ngày càng được chú trọng
hơn. Nhằm mục đích phát hiện sớm các tấn công mạng cũng như các nguy cơ đối
với hệ thống mạng và đưa ra các giải pháp ngăn chặn kịp thời. Đáp ứng nhu cầu đó
hệ thống giám sát an ninh mạng được phát triển và xây dựng qua các giai đoạn và
công nghệ sau: Quản lý thông tin an ninh (SIM – Security infomation
managemant), quản lý sự kiện an ninh (SEM – Security event management) và giải
pháp quản lý phân tích sự kiện an toàn thông tin (SIEM – Security information and
event management).
1.2.1. Security Information Management
Hệ thống SIM là hệ thống được xây dựng đầu tiên. Chức năng chính của nó
là thu thập dữ liệu ghi sự kiện từ các thiết bị an ninh, chẳng hạn như tường lửa,
máy chủ proxy, hệ thống phát hiện xâm nhập và phần mềm chống virus.
Nhật ký an ninh thông tin bao gồm dữ liệu Log được tạo ra từ nhiều nguồn,
bao gồm cả các hệ thống phần mềm chống virus, phát hiện xâm nhập (IDS), hệ
thống ngăn chặn xâm nhập (IPS), tập tin hệ thống, tường lửa, router, máy chủ …

5
Cung cấp khả năng quản lý đăng nhập và có khả năng lưu trữ các bản ghi
Multi- terabyte trong thời gian rất dài. Do chưa có thành phần phân tích và xử lý sự
kiện an ninh nên SIM chỉ có thể phát hiện và xử lý được các biến cố đơn giản.
 Các sản phẩm thương mại của SIM là: Splunk, ArcSight Logger, Log
Logic, RSA envision, NetIQ Security Manager, IBM TCIM,
eIQnetworks range, nFX's SIM One, Prism Microsystems
EventTracker, Trigeo, Symantec's Security Information Manager,
Cisco Security MARS and Snare.
 Các sản phẩm mã nguồn mở của SIM: OSSIM...
1.2.2. Security Event Managerment
Hệ thống thu thập các dữ liệu sự kiện nhật ký do các thành phần (thiết bị,
ứng dụng) trong hệ thống tạo ra. Sau đó tập trung hóa việc lưu trữ và xử lí, phân
tích các sự kiện rồi lập báo cáo, đưa ra thông báo, cảnh báo liên quan đến an ninh
của hệ thống.
Không giống như SIM, hạn chế của SEM là không có khả năng lưu trữ nhật
ký trong thời gian dài. Nhưng những sản phẩm này cung cấp, phân tích quản lý các
sự kiện một cách mạnh mẽ, ứng phó các sự cố và các hoạt động an ninh.
Các sản phẩm của SEM: ArcSight ESM, netForensics, Novell Sentinel,
Intelitactics, Cisco MARS and IBM TSOM.
1.2.3. Security Information and Event Management
SIEM là một giải pháp hoàn chỉnh cho phép các tổ chức thực hiện việc giám
sát các sự kiện an toàn thông tin cho một hệ thống. Giải pháp này được kết hợp từ
hai giải pháp SIM và SEM, nó được xây dựng trên những ưu điểm của hai giải
pháp đó và được bổ sung thêm các tính năng mới nhằm mục đích tăng cường hiệu
quả trong việc giám sát an ninh mạng.
Nguyên lý cơ bản của SIEM là thu thập các dữ liệu về các sự kiện an ninh từ
nhiều thiết bị khác nhau ở các vị trí khác nhau trong hệ thống. Từ đó giúp người
quản trị có thể dễ dàng theo dõi tất cả các dữ liệu ở tại một vị trí duy nhất để phát
hiện xu hướng và theo dõi các dấu hiệu bất thường cũng như các dấu hiệu tấn công
mạng có thể xẩy ra.
Một điểm mạnh nữa của SIEM là khả năng giám sát quản lý người dùng và
sự thay đổi cấu hình cho các hệ thống khác nhau, cũng như cung cấp kiểm toán
đăng nhập và xem xét ứng phó sự cố.

6
Các sản phẩm thương mại của SIEM: Qradar SIEM, AccelOps, ArcSight,
RSA EnVision, BLUESOC, Cisco Security MARS, ImmuneSecurity, LogLogic,
SenSage, và Symantec Security Information Manager.
1.3. Các dịch vụ của SIEM
Các chuyên gia bảo mật sử dụng SIEM nhằm theo dõi, xác định, quản lý hệ
thống tài sản và ứng phó với các sự cố an ninh. Một số sự kiện an ninh như tấn
công từ chối dịch vụ (DoS), tấn công có chủ đích, tấn công mã độc và phát tán
virus, SIEM có thể phát hiện mà các thiết bị khác không dễ phát hiện ra. Nhiều sự
kiện khó phát hiện được che đậy bởi hàng ngàn sự kiện an ninh khác mỗi giây. Bên
cạnh đó SIEM có thể phát hiện những sự kiện an ninh khó phát hiện hơn như hành
vi vi phạm chính sách, cố gắng truy cập trái phép và phương thức tấn công của
những kẻ tấn công có trình độ cao xâm nhập vào hệ thống CNTT.
Một mục tiêu quan trọng cho các nhà phân tích an ninh mạng sử dụng SIEM
là giảm số lượng cảnh báo giả. Hệ thống an ninh được cho là yếu kém, chẳng hạn
như hệ thống phát hiện xâm nhập (IDS) thường có những cảnh báo nhiều về sự
kiện giả. Nhiều cảnh báo này gây lãng phí thời gian, công sức của nhà phân tích an
ninh và thường tập trung vào cảnh báo đó. Điều đó làm cho các nhà phân tích
nhầm lẫn hoặc loại đi các cảnh báo chính xác hơn. Với hệ thống SIEM, việc giảm
cảnh báo giả được thực hiện một cách cẩn thận bởi các bộ lọc và các quy tắc tương
quan liên kết giữa các thông tin sự kiện an ninh với nhau. Điều đó xác định và cảnh
báo chính xác khi có sự kiện an ninh bất chấp số lượng lớn những sự kiện an ninh
lớn và nhiều.
Hệ thống SIEM cung cấp các dịch vụ sau:
 Quản lý bản ghi sự kiện an ninh
Hệ thống SIEM quản lý các Log từ các thiết bị trong hệ thống. Bắt đầu với
việc cấu hình các vị trí quan trọng trong hệ thống để gửi các sự kiện an ninh vào
một cơ sở dữ liệu tập trung. Giải pháp SIEM sẽ chuẩn hóa các Log này về định
dạng duy nhất để phân tích, tương quan liên kết. Sau đó, SIEM sẽ lưu trữ các file
Log, tổ chức, tìm kiếm và các dịch vụ khác để đáp ứng nhu cầu quản lý mà các tổ
chức yêu cầu. Phần quản lý dữ liệu này cũng sử dụng để phân tích về thời gian
thực, tình trạng khai thác dữ liệu và an ninh của hệ thống CNTT.
 Tuân thủ các quy định về CNTT
Tất cả các sự kiện từ các hệ thống quan trọng đang được sử dụng truy nhập,
người quản trị có thể xây dựng các bộ lọc hoặc các thiết lập các luật và tính toán

7
thời gian để kiểm tra và xác thực việc tuân thủ của họ hoặc để xác định hành vi vi
phạm các yêu cầu tuân thủ đã đặt ra của tổ chức.
Các luật đó sẽ đối chiếu với Log được đưa vào hệ thống. Từ đó có thể giám
sát số lần thay đổi mật khẩu, xác định hệ điều hành hoặc các bản vá lỗi ứng dụng,
kiểm tra chống virus, phần mềm gián điệp và cập nhật. Người quản trị có thể xây
dựng tập luật riêng của mình cho các bộ lọc hoặc các luật để hỗ trợ trong việc tuân
thủ các quy định đã đề ra.
Nhiều nhà cung cấp SIEM có các tập đóng gói sẵn các quy tắc được thiết kế
đặc biệt để đáp ứng các yêu cầu về pháp luật và các quy định khác nhau mà các
doanh nghiệp cần phải tuân thủ. Chúng được đóng gói và cung cấp bởi các nhà
cung cấp một cách miễn phí hoặc mất một khoản chi phí.
 Tương quan liên kết các sự kiện an ninh
Sự tương quan liên kết giữa các sự kiện an ninh mạng đem lại thông báo tốt
hơn cho hệ thống, không chỉ qua một sự kiện duy nhất để quyết định cách ứng phó
hay không ứng phó với nó. Với tương quan liên kết giữa các sự kiện an ninh, xem
xét điều kiện khác nhau trước khi kích hoạt báo động.
Ví dụ, một máy chủ có CPU sử dụng 100% có thể được gây ra bởi nhiều
nguyên nhân khác nhau. Nó có thể do một vấn đề xảy ra hoặc có thể không. Cũng
có thể là một dấu hiệu cho thấy hệ thống bị quá tải với các hoạt động và yêu cầu
một hoặc nhiều dịch vụ hoặc các ứng dụng cần được chia sẻ trên các máy chủ
khác. Và cũng có thể là máy chủ đạt đến hết công suất do một tấn công từ chối
dịch vụ (DoS) vào hệ thống. Hoặc nó có thể là ngừng trệ tạm thời tự nhiên của máy
chủ.
Các công cụ tương quan trên một SIEM có thể kiểm tra và xem xét các sự
kiện khác không phải liên quan đến việc sử dụng CPU. Có thể cung cấp một bức
tranh đầy đủ hơn về tình trạng của máy chủ để loại trừ giả thuyết về nguyên nhân
của vấn đề. Ví dụ, trong trường hợp sử dụng CPU 100%, SIEM có thể được cấu
hình để xem xét một số nguyên nhân sau đây:
o Phần mềm Anti-Virus có xác định được có phần mềm độc hại
ở trên máy chủ hay không?
o Ngoài máy chủ này ra còn máy chủ nào sử dụng với CPU
100%? Cần xem xét có sự tồn tại của virus hay không.
o Một ứng dụng hoặc nhiều ứng dụng, dịch vụ nào đó ngừng
hoạt động?

8
o Sự gia tăng lưu lượng mạng do nhu cầu chính đáng của người
sử dụng nhưng vượt quá sự cung cấp dịch vụ của máy chủ.
o Sự gia tăng lưu lượng mạng nhưng do nhu cầu không chính
đáng của người sử dụng vượt quá sự cung cấp của máy chủ
như một cuộc tấn công DoS? Từ các nguồn khác nhau? Có thể
là một cuộc tấn công từ chối dịch vụ phân tán DDoS?
Đó là sự tương quan các sự kiện an ninh. Cảnh báo của SIEM giúp người
quản trị đưa ra cách ứng phó tùy thuộc vào điều kiện.
 Cung cấp hoạt động ứng phó
Tất cả các thiết bị cung cấp đầu vào cho SIEM, các quy tắc và bộ lọc sẽ xác
định và phân tích mối quan hệ giữa các thông tin đầu vào đó. Qua đó người quản
trị có thể cấu hình các hành động và thực hiện các phản ứng, ứng phó cho các sự
kiện an ninh hoặc có thể cấu hình riêng biệt cho từng loại sự kiện khác nhau.
Lợi ích việc thực hiện các hoạt động ứng phó là rất tốt, nhưng bên cạnh đó
nó cũng có điều bất lợi. Nếu không cấu hình cẩn thận và chính xác thì nó có thể
đưa ra các hành động ứng phó không cần thiết, các báo động giả (Failse-positives
Events). Hoạt động ứng phó tự động này dễ dàng trở thành con dao hai lưỡi cho hệ
thống.
 Đảm bảo an ninh thiết bị đầu cuối
Hầu hết các hệ thống SIEM có thể giám sát an ninh cho các thiết bị đầu cuối
để thông báo sự an toàn của hệ thống. Giải pháp SIEM cung cấp việc quản lý cũng
như đánh giá tài sản các thiết bị. Bên cạnh là việc dò quét lỗ hổng và cập nhật các
bản vá. Nhiều hệ thống SIEM có thể theo dõi các thiết bị như PC, server, Firewall.
Một số hệ thống SIEM thậm chí có thể quản lý an ninh cho thiết bị đầu cuối, có sự
điều chỉnh và hoàn thiện hơn đối với thiết bị an ninh đó trên hệ thống. Như cấu
hình Firewall, cập nhật và theo dõi Anti-Virus, chống spyware, chống spam
email[1].
1.4. Các thành phần của SIEM
Hệ thống SIEM bao gồm nhiều phần, mỗi phần làm một nhiệm vụ riêng biệt.
Mỗi thành phần trong hệ thống này có thể hoạt động độc lập với các thành phần
khác nhưng nếu tất cả không hoạt động cùng một lúc thì sẽ có không có một SIEM
hiệu quả.

9
Tùy thuộc vào hệ thống đang sử dụng mỗi SIEM sẽ có những thành phần cơ
bản. Bằng sự hiểu biết từng phần của SIEM và cách thức hoạt động, người quản trị
có thể quản lý một cách hiệu quả và khắc phục sự cố các vấn đề khi phát sinh.
Hình 1.1: Các thành phần của SIEM
1.4.1. Thiết bị nguồn
Thành phần đầu tiên của SIEM là các thiết bị đầu vào cung cấp dữ liệu cho
SIEM. Thiết bị nguồn có thể là một thiết bị thực tế trong hệ thống mạng như
Router, Switch hoặc một số loại máy chủ và cũng có thể là các bản ghi Log từ một
ứng dụng hoặc chỉ là bất kỳ dữ liệu nào khác. Việc biết về những gì có trong hệ
thống là rất quan trọng trong việc triển khai SIEM. Hiểu rõ những nguồn muốn lấy
các bản ghi Log trong giai đoạn đầu sẽ giúp tiết kiệm được công sức, số tiền đáng
kể và giảm sự phức tạp trong triển khai.
 Hệ điều hành: Microsoft Windows và các biến thể của Linux và
UNIX, AIX, Mac OS là những hệ điều hành thường hay được sử dụng. Hầu hết
các hệ điều hành về cơ bản công nghệ khác nhau và thực hiện chuyên một nhiệm
vụ nào đó nhưng một trong những điều mà tất cả đều có điểm chung là chúng tạo
ra các bản ghi Log. Các bản ghi Log sẽ cho thấy hệ thống của đã làm gì: Ai là
người đăng nhập, làm những gì trên hệ thống?...Các bản ghi Log được tạo ra bởi
một hệ điều hành về hệ thống và người sử dụng hoạt động sẽ rất hữu ích khi tiến
hành ứng phó sự cố an ninh hoặc chuẩn đoán vấn đề hay chỉ là việc cấu hình sai.
 Thiết bị: Muốn tương tác giữa quyền administrator của hệ thống với
các thiết bị hầu hết các quản trị hệ thống không có quyền truy cập từ xa vào hệ
thống để thực hiện một số việc quản lý cơ bản. Nhưng có thể quản lý các thiết bị
thông qua một cổng giao diện đặc biệt. Giao diện này có thể dựa trên web, dòng
lệnh hoặc chạy qua một ứng dụng được tải về máy trạm của quản trị viên. Hệ điều
hành các thiết bị mạng chạy có thể là một hệ điều hành thông thường, chẳng hạn

10
như Microsoft Windows hoặc phiên bản của Linux, nhưng nó cũng có thể được
cấu hình theo cách mà hệ điều hành thông thường. Một ví dụ như một router hoặc
switch. Nó không phụ thuộc vào nhà cung cấp, nên không bao giờ có thể truy cập
trực tiếp vào hệ thống điều hành cơ bản của nó mà chỉ có thể truy cập vào thông
qua dòng lệnh hoặc giao diện web được sử dụng để quản lý. Các thiết bị lưu trữ
các bản ghi Log của chúng trên hệ thống hoặc thường có thể được cấu hình để gửi
các bản ghi ra thông qua SysLog hoặc FTP.
 Ứng dụng: Chạy trên các hệ điều hành là những ứng dụng được sử
dụng cho một loạt các chức năng. Trong một hệ thống có thể có hệ thống tên miền
(DNS), dịch vụ cấp phát địa chỉ động (DHCP), máy chủ web, hệ thống thư điện tử
và vô số các ứng dụng khác. Các bản ghi ứng dụng chứa thông tin chi tiết về tình
trạng của ứng dụng, ví dụ như thống kê, sai sót, hoặc thông tin tin nhắn. Một số
ứng dụng sinh ra bản ghi Log sẽ có ích cho người quản trị? Dùng để yêu cầu duy
trì, lưu trữ các bản ghi Log theo sự tuân thủ của pháp luật.
 Xác định bản ghi Log cần thiết: Sau khi xác định các thiết bị nguồn
trong hệ thống, người quản trị cần xem xét việc thu thập các bản ghi Log từ các
thiết bị nào là cần thiết và quan trọng cho SIEM. Một số điểm cần chú ý trong việc
thu thập các bản ghi Log như sau:
o Thiết bị nguồn nào được ưu tiên? Dữ liệu nào quan trọng cần phải
thu thập
o Kích thước bản ghi Log sinh ra trong khoảng thời gian nhất định
là bao nhiêu? Những thông tin này dùng để xác định SIEM cần
bao nhiêu tài nguyên cho chúng, đặc biệt là không gian lưu trữ.
o Tốc độ các thiết bị nguồn này sinh ra bản ghi Log là bao lâu?
Thông tin này kết hợp với kích thước bản ghi Log để lựa chọn
việc sử dụng đường truyền mạng khi thu thập các bản ghi.
o Cách thức liên kết giữa các thiết bị nguồn với SIEM?
o Có cần các bàn ghi Log theo thời gian thực hay thiết lập quá trình
thực hiện tại một thời điểm cụ thể trong ngày.
Các thông tin trên rất có ích trong việc xác định nguồn thiết bị cần thiết cho
SIEM. Chúng có quá nhiều nhưng nó là cần thiết để xác định chính xác hơn điều gì
là cần thiết cho SIEM. Số lượng người sử dụng, lịch bảo trì hệ thống và nhiều yếu
tố khác có thể tác động đáng kể đến số lượng các bản ghi Log được tạo ra mỗi
ngày.

11
1.4.2. Thu thập Log
Thành phần tiếp theo trong sơ đồ là thành phần thu thập Log. Cơ chế thu
thập các bản ghi Log phụ thuộc vào từng thiết bị nhưng cơ bản có hai phương thức
như sau: Push Log và Pull Log.
 Push Log: Các bản ghi Log sẽ được các thiết bị nguồn gửi về SIEM
Phương pháp này có lợi ích: Dễ dàng cài đặt và cấu hình. Thông thường, chỉ
cần thiết lập một bộ tiếp nhận và sau đó kết nối thiết bị nguồn đến bộ phận tiếp
nhận này. Ví dụ như SysLog, khi cấu hình thiết bị nguồn sử dụng SysLog, người
quản trị có thể thiết lập địa chỉ IP hoặc DNS tên của một máy chủ SysLog trên
mạng và thiết bị sẽ tự động gửi các bản ghi của nó thông qua SysLog. Tuy nhiên
phương pháp nay cũng còn một số nhược điểm.
Ví dụ, sử dụng SysLog trong môi trường UDP. Bản chất của việc sử dụng
SysLog trong môi trường UDP có thể là không đảm bảo rằng các gói tin đến đích,
vì UDP là một giao thức không hướng kết nối. Nếu một tình huống xảy ra trên
mạng chẳng hạn như khi một loại virus mạnh trên mạng, người quản trị có thể
không nhận được gói tin SysLog. Một vấn đề có thể phát sinh là nếu không đặt
quyền điều khiển truy cập thích hợp trên máy thu nhận các bản ghi Log thì khi cấu
hình sai hoặc có phần mềm độc hại có thể làm tràn ngập các thông tin sai lệch.
Điều đó làm cho các sự kiện an ninh khó được phát hiện.
Nếu là một cuộc tấn công có chủ ý nhằm chống lại SIEM thì một kẻ xấu có
thể làm sai lệch các thông tin và và thêm các dữ liệu rác vào SIEM. Do vậy sự hiểu
biết về các thiết bị gửi các bản ghi Log cho SIEM là điều rất quan trọng
 Pull Log: Các bản ghi Log sẽ được SIEM lấy về
Không giống như phương pháp Push Log, trong đó thiết bị nguồn gửi các
bản ghi Log cho SIEM mà không cần bất kỳ sự tương tác từ SIEM. Pull Log đòi
hỏi SIEM bắt đầu kết nối với các thiết bị nguồn và chủ động lấy các bản ghi từ các
thiết bị nguồn đó bằng một phần mềm được cài đặt trên các thiết bị an ninh. Một ví
dụ nếu các bản ghi Log được lưu trữ trong tập tin văn bản chia sẻ trên một mạng.
SIEM sẽ thiết lập một kết nối lấy các thông tin được lưu trữ và đọc các file bản ghi
từ các thiết bị nguồn.
Đối với phương pháp Push Log, các bản ghi Log của thiết bị nguồn thường
gửi các bản ghi đến SIEM ngay sau khi nó được tạo ra. Nhưng với phương pháp
Pull Log thì một kết nối sẽ được tạo ra để SIEM tiếp cận với các thiết bị nguồn và
kéo các bản ghi Log từ các thiết bị nguồn về. Chu kỳ của việc kết nối để lấy các

12
bản ghi Log của Pull Log có thể là vài giây hoặc theo giờ. Khoảng thời gian này có
thể cấu hình theo tùy chọn hoặc để cấu hình mặc định cho SIEM. Điều này cũng
cần tính toán về chu kỳ thời gian đẩy các bản ghi về SIEM vì nếu không sẽ dẫn tới
việc tràn và nghẽn của hệ thống SIEM khi quá nhiều các thiết bị nguồn cùng đẩy
bản ghi Log về.
Chính sách thu thập thông tin: Có thể thiết lập một chính sách ưu tiên và thu
thập để lọc và củng cố các thông tin sự kiện an ninh trước khi gửi đến hệ thống. Kỹ
thuật này cho phép người quản trị để điều tiết sự kiện an ninh và quản lý những
thông tin, nếu không sẽ rất nhiều các sự kiện an ninh trong hệ thống mạng làm cho
người quản trị lúng túng không biết bắt đầu từ đâu.
1.4.3. Phân tích, chuẩn hóa Log
Vô số các bản ghi Log được gửi từ các thiết bị và ứng dụng trong môi
trường đến SIEM. Tại thời điểm này, tất cả các bản ghi đang ở định dạng gốc ban
đầu, do đó người quản trị không thực hiện được bất cứ điều gì ngoại trừ lưu nó vào
một nơi nào đó. Hệ thống SIEM thu thập các bản ghi Log từ rất nhiều các thiết bị
khác nhau, việc truyền các bản ghi log từ các thiết bị nguồn tới SIEM cần được
giữ bí mật, xác thực và tin cậy bằng việc sử dụng Syslog hoặc các giao thức
SNMP, OPSEC, SFTP.
Nhưng để các bản ghi Log hữu ích trong SIEM cần định dạng lại chúng sang
một định dạng chuẩn duy nhất. Việc thay đổi tất cả các loại bản ghi Log khác nhau
thành các bản ghi có cùng một định dạng duy nhất được gọi là chuẩn hóa. Nếu các
thiết bị không hỗ trợ các giao thức này cần phải sử dụng các Agent. Đó là một điều
cần thực hiện để thực hiện việc lấy các bản ghi log có định dạng mà SIEM có thể
hiểu được. Việc cài đặt các Agent có thể kéo dài quá trình triển khai SIEM nhưng
người quản trị sẽ có những bản ghi log theo dạng chuẩn mong muốn.

13
Hình 1.2: Chuẩn hóa Log
Mục đích của việc thu thập thông tin là để nắm bắt và chuẩn hóa các thông
tin từ các thiết bị an ninh khác nhau và cung cấp các thông tin đó cho hệ thống để
phân tích tiếp. Chức năng nay rất quan trọng vì dữ liệu có định dạng khác nhau từ
các thiết bị khác nhau và các nhà cung cấp khác nhau.
Ví dụ như hình 1.2 hai hệ thống này, một hệ thống Windows Event Log và
một ASA Cisco. Cả hai cho thấy cùng một người đăng nhập vào thiết bị. Cách
đăng nhập của mỗi nhà cung cấp là khác nhau. Nên cần phải hiểu định dạng và chi
tiết có trong sự kiện đó. Do việc chuẩn hóa Log là rất cần thiết.
1.4.4. Kỹ thuật tương quan sự kiện
Các quy luật cho phép mở rộng việc chuẩn hóa các bản ghi các sự kiện an
ninh từ các nguồn khác nhau trong việc kích hoạt cảnh báo trong SIEM. Cách viết
các quy luật trong SIEM bắt đầu thường khá đơn giản, nhưng có thể trở nên cực kỳ
phức tạp. Người quản trị thường viết các quy tắc sử dụng một biểu thức Boolean
Logic để xác định điều kiện cụ thể được đáp ứng và kiểm tra xem có phù hợp trong
các dữ liệu.
Tương quan là một tập hợp các quy tắc. Tương quan sự kiện an ninh giúp
liên kết các sự kiện an ninh từ các nguồn khác nhau thành một sự kiện an ninh
chính xác. Tương quan các sự kiện an ninh được thực hiện nhằm đơn giản hóa các
thủ tục ứng phó sự cố cho cho hệ thống, bằng việc thể hiện một sự cố duy hất được
liên hệ từ nhiều sự kiện an ninh đến từ các thiết bị nguồn khác nhau.
Thông thường có hai kiểu tương quan sự kiện là dựa trên các quy tắc kiến
thức đã biết (Rule- based) và dựa trên phương pháp thống kê (Statistical-based):

14
 Rule - based
Là phương pháp tương quan sự kiện dựa trên các quy tắc và kiến thức đã biết
về các cuộc tấn công. Các kiến thức đã biết về các cuộc tấn công được sử dụng để
liên kết các sự kiện lại với nhau và phân tíchtrong một bối cảnh chung. Các quy tắc
được xây dựng vào các mẫu xác định và do các nhà cung cấp phát triển hoặc người
quản trị có thể tự xây dựng, phát triển và bổ sung vào hệ thống theo thời gian và
kinh nghiệm tích lũy.
 Statistical - based
Phương thức tương quan không sử dụng bất kỳ kiến thức của các hoạt động
cho là nguy hiểm đã biết trước đó. Nhưng thay vì dựa vào những kiến thức của các
hoạt động bình thường đã được công nhận và tích lũy theo thời gian. Các sự kiện
đang diễn ra được đánh giá bởi một thuật toán và có thể được so sánh với mẫu bình
thường để phân biệt hành vi bình thường và hành vi bất thường. Hệ thống phân
tích các sự kiện an ninh trong một khoảng thời gian và sử dụng trọng số để đánh
giá tài sản, hệ thống. Các giá trị trọng này sau đó được phân tích để xác định nguy
cơ kiểu tấn công này xảy ra. Các hệ thống này cũng thiết lập mức độ hoạt động
mạng bình thường và tìm kiếm sai lệch so với những mẫu có hành vi bình thường
có thể chỉ ra một cuộc tấn công.
Nếu nhìn vào ví dụ trong hình 1.3, có thể thấy được nhiều sự kiện an ninh
đăng nhập vào SIEM trong khoảng thời gian 10 giây. Nhìn vào điều này có thể
nhìn thấy các sự kiện đăng nhập thất bại và đăng nhập thành công từ nhiều địa chỉ
đến để một số địa chỉ đích. Nếu nhìn kỹ, có thể thấy một một địa chỉ nguồn duy
nhất đăng nhập vào nhiều địa chỉ đích nhiều lần, và sau đó đột ngột thấy một đăng
nhập thành công. Điều này có thể là một cuộc tấn công Brute-Force với máy chủ.
Hình 1.3: Các Log được thu thập trong vòng 10 giây

15
Mở rộng theo ví dụ này và thay vì chỉ 10 sự kiện an ninh trong một khoảng
thời gian 10 giây, hệ thống có 1000 sự kiện an ninh trong 10 giây. Hãy chọn ra
những sự kiện an ninh từ tất cả, trong hệ thống có thể hiển thị một sự kiện an ninh
nguy cơ nguy hại là điều cực kỳ khó khăn. Nên cần một cách để loại bỏ tất cả các
thông tin sự kiện an ninh không liên quan trong các bản ghi Log và chỉ ần theo dõi
các thông tin sự kiện an ninh mà có thể chỉ ra một nguy hại qua nhiều sự kiện an
ninh.
1.4.5. Lưu trữ Log
Với các bản ghi Log gửi tới SIEM cần một cách để lưu trữ chúng để phục vụ
các mục đích lưu giữ và truy vấn sau này. Có ba cách mà có thể lưu trữ các bản ghi
trong SIEM là: Dùng một cơ sở dữ liệu, file Text và dưới dạng file nhị phân.
 Cơ sở dữ liệu
Lưu trữ các bản ghi Log trong cơ sở dữ liệu là cách lưu trữ các bản ghi Log
hay được dùng nhất trong SIEM. Cơ sở dữ liệu thường là một nền tảng cơ sở dữ
liệu chuẩn như Oracle, MySQL, Microsoft SQL hoặc một trong các ứng dụng cơ
sở dữ liệu lớn khác đang được sử dụng trong doanh nghiệp.
Phương pháp này cho phép khá dễ dàng tương tác với dữ liệu vì các truy vấn
cơ sở dữ liệu là một phần của ứng dụng cơ sở dữ liệu. Hiệu suất cũng khá tốt khi
truy cập vào các bản ghi Log trong cơ sở dữ liệu, phụ thuộc vào phần cứng cơ sở
dữ liệu đang chạy, nhưng các ứng dụng cơ sở dữ liệu phải được tối ưu hóa để chạy
với SIEM.
Sử dụng cơ sở dữ liệu là một giải pháp tốt cho việc lưu trữ nhật ký, nhưng
một số vấn đề có thể phát sinh tùy thuộc vào cách SIEM triển khai cơ sở dữ liệu
tương ứng với nó. Nếu SIEM là một thiết bị thường không có nhiều sự tương tác
với cơ sở dữ liệu, do đó việc cung cấp và bảo trì thường không phải là một vấn đề.
Nhưng nếu SIEM đang chạy trên phần cứng riêng thì việc quản lý cơ sở dữ liệu
cho mình cũng là vấn đề lớn. Điều này có thể là khó khăn nếu hệ thống không có
một DBA.
 Lưu trữ dưới dạng file text
Một tập tin văn bản chuẩn để lưu trữ các thông tin trong một định dạng có thể
đọc được. Các thông tin cần phải có một ranh giới phân cách có thể là dấu phẩy,
khoảng cách tab hoặc một số kí hiệu khác. Vì vậy thông tin có thể được phân tích
và đọc đúng. Phương pháp lưu trữ này không được sử dụng thường xuyên. Hành

16
động viết và đọc từ tập tin văn bản dường như chậm hơn so với các phương pháp
khác.
Thật sự không có nhiều lợi ích khi sử dụng một tập tin text để lưu trữ dữ
liệu, nhưng nó dễ dàng cho các ứng dụng bên ngoài để truy cập dữ liệu này. Nếu
các bản ghi Log được lưu trữ trong một tập tin văn bản, thì sẽ không khó khăn khi
viết mã để mở các tập tin và lấy thông tin để cung cấp cho cho một ứng dụng khác.
Một lợi ích khác là khi tập tin văn bản con người có thể đọc được và dễ dàng để
nhà phân tích tìm kiếm và hiểu nó.
 Lưu trữ dưới dạng nhị phân
Định dạng tập tin nhị phân là sử dụng một tập tin với định dạng tùy chỉnh để
lưu trữ thông tin duới dạng nhị phân. SIEM biết làm thế nào để đọc và ghi vào
những file này.
1.4.6. Theo dõi và giám sát
Giai đoạn cuối cùng là phương pháp tương tác với các bản ghi được lưu trữ
trong SIEM. Một khi đã có tất cả các bản ghi trong SIEM và các sự kiện an ninh đã
được xử lý, điều cần làm tiếp theo là như thế nào để sử dụng hữu ích với các thông
tin từ các bản ghi Log khác nhau. Hệ thống SIEM cung cấp giao diện điều khiển
dựa trên web hoặc ứng dụng tải về máy trạm. Cả hai giao diện sẽ cho phép tương
tác với các dữ liệu được lưu trữ trong SIEM. Giao diện điều khiển này cũng được
sử dụng để quản lý SIEM.
SIEM cung cấp ba cách để thông báo tới các quản trị viên một cuộc tấn công
hay một hành vi bất thường đang xảy ra. Thứ nhất, SIEM có thể đưa ra một cảnh
báo ngay khi có điều chúng nhận ra là bất thường. Thứ hai, SIEM sẽ gửi một thông
báo vào một thời điểm được xác định trước của cuộc tấn công và thứ ba là các
quản trị viên theo dõi giám sát SIEM theo thời gian thực thông qua một giao diện
web.
Giao diện ứng dụng này cho phép xử lý sự cố hoặc cung cấp cái nhìn tổng
quan về môi trường của hệ thống. Bình thường, khi muốn xem các thông tin hoặc
xử lý sự cố thì các kỹ sư sẽ phải đi đến các thiết bị khác nhau và xem các bản ghi
Log trong định dạng gốc của nó. Nhưng với SIEM sẽ đơn giản và tiện lợi hơn
nhiều. Nó có thể xử lý tại một nơi duy nhất, phân tích tất cả các bản ghi Log khác
nhau dễ dàng bởi vì SIEM đã chuẩn hóa các thông tin dữ liệu đó.
Trong quản lý và giám sát giao diện điều khiển của SIEM, người quản trị có
thể phát triển nội dung và quy định được sử dụng để tìm ra thông tin từ các sự kiện

17
an ninh được xử lý. Giao diện điều khiển này là một cách để giao tiếp với các dữ
liệu được lưu trữ trong SIEM.
1.5. Kết luận
Chương này, đồ án đã giới thiệu tình hình giám sát an ninh mạng tại một số
nước trên thế giới và Việt Nam. Đồng thời tổng quan về các giải pháp giám sát an
ninh mạng đang được sử dụng hiện nay, và mô tả các dịch vụ của SIEM. Chương 2
sẽ giới thiệu các thành phần cấu tạo nên một hệ thống giám sát và các giải pháp
triển khai giám sát an ninh mạng của IBM Qradar SIEM.

18
CHƯƠNG 2: THIẾT BỊ VÀ GIẢI PHÁP TRIỂN KHAI HỆ THỐNG
QRADAR SIEM
Q1 Labs tham gia vào thị trường SIEM vào năm 2001 với dòng sản phẩm
đầy đủ tính năng. Họ cung cấp công nghệ trong một thiết bị (bao gồm cả phần
cứng và phần mềm) và một phiên bản phần mềm có thể cài đặt trên phần cứng
riêng. Sản phẩm hàng đầu của họ được gọi là QRadar SIEM. Ngoài ra có các phiên
bản thiết bị khác được cung cấp: Qradar Log Manger, Qradar Risk Manager,
Qradar QFlow và Qradar VFlow.
Hệ thống này bao gồm tất cả mọi thứ cần thiết để có được những thông tin
về mức độ bảo mật của và các dịch vụ quản lý sự kiện an ninh. Hệ thống QRadar
đáp ứng yêu cầu tuân thủ để lưu trữ sự kiện an ninh, giám sát, báo cáo và bao gồm
các chức năng sau đây để thực hiện yêu cầu an ninh bảo mật của tổ chức:
 Theo dõi sự kiện an ninh
 Theo dõi lưu lượng mạng
 Tích hợp tính năng quét lỗ hổng
 Kiểm kê tài sản và tạo ra hồ sơ về nó
 Phân tích dữ liệu
 Tương quan dữ liệu
 Phát hiện ra những mối đe dọa
 Tạo ra các báo cáo
2.1. Các thiết bị triển khai giám sát an ninh mạng
Các thiết bị triển khai hệ thống giám sát SIEM đều gồm có các thành phần
chính là thành phần thu thập, thành phần phân tích và thành phần quản trị giám sát.
Mỗi thành phần có chức năng và nhiệm vụ khác nhau khác nhau.
Theo những phân tích về nhu cầu thực tế, nguy cơ an ninh, các thiết bị phải
đáp ứng được những yêu cầu sau:
 Khả năng quản trị tập trung trên toàn hệ thống. Hỗ trợ nhiều thiết bị
vật lý và thiết bị ảo. Khả năng triển khai theo mô hình tập trung
hoặc phân tán
 Khả năng thu thập Log trên nhiều thiết bị: Server, Firewall, Switch,
Router, Anti-virus, các hệ thống xác thực, DHCP…Qua các giao
thức SysLog hoặc bằng giao thức: JDBC, SNMP, SDEE, IPSEC,
WMI…

19
 Khả năng lưu trữ tạm thời Log tại module thu thập nhật ký khi băng
thông bị giới hạn hoặc đường truyền đứt.Và khả năng lưu trữ Log
với số lượng lớn, hỗ trợ việc phân tích file Log theo thời gian thực.
 Khả năng tự động xác định các nguồn tạo Log (tên các tài sản IT,
profile của ứng dụng...). Và phát hiện ra các lỗ hổng bảo mật của
các nguồn tạo Log và đưa ra cảnh báo ngay khi các lỗ hổng bảo mật
đó bị khai thác.
 Khả năng chuẩn hoá và so sánh tương quan các Log theo thời gian
thực cũng như các dữ liệu trong quá khứ nhằm cung cấp cho người
quản trị một bức tranh toàn cảnh về an ninh thông tin theo thời gian.
Tự động Update các Rules mới để đưa ra các xử lý kịp thời khi có
nguy cơ mất an toàn mạng.
2.1.1. Chức năng của các thiết bị
 Flow Collector
Đây là nơi thu thập các luồng dữ liệu từ mạng được giám sát. FC thường thu
nhận luồng dữ liệu từ các Switch hoặc các Router và các thiết bị đó được cấu hình
để có chức năng span port của Cisco hoặc sẽ sử dụng các Network Tab. Sau đó dữ
liệu cũng được nén, mã hóa và chuyển về FP xử lý thông qua cổng 22. CONSOLE
sẽ cấu hình cho FC lắng nghe ở cổng Ethernet được kết nối với Span port hoặc
Network Tab để thu thập luồng dữ liệu. Khả năng xử lý hiện tại trên hệ thống
GSANM đối với FC là 220000FPM. Network Tab là một thiết bị phần cứng để
truy cập dữ liệu lưu thông qua mạng máy tính, có vai trò giám sát lưu lượng mạng
giao thông giữa hai điểm mạng. Network Tab có it nhất 3 cổng: Cổng A, cổng B và
cổng màn hình, một tap sẽ được chèn vào giữa hai cổng A và B, nó sẽ cho tất cả
các lưu lượng mạng truy cập thông qua không bị cản trở và có một bản sao dữ liệu
đến cổng màn hình để nghe thông tin, thường được sử dụng cho các hệ thống phát
hiện xâm nhập, thiết bị thăm dò mạng và các thiết bị giám sát và thu thập, thường
được sử dụng trong các ứng dụng bảo mật vì nó không làm ảnh hưởng tới mạng và
khó bị phát hiện
 Flow Procesor
Đây là nơi xử lý luồng dữ liệu, FP nhận dữ liệu từ Flow Collector và xử lý
dựa trên các tập luật của FP. Sau đó, các cảnh báo sẽ được nó gửi lên CONSOLE
còn các sự kiện không đưa ra cảnh báo sẽ được lưu trữ tại FP và được quản lý dựa

20
trên giao diện web của CONSOLE. Thời gian lưu trữ các sự kiện này tùy thuộc vào
cấu hình thường là ba tháng.
 Event Collector
Là nơi thu thập nhật ký hệ thống, tiếp nhận các nhật ký hệ thống từ các thiết
bị, hoặc các ứng dụng gửi về. Tại đây nhật ký hệ thống sẽ được mã hóa, nén và gửi
về EP qua cổng 22. Sau đó nó sẽ được EP phân tích và xử lý.
Đối với EC có rất nhiều phương pháp lấy nhật ký hệ thống khác nhau VD:
Cài đặt Agent lên các máy tính cần thu thập và gửi nhật ký hệ thống đã được chỉ
định về cho EC. Tại CONSOLE người quản trị sẽ cấu hình cho EC thu nhận các
nhật ký hệ thống từ các Agent này. Sau đó các nhật ký hệ thống này sẽ được quản
lý dựa trên giao diện web của CONSOLE. EC chỉ có khả năng thu thập các sự kiện
mà không có khả năng thu thập các luồng dữ liệu. Với một thiết bị, dịch vụ như
IIS, thường có khoảng 20 sự kiện trên giây (20 EPS).
 Event Processor
Đây là nơi xử lý các sự kiện được gửi về từ Event Collector. Các sự kiện này
sẽ được xử lý thông qua các tập luật tại đây. Nếu là cảnh báo hoặc các sự kiện từ
các thiết bị an ninh đưa ra cảnh báo thì nó sẽ được gửi trực tiếp lên CONSOLE để
xử lý. Nếu là các sự kiện không đưa ra cảnh báo sẽ được lưu trữ tại đây mà không
chuyển lên CONSOLE.
Các sự kiện được lưu trữ tùy theo cấu hình của quản trị, thường là ba tháng
cho các sự kiện không đưa ra cảnh báo. Các nhật ký hệ thống không đưa ra cảnh
báo nó sẽ được quản lý qua giao diện web của CONSOLE.
 CONSOLE
Là nơi xử lý, lưu trữ các sự kiện an ninh được cảnh báo, các sự kiện này
được gửi lên từ Event Processor và Flow Processor. Ngoài ra tại đây còn chứa các
tập luật xử lý các dữ liệu, CONSOLE có khả năng hoạt động độc lập.
CONSOLE có hai giao diện, giao diện command line giúp người quản trị
cấu hình, xử lý các lỗi hệ thống... và giao diện web là nơi hiển thị các cảnh báo
cũng như các sự kiện thu thập được. Các cảnh báo sẽ được lưu trữ tùy vào cấu hình
quản trị trong bao lâu, thường là một năm cho mỗi hệ thống.
Năng lực hoạt động của CONSOLE tùy thuộc vào nhiều yếu tố như: Đường
truyền mạng, cấu hình phần cứng… thông thường hệ thống hoạt động với công
suất 1000EPS và 100000FPM. Khi hệ thống GSANM được thiết lập và cấu hình
thì CONSOLE sẽ tự động cấu hình tương ứng cho các thiết bị khác một cách chủ

21
động sau khi kết nối vào các thiết bị thông qua cổng 22. Từ đó các việc cấu hình
các thiết bị trong hệ thống GSANM có thể được thực hiện thông qua CONSOLE
bằng hai cách đó là qua giao diện Web với cổng 443 hoặc qua giao diện command
line.
2.1.2. Thông số kỹ thuật của các thiết bị chính
IBM Security QRadar đã cho ra hai dòng sản phẩm là Qradar M3 và Qradar
M4. Dòng sản phẩm Qradar M4 được IBM nâng cấp và cải tiến từ các thiết bị của
dòng sản phẩm Qradar M3, cùng với đó IBM đã cho ra các thiết bị mới hơn như:
Qradar 3128 (All-in-one), Qradar 3128 (Console), Qradar 1400 Data Node, Qradar
Flow Processor…
So sánh thiết bị trên 2 dòng sản phẩm để thấy được sự cải tiến:
Thông tin
Chỉ số
Qradar 3105 M3 Qradar 3105 M4
Giấy phép cơ bản 25,000 FPM
1000 EPS
Giấy phép nâng cấp Up to 5,000 EPS
Up to 200,000 FPM
Số thiết bị nguồn 750
Cổng giao diện
 Four 10/100/1000 Base-
T network monitoring
interfaces
 One 10/100/1000 Base-T
management interface
 Two 10/100/1000 Base-
T network monitoring
interfaces
 One 10/100/1000 Base-T
QRadar management
interface
 One 10/100 Base-T
integrated management
module interface
 Two 10 Gbps SFP +
ports
Bộ nhớ tạm thời 48 GB 64 GB 8x 8 GB 1600 MHz
RDIMM
Bộ nhớ lưu trữ
6.5 TB 9 x 3.5 inch 1 TB 7.2 K rpm
NL SAS, 9 TB total, 6.2 TB

22
usable (Raid 5)
Nguồn Dual Redundant 675W AC Power Supply
Kích thước 29.5" D x 19.2" W x 3.4" H 28.9" D x 16.9" W x 1.7 " H
Thành phần
Event Collector
Event Processor cho việc sử lý các luồng và sự kiện
Internal storage cho các luồng và sự kiện
Bảng 2.1: So sánh chi tiết phần cứng giữa 2 dòng sản phẩm trên cùng 1 thiết bị
Trên bảng 2.1 cho thấy được cả 2 thiết bị đều có thể xử lý cơ bản với tốc độ
25.000 FPM, 1000EPS và có thể mở rộng lên 200.000 FPM và 5000 EPS, cùng hỗ
trợ đến 750 thiết bị nguồn (có thể mở rộng thêm). Các thành phần nhúng vào bên
trong gồm có: Event Collector, Event Processor (cho việc phân tích cả sự kiện lẫn
luồng) và lưu trữ cục bộ.
Nhưng với những dòng sản phẩm M4 được nâng cấp lên với 64GB Memory
(với M3 là 48GB) và bộ nhớ lên tới 9TB (với M3 là 6.5TB). Thêm vào đó dòng
M4 được trang bị thêm 2 cổng 10Gbps SFP.
 Qradar (All in one)
o Qradar 2100 (All-in-one)
Thiết bị Qradar 2100 (All-in-one) là thiết bị duy nhất cho các tổ chức vừa và
nhỏ. Thiết bị cung cấp các giải pháp bảo mật tích hợp. Với giao diện trực quan, cấu
hình đơn giản nên Qradar 2100 nhanh chóng và dễ dàng triển khai. Ngoài ra
Qradar 2100 (All-in-one) tích hợp phiên bản nhúng QRadar QFlow Collector giúp
cho thiết bị có tầm nhìn mạng rộng hơn.
Các thiết bị như Firewall, IDS, Router, Switch hay một số thiết bị mạng
khác được kết nối trực tiếp đến Qradar 2100 để quản lý các sự kiện và đưa ra màn
hình giám sát.
Các tính năng:
- Bao gồm tất cả các khả năng (thu thập, lưu trữ, lập chỉ mục, tương
quan, quản lý hành vi phạm tội, phân tích và báo cáo) trong một thiết
bị cho một SIEM toàn diện.
- Hỗ trợ xử lý 1000 sự kiện trên 1 giây
- Hỗ trợ lên đến 50.000 luồng dữ liệu hai chiều mỗi phút
- Hỗ trợ 750 thiết bị nguồn, mở rộng đến hàng chục ngàn các nguồn
đăng nhập
- Bao gồm 1.5TB lưu trữ có thể sử dụng để duy trì dữ liệu lâu dài

23
- Hỗ trợ cổng 10/100 /1000 BASE-T kết nối để giám sát
- Hỗ trợ cổng 10/100 /1000 BASE-T để quản lý
- Nguồn điện dự phòng kép
- Nhúng phần cứng RAID 10 cho tính sẵn sàng cao, khả năng dự phòng
của hệ điều hành và lưu trữ.
- Lựa chọn để triển khai turnkey, tích hợp thiết bị HA.
Hình 2.1: Mô hình sản phẩm Qradar 2100
o Qradar 3105 (All-in-one)
Thông tin Chỉ số
Giấy phép cơ bản 1,000 EPS
25,000 FPM
Giấy phép nâng
cấp
Up to 5,000 ESP
Up to 200,000 FPM
Cổng giao diện
Two 10/100/1000 Base-T network monitoring interfaces
One 10/100/1000 Base-T QRadar management interface
One 10/100 Base-T integrated management module
interface
Two 10 Gbps SFP + ports
Số thiết bị nguồn 750
Bộ nhớ tạm thời 64 GB 8x 8 GB 1600 MHz RDIMM

24
9 x 3.5 inch 1 TB 7.2 K rpm NL SAS, 9 TB total, 6.2 TB
usable (Raid 5)
Nguồn Dual Redundant 675W AC Power Supply
Kích thước 29.5 inches sâu x 17.7 inches rộng x 2.4 inches cao
Thành phần
Event Collector
Event Processor cho việc sử lý các luồng và sự kiện
Internal storage cho các luồng và sự kiện
Bảng 2.2: Chi tiết phần cứng thiết bị Qradar 3105
QRadar 3100/3105 (All-In-One) dành cho các doanh nghiệp có quy mô lớn.
Có khả năng thu thập các sự kiên, các luồng dữ liệu trên onboard và tương quan
chúng. Có thể mở rộng bộ xử lý cá sự kiện, luồng dữ liệu đồng thời kết hợp với
việc phân tích chúng. Cùng với đó được tích hợp thêm Event Collector, Event
Processor.
Các kiến trúc thiết bị Qradar mô hình dễ triển khai, khả năng mở rộng thông
qua việc sử dụng các sự kiện và các thiết bị dòng vi xử lý phân tán.
Thiết bị Qradar 3105 chức năng cũng giống Qradar 2100. Các tường lửa, hệ
thống phát hiện xâm nhập (IDS), thiết bị mạng như Router, Switch được kết nối
trực tiếp vào thiết bị. Hoặc trong mô hình triển khai phân tán như hình 2.2 sẽ được
đặt thêm thiết bị Collector phục vụ tối ưu việc thu thập các sự kiện và luồng, từ
Collector sẽ chuyển các sự kiện thu được đến thiết bị Qradar 3105 (console).
Các tính năng chính:
- Bao gồm bộ nhớ 3TB (đối với thiết bị 3100) hoặc 6.2 TB (đối với thiết
bị 3105) sử dụng trên on-board cho việc lưu trữ dài hạn.
- Hỗ trợ Fibre Channel tích hợp với mạng khu vực lưu trữ (đối với 3100
Appliance).
- Hỗ trợ 750 thiết bị nguồn, mở rộng đến hàng chục ngàn các nguồn đăng
nhập.
- Nguồn điện dự phòng kép.
- Nhúng phần cứng RAID 10 (đối với thiết bị 3100) hoặc RAID (đối với
thiết bị 3105) cho tính sẵn sàng cao và khả năng dự phòng của hệ điều
hành và lưu trữ.
- Hỗ trợ 5000 sự kiện mỗi giây (hoàn toàn tương quan), mở rộng đến hàng
chục ngàn sự kiện mỗi giây khi kết hợp với 1601/1605 Event Processor.

25
- Hỗ trợ lên đến 200.000 luông dữ liệu 2 chiều mỗi phút (hoàn toàn tương quan),
mở rộng đến hàng triệu dòng chảy mỗi phút khi kết hợp cùng 1701 Flow
Processor.
Hình 2.2: Mô hình triển khai sản phẩm Qradar 3105
 QFlow Collector
o QRadar QFlow Collector 1201
Băng thông 1 Gbps
Cổng giao diện
Five 10/100/1000 Base-T network monitoring interfaces
One 10/100 Base-T integrated management module interface
Bộ nhớ tạm thời 16 GB, 4 x 4GB 1600 MHz RDIMM
Bộ nhớ lưu giữ 2 x 2.5 inch 600 GB 10 K rpm SAS, 600 MB total (Raid 1)
Nguồn Dual Redundant 550 W AC
Bao gồm QRadar QFlow Collector

26
Bảng 2.3: Chi tiết phần cứng thiết bị Qradar QFlow Collector 1201
Thiết bị QFlow Collector có lưu lượng mạng với tốc dộ 1Gbps kết hợp với
giao diện card mạng các loại và trang bị 16GB Memory phục vụ cho viêc truyền
tải và thu thập các luồng dữ liệu một các liệu quả.
- QRadar 1101 QFlow Collector: hiệu quả chi phí để theo dõi các địa
điểm từ xa hoặc kết nỗi mạng internet với băng thông thấp.
- QRadar 1201 QFlow Collector: Cung cấp các thiết bị thu thập tầm
trung cho các kết nối Gigabit Ethernet.
- QRadar 1202/1301/1302 QFlow Collector: Đa cổng linh hoạt kết nối
cáp quang. Tích hợp cho việc thu thập và giám sát ở mức độ cao của
một doanh nghiệp.
 QFlow Processor
o QRadar Flow Processor 1705
Giấy phép cơ bản 100,000 FPM
Giấy phép nâng cấp 600,000 FPM, depending on traffic types
Cổng giao diện
interface
usable (Raid 5)
Nguồn Dual Redundant 750 W AC
Thành phần bao
gồm
Flow processor
Bảng 2.4: Chi tết phần cứng thiết bị Qradar QFlow processor 1705
Các tính năng phổ biến:
- Thiết bị được triển khai với mô hình phân tán, hỗ trợ mở rộng với quy
mô lớn.

27
- Bộ nhớ Memory 64GB.
Tính năng của thiết bị 1701/1705:
- Hỗ trợ lên đến 600.000 luồng dữ liệu 2 chiều mỗi phút (hoàn toàn
tương quan) cho mỗi thiết bị, sử dụng cho mô hình triên khai tập trung
mở rộng lên đến hàng triệu sự kiện mỗi giây.
- Bao gồm 3TB lưu trữ duy trì dữ liệu.
- Phần cứng nhúng RAID 10 cho tính sẵn sàng cao, khả năng dự phòng
- Hỗ trợ Fibre Channel cho việc tích hợp với mạng khu vực lưu trữ.
Tính năng của thiết bị 1724:
- Hỗ trợ lên đến 1.200.000 luồng dữ liệu 2 chiều mỗi phút (hoàn toàn
tương quan) cho mỗi thiết bị, sử dụng cho mô hình triên khai tập trung
mở rộng lên đến hàng triệu sự kiện mỗi giây.
 Event Collector
o QRadar Event Collector 1501
Số sự kiện / 1 giây 15,000 EPS
Băng thông 1 Gbps
Cổng giao diện
Five 10/100/1000 Base-T network monitoring interfaces
interface
Bộ nhớ tạm thời 16 GB, 4 x 4GB 1600 MHz RDIMM
Bộ nhớ lưu trữ 2 x 2.5 inch 600 GB 10 K rpm SAS, 600 MB total (Raid 1)
Nguồn điện Dual Redundant 550 W AC
Thành phần bao Event Collector

28
gồm
Bảng 2.5: Chi tiết phần cứng thiết bị QRadar Event Collector 1501
Tính năng của thiết bị:
- Thiết bị có thể thu thập được 15.000EPS với lưu lượng mạng 1Gbps.
- Bộ nhớ Memory 16Gb.
- Bộ nhớ lưu trữ 600GB.
- Có các card mạng phục vụ cho việc giám sát, quản lý truyền tải.
 Event Processor
Giấy phép cơ bản 2,500 EPS
Giấy phép nâng
cấp
20,000 EPS
Cổng giao diện
interface
usable
(Raid 5)
Nguồn điện Dual Redundant 750 W AC
Thành phần
Event Collector
Event Processor
Bảng 2.6: Chi thết phần cứng thiết bị Qradar Event Processor 1605
Các tính năng phổ biến:
- Thiết bị được triển khai với mô hình tập trung, hỗ trợ mở rộng với quy
mô lớn.
Tính năng của 1601:

29
- Hỗ trợ lên đến 10.000 sự kiện mỗi giây (hoàn toàn tương quan) cho
mỗi thiết bị, sử dụng cho mô hình triên khai tập trung mở rộng lên đến
hàng chục ngàn sự kiện mỗi giây.
- Bao gồm 3TB lưu trữ duy trì dữ liệu
- Bao gồm 6.2TB lưu trữ duy trì dữ liệu.
2.2. Các giải pháp triển khai
Qradar SIEM là một giải pháp mềm dẻo phù hợp với các doanh nghiệp lớn,
cũng như với các doanh nghiệp vừa và nhỏ. Qradar SIEM có thể được triển khai
theo hai giải pháp đó là: giải pháp tập trung và giải pháp phân tán.

30
2.2.1. Giải pháp tập trung
Hình 2.3: Mô hình triển khai giải pháp tập trung
Mô hình hệ thống GSANM tập trung như hình 2.3 chỉ có một thiết bị duy
nhất đó là CONSOLE (All in One). Thiết bị đã được tích hợp sẵn các thiết bị EP,
FP, EC, FC. Nhật ký hệ thống và luồng dữ liệu được gửi trực tiếp lên thiết bị này
mà không cần thông qua các thiết bị đó.
CONSOLE có khả năng hoạt động độc lập và có chức năng tương ứng với
tất cả các thiết bị kia. Do vậy, khi nhật ký hệ thống được gửi về thì CONSOLE sẽ
xử lý và trực tiếp hiển thị lên giao diện Web. Hệ thống này chỉ thích hợp cho các
mạng nhỏ và vừa như các ngân hàng hoặc các doanh nghiệp nhỏ và không cần đầu
tư quá lớn về nhân lực và trang thiết bị.

31
2.2.2. Giải pháp phân tán
Hình 2.4: Mô hình triển khai giải pháp phân tán
Hệ thống GSANM phân tán được xây dựng theo quy mô lớn về thiết bị và
con người. Các EC và FC có thể được đặt ở rất nhiều mạng khác nhau, và năng lực
hoạt động của hệ thống được tính toán kỹ lưỡng sao cho khả năng xử lý của các
thiết bị đáp ứng được nhu cầu hệ thống mà không bị quá tải. Để thu thập nhật ký
hệ thống từ các thiết bị hay ứng dụng trước hết EC phải kết nối đến các thiết bị
hoặc ứng dụng đó. Sau đó tùy theo các dạng ứng dụng hay thiết bị mà cách cấu
hình lấy nhật ký hệ thống sẽ khác nhau. Nhưng điều tối thiểu nhất đó là các thiết bị
phải được kích hoạt chế độ lưu nhật ký hệ thống.
Với các ứng dụng thì các file nhật ký hệ thống đã có định dạng sẵn, chế độ
lưu nhật ký hệ thống dễ dàng được kích hoạt và lưu vào một thư mục nào đó trên
máy tính. EC sẽ được cung cấp tài khoản, trao quyền truy cập vào thư mục và đọc
các nhật ký hệ thống đó, sau đó nhật ký hệ thống này sẽ được chuyển về EC. Tuy
nhiên, có những thiết bị không cho phép thu thập nhật ký hệ thống như cách trên
VD: Firewall Checkpoint, IPS, … thì các thiết bị này luôn có các tính năng
“Forward Log” cho server nên khi cấu hình thu thập nhật ký hệ thống người quản
trị buộc phải sử dụng phương pháp này.

32
Đối với FC, thiết bị này sẽ được kết nối vật lý với các Switch hỗ trợ Span
port và dữ liệu sẽ được gửi về FC thông qua span port. Nhật ký hệ thống sau khi
được EC và FC thu thập sẽ được nén, mã hóa và gửi về cho EP và FP tương ứng
thông qua giao thức SSH cổng 22, các nhật ký hệ thống này được xử lý tại EP và
FP và gửi lên CONSOLE những cảnh báo cần thiết, CONSOLE sẽ hiển thị chúng
lên giao diện web thông qua cổng 443.
Như vậy hệ thống GSANM phân tán là một quá trình xuyên suốt từ việc thu
thập nhật ký hệ thống hay luồng dữ liệu tới EC, FC sau đó nhật ký hệ thống được
chuyển tiếp về EP và FP rồi gửi đến CONSOLE và hiển thị lên giao diện web.
Toàn bộ quá trình này đều được nén và mã hóa để đảm bảo không bị lộ khi có tấn
công xảy ra. Một đặc điểm đáng chú ý khác nữa là khi kết nối giữa các thiết bị
được thiết lập thì toàn bộ hệ thống được cấu hình qua thiết bị CONSOLE trên giao
diện web hoặc giao diện command line.
2.3. Cơ chế hoạt động chung của hệ thống
Trong giải pháp giám sát an ninh mạng của Qradar, Event Correlation
Service là dịch vụ cốtlõi chịu trách nhiệm cho việc thu thập các sự kiện và luồng
dữ liệu rồi sử lý các dữ liệu đó. ECS gồm 3 thành phần chính:
- Event collector component
- Event processorcomponent
- Magistrate
Hình 2.5: Các thành phần của ECS

33
2.3.1. Event CollectorComponent
 Đối với Event
- Protocol: Nhận các dữ liệu đầu ra từ các giao thức mã nguồn Log mà
các giao thức đó được Qradar hỗ trợ trong việc thu thập các sự kiện từ các thiết bị
nguồn.
- Throttle: Giám sát số lượng sự kiện và lưu vào hệ thống để quản lý
cấp phép đầu vào. Qradar sẽ cho phép lưu lượng các sự kiện đầu vào của mỗi thiết
bị là bao nhiêu.
- Parsing: Lấy các sự kiện từ các thiết bị nguồn và phân tích.
- Log source traffic analysis & auto discovery: Áp dụng phân tích dữ
liệu các sự kiện. Khi thu thập các trường sự kiện trên các thiết bị khác nhau,
Qradar sẽ bóc tách các trường đó thành một chuẩn chung.
- Coalescing: Sự kiện được phân tích sau đó kết hợp lại dựa trên các
loại sự kiện phổ biến. Khi 4 sự kiện được nhìn thấy với cùng một nguồn IP, IP
đích, cổng đích và Tên truy nhập, các thông điệp tiếp theo cho đến 10 giây của
cùng một khuôn mẫu được kết hợp lại với nhau. Điều này được thực hiện để giảm
trùng lặp dữ liệu được lưu trữ.
- Event forwarding: Áp dụng quy tắc định tuyến cho hệ thống, chẳng
hạn như gửi các tín hiệu đến các thiết bị ngoại vi, hệ thống SysLog bên ngoài, hệ
thống JSON, hệ thống SIEM khác… Ở đây dữ liệu sẽ được chuyển đến Processor.
 Đối với Flow
- Luồng trùng lặp: là quá trình loại bỏ các trùng lặp khi nhiều luồng
QFlow giống nhau được thu thập cung cấp dữ liệu cho thiết bị xử lý luồng.
- Kết hợp bất đối xứng: Chịu trách nhiệm về kết hợp luồng bên trong và
ngoài khi dữ liệu được cung cấp không đối xứng. Quá trình này có thể nhận ra các
luồng từ mỗi bên và kết hợp chúng vào trong một bản ghi. Tuy nhiên, đôi khi
không tồn tại dữ liệu ở hai bên.
- Throttle: Giám sát số sự kiện và lưu vào hệ thống để quản lý cấp phép
đầu vào.
- Chuyển tiếp: Áp dụng quy tắc định tuyến cho hệ thống, chẳng hạn
như gửi các tín hiệu đến các thiết bị ngoại vi, hệ thống SysLog bên ngoài, hệ thống
JSON, hệ thống SIEM khác…

34
2.3.2. Event ProcessorComponent
- Custom Rules Engine: Chịu trách nhiệm xử lý các sự kiện nhận được
từ Qradar và so sánh chúng với các luật, duy trì theo dõi các hệ thống có liên quan
đến sự kiện theo thời gian. Tạo ra các thông báo cho người dùng và các vi phạm.
- Host profile: Chịu trách nhiệm giải quyết các thông tin tài sản từ luồn
dữ liệu thụ động. Luồng cung cấp thông tin về hoạt động mạng và cho phép Qradar
xây dựng một cơ sở dữ liệu về tài sản.
- Streaming: Chịu trách nhiệm cho việc gửi dữ liệu sự kiện thời gian
thực đến Console khi người dùng đang xem các sự kiện từ tab Log Activity với
thời gian thực.
- Storage: Theo thời gian cơ sở dữ liệu các sự kiện và luồng được lưu
trữ theo từng phút. Dữ liệu được lưu trữ nơi sự kiện được xử lý. Những sự kiện đi
vào thiết bị, chúng được xử lý bởi ECS và được lưu trữ cục bộ trên thiết bị trong
giai đoạn lưu trữ của ECS. Khi thu thập Log từ các Collector, các Log được cho là
an toàn và không an toàn (có sự tấn công) sẽ được lưu trữ tại Ariel máy chủ
Processor. Riêng Log không an toàn (có sự tấn công) sẽ được lưu trữ tại Ariel của
Console.
2.3.3. Magistrate
Magistrate Processing Core (MPC) Chịu trách nhiệm tương quan giữa các
hành vi vi phạm với các sự kiện được gửi từ nhiều Event Processor. Chỉ có
Console mới có thành phần Magistrate
- Offensesrules: Giámsátvàtác độngđếncác sự kiện vi phạm, chẳng hạn
như tạo ra các thông báo emai khi có các sự kiện vi phạm các quy tắc được để ra.
- Offense management: Cập nhật, quản lý các hành vi vi phạm. Tiếp
cận các hành vi vi phạm để đưa cho người sử dụng các thông tin về vi phạm qua
Tab Offenses.
- Offense storage: Ghi dữ liệu hành vi vi phạm đến một cơ sở dữ liệu.
Cơ sở dữ liệu trên Console thường lưu dữ các sự kiện vi phạm.
2.4. Kết luận
Trong chương này, đồ án đã giới thiệu về chức năng, các giải pháp và cơ chế
hoạt động của các thành phần trong Qradar SIEM. Cũng như phân tích một số
dòng thiết bị của Qradar. Chương sau, sẽ giới thiệu việc triển khai và cài đặt các
thiết bị trong hệ thông Qradar SIEM.

36
CHƯƠNG 3: QUY TRÌNH TRIỂN KHAI HỆ THỐNG QRADAR SIEM
3.1. Giải pháp triển khai
Các giải pháp triển khai cho một hệ thống giám sát an ninh mạng được trình
bày cụ thể trong chương 2. Về việc lựa chọn các giải pháp triển khai, phụ thuộc
nhiều yếu tố để phù hợp cho từng hệ thống mạng của các cơ quan đơn vị, các
doanh nghiệp…
Trong chương này, hệ thống Qradar được chọn sẽ triển khai theo mô hình
giải pháp phân tán. Giải pháp triển khai theo mô hình phân tán thuận lợi khi triển
khai một mô hình lớn về giám sát an ninh mạng. Trong đó, thành phần, hệ thống
trung tâm được đặt tại trung tâm giám sát an ninh mạng và các thành phần thu thập
dữ liệu được đặt tại các cơ quan, đơn vị, doanh nghiệp … cần được giám sát.
Hình 3.1: Mô hình phân tán
Về các ưu điểm khi triển khai mô hình này, có thể thấy về chi phí sẽ giảm
thiểu nhiều so với việc xây dựng từng hệ thống riêng lẻ cho các hệ thống mạng
được giám sát. Thêm vào đó, khi hệ thống xử lý tập trung, sẽ đúc kết, học hỏi lẫn
nhau giữa các hệ thống mạng, giúp cho việc giám sát có hiệu quả hơn.
Về quá trình cài đặt, các thành phần thu thập log được đặt tại các hệ thống
mạng được giám sát, sau đó dữ liệu được mã hóa và chuyển về thành phần xử lý
đặt ở trung tâm giám sát an ninh mạng. Hệ thống được quản lý và giám sát thông
qua thành phần quản lý tập trung.

37
Như vậy, để triển khai mô hình này, cần xây dựng, cài đặt 03 thành phần
chính: 01 thành phần quản lý CONSOLE, 01 thành phần xử Event Processor, 01
thành phần thu thập dữ liệu Event collector.
3.2. Quy trình triển khai hệ thống QRADAR SIEM
Hình 3.2: Quy trình triển khai giám sát an ninh mạng
Bước 1: Ký kết thỏa thuận phối hợp giữa mạng được giám sát và trung tâm
giám sát an ninh mạng. Đây là cơ sở để thực hiện giám sát an ninh mạng cho hệ
thống giám sát phân tán. Trên thỏa thuận sẽ nêu rõ các điều kiện, trách nhiệm của
các bên trong hệ thống giám sát an ninh mạng. Dựa trên các quy định đó, quá trình
giám sát an ninh mạng và xử lý sự cố sẽ được thực hiện.
Bước 2: Đánh giá sơ bộ hệ thống mạng được giám sát. Sau khi có thỏa thuận
được ký kết, Trung tâm giám sát an ninh mạng sẽ tiến hành đánh giá sơ bộ hệ
thống mạng CNTT của mạng được giám sát. Quá trình đánh giá sơ bộ bao gồm về
trang thiết bị an ninh, hệ thống ứng dụng, dịch vụ trên hệ thống mạng. Lưu lượng
mạng sử dụng thực tế… Từ đó tính toán và lập kế hoạch cho việc giám sát an ninh
mạng.
Bước 3: Kiến nghị, đề xuất. Dựa trên các đánh giá sơ bộ, sẽ đưa ra các đề
xuất cho hệ thống mạng được giám sát. Về các thiết bị an ninh cần bổ sung, về việc
quy hoạch hạ tầng mạng, việc vận hành hệ thống …. Để nâng cao hiệu quả việc
giám sát và tăng cường an ninh mạng.

38
Bước 4: Lập kế hoạch triển khai và triển khai. Sau khi đưa ra các khiến nghị,
kế hoạch giám sát an ninh mạng được lập chi tiết cấu hình và các thức thu thập dữ
liệu trong hệ thống mạng. Kế hoạch này sẽ được gửi cho phía mạng được giám sát
an ninh mạng xem xét trước. Sau đó, quá trình triển khai giám sát an ninh mạng sẽ
được tiến hành.
Bước 5: Giám sát an ninh mạng. Sau khi hệ thống được triển khai, quá trình
giám sát an ninh mạng được thực hiện. Thông thường giám sát an ninh mạng được
thực hiện 24/7, nhưng việc thực hiện giám sát an ninh mạng sẽ phụ thuộc vào thỏa
thuận được 2 bên ký kết.
Trong phần thực hiện triển khai này, sẽ tập trung vào việc cài đặt và cấu
hình 03 thiết bị là : Console, event processor và event collector (bước 4). Quá trình
cài đặt được thực hiện như sau:
Sử dụng phần mềm file ISO cài đặt lên hệ thống máy ảo. Thành phần quản lý
và xử lý trung tâm Console và thành phần xử lý sự kiện Event processor đặt tại
trung tâm giám sát an ninh mạng.
Event collector là thành phần thu thập Log được cài đặt ở phía mạng được
giám sát. Các sự kiện cảnh báo và hệ thống Log theo thời gian thực được chuyển
lên màn hình Monitor, nơi các chuyên gia giám sát an ninh mạng phân tích các dữ
liệu thu thập được.
Hình 3.3: Mô hình triển khai
Bước 1: Cài đặt phần mềm máy ảo Vmware lên máy tính. Trên phần mềm
máy ảo Vmware tạo máy tính mới và chọn hệ điều hành là Red hat enterprise 6

39
(64bit). Dung lượng ổ cứng 200G, tối thiểu 8G RAM và 4 core, chọn file ISO để
cài đặt bắt đầu quá trình cài đặt.
Chọn “Typical” rồi ấn “Next” khi đó sẽ ra hộp thoại tiếp theo để chọn hệ
điều hành cần cài đặt, chọn hệ điều hành “Linux” version sẽ chọn Red Hat
Enterprise Linux 6 (64 bit). Sau đó, đến phần thiết lập cấu hình phần cứng cho máy
ảo. Đầu tiên là bộ nhớ cứng của máy sau đó là thiết lập Ram, Processor nhân của
hệ điều hành.

40
Bước 2: Màn hình chào mừng bắt đầu quá trình cài đặt, chọn Install or
upgrade using VGA console.
Hình 3.4: Màn hình chào mừng
Bước 3: Chọn Skip để bỏ qua bước kiểm tra
Cấu hình các bước tiếp theo

NGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTT

NGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTT

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a NGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTT

Semelhante a NGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTT (20)

Mais de YenPhuong16

Mais de YenPhuong16 (20)

Último

Último (20)

NGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTT