RealTech SOC-SIEM
Hệ Thống Giám Sát An Ninh Mạng Trực Tuyến


 1. Giới thiệu
 2. Để đánh giá về an toàn, an ninh thông tin của một cơ quan, tổ chức, thì việc thu thập, phân tích và lưu trữ các sự kiện an toàn thông tin (ATTT) từ các thiết bị, dịch vụ và ứng dụng như: Router, Switch, Firewall, IDS/IPS, Mail Security, Web Security, Anti-Virus, ứng dụng Mail, Web, cơ sở dữ liệu, hệ điều hành... là hết sức cần thiết. Tuy nhiên, số lượng sự kiện ATTT được tạo ra bởi các thiết bị an ninh và toàn bộ hệ thống là rất lớn, với các kiểu định dạng khác nhau và giá trị thông tin mang lại cũng khác nhau. Các thiết bị khác nhau phải tạo ra báo cáo ở các góc độ khác nhau về cùng một biến cố ATTT. Do đó, hệ thống phải thực hiện được các nhiệm vụ sau:

  • Phát hiện kịp thời các tấn công mạng xuất phát từ mạng diện rộng cũng như các tấn công xuất phát trong nội bộ.
  • Phát hiện kịp thời các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch vụ trong hệ thống.
  • Phát hiện kịp thời sự lây nhiễm mã độc trong hệ thống mạng, các máy tính bị nhiễm mã độc, các máy tính bị tình nghi là thành viên của mạng máy tính ma (botnet).
  • Giám sát việc tuân thủ chính sách an ninh trong hệ thống.
  • Giám sát được tình trạng vận hành (phần cứng, dịch vụ mạng) của hệ thống máy chủ
  • Cung cấp bằng chứng số phục vụ công tác điều tra sau sự cố.

  Vì vậy, hệ thống giám sát an ninh mạng trực tuyến là một công cụ hỗ trợ đắc lực cho người quản trị chủ động trong công tác quản trị Trung tâm dữ liệu (TTDL). Người quản trị sẽ được cảnh báo về các tình trạng hoạt động của toàn bộ TTDL (máy chủ, máy trạm, switch, ứng dụng/dịch vụ, ...) ngay tức thì khi xảy ra sự cố và người quản trị nắm bắt ngay lập tức tình trạng để tiến hành xử lý trước khi người dùng phàn nàn.
  Ngoài ra, nó còn là một hệ thống toàn vẹn dùng để chủ động giám sát và kiểm soát hệ thống hệ thống Trung tâm dữ liệu một cách trực tuyến. Hệ thống kết hợp giữa công cụ dò tìm xâm nhập máy chủ trái phép, công cụ dò tìm xâm nhập mạng trái phép, công cụ giám sát log file, công cụ quản trị thông tin và các sự kiện bảo mật.

 3. Giải pháp - sơ đồ vận hành

Bản quyền Hệ thống giám sát an ninh mạng trực tuyến (RealTech SOC-SIEM)

Tính năng chính:

a) Giám sát trực tuyến trạng thái hoạt động (Status) các thiết bị CNTT trong TTDL (Phần cứng, dịch vụ mạng, cổng mạng) và cảnh báo bằng email hoặc gửi thông tin đến APP di động hoặc gửi tin nhắn sms thông qua SMS service ngay (do chủ đầu tư chỉ định) lập tức đến người quản trị khi có sự cố xảy ra.

b) Giám sát trực tuyến tấn công và xâm nhập mạng trái phép (IDS): Giám sát các gói dữ liệu vào ra các cổng mạng (gateway) và cảnh báo bằng email hoặc gửi thông tin đến APP di động hoặc gửi tin nhắn sms thông qua SMS service ngay (do chủ đầu tư chỉ định) lập tức đến người quản trị. Hệ thống IDS giúp phát hiện kịp thời sự lây nhiễm mã độc trong hệ thống mạng, các máy tính bị nhiễm mã độc, các máy tính bị tình nghi là thành viên của mạng máy tính ma (botnet) và phát hiện kịp thời các tấn công mạng xuất phát từ mạng diện rộng cũng như các tấn công xuất phát trong nội bộ. Khả năng tích hợp sơ đồ/bản đồ để thuận tiện cho việc giám sát trực quan.

c) Giám sát tập trung và trực tuyến toàn bộ các bản ghi (Logs) từ tất cả các thiết bị mạng, máy chủ (Security information and event management - SIEM) từ đó cung cấp cho người quản trị công cụ tìm kiếm tốc độ cao để tìm kiếm các sự kiện quan trọng hoặc bất thường liên quan đến vấn đề an toàn và hoạt động của hệ thống (event) để chẩn đoán, giám sát tình hình hoạt động cũng như cung cấp các báo cáo giám sát trực tuyến để người quản trị nắm bắt được tình hình an toàn - an ninh của hệ thống trung tâm dữ liệu và tình hình sử dụng tài nguyên mạng có đúng chuẩn hay không để có các điều chỉnh kịp thời.

d) Giám sát trực tuyến xâm nhập hoặc truy cập hệ thống máy chủ trái phép hoặc có phép bằng cách cung cấp các thông tin bản ghi (Logs), giám sát việc đăng nhập máy chủ hoặc giám sát cài đặt phần mềm độc hại (rootkit) thay đổi thông tin hoặc cấu hình máy chủ (System file & Registry). Hệ thống sẽ gửi cảnh báo bằng email hoặc bằng APP di động hoặc SMS đến người quản trị (Thông qua SMS gateway của chủ đầu tư chỉ định) kịp thời tuỳ thuộc vào việc xác lập các thông tin bảo mật (Triggered).

e) Giám sát trực tuyến các kết nối đến và và đi (Cho phép hoặc không cho phép): Giữa tất cả các máy tính trong mạng nội bộ lẫn nhau; giữa tất cả máy tính trong mạng nội bộ với hệ thống mạng diện rộng (ĐTSLCD).

f) Giám sát trực tuyến bằng giao diện đồ hoạ tình trạng tấn công mạng, lây nhiễm mã độc từ hệ thống mạng bằng giao diện đồ hoạ (Global Attack MAP).

g) Nhận dạng tiến trình sạch hay bẩn: Thành phần trực tuyến nhận dạng tiến trình - thu thập tất cả các tiến trình (process) đang vận hành và các tập tin được sử dụng bởi tiến trình. Các tiến trình/tập tin này sẽ được kiểm tra sạch hay bẩn bằng bộ dữ liệu nhận dạng có sẵn hoặc tải lên các tổ chức an ninh mạng trên thế giới để lấy về các báo cáo liên quan. Với các động cơ dò tìm virus được tích hợp, các tiến trình và tập tin phụ thuộc sẽ được rà quét trực tuyến (realtime) và kiểm chứng bảo đảm an toàn. Khi các tiến trình và tập tin phụ thuộc có dấu hiệu bất thường (nhiễm virus), hệ thống GSANM sẽ cảnh báo bằng email hoặc gửi thông tin đến APP di động hoặc gửi tin nhắn sms thông qua SMS service ngay (do chủ đầu tư chỉ định) lập tức đến người quản trị.

h) Khả năng chia sẻ thông tin tự động dữ liệu về giám sát với Hệ thống tiếp nhận và xử lý dữ liệu giám sát của cấp trên: Các thông tin cảnh báo từ hệ thống giám sát tại đơn vị phải được cảnh báo trực tuyến tại hệ thống tại đơn vị và được đóng gói theo chuẩn Syslog hoặc JSON trên kênh mã hoá HTTPS và truyền đến Hệ thống tiếp nhận và xử lý dữ liệu giám sát cấp trên.

i) Không giới hạn số lượng node giám sát, không giới hạn lưu lượng phân tích logs hằng ngày.

k) Giao diện điều khiển: Tiếng Việt.

l) Cung cấp bằng chứng số phục vụ công tác điều tra sau sự cố.

m) Bao gồm: Bản quyền động cơ phát hiện tấn công mạng, mã độc online hoặc offline.