Giải pháp quản lý thông tin và sự kiện an toàn thông tin

Sự cần thiết 

Hiện nay, khi hệ thống CNTT ngày càng trường thành, lớn hơn và phức tạp hơn thì việc theo dõi, phân tích và phản ứng lại các sự cố về an toàn thông tin là hết sức quan trọng. Tuy nhiên người quản lý hệ thống đang gặp phải một số khó khăn sau:

• Bị “tràn ngập” bởi các thông tin nhật ký được sinh ra từ nhiều hệ thống nên một số thông tin cảnh báo quan trọng có thể bị bỏ qua, không được xử lý kịp thời;
• Việc điều tra về nguồn tấn công, đích tấn công, nguyên lý tấn công,…thường phải làm thủ công, mất nhiều thời gian và công sức nhưng lại không có hiệu quả kịp thời;
• Bị hạn chế, không có khả năng theo dõi, đánh giá tổng thể về vấn đề an ninh đang diễn ra trong hệ thống;
• Thường gặp các cảnh báo giả về sự cố;
• Thông tin cảnh báo xuất hiện đơn lẻ trên các hệ thống độc lập như Firewall, IDS/IPS, OS System,…, khó có được cái nhìn tổng quát để trả lời các câu hỏi:
  • Cái gì đang xảy ra?
  • Ở đâu?
  • Lúc nào?
  • Ai gây ra?
  • Xảy ra như thế nào?
• Có quá nhiều các định dạng nhật ký, gây khó khăn trong việc phân tích;
• Việc lưu trữ các thông tin cảnh báo không đồng đều, tập trung, lúc thừa lúc thiếu;
• …

Hơn nữa các tổ chức hiện này còn phải tuân thử theo các quy định, chính sách về An toàn thông tin được Chính phủ ban hành như luật an toàn thông tin, nghị định về đảm bảo an toàn hệ thống thông tin theo cấp độ…Trong đó đều nêu ra yêu cầu về quản lý nhật ký và giám sát an toàn hệ thống thông tin.

Giải pháp quản lý thông tin và sự kiện an ninh - Micro Focus ArcSight SIEM

Micro Focus ArcSight SIEM là giải pháp hàng đầu thế giới cho phép tổ chức giải quyết các khó khăn; đáp ứng yêu cầu về quản lý nhật ký và giám sát an toàn hệ thống thông tin nêu trong các quy định, chính sách An toàn thông tin nêu trên.

Các lợi ích chính giải pháp mang lại:

• Thiết lập giải pháp lưu trữ và quản lý nhật ký nhanh chóng, hiệu quả:
  • Thiết lập việc ghi nhận nhật ký an ninh trên các hệ thống CNTT quan trọng như hệ thống mạng, máy chủ, ứng dụng, cơ sở dữ liệu và các hệ thống đảm bảo an toàn thông tin.
  • Quản lý tập trung toàn bộ dữ liệu nhật ký an ninh trên các hệ thống CNTT quan trọng thay vì đang quản lý rời rạc và không đồng bộ trên từng hệ thống riêng biệt.
  • Thực hiện quản lý truy cập, đảm bảo tính toàn vẹn cho dữ liệu nhật ký.
  • Khai thác và báo cáo định kỳ về các vấn đề an ninh.
• Theo dõi và giám sát sự cố an toàn thông tin: cho phép thực hiện theo dõi, giám sát nhằm nhanh chóng đưa ra giải pháp xử lý và hạn chế rủi ro đến mức thấp nhất cho tổ chức.
• Chia sẻ, báo cáo về tình hình an toàn thông tin theo yêu cầu với các bên thứ 3 có chức năng và thẩm quyền như Cục ATTT, VNCERT…

Các tính năng chính của giải pháp:

• Tính năng thu thập dữ liệu thông minh: ArcSight Connector là giao diện làm việc trực tiếp với các hệ thống cần thu thập và quản lý nhật ký. ArcSight Connector cung cấp các tính năng chính như:
  • Thu thập dữ liệu nhật ký từ các nguồn thiết bị, ứng dụng được ArcSight hỗ trợ bao gồm: thiết bị mạng, máy chủ, ứng dụng, cơ sở dữ liệu, các thiết bị đảm bảo an toàn thông tin, các ứng dụng chạy trên Cloud , các hệ thống Scada…
  • Thực hiện chuẩn hóa và phân loại nhật ký.
  • Kiểm soát băng thông và không gian lưu trữ thông qua khả năng chọn lọc dữ liệu nhật ký
  • Hợp nhất và lọc nhật ký theo yêu cầu bất kỳ nhằm loại bỏ những nhật ký không cần thiết, tối ưu hiệu năng xử lý, lưu trữ và đầu tư.
• Tính năng lưu trữ và quản lý thông tin an toàn thông tin: ArcSight Data Platform (ADP) là giải pháp quản lý nhật ký tập trung, cho phép hợp nhất thực hiện việc: tích hợp/thu thập, tìm kiếm, tạo báo cáo, đưa ra cảnh báo và phân tích đối với bất kỳ loại dữ liệu nhật ký nào. ArcSight ADP đóng vai trò là thành phần lưu trữ nhật ký tập trung, phục vụ mục đích quản lý, truy vấn, điều tra dữ liệu nhật ký trong thời gian dài. Một số tính năng chính như:
  • Khả năng xử lý cao: ArcSight ADP cho phép tìm kiếm hàng triệu sự kiện trong một giây, cho phép lưu trữ lên đến 120TB dữ liệu nhật ký chưa nén trên một thiết bị/máy chủ và khả năng thu thập xử lý lên tới 500GB log/day. Các thiết bị ArcSight ADP có thể chạy Cluster với nhau, trong đó giải pháp hỗ trợ cấu hình Cluster lên tới 40 thiết bị.
  • Dễ dàng điều tra, phân tích, truy vết các sự kiện an ninh: với khả năng thu thập và quản lý tập trung nhật ký từ các hệ thống, ArcSight ADP cho phép người quản trị dễ dàng tìm kiếm các thông tin liên quan đến một sự kiện an ninh xẩy ra, giúp nhanh chóng điều tra và làm rõ vấn đề an ninh thực tế đang diễn ra trong hệ thống. Việc phân tích, tìm kiếm các sự kiện an ninh có thể thực hiện đơn giản như trên Google với việc sử dụng từ khóa bất kỳ, hỗ trợ các gợi ý tìm kiếm, lưu và sử dụng các từ khóa tìm kiếm trước đây…etc.
  • Tối ưu chi phí và khả năng lưu trữ: ArcSight ADP cung cấp tính năng nén với tỷ lệ trung bình 10:1 đối với dữ liệu khi lưu trữ. Khách hàng có thể mở rộng khả năng lưu trữ của hệ thống thông qua việc triển khai thêm các thiết bị ADP theo mô hình dạng hình cây, chạy Cluster hoặc tích hợp với các hệ thống lưu trữ bên ngoài như: SAN, NAS.
  • Khả năng mở rộng không hạn chế: ArcSight ADP có thể mở rộng năng lực xử lý một cách dễ dàng thông qua mua thêm bản quyền (add-on license). Gói bản quyển cơ bản nhỏ nhất là 5GB log/ngày, và mỗi add-on license mở rộng 5GB log/day.
  • Cho phép tạo báo cáo an ninh: ArcSight ADP cung cấp sẵn các mẫu báo cáo cho phép người quản trị tạo báo cáo, thống kê về tình hình an ninh trong hệ thống. ArcSight ADP hỗ trợ đa dạng các loại định dạng báo cáo: HTML, PDF, CSV, Excel, MS Word, Interactive (iHTML), XML.
• Tính năng quản lý sự kiện an toàn thông tin: ArcSight ESM thực hiện công việc phân tích nâng cao, tạo báo cáo, đưa ra cảnh báo an nình và cung cấp công cụ cho phép xử lý các sự kiện an ninh được phát hiện. Các tính năng chính như:
  • Khả năng phân tích sự tương quan (ArcSight Correlation): ArcSight ESM cung cấp khả năng mềm dẻo và thông minh trong việc phân tích sự tương quan cho toàn bộ các Use-cases đối với các dữ liệu nhật ký. ArcSight cho phép phân tích sự tương quan đối với các mối đe dọa bên trong (Insider threat), các mối đe dọa ở vùng mạng biên (Perimeter threat) hay vấn đề tuân thủ trong hệ thống (regulatory compliance)… Khả năng phân tích sự tương quan của ArcSight chú ý đến sự chính xác, tự động phân loại, nhận dạng chính xác các mối đe dọa và các vấn đề liên quan đến việc tuân thủ của tổ chức gắn với các ngữ cảnh cụ thể. Hơn hết việc thực hiện phân tích sự tương quan được diễn ra theo thời gian thực và thực hiện trong bộ nhớ (memory) hệ thống. Tổ chức có thể dễ dàng thay đổi, tùy biến, tạo mới các luật tương quan nhằm giải quyết các yêu cầu thực tế khi sử dụng.
  • Tính năng theo dõi: ArcSight cho phép liên tục duy trì theo dõi trạng thái các vấn đề an ninh đang được quan tâm thông qua giao diện tập trung, Live và Theo thời gian thực. Giao diện theo dõi của ArcSight cung cấp rất trực quan, hiệu quả ở dạng đồ họa. Người dùng có thể tùy biến giao diện hiển thị để phù hợp theo yêu cầu, vai trò của mình ngay cả trong môi trường theo dõi cho nhiều khách hàng cùng lúc (MSSP) hoặc cho một khách hàng. Các tính năng theo dõi chính bao gồm:
    • Hiển thị các thông tin dữ liệu an ninh theo thời gian thực (real-time) và trong quá khứ (Historical) thông qua ArcSight Console hoặc ArcSight Web.
    • Khả năng mở rộng các tài nguyên, công cụ cho việc theo dõi dựa vào các tài nguyên có sẵn được xây dựng bởi ArcSight, đáp ứng theo yêu cầu của tổ chức.
    • Khả năng tùy biến các giao diện đồ họa theo dõi cùng với khả năng phân tích sâu (drill down) ngày trên giao diện theo dõi. Cho phép theo dõi các sự kiện theo vị trí địa lý (Geographic) và quản lý các giao diện theo dõi dựa theo vai trò chức năng người quản trị.
    • Chức năng theo dõi dạng Geographic và Network Map cho phép người quản trị duy trì theo dõi liên tục đến các khu vực có mức độ rủi ro cao.
  • Điều tra và xử lý sự cố an ninh: ArcSigh cung cấp sẵn và đầy đủ các công cụ phục vụ việc điều tra và xử lý các sự cố, cụ thể:
    • Hệ thống quản lý hồ sơ sự cố (Case management system): cho phép quản lý các sự cố an ninh được hệ thống cảnh báo, các khía cạnh quản lý hồ sơ như: trạng thái các hồ sơ sự cố an ninh như tổng số lượng hồ sơ sự cố, số lượng hồ sơ đang xử lý/đã xử lý xong/đang bị chậm/đã xử lý xong; ai đang được phân công xử lý sự cố; quản lý các thông tin liên quan đến việc xử lý sự cố của mỗi hồ sơ…
    • Cơ chế leo thang cảnh báo về sự cố an toàn thông tin khi không được xử lý phù hợp.
    • Hệ thống các công cụ cảnh báo, báo cáo
    • Tích hợp sẵn các công cụ cho việc điều tra như: Ping, TraceRouter, WhoIS, WebSearch, Use case, NSlookup, Send log, Customizable scripts. Người quản trị chỉ cần nháy chuột phải để lựa chọn và thực hiện lựa chọn các công cụ.
    • Dễ dàng tích hợp với các công cụ phân tích gói tin hay giải pháp của Hãng thứ 3
  • Báo cáo an ninh ArcSight Reporting: cung cấp tự động và toàn diện tính năng báo cáo về tình hình an ninh và trạng thái tuân thủ của hệ thống. Báo cáo của ArcSight liên kết các thông tin giữa hoạt động kinh doanh của tổ chức với các vấn đề thuộc về kỹ thuật; đánh giá xu thế & sự thay đổi, gia tăng về tình hình an ninh… Do đó dễ dàng cho tổ chức thực hiện việc đánh giá rủi ro và sử dụng cho các mục đích kiểm tra, kiểm toán. Các tính năng báo cáo như:
    • Cung cấp hơn 350 mẫu báo cáo mặc định cho phép ngay lập tức đáp ứng các yêu cầu về việc tạo báo cáo.
    • Cho phép tùy chỉnh, bổ sung các mẫu báo cáo dựa trên các báo cáo có sẵn hoặc tự định nghĩa.
    • Tự động lập lịch báo cáo và thực hiện.

Thông tin về PhanNam

Cty Phan Nam là đại lý phân phối trị giá trị gia tăng sản phẩm ATTT cho các hãng an ninh mạng hàng đầu thế giới Kaspersky, Check Point, Micro Focus, Sophos…Đồng thời chúng tôi cung cấp dịch vụ tư vấn thiết kế các hệ thống thông tin, tích hợp hệ thống; tư vấn thiết kế các hệ thống an toàn thông tin; các dịch vụ về An toàn thông tin: tư vấn đánh giá rủi ro an ninh mạng, kiểm định ATTT, tấn công trắc nghiệm hệ thống, xây dựng chính sách ATTT; các dịch vụ bảo trì và hỗ trợ kỹ thuật, quản trị hệ thống, nghiên cứu phát triển,…

Liên hệ: Phan Nguyên Vũ – (Giám đốc)

Mobile: 0902.622.858

Email: vupn@phannam.com.vn