Tổng quan về giải pháp IBM QRadar SIEM

Tổng quan về giải pháp IBM QRadar SIEM

July 4, 2019 | vietsunshine

Ngày nay, mạng tinh vi phức tạp hơn bao giờ hết và bảo vệ chúng khỏi những kẻ tấn công ngày càng độc hại và tinh vi là một nhiệm vụ không bao giờ kết thúc. Các tổ chức muốn cách bảo vệ khách hàng, tài sản trí tuệ và tránh sự gián đoạn kinh doanh cần chủ động giám sát môi trường của họ để có thể nhanh chóng phát hiện các mối đe dọa và phản ứng chính xác trước khi kẻ tấn công có thể gây thiệt hại.

IBM QRadar SIEM (Security Information and Event Management – Quản lý sự kiện và bảo mật thông tin) được thiết kế để cung cấp cho các nhóm bảo mật khả năng hiển thị tập trung vào dữ liệu bảo mật toàn doanh nghiệp và hiểu biết sâu sắc về các mối đe dọa ưu tiên cao nhất.

Bước đầu tiên, giải pháp sử dụng một lượng lớn dữ liệu trong toàn doanh nghiệp để cung cấp cái nhìn toàn diện về hoạt động trên khắp các môi trường tại chỗ và trên nền tảng đám mây. Khi dữ liệu được sử dụng, QRadar áp dụng trí thông minh bảo mật tự động, thời gian thực để phát hiện và ưu tiên nhanh chóng và chính xác các mối đe dọa. Cảnh báo có thể thực hiện cung cấp bối cảnh lớn hơn vào các sự cố tiềm ẩn, cho phép các nhà phân tích bảo mật phản ứng nhanh chóng để hạn chế tác động của kẻ tấn công. Không giống như các giải pháp khác, chỉ QRadar được xây dựng có mục đích để giải quyết các trường hợp sử dụng bảo mật và được thiết kế có chủ ý để dễ dàng mở rộng quy mô với sự tùy chỉnh giới hạn cần có.

Đạt được tầm nhìn toàn diện, tập trung

Mạng doanh nghiệp có thể trải rộng trên các môi trường CNTT truyền thống, công nghệ dưa trên đám mây và môi trường OT (operational technology), tất cả đều yêu cầu một số mức độ giám sát để bảo vệ hiệu quả tài sản, phát hiện chính xác các mối đe dọa và duy trì tuân thủ. Trước khi các nhóm bảo mật có thể bắt đầu phân tích dữ liệu để phát hiện và quản lý các mối đe dọa, trước tiên họ phải có khả năng hiển thị tập trung vào dữ liệu bảo mật khác nhau. QRadar cho phép các tổ chức đạt được khả năng hiển thị tập trung, toàn diện vào các môi trường im lặng bằng cách thu thập, phân tích cú pháp và chuẩn hóa cả dữ liệu nhật ký (log) và luồng (flow).

Giải pháp này bao gồm hơn 450 Mô-đun hỗ trợ thiết bị được xây dựng sẵn (Device Support Modules – DSM), cung cấp tích hợp cài đặt mặc định với các công nghệ thương mại sẵn có. Khách hàng có thể chỉ cần trỏ nhật ký vào QRadar và giải pháp có thể tự động phát hiện loại nguồn nhật ký và áp dụng DSM chính xác để phân tích và chuẩn hóa và dữ liệu nhật ký. Do đó, khách hàng của QRadar có thể ‘thức dậy’ và chạy nhanh hơn nhiều so với khách hàng của các giải pháp thay thế. Tích hợp bổ sung có thể dễ dàng được thêm vào thông qua các ứng dụng trong IBM Security App Exchange. QRadar cũng cung cấp DSM Editor đơn giản với giao diện người dùng đồ hoạ trực quan (GUI) cho phép các nhóm bảo mật dễ dàng xác định cách phân tích nhật ký từ các ứng dụng tùy chỉnh. Để giúp dễ dàng thiết lập cơ sở dữ liệu tài sản, cho phép các tổ chức xác định các tài sản hoặc phân đoạn mạng quan trọng, QRadar có thể kiểm tra dữ liệu lưu lượng mạng để tự động xác định và phân loại tài sản hợp lệ trên mạng dựa trên các ứng dụng, giao thức, dịch vụ và cổng mà họ sử dụng.

QRadar hỗ trợ nhiều công nghệ, ứng dụng và dịch vụ đám mây để giúp khách hàng có được tầm nhìn toàn diện vào hoạt động toàn doanh nghiệp. Khi dữ liệu này được tập trung, nó có thể được phân tích tự động để xác định các mối đe dọa đã biết, sự bất thường có thể chỉ ra các mối đe dọa chưa biết và rủi ro quan trọng có thể khiến dữ liệu nhạy cảm bị lộ.

Tự động hóa thông tin bảo mật để nhanh chóng phát hiện các mối đe dọa

QRadar SIEM được thiết kế để tự động phân tích và tương quan hoạt động trên nhiều nguồn dữ liệu bao gồm nhật ký, sự kiện, luồng mạng, hoạt động của người dùng, thông tin về lỗ hổng và thông tin về mối đe dọa để xác định các mối đe dọa đã biết và chưa biết.

IBM QRadar SIEM Tự động hóa thông tin bảo mật để nhanh chóng phát hiện các mối đe dọa_3

QRadar SIEM tương quan và phân tích thông minh nhiều loại thông tin, bao gồm các hoạt động sau:

  • Sự kiện bảo mật: Từ tường lửa (Firewall) , mạng riêng ảo (VPN), hệ thống phát hiện xâm nhập (IDS), hệ thống ngăn chặn xâm nhập (IPS), cơ sở dữ liệu và nhiều hơn nữa.
  • Sự kiện mạng: Từ thiết bị chuyển mạch (switch), bộ định tuyến (router), máy chủ (server) , máy chủ (host)và nhiều hơn nữa.
  • Bối cảnh hoạt động mạng: Bối cảnh ứng dụng lớp 7 (Layer 7 application) từ lưu lượng mạng và ứng dụng
  • Hoạt động trên đám mây: Từ các môi trường SaaS và Cơ sở hạ tầng dưới dạng Dịch vụ (IaaS), như Office365, SalesForce.com, Amazon Web Services (AWS), Azure và Google Cloud.
  • Bối cảnh người dùng và tài sản: Dữ liệu theo ngữ cảnh từ các sản phẩm quản lý truy cập và nhận dạng (identity and access management) và phần mềm do quét lỗ hổng.
  • Sự kiện điểm cuối: Từ event log của Windows, giải pháp Sysmon, EDR và hơn thế nữa.
  • Nhật ký ứng dụng: Từ các giải pháp hoạch định nguồn lực doanh nghiệp (ERP), cơ sở dữ liệu ứng dụng, ứng dụng SaaS và hơn thế nữa
  • Thông tin mối đe doạ (Threat intelligence): Từ các nguồn như IBM X-Force®

IBM QRadar SIEM Tự động hóa thông tin bảo mật để nhanh chóng phát hiện các mối đe dọa

QRadar bao gồm hàng trăm trường hợp sử dụng bảo mật được xây dựng trước, thuật toán phát hiện bất thường, quy tắc và chính sách tương quan thời gian thực để phát hiện các mối đe dọa đã biết và chưa biết. Khi các mối đe dọa được phát hiện, giải pháp tổng hợp các sự kiện bảo mật liên quan thành các cảnh báo đơn lẻ, được ưu tiên được gọi là các vi phạm (offenses). Hành vi phạm tội được tự động ưu tiên dựa trên cả mức độ nghiêm trọng của mối đe dọa và mức độ nghiêm trọng của các tài sản liên quan.

Trong mỗi hành vi phạm tội, các nhà phân tích bảo mật có thể thấy toàn bộ chuỗi hoạt động đe dọa từ một màn hình duy nhất. Từ đây, các nhà phân tích có thể dễ dàng đi sâu vào các sự kiện hoặc luồng mạng cụ thể để bắt đầu một cuộc điều tra, chỉ định hành vi phạm tội cho một nhà phân tích cụ thể hoặc đóng nó. Hành vi phạm tội được tự động cập nhật khi có hoạt động liên quan mới xảy ra để các nhà phân tích có thể xem thông tin cập nhật nhất tại bất kỳ thời điểm nào. Cách tiếp cận độc đáo này giúp các nhà phân tích bảo mật dễ dàng hiểu được các mối đe dọa quan trọng nhất trong môi trường bằng cách cung cấp cái nhìn sâu sắc từ đầu đến cuối về từng sự cố tiềm ẩn đồng thời giảm tổng âm lượng cảnh báo.

Phát hiện hoạt động của mạng, người dùng và ứng dụng bất thường

Khi những kẻ tấn công trở nên tinh vi hơn trong các kỹ thuật của chúng, việc phát hiện mối đe dọa đã biết không còn là đủ. Thay vào đó, các tổ chức cũng phải có khả năng phát hiện những thay đổi nhỏ trong hành vi của mạng, người dùng hoặc hệ thống có thể chỉ ra các mối đe dọa không xác định, chẳng hạn như người trong cuộc độc hại, thông tin bị xâm phạm hoặc fileless malware. QRadar chứa nhiều khả năng phát hiện bất thường để xác định những thay đổi trong hành vi có thể là chỉ số của một mối đe dọa chưa biết. Và khả năng độc đáo của QRadar để giám sát và phân tích lưu lượng ứng dụng Lớp 7 cho phép nó xác định chính xác hơn các bất thường mà các giải pháp khác có thể bỏ lỡ.

QRadar Network Insights

Bằng cách tùy chọn sử dụng QRadar Network Insights như một phần của việc triển khai SIEM, các tổ chức có thể hiểu rõ hơn về các hệ thống giao tiếp với nhau, ứng dụng nào có liên quan và thông tin nào được trao đổi trong các gói. Bằng cách tương quan thông tin này với hoạt động mạng, nhật ký và người dùng khác, các nhà phân tích bảo mật có thể phát hiện ra hoạt động mạng bất thường có thể là dấu hiệu của máy chủ bị xâm nhập, người dùng bị xâm phạm hoặc nỗ lực đánh cắp dữ liệu.

Trong khi QRadar mang tới nhiều quy tắc phát hiện hành vi và dị thường như cài đặt mặc định, các nhóm bảo mật cũng có thể tạo quy tắc riêng, cài đặt phát hiện bất thường và tải xuống 160 ứng dụng được xây dựng trước từ IBM Security App Exchange để tăng cường triển khai.

Quản lý tốt hơn việc tuân thủ với quy tắc, nội dung và báo cáo được xây dựng trước

QRadar cung cấp tính minh bạch, trách nhiệm và khả năng đo lường quan trọng đối với một tổ chức thành công trong việc đáp ứng các quy định và báo cáo về việc tuân thủ quy định. Giải pháp Khả năng tương quan và tích hợp các nguồn cấp dữ liệu tình báo mối đe dọa mang lại số liệu đầy đủ hơn để báo cáo về rủi ro CNTT cho kiểm toán viên. Hàng trăm báo cáo được xây dựng trước và các mẫu quy tắc có thể giúp các tổ chức dễ dàng giải quyết các yêu cầu tuân thủ của ngành hơn.

IBM QRadar SIEM Quản lý tốt hơn việc tuân thủ với quy tắc, nội dung, báo cáo

Hồ sơ tài sản mạng có thể được nhóm theo chức năng kinh doanh, ví dụ, các máy chủ tuân thủ kiểm toán tuân thủ Health Insurance Portability and Accountability Act (HIPAA) để giúp các nhóm dễ dàng báo cáo về hoạt động liên quan khi cần. QRadar có kinh nghiệm và nguồn lực cần thiết để giúp các tổ chức giải quyết rủi ro và phơi nhiễm theo quy định bằng cách cung cấp các gói tuân thủ cài đặt mặc định cho eneral Data Protection Regulation (GDPR), the Federal Information Security Management Act (FISMA), Sarbanes-Oxley (SOX), HIPAA, ISO 27001, Payment Card Industry Data Security Standard (PCI DSS) và hơn thế nữa. Các gói này được bao gồm miễn phí với một QRadar SIEM license và có sẵn trong IBM Security App Exchange.

Dễ dàng mở rộng quy mô với nhu cầu thay đổi

Kiến trúc linh hoạt, có thể mở rộng của QRadar được thiết kế để hỗ trợ cả các tổ chức lớn và nhỏ với nhiều nhu cầu khác nhau. Các tổ chức nhỏ hơn có thể bắt đầu với một giải pháp tất cả trong một có thể dễ dàng nâng cấp thành triển khai phân tán khi nhu cầu phát triển. Các tổ chức doanh nghiệp lớn hơn có thể triển khai các thành phần chuyên dụng để hỗ trợ các mạng phân tán, toàn cầu với khối lượng dữ liệu cao. Giải pháp QRadar SIEM bao gồm các thành phần sau: bộ thu sự kiện, bộ xử lý sự kiện, bộ thu lưu lượng, bộ xử lý luồng, nút dữ liệu (để lưu trữ chi phí thấp và tăng hiệu suất) và bảng điều khiển trung tâm. Tất cả các thành phần có sẵn như phần cứng, phần mềm hoặc thiết bị ảo. Tùy chọn phần mềm và thiết bị ảo có thể được triển khai tại chỗ, trong môi trường IaaS hoặc phân phối trên các môi trường lai.

Bất kể mô hình triển khai, các tổ chức có thể tùy chọn thêm tính sẵn sàng cao và bảo vệ khắc phục thảm họa ở đâu và khi cần để giúp đảm bảo hoạt động liên tục. Đối với các tổ chức tìm kiếm khả năng phục hồi kinh doanh, QRadar cung cấp chuyển đổi dự phòng tự động tích hợp và đồng bộ hóa toàn bộ đĩa giữa các hệ thống mà không cần thêm các sản phẩm quản lý lỗi của bên thứ ba. Đối với các tổ chức đang tìm kiếm bảo vệ và phục hồi dữ liệu, các giải pháp khắc phục thảm họa QRadar có thể chuyển tiếp dữ liệu trực tiếp, chẳng hạn như các luồng và sự kiện, từ hệ thống QRadar chính sang hệ thống song song thứ cấp được đặt tại một cơ sở riêng biệt.

Về IBM QRadar

BM QRadar SIEM là cốt lõi của IBM QRadar Security Intelligence Platform, áp dụng phân tích thông minh, tự động cho một lượng lớn dữ liệu bảo mật để cung cấp cho các nhà phân tích bảo mật cái nhìn sâu sắc có thể hành động trước các mối đe dọa quan trọng nhất, cho phép họ xử lý tốt hơn, nhanh hơn.

Nền tảng toàn diện này tập hợp quản lý nhật ký SIEM, phân tích mạng, quản lý lỗ hổng, phân tích hành vi người dùng, trí tuệ mối đe dọa và điều tra do AI cung cấp vào một nền tảng duy nhất được quản lý từ một giao diện duy nhất.

Why IBM Security?

IBM Security cung cấp một trong những danh mục đầu tư tích hợp và tiên tiến nhất về các sản phẩm và dịch vụ bảo mật doanh nghiệp. Danh mục đầu tư, được hỗ trợ bởi nghiên cứu và phát triển X-Force nổi tiếng thế giới, cung cấp thông tin bảo mật để giúp các tổ chức bảo vệ toàn diện con người, cơ sở hạ tầng, dữ liệu và ứng dụng của họ, cung cấp giải pháp quản lý truy cập và nhận dạng, bảo mật cơ sở dữ liệu, quản lý rủi ro, quản lý rủi ro , an ninh mạng và nhiều hơn nữa. Những giải pháp này cho phép các tổ chức quản lý hiệu quả rủi ro và triển khai bảo mật tích hợp cho thiết bị di động, đám mây, phương tiện truyền thông xã hội và các kiến trúc kinh doanh doanh nghiệp khác. IBM vận hành một trong những tổ chức nghiên cứu, phát triển và bảo mật lớn nhất thế giới, theo dõi hơn 60 tỷ sự kiện bảo mật mỗi ngày tại hơn 130 quốc gia và tập đoàn này nắm giữ hơn 3.700 bằng sáng chế bảo mật.

VietSunshine là nhà phân phối chính thức của IBM Security tại Việt Nam, vui lòng liên hệ để được tư vấn, báo giá và hỗ trợ tốt nhất.

Tags: ,