SIEM là nền tảng giảm sát tổng thể, đóng vai trò quan trọng, không thể thiếu trong hệ thống Trung tâm Điều hành An toàn thông tin (SOC) của một tổ chức, đơn vị
VIETTEL SECURITY INFORMATION & EVENT MANAGEMENT VCS – CYM
Security Information & Event Management
(SIEM) là gì?
SIEM là nền tảng giảm sát tổng thể, đóng vai trò quan trọng, không thể thiếu trong hệ thống Trung tâm Điều hành An toàn thông tin (SOC)
của một tổ chức, đơn vị.
Giải pháp cho phép thu thập, chuẩn hóa, lưu trữ và phân tích tương quan
toàn bộ log, các sự kiện ATTT mạng được sinh ra trong hệ thống CNTT
của tổ chức và cung cấp khả năng giám sát và phân tích dữ liệu vận hành
theo thời gian thực, có thể sử dụng giải pháp để tìm kiếm, giám sát,
phân tích và xem xét trực quan các dữ liệu máy do tất cả các thiết bị
khác nhau tạo ra.
Qua đó, giải pháp hỗ trợ tối đa các tổ chức, đơn vị trong việc nhanh
chóng phát hiện và xử lý những sự cố, nguy cơ về ATTT trong đơn vị.
Ưu điểm nổi bật
Giải pháp VCS - CyM là sản phẩm tự phát triển của Công ty An ninh
mạng Viettel. Sản phẩm có những ưu điểm, lợi thế như sau:
• Giám sát được tất cả các thành phần trong hệ thống CNTT của khách
hàng: Máy chủ, ứng dụng, thiết bị.
• Giám sát trong thời gian thực.
• Quản lý tập trung.
• Linh hoạt với nhiều mô hình tổ chức.
• Tri thức về ATTT được cập nhật liên tục.
• Được hỗ trợ bởi đội ngũ chuyên gia giàu kinh nghiệm.
• Kiến trúc triển khai mềm dẻo, dễ mở rộng theo quy mô của hệ thống.
Các tính năng chính của giải pháp VCS-CyM
Sử dụng những công nghệ hiện đại nhất, đạt tiêu chuẩn quốc tế, giải
pháp VCS - CyM hỗ trợ tối đa người dùng trong công tác vận hành, giám
sát hệ thống ATTT của tổ chức, đơn vị với các tính năng chính như sau:
Thu thập & chuẩn hoá dữ liệu
VCS - CyM thu thập nhật ký ATTT từ nhiều nguồn khác nhau (như máy
chủ, thiết bị, ứng dụng …) qua syslog, API, JDBC, WMI hoặc qua các
agent. Hệ thống phân tích loại bỏ các dữ liệu dư thừa, chuẩn hóa và phân
loại theo định dạng chung tối ưu hóa cho việc phân tích. Hệ thống cũng
cho phép lưu trữ nhật ký nguyên bản ban đầu phục vụ cho công tác điều
tra, truy vết sau này.
Tìm kiếm & điều tra
VCS - CyM cung cấp ngôn ngữ tìm kiếm thân thiện, hỗ trợ tìm kiếm các
event, alert dưới dạng biểu đồ trực quan. Các kết quả tìm kiếm có thể
trích xuất ra dưới dạng file (json, xlsx).
Tối ưu lưu trữ dữ liệu
Hệ thống lưu trữ dữ liệu được đánh chỉ mục, sao lưu đảm bảo không mất
mát dữ liệu, phục vụ cho quá trình điều tra, truy vết trong trường hợp
gặp sự cố. Hệ thống còn hỗ trợ phân chia chính sách lưu trữ với nhiều
loại không gian lưu trữ khác nhau giúp tối ưu hóa hiệu năng hoạt động
và tiết kiệm chi phí đầu tư cho việc lưu trữ.
Phát hiện tấn công theo thời gian thực
VCS - CyM cung cấp giao diện giám sát cảnh báo theo thời gian thực.
Các cảnh báo được sắp xếp thứ tự ưu tiên tùy thuộc vào độ nghiêm trọng
của loại tấn công cũng như mục tiêu bị tấn công. Việc thu thập, xử lý log,
phân tích đưa ra cảnh báo được thực hiện trong thời gian < 1 phút với
quy mô hệ thống khoảng 60,000 EPS.
Correlation
VCS - CyM cung cấp ngôn ngữ tìm kiếm thân thiện, hỗ trợ tìm kiếm các
event, alert dưới dạng biểu đồ trực quan. Các kết quả tìm kiếm có thể
trích xuất ra dưới dạng file (json, xlsx).
Cung cấp giao diện quản trị trực quan, thân thiện, đa dang về thông tin
và có thể tùy chỉnh theo nhu cầu sử dụng thực tế của khách hàng. Giao
diện cũng hỗ trợ việc quản lý nguồn log, cho phép thêm các thiết bị, ứng
dụng mới vào hệ thống để đảm bảo khả năng giám sát tức thì.
Dashboard trực quan, thân thiện
Quản lý workflow
VCS - CyM cung cấp một hệ thống quản lý ticket và workflow với khả
năng lưu trữ, truy vết lịch sử, quản lý vòng đời sự cố, hỗ trợ tối đa khách
hàng trong quá trình quản lý, vận hành và khai thác hệ thống ATTT.
Tự động cập nhật
Các phiên bản mới, bộ luật mới, tri thức mới luôn được cập nhật tự động,
giúp giám sát toàn diện hệ thống của khách hàng tự động.
Hỗ trợ nhiều thiết bị
VCS - CyM có sẵn bộ chuẩn hóa của hơn 100 loại ứng dụng, thiết bị phổ
biến. Với các loại ứng dụng, thiết bị mới hệ thống cung cấp sẵn giao diện
để thêm bộ chuẩn hóa một cách dễ dàng.
Mô hình hoạt động của giải pháp
Ba tầng xử lý dữ liệu trong mô hình kiến trúc của VCS-CyM
Tầng Data Source
Là nơi phát sinh dữ liệu ban đầu (raw data), có
khả năng thu thập toàn bộ dữ liệu từ những hệ
thống nằm trong hạ tầng CNTT như hệ
điều hành, các ứng dụng, giải pháp Anti-virus,
thiết bị mạng, thiết bị bảo mật Firewall,
Proxy, IPS/IDS, các truy cập của người dùng
hay người quản trị hệ thống CNTT của tổ chức.
Tầng SIEM Analysis
Là hệ thống phân tích dữ liệu thu thập được từ
Data Source, tại đây dữ liệu được chuẩn
hóa, làm mịn, phân loại và phân tích tương
quan theo nhiều chiều để phát hiện các
dấu hiệu, hành vi bất thường xuất hiện trong
hệ thống.
Tầng SIEM Console
Là hệ thống Front-End tương tác với người
dùng, giúp người dùng vận hành giám sát và
xử lý cảnh báo, vi phạm, hoặc tìm kiếm, điều
tra các thông tin từ hệ thống.
Mọi thông tin chi tiết liên hệ:
Mr. Nguyễn Đắc Hưởng (TỔNG CÔNG TY GIẢI PHÁP DOANH NGHIỆP VIETTEL)
Điện thoại: 0975.176.376 (zalo) - 0975.73.75.77
Email: huongnd2@viettel.com.vn - nguyendachuong@gmail.com
Website: http://giaiphapviettel.vn/