SIEM DASHBOARD12critical47high183medium2,341low[14:32:01] LOGIN FAILURE user=admin from 203.0.113.99 ×17[14:32:14] LATERAL MOVEMENT detected: workstation-42 → file-server[14:32:30] EXFIL ALERT: 4GB outbound to unfamiliar IP

SIEM và SOC

11 đọc tối thiểuBảo vệ

SIEM là hệ thống thần kinh trung tâm của các hoạt động bảo mật doanh nghiệp — nền tảng thu thập, liên kết và cảnh báo về các sự kiện bảo mật trên toàn bộ cơ sở hạ tầng của tổ chức. SOC là nhóm theo dõi SIEM. Sự kết hợp này xác định cách phát hiện và xử lý các sự cố bảo mật hiện đại.

Toàn bộ nội dung bài viết được cung cấp bằng tiếng Anh bên dưới.

SIEM (Quản lý sự kiện và thông tin bảo mật) là một danh mục nền tảng tổng hợp nhật ký từ khắp cơ sở hạ tầng CNTT của tổ chức, chuẩn hóa chúng, tương quan các sự kiện giữa các nguồn và đưa ra cảnh báo khi xuất hiện các mô hình quan ngại. SOC (Trung tâm điều hành bảo mật) là nhóm phản hồi các cảnh báo đó.

SIEM làm gì

  • Bộ sưu tập nhật ký. Nhập nhật ký từ tường lửa, điểm cuối, máy chủ, ứng dụng, dịch vụ đám mây, nhà cung cấp danh tính, thiết bị mạng — bất kỳ thứ gì có thể tạo ra logs.
  • Normalization. Chuyển đổi các định dạng nhật ký đa dạng thành một lược đồ chung để có thể tương quan giữa các nguồn.
  • Storage. Lưu giữ lâu dài (thường là 90 ngày nóng, hơn 1 năm lạnh) để tuân thủ và điều tra.
  • Correlation. Áp dụng các quy tắc và phân tích để phát hiện các mẫu trên nhiều nguồn (đăng nhập không thành công từ Người dùng A ở quốc gia X, sau đó là đăng nhập thành công từ quốc gia Y, sau đó là lọc dữ liệu tăng đột biến).
  • Alerting. Tạo cảnh báo khi có quy tắc tương quan fire.
  • Giao diện điều tra. Công cụ dành cho nhà phân tích để tìm hiểu các sự cố cụ thể, xoay quanh các luồng sự kiện.
  • Reporting. Trang tổng quan dành cho giám đốc điều hành, báo cáo kiểm toán cho cơ quan quản lý.

Major SIEM sản phẩm

  • Splunk — công ty dẫn đầu thị trường. Ngôn ngữ truy vấn mạnh mẽ (SPL), phạm vi nguồn dữ liệu rộng. Đắt ở quy mô lớn.
  • Microsoft Sentinel — chạy trên nền tảng đám mây (Azure), tích hợp tốt với phép đo từ xa của Microsoft 365.
  • Elastic SIEM (trước đây là Elastic Security) — được xây dựng trên Elastic Stack, phổ biến đối với các nhóm đã chạy nó.
  • Google Chronicle / SecOps — Sản phẩm của Google, mạnh mẽ về tích hợp thông tin về mối đe dọa.
  • IBM QRadar — lâu đời, được tích hợp với hệ thống bảo mật rộng hơn của IBM.
  • LogRhythm, Securonix, Exabeam — các dịch vụ cấp hai với nhiều dịch vụ khác nhau yếu tố khác biệt.
  • Wazuh — SIEM nguồn mở, phổ biến cho các tổ chức có ngân sách hạn chế.

SOC cấu trúc nhóm

A SOC tổ chức lớn điển hình có các nhà phân tích theo cấp bậc:

  • Tier Phân loại 1.. Xem xét cảnh báo ban đầu, quyết định xem có cần tăng cường cảnh báo hay không. Khối lượng lớn, nhiều kết quả dương tính giả.
  • Tier 2. Điều tra. Đi sâu vào các cảnh báo mà Cấp 1 tăng lên. Tương quan giữa các nguồn, xác định xem có sự cố thực sự hay không.
  • Tier 3. Ứng phó sự cố và tìm kiếm mối đe dọa. Tích cực điều tra, phối hợp với các nhóm khác, chủ động tìm kiếm các mối đe dọa tiềm ẩn.
  • SOC quản lý. Giám sát nhóm, phối hợp với bộ phận CNTT và quản lý rộng hơn.
  • Engineers. Duy trì SIEM, viết quy tắc phát hiện, điều chỉnh chữ ký.

Các tổ chức nhỏ hơn thu gọn phần này thành một hoặc hai vai trò, thường được bổ sung bởi nhà cung cấp dịch vụ phát hiện và phản hồi (MDR) được quản lý.

Vấn đề mệt mỏi khi cảnh báo

SIEM tạo ra khối lượng cảnh báo lớn. SIEM của tổ chức lớn điển hình đưa ra hàng nghìn cảnh báo mỗi ngày; hầu hết là dương tính giả hoặc mức độ nghiêm trọng thấp. Công việc của nhà phân tích Cấp 1 là lọc tiếng ồn thay vì phát hiện các mối đe dọa thực sự.

SIEM hiện đại và các sản phẩm lân cận giải quyết vấn đề này:

  • Tương quan tốt hơn giảm tiếng ồn thông qua ngữ cảnh
  • Machine learning để chấm điểm mức độ ưu tiên cảnh báo
  • SOAR (Điều phối bảo mật, tự động hóa và phản hồi)Nền tảng tự động hóa công việc Cấp 1
  • UEBA (Hành vi của người dùng và thực thể) Phân tích) phát hiện các điểm bất thường so với các quy tắc thô
  • XDR (Phát hiện và phản hồi mở rộng) tích hợp SIEM, EDR, NDR để tương quan giữa các miền

SOC so với MDR so với MSSP

  • SOC — nhóm nội bộ đang điều hành SIEM nội bộ. Kiểm soát tối đa, chi phí tối đa. Các doanh nghiệp lớn.
  • MSSP (Nhà cung cấp dịch vụ bảo mật được quản lý) — hoạt động bảo mật thuê ngoài. Cung cấp giám sát và phản hồi cơ bản. Tiết kiệm chi phí cho các tổ chức quy mô trung bình.
  • MDR (Phát hiện và phản hồi được quản lý) — MSSP phức tạp hơn giúp chủ động tìm kiếm mối đe dọa và ứng phó sự cố. Chi phí cao hơn MSSP, thấp hơn SOC nội bộ.

Sự lựa chọn đúng đắn phụ thuộc vào quy mô tổ chức, hồ sơ rủi ro, yêu cầu pháp lý và ngân sách. Hầu hết các tổ chức dưới 500 người đều sử dụng MSSP hoặc MDR thay vì xây dựng SOC nội bộ.

Những gì được giám sát

Nguồn dữ liệu SIEM tiêu chuẩn:

  • Nhật ký sự kiện Windows / nhật ký hệ thống Linux từ mọi máy chủ và máy trạm
  • Nhật ký tường lửa (Palo Alto, Fortinet, Cisco)Nhật ký
  • VPN
  • Nhật ký nhà cung cấp danh tính (Okta, Microsoft Entra)Nhật ký kiểm tra
  • Cloud (AWS CloudTrail, Nhật ký hoạt động Azure, Nhật ký kiểm tra GCP)
  • Nhật ký bảo mật email
  • EDR cảnh báo
  • Proxy web log
  • Nhật ký ứng dụng (tùy thuộc vào ứng dụng nào quan trọng)

Khối lượng dữ liệu tăng nhanh. Một doanh nghiệp cỡ trung bình tạo ra hơn 100GB dữ liệu nhật ký/ngày; doanh nghiệp lớn tạo ra TB/ngày. Giá SIEM thường liên quan đến khối lượng tiêu thụ; điều này tạo ra căng thẳng kỹ thuật thực sự giữa việc thu thập mọi thứ và quản lý chi phí.

Đối với cá nhân

SIEM và SOC là các công cụ ở quy mô doanh nghiệp. Khái niệm tương đương dành cho cá nhân: chú ý đến thông báo bảo mật từ nhà cung cấp email, ngân hàng, tài khoản đám mây của bạn. Các nhà cung cấp dịch vụ tiêu dùng lớn đều tích hợp sẵn các phiên bản rút gọn về những gì SIEM làm cho doanh nghiệp — họ cảnh báo bạn về hoạt động đáng ngờ. Hãy xử lý những cảnh báo đó như cách bạn muốn nhà phân tích SOC xử lý những cảnh báo thực sự: điều tra thay vì loại bỏ.

Câu hỏi thường gặp

Các doanh nghiệp nhỏ có cần SIEM không?
Không nhất thiết phải như vậy. Đối với các doanh nghiệp nhỏ (dưới 50 nhân viên), dịch vụ MDR hoặc thậm chí EDR tốt với báo cáo trên đám mây có thể là đủ. SIEM trở nên có giá trị khi khối lượng nhật ký và tính đa dạng nguồn vượt quá mức cảnh báo tích hợp của các công cụ riêng lẻ có thể xử lý.
Sự khác biệt giữa SIEM và EDR là gì?
EDR tập trung vào thiết bị đầu cuối - máy tính xách tay, máy chủ, đôi khi là thiết bị di động. SIEM tổng hợp từ tất cả các nguồn bao gồm điểm cuối, mạng, đám mây, ứng dụng. Chúng bổ sung cho nhau; các sản phẩm XDR hiện đại tích hợp chúng.
Công việc SOC có phải là con đường sự nghiệp tốt không?
Có - nhu cầu cao, lộ trình tăng lương tốt, tiếp xúc với nhiều lĩnh vực bảo mật. Cấp 1 lặp đi lặp lại và dễ bị kiệt sức; con đường này thường được chuyển lên Cấp 2/3 trong vòng 1-3 năm và từ đó đến chuyên môn hóa (thông tin về mối đe dọa, kỹ thuật phát hiện, ứng phó sự cố).
SIEM có thể phát hiện các cuộc tấn công zero-day không?
Đôi khi, thông qua các mẫu hành vi hơn là các dấu hiệu cụ thể. Việc lọc dữ liệu hàng loạt, chuyển động ngang bất thường hoặc hành vi tài khoản bất thường có thể bị phát hiện ngay cả khi chưa xác định được cách khai thác cụ thể. Tỷ lệ bắt phụ thuộc rất nhiều vào chất lượng kỹ thuật phát hiện, không chỉ khả năng SIEM.
SOC giữ nhật ký trong bao lâu?
Phổ biến: 90 ngày nóng (có thể truy vấn ngay lập tức), 1 năm không hoạt động (được lưu trữ nhưng có thể truy cập), thường là 7 năm không hoạt động đối với các bối cảnh tuân thủ (dịch vụ tài chính, chăm sóc sức khỏe). Chi phí lưu giữ tăng lên; nhiều tổ chức cắt giảm chi phí duy trì nóng để quản lý chi phí SIEM.
SIEM và SOC giải thích: Cách các tổ chức theo dõi mạng của họ vào ban đêm