HCapollo – Giải pháp giám sát và cảnh báo ATTT

Giải pháp giám sát an ninh mạng HCapollo (SIEM) là giải pháp thu thập, lưu trữ và xử lý các sự kiện ATTT tập trung, với vai trò hỗ trợ chính giám sát, quản lý và xử lý các cảnh báo bất thường, vi phạm xảy ra trong hệ thống, khắc phục khuyết điểm rời rạc thông tin cảnh báo trên các giải pháp truyền thống hoặc đã trang bị.

Giải pháp SIEM là cầu nối giữa các giải pháp phòng thủ truyền thống, khi mà chúng hoạt động một cách đơn lẻ, các dữ liệu được tổng hợp và cung cấp khả năng vận hành liên tục 24/7 để phục vụ liên tục công tác duy trì ATTT, giám sát liên tục. Từ đó đem lại khả năng nhìn nhận toàn cảnh ATTT cho bất kỳ tổ chức, doanh nghiệp. Dưới đây là sơ đồ mô tả luồng xử lý của giải pháp. 

HCapollo được thiết kế để tích hợp và xử lý dữ liệu từ nhiều nguồn khác nhau, từ đó giúp nhanh chóng phát hiện và xử lý những sự cố, mối đe doạ và vi phạm ATTT của hệ thống.

HCapollo giúp giải quyết những khó khăn:
• Hỗ trợ nhân sự quản lý, giám sát, cung cấp bức tranh tổng thể an toàn thông tin, liên tục 24/7.
• Phục vụ công tác chuyển đổi số, phục vụ giám sát các hệ thống ứng dụng một cách hiệu quả, tích hợp dễ dàng.
• Nhanh chóng phát hiện và cảnh báo các sự cố ATTT, các cuộc tấn công phức tạp và có chủ đích nhằm vào hệ thống.
• Tích hợp không giới hạn đầu vào, không giới hạn thông số EPS, nếu đáp ứng đầy đủ tài nguyên.
• Giúp nhân sự giám sát quản lý sự kiện an toàn thông tin tập trung, công nghệ có khả năng thu thập không giới hạn các thiết bị, dữ liệu: nhật ký sự kiện (event log) từ các thiết bị đầu cuối, thiết bị mạng, thiết bị đảm bảo an ninh trong hệ thống (máy chủ, tường lửa, IDS/IPS, router/switch …).


Các tính năng của HCapollo

Để đáp ứng những mục đích cơ bản và phục vụ việc phát hiện nâng cao của yêu cầu giám sát an ninh mạng, HCapollo cung cấp những tính năng:

• Thu thập đa dạng, toàn bộ dữ liệu và chọn lọc (Collects, Filters): thu thập nhật ký ATTT từ tất cả các thiết bị, các nguồn dữ liệu – từ phi cấu trúc, có cấu trúc, liên
quan ngữ cảnh) thông qua syslog, API, JDBC, WMI… hoặc công cụ giám sát máy chủ, các agent. Đầu tiên HCapollo thực hiện loại bỏ các dữ liệu dư thừa, chuẩn hóa và phân loại theo định dạng chung tối ưu hóa cho việc phân tích.
Chuẩn hoá và nhận diện dữ liệu (Parsers, Integrations): HCapollo hỗ trợ sẵn bộ nhân diện và chuẩn hóa của hơn 200 loại giải pháp, thiết bị phổ biến trên thế giới.
Khả năng lưu trữ, mở rộng dễ dàng theo các chiều (Storage and Scale): HCapollo đáp ứng nhu cầu lưu trữ lượng lớn dữ liệu (nhật ký, cảnh báo, sự kiện) trong
thời gian dài. Ngoài ra, hệ thống cũng cho phép lưu trữ nhật ký nguyên bản ban đầu phục vụ cho công tác điều tra số, truy vết trong quá khứ.
Tương quan và xâu chuỗi dữ liệu dựa trên KillChain và IOC (Correlation): phân tích, phát hiện tấn công thời gian thực dựa trên công nghệ phân tích tương quan sự kiện từ các sự kiện, dữ liệu đơn lẻ. Việc tìm kiếm mối tương quan, liên kết các sự kiện và xác định các mối quan hệ, mức độ liên quan của các dữ liệu giúp xác định các cuộc tấn công phức tạp xảy ra trong hệ thống. Ngoài ra, việc tương quan và nhận diện trên nhiều pha của cuộc tấn công và các mô hình mới trên thế giới như KillChain và tích hợp Threat Intelligence tương quan IOC. Do đó, HCapollo giúp hiện thực hoá việc phát hiện các kịch bản tấn công thông qua các tập luật và thiết lập cảnh báo.
Phát hiện và cảnh báo thời gian thực (Realtime Alert): bộ tập luật cảnh báo được xây dựng bởi HPT thông qua quá trình phát triển, đánh giá và tận dụng. Việc này giúp phát hiện sớm và chính xác các hành vi bất thường, vi phạm và những kịch bản tấn công đã được định nghĩa. Hệ thống tập luật mềm dẻo cho phép tuỳ chỉnh tương thích với tuỳ hiện trạng hệ thống và các tấn công phức tạp.
Dashboard: HCapollo cung cấp giao diện trực quan, dễ sử dụng, có thể thêm bất kỳ điều kiện, thống kê theo thời gian thực, điều chỉnh theo bất kỳ nhu cầu và phù hợp mọi nhu cầu giám sát, thông qua các biểu đồ, sơ đồ và bảng biểu trực quan.
Machine Learning: giám sát các hoạt động bất thường xảy ra trong hệ thống dựa trên dữ liệu đã thu thập và máy học như nhận diện chuỗi thực thi command của người quản trị có phải là hành động dò quét thông tin máy chủ nội bộ.
Quản lý cảnh báo và sự cố ATTT (Alerts and Incident Reponse): các cảnh báo đến từ nhiều nguồn phân tích như tập luật nhận diện, tương quan dữ liệu, máy học và người giám sát được quản lý và xử lý theo workflow trên nền tảng công cụ SIRP. SIRP là một thành phần trong lõi công nghệ của HCapollo, là nơi quản lý toàn bộ vòng đời của một cảnh báo hoặc sự cố, từ khi phát hiện đến khi hoàn tất xử lý.
Tương tác qua API: HCapollo có thể mở rộng tương tác với hệ thống khác thông qua Rest API hoặc dùng để xây dựng các công cụ, giải pháp tự động hoá như SOAR. Hướng đến khả năng vận hành bán tự động của Trung tâm SOC, giảm thiểu nguồn nhân lực và tính chính xác trong quy trình xử lý.
Báo cáo an toàn thông tin: các sự kiện diễn ra trong hệ thống được phân tích, đánh giá và kết luận, đưa ra báo cáo định kỳ hoặc khi xảy ra sự cố, các báo cáo theo nhiều mức độ.
• Giám sát tuân thủ chính sách cấu hình máy chủ theo TCVN 11930:2017.

Mô hình triển khai


Hcapollo
được triển khai với mô hình linh hoạt đáp ứng khả năng mở rộng và phân nhóm các lớp tiếp nhận thông tin:
• Thành phần thu nhận dữ liệu nguồn (data source, log source): đóng vai trò thu thập tất cả/toàn bộ sự kiện ATTT trong hệ thống mạng, gửi về SIEM.
• Thành phần SIEM (analytic and alert): tiếp nhận thông tin từ lớp trước đó, thực hiện các vai trò chuẩn hoá, tương quan dữ liệu, cảnh báo, phân tích thời gian thực và gửi cảnh báo bất thường ngay khi nhận diện.
• Thành phần giao diện Web (dashboard) – phục vụ công tác giám sát: giao diện Web là nơi tương tác hằng ngày của các cán bộ giám sát, dữ liệu trên giao diện này được thành phần SIEM xử lý và hiển thị theo nhu cầu giám sát phù hợp.



Thu thập, phân tích và tương quan sự kiện


Hcapollo
được xây dựng để thu thập và xử lý dữ liệu từ nhiều nguồn khác nhau không giới hạn. Thu thập dữ liệu từ các thành phần/hệ thống khác, chuẩn hóa và loại bỏ dữ liệu dư thừa, phân loại theo định dạng chung phục vụ hiệu quả cho việc phân tích và điều tra xử lý sự cố.

Mọi dữ liệu nguồn đều có thể tích hợp và đưa lên dashboard phục vụ giám sát, HCapollo có thể nhận diện toàn bộ các nguồn dữ liệu, với hơn 200 bộ nhận diện đã được xây dựng sẵn.

Chuẩn hóa và loại bỏ dữ liệu dư thừa bao gồm các hành động xử lý sau:
Parsing: phân tích cấu trúc dữ liệu, nhận diện các trường, loại dữ liệu và chuẩn hoá đầu ra dữ liệu.
Filtering: nhằm lọc bỏ các dữ liệu thừa, không phục vụ quá trình giám sát, các dữ liệu nhạy cảm như mật khẩu.
Masking: che đi một phần dữ liệu nhạy cảm, tuy nhiên vẫn có giá trị cho quá trình giám sát.
Category: dữ liệu được nhận diện và phân loại vào các nhóm như hệ điều hành (Windows, UNIX/LINUX), ứng dụng (Mobile, Web application, …. Các ứng dụng có chức năng ghi lại nhật ký), cơ sở dữ liệu, thiết bị vùng biên, các thiết bị giải pháp an toàn thông tin.
Enrichment: dữ liệu được làm giàu thông tin dựa trên hệ thống HCINT và các nguồn thông tin bên ngoài, được tự động truy xuất đối với các đối tượng hash, url, IP external.

Cảnh báo tấn công

Tính năng lõi và cơ bản của một giải SIEM là phân tích, phát hiện tấn công thời gian thực dựa trên công nghệ phân tích tương quan sự kiện (Correlation Engine). Thành phần phân tích và tương quan phát hiện tấn công có khả năng xử lý dữ liệu tốc độ lớn, khả năng mở rộng theo quy mô của hệ thống.

Do đó giúp nhanh chóng phát hiện theo thời gian thực các vi phạm, hành vi bất thường và các kịch bản tấn công nhằm vào hệ thống. HCapollo giúp tương quan và nhận diện theo thời gian và theo các pha tấn công trong mô hình mới MITRE ATT&CK (KillChain), đồng thời phát hiện các dấu hiệu qua việc nhận diện IOC từ hệ thống Threat Intelligence để cảnh báo sớm.

Hệ thống tập luật (rule) mềm dẻo, dễ chỉnh sửa giúp HCapollo nhanh chóng thích nghi và nhận diện các những hành vi bất thường từ những điều kiện hệ thống khác nhau, cũng như các loại dữ liệu khác nhau mà cần phải điều tra, xử lý, hỗ trợ loại bỏ các cảnh báo giả, không chính xác.

Các giao diện phục vụ giám sát

• HCapollo cung cấp các dashboard giám sát trực quan, đa dạng: cung cấp giao diện dashboard trực quan, dễ sử dụng, có sẵn các loại dashboard/biểu đồ giám sát theo nhiều tiêu chí, theo các use case vận hành SOC thường gặp và có thể tùy chỉnh dễ dàng.
• Dashboard chia làm nhiều cấp từ vận hành SOC tới giám sát chi tiết các sự kiện, cảnh báo, sự cố an toàn thông tin cụ thể: All Operations/ Zone Operations/ Security Event/ Tracing/ Security Solutions/ Alert & Incident.
• Dashboard phân cấp theo dữ liệu được xử lý bởi các nhân sự giám sát.
• Dashboard thể hiện các usecase thường gặp như tấn công phishing, malware, bruteforce, DDOos, flood, web app backdoor.

Bộ quản lý cảnh báo

HCapollo cung cấp mặc định các luật giúp phát hiện các bất thường, vi phạm và tấn công xảy ra trong hệ thống. Để thuận tiện cho việc quản lý, thiết lập và cập nhật các luật, HCapollo tích hợp công cụ quản lý bộ luật qua giao diện. Giao diện quản lý tập luật thuận tiện sử dụng, không tốn nhiều thời gian để tìm hiểu chuyên sâu.

HCapollo trang bị nhiều tập luật sẵn có nhằm phát hiện các bất thường trong hệ thống, được xây dựng trên các usecase phổ biến, cho phép tinh chỉnh phù hợp với hiện
trạng hệ thống.
Công nghệ Security Incident Response Platform (SIRP)
HCapollo cung cấp hệ thống quản lý Ticket và Workflow (SIRP) nhiều cấp giúp quản lý vận hành SOC. Hệ thống giúp lưu trữ và truy vết lịch sử, xử lý sự cố dễ dàng, đồng thời quản lý được vòng đời của các cảnh báo, sự cố từ khi bắt đầu đến khi kết thúc. Giao diện tương tác đồng nhất cho các vai trò người dùng khác nhau, cùng làm việc trên một UI, các thông tin được ghi nhận và đồng bộ để quá trình xử lý diễn ra hiệu quả, phù hợp quá trình chuyển đổi giữa các ca trực.

Sản phẩm đã được chứng nhận bản quyền bởi cục bản quyền tác giả





x