VSEC Vadar SIEM

I. GIẢI PHÁP VSEC VADAR SECURITY INFORMATION & EVENT MANAGEMENT (VADAR SIEM)

Khi hệ thống IT của các doanh nghiệp được trang bị nhiều hãng và thiết bị công nghệ khác nhau. Hơn nữa, các thiết bị, ứng dụng này đều đưa ra dạng log khác nhau tương ứng với từng nhà cung cấp. Ðể tổng hợp lại sự kiện tại thời điểm diễn ra sự cố rất khó, vì không có giải pháp chuyên dụng và lưu trữ các sự kiện dài hạn cho việc phân tích sau này, dẫn đến các khó khăn như các thông báo của hệ thống bị “tràn”, một lượng lớn thông tin được sinh ra từ hệ thống log, một số cảnh báo quan trọng có thể bị bỏ nhỡ, không được xử lý kịp thời.

Việc điều tra về nguồn tấn công, đích tấn công, nguyên lý tấn công, thường phải làm thủ công,mất nhiều thời gian và công sức nhưng lại không có hiệu quả kịp thời. Ngoài ra trong thời gian gần đây, các loại hình tấn công kiểu mới như: Advanced Persistent Threat (ATP), Zero-day, tấn công từ bên trong và các loại hình Malware kiểu mới đã gia tăng dữ dội, cả ở số lượng máy bị tấn công và lây nhiễm cũng như mà cách thức máy bị điều khiển. Cùng với số lượng bùng nổ, các loại hình này cũng trở nên khó phát hiện hơn, với các thủ thuật tinh vi để tránh bị phát hiện và phân tích. Các giải pháp bảo mật truyền thống gần như không tác dụng trước loại nguy cơ mới. Do đó, giải pháp VSEC Vadar Security Information & Event Management (tên thương hiệu VSEC Vadar SIEM) sẽ giải quyết được các bài toán phức tạp như trên.

II. TÍNH NĂNG CHÍNH

VSEC Vadar SIEM cho phép thiết lập cấu hình hệ thống, cấu hình quản trị từ xa, cấu hình tài khoản xác thực và phân quyền người dùng, cấu hình tập luật bảo vệ; cho phép thay đổi thời gian hệ thống; quản lý các phiên làm việc, giới hạn phiên kết nối, đăng xuất tài khoản người dùng có phiên kết nối còn hiệu lực.

VSEC Vadar SIEM sử dụng giao thức mã hóa như TLS cho phép quản trị từ xa một cách an toàn.

Hỗ trợ phương thức xác thực bằng tài khoản – mật khẩu, trong đó, quản trị viên có thể thiết lập và thay đổi được độ phức tạp của mật khẩu; phân nhóm tài khoản tối thiểu theo 02 nhóm là quản trị viên và người dùng thường với những quyền hạn cụ thể đối với từng nhóm.

Cho phép quản lý các báo cáo, tạo mới các báo cáo theo template báo cáo, cho phép xuất các báo cáo theo định dạng  WORD, EXCEL hoặc PDF

VSEC Vadar SIEM cho phép quản lý tập luật bảo vệ bao gồm các thao tác sau: thêm luật mới, chỉnh sửa luật, tìm kiếm luật, xóa luật, kích hoạt/vô hiệu hóa luật, xuất tập luật ra tệp tin, khôi phục tập luật từ tệp tin, cập nhật tập luật được phát hành bởi nhà sản xuất. Cho phép tự động thông báo có bản cập nhật mới cho quản trị viên, cho phép tải về trực tuyến và áp dụng thủ công bản cập nhật mới.

VSEC Vadar SIEM cho phép quản lý và giám sát tập trung thông qua giao diện đồ họa các thông số hiệu năng sau của các thành phần tích hợp bên trong: Receiver, Parser, Indexer, Storage, Correlator.

VSEC Vadar SIEM cho phép kết nối với các loại hệ thống khác như NCSC để chia sẻ dữ liệu

Trong trường hợp VSEC Vadar SIEM phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), VSEC Vadar SIEM đảm bảo dữ liệu log  và các loại cấu hình được lưu lại và không bị thay đổi trong lần khởi động kế tiếp. Đồng thời cũng đảm bảo thời gian hệ thống được đồng bộ tự động đến thời điểm hiện tại

VSEC Vadar SIEM ghi nhận các log cảnh báo sinh ra bởi việc thực thi tập luật bảo vệ và các log audit hệ thống trong quá trình người dùng sử dụng hệ thống. Cho phép chuẩn hóa log theo định dạng JSON để truyền dữ liệu log cho các phần mềm quản lý, phân tích, điều tra log. 

Quản lý log: VSEC Vadar SIEM cho phép  thiết lập và cấu hình các cài đặt liên quan đến lưu trữ và hủy bỏ log. Cho phép phân nhóm log thành các nhóm sự kiện theo các tiêu chí khác nhau. Cho phép truy xuất dữ liệu thô của log thông qua kết quả tìm kiếm và cảnh báo. Cho phép xuất dữ liệu log ra để phục vụ cho việc tích hợp các dữ liệu này vào SIEM hoặc giải pháp khác về quản lý, phân tích, điều tra log.

VSEC Vadar SIEM cho phép tiếp nhận log gửi từ Collector thông qua kết nối UDP, qua kết nối TCP không mã hóa, qua kết nối TCP có mã hóa như TLS hoặc tương đương. Các log được tiếp nhận được chuẩn hóa theo định dạng JSON. VSEC Vadar  cho phép chuẩn hóa được log của hệ điều hành Windows và Unix; chuẩn hóa được log của tối thiểu 02 loại tường lửa khác nhau; chuẩn hóa được log của tối thiểu 04 loại thiết bị mạng khác nhau.

VSEC Vadar SIEM cho phép đồng bộ hóa thời điểm log được tiếp nhận tại Receiver và thời điểm log được thu thập tại Collector dựa trên cài đặt về múi giờ đã được thiết lập. Cho phép lưu trữ tất cả log dưới dạng dữ liệu thô và cho phép làm giàu thông tin log

VSEC Vadar SIEM cho phép giám sát thông qua giao diện đồ họa các thông số hiệu năng sau của quá trình tiếp nhận log: số lần thử kết nối lại đến Collector, thông báo về kết nối không thành công đến Collector, số lượng tác vụ tiếp nhận log mà không được thực hiện thành công.

VSEC Vadar SIEM cho phép giám sát thông qua giao diện đồ họa log gửi từ Collector, cho phép tạo thống kê dữ liệu theo thời gian thực, cho phép tìm kiếm và tạo thống kê dữ liệu theo khoảng thời gian xác định.

VSEC Vadar SIEM cho phép xử lý thông tin trong log có kiểu dữ liệu địa chỉ IP tối thiểu theo định dạng IPv4

VSEC Vadar SIEM cho phép mã hóa dữ liệu hoặc sử dụng giao thức có mã hóa để trao đổi dữ liệu giữa Collector và Receiver.

Hiệu năng xử lý

  • VSEC Vadar SIEM đảm bảo rằng độ trễ thời gian tìm kiếm log với độ phức tạp bất kỳ, có phản hồi trong khoảng thời gian tối đa là 02 phút.
  • VSEC Vadar SIEM cho phép xử lý đồng thời tối thiểu 03 tác vụ khác nhau, cho phép tiếp nhận log theo thời gian thực đồng thời từ tối thiểu 03 nguồn log khác nhau, có khả năng xử lý đồng thời theo thời gian thực tối thiểu 02 tác vụ cho việc tìm kiếm log và phân tích tương quan sự kiện 
  • VSEC Vadar SIEM cho phép xử lý và lưu trữ dữ liệu đồng thời 5000 sự kiện trong khoảng thời gian là 01 phút.

VSEC Vadar SIEM có khả năng tự bảo vệ, ngăn chặn các dạng tấn công phổ biến sau: SQL Injection, OS Command Injection, XPath Injection, Remote File Inclusion (RFI), Local File Inclusion (LFI), Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF).

VSEC Vadar SIEM có chức năng cho phép cập nhật bản vá để xử lý các điểm yếu, lỗ hổng bảo mật.

Phân tích tương quan sự kiện và cảnh báo

  • VSEC Vadar SIEM cho phép phân tích tương quan sự kiện theo thời gian thực đối với dữ liệu log thu thập được.
  • VSEC Vadar SIEM cho phép phân tích tương quan sự kiện sử dụng thông tin trong danh sách động
  • VSEC Vadar SIEM cho phép tự động cảnh báo tới người dùng về việc hệ thống ngừng lưu trữ thêm dữ liệu mới khi Storage đã đạt ngưỡng giới hạn lưu trữ mà không thể lưu được dữ liệu mới; cảnh báo về dấu hiệu, nguy cơ, sự cố, cuộc tấn công và các hành vi gây mất an toàn thông tin khác dựa trên kết quả thực thi luật phân tích tương quan sự kiện.
  • VSEC Vadar SIEM cho phép sinh cảnh báo chứa các thông tin thuộc nhóm đối tượng được giám sát, hiển thị cảnh báo trên giao diện đồ họa về quản lý cảnh báo hoặc qua email

III. ƯU ĐIỂM NỔI BẬT

Quản lý log tập trung từ nhiều nguồn dữ liệu khác nhau, đảm bảo bảo mật, toàn vẹn dữ liệu.

Khả năng phân tích chuyên sâu theo “thời gian thực” đưa ra cảnh báo kịp thời và chính xác, rút ngắn thời gian phát hiện và xử lý sự cố.

Kết hợp khả năng phản ứng nhanh với các loại hình tấn công hay vi phạm chính sách hoặc các tuân thủ