SIEM

Thông thường hệ thống CNTT trong doanh nghiệp được quản lý qua nhiều bộ phận như: mạng, ứng dụng, phần mềm,… Do đó, khi có sự cố xảy ra việc tổng hợp nhật ký và sự kiện trong thời điểm đó là rất khó. Quá trình điều tra nguyên do bị tấn công, nguồn tấn công sau đó tiêu tốn rất nhiều thời gian, công sức nhưng lại không đảm bảo hiệu quả. Bên cạnh đó, các thủ đoạn tấn công ngày càng tinh vi mà các giải pháp bảo mật truyền thống hầu như không thể giúp ích trong việc chống trả lại. Đó chính là lý do cần có giải pháp SIEM trong doanh nghiệp. Có SIEM mọi vấn đề phức tạp, rắc rối như trên sẽ được giải quyết. SIEM giúp thu thập tất cả nhật ký, sự kiện tập trung tại một chỗ để quản trị viên có thể phân tích chính xác vấn đề, phát hiện lỗ hổng ở đâu từ đó đưa ra giải pháp xử lý. Có thể nói, hệ thống SIEM tương tự như cuốn từ điển ghi nhận lại tất cả sự việc trên hệ thống mạng nên có thể tra cứu thông tin bất kỳ lúc nào. Các cảnh báo còn được đưa ra kịp thời nhằm tiết kiệm thời gian, nhân lực. Thậm chí, SIEM còn cung cấp cơ chế ngăn chặn tự động các cuộc tấn công mạng và ngắt kết nối với các thiết bị đã bị xâm hại để giảm thiểu tổn thất xuống mức thấp nhất. Ngày nay, hàng ngàn các tổ chức trên thế giới sử dụng Splunk Enterprise và Splunk App for Security Enterprise để tạo ra một nền tảng an ninh tình báo, thúc đẩy phân tích để giúp phát hiện các đe dọa tiên tiến được biết và chưa biết. Splunk App for Security Enterprise bao gồm xác định các hành vi bất thường đe dọa đến dữ liệu của tổ chức và các mô hình dữ liệu cho phép tạo nhanh các phân tích. Hiện tại Splunk cung cấp hơn 1000 ứng dụng bảo mật và tuân thủ cụ thể hỗ trợ các sản phẩm ngành công nghiệp hàng đầu từ: Cisco Systems, FireEye, Microsoft, Palo Alto Networks và nhiều hơn nữa.

SOAR

Hoạt động giám sát an ninh an toàn thông tin trong các hệ thống ngày càng được chú trọng và đầu tư lớn. Khi các mối đe dọa trên không gian mạng ngày một lớn đồng thời hệ thống của các tổ chức/ doanh nghiệp ngày càng được mở rộng theo xu hướng phát triển của thế giới dẫn đến những thách thức trong lĩnh vực đảm bảo an toàn thông tin cho hệ thống công nghệ thông tin. Để giải quyết các vấn đề trên các Trung tâm SOC cần phân tích và điều phối tự động khi xảy ra các sự kiện/ sự cố an toàn thông tin. SOAR là giải pháp thu thập thông tin về các môi đe dọa an ninh từ nhiều nguồn khác nhau và thực hiện xử lý các sự cố cấp thấp mà không cần con người Một số tính năng chính của giải pháp SOAR Hợp lý hóa và chuẩn hóa các quy trình, thiết lập tự động hóa và điều phối, hoặc tận dụng sức mạnh của các nền tảng cao cấp (ví dụ MITRE ATT & CK, …) Phối hợp với bảo mật, tự động hóa và phản hồi được tích hợp đầy đủ. Khả năng quản lý theo từng sự cố mạng (Case Management), và hỗ trợ công cụ tạo chuỗi làm việc hiệu quả cho quản trị viên (Work-flow). Hỗ trợ đo lường và báo cáo thời gian phát hiện, thời gian phản ứng, thời gian xác nhận và thời gian điều tra (Mean-Time-To-Detect (MTTD), Mean-Time-To-Respond (MTTR), …) Khả năng quản lý sự cố tập trung, cung cấp khả năng cập nhật theo thời gian thực các trạng thái của sự cố đang tức thời diễn ra trong hệ thống (Đang hoạt động, Đã đóng, …) Kết hợp các phản ứng với sự cố, tự động hoặc thủ công, ví dụ cách ly thiết bị cuối, ngăn chặn người dùng, thu thập dữ liệu máy tính (trong trường hợp mã độc, hỗ trợ khả năng thu thập dữ liệu diều tra từ những thiết bị cuối đáng ngờ), ngăn chặn truy cập mạng bằng các kết hợp với tường lửa thế hệ mới, ngắt tiến trình đáng ngờ đang chạy trên thiết bị người dùng, … Splunk SOAR là một nền tảng SOAR có thể giúp bạn tăng đáng kể tốc độ của các hoạt động bảo mật theo những cách hiệu quả được nêu ở trên!