![Series [CA]: Phần 2 Create SAN Certificate](https://phuongit.com/wp-content/uploads/2024/10/San-Cert.png)
Giới Thiệu Giải Pháp IBM Qradar
Giải pháp IBM Qradar SIEM là một bộ giải pháp quản lý tập trung, giám sát và phân tích an ninh thông tin cho toàn bộ hệ thống CNTT, được kết hợp giữa các thành phần giải pháp thông minh, tạo nên nền tảng khép kín, đảm bảo tính toàn vẹn tuy nhiên cũng hỗ trợ các phương pháp tích hợp để mở rộng hệ thống giám sát sau này.
Hình 1: Giới thiệu giải pháp IBM Qradar
SIEM là thành phần đứng trên cùng của các layer về bảo mật. Đóng vai trò thu thập, giám sát và phân tích toàn bộ các sự kiện an ninh, hành vi hoạt động của môi trường CNTT doanh nghiệp, giúp đưa ra các cảnh báo sớm tấn công kịp thời, tự động báo cáo tuân thủ cho toàn hệ thống theo các tiêu chuẩn định nghĩa sẵn.
Qradar được thiết kế để ghi nhận lại các sự kiện, nhật ký thời gian thực, cũng như các luồng dữ liệu qua hệ thống mạng, từ đó phát hiện ra các lỗ hổng bảo mật và xâm nhập từ bên ngoài. Qradar SIEM là giải pháp bảo mật doanh nghiệp có khả năng mở rộng, hợp nhất từ nhiều nguồn dữ liệu, sự kiện từ hàng nghìn thiết bị của các hãng khác nhau tập trung để phân tích các bảo mật, rủi ro trong hệ thống công nghệ thông tin. Đưa ra cái nhìn tổng quan về an ninh mạng.
Các dữ liệu được thu thập và phân tích bởi Qradar SIEM :
- Security events : Từ hệ thống Firewalls, VPN, hệ thống phát hiện và ngăn chặn xâm nhập IPS/IDS, firewall cơ sở dữ liệu, VP hệ điều hành v.v
- Network events : Từ các thiết bị như switches, routers, hosts…
- User or asset context : Dữ liệu từ hệ thống thông tin định danh, thiết bị quản lý truy cập, công cụ quét lỗ hổng bảo mật, AD…
- Operating system information: Thông tin hệ điều hành, nhà cung cấp , phiên bản cụ thể trong tài nguyên mạng
- Application logs : cơ sở dữ liệu ứng dụng, nền tảng quản lý và vận hành
- Threat intelligence : Các nguồn từ IBM X-Force Threat Intelligence
Kiến Trúc Giải Pháp IBM Qradar
Hình 2: Kiến trúc giải pháp IBM Qradar
Thành Phần Quản Trị
QRadar console: Giải pháp IBM Qradar quản trị tập trung cung cấp giao diện duy nhất cho người quản trị, theo dõi thời gian thực các event và flow, các báo cáo, các kết quả tổng hợp các hành vi tấn công, thông tin tài sản và các chức năng quản trị khác.
Thành Phần Thu Thập Dữ Liệu
QRadar Event Collector: Thực hiện thu thập các event cục bộ và từ các nguồn phát sinh event khác, và chuẩn hóa các event thô thành định dạng có cấu trúc, sử dụng được trên nền tảng của QRadar. Tổng hợp hoặc kết hợp các sự kiện giống nhau để duy trì sử dụng và gửi dữ liệu tới thành phần Event Processor.
QRadar Flow Collector: Thu thập các flow bằng việc kết nối đến các SPAN port, hoặc các Network TAP. Thành phần này cũng hỗ trợ thu thập từ các nguồn flow bên ngoài khác như Netfow từ các thiết bị định tuyến, chuyển mạch ….
Thành Phần Xử Lý Dữ Liệu
QRadar Event Processor: Xử lý các event được thu thập từ một hoặc nhiều thành phần Event Collector. Nếu các event khớp với các Custom Rules Engine (CRE) được xác định trước trên QRadar Console thì Event Processor thực hiện các hành động được định nghĩa trước cho những quy tắc phản hồi. Mỗi thành phần Event Processor có một phân vùng lưu trữ cục bộ và dữ liệu xử lý các event được lưu trữ tại đây hoặc nó có thể được lưu trữ trên thành phần có tên Data Node.
QRadar Flow Processor: Xử lý các flow được thu thập từ một hay nhiều thành phần Flow Collector. Thành phần Flow Processor cũng có thể trực tiếp thu thập các network flow từ các thiết bị ngoài khác như Netflow, J-flow và sFlow bên trong mạng của khách hàng. Khách hàng có thể sử dụng Flow Processor để mở rộng mô hình triển khai với mục tiêu quản lý nhiều hơn số lượng flow có được mỗi phút (FPM).
Thành Phần Giám Sát Lỗ Hổng
Vulnerability Management: Giám sát cấu hình các hệ thống mạng, bảo mật, tự động dò quét lỗ hổng bảo mật và sắp xếp độ nghiêm trọng. Giúp tổ chức dự đoán trước các mối đe dọa đồng thời giả lập lại hướng tấn công của attacker.
Các UseCase Sử Dụng
Thu thập, phân tích log
- Các dữ liệu được thu thập và phân tích bởi Qradar SIEM :
- Security events : Từ hệ thống Firewalls, VPN, hệ thống phát hiện và ngăn chặn xâm nhập, cơ sở dữ liệu, hệ điều hành v.v
- Network events : Từ các thiết bị endpoint như Switches, routers, servers, hosts…
- User or asset context : Dữ liệu từ phạm vi thông tin định danh, thiết bị quản lý truy cập, công cụ quét lỗ hổng bảo mật
- Operating system information: Thông tin hệ điều hành, nhà cung cấp , phiên bản cụ thể trong tài nguyên mạng
- Application logs : cơ sở dữ liệu ứng dụng, nền tảng quản lý và vận hành
- Cloud: Các ứng dụng trên nền tảng AWS, Azure…
- Threat intelligence : Các nguồn từ IBM X-Force
Theo dõi thời gian thực
QRadar SIEM cung cấp khả năng giám sát hành vi theo ngữ cảnh trên toàn bộ hệ thống CNTT, giúp tổ chức phát hiện và khắc phục nguy cơ mất an toàn an ninh thông tin. Các nguy cơ này sẽ được hiển thị trên Dashboard của QRadar SIEM theo mức độ từ thấp đến cao.
Quản lý giám sát và tương quan sự kiện
Với những tổ chức lớn, hàng ngày phát sinh hàng triệu sự kiện thì việc quản trị thật sự phức tạp. QRadar SIEM tập hợp sự kiện từ nhiều nguồn, tổng hợp, chuẩn hóa, lưu trữ, phân loại theo mức độ ưu tiên. Sau đó tiến hành phân tích tương quan để phát hiện các nguy cơ, sự tuân thủ chính sách, … Như vậy hàng triệu event và flow được tự động xử lý để tổng hợp lại trong một số hành vi cụ thể, QRadar SIEM hỗ trợ một số lượng lớn các rules có sẵn để thực hiện việc này.
Giám sát thông tin chi tiết về các mối đe dọa an ninh thông tin
Đối với các mối đe dọa an ninh thông tin, người quản trị cần xác định:
- Who: ai tấn công
- What: tấn công cái gì
- Where: xảy ra ở đâu
- When: xảy ra khi nào
- How: phương thức tấn công là gì
Đó cũng chính là kết quả mà QRadar SIEM mang lại cho người quản trị từ quá trình phân tích sự kiện an ninh thông tin.
Giám sát hành vi bất thường
QRadar SIEM hỗ trợ việc giám sát hành vi bất thường của thông qua việc kết hợp thông tin từ:
- Các sự kiện, logs ứng dụng
- Các dữ liệu ứng dụng ở mức layer 7
- Các hành vi người dùng
- Các nguồn threat intelligence
Quản lý tài nguyên hệ thống
Quản lý chính sách tuân thủ
Khả năng quản lý tuân thủ của QRadar SIEM thể hiện:
- Khả năng đưa ra các báo cáo về sự tuân thủ theo các tiêu chuẩn như PCI, HIPAA, SOX, CobiT, GLBA, …
- Hỗ trợ sẵn các chính sách quản lý tuân thủ (Compliance Management rules) cảnh báo thời gian thực cho người quản trị nếu có vi phạm
QRadar SIEM là giải pháp nền tảng của SOC, với việc cung cấp một giao diện quản trị duy nhất và bao gồm khả năng phân quyền người dùng trong việc giám sát, phân tích, báo cáo, …
Quản lý các incident tự động
IBM Qradar tích hợp với IBM Resilient SOAR giúp quản lí, phân chia roles và nhóm xử lí các sự cố bảo mật sảy ra trong hệ thống CNTT một các tự động.
- Phối hợp và tự động hoá các quy trình phản ứng, xử lý sự cố giúp tối ưu các công tác vận hành an ninh và công tác ứng cứu sự cố qua các playbook.
- Linh hoạt thay đổi để thích nghi với từng diễn biến mới của sự cố trong quá trình điều tra nhờ việc phân cấp ưu tiên quản lý các sự kiện và công việc.
- Đáp ứng nhanh chóng với những hiểm hoạ bằng các kịch bản thông minh được xây dựng dựa trên những kinh nghiệm và tri thức của hãng được đúc kết qua nhiều cuộc tấn công.
- Điều tra chi tiết và thuận tiện nhờ các thông tin đầy đủ quan trọng về sự cố luôn được dễ dàng truy cập mọi lúc mọi nơi.
Yêu Cầu Tài Nguyên Giải Pháp IBM Qradar
Qradar hỗ trợ cả trên môi trường ảo hóa và vật lý
Memory yêu cầu
|
Appliance |
Minimum memory requirement | Suggested memory requirement |
| QRadar Event Collector Virtual 1599 | 12 GB (up to 20,000 EPS)
64 GB (40,000 EPS) 128 GB (80,000 EPS) |
16 GB (up to 20,000 EPS)
64 GB (40,000 EPS) 128 GB (80,000 EPS) |
| QRadar SIEM Event Processor Virtual 1699
up to 20,000 EPS |
16 GB
FIPS installation only 12GB |
64 GB
FIPS installation only 48 GB |
| QRadar SIEM Event Processor Virtual 1699
20,000 EPS or higher |
128 GB | 128 GB |
| QRadar SIEM Flow Processor Virtual 1799
up to 1,200,000 FPM |
16 GB | 64 GB |
| QRadar SIEM Flow Processor Virtual 1799
1,200,000 FPM or higher |
128 GB | 128 GB |
| QRadar SIEM Event and Flow Processor Virtual 1899
5,000 EPS or less 200,000 FPM or less |
16 GB | 64 GB |
| QRadar SIEM Event and Flow Processor Virtual 1899
30,000 EPS or less 1,000,000 FPM or less |
128 GB | 128 GB |
| QRadar SIEM All-in-One (QRadar Console) Virtual 3199
5,000 EPS or less 200,000 FPM or less |
32 GB | 64 GB |
| QRadar SIEM All-in-One (QRadar Console) Virtual 3199
30,000 EPS or less 1,000,000 FPM or less |
128 GB | 128 GB |
CPU yêu cầu
|
QRadar appliance
|
Threshold
|
Minimum number of CPU cores
|
Suggested number of CPU cores
|
|---|---|---|---|
| QRadar Flow Virtual 1299 | 10,000 FPM or less | 4 | 4 |
| QRadar Event Collector Virtual 1599 | 5,000 EPS or less | 8 | 16 |
| 20,000 EPS or less40,000 EPS or less
80,000 EPS or less |
19
40 80 |
19
40 80 |
|
| QRadar SIEM Event Processor Virtual 1699 | 5,000 EPS or less | 8 | 24 |
| 20,000 EPS or less | 16 | 32 | |
| 40,000 EPS or less | 40 | 48 | |
| 80,000 EPS or less | 56 | 80FIPS installation only 56 | |
| QRadar SIEM Flow Processor Virtual 1799 | 150,000 FPM or less | 4 | 24 |
| 300,000 FPM or less | 8 | 24 | |
| 1,200,000 FPM or less | 16 | 32FIPS installation only 24 | |
| 2,400,000 FPM or less | 40FIPS installation only 48 | 48 | |
| 3,600,000 FPM or less | 56 | 80 | |
| QRadar SIEM Event and Flow Processor Virtual 1899 | 200,000 FPM or less5,000 EPS or less | 16 | 32 |
| 300,000 FPM or less15,000 EPS or less | 40 | 48 | |
| 1,200,000 FPM or less30,000 EPS or less | 56 | 80 | |
| QRadar SIEM All-in-One (QRadar Console) Virtual 3199 | 25,000 FPM or less500 EPS or less | 4 | 24 |
| 50,000 FPM or less1,000 EPS or less | 8 | 24 | |
| 100,000 FPM or less1,000 EPS or less | 12 | 24 | |
| 200,000 FPM or less5,000 EPS or less | 16 | 32 | |
| 300,000 FPM or less15,000 EPS or less | 40 | 48 | |
| 1,200,000 FPM or less30,000 EPS or less | 56 | 80 | |
| QRadar Log Manager Virtual 8099 | 2,500 EPS or less | 4 | 16 |
| 5,000 EPS or less | 8 | 16 |
Storage yêu cầu:
Tối thiểu 256 GB có sẵn trở lên
|
System classification
|
Appliance information
|
IOPS
|
Data transfer rate (MB/s)
|
|---|---|---|---|
| Minimum performance | Supports XX05 licensing | 800 | 500 |
| Medium performance | Supports XX29 licensing | 1200 | 1000 |
| High Performance | Supports XX48 licensing | 10,000 | 2000 |
| Small All-in-One (Console) or 1600 | Less than 500 EPS | 300 | 300 |
| Event/Flow Collectors | Events and flows | 300 | 300 |
Ở phần tiếp theo, chúng ta sẽ đi tiếp chuỗi Series [SIEM]: Phần 2 Cài Đặt IBM Qradar
Mời các bạn đón theo dõi cập nhật mới nhé!