Giới thiệu

MSc | AI/ML | Cyber Security | DevOps | ITIL | Compliance | Cloud | System | Virtualization | DBA | SAN...

Security/DevSecOps tại VietSunshine CyberSecurity

System & Network Engineer tại HQG

Từng học Thạc sĩ khoa học máy tính - Đại học quốc tế Sài Gòn

Từng học Đại học công nghệ thông tin - ĐHQG TPHCM

Sống tại Hồ Chí Minh, Việt Nam

Đến từ Lộc Ninh, Bình Phước, Việt Nam

Xem nhiều hơn

Bài mới

Series [K8S]: Phần 3 Install Rancher on Kubernetes
Series [K8S]: Phần 2 Install Ceph Cluster Kubernetes
Series [K8S]: Phần 1 Install Kubernetes Cluster v1.28
Series [CA]: Phần 2 Create SAN Certificate
Linux Route Two Card Network
Resize LVM Disk On Redhat
Series [Powershell]: Phần 1 Encrypting Script Using AES
Series [SIEM]: Phần 05 Postman With Qradar API
Series [CA]: Phần 1 Install CA Windows Server

Series [SIEM]: Phần 01 Giới Thiệu Giải Pháp IBM Qradar

Giới Thiệu Giải Pháp IBM Qradar

Giải pháp IBM Qradar SIEM là một bộ giải pháp quản lý tập trung, giám sát và phân tích an ninh thông tin cho toàn bộ hệ thống CNTT, được kết hợp giữa các thành phần giải pháp thông minh, tạo nên nền tảng khép kín, đảm bảo tính toàn vẹn tuy nhiên cũng hỗ trợ các phương pháp tích hợp để mở rộng hệ thống giám sát sau này.

Giới Thiệu IBM Qradar

Hình 1: Giới thiệu giải pháp IBM Qradar

SIEM là thành phần đứng trên cùng của các layer về bảo mật.  Đóng vai trò thu thập, giám sát và phân tích toàn bộ các sự kiện an ninh, hành vi hoạt động của môi trường CNTT doanh nghiệp, giúp đưa ra các cảnh báo sớm tấn công kịp thời, tự động báo cáo tuân thủ cho toàn hệ thống theo các tiêu chuẩn định nghĩa sẵn.

Qradar được thiết kế để ghi nhận lại các sự kiện, nhật ký thời gian thực, cũng như các luồng dữ liệu qua hệ thống mạng, từ đó phát hiện ra các lỗ hổng bảo mật và xâm nhập từ bên ngoài. Qradar SIEM là giải pháp bảo mật doanh nghiệp có khả năng mở rộng, hợp nhất từ nhiều nguồn dữ liệu, sự kiện từ hàng nghìn thiết bị của các hãng khác nhau tập trung để phân tích các bảo mật, rủi ro trong hệ thống công nghệ thông tin. Đưa ra cái nhìn tổng quan về an ninh mạng.

Các dữ liệu được thu thập và phân tích bởi Qradar SIEM :

  • Security events : Từ hệ thống Firewalls, VPN, hệ thống phát hiện và ngăn chặn xâm nhập IPS/IDS, firewall cơ sở dữ liệu, VP hệ điều hành v.v
  • Network events : Từ các thiết bị như switches, routers, hosts…
  • User or asset context : Dữ liệu từ hệ thống thông tin định danh, thiết bị quản lý truy cập, công cụ quét lỗ hổng bảo mật, AD…
  • Operating system information: Thông tin hệ điều hành, nhà cung cấp , phiên bản cụ thể trong tài nguyên mạng
  • Application logs : cơ sở dữ liệu ứng dụng, nền tảng quản lý và vận hành
  • Threat intelligence : Các nguồn từ IBM X-Force Threat Intelligence
Thư viện ứng dụng Qradar (IBM X-Force Exchange) tích hợp với các giải pháp bảo mật khác (của bên thứ 3) không chỉ là thế mạnh của IBM Qradar. IBM App Exchange như là một Market Place (thư viện ứng dụng) cho Qradar (IBM Security) để bên thứ 3 có thể tạo ứng dụng trên nền IBM Qradar và tích hợp chặt chẽ với IBM Qradar giúp tạo một hệ thống Console hợp nhất, tránh sự rời rạc thiếu hiệu quả của các công cụ bảo mật rời rạc thường thấy tại các DN thông qua cấu trúc mở với API Components và công cụ phát triển ứng dụng và chia sẻ Qradar SDK của IBM Qradar.

Kiến Trúc Giải Pháp IBM Qradar

Kiến Trúc ibm qradar

Hình 2: Kiến trúc giải pháp IBM Qradar

IBM Qradar có kiến trúc linh hoạt, khả năng scale mạnh, phù hợp cho triển khai từ mô hình gọn tiết kiệm tài nguyên (All-in-One) cho đến mô hình phân tán nhiều địa điểm (chi nhánh) cùng lượng sự kiện và thông tin bảo mật to lớn. Điều này giúp triển khai nhanh hay mở rộng thuận lợi. Trong khi đó các đối thủ có kiến trúc phức tạp hơn, tốn nhiều tài nguyên (HW) và khó scale vì phải may đo nhiều và giới hạn lượng data có thể thu nạp.
Các thành phần chính:

Thành Phần Quản Trị

QRadar console: Giải pháp IBM Qradar quản trị tập trung cung cấp giao diện duy nhất cho người quản trị, theo dõi thời gian thực các event và flow, các báo cáo, các kết quả tổng hợp các hành vi tấn công, thông tin tài sản và các chức năng quản trị khác.

Thành Phần Thu Thập Dữ Liệu

QRadar Event Collector: Thực hiện thu thập các event cục bộ và từ các nguồn phát sinh event khác, và chuẩn hóa các event thô thành định dạng có cấu trúc, sử dụng được trên nền tảng của QRadar. Tổng hợp hoặc kết hợp các sự kiện giống nhau để duy trì sử dụng và gửi dữ liệu tới thành phần Event Processor.

QRadar Flow Collector: Thu thập các flow bằng việc kết nối đến các SPAN port, hoặc các Network TAP. Thành phần này cũng hỗ trợ thu thập từ các nguồn flow bên ngoài khác như Netfow từ các thiết bị định tuyến, chuyển mạch ….

Thành Phần Xử Lý Dữ Liệu

QRadar Event Processor: Xử lý các event được thu thập từ một hoặc nhiều thành phần Event Collector. Nếu các event khớp với các Custom Rules Engine (CRE) được xác định trước trên QRadar Console thì Event Processor thực hiện các hành động được định nghĩa trước cho những quy tắc phản hồi. Mỗi thành phần Event Processor có một phân vùng lưu trữ cục bộ và dữ liệu xử lý các event được lưu trữ tại đây hoặc nó có thể được lưu trữ trên thành phần có tên Data Node.

QRadar Flow Processor: Xử lý các flow được thu thập từ một hay nhiều thành phần Flow Collector. Thành phần Flow Processor cũng có thể trực tiếp thu thập các network flow từ các thiết bị ngoài khác như Netflow, J-flow và sFlow bên trong mạng của khách hàng. Khách hàng có thể sử dụng Flow Processor để mở rộng mô hình triển khai với mục tiêu quản lý nhiều hơn số lượng flow có được mỗi phút (FPM).

Thành Phần Giám Sát Lỗ Hổng

Vulnerability Management: Giám sát cấu hình các hệ thống mạng, bảo mật, tự động dò quét lỗ hổng bảo mật và sắp xếp độ nghiêm trọng. Giúp tổ chức dự đoán trước các mối đe dọa đồng thời giả lập lại hướng tấn công của attacker.

Các UseCase Sử Dụng

Thu thập, phân tích log

  • Các dữ liệu được thu thập và phân tích bởi Qradar SIEM :
  • Security events : Từ hệ thống Firewalls, VPN, hệ thống phát hiện và ngăn chặn xâm nhập, cơ sở dữ liệu, hệ điều hành v.v
  • Network events : Từ các thiết bị endpoint như Switches, routers, servers, hosts…
  • User or asset context : Dữ liệu từ phạm vi thông tin định danh, thiết bị quản lý truy cập, công cụ quét lỗ hổng bảo mật
  • Operating system information: Thông tin hệ điều hành, nhà cung cấp , phiên bản cụ thể trong tài nguyên mạng
  • Application logs : cơ sở dữ liệu ứng dụng, nền tảng quản lý và vận hành
  • Cloud: Các ứng dụng trên nền tảng AWS, Azure…
  • Threat intelligence : Các nguồn từ IBM X-Force

Theo dõi thời gian thực

QRadar SIEM cung cấp khả năng giám sát hành vi theo ngữ cảnh trên toàn bộ hệ thống CNTT, giúp tổ chức phát hiện và khắc phục nguy cơ mất an toàn an ninh thông tin. Các nguy cơ này sẽ được hiển thị trên Dashboard của QRadar SIEM theo mức độ từ thấp đến cao.

Quản lý giám sát và tương quan sự kiện

Với những tổ chức lớn, hàng ngày phát sinh hàng triệu sự kiện thì việc quản trị thật sự phức tạp. QRadar SIEM tập hợp sự kiện từ nhiều nguồn, tổng hợp, chuẩn hóa, lưu trữ, phân loại theo mức độ ưu tiên. Sau đó tiến hành phân tích tương quan để phát hiện các nguy cơ, sự tuân thủ chính sách, … Như vậy hàng triệu event và flow được tự động xử lý để tổng hợp lại trong một số hành vi cụ thể, QRadar SIEM hỗ trợ một số lượng lớn các rules có sẵn để thực hiện việc này.

Giám sát thông tin chi tiết về các mối đe dọa an ninh thông tin
Đối với các mối đe dọa an ninh thông tin, người quản trị cần xác định:

  • Who: ai tấn công
  • What: tấn công cái gì
  • Where: xảy ra ở đâu
  • When: xảy ra khi nào
  • How: phương thức tấn công là gì

Đó cũng chính là kết quả mà QRadar SIEM mang lại cho người quản trị từ quá trình phân tích sự kiện an ninh thông tin.

Giám sát hành vi bất thường

QRadar SIEM hỗ trợ việc giám sát hành vi bất thường của thông qua việc kết hợp thông tin từ:

  • Các sự kiện, logs ứng dụng
  • Các dữ liệu ứng dụng ở mức layer 7
  • Các hành vi người dùng
  • Các nguồn threat intelligence

Quản lý tài nguyên hệ thống

Với Assets Profiling, kết hợp với VA, QRadar SIEM cung cấp khả năng quản lý tài nguyên (Assets) toàn diện và chính xác nhất trong các giải pháp SIEM trên thị trường.

Quản lý chính sách tuân thủ

Khả năng quản lý tuân thủ của QRadar SIEM thể hiện:

  • Khả năng đưa ra các báo cáo về sự tuân thủ theo các tiêu chuẩn như PCI, HIPAA, SOX, CobiT, GLBA, …
  • Hỗ trợ sẵn các chính sách quản lý tuân thủ (Compliance Management rules) cảnh báo thời gian thực cho người quản trị nếu có vi phạm
  • Quản lý thông một giao diện quản trị duy nhất

QRadar SIEM là giải pháp nền tảng của SOC, với việc cung cấp một giao diện quản trị duy nhất và bao gồm khả năng phân quyền người dùng trong việc giám sát, phân tích, báo cáo, …

Điểm khác biệt giữa QRadar SIEM với các giải pháp SIEM khác là việc hỗ trợ một số lượng lớn các chính sách, báo cáo sẵn có đảm bảo khả năng tự động hóa trong quá trình vận hành, đồng thời hỗ trợ khả năng tùy biến cao chính sách, báo cáo có khả năng can thiệp sâu đến mức payload sự kiên.

Quản lý các incident tự động

IBM Qradar tích hợp với IBM Resilient SOAR giúp quản lí, phân chia roles và nhóm xử lí các sự cố bảo mật sảy ra trong hệ thống CNTT một các tự động.

  • Phối hợp và tự động hoá các quy trình phản ứng, xử lý sự cố giúp tối ưu các công tác vận hành an ninh và công tác ứng cứu sự cố qua các playbook.
  • Linh hoạt thay đổi để thích nghi với từng diễn biến mới của sự cố trong quá trình điều tra nhờ việc phân cấp ưu tiên quản lý các sự kiện và công việc.
  • Đáp ứng nhanh chóng với những hiểm hoạ bằng các kịch bản thông minh được xây dựng dựa trên những kinh nghiệm và tri thức của hãng được đúc kết qua nhiều cuộc tấn công.
  • Điều tra chi tiết và thuận tiện nhờ các thông tin đầy đủ quan trọng về sự cố luôn được dễ dàng truy cập mọi lúc mọi nơi.

Yêu Cầu Tài Nguyên Giải Pháp IBM Qradar

Qradar hỗ trợ cả trên môi trường ảo hóavật lý

Memory yêu cầu

Appliance

Minimum memory requirement Suggested memory requirement
QRadar Event Collector Virtual 1599 12 GB (up to 20,000 EPS)

64 GB (40,000 EPS)

128 GB (80,000 EPS)

16 GB (up to 20,000 EPS)

64 GB (40,000 EPS)

128 GB (80,000 EPS)

QRadar SIEM Event Processor Virtual 1699

up to 20,000 EPS

16 GB

FIPS installation only 12GB

64 GB

FIPS installation only 48 GB

QRadar SIEM Event Processor Virtual 1699

20,000 EPS or higher

128 GB 128 GB
QRadar SIEM Flow Processor Virtual 1799

up to 1,200,000 FPM

16 GB 64 GB
QRadar SIEM Flow Processor Virtual 1799

1,200,000 FPM or higher

128 GB 128 GB
QRadar SIEM Event and Flow Processor Virtual 1899

5,000 EPS or less

200,000 FPM or less

16 GB 64 GB
QRadar SIEM Event and Flow Processor Virtual 1899

30,000 EPS or less

1,000,000 FPM or less

128 GB 128 GB
QRadar SIEM All-in-One (QRadar Console) Virtual 3199

5,000 EPS or less

200,000 FPM or less

32 GB 64 GB
QRadar SIEM All-in-One (QRadar Console) Virtual 3199

30,000 EPS or less

1,000,000 FPM or less

128 GB 128 GB

CPU yêu cầu

QRadar appliance
Threshold
Minimum number of CPU cores
Suggested number of CPU cores
QRadar Flow Virtual 1299 10,000 FPM or less 4 4
QRadar Event Collector Virtual 1599 5,000 EPS or less 8 16
20,000 EPS or less40,000 EPS or less

80,000 EPS or less

19

40

80

19

40

80

QRadar SIEM Event Processor Virtual 1699 5,000 EPS or less 8 24
20,000 EPS or less 16 32
40,000 EPS or less 40 48
80,000 EPS or less 56 80FIPS installation only 56
QRadar SIEM Flow Processor Virtual 1799 150,000 FPM or less 4 24
300,000 FPM or less 8 24
1,200,000 FPM or less 16 32FIPS installation only 24
2,400,000 FPM or less 40FIPS installation only 48 48
3,600,000 FPM or less 56 80
QRadar SIEM Event and Flow Processor Virtual 1899 200,000 FPM or less5,000 EPS or less 16 32
300,000 FPM or less15,000 EPS or less 40 48
1,200,000 FPM or less30,000 EPS or less 56 80
QRadar SIEM All-in-One (QRadar Console) Virtual 3199 25,000 FPM or less500 EPS or less 4 24
50,000 FPM or less1,000 EPS or less 8 24
100,000 FPM or less1,000 EPS or less 12 24
200,000 FPM or less5,000 EPS or less 16 32
300,000 FPM or less15,000 EPS or less 40 48
1,200,000 FPM or less30,000 EPS or less 56 80
QRadar Log Manager Virtual 8099 2,500 EPS or less 4 16
5,000 EPS or less 8 16

Storage yêu cầu:

Tối thiểu 256 GB có sẵn trở lên

System classification
Appliance information
IOPS
Data transfer rate (MB/s)
Minimum performance Supports XX05 licensing 800 500
Medium performance Supports XX29 licensing 1200 1000
High Performance Supports XX48 licensing 10,000 2000
Small All-in-One (Console) or 1600 Less than 500 EPS 300 300
Event/Flow Collectors Events and flows 300 300

Ở phần tiếp theo, chúng ta sẽ đi tiếp chuỗi Series [SIEM]: Phần 2 Cài Đặt IBM Qradar

Mời các bạn đón theo dõi cập nhật mới nhé!

Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận

LƯỢT TRUY CẬP

Đang Online 1
Hôm nay 22
Hôm qua 55
Tổng truy cập 29560

Xem nhiều

Series [K8S]: Phần 3 Install Rancher on Kubernetes
Series [K8S]: Phần 2 Install Ceph Cluster Kubernetes
Series [K8S]: Phần 1 Install Kubernetes Cluster v1.28
Series [CA]: Phần 2 Create SAN Certificate

Video