--- # System prepended metadata title: 'Tìm hiểu về hệ thống IDS, IPS, Firewall, SIEM, Antivirus/EDR' --- [toc] ## 1. Firewall là gì ? Firewall(tường lửa) là một giải pháp bảo mật máy tính được tạo ra để giám sát, lọc, kiểm soát, lưu lượng mạng dựa trên những quy tắc bảo mật đã được tạo từ trước mục đích của tường lửa giống như một bức tường ngắn cách giữa mạng nội bộ an toàn và mạng Internet không đáng tin cậy ### 1.1 Phân loại Firewall tiêu biểu dựa trên cách hoạt động **Stateless Firewall** Stateless Firewall kiểm tra lưu lượng mạng dựa trên từng gói tin độc lập, hoạt động theo các quy tắc được cấu hình sẵn và không ghi nhớ trạng thái của các kết nối trước đó. Việc cho phép hay chặn lưu lượng được quyết định dựa trên thông tin trong packet header như địa chỉ IP nguồn và đích, cổng nguồn và đích, giao thức như TCP,UDP Mặc dù có khả năng xử lý gói tin nhanh và tiêu tốn ít tài nguyên, Stateless Firewall không có khả năng nhận thức ngữ cảnh (context-awareness) của phiên giao tiếp. Điều này tạo điều kiện cho các hình thức tấn công như IP Spoofing, trong đó kẻ tấn công gửi các gói tin có vẻ hợp lệ nhưng thực chất không thuộc về một luồng giao tiếp hợp pháp. **Stateful Firewall** Stateful Firewall là loại tường lửa không chỉ kiểm tra từng gói tin riêng lẻ mà còn theo dõi trạng thái của toàn bộ phiên kết nối (connection/session). Nó duy trì một **state table** để ghi nhớ các thông tin như: * IP nguồn, IP đích * Port nguồn, port đích * Giao thức: TCP, UDP, ICMP * Trạng thái kết nối: NEW, ESTABLISHED, RELATED, CLOSED Cơ chế hoạt dộng: 1. Khi một kết nối mới được khởi tạo (ví dụ TCP SYN), firewall kiểm tra rule. 1. Nếu hợp lệ --> cho phép và ghi lại trạng thái kết nối vào state table. 1. Các gói tin tiếp theo thuộc cùng kết nối được tự động cho phép, không cần so rule lại từ đầu. 1. Khi kết nối kết thúc --> entry trong state table bị xoá. **Proxy Firewall** Thông thường tường lửa truyền thống không được thiết kế kể giải mã lưu lượng hoặc kiểm tra lưu lượng ở giao thức ứng dụng, vì thế nên chúng thường sử dụng các giải pháp về phần mềm chống virus, hoặc sử dụng IDS/IPS. Proxy Firewall giải quyết vấn đề này bằng cách cung cấp một cửa trung gian giữa client và servers để bảo vệ dữ liệu đi ra và đi vào ở trong mạng. Nó quyết định xem lưu lượng nào được cho phép, hoặc từ chối, đặc biệt nó phân tích lưu lượng mạng đi vào để phát hiện những dấu hiệu của cuộc tấn công mạng, mã độc. Proxy Firewall có thể lưu trữ, lọc, ghi log, và kiểm soát request từ thiết bị để giữ cho mạng bảo mật, ngăn chặn quyền truy cập trái phép ![image](https://hackmd.io/_uploads/ryG_ekLrbl.png) Cơ chế hoạt động: Một mạng lưới proxy có thể sẽ có máy tính chính kết nối trực tiếp với Internet, sau đó các máy còn lại sẽ truy cập Internet thông qua máy tính chính đó xem nó như là 1 cổng mạng(gateway) cho phép lưu trữ tài liệu, và nhiều người có thể truy cập. Các bước cho 1 quá trình truy cập ra mạng bên ngoài - thông qua một proxy như sau: 1. Client gửi yêu cầu đến Proxy Firewall (ví dụ: truy cập một website) 1. Proxy Firewall kiểm tra yêu cầu theo các chính sách bảo mật đã cấu hình 1. Nếu hợp lệ, Proxy tạo kết nối mới với server đích thay mặt client 1. Server phản hồi về Proxy Firewall 1. Proxy kiểm tra, lọc nội dung phản hồi 1. Proxy chuyển tiếp kết quả đã được kiểm tra về cho client **Next-Generation Firewall** Next-Generation Firewall cũng có các chức năng giống stateful firewall kiểm soát lưu lượng dựa trên trạng thái, các port, ip, giao thức, lọc lưu lượng theo cách user cấu hình. Tuy nhiên đặc biệt hơn nó được cải tiến với nhiều tính năng mới như phát hiện, ngăn ngừa xâm nhập(IDS/IPS). Có thể nhận biết được các phần mềm độc hại để ngăn chặn rủi ro. Được tích hợp threat intelligence - luôn cập nhật các đặc điểm của mối đe doạ mới giúp IPS hoạt động hiệu quả. Một đặc điểm tiêu biểu, quan trọng nhất của NGFW là bên cạnh lọc các gói tin dựa trên packet header(ip src dst,port, protocol), còn có DPI(Deep Packet Inspection) cho phép xem cả phần body, phần payload bên trong gói tin để so sánh với các signature malware đã biết để loại bỏ mối nguy hại. ![image](https://hackmd.io/_uploads/ByqBgyUrbx.png) Cơ chế hoạt động * Khi một kết nối mới được khởi tạo(TCP SYN), NGFW thực hiện kiểm tra stateful dựa trên rule firewall * Nếu hợp lệ -> cho phép kết nối và tạo bản ghi trong state table * NGFW sẽ phân tích lưu lượng ở tầng ứng dụng(Application) * Đối với các lưu lượng mã hoá, NGFW sẽ giải mã TLS/SSL * Nội dung payload sẽ được kiểm tra bằng DPI(deep packet inspection) sau đó là IPS vào cuộc * Nếu phát mối đe doạ sẽ chặn và ghi lại log * Khi kết nối kết thúc -> entry tương ứng trong state table bị xóa. ### 1.2 Firewall hoạt động ở lớp nào trong mô hình OSI Firewall có thể kiểm soát lưu lượng ở nhiều lớp khác nhau trong mô hình OSI, tuỳ thuộc vào các loại firewall, nhưng hoạt động chủ yếu ở các lớp: Layer 3(Network Layer): Kiểm soát lưu lượng dựa trên địa chỉ IP nguồn và đích Layer 4(Transport Layer): Kiểm soát dựa trên port, giao thức UDP/TCP và trạng thái kết nối Layer 7(Application Layer): các firewall hiện đại như NGFW có khả năng phân tích nội dung ở lớp ứng dụng thông qua DPI, từ đó nhận diện ứng dụng và các hành vi tấn công ### 1.3 Firewall ngăn chặn các mối đe doạ ở mặt phẳng nào ? Firewall có thể ngăn chặn các mối đe doạ mạng từ cả 2 mặt phẳng bao gồm: Network: Firewall chủ yếu được triển khai ở mặt phẳng network để kiểm soát và bảo vệ lưu lượng giữa các vùng mạng khác nhau như mạng nội bộ với Internet. Ở vị trí này firewall có vai trò như lớp phòng thủ đầu tiên, giám sát, lọc traffic đi qua theo các quy tắc đã được cấu hình từ trước từ đó bảo vệ hệ thống ở mức network perimeter - ranh giới bảo mật giữa mạng nội bộ an toàn của một tổ chức và các mạng bên ngoài không tin cậy như Internet Endpoint: Trong một số ít trường hợp nhất định, firewall cũng được triển khai ở endpoint dưới dạng host-based firewall, hoạt động trực tiếp trên từng máy để kiếm soát traffic vào ra của thiết bị đó. ## 2. IDS/IPS là gì ? IDS - Intrusion Detection System là hệ thống phát hiện xâm nhập và IPS - Intrusion Prevention System là hệ thống ngăn chặn xâm nhập là các giải pháp bảo mật quan trọng. Trong đó IDS phát hiện, giám sát và cảnh báo khi có các hoạt động đáng ngờ, độc hại, còn IPS không chỉ phát hiện mà còn chủ động ngăn chặn các mối đe doạ theo thời gian thực, thường đặt các vị trí mà mọi lưu lượng có thể đi qua để hoạt động hiệu quả. IPS có thể được xem là sự mở rộng của IDS, trong đó bổ sung khả năng ngăn chặn chủ động thay vì chỉ phát hiện và cảnh báo. ### 2.1 Cơ chế hoạt động IDS và IPS đều có các cơ chế hoạt động khá giống nhau ở các đặc điểm sau: * Signature-based detection: Đây là phương pháp phát hiện dựa trên việc so khớp lưu lượng mạng, hệ thống với một cơ sở dữ liệu lớn chứa các mẫu(signature) của các mối đe doạ đã biết như virus, mã độc, các kiểu tấn công, tương tự phần mềm virus hoạt động. * Anomaly-based detection: Phương pháp này cho phép phát hiện các hành vi bất thường và các mối đe dọa chưa có signature, tuy nhiên có thể phát sinh false positive nếu không được huấn luyện và tinh chỉnh phù hợp. * Rule-based: Là cơ chế phát hiện mà IDS/IPS dựa trên các rule được định nghĩa sẵn để quyết định có cảnh báo hay chặn một hành vi hay không. Có thể do con người viết hoặc hệ thống sinh ra, nó khác signature-based ở chỗ dựa trên điều kiện logic như tần suất, trình tự. Rule-based thường được sử dụng để phát hiện các hành vi vi phạm chính sách hoặc hành vi tấn công dựa trên ngữ cảnh. ### 2.2 Các loại IDS IDS thường có 5 loại sau đây: 1. Network intrusion detection systems(NIDS): Giám sát toàn bộ lưu lượng mạng, được thiết kế để giám sát và phân tích lưu lượng mạng tổng thể nhằm phát hiện các hoạt động đáng ngờ 1. Host intrusion detection systems(HIDS): Hoạt động cụ thể trên từng máy chủ hoặc thiết bị cuối. HIDS tập trung vào việc giám sát các hoạt động, tệp hệ thống, nhật ký và hành vi người dùng trên chính máy mà nó được cài đặt để phát hiện mối đe dọa nội bộ hoặc đã lọt vào hệ thống. 1. Protocol-based intrusion detection system(PIDS): Tập trung giám sát các quy tắc và luồng của giao thức mạng như HTTPS để phát hiện các hoạt động bất thường, độc hại. PIDS thường được đặt ở trước máy chủ để bảo vệ máy chủ. 1. Application protocol-based intrusion detection systems (APIDS): APIDS khá giống PIDS nhưng giám sát lưu lượng một nhóm máy chủ điều này thường được tận dụng trên các giao thức ứng dụng cụ thể để giám sát hoạt động cụ thể, giúp quản trị viên mạng phân chia và phân loại tốt hơn các hoạt động giám sát mạng của họ. 1. Hybrid intrusion detection systems: Đây là hệ thống phát hiện xâm nhập lai, thực hiện bằng cách kết hợp nhiều phương pháp phát hiện xâm nhập khác nhau, việc kết hợp các phương pháp sẽ có cái nhìn hoàn chỉnh về hệ thống mạng. ### 2.3 Các loại IPS IPS cũng có 4 loại bao gồm: 1. Network-based intrusion prevention system (NIPS): Giám sát và bảo vệ mạng lưới rộng lớn từ các hành vi bất thường, các hoạt động đáng ngờ. Đây là một hệ thống diện rộng, có thể tích hợp với các phần mềm giám sát, cung cấp cái nhìn toàn diện về hệ thống. 1. Wireless intrusion prevention system (WIPS): Giám sát mạng không dây, wifi của một tổ chức, bảo vệ dữ liệu và thiết bị khỏi các mối đe doạ không dây. 1. Host-based intrusion prevention system (HIPS): Thường được triển khai trên chính thiết bị, máy chủ chính của một tổ chức, hệ thống sẽ giám sát toàn bộ lưu lượng vào ra của máy chủ, để phát hiện hành vi độc hại. 1. Network behavioral analysis (NBA): Giúp phân tích hành vi bất thường trong pattern của chính mạng, trở thành chìa khoá chính để phát hiện các cuộc tấn công như DDOS..... ### 2.4 Sự khác biệt giữa IDS và IPS IDS và IPS có nhiều điểm tương đồng về cơ chế phát hiện, tuy nhiên cũng tồn tại những khác biệt quan trọng về khả năng phản ứng: * Phản ứng chủ động: Đây là điều khác biệt quan trọng nhất giữa 2 giải pháp bảo mật. IDS chỉ dừng lại ở bước phát hiện sau đó để người dùng tự ra quyết định đối phó, trong khi IPS sẽ dựa vào những cài đặt, cấu hình chính sách trước đó để cố gắng cách ly, hạn chế hoặc ngăn chặn những mối đe doạ truy cập trái phép sâu vào hệ thống. * Sự bảo vệ: Do khác biệt về cơ chế triển khai nên IPS cho khả năng bảo vệ cao hơn vì nó hành động một cách tự động, khiến kẻ tấn công có ít thời gian hơn trong việc xâm nhập và hệ thống Nhưng bên cạnh những ưu điểm nổi bật IPS, một tác dụng phụ của nó là có thể gây ra False Positive, ảnh hưởng xấu đến tổ chức. IPS có thể chặn lưu lượng, ngắt mạng của người dùng trên danh nghĩa bảo vệ, gây ra những hành động rắc rối, ngay cả khi mối đe doạ không nghiệm trọng đến thế ### 2.5 Vị trí triển khai của IDS và IPS trong mạng ![image](https://hackmd.io/_uploads/HJe3LXUHbe.png) Hình trên cho ta thấy vị trí triển khai của IDS và IPS khác nhau IDS: IDS không đứng trực tiếp trong luồng mạng. Nó không được quyền chặn nên không được đặt vào đường truyền chính. Do đó IDS thường nhận bản sao lưu lượng, phổ biến bằng 2 cách là SPAN / Mirror port trên switch hoặc Network TAP - một thiết bị phần cứng chuyên dụng dùng cho packet sniffing Như vậy IDS giống camera an ninh chỉ ngồi quan sát, không can thiệp vào luồng mạng IPS: IPS đứng thẳng trong luồng traffic(inline), nó nằm trên đường đi của gói tin bởi nhiệm vụ của nó là ngăn chặn ngay lúc đó, nên traffic bắt buộc phải đi qua IPS. IPS có quyền Drop packet, reset connection, block session IPS thì giống trạm kiểm soát ai cũng phải đi qua để kiểm tra ## 3 Antivirus là gì ? Antivirus là một phần mềm ứng dụng được thiết kế để quét, phát hiện và ngăn chặn và loại bỏ những phần mềm độc hại ra khỏi máy tính, bảo vệ quyền riêng tư và sự an toàn cho các thiết bị khỏi các cuộc tấn công mạng. Một số phần mềm diệt virus có thể kể đến như là Windows Security, Kaspersky anti-virus, McAfree AntiVirus. ### 3.1 Phần mềm diệt virus có thể ngăn chặn những phần mềm độc hại nào nào? Có rất nhiều phần mềm độc hại đang tồn tại và gây nguy hiểm cho máy tính tiêu biểu có thể kể đến bao gồm: * Virus: Là phần mềm độc hại gắn vào file hoặc các chương trình hợp lệ. Điểm đặc biệt là chỉ hoạt động và tự nhân bản khi được thưc thi bởi người dùng như click vào một file chưa virus. * Trojan: Là phần mềm độc hại nhưng được nguỵ trang dưới dạng phần mềm hợp pháp để lừa người dùng ấn vào, loại này thì không có khả năng tự nhân bản hoặc lây lan nhưng có thể mở backdoor - một cửa sau để hacker vào hệ thống tuỳ ý, đánh cắp dữ liệu hoặc thực hiện nhiều hành động độc hại khác. * Worm: Là phần mềm độc hại có khả năng tự lây lan qua mạng, không cần người dùng tương tác hay vật chủ để phát tán. Worm thường khai thác lỗ hổng của các dịch vụ mạng đang hoạt động để xâm nhập và nhân bản sang hệ thống khác ### 3.2 Các chức năng chính của Antivirus Antivirus có các chức năng chính sau: * Phát hiện mã độc: Nhận diện virus, worm, trojan và các phần mềm độc hại phổ biến thông qua chữ ký và các kỹ thuật phát hiện cơ bản. * Bảo vệ theo thời gian thực: Giám sát liên tục các hoạt động trên hệ thống, ngăn chặn mã độc ngay khi chúng được thực thi hoặc xâm nhập. * Cách ly và xử lý mã độc (Quarantine): Cô lập các đối tượng nguy hiểm để tránh lây lan, sau đó cho phép xóa hoặc khôi phục theo quyết định người dùng. * Cập nhật cơ sở dữ liệu: Tự động cập nhật chữ ký mã độc nhằm nâng cao khả năng phát hiện các mối đe dọa mới. ### 3.3 Cơ chế hoạt động của Antivirus Antivirus thường hoạt động chủ yếu theo 3 bước chính: 1. Scan(Quét): Phần mềm Antivirus sẽ thực hiện quét toàn bộ máy tính bao gồm các tập tin, mã nguồn và dữ liệu trên máy tính, quá trình này có thể được tự động thực hiện theo lịch trình đã sắp đặt hoặc có thể quét thủ công. Thêm vào đó antivirus hiện đại cũng có cơ chế bảo vệ theo thời gian thực(real-time protection) có thể phát hiện các mối đe doạ độc hại 1. Detection(Phát hiện): Trong quá trình quét, antivirus sẽ đối chiếu kết quả tìm được với cơ sở dữ liệu chữ ký mã dộc(signature database) đã biết rộng lớn của nó. Nếu kết quả quét trùng khớp với kết quả có trong database nó sẽ được đánh dấu là độc hại. Cần thường xuyên cập nhật cơ sở dữ liệu để có thể phát hiện các mối nguy hiểm, độc hại mới nhất. 1. Eliminating(Loại bỏ): Tuỳ thuộc vào chính sách được cấu hình, antivirus sẽ cô lập và cách ly mối đe doạ để người dùng xoá nó, hoặc tự động xoá sau khi phát hiện. ### 3.4 Ưu điểm và nhược điểm của Antivirus Antivirus có những ưu điểm có thể kể đến như: * Có khả năng phát hiện virus và xử lý thông qua signature database một cách chính xác * Dễ triển khai và sử dụng * Giảm thiểu rủi ro lây nhiễm mã độc phổ biến Bên cạnh đó antivirus có những hạn chế nhất định: * Bị phụ thuộc vào signature database, khó có thể phát hiện những mã độc mới, chưa biết(zero-day) * Hiệu quả bị hạn chế trước các cuộc tấn công tinh vi, fileless malware, APT. * Có thể tốn tài nguyên hệ thống khi quét toàn bộ máy tính ## 4 Endpoint Detection and Response là gì ? EDR hay Endpoint Detection and Response là một giải pháp an ninh mạng giúp giám sát liên tục và ghi lại các hoạt động của các thiết bị cuối như máy tính, điện thoại, máy chủ đẻ phát hiện mối đe doạ, những hành vi bất thường, tự động phát hiện, ngăn chặn và loại bỏ chúng, vượt trội hơn antivirus truyền thống Một số EDR được phát triển bởi các nhà cung cấp lớn là CrowdStrike, SentinelOne, và Carbon Black ### 4.1 Các chức năng chính của EDR EDR bao gồm một số chức năng chính như sau: * Giám sát và thu thập hành vi: Theo dõi liên tục các hoạt động trên endpoint như tiến trình, tập tin, registry và kết nối mạng nhằm ghi nhận hành vi bất thường. * Phát hiện mối đe dọa: Phân tích hành vi và ngữ cảnh(context) hoạt động để phát hiện các cuộc tấn công nâng cao, bao gồm mã độc chưa có chữ ký, zero-day và fileless malware. * Phản ứng sự cố: Cho phép thực hiện các hành động phản ứng như cô lập endpoint, dừng tiến trình độc hại, xóa hoặc khôi phục các thay đổi gây nguy hiểm. * Hỗ trợ săn tìm mối đe doạ: Hỗ trợ chuyên viên bảo mật chủ động tìm kiếm các mối đe dọa tiềm ẩn dựa trên dữ liệu hành vi đã thu thập được và giả thuyết tấn công. ### 4.2 Cơ chế hoạt động của EDR Mặc dù có rất nhiều nhà cung cấp với các loại EDR khác nhau nhưng nhìn chung cách hoạt động vẫn tương tự nhau gồm: 1. Thu thập dữ liệu: EDR triển khai tác nhân (agent) trên các điểm cuối như máy tính, laptop, máy chủ và thiết bị di động nhằm giám sát liên tục các hoạt động trên hệ thống. Agent này ghi nhận các sự kiện như thao tác với tệp, thay đổi registry, tiến trình và lệnh được thực thi, cũng như các kết nối mạng. Dữ liệu thu thập được sẽ được gửi về hệ thống EDR trung tâm (cloud hoặc on-premises) để phục vụ cho quá trình phân tích. 1. Phân tích và Phát hiện: Dữ liệu sau khi được thu thập sẽ được EDR phân tích bằng các kỹ thuật phân tích hành vi, kết hợp với AI, học máy và các quy tắc phát hiện. Hệ thống đối chiếu các hành vi quan sát được với thông tin tình báo mối đe dọa để nhận diện các hoạt động bất thường, bao gồm các cuộc tấn công tinh vi như fileless malware hoặc các kỹ thuật mà phương pháp dựa trên chữ ký không thể phát hiện. 1. Phản ứng và Ứng phó: Khi phát hiện mối đe dọa, EDR sẽ tạo cảnh báo theo thời gian thực để thông báo cho đội ngũ an ninh. Tùy theo chính sách được cấu hình, hệ thống có thể tự động thực hiện các biện pháp phản ứng như cô lập điểm cuối khỏi mạng để ngăn chặn lây lan. Đồng thời, EDR cung cấp công cụ hỗ trợ điều tra và truy vết, giúp chuyên gia an ninh phân tích toàn bộ chuỗi tấn công và thực hiện các hành động khắc phục cần thiết. ### 4.3 Những hạn chế của EDR Mặc dù EDR có những ưu điểm mạnh nhưng cũng có những hạn chế nhất định: * Phạm vi hẹp: EDR chỉ tập trung vào giám sát điểm cuối, dẫn đến bỏ lỡ các cuộc tấn công lợi dụng mạng, đám mây hoặc các thiết bị IoT không được quản lý * Dương tính giả(False Positive): Việc phân tích dựa trên hành vi có thể tạo ra những cảnh báo giả, những cảnh báo không cần thiết gây mệt mỏi cho đội ngũ bảo mật ### 4.4 So sánh EDR và Antivirus Mặc dù có những điểm khá giống nhau nhưng EDR và Antivirus có một số điểm khác biệt lớn: Mục tiêu và phạm vi: Antivirus tập trung vào việc phát hiện và loại bỏ các mã độc đã biết trên từng thiết bị riêng lẻ, còn EDR hướng đến việc giám sát toàn bộ hệ thống Endpoint để phát hiện sớm, điều tra và kiểm soát các cuộc tấn công nâng cao trên diện rộng. Cơ chế phát hiện và phản ứng: Antivirus chủ yếu sựa trên cơ sở dữ liệu chữ ký để phát hiện mã độc và phản ứng bằng cách cách ly hoặc xoá tệp độc hại, trong khi EDR sử dụng phân tích hành vi, ngữ cảnh cùng các kỹ thuật AI phát hiện các hoạt động bất thường, đồng thời hỗ trợ điểu tra chuyên sâu. ## 5 SIEM là gì ? Security Information and Event Management là hệ thống quản lý thông tin và sự kiện bảo mật giúp thu thập, phân tích và quản lí dữ liệu từ nhiều nguồn khác nhau để phát hiện, điều tra và ứng phó các mối đe dọa an ninh theo thời gian thực, mang lại cái nhìn toàn diện về tình hình bảo mật cho tổ chức. Nó được kết hợp từ SIM - lưu trữ và phân tích dữ liệu bảo mật dài hạn và SEM - tập trung giám sát và phân tích sự kiện theo thời gian thực để cảnh báo sớm về các mối đe doạ ### 5.1 Các chức năng chính của SIEM SIEM có các chức năng chính bao gồm: * Thu thập và gom dữ liệu: SIEM thu thập các dữ liệu như log từ nhiều nguồn khác nhau như trong hệ thống mạng, trong các máy chủ, ứng dụng sau đó tập trung về một hệ thống quản lý sự kiện, đã được kiểm tra cú pháp để doanh nghiệp, tổ chức có cái nhìn tổng quan hơn * Phân tích dữ liệu và tương quan: Phân tích đồng thời các sự kiện từ nhiều nguồn khác nhau để phát hiện các hành vi, dấu hiệu tấn công phức tạp mà một hệ thống độc lập không thể thấy * Phát hiện mối đe doạ: SIEM sử dụng các quy tắc, phân tích hành vi, AI/học máy để nhận diện các mối đe doạ như xâm nhập, mã độc, tấn công DDOS. * Tạo cảnh báo và phân loại ưu tiên: Khi phát hiện rủi ro, SIEM cảnh báo với mức độ nghiệm trọng, mức độ ưu tiên rõ ràng để giúp đội ngũ bảo mật tập trung xử lý vấn đề nghiệm trọng trước, tối ưu hoá thời gian phản ứng ### 5.2 Cơ chế hoạt động của SIEM Hiện nay có rất nhiều SIEM được phát triển bởi các công ty lớn như Splunk, ELK, Wazuh, IBM Qradar, ArcSight nhưng cách hoạt động gần như tương tự nhau gồm: 1. Thu thập dữ liệu: SIEM sử dụng agent hoặc cơ chế không agent để thu thập log và sự kiện từ hàng trăm nguồn khác nhau: tường lửa, máy chủ (Windows, Linux), hệ thống bảo mật (IDS/IPS, Antivirus), ứng dụng, thiết bị đầu cuối 1. Chuẩn hóa & Lưu trữ: Dữ liệu thu thập được chuẩn hóa về một định dạng nhất quán, dễ phân tích. Toàn bộ dữ liệu được lưu trữ tập trung, dài hạn 1. Phân tích & Tương quan: Sử dụng các thuật toán, học máy để tìm kiếm mẫu hình, sự kiện bất thường. Thêm vào đó kết hợp các sự kiện riêng lẻ từ nhiều nguồn khác nhau để hiểu rõ bối cảnh(contex), phát hiện các cuộc tấn công phức tạp mà một sự kiện đơn lẻ không thể hiện ra. 1. Cảnh báo & Báo cáo: Khi phát hiện mối đe dọa, SIEM tạo cảnh báo với mức độ ưu tiên, gửi đến đội ngũ bảo mật qua dashboard, tự động tạo báo cáo tuân thủ như PCI-DSS, ISO27001 ### 5.3 Kết hợp SIEM với hệ sinh thái bảo mật SIEM thường được tích hợp với EDR để thu thập log, hành vi và cảnh báo từ các điểm cuối. Dữ liệu từ EDR giúp SIEM hiểu rõ hơn bối cảnh tấn công ở cấp độ endpoint, từ đó nâng cao khả năng phát hiện các mối đe dọa nâng cao và tấn công kéo dài. Bên cạnh đó, SIEM cũng được tích hợp với SOAR(Security Orchestration, Automation, and Response) nhằm tự động hóa quy trình phản ứng sự cố. Khi SIEM phát hiện và cảnh báo một mối đe dọa, SOAR có thể thực hiện các hành động phản ứng tự động như chặn IP, cô lập thiết bị, vô hiệu hóa tài khoản hoặc kích hoạt quy trình xử lý sự cố, giúp giảm thời gian phản ứng và hạn chế thiệt hại. ## Tài liệu tham khảo https://www.fortinet.com/resources/cyberglossary/firewall https://www.hpe.com/emea_europe/en/what-is/ids-ips.html https://www.sangfor.com/glossary/cybersecurity/what-is-anti-virus https://www.microsoft.com/vi-vn/security/business/security-101/what-is-edr-endpoint-detection-response https://www.microsoft.com/vi-vn/security/business/security-101/what-is-siem