Top 7 trường hợp các hệ thống SIEM cần giám sát phân tích

Top 7 trường hợp các hệ thống SIEM cần giám sát phân tích

Top 7 Use case mà các hệ thống SIEM cần giám sát

Trong thời đại bùng nổ chuyển đổi số hiện nay vấn đề an toàn của các hệ thống khi tham gia các giao dịch, hoạt động trên Internet là rất quan trọng. Vậy cần giám sát những trường hợp nào để có hiệu quả  và tận dụng cao nhất các nguồn lực hiện có của doanh nghiệp. GiaiphapmangH3T giới thiệu top 7 trường hợp các hệ thống SIEM cần giám sát phân tích.

Top 7 trường hợp các hệ thống SIEM cần giám sát phân tích
Top 7 trường hợp các hệ thống SIEM cần giám sát phân tích
  1. Botnet activity (Giám sát hoạt động của các mạng máy tính ma)

Giám sát hoạt động của các máy tính, thiết bị trong mạng và đưa ra các cảnh báo dựa vào các nguồn log chính: Firewall, IDS, Proxy, Mail, Threat Intelligence với điều kiện phát hiện là Các kết nối đến hoặc từ các máy/host bị nhiễm độc.

Sau khi thực hiện phân tích đưa kết quả lên màn hình giám sát.

  1. Virus outbreak

Phát hiện và đưa ra cảnh báo về các loại mã độc dựa trên nguồn log của phần mềm diệt virus với điều kiện là 3 virus được phát hiện với cùng tên sẽ đưa ra cảnh báo và hiển thị trên màn hình giám sát.

  1. Successful attack/ malicious code

Malicious code là một ứng dụng tự động thực thi có thể tự kích hoạt và có nhiều dạng khác nhau, bao gồm Java Applet, điều khiển ActiveX, nội dung được đẩy, plug-in, ngôn ngữ kịch bản hoặc các ngôn ngữ lập trình khác được thiết kế để nâng cao trang Web và email.

Nguồn log chính bao gồm log từ các thiết bị IDS/IPS, CSDL các lỗ hổng Vulnerability. Điều kiện phát hiện là Assets mục tiêu có trong lỗ hổng với mức độ cao.

  1. SQL Injection

Nguồn log chính bao gồm: IDS/IPS, Web server, DAM. Điều kiện cảnh báo 5 lần cố gắng chèn mã trong 1 khoảng thời gian đặt trước. Hiện thị kết quả lên màn hình.

  1. Phishing

Nguồn log chính: IDS, Mail, Threat Intelligence, Firewall, Proxy. Điều kiện cảnh báo: có kết nối tới hoặc có kết nối từ các host độc hại đã biết. Hiện thị kết quả lên màn hình.

  1. Unauthorized remote access

Nguồn log chính là từ các GW VPN và các ứng dụng. Điều kiện cảnh báo: Kết nối thành công đến từ một miền không phải là thành viên.

  1. Suspicious activity

Nguồn log chính: VPN, Firewall, IDS, Mail, Proxy, VPN. Điều kiện phát hiện: các hoạt động bất thường như : dò quét, tấn công vét cạn, khai thác lỗ hổng…

Ngoài Top 7 trường hợp các hệ thống SIEM cần giám sát phân tích ra còn rất nhiều các tấn công mạng khác, các bạn có ý kiến hãy bình luận bên dưới.

Nếu cần trao đổi kỹ hơn hãy liên hệ chúng tôi để cùng cập nhật những kiến thức mới nhé. Tham khảo MITRE ATT&CK

Chúng rôi vẫn cung cấp dịch vụ cài đặt, triển khai hệ thống, máy chủ. Tham khảo tại đây