New Microsoft Word Documenttttttttttt.docx
gamingcenterdc
12 views
5 slides
Mar 04, 2025
Slide 1 of 5
1
2
3
4
5
About This Presentation
a
Slide Content
THIẾT KẾ, VẬN HÀNH IBM QRADAR SIEM
-Giới thiệu giải pháp IBM SIEM Qradar
-Mô hình, thiết kế giải pháp SIEM Qradar
-Tính năng mỗi thành phần trong hệ thống SIEM
-Giao diện, vận hành hệ thống SIEM Qradar
-Demo use case
1.GIỚI THIỆU GIẢI PHÁP SIEM QRADAR
Qradar được thiết kế để ghi nhận lại các sự kiện, nhật ký thời gian thực,
cũng như các luồng dữ liệu qua hệ thống mạng, từ đó phát hiện ra các lỗ
hổng bảo mật và xậm nhập từ bên ngoài.
Qradar SIEM là giải pháp bảo mật doanh nghiệp có khả năng mở rộng,
hợp nhất từ nhiều nguồn dữ liệu, sự kiện từ hàng nghìn thiết bị của các
hãng khác nhau tập trung để phân tích các bảo mật, rủi ro trong hệ thống
cntt. Đưa ra cái nhìn tổng quan về an ninh mạng.
► Các dữ liệu được thu thập và phân tích bởi Qradar SIEM:
-Giới thiệu giải pháp IBM SIEM Qradar
-Mô hình, thiết kế giải pháp SIEM Qradar
-Tính năng mỗi thành phần trong hệ thống SIEM
-Giao diện, vận hành hệ thống SIEM Qradar
-Demo use case
1.GIỚI THIỆU GIẢI PHÁP SIEM QRADAR
Qradar được thiết kế để ghi nhận lại các sự kiện, nhật ký thời gian thực,
cũng như các luồng dữ liệu qua hệ thống mạng, từ đó phát hiện ra các lỗ
hổng bảo mật và xậm nhập từ bên ngoài.
Qradar SIEM là giải pháp bảo mật doanh nghiệp có khả năng mở rộng,
hợp nhất từ nhiều nguồn dữ liệu, sự kiện từ hàng nghìn thiết bị của các
hãng khác nhau tập trung để phân tích các bảo mật, rủi ro trong hệ thống
cntt. Đưa ra cái nhìn tổng quan về an ninh mạng.
► Các dữ liệu được thu thập và phân tích bởi Qradar SIEM:
→ Security events: Từ hệ thống Firewalls, VPN, hệ thống phát hiện và ngăn chặn xâm
nhập IPS/IDS, firewall cơ sở dữ liệu, VP hệ điều hành…
→ Network events: Từ các thiết bị như switches, routers, hosts…
→ User or asset context: Dữ liệu từ hệ thống thông tin định danh, thiết bị quản lý truy
cập, công cụ quét lỗ hổng bảo mật, AD…
→ Operating system information: Thông tin hệ điều hành, nhà cung cấp, phiên bản cụ
thể trong tài nguyên mạng
→ Application logs: Cơ sở dữ liệu ứng dụng, nền tảng quản lý và vận hành
→ Threat intelligence: Các nguồn từ IBM X-Force Threat Intelligence
► Các thành phần giải pháp IBM QRADAR
Events là các bản ghi nhật ký (log) có hành động cụ thể và xảy ra vào thời điểm duy
nhất sau đó hoàn tất, được tạo ra bởi các hệ thống, ứng dụng, hoặc thiết bị mạng.
VD: 1 người đăng nhập vào hệ thống
1 người nhập sai mk nhiều lần
Firewall chặn 1 kết nối đáng ngờ
Flows là thông tin về lưu lượng mạng, thường kéo dài hơn, được tạo ra bằng cách
phân tích các gói dữ liệu di chuyển trong hệ thống.
Không giống logs, flows không chứa dữ liệu chi tiết về nội dung, mà chỉ ghi lại thông tin
về kết nối gữa 2 thiết bị như:
+ Địa chỉ IP nguồn và đích
+ Cổng nguồn và cổng đích
nhập IPS/IDS, firewall cơ sở dữ liệu, VP hệ điều hành…
→ Network events: Từ các thiết bị như switches, routers, hosts…
→ User or asset context: Dữ liệu từ hệ thống thông tin định danh, thiết bị quản lý truy
cập, công cụ quét lỗ hổng bảo mật, AD…
→ Operating system information: Thông tin hệ điều hành, nhà cung cấp, phiên bản cụ
thể trong tài nguyên mạng
→ Application logs: Cơ sở dữ liệu ứng dụng, nền tảng quản lý và vận hành
→ Threat intelligence: Các nguồn từ IBM X-Force Threat Intelligence
► Các thành phần giải pháp IBM QRADAR
Events là các bản ghi nhật ký (log) có hành động cụ thể và xảy ra vào thời điểm duy
nhất sau đó hoàn tất, được tạo ra bởi các hệ thống, ứng dụng, hoặc thiết bị mạng.
VD: 1 người đăng nhập vào hệ thống
1 người nhập sai mk nhiều lần
Firewall chặn 1 kết nối đáng ngờ
Flows là thông tin về lưu lượng mạng, thường kéo dài hơn, được tạo ra bằng cách
phân tích các gói dữ liệu di chuyển trong hệ thống.
Không giống logs, flows không chứa dữ liệu chi tiết về nội dung, mà chỉ ghi lại thông tin
về kết nối gữa 2 thiết bị như:
+ Địa chỉ IP nguồn và đích
+ Cổng nguồn và cổng đích
+ Giao thức sử dụng (TCP, UDP, ICMP…)
+ Dung lượng dữ liệu truyền đi
+ Thời gian kết nối
VD: 1 kết nối SSH từ máy tính A đến server B
1 lượng lớn dữ liệu bị truyền ra ngoài từ 1 thiết bị nội bộ
download files hay xem 1 bộ phim
Một máy chủ đang quét toàn bộ dải IP nội bộ.
Kiến trúc đầy đủ QRadar SIEM:
Thành phần thu thập (Collector): thu thập các sự kiện events, dữ liệu flows, phân
tích cú pháp và chuẩn hóa trước khi gửi đi phân tích.
Thành phần phân tích (Processer): dựa vào các events, flows đã được chuẩn hóa để
phân tích tương quan để đưa ra từng hành vi liên quan đến an ninh hệ thống.
Thành phần phản ứng (Respond): đưa ra các ứng xử theo các hành vi đã được phân
tích, có thể là báo cáo, cảnh báo mà dựa vào đó người quản trị có thể nhanh chóng
xử lý sự cố an toàn an ninh thông tin hoặc lưu trữ theo thời gian.
2.Mô hình, thiết kế giải pháp SIEM Qradar
Mô hình giải pháp IBM QRADAR All-in-one console
+ Dung lượng dữ liệu truyền đi
+ Thời gian kết nối
VD: 1 kết nối SSH từ máy tính A đến server B
1 lượng lớn dữ liệu bị truyền ra ngoài từ 1 thiết bị nội bộ
download files hay xem 1 bộ phim
Một máy chủ đang quét toàn bộ dải IP nội bộ.
Kiến trúc đầy đủ QRadar SIEM:
Thành phần thu thập (Collector): thu thập các sự kiện events, dữ liệu flows, phân
tích cú pháp và chuẩn hóa trước khi gửi đi phân tích.
Thành phần phân tích (Processer): dựa vào các events, flows đã được chuẩn hóa để
phân tích tương quan để đưa ra từng hành vi liên quan đến an ninh hệ thống.
Thành phần phản ứng (Respond): đưa ra các ứng xử theo các hành vi đã được phân
tích, có thể là báo cáo, cảnh báo mà dựa vào đó người quản trị có thể nhanh chóng
xử lý sự cố an toàn an ninh thông tin hoặc lưu trữ theo thời gian.
2.Mô hình, thiết kế giải pháp SIEM Qradar
Mô hình giải pháp IBM QRADAR All-in-one console
Mô hình giải pháp QRADAR TIER DC-DR
Mô hình giải pháp IBM QRADAR TIER DC-DR
Tags
Categories
GeneralDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 12
- Slides 5
- Age 275 days
Related Slideshows
22
Pray For The Peace Of Jerusalem and You Will Prosper
RodolfoMoralesMarcuc
32 views
26
Don_t_Waste_Your_Life_God.....powerpoint
chalobrido8
35 views
31
VILLASUR_FACTORS_TO_CONSIDER_IN_PLATING_SALAD_10-13.pdf
JaiJai148317
32 views
14
Fertility awareness methods for women in the society
Isaiah47
30 views
35
Chapter 5 Arithmetic Functions Computer Organisation and Architecture
RitikSharma297999
29 views
5
syakira bhasa inggris (1) (1).pptx.......
ourcommunity56
30 views