# 1. Fundamentals of SIEM

Security Information and Event Management (SIEM) là một nhóm các công nghệ giúp phát hiện và phản ứng các mỗi đe dọa (threats) và sự cố (incidents). Hệ thống này cung cấp một cách tiếp cận toàn diện về an ninh và cung cấp cho các tổ chức khả năng hiển thị cần thiết, khả năng tương quan và phân tích để xác định và ứng phó với các sự cố an ninh.

Một hệ thống SIEM giúp đảm bảo tổ chức của bạn đang được điều chỉnh với ba nguyên tắc của tam giác bảo mật.

<details>

<summary>Events in Your IT Environment</summary>

* Application logs
* System logs
* DNS server logs
* Security logs
* ...

</details>

SIEM hỗ trợ tổng hợp dữ liệu từ các nguồn khác nhau để kiểm tra giám sát hiệu quả báo cáo và bảo mật.

SIM + SEM = SIEM

<figure><img src="/files/TCuAQXUzm3eM14RUNSDK" alt=""><figcaption></figcaption></figure>

SEM ghi lại logs an event's data và giúp cung cấp giám sát mối đe dọa, ứng phó sự cố và tương quan của các event.

SIM báo cáo, thu thập, và phân tích log data.

## SIEM in Action

<figure><img src="/files/CMYdg9ycYhRE2rKyy908" alt=""><figcaption></figcaption></figure>

SIEM như một cái phễu thu thập các hoạt động tổng hợp và phân tích trong thời gian thực từ nhiều nguồn khác nhau.

Nó tổ chức tất cả events theo một format đơn giản đến bảng quản lý tập trung cho nhóm bảo mật.

## Functions of SIEM

1. `Data collection (Thu thập dữ liệu)`: đóng vai trò là trung tâm đường dẫn an toàn tổng hợp dữ liệu từ các nguồn khác nhau và hiển thị chúng on a dashboard (bảng điều khiển). Quá trình thu thập này thường được thực hiện bởi các tác nhân hoặc ứng dụng được triển khai trên các hệ thống được giám sát và được cấu hình để chuyển tiếp dữ liệu đến SIEM. Và SIEM lần lượt thu thập dữ liệu và lưu trữ chúng một cách an toàn chống lại bất kỳ sự truy cập hoặc sửa đổi trái phép nào;
2. `Normalization (chuẩn hóa)`: SIEM thực sự có rất nhiều nền tảng giúp đơn giản hóa các hoạt động bảo mật của chúng ta. Vì dữ liệu được lấy từ các loại hệ thống khác nhau và ứng dụng, định dạng kết quả cũng rất đa dạng. Các nguồn dữ liệu là checkpoint firewall, Cisco router, and the IDS. Các kết quả đầu ra khác nhau đại diện cho thông tin khác nhau. Việc hiểu điều này một cách thủ công sẽ đòi hỏi rất nhiều thời gian và nỗ lực để cho phép diễn giải dữ liệu một cách dễ hiểu trên các nguồn khác nhau. Và đối với các sự kiện, SIEM tương quan theo thiết kế của chúng có thể bình thường hóa logs có nghĩa là processing the logs thành một định dạng có cấu trúc và có thể đọc được;
3. `Correlation and analysis (tương quan và phân tích)`: SIEM được thiết kế dựa trên rules đại diện cho nhiều lĩnh vực quan tấm khác nhau tới các nhà quản trị. Sau quá trình bình thường hóa, SIEM sử dụng các quy tắc tương quan và trong một số trường hợp trí tuệ nhân tạo và kỹ thuật khai thác dữ liệu để phân tích dữ liệu xác định các patterns (mẫu) và phát hiện các vi phạm tiềm ẩn. Khi hiệu chỉnh chính sách SIEM có thể trao cờ làm tín hiệu cảnh báo. Để phát hiện virus, tấn công DDoS;
4. `Event management and reporting (quản lý và báo cáo sự kiện):` Khả năng trực quan hóa từ các sự kiện dữ liệu. Là một thành phần quan trọng khác trong các công cụ SIEM. Nó đại diện tất cả thông tin cho đội ngữ bảo mật. Thông qua các dashboards chứa nhiều hình ảnh trực quan. Điều này giúp theo dõi sức khỏe chung của cơ sở hạ tầng CNTT của bạn.

## Benefits of SIEM

<figure><img src="/files/g4pXZOytzw3RBV8vQzFz" alt=""><figcaption></figcaption></figure>

SIEM hoàn toàn không phải là sự thay thế cho security team hoặc một chương trình hoặc chiến lược bảo mật toàn diện. Tuy nhiên nó có thể mang lại nhiều lợi ích:

* SIEM tăng cường tình trạng bảo mật tổng thể của tổ chức bạn:&#x20;
  1. *Visibility (khả năng hiển thị) :* quản lý cảnh báo, xác định các phản hồi, cái nhìn toàn diện về toàn bộ môi trường CNTT, Giảm vi phạm -> giúp phát hiện sự bất thường sớm hơn và nhường chỗ cho những phản hồi được cải thiện.
  2. *Threat Intelligence*: Với dữ liệu phù hợp được thu thập trong toàn tổ chức của bạn, SIEM tools có thể dễ dàng phát hiện các hoạt động đánh ngờ, thông tin đăng nhập không xác định và các loại mối đe dọa khác trước khi hành vi vi phạm thực sự xảy ra. Bằng cách sử dụng cả nguồn cấp dữ liệu thông tin về mối đe dọa (threat intelligence) hỗ trợ việc xác định các dấu hiệu của sự thỏa hiệp, nó cung cấp cái nhìn sâu sắc có giá trị về một tổ chức, xu hướng và rủi ro về tình hình an ninh.
  3. *Compliance (Sự tân thủ)*: Tùy thuộc vào ngành mà tổ chức của bạn hoạt động, cần phải điều chỉnh các tiêu chuẩn báo cáo tuân thủ nghiêm ngặt chẳng hạn như: PCI, DSS, the HIPAA, NIST, etc. SIEM hợp lý hóa việc báo cáo tuân thủ bằng cách tọa báo cáo từ các sự kiện bảo mật được ghi lại cho người kiểm toán của bạn.
  4. Incident Management (Quản lý sự cố): SIEM tools nâng cao hiệu quả của hoạt động quản lý sự cố bằng cách tạo ra Actionable real-time alerts (các cảnh báo thời gian thực có thể hành động) cho đội an ninh của bạn. Sự cố an ninh mạng càng không được chú ý, thiệt hại có thể xảy ra càng lớn. Khả năng nhóm bảo mật của bạn được cảnh báo trong thời gian thực đóng vai trò quan trọng trong việc cô lập, containing and stoping events.
  5. Forensics: SIEM có thể được sử dụng để thực hiện phân tích pháp y trên dữ liệu thu thập từ nhiều nguồn khác nhau để giúp hiểu các sự cố bảo mật trong quá khứ và chuẩn bị tốt hơn cho tương lai.
  6. Zero-Day Threat Detection: Một SIEM tốt thông qua các hoạt động suốt ngày đêm sẽ liên tục tự cập nhật với các dấu hiệu tấn công mới và các mẫu hành vi để có thể xác định các hoạt động và hành vi độc hại chưa được biết trước đây hoặc các tác nhân của threat bằng cách thu thập logs từ các thiết bị khác nhau trong tổ chức của bạn.
  7. Money Saving: Chi phí trung bình cho một vụ vi phạm dữ liệu ước tính là 3.4 triệu đô và điều này bao gồm các tác động tài chính và phi tài chính. Không có gì ngạc nhiên khi ngày càng có nhiều tổ chức hiện đang đầu tư vào giải pháp này.

## How SIEMs work

<figure><img src="/files/Pe68huXYYgP0wkQtyUHT" alt=""><figcaption></figcaption></figure>

<details>

<summary>4 mô hình triển khai chính cho SIEM</summary>

* Triển khai tại chỗ
* Triển khai trên nền tảng đám mây
* Triển khai kết hợp
* Triển khai dịch vụ

</details>

<details>

<summary>On-premises (triển khai tại chỗ hoặc tự quản lý)</summary>

* Đây là triển khai truyền thống.&#x20;
* Tại đây SIEM tool đã được cài đặt và chạy trên máy chủ của chính tổ chức, thường xuyên với một thiết bị SIEM chuyên dụng thu thập và phân tích dữ liệu nhật ký từ mạng.
* Cung cấp toàn quyền kiểm soát giải pháp của họ và phù hợp nhất cho các tổ chức lưu các tài nguyên bảo mật khác trên cơ sở của họ và yêu cầu bảo mật chặt chẽ đối với dữ liệu họ thu thập.
* Từ đó tại điều kiện để họ tùy chỉnh công cụ theo nhu cầu cụ thể của họ.

</details>

<details>

<summary>Modern (hiện đại), Cloud, IaaS</summary>

* mô hình đang được ưa chuộng hơn
* với việc áp dụng điện toán đám mây ngày càng tăng trên toàn cầu, SIEM tool được hosted và managed bởi một nhà cung cấp off-site.&#x20;
* Điều này thường ít phức tạp hơn và tốn ít thời gian hơn.
* Lợi ích lớn là tính linh hoạt và khả năng mở rộng. Nó cho phép đội bảo mật của bạn tập trung vào các hoạt động nghiệp vụ khác.
* Tuy nhiên, việc triển khai đám mây có thể tốn kém hơn, và cũng có thể lo ngại về quyền riêng tư và bảo mật dữ liệu.

</details>

<details>

<summary>Hybrid</summary>

* Được hosted một phần bởi nhà cung cấp dịch vụ bảo mật được quản lý (MSSP - Managed security service provider) và trên máy chủ của chính tổ chức.
* Nó cung cấp những lợi ích của cả hai trên cơ sở triển khai tại chỗ và triển khai đám mây cho phép bạn tận dụng khả năng mở rộng và độ tin cậy của cơ sở hạ tầng đám mây trong khi vẫn giữ quyền kiểm soát dữ liệu của bạn.

</details>

<details>

<summary>SIEM as a Service</summary>

* ở đây các tổ chức thuê ngoài hoàn toàn SIEM của họ từ nhà cung cấp dịch vụ bảo mật được quản lý (MSSP). Các MSSP này cung cấp cơ sở hạ tầng xử lý tất cả các cấu hình cần thiết, bảo trì nâng cấp tích hợp và hỗ trợ. MSSPs có thể quản lý SIEM tập trung, giám sát mạng của nhiều khách hàng, hoặc họ có thể chọn cấu hình và quản lý nền tảng giống nhau được cá nhân hóa cho từng khách hàng của họ.
* Luôn tuân thủ các thông lệ và quy định tốt nhất.

</details>

Vậy mô hình host nào phù hợp với tổ chức của bạn????? Nó phụ thuộc vào nhu cầu cụ thể của tổ chức bạn. Và cuối cùng là sự đánh đổi mà bạn sẵn sàng thực hiện giữa các liên quan: Sự kiểm soát, độ phức tạp, chi phí và bảo mật.

<details>

<summary>Những cân nhắc có thể hướng dẫn triển khai mô hình SIEM của bạn</summary>

1. Việc xem xét cơ sở hạ tầng hiện có của bạn. Hiện tại bạn có phần cứng và phần mềm nào có thể sử dụng cho SIEM không?
2. Bạn không có cơ sở hạ tầng?
3. Kỳ vọng của bạn về hiệu suất phân tích, hiệu suất báo cáo, khả năng mở rộng, lưu trữ và chi phí là gì?
4. Tổ chức của bạn có đội ngũ chuyên gia bảo mật để quản lý giải pháp SIEM không? Nếu không thì có thể chọn SIEM as service model.

</details>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/role/information-security-specialist/siem/1.-fundamentals-of-siem.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.