CHƯƠNG 2: THIẾT BỊ VÀ GIẢI PHÁP TRIỂN KHAI HỆ THỐNG QRADAR SIEM

Khả năng tự động xác định các nguồn tạo Log (tên các tài sản IT,

profile của ứng dụng...). Và phát hiện ra các lỗ hổng bảo mật của

các nguồn tạo Log và đưa ra cảnh báo ngay khi các lỗ hổng bảo mật

đó bị khai thác.

•

Khả năng chuẩn hoá và so sánh tương quan các Log theo thời gian

thực cũng như các dữ liệu trong quá khứ nhằm cung cấp cho người

quản trị một bức tranh toàn cảnh về an ninh thông tin theo thời gian.

Tự động Update các Rules mới để đưa ra các xử lý kịp thời khi có

nguy cơ mất an toàn mạng.

2.1.1. Chức năng của các thiết bị

•

Flow Collector

Đây là nơi thu thập các luồng dữ liệu từ mạng được giám sát. FC thường thu

nhận luồng dữ liệu từ các Switch hoặc các Router và các thiết bị đó được cấu hình

để có chức năng span port của Cisco hoặc sẽ sử dụng các Network Tab. Sau đó dữ

liệu cũng được nén, mã hóa và chuyển về FP xử lý thông qua cổng 22. CONSOLE

sẽ cấu hình cho FC lắng nghe ở cổng Ethernet được kết nối với Span port hoặc

Network Tab để thu thập luồng dữ liệu. Khả năng xử lý hiện tại trên hệ thống

GSANM đối với FC là 220000FPM. Network Tab là một thiết bị phần cứng để

truy cập dữ liệu lưu thông qua mạng máy tính, có vai trò giám sát lưu lượng mạng

giao thông giữa hai điểm mạng. Network Tab có it nhất 3 cổng: Cổng A, cổng B và

cổng màn hình, một tap sẽ được chèn vào giữa hai cổng A và B, nó sẽ cho tất cả

các lưu lượng mạng truy cập thông qua không bị cản trở và có một bản sao dữ liệu

đến cổng màn hình để nghe thông tin, thường được sử dụng cho các hệ thống phát

hiện xâm nhập, thiết bị thăm dò mạng và các thiết bị giám sát và thu thập, thường

được sử dụng trong các ứng dụng bảo mật vì nó không làm ảnh hưởng tới mạng và

khó bị phát hiện

•

Flow Procesor

Đây là nơi xử lý luồng dữ liệu, FP nhận dữ liệu từ Flow Collector và xử lý

dựa trên các tập luật của FP. Sau đó, các cảnh báo sẽ được nó gửi lên CONSOLE

còn các sự kiện không đưa ra cảnh báo sẽ được lưu trữ tại FP và được quản lý dựa

trên giao diện web của CONSOLE. Thời gian lưu trữ các sự kiện này tùy thuộc vào

cấu hình thường là ba tháng.

•

Event Collector

•



27



Là nơi thu thập nhật ký hệ thống, tiếp nhận các nhật ký hệ thống từ các thiết

bị, hoặc các ứng dụng gửi về. Tại đây nhật ký hệ thống sẽ được mã hóa, nén và gửi

về EP qua cổng 22. Sau đó nó sẽ được EP phân tích và xử lý.

Đối với EC có rất nhiều phương pháp lấy nhật ký hệ thống khác nhau VD:

Cài đặt Agent lên các máy tính cần thu thập và gửi nhật ký hệ thống đã được chỉ

định về cho EC. Tại CONSOLE người quản trị sẽ cấu hình cho EC thu nhận các

nhật ký hệ thống từ các Agent này. Sau đó các nhật ký hệ thống này sẽ được quản

lý dựa trên giao diện web của CONSOLE. EC chỉ có khả năng thu thập các sự kiện

mà không có khả năng thu thập các luồng dữ liệu. Với một thiết bị, dịch vụ như

IIS, thường có khoảng 20 sự kiện trên giây (20 EPS).

•

Event Processor

Đây là nơi xử lý các sự kiện được gửi về từ Event Collector. Các sự kiện này

sẽ được xử lý thông qua các tập luật tại đây. Nếu là cảnh báo hoặc các sự kiện từ

các thiết bị an ninh đưa ra cảnh báo thì nó sẽ được gửi trực tiếp lên CONSOLE để

xử lý. Nếu là các sự kiện không đưa ra cảnh báo sẽ được lưu trữ tại đây mà không

chuyển lên CONSOLE.

Các sự kiện được lưu trữ tùy theo cấu hình của quản trị, thường là ba tháng

cho các sự kiện không đưa ra cảnh báo. Các nhật ký hệ thống không đưa ra cảnh

báo nó sẽ được quản lý qua giao diện web của CONSOLE.

•

CONSOLE

Là nơi xử lý, lưu trữ các sự kiện an ninh được cảnh báo, các sự kiện này

được gửi lên từ Event Processor và Flow Processor. Ngoài ra tại đây còn chứa các

tập luật xử lý các dữ liệu, CONSOLE có khả năng hoạt động độc lập.

CONSOLE có hai giao diện, giao diện command line giúp người quản trị

cấu hình, xử lý các lỗi hệ thống... và giao diện web là nơi hiển thị các cảnh báo

cũng như các sự kiện thu thập được. Các cảnh báo sẽ được lưu trữ tùy vào cấu hình

quản trị trong bao lâu, thường là một năm cho mỗi hệ thống.

Năng lực hoạt động của CONSOLE tùy thuộc vào nhiều yếu tố như: Đường

truyền mạng, cấu hình phần cứng… thông thường hệ thống hoạt động với công

suất 1000EPS và 100000FPM. Khi hệ thống GSANM được thiết lập và cấu hình

thì CONSOLE sẽ tự động cấu hình tương ứng cho các thiết bị khác một cách chủ

động sau khi kết nối vào các thiết bị thông qua cổng 22. Từ đó các việc cấu hình

các thiết bị trong hệ thống GSANM có thể được thực hiện thông qua CONSOLE



28



bằng hai cách đó là qua giao diện Web với cổng 443 hoặc qua giao diện command

line.

2.1.2. Thông số kỹ thuật của các thiết bị chính

IBM Security QRadar đã cho ra hai dòng sản phẩm là Qradar M3 và Qradar

M4. Dòng sản phẩm Qradar M4 được IBM nâng cấp và cải tiến từ các thiết bị của

dòng sản phẩm Qradar M3, cùng với đó IBM đã cho ra các thiết bị mới hơn như:

Qradar 3128 (All-in-one), Qradar 3128 (Console), Qradar 1400 Data Node, Qradar

Flow Processor…

So sánh thiết bị trên 2 dòng sản phẩm để thấy được sự cải tiến:

Thông tin

Giấy phép cơ bản

Giấy phép nâng cấp

Số thiết bị nguồn



Cổng giao diện



Bộ nhớ tạm thời

Bộ nhớ lưu trữ

Nguồn

Kích thước

Thành phần



Chỉ số

Qradar 3105 M3



Qradar 3105 M4

25,000 FPM

1000 EPS

Up to 5,000 EPS

Up to 200,000 FPM

750

• Two 10/100/1000 Base-T

network monitoring

interfaces

• Four 10/100/1000 Base- • One 10/100/1000 Base-T

T network monitoring

QRadar management

interfaces

interface

• One 10/100/1000 Base-T • One 10/100 Base-T

management interface

integrated management

module interface

•

Two 10 Gbps

SFP + ports

48 GB

64 GB 8x 8 GB 1600 MHz

RDIMM

6.5 TB

9 x 3.5 inch 1 TB 7.2 K rpm

NL SAS, 9 TB total, 6.2 TB

usable (Raid 5)

Dual Redundant 675W AC Power Supply

29.5" D x 19.2" W x 3.4" H 28.9" D x 16.9" W x 1.7 " H

Event Collector

Event Processor cho việc sử lý các luồng và sự kiện

Internal storage cho các luồng và sự kiện



Bảng 2.: So sánh chi tiết phần cứng giữa 2 dòng sản phẩm trên cùng 1 thiết bị

Trên bảng 2.1 cho thấy được cả 2 thiết bị đều có thể xử lý cơ bản với tốc độ

25.000 FPM, 1000EPS và có thể mở rộng lên 200.000 FPM và 5000 EPS, cùng hỗ

29



trợ đến 750 thiết bị nguồn (có thể mở rộng thêm). Các thành phần nhúng vào bên

trong gồm có: Event Collector, Event Processor (cho việc phân tích cả sự kiện lẫn

luồng) và lưu trữ cục bộ.

Nhưng với những dòng sản phẩm M4 được nâng cấp lên với 64GB Memory

(với M3 là 48GB) và bộ nhớ lên tới 9TB (với M3 là 6.5TB). Thêm vào đó dòng

M4 được trang bị thêm 2 cổng 10Gbps SFP.

•

Qradar (All in one)

o

Qradar 2100 (All-in-one)

Thiết bị Qradar 2100 (All-in-one) là thiết bị duy nhất cho các tổ chức vừa và

nhỏ. Thiết bị cung cấp các giải pháp bảo mật tích hợp. Với giao diện trực quan, cấu

hình đơn giản nên Qradar 2100 nhanh chóng và dễ dàng triển khai. Ngoài ra

Qradar 2100 (All-in-one) tích hợp phiên bản nhúng QRadar QFlow Collector giúp

cho thiết bị có tầm nhìn mạng rộng hơn.

Các thiết bị như Firewall, IDS, Router, Switch hay một số thiết bị mạng

khác được kết nối trực tiếp đến Qradar 2100 để quản lý các sự kiện và đưa ra màn

hình giám sát.

Các tính năng:

- Bao gồm tất cả các khả năng (thu thập, lưu trữ, lập chỉ mục, tương

quan, quản lý hành vi phạm tội, phân tích và báo cáo) trong một thiết

bị cho một SIEM toàn diện.

- Hỗ trợ xử lý 1000 sự kiện trên 1 giây

- Hỗ trợ lên đến 50.000 luồng dữ liệu hai chiều mỗi phút

- Hỗ trợ 750 thiết bị nguồn, mở rộng đến hàng chục ngàn các nguồn

đăng nhập

- Bao gồm 1.5TB lưu trữ có thể sử dụng để duy trì dữ liệu lâu dài

- Hỗ trợ cổng 10/100 /1000 BASE-T kết nối để giám sát

- Hỗ trợ cổng 10/100 /1000 BASE-T để quản lý

- Nguồn điện dự phòng kép

- Nhúng phần cứng RAID 10 cho tính sẵn sàng cao, khả năng dự phòng

của hệ điều hành và lưu trữ.

- Lựa chọn để triển khai turnkey, tích hợp thiết bị HA.



30



Hình 2.: Mô hình sản phẩm Qradar 2100

Qradar 3105 (All-in-one)



o



Thông tin

Giấy phép cơ bản



Chỉ số



1,000 EPS

25,000 FPM

Giấy phép nâng Up to 5,000 ESP

cấp

Up to 200,000 FPM

Two 10/100/1000 Base-T network monitoring interfaces

One 10/100/1000 Base-T QRadar management interface

Cổng giao diện

One 10/100 Base-T integrated management module

interface

Two 10 Gbps SFP + ports

Số thiết bị nguồn

750

Bộ nhớ tạm thời

64 GB 8x 8 GB 1600 MHz RDIMM

9 x 3.5 inch 1 TB 7.2 K rpm NL SAS, 9 TB total, 6.2 TB

Bộ nhớ lưu trữ

usable (Raid 5)

Nguồn

Dual Redundant 675W AC Power Supply

Kích thước

29.5 inches sâu x 17.7 inches rộng x 2.4 inches cao

Event Collector

Thành phần

Event Processor cho việc sử lý các luồng và sự kiện

Internal storage cho các luồng và sự kiện

Bảng 2.: Chi tiết phần cứng thiết bị Qradar 3105

QRadar 3100/3105 (All-In-One) dành cho các doanh nghiệp có quy mô lớn.

Có khả năng thu thập các sự kiên, các luồng dữ liệu trên onboard và tương quan

chúng. Có thể mở rộng bộ xử lý cá sự kiện, luồng dữ liệu đồng thời kết hợp với

31



việc phân tích chúng. Cùng với đó được tích hợp thêm Event Collector, Event

Processor.

Các kiến trúc thiết bị Qradar mô hình dễ triển khai, khả năng mở rộng thông

qua việc sử dụng các sự kiện và các thiết bị dòng vi xử lý phân tán.

Thiết bị Qradar 3105 chức năng cũng giống Qradar 2100. Các tường lửa, hệ

thống phát hiện xâm nhập (IDS), thiết bị mạng như Router, Switch được kết nối

trực tiếp vào thiết bị. Hoặc trong mô hình triển khai phân tán như hình 2.2 sẽ được

đặt thêm thiết bị Collector phục vụ tối ưu việc thu thập các sự kiện và luồng, từ

Collector sẽ chuyển các sự kiện thu được đến thiết bị Qradar 3105 (console).

Các tính năng chính:

- Bao gồm bộ nhớ 3TB (đối với thiết bị 3100) hoặc 6.2 TB (đối với thiết

bị 3105) sử dụng trên on-board cho việc lưu trữ dài hạn.

- Hỗ trợ Fibre Channel tích hợp với mạng khu vực lưu trữ (đối với 3100

Appliance).

- Hỗ trợ 750 thiết bị nguồn, mở rộng đến hàng chục ngàn các nguồn đăng

nhập.

- Nguồn điện dự phòng kép.

- Nhúng phần cứng RAID 10 (đối với thiết bị 3100) hoặc RAID (đối với

thiết bị 3105) cho tính sẵn sàng cao và khả năng dự phòng của hệ điều

hành và lưu trữ.

- Hỗ trợ 5000 sự kiện mỗi giây (hoàn toàn tương quan), mở rộng đến hàng

chục ngàn sự kiện mỗi giây khi kết hợp với 1601/1605 Event Processor.

- Hỗ trợ lên đến 200.000 luông dữ liệu 2 chiều mỗi phút (hoàn toàn tương quan),

mở rộng đến hàng triệu dòng chảy mỗi phút khi kết hợp cùng 1701 Flow

Processor.



32



Hình 2.: Mô hình triển khai sản phẩm Qradar 3105

•



QFlow Collector

o

QRadar QFlow Collector 1201



Thông tin

Băng thông

Cổng giao diện

Bộ nhớ tạm thời

Bộ nhớ lưu giữ

Nguồn

Kích thước

Bao gồm



Chỉ số

1 Gbps

Five 10/100/1000 Base-T network monitoring interfaces

Two 10 Gbps SFP + ports

One 10/100/1000 Base-T QRadar management interface

One 10/100 Base-T integrated management module interface

16 GB, 4 x 4GB 1600 MHz RDIMM

2 x 2.5 inch 600 GB 10 K rpm SAS, 600 MB total (Raid 1)

Dual Redundant 550 W AC

28.9 inches sâu x 16.9 inches rộng x 1.7 inches cao

QRadar QFlow Collector



Bảng 2.: Chi tiết phần cứng thiết bị Qradar QFlow Collector 1201

Thiết bị QFlow Collector có lưu lượng mạng với tốc dộ 1Gbps kết hợp với

giao diện card mạng các loại và trang bị 16GB Memory phục vụ cho viêc truyền

tải và thu thập các luồng dữ liệu một các liệu quả.

33



-



•



QRadar 1101 QFlow Collector: hiệu quả chi phí để theo dõi các địa

điểm từ xa hoặc kết nỗi mạng internet với băng thông thấp.

QRadar 1201 QFlow Collector: Cung cấp các thiết bị thu thập tầm

trung cho các kết nối Gigabit Ethernet.

QRadar 1202/1301/1302 QFlow Collector: Đa cổng linh hoạt kết nối

cáp quang. Tích hợp cho việc thu thập và giám sát ở mức độ cao của

một doanh nghiệp.

QFlow Processor

o

QRadar Flow Processor 1705



Thông tin

Giấy phép cơ bản

Giấy phép nâng cấp

Cổng giao diện

Bộ nhớ tạm thời

Bộ nhớ lưu trữ

Nguồn

Kích thước

Thành phần

gồm



bao



Chỉ số

100,000 FPM

600,000 FPM, depending on traffic types

Two 10/100/1000 Base-T network monitoring interfaces

One 10/100/1000 Base-T QRadar management interface

One 10/100 Base-T integrated management module

interface

Two 10 Gbps SFP + ports

64 GB 8x 8 GB 1600 MHz RDIMM

9 x 3.5 inch 1 TB 7.2 K rpm NL SAS, 9 TB total, 6.2 TB

usable (Raid 5)

Dual Redundant 750 W AC

29.5 inches sâu x 17.7 inches rộng x 2.4 inches cao

Flow processor



Bảng 2.: Chi tết phần cứng thiết bị Qradar QFlow processor 1705

Các tính năng phổ biến:

- Thiết bị được triển khai với mô hình phân tán, hỗ trợ mở rộng với quy

mô lớn.

- Nguồn điện dự phòng kép.

- Lựa chọn để triển khai turnkey, tích hợp thiết bị HA.

- Bộ nhớ Memory 64GB.

Tính năng của thiết bị 1701/1705:

- Hỗ trợ lên đến 600.000 luồng dữ liệu 2 chiều mỗi phút (hoàn toàn

tương quan) cho mỗi thiết bị, sử dụng cho mô hình triên khai tập trung

mở rộng lên đến hàng triệu sự kiện mỗi giây.

- Bao gồm 3TB lưu trữ duy trì dữ liệu.

- Phần cứng nhúng RAID 10 cho tính sẵn sàng cao, khả năng dự phòng

của hệ điều hành và lưu trữ.

34



Hỗ trợ Fibre Channel cho việc tích hợp với mạng khu vực lưu trữ.

Tính năng của thiết bị 1724:

- Hỗ trợ lên đến 1.200.000 luồng dữ liệu 2 chiều mỗi phút (hoàn toàn

tương quan) cho mỗi thiết bị, sử dụng cho mô hình triên khai tập trung

mở rộng lên đến hàng triệu sự kiện mỗi giây.

- Bao gồm 16TB lưu trữ duy trì dữ liệu.

- Phần cứng nhúng RAID 5 cho tính sẵn sàng cao, khả năng dự phòng

của hệ điều hành và lưu trữ.

- Hỗ trợ Fibre Channel cho việc tích hợp với mạng khu vực lưu trữ.

•

Event Collector

o

QRadar Event Collector 1501

-



Thông tin

Số sự kiện / 1 giây

Băng thông

Cổng giao diện



Chỉ số

15,000 EPS

1 Gbps

Five 10/100/1000 Base-T network monitoring interfaces

Two 10 Gbps SFP + ports

One 10/100/1000 Base-T QRadar management interface

One 10/100 Base-T integrated management module

interface

16 GB, 4 x 4GB 1600 MHz RDIMM

2 x 2.5 inch 600 GB 10 K rpm SAS, 600 MB total (Raid 1)

Dual Redundant 550 W AC

28.9 inches sâu x 16.9 inches rộng x 1.7 inches cao



Bộ nhớ tạm thời

Bộ nhớ lưu trữ

Nguồn điện

Kích thước

Thành phần bao

Event Collector

gồm



Bảng 2.: Chi tiết phần cứng thiết bị QRadar Event Collector 1501

Tính năng của thiết bị:

Thiết bị có thể thu thập được 15.000EPS với lưu lượng mạng 1Gbps.

Bộ nhớ Memory 16Gb.

Bộ nhớ lưu trữ 600GB.

Có các card mạng phục vụ cho việc giám sát, quản lý truyền tải.

•

Event Processor

Thông tin

Chỉ số

Giấy phép cơ bản

2,500 EPS

Giấy phép nâng 20,000 EPS

cấp

Cổng giao diện

Two 10/100/1000 Base-T network monitoring interfaces

One 10/100/1000 Base-T QRadar management interface

One 10/100 Base-T integrated management module

35



Bộ nhớ tạm thời

Bộ nhớ lưu trữ

Nguồn điện

Kích thước

Thành phần



interface

Two 10 Gbps SFP + ports

64 GB 8x 8 GB 1600 MHz RDIMM

9 x 3.5 inch 1 TB 7.2 K rpm NL SAS, 9 TB total, 6.2 TB

usable

(Raid 5)

Dual Redundant 750 W AC

29.5 inches sâu x 17.7 inches rộng x 2.4 inches cao

Event Collector

Event Processor



Bảng 2.: Chi thết phần cứng thiết bị Qradar Event Processor 1605

Các tính năng phổ biến:

- Thiết bị được triển khai với mô hình tập trung, hỗ trợ mở rộng với quy

mô lớn.

- Nguồn điện dự phòng kép.

- Lựa chọn để triển khai turnkey, tích hợp thiết bị HA.

Tính năng của 1601:

- Hỗ trợ lên đến 10.000 sự kiện mỗi giây (hoàn toàn tương quan) cho

mỗi thiết bị, sử dụng cho mô hình triên khai tập trung mở rộng lên đến

hàng chục ngàn sự kiện mỗi giây.

- Bao gồm 3TB lưu trữ duy trì dữ liệu

- Phần cứng nhúng RAID 10 cho tính sẵn sàng cao, khả năng dự phòng

của hệ điều hành và lưu trữ.

- Hỗ trợ Fibre Channel cho việc tích hợp với mạng khu vực lưu trữ.

Tính năng của 1605:

- Hỗ trợ lên đến 20.000 sự kiện mỗi giây (hoàn toàn tương quan) cho

mỗi thiết bị, sử dụng cho mô hình triên khai tập trung mở rộng lên đến

hàng chục ngàn sự kiện mỗi giây.

- Bao gồm 6.2TB lưu trữ duy trì dữ liệu.

- Phần cứng nhúng RAID 5 cho tính sẵn sàng cao, khả năng dự phòng

của hệ điều hành và lưu trữ.

Tính năng của 1624:

- Hỗ trợ lên đến 20.000 sự kiện mỗi giây (hoàn toàn tương quan) cho

mỗi thiết bị, sử dụng cho mô hình triên khai tập trung mở rộng lên đến

hàng chục ngàn sự kiện mỗi giây.

- Bao gồm 16TB lưu trữ duy trì dữ liệu.

36



Phần cứng nhúng RAID 5 cho tính sẵn sàng cao, khả năng dự phòng

của hệ điều hành và lưu trữ.

2.2. Các giải pháp triển khai

Qradar SIEM là một giải pháp mềm dẻo phù hợp với các doanh nghiệp lớn,

cũng như với các doanh nghiệp vừa và nhỏ. Qradar SIEM có thể được triển khai

theo hai giải pháp đó là: giải pháp tập trung và giải pháp phân tán.

2.2.1. Giải pháp tập trung

-



Hình 2.: Mô hình triển khai giải pháp tập trung

Mô hình hệ thống GSANM tập trung như hình 2.3 chỉ có một thiết bị duy

nhất đó là CONSOLE (All in One). Thiết bị đã được tích hợp sẵn các thiết bị EP,

FP, EC, FC. Nhật ký hệ thống và luồng dữ liệu được gửi trực tiếp lên thiết bị này

mà không cần thông qua các thiết bị đó.

CONSOLE có khả năng hoạt động độc lập và có chức năng tương ứng với

tất cả các thiết bị kia. Do vậy, khi nhật ký hệ thống được gửi về thì CONSOLE sẽ

xử lý và trực tiếp hiển thị lên giao diện Web. Hệ thống này chỉ thích hợp cho các

mạng nhỏ và vừa như các ngân hàng hoặc các doanh nghiệp nhỏ và không cần đầu

tư quá lớn về nhân lực và trang thiết bị.



37