1. Trang chủ
  2. » Công Nghệ Thông Tin

Nghiên cứu xây dựng nền tảng điều phối bảo mật, tự động hóa và ứng phó (SOAR)

71 7 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Nghiên Cứu Xây Dựng Nền Tảng Điều Phối Bảo Mật, Tự Động Hóa Và Ứng Phó (SOAR)
Định dạng
Số trang 71
Dung lượng 3,69 MB

Cấu trúc

  • 1.1. Phương pháp đảm bảo an toàn thông tin theo xu hướng mới (3)
    • 1.1.1. Nhu cầu việc xây dựng Trung tâm giám sát an toàn thông tin (3)
    • 1.1.2. Trung tâm giám sát an toàn thông tin (3)
      • 1.1.2.1. Khái niệm Trung tâm giám sát an toàn thông tin (3)
      • 1.1.2.2. Mô hình của Trung tâm giám sát an toàn thông tin (4)
    • 1.1.3. Lợi ích của Trung tâm giám sát an toàn thông tin (13)
  • 1.2. Các biện pháp bảo mật hiện nay (13)
  • 1.3. Sứ mệnh của SOAR (17)
  • 1.4. Kết luận chương 1 (19)
  • CHƯƠNG 2. NGHIÊN CỨU NỀN TẢNG ĐIỀU PHỐI, ỨNG PHÓ SỰ CỐ (20)
    • 2.1. Giới thiệu về SOAR (20)
    • 2.2. Thành phần của giải pháp SOAR (21)
      • 2.2.1. Điều phối bảo mật (21)
      • 2.2.2. Tự động hóa bảo mật (23)
      • 2.2.3. Ứng phó bảo mật (24)
      • 2.2.4. Sự khác nhau giữa “Tự động hóa bảo mật và Điều phối bảo mật” (25)
    • 2.3. Chức năng chính của SOAR (26)
      • 2.3.1. Tích hợp bảo mật (27)
      • 2.3.2. Điều phối bảo mật (28)
      • 2.3.3. Phản ứng tự động (29)
    • 2.4. Sự khác nhau giữa SIEM và SOAR (30)
    • 2.5. Lợi ích của SOAR (31)
    • 2.6. Ứng dụng chính của SOAR (33)
    • 2.7. Kết luận chương 2 (34)
  • CHƯƠNG 3. ĐỀ XUẤT XÂY DỰNG HỆ THỐNG VÀ TRIỂN KHAI THỬ NGHIỆM (35)
    • 3.1. Một số hệ thống SOAR thương mại (35)
      • 3.1.1. Splunk SOAR (35)
      • 3.1.2. Chronicle SOAR (36)
      • 3.1.3. Cortex XSOAR (36)
      • 3.1.4. IBM Security QRadar SOAR (37)
    • 3.2. Cơ sở xây dựng hệ thống SOAR dựa trên mã nguồn mở (38)
      • 3.2.1. TheHive (41)
      • 3.2.2. Cortex (43)
      • 3.2.3. MISP (47)
      • 3.2.4. N8n (47)
      • 3.2.5. Elasticsearch (49)
      • 3.2.6. ElastAlert (50)
    • 3.3. Xây dựng kịch bản thử nghiệm và đánh giá (51)
      • 3.3.1. Kịch bản 1: Xây dựng quy trình ứng phó sự cố mã độc (51)
      • 3.3.2. Kịch bản 2: Kích hoạt kịch bản Playbook xử lý tự động cảnh báo kết nối CNC (59)
    • 3.4. Kết luận chương 3 (71)

Nội dung

Hiện nay, mặc dù các tổ chức đã và đang áp dụng các giải pháp bảo mật, chính sách bảo mật và tập trung hơn vào việc rèn luyện kĩ năng chuyên môn của các đội ngũ bảo mật nhưng có một vấn đề phát sinh là các giải pháp bảo mật đang hoạt động riêng biệt, không có sự kết nối với nhau cũng như là đội ngũ bảo mật phải thực hiện rất nhiều các quy trình xử lý thủ công mang tính lặp đi, lặp lại mà không thể tập trung vào các công việc quan trọng. Vậy nên, SOAR là giải pháp điều phối, tự động hóa và ứng phó sự cố đã giải quyết được hầu hết các vấn đề trên bằng cách tích hợp các giải pháp bảo mật với nhau, giúp người dùng có thể tương tác tại một giao diện duy nhất tăng độ hiệu quả xử lý công việc và có thể tự động thực hiện các hành động được đội ngũ bảo mật xây dựng.

Phương pháp đảm bảo an toàn thông tin theo xu hướng mới

Nhu cầu việc xây dựng Trung tâm giám sát an toàn thông tin

Ngày nay, tội phạm mạng đang gia tăng với nhiều vụ việc và phương thức tấn công tinh vi, gây thiệt hại nghiêm trọng về kinh tế và ảnh hưởng đến văn hóa, xã hội Tuy nhiên, hệ thống bảo mật thông tin vẫn chưa được đầu tư đầy đủ và thiếu các giải pháp cụ thể để phòng ngừa và cảnh báo sớm các cuộc tấn công Vì vậy, việc thiết lập Trung tâm giám sát an toàn thông tin SOC là cần thiết, giúp các tổ chức và doanh nghiệp nâng cao an ninh mạng và sẵn sàng ứng phó với các sự cố có thể xảy ra.

Trong bối cảnh tần suất tấn công mạng gia tăng đáng kể trên toàn cầu và tại Việt Nam, các tổ chức đã chú trọng đầu tư vào các biện pháp đảm bảo an toàn thông tin (ATTT) một cách bài bản hơn Thay vì áp dụng các giải pháp độc lập, họ đã chuyển sang sử dụng các giải pháp tổng thể, đa tầng để phát hiện và xử lý triệt để những mối nguy hiểm chưa từng có Trung tâm giám sát an toàn thông tin (SOC) đóng vai trò quan trọng trong việc theo dõi, giám sát và phân tích các mối đe dọa đối với hệ thống mạng.

Trung tâm giám sát an toàn thông tin

1.1.2.1 Khái niệm Trung tâm giám sát an toàn thông tin

Trung tâm giám sát an toàn thông tin (SOC) là tổ chức tập hợp các chuyên gia an ninh mạng dày dạn kinh nghiệm, chuyên thực hiện các quy trình đánh giá và cảnh báo trên hệ thống giám sát tập trung SOC không ngừng giám sát, phân tích, báo cáo và ngăn chặn các mối đe dọa an ninh mạng, đồng thời sẵn sàng ứng phó với các sự cố liên quan đến an toàn thông tin.

Hệ thống SOC (Security Operations Center) tích hợp ba yếu tố cốt lõi trong an toàn thông tin: con người, công nghệ và quy trình Sự kết hợp này giúp nâng cao khả năng bảo vệ và phản ứng trước các mối đe dọa an ninh mạng.

Con người là những chuyên gia trong mô hình SOC, có nhiệm vụ cụ thể để phối hợp vận hành hệ thống Họ cũng đảm nhận trách nhiệm đưa ra quyết định trong việc xử lý và ứng phó sự cố khi cần thiết.

- Công nghệ: Là các giải pháp giám sát, phân tích, phát hiện, điều tra, truy vết sự cố an ninh, an toàn mạng.

- Quy trình: Là các quy định, quy trình, chính sách an ninh thông tin được triển khai trên hệ thống.

1.1.2.2 Mô hình của Trung tâm giám sát an toàn thông tin

Hình 1-1 Mô hình của Trung tâm giám sát an toàn thông tin

1.1.2.3 Quy trình ứng phó sự cố của Trung tâm giám sát an toàn thông tin Ứng phó sự cố (Incident Response) là quá trình ngăn chặn, điều tra nguyên nhân, khôi phục hệ thống nhằm giảm thiểu các mối đe dọa liên quan tới các vấn đề an ninh mạng, việc này đòi hỏi các tổ chức phải có phương pháp tiếp cận có tổ chức để ngăn chặn các nguy cơ an ninh và đảm bảo bảo mật cho hệ thống

Hình 1-2 Tổng quan về quy trình xử lý sư cố an ninh mạng

24/7: Dữ liệu được thu thập từ các thiết bị mạng, thiết bị bảo mật, máy chủ, máy tính cá nhân, cơ sở dữ liệu, ứng dụng,

Dữ liệu được thu thập từ hệ thống được tập trung, phân tích và xử lý nhằm làm giàu thông tin, từ đó giúp phát hiện mã độc, nhận diện các bất thường và hành vi đáng ngờ.

Hệ thống sử dụng dữ liệu đã được xử lý để xác định nhanh chóng và chính xác các rủi ro và nguy cơ, đồng thời phản ứng kịp thời với sự cố, hỗ trợ hiệu quả trong việc điều tra các tình huống khẩn cấp.

Phát Hiện Phân tích Phản ứng

Quy trình ứng phó sự cố an ninh bao gồm các kịch bản chi tiết để phát hiện, phản ứng và xử lý các sự cố có thể xảy ra Bản kế hoạch cần mô tả cụ thể cho từng kịch bản và có kế hoạch diễn tập phù hợp Quy trình này được chia thành nhiều giai đoạn khác nhau để đảm bảo hiệu quả trong việc quản lý sự cố.

Giai đoạn 1: Ghi nhận và phân công xử lý sự cố

Giai đoạn 1 trong quy trình xử lý sự cố an ninh mạng là ghi nhận và phân công xử lý sự cố, đóng vai trò quan trọng trong việc xác định tính chất của sự cố Mục tiêu chính của giai đoạn này là thực hiện đánh giá sơ bộ các cảnh báo an ninh mạng được ghi nhận từ hệ thống giám sát SOC, nhằm phân biệt giữa cảnh báo thật và cảnh báo giả Dựa vào kết quả đánh giá, đội ngũ giám sát sẽ quyết định có cần kích hoạt các bước ứng phó và điều tra tiếp theo hay không Nhân sự tham gia giai đoạn này cần có kiến thức vững về mạng và công nghệ thông tin, cùng với khả năng sử dụng hệ thống SOC để theo dõi và đánh giá sự cố an ninh mạng hiệu quả.

Giai đoạn 2: Phân tích và xác nhận sự cố

Giai đoạn 2: Phân tích và xác nhận sự cố là bước quan trọng trong việc kiểm tra các cảnh báo để xác định mức độ ưu tiên và loại sự cố Mục tiêu của giai đoạn này là phân tích sự cố nhằm xác định các loại sự cố như mã độc, rà quét mạng, hay chính sách người dùng Qua việc ghi nhận các cảnh báo, nhóm thực hiện sẽ phân loại và đánh giá mức độ ưu tiên của sự cố để lập kế hoạch xử lý phù hợp Nhân sự tham gia cần có chuyên môn về an ninh mạng và kiến thức cơ bản về mạng, mã độc, có thể sở hữu các chứng chỉ như CEH, CCNA.

Hình 1-5 Giai đoạn 3: Thông báo

Sau khi xác định loại sự cố và mức độ ưu tiên, giai đoạn 3 trong quy trình xử lý sự cố an ninh mạng sẽ được kích hoạt Bộ phận giám sát và xử lý sự cố sẽ thông báo cho quản lý và liên lạc với các bộ phận liên quan để hỗ trợ khi cần thiết Sau khi thông báo, đội xử lý sự cố sẽ lập kế hoạch ứng phó để giải quyết sự cố, điều tra nguyên nhân, xác định thủ phạm, và thống kê cũng như khắc phục thiệt hại sau sự cố.

Hình 1-6 Giai đoạn 4: Ngăn chặn

Giai đoạn tiếp theo trong quy trình xử lý sự cố là ngăn chặn, cần thực hiện ngay khi tiếp nhận sự cố nhằm hạn chế thiệt hại cho tổ chức và bảo vệ hệ thống mạng, thông tin đang gặp sự cố.

Giai đoạn 5: Thu thập bằng chứng và truy tìm thủ phạm

Hình 1-7 Giai đoạn 5: Thu thập bằng chứng và truy tìm thủ phạm

Việc điều tra và xác định nguyên nhân gây ra sự cố là rất quan trọng, không chỉ để khắc phục mà còn để xác định cá nhân hoặc tập thể chịu trách nhiệm cho thiệt hại Nếu thiệt hại ở mức độ nghiêm trọng, các thông tin về nguyên nhân và bằng chứng có thể được sử dụng trong các hoạt động khởi kiện hoặc truy tố hình sự đối với cá nhân hoặc tổ chức liên quan đến sự cố.

Giai đoạn 6: Xử lý nguyên nhân gây ra tấn công

Hình 1-8 Giai đoạn 6: Xử lý nguyên nhân gây ra tấn công

Sau khi phân loại và xác định sự cố, giai đoạn 6 của quy trình xử lý sự cố mạng sẽ được kích hoạt, tập trung vào việc xử lý nguyên nhân gây ra sự cố Giai đoạn này yêu cầu người thực hiện phải có chuyên môn về an ninh mạng và hiểu rõ hệ thống đang được bảo vệ để khắc phục sự cố mà không làm trầm trọng thêm tình hình hoặc phát sinh vấn đề mới Người thực hiện sẽ áp dụng các kỹ năng cần thiết để đảm bảo quá trình xử lý diễn ra hiệu quả.

11 kỹ thuật và công cụ nghiệp vụ để giải quyết, xử lý nguyên nhân dẫn đến sự cố hoặc lỗ hổng gây ra cuộc tấn công ví dụ như:

- Ngắt mạng, tắt hệ thống tạm thời.

- Chuyển hướng các truy cập.

- Cô lập các phân vùng bị tấn công hoặc xảy ra sự cố.

Trong quá trình xử lý sự cố, có thể cần lặp lại nhiều lần và nâng cao mức độ nghiêm trọng nếu các biện pháp ngăn chặn không đạt hiệu quả Điều này thường đòi hỏi sự hỗ trợ từ các chuyên gia hoặc các bộ phận liên quan để xác định và loại bỏ nguyên nhân gốc rễ của sự cố.

Giai đoạn 7: Khôi phục hệ thống

Hình 1-9 Giai đoạn 7: Khôi phục hệ thống

Sau khi thực hiện các biện pháp ngăn chặn như ngắt mạng và cô lập các phân vùng bị ảnh hưởng, đội ngũ ứng phó cần chuyển sang giai đoạn khôi phục hệ thống sau sự cố Giai đoạn này yêu cầu người tham gia phải có kế hoạch chi tiết và kỹ năng chuyên môn để đảm bảo hệ thống được phục hồi một cách an toàn và hiệu quả.

Lợi ích của Trung tâm giám sát an toàn thông tin

Một trong những lợi ích quan trọng của Trung tâm giám sát an toàn thông tin là nâng cao khả năng phát hiện các sự cố bảo mật thông qua giám sát và phân tích liên tục Trung tâm này có khả năng phân tích mạng, máy chủ và cơ sở dữ liệu để đảm bảo phát hiện kịp thời các vấn đề liên quan đến an ninh mạng Hơn nữa, Trung tâm giám sát ANM SOC hoạt động 24/7, mang lại lợi thế cho các cơ quan và tổ chức trong việc bảo vệ hệ thống một cách chủ động chống lại các cuộc xâm nhập trái phép, bất kể loại tấn công nào và vào bất kỳ thời điểm nào.

Các biện pháp bảo mật hiện nay

Hiện nay, nhiều tổ chức đang thành lập đội ngũ giám sát và quản trị an ninh mạng SOC để nâng cao mức độ bảo mật thông tin, liên tục theo dõi, phát hiện và phản ứng với các mối đe dọa, đồng thời giảm thiểu tác động tài chính từ các cuộc tấn công mạng Đội ngũ SOC sử dụng đa dạng các công cụ bảo mật từ nhiều nhà cung cấp khác nhau để bảo vệ hạ tầng hệ thống thông tin và các ứng dụng liên quan.

Phần mềm diệt virus (Anti-virus) là công cụ thiết yếu giúp phát hiện, ngăn chặn và loại bỏ virus, phần mềm độc hại và spyware trên máy tính hoặc thiết bị di động Được cài đặt để quét tệp tin, thư mục và ổ đĩa, phần mềm này không chỉ tìm kiếm và loại bỏ các chương trình độc hại mà còn theo dõi kết nối internet để chặn các trang web nguy hiểm và gửi cảnh báo cho người dùng Anti-virus sử dụng nhiều kỹ thuật khác nhau như quét virus, phát hiện dựa trên hành vi, phát hiện dựa trên chữ ký và quét các tệp tin cũng như email đính kèm để bảo vệ thiết bị của người dùng một cách hiệu quả.

Các tên lửa độc hại ngày càng tinh vi và phức tạp, do đó, phần mềm antivirus cần được cập nhật thường xuyên để bảo vệ trước các mối đe dọa mới nhất.

Tường lửa (Firewall) là phần mềm hoặc thiết bị phần cứng giúp ngăn chặn truy cập trái phép vào mạng bằng cách kiểm tra lưu lượng dữ liệu thông qua các quy tắc xác định và chặn mối đe dọa Chúng được sử dụng trong cả môi trường cá nhân và doanh nghiệp, với nhiều thiết bị như máy tính Mac, Windows và Linux đã tích hợp sẵn tường lửa Là một thành phần thiết yếu của an ninh mạng, tường lửa đóng vai trò quan trọng trong việc bảo vệ hệ thống và vẫn được áp dụng rộng rãi trong các kỹ thuật bảo mật hiện đại.

Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) bao gồm hai thành phần chính: hệ thống phát hiện xâm nhập (IDS) và hệ thống ngăn chặn xâm nhập (IPS), cả hai đều giám sát lưu lượng mạng và so sánh nội dung gói tin với cơ sở dữ liệu mối đe dọa đã biết IDS là hệ thống thụ động, chỉ phát hiện và giám sát mà không thực hiện hành động, trong khi IPS là hệ thống kiểm soát có khả năng loại bỏ gói tin độc hại Có hai loại hệ thống IDS/IPS dựa trên kỹ thuật phát hiện: phát hiện dựa trên dấu hiệu hành vi và phát hiện dựa trên sự bất thường Phát hiện dựa trên dấu hiệu dễ bị tấn công bởi các cuộc tấn công zero-day, trong khi phát hiện dựa trên sự bất thường mạnh mẽ hơn trước các tấn công mới nhưng có tỷ lệ dương tính giả cao hơn Các hệ thống IDS và IPS hiện đại thường kết hợp cả hai kỹ thuật IPS đại diện cho sự tự động hóa trong bảo mật, yêu cầu chỉ cập nhật cơ sở dữ liệu mối đe dọa và tự động xử lý việc phát hiện cũng như phản hồi các mối đe dọa.

IDS ở một mức độ nào đó do các tính năng phản hồi tự động mà IPS sở hữu

Hệ thống quản lý sự kiện và thông tin bảo mật (SIEM) tổng hợp dữ liệu sự kiện và cảnh báo từ nhiều nguồn khác nhau vào một kho lưu trữ trung tâm để phân tích Dữ liệu thu thập bao gồm thông tin bảo mật, tệp nhật ký, dữ liệu điểm cuối và mạng, giúp xác định các điểm bất thường, lỗ hổng và sự cố SIEM tập trung vào các dữ liệu liên quan đến bảo mật như thông tin đăng nhập và phát hiện phần mềm độc hại, đồng thời cung cấp trực quan hóa và bảng điều khiển để phân tích dễ dàng Các giải pháp SIEM thế hệ mới sử dụng máy học để phân tích lượng dữ liệu lớn, phát hiện cả mối đe dọa đã biết và chưa biết, bao gồm phân tích hành vi Phân tích hành vi người dùng và thực thể (UEBA) theo dõi hành vi thông thường của người dùng để tạo đường cơ sở, từ đó phát hiện sự bất thường và thông báo cho SOC, giúp bảo vệ chống lại các mối đe dọa nội bộ và việc thông tin đăng nhập bị đánh cắp.

Hệ thống theo dõi và ứng phó cho thiết bị cuối (EDR) thu thập dữ liệu từ các điểm cuối và gửi đến cơ sở dữ liệu trung tâm để lưu trữ và xử lý Các sự kiện và mã nhị phân được thu thập sẽ được tương quan theo thời gian thực, giúp xác định và phân tích các hoạt động đáng ngờ trên máy tính Nhờ đó, EDR tăng cường khả năng của SOC trong việc phát hiện và cảnh báo người dùng cũng như đội ngũ bảo mật về các mối đe dọa mạng mới nổi Các chức năng chính của EDR bao gồm khả năng giám sát, phân tích và phản ứng nhanh chóng với các sự cố bảo mật.

Theo dõi và thu thập dữ liệu từ các điểm cuối giúp phát hiện mối đe dọa tiềm ẩn Phân tích dữ liệu này cho phép xác định các mẫu mối đe dọa Hệ thống tự động phản ứng với các mối đe dọa đã phát hiện, nhằm loại bỏ hoặc giảm thiểu chúng, đồng thời thông báo cho nhân viên an ninh Sử dụng các công cụ phân tích và pháp y là cần thiết để điều tra các mối đe dọa đã xác định và phát hiện hoạt động đáng ngờ.

Hệ thống chia sẻ dữ liệu thông tin về mối đe dọa (TI) tổng hợp thông tin dựa trên bằng chứng và kiến thức về các mối đe dọa hiện có hoặc mới nổi Luồng thông tin tình báo về mối đe dọa cho phép các tổ chức chia sẻ dữ liệu đã thu thập, từ đó sử dụng kiến thức chung để nâng cao bảo mật Những luồng này thường miễn phí, dựa trên nguồn thông tin mở, nhưng cũng có tùy chọn trả phí kết hợp nguồn mở và đóng Thông tin tình báo cũng có thể được thu thập và phân tích nội bộ trong tổ chức Nền tảng TI tích hợp nhiều nguồn thông tin để làm giàu dữ liệu cho các hệ thống bảo mật như SIEM, EDR, và Firewall.

Hơn thế nữa, để đối phó với các khó khăn trên, các tổ chức và doanh nghiệp cần đưa ra các biện pháp bảo mật hiệu quả như:

Các tổ chức và doanh nghiệp cần thực hiện việc cập nhật phần mềm thường xuyên để đảm bảo hệ thống mạng của họ luôn được bảo vệ trước những mối đe dọa mới nhất.

Đào tạo nhân viên về an ninh mạng là một yếu tố quan trọng mà các tổ chức và doanh nghiệp cần chú trọng Việc này giúp giảm thiểu các lỗ hổng bảo mật do lỗi người dùng gây ra, từ đó nâng cao mức độ bảo vệ thông tin và tài sản số của tổ chức.

Các tổ chức và doanh nghiệp cần áp dụng mã hóa dữ liệu để bảo vệ thông tin quan trọng khỏi truy cập trái phép Mã hóa dữ liệu không chỉ tăng cường an ninh thông tin mà còn giúp đảm bảo tính bảo mật cho các dữ liệu nhạy cảm Việc sử dụng mã hóa là một biện pháp cần thiết để phòng ngừa các mối đe dọa an ninh mạng hiện nay.

Các tổ chức và doanh nghiệp cần thực hiện sao lưu dữ liệu để bảo vệ thông tin quan trọng khỏi việc mất mát do tấn công mạng.

Các tổ chức và doanh nghiệp nên xem xét việc sử dụng dịch vụ bảo mật từ bên thứ ba để nâng cao hiệu quả an ninh mạng của họ.

Các tổ chức và doanh nghiệp cần xây dựng và thực hiện các chính sách an ninh mạng rõ ràng, nhằm đảm bảo rằng mọi nhân viên và thành viên đều nắm vững và tuân thủ các quy định liên quan đến an ninh mạng.

Sứ mệnh của SOAR

Giải pháp SOAR ra đời nhằm giảm bớt gánh nặng cho các chuyên gia trong trung tâm giám sát an toàn thông tin bằng cách sắp xếp, tự động hóa và hợp lý hóa quy trình xử lý sự cố.

Công nghệ này là cần thiết cho các tổ chức, dù là nội bộ hay thông qua các nhà cung cấp dịch vụ, nhằm giải quyết những thách thức về lượng cảnh báo bảo mật đa dạng, cảnh quan mối đe dọa an ninh không ngừng thay đổi và khoảng cách kỹ năng lớn.

Các tổ chức ngày càng áp dụng giải pháp SOAR để tăng cường hiệu quả và tự chủ trong hoạt động bảo mật SOAR cho phép con người, quy trình và công nghệ phối hợp chặt chẽ, giúp quản lý và vận hành bảo mật tốt hơn Điều phối bảo mật là yếu tố then chốt cho tự động hóa bảo mật, cho phép tự động phát hiện, ngăn chặn và phục hồi sau các cuộc tấn công mạng mà không cần can thiệp của con người, nhờ vào công nghệ thông tin, thuật toán tự động hóa và trí tuệ nhân tạo (AI) Việc áp dụng SOAR giúp các tổ chức giải quyết các vấn đề liên quan đến phân tích mối đe dọa thủ công và cải thiện tốc độ phản ứng với sự cố bảo mật, đồng thời cung cấp cái nhìn rõ ràng về trạng thái bảo mật của hạ tầng CNTT Giải pháp SOAR có khả năng tự động phát hiện các hoạt động đáng ngờ và chủ động ứng phó nhằm giảm thiểu các cuộc tấn công mạng Theo báo cáo của Gartner, dự kiến vào năm 2019, 30% doanh nghiệp lớn và vừa sẽ triển khai các khả năng tự động hóa và điều phối bảo mật.

Việc áp dụng nền tảng SOAR đang được tăng lên đáng kể trong những năm gần đây Một vài nhà cung cấp nền tảng SOAR nổi tiếng như: McAfee,

Các nhà cung cấp như IBM, FireEye, AlienVault, LogRhythm, Swimlane, Splunk, và Siemplify đã triển khai thành công công nghệ SOAR trong môi trường SOC, nâng cao hiệu suất và hiệu quả của đội ngũ bảo mật Hiện nay, Việt Nam cũng có các nhà cung cấp giải pháp SOAR như Viettel, CMC, VNPT, và BKAV, mang lại giá trị cốt lõi và sự thuận tiện cho các tổ chức trong việc đáp ứng yêu cầu bảo mật.

NGHIÊN CỨU NỀN TẢNG ĐIỀU PHỐI, ỨNG PHÓ SỰ CỐ

Giới thiệu về SOAR

Hình 2-1 Giới thiệu về giải pháp SOAR

Theo Gartner, một tập đoàn tư vấn hàng đầu về công nghệ thông tin và an toàn thông tin, SOAR được định nghĩa là tập hợp các công nghệ cho phép doanh nghiệp thu thập dữ liệu và cảnh báo bảo mật từ nhiều nguồn khác nhau Doanh nghiệp có thể tiến hành phân tích và khắc phục mối đe dọa bằng sự kết hợp giữa máy móc và con người, nhằm xác định, ưu tiên và thúc đẩy các hoạt động ứng phó sự cố theo quy trình làm việc tiêu chuẩn.

Nền tảng SOAR tự động hóa và sắp xếp quy trình bảo mật, giúp đội ngũ SOC phản ứng nhanh chóng và hiệu quả với các sự cố bảo mật SOAR cung cấp khả năng ứng phó sự cố tự động, quản lý tình huống, tích hợp thông tin tình báo về mối đe dọa và các kịch bản xử lý tự động Bằng cách chuẩn hóa và tự động hóa các quy trình bảo mật, SOAR giảm thời gian phát hiện, điều tra và ứng phó với sự cố, đồng thời cải thiện tính hiệu quả trong công tác bảo mật.

Thành phần của giải pháp SOAR

SOAR là một hệ thống bảo mật tích hợp, cho phép tổ chức thu thập và xử lý dữ liệu về các mối đe dọa bảo mật với ít hoặc không cần sự can thiệp của người dùng Nền tảng này bao gồm ba thành phần chính: điều phối bảo mật, tự động hóa bảo mật và phản hồi bảo mật, giúp nâng cao hiệu quả trong việc quản lý sự cố an ninh.

2.2.1 Điều phối bảo mật Điều phối bảo mật kết nối và tích hợp các công cụ bảo mật của tổ chức và các bên thứ ba thông qua giao diện tập trung Các thiết bị bảo mật được kết nối có thể bao gồm thiết bị rà quét lỗ hổng, thiết bị bảo vệ đầu cuối (EP), hệ thống phân tích hành vi của người dùng và thực thể (UEBA), thiết bị tường lửa (Firewall), hệ thống ngăn chặn xâm nhập và phát hiện xâm nhập (IDS/IPS), hệ thống quản lý sự kiện và thông tin bảo mật (SIEM), hệ thống chia sẻ thông tin tình báo về mối đe dọa (TI) Càng nhiều dữ liệu được thu thập thì cơ hội phát hiện các mối đe dọa càng cao, cùng với việc tổng hợp thông tin hoàn chỉnh hơn và cải thiện sự hợp tác của các đội ngũ bảo mật

Trong lĩnh vực điều phối bảo mật, SOAR bao gồm ba mô-đun chính: mô-đun thiết lập kế hoạch, mô-đun phát hiện và mô-đun chia sẻ thông tin tình báo về mối đe dọa.

Mô-đun thiết lập kế hoạch là một thành phần cốt lõi giúp đội ngũ SOC xây dựng các kế hoạch và quy trình bảo mật cho ứng phó sự cố Nó cung cấp giao diện tập trung cho các nhà phân tích bảo mật, cho phép tạo và quản lý kịch bản tự động, luồng công việc và kế hoạch tùy chỉnh cho các tình huống bảo mật khác nhau Playbook là một phần quan trọng trong mô-đun này, đưa ra các bước cần thiết để ứng phó hiệu quả với các sự cố bảo mật.

Playbook ứng phó sự cố bảo mật bao gồm 22 bước, từ đánh giá sự cố, phân loại, điều tra, đến ngăn chặn, thông báo và phân tích sau tấn công Nó sắp xếp các hoạt động bảo mật thành quy trình làm việc do con người quản lý, đảm bảo an toàn thông tin cho tổ chức Dựa trên chính sách và cơ sở hạ tầng của tổ chức, Playbook tạo ra quy trình làm việc phân nhánh thông minh, đồng thời tích hợp kết nối với các nền tảng bảo mật như SIEM, Firewall, IDS/IPS, EDR, và các dịch vụ kiểm tra uy tín như Virustotal, AbuseIPDB.

Mô-đun phát hiện đóng vai trò quan trọng trong việc nhận diện các hành vi bất thường và các cuộc tấn công nhằm vào tổ chức thông qua dữ liệu đã được thu thập và xử lý bởi đội ngũ bảo mật Phân tích dữ liệu và khả năng đưa ra quyết định là hai yếu tố chính hỗ trợ đội ngũ bảo mật trong việc tổng hợp thông tin từ nhiều nguồn khác nhau như log hệ thống và dữ liệu thiết bị mạng Quá trình phân tích dữ liệu bao gồm việc thu thập và xử lý thông tin từ log và cảnh báo, giúp xác định mối đe dọa tiềm ẩn Các trình phân tích tự động hóa quá trình này, làm giàu dữ liệu và cung cấp thông tin kịp thời cho đội ngũ bảo mật Khả năng đưa ra quyết định liên quan đến việc tự động thực hiện các chính sách bảo mật, đánh giá lỗ hổng và mối đe dọa, cũng như xác định hành động bảo mật phù hợp dựa trên thông tin đã phân tích.

Mô-đun chia sẻ thông tin tình báo về mối đe dọa (TI) lưu trữ dữ liệu liên quan đến các cuộc tấn công hiện tại và mới nổi, bao gồm bối cảnh, chiến lược, cơ chế, dấu hiệu xâm nhập, và hành động có thể xảy ra TI rất quan trọng trong việc điều phối bảo mật, giúp tổ chức có cái nhìn rõ hơn về mối đe dọa và nhận diện các dấu hiệu ban đầu của tấn công Các tổ chức thu thập và chia sẻ dữ liệu tình báo qua nhiều nền tảng công khai và đối tác, với các chỉ số IOC như dấu hiệu virus, IP botnet, và mã băm MD5 của tệp độc hại Nhiều nền tảng SOAR coi thông tin tình báo về mối đe dọa là yếu tố thiết yếu để phát hiện hành vi tấn công sớm Một số nền tảng mã nguồn mở như OpenCTI, MISP, và AlienVault cung cấp độ chính xác cao và uy tín trong việc chia sẻ thông tin tình báo.

2.2.2 Tự động hóa bảo mật

Tự động hóa bảo mật là quá trình thực hiện các biện pháp bảo mật thông qua máy móc, cho phép phát hiện, điều tra và khắc phục các mối đe dọa mà không cần sự can thiệp của con người Các nhiệm vụ trước đây do các nhà phân tích thực hiện như rà quét lỗ hổng, phân tích log và xử lý cảnh báo có thể được chuẩn hóa và tự động hóa thông qua các nền tảng SOAR Bằng cách áp dụng trí tuệ nhân tạo (AI) và học máy (ML), quá trình tự động hóa SOAR có khả năng ưu tiên các mối đe dọa, đưa ra các đề xuất hợp lý và tự động hóa các phản ứng trong tương lai.

Trong thành phần tự động hóa bảo mật có 2 mô-đun không thể thiếu đó là: mô-đun khôi phục hệ thống và mô-đun thực thi hành động

Mô-đun khôi phục hệ thống thực hiện các biện pháp bảo mật nhanh chóng và hiệu quả nhằm giảm thiểu nguy cơ từ các mối đe dọa đối với tổ chức Với khả năng tự động hóa trong các nền tảng SOAR, mô-đun này không chỉ mang lại lợi tức tài chính đáng kể mà còn rút ngắn thời gian khôi phục hệ thống Cơ chế khôi phục được thiết kế để phát hiện các đe dọa thông qua thuật toán máy học, và dữ liệu về các mối đe dọa sẽ được lưu trữ trong kho dữ liệu của hệ thống SOAR sau khi được tiếp nhận và xử lý.

Mô-đun thực thi hành động trên nền tảng SOAR cho phép đội ngũ bảo mật thực hiện giao tiếp và thực thi các hành động cần thiết Qua thành phần này, họ có thể tương tác trực tiếp với các thành phần khác, thực hiện các hành động như gửi email tới các tổ chức và bộ phận liên quan, cũng như chặn địa chỉ không an toàn.

IP giúp cô lập các máy ảo, kích hoạt quy trình rà quét và tự động hóa cấu hình thông qua việc chạy các tập lệnh Sự tương tác giữa các thành phần trong SOAR hỗ trợ đáng kể cho đội ngũ bảo mật trong việc vận hành và bảo vệ hệ thống hiệu quả hơn.

2.2.3 Ứng phó bảo mật Ứng phó bảo mật đảm bảo việc giám sát, phân tích, điều tra và khắc phục sự cố của đội ngũ bảo mật hiệu quả hơn Thành phần xử lí sự cố trong SOAR chịu trách nhiệm thực hiện các phản ứng tự động đối với các sự cố bảo mật từ mức độ thấp đến mức độ cao cần phải xử lí ngay lập tức Cơ chế ứng phó sự cố trong SOAR có thể thực hiện nhiều hành động tự động cùng tại một thời điểm, chẳng hạn như chặn lưu lượng mạng, chặn các địa chỉ IP đáng ngờ hoặc IP độc hại, cách ly hệ thống đang cần điều tra và cảnh báo cho nhân viên Thành phần ứng phó sử dụng Playbook và các quy trình làm việc được cấu hình sẵn để tự động hóa quy trình ứng phó sự cố Playbook được thiết kế linh hoạt cho phép đội ngũ bảo mật trong SOC tùy chỉnh để đáp ứng các nhu cầu cụ thể của họ

Hệ thống có khả năng kích hoạt tự động khi phát hiện sự cố hoặc được khởi động thủ công Ngoài ra, thành phần ứng phó bảo mật cung cấp chế độ theo dõi các hoạt động ứng phó sự cố, cho phép đội ngũ bảo mật giám sát và theo dõi sự cố theo thời gian thực Điều này đảm bảo mọi sự cố được xử lý kịp thời, không để lại lỗ hổng trong quá trình ứng phó.

2.2.4 Sự khác nhau giữa “Tự động hóa bảo mật và Điều phối bảo mật”

Tự động hóa bảo mật giúp đơn giản hóa và nâng cao hiệu quả hoạt động của đội ngũ SOC, trong khi điều phối bảo mật kết nối các công cụ bảo mật khác nhau Mặc dù thường bị nhầm lẫn, tự động hóa bảo mật và điều phối bảo mật có vai trò riêng biệt Tự động hóa bảo mật mang lại nhiều lợi ích cho đội ngũ bảo mật, bao gồm việc tiết kiệm thời gian, cải thiện khả năng phát hiện và phản ứng với các mối đe dọa, cũng như tối ưu hóa quy trình làm việc.

- Giảm thời gian cần thiết để phát hiện và ứng phó với các sự cố lặp đi lặp lại và các cảnh báo dương tính giả

Cải thiện thời gian làm việc của các chuyên viên bảo mật giúp họ tập trung vào các nhiệm vụ quan trọng hơn Việc điều phối bảo mật thông qua nhiều tác vụ tự động hóa cho phép thực hiện quy trình làm việc phức tạp, từ đó mang lại lợi ích đáng kể cho đội ngũ bảo mật.

- Cho phép đội ngũ bảo mật chia sẻ thông tin dễ dàng

- Kích hoạt nhiều công cụ để ứng phó với các sự cố

Chức năng chính của SOAR

SOAR có ba chức năng chính: tích hợp bảo mật, điều phối bảo mật và phản ứng tự động, như thể hiện trong hình 2-2.

Hình 2-2 Chức năng chính của giải pháp SOAR

SOAR đóng vai trò là trung tâm điều phối, chia sẻ và phân tích dữ liệu cho các giải pháp bảo mật khác nhau Đội ngũ SOC có khả năng tích hợp dễ dàng các công cụ bảo mật từ nhiều nhà cung cấp, chia sẻ thông tin tình báo về mối đe dọa, và hợp tác với các tổ chức bên ngoài để nâng cao hiểu biết về trạng thái bảo mật của tổ chức thông qua nền tảng SOAR Bài viết sẽ đi sâu vào ba tính năng chính của SOAR.

Nền tảng SOAR cung cấp giao diện tập trung để kết nối và tích hợp các công cụ bảo mật, giúp đội ngũ bảo mật vận hành hiệu quả hơn Bằng cách sử dụng nền tảng điều phối, các công cụ bảo mật có thể tương tác lẫn nhau, từ đó nâng cao khả năng bảo vệ cho tổ chức và hệ thống an ninh.

Nền tảng SOAR giúp đội ngũ bảo mật xác định thiết bị đầu cuối phục vụ điều tra, cho phép họ hiểu rõ hơn về cách thức hoạt động của các công cụ bảo mật Điều này không chỉ giúp sử dụng các công cụ bảo mật khác nhau một cách dễ dàng mà còn tăng cường khả năng phối hợp với các đội ngũ bảo mật khác, từ đó lập kế hoạch và ra quyết định một cách chính xác và nhanh chóng.

Nền tảng SOAR thu thập thông tin tình báo về mối đe dọa từ nhiều nguồn bên ngoài, như trang web và blog, để trích xuất các tính năng quan trọng từ lượng lớn dữ liệu này Nó cung cấp thông tin chi tiết theo ngữ cảnh cho nhóm bảo mật, giúp tổ chức chia sẻ dữ liệu thiết bị một cách hiệu quả với hệ thống bên thứ ba Nhờ đó, các nhóm bảo mật có thể giảm thiểu rủi ro và đưa ra quyết định nhanh chóng dựa trên bối cảnh, đồng thời có cái nhìn tổng quan về tình hình trong các mạng con khác nhau của tổ chức.

Chức năng điều phối bảo mật trong SOAR đóng vai trò quan trọng trong khả năng tổng hợp, tự động hóa và phản ứng của nền tảng này Nó giúp phân loại và xác định mức độ ưu tiên của các sự cố bảo mật, cho phép đội ngũ bảo mật tập trung vào những sự cố quan trọng nhất Các chức năng điều phối bảo mật trong SOAR có thể bao gồm nhiều yếu tố khác nhau để nâng cao hiệu quả xử lý sự cố.

Hệ thống hóa các quy trình phức tạp là cần thiết để các chuyên gia bảo mật có thể nhanh chóng xác định các cuộc tấn công và lỗ hổng Quy trình này bao gồm thu thập dữ liệu, điều tra, khắc phục và đánh giá hành động, yêu cầu một quy trình tiêu chuẩn hóa để ứng phó hiệu quả với sự cố Việc thiết kế quy trình làm việc nhằm giảm thiểu các thủ tục rườm rà và lỗi do con người sẽ cải thiện khả năng ứng phó sự cố của đội ngũ bảo mật Đồng thời, việc điều phối và tích hợp các công cụ bảo mật giúp đơn giản hóa quy trình và tự động hóa nhiệm vụ dựa trên mức độ phức tạp của các mối đe dọa.

Nền tảng SOAR giúp xác định các hướng hành động hiệu quả và kịp thời để giải quyết sự cố Khi điều tra một cảnh báo, SOAR có khả năng đưa ra phản ứng chủ động trước các mối đe dọa, đồng thời khởi động các cuộc điều tra bổ sung tùy thuộc vào mức độ phức tạp của cuộc tấn công Trong nhiều trường hợp, nền tảng này cũng có thể khởi tạo các công việc điều tra hoặc đánh giá sau tấn công Các quy trình công việc được thiết kế nhằm chọn lựa hướng hành động phù hợp, đảm bảo tính hiệu quả trong xử lý sự cố.

Để tối ưu hóa phản ứng trước mối đe dọa, việc tích hợp và tự động hóa là rất quan trọng, giúp thực hiện các biện pháp khắc phục cần thiết và xác định nguồn thông tin hỗ trợ nhóm bảo mật Xây dựng quy trình công việc chuẩn sẽ nâng cao hiệu quả giao tiếp và sự hợp tác giữa các nhóm bảo mật, từ đó đơn giản hóa và rút ngắn thời gian điều tra cảnh báo, đồng thời giảm bớt sự cần thiết phải săn lùng kẻ tấn công một cách chủ động.

Phản ứng tự động là tính năng quan trọng của nền tảng SOAR, giúp các nhóm bảo mật tự động hóa quy trình ứng phó sự cố, giảm thời gian phản hồi và nâng cao hiệu quả quản lý sự cố Đội ngũ bảo mật có thể thiết lập các hành động phản hồi tự động cho các sự cố cụ thể, như cách ly máy chủ bị xâm nhập, chặn lưu lượng từ địa chỉ IP đáng ngờ hoặc gửi cảnh báo tới nhà phân tích Việc kích hoạt phản ứng tự động dựa trên nhiều tiêu chí như mức độ nghiêm trọng của sự cố, loại tài sản bị ảnh hưởng hoặc vị trí xảy ra sự cố, giúp lựa chọn hành động ứng phó phù hợp Điều này không chỉ tăng tốc độ ứng phó mà còn giảm thiểu rủi ro do lỗi con người Chức năng phản ứng tự động bao gồm hai nhiệm vụ chính: tự động hóa các tác vụ thủ công và thực thi chính sách.

Tự động hóa các tác vụ thủ công lặp đi lặp lại là một giải pháp hiệu quả mà SOC áp dụng thông qua nền tảng SOAR Việc này không chỉ giúp loại bỏ các sự cố trùng lặp mà còn tối ưu hóa khả năng làm việc của nhóm bảo mật, từ đó giảm thiểu tổng chi phí Nhờ vào tự động hóa, các nhóm bảo mật có thể tập trung vào việc giải quyết các vấn đề nghiêm trọng hơn.

Tự động hóa việc thực thi chính sách bảo mật là quá trình tự động áp dụng các quy tắc và hướng dẫn bảo mật trên hạ tầng công nghệ của tổ chức Điều này bao gồm việc kiểm soát truy cập, ứng phó sự cố và quản lý mối đe dọa, giúp nâng cao hiệu quả và tính nhất quán trong các hoạt động bảo mật.

Sự khác nhau giữa SIEM và SOAR

Cả SOAR và SIEM đều quan trọng trong việc xử lý dữ liệu liên quan đến mối đe dọa bảo mật, giúp cải thiện khả năng phản ứng với các sự cố SIEM tập trung vào việc tổng hợp và đối chiếu dữ liệu từ nhiều hệ thống bảo mật để tạo ra cảnh báo, trong khi SOAR hoạt động như một công cụ khắc phục và phản ứng cho các cảnh báo đó Sự khác biệt giữa hai công nghệ này được tóm tắt trong bảng 2-1.

Bảng 2-1 Sự khác nhau giữa SIEM và SOAR

Thu Thập Log Tổng hợp cảnh báo và thông tin tình báo về mối đe dọa

Sinh cảnh báo Thu thập cảnh báo từ SIEM và các nguồn khác nhau

Phân tích dữ liệu để xác định mối đe dọa

Làm giàu và tương quan các cảnh báo

Giới hạn về quy trình ứng phó sự cố Cung cấp quy trình tự động hóa ứng phó sự cố

Thông báo cho người dùng và đội ngũ bảo mật về các hoạt động bất thường là rất quan trọng Việc điều phối và thực thi các hành động bảo mật cần được thực hiện thông qua các công cụ tích hợp hiệu quả.

SOAR và SIEM đều có khả năng thu thập dữ liệu từ cùng một nguồn, nhưng SOAR có phạm vi rộng hơn nhờ vào khả năng thu thập dữ liệu từ các ứng dụng bên ngoài.

Sự khác biệt giữa SOAR và SIEM dựa trên các hành động mà mỗi loại công cụ

SOAR có khả năng thực hiện 31 hành động khi phát hiện mối đe dọa hoặc lỗ hổng tiềm ẩn Bằng cách sử dụng bot AI và playbook tùy chỉnh, SOAR thực hiện các hành động cụ thể để ứng phó với mối đe dọa đã được xác định Các hành động này được ghi lại và theo dõi trong quy trình làm việc tự động, giúp nâng cao hiệu quả trong quá trình ứng phó sự cố.

SIEM sử dụng các cơ chế như thu thập, làm giàu và tương quan dữ liệu để tạo ra cảnh báo cho đội ngũ SOC điều tra Công nghệ AI trong SIEM giúp giảm thiểu thông báo sai, giúp nhóm bảo mật tập trung vào các mối đe dọa an ninh mạng Tuy nhiên, vai trò của SIEM chỉ dừng lại ở việc xác định mối đe dọa và lưu trữ dữ liệu, trong khi nền tảng SOAR hỗ trợ đội ngũ SOC thực hiện các hành động thu thập thông tin từ nguồn bên ngoài, phân tích và điều tra sâu hơn để phát hiện lỗ hổng và các cuộc tấn công liên quan.

SOAR được xem là sự bổ sung hoàn hảo cho SIEM, với Gartner coi sự kết hợp này là một phương pháp phổ biến trong việc phát hiện và ứng phó sự cố Mặc dù có nhiều công cụ khác cung cấp giải pháp thay thế cho SOC tập trung vào SIEM, nhưng SIEM vẫn giữ vai trò quan trọng trong việc cung cấp cảnh báo với khả năng thu thập và gắn cờ hoạt động độc hại Những cảnh báo này có thể được nâng cấp lên nền tảng SOAR, thông qua quy trình thủ công hoặc tự động dựa trên các quy tắc SIEM.

Nền tảng SOAR hỗ trợ phân tích cảnh báo, giúp xác định tính chính xác của sự cố và sắp xếp phản hồi cần thiết cho các hệ thống tích hợp khác.

Lợi ích của SOAR

Áp dụng giải pháp SOAR mang lại nhiều lợi ích cho đội ngũ SOC, giúp cải thiện đáng kể về con người, quy trình và công nghệ bảo mật hiện tại.

Tích hợp các giải pháp bảo mật và nền tảng chia sẻ thông tin tình báo về mối đe dọa là rất quan trọng Đội ngũ bảo mật SOC có khả năng kết nối các giải pháp bảo mật khác nhau trong tổ chức hoặc từ bên thứ ba, giúp thu thập và phân tích dữ liệu một cách toàn diện hơn.

Giao diện quản lý tập trung cho phép đội ngũ bảo mật truy cập vào một nền tảng duy nhất, cung cấp đầy đủ thông tin cần thiết để điều tra và khắc phục sự cố hiệu quả.

SOAR đã được chứng minh là có khả năng giảm đáng kể thời gian trung bình để phát hiện sự cố (MTTD) và thời gian trung bình để phản hồi (MTTR), từ đó nâng cao hiệu quả ứng phó sự cố.

Vì nhiều hành động được tự động hóa nên phần lớn các sự cố có thể được xử lý ngay lập tức và tự động

SOAR giúp ngăn chặn các hành động tốn thời gian bằng cách giảm thiểu đáng kể thông báo sai, cảnh báo dương tính giả, các tác vụ lặp lại và quy trình thủ công, từ đó tiết kiệm thời gian cho các nhà phân tích bảo mật.

Giải pháp SOAR giúp cải thiện khả năng truy cập thông tin tình báo bằng cách tổng hợp và xác thực dữ liệu từ nhiều nguồn như nền tảng tình báo về mối đe dọa, tường lửa, hệ thống phát hiện xâm nhập, SIEM và các công nghệ khác Điều này cung cấp cho nhóm bảo mật những thông tin chi tiết và bối cảnh rõ ràng hơn, từ đó giúp họ giải quyết các vấn đề hiệu quả và cải thiện quy trình làm việc Các nhà phân tích có khả năng tiến hành điều tra sâu hơn và rộng hơn khi gặp phải các vấn đề phát sinh.

Cải thiện báo cáo và truyền thông là điều cần thiết để tối ưu hóa hoạt động bảo mật Bằng cách tổng hợp tất cả các hoạt động bảo mật tại một nơi và trình bày chúng trong bảng điều khiển trực quan, các bên liên quan có thể dễ dàng truy cập thông tin cần thiết Những số liệu rõ ràng này giúp họ nhận diện các điểm cần cải thiện trong quy trình công việc và giảm thiểu thời gian phản hồi.

Nền tảng SOAR giúp nâng cao khả năng ra quyết định cho người dùng, đặc biệt là các nhà phân tích bảo mật ít kinh nghiệm, thông qua việc cung cấp các tính năng thân thiện như playbook dựng sẵn, chức năng kéo và thả để tạo playbook từ đầu, và khả năng tự động ưu tiên cảnh báo.

Một công cụ SOAR có khả năng thu thập dữ liệu và cung cấp thông tin chi tiết, giúp các nhà phân tích dễ dàng đánh giá các sự cố và thực hiện các hành động chính xác để khắc phục chúng.

Ứng dụng chính của SOAR

Nền tảng SOAR giúp tự động hóa và tối ưu hóa quy trình ứng phó sự cố, cho phép các nhóm bảo mật phản ứng nhanh chóng và hiệu quả với các sự cố bảo mật Hệ thống này cung cấp cái nhìn thống nhất về bảo mật của tổ chức, tự động hóa các tác vụ lặp đi lặp lại và cung cấp thông tin chuyên sâu hữu ích Một số ứng dụng chính của SOAR bao gồm việc nâng cao khả năng phát hiện và ứng phó với các mối đe dọa.

SOAR cung cấp một nền tảng tập trung giúp quản lý sự cố bảo mật hiệu quả, cho phép các nhóm bảo mật theo dõi và xử lý các sự cố từ đầu đến cuối.

SOAR tích hợp nhiều nguồn thông tin tình báo về mối đe dọa, cung cấp cho nhóm bảo mật thông tin những dữ liệu đáng tin cậy về các mối đe dọa mà tổ chức đang phải đối mặt.

SOAR tự động hóa các tác vụ ứng phó sự cố lặp đi lặp lại như thu thập, phân tích và liên lạc dữ liệu Điều này giúp cải thiện thời gian ứng phó sự cố và cho phép tự động xử lý một số hành động, chẳng hạn như chặn địa chỉ IP.

Quản lý tích hợp với SOAR kết hợp linh hoạt các giải pháp bảo mật như IDS/IPS, EDR, SIEM và TI, giúp việc tìm kiếm thông tin, đánh giá mức độ, làm giàu dữ liệu, xử lý và ngăn chặn trở nên dễ dàng và hiệu quả.

Hệ thống SOAR cung cấp khả năng quản lý báo cáo và chính sách hiệu quả, giúp tổ chức tuân thủ các yêu cầu quy định Các mẫu báo cáo trong SOAR có khả năng tự động trích xuất thông tin chi tiết, hỗ trợ việc báo cáo và đảm bảo tuân thủ quy định một cách dễ dàng.

Hệ thống cung cấp 34 thông tin dữ liệu thực, cho phép báo cáo chính xác về các sự kiện, cảnh báo và sự cố Điều này giúp dễ dàng gửi thông tin đến nhiều đối tượng nhận khác nhau, tùy thuộc vào mục đích sử dụng.

Quản lý kịch bản thực hiện tự động (Playbook) cho phép tự động hóa quy trình phân tích và điều tra các sự kiện, cảnh báo, cũng như sự cố bảo mật Dựa trên dữ liệu đầu vào và cấu hình kịch bản, các Playbook giúp các chuyên gia bảo mật thực hiện phân tích hiệu quả và phối hợp ứng phó với sự cố trong các quy trình công việc phức tạp.

SOAR có khả năng tự động thu thập và phân tích thông tin từ nhiều nguồn khác nhau, giúp các nhà điều tra nắm bắt được phạm vi và nguyên nhân của sự cố một cách hiệu quả.

Kết luận chương 2

Chương 2 đã trình bày những vấn đề cơ bản về giải pháp SOAR - giải pháp điều phối, tự động hóa và ứng phó sự cố bảo mật Giải pháp này giải quyết được hầu hết các vấn đề đang mắc phải của các tổ chức bảo mật trong việc tích hợp các sản phẩm, giải pháp bảo mật với nhau, điều phối công việc của con người và hệ thống, thực hiện nhanh chóng các hành động phân tích, làm giàu thông tin và đưa ra hành động ngăn chặn sự cố Đây là cơ sở để đề xuất xây dựng một hệ thống SOAR trong thực tế

ĐỀ XUẤT XÂY DỰNG HỆ THỐNG VÀ TRIỂN KHAI THỬ NGHIỆM

Một số hệ thống SOAR thương mại

Splunk SOAR là giải pháp điều phối, tự động hóa và phản ứng sự cố trong lĩnh vực bảo mật Nó tự động hóa các hành động bảo mật để phát hiện, điều tra và khắc phục mối đe dọa hiệu quả Với khả năng điều phối cơ sở hạ tầng bảo mật, quản lý tình huống, tự động hóa playbook và tích hợp thông tin tình báo về mối đe dọa, Splunk SOAR cho phép thu thập sự kiện bảo mật từ nhiều nguồn khác nhau Điều này giúp đội ngũ bảo mật theo dõi, phân tích và sắp xếp các sự kiện, đồng thời tự động hóa phản hồi thông qua một giao diện dễ sử dụng Các tính năng nổi bật của Splunk SOAR mang lại lợi ích lớn cho việc nâng cao an ninh mạng.

- Cơ chế nhận cảnh báo theo thời gian thực và lập lịch 1 cách chính xác

- Việc tìm kiếm kết quả dữ liệu nhanh chóng

- Dashboard cung cấp các kết quả nội dung chi tiết việc phân tích và dữ liệu trong lịch sử

- Splunk hỗ trợ việc lưu trữ, phân loại dữ liệu và cung cấp các từ khóa đa dạng

- Có cơ chế phân tích dữ liệu với các thuật toán liên kết

- Thành phần tự động hóa liên kết các dữ liệu với nhau hiển thị trực quan cho người dùng

- Thành phần cấu hình thu thập dữ liệu dễ dàng giúp việc làm giàu dữ liệu hiệu quả hơn

- Cung cấp phiên bản dùng thử và phiên bản miễn phí cho người dùng

- Công cụ đo thông số ROI chính xác và hiệu quả dựa trên các thuật toán đã được định sẵn và có thể tùy chỉnh theo người dùng

- Sử dụng các giải pháp bảo mật được cung cấp sẵn trong bộ giải pháp để hỗ trợ xử lí sự cố kịp thời

- Có cơ chế xuất báo cáo được định dạng sẵn và có thể tùy chỉnh

Thành phần Quản lí kịch bản của Splunk được cung cấp bởi các chuyên gia, cho phép người dùng thực hiện tự động hoặc thủ công tùy theo nhu cầu sử dụng.

- Gửi thông báo đến nhân sự nhanh chóng khi có sự cố xảy ra

Chronicle SOAR giúp đội ngũ bảo mật phản ứng nhanh chóng với các mối đe dọa mạng chỉ trong vài phút, thay vì vài giờ hoặc vài ngày Với cách tiếp cận tập trung vào mối đe dọa độc đáo, cùng với khả năng tự động hóa mạnh mẽ và hướng dẫn đơn giản, Chronicle SOAR mang đến điều tra theo ngữ cảnh phong phú Điều này không chỉ tiết kiệm thời gian quý báu mà còn đảm bảo rằng mọi thành viên trong nhóm bảo mật đều được cập nhật, làm việc hiệu quả và nâng cao năng suất.

CortexTM XSOAR là nền tảng SOAR bảo mật toàn diện, tích hợp quản lý trường hợp, tự động hóa, cộng tác thời gian thực và quản lý thông tin tình báo về mối đe dọa, hỗ trợ các nhóm bảo mật trong suốt vòng đời sự cố Trước khi được Palo Alto Networks mua lại, Cortex XSOAR từng mang tên Demisto.

Cortex XSOAR được nhiều doanh nghiệp và tổ chức tin tưởng lựa chọn nhờ vào kinh nghiệm lâu năm trong lĩnh vực an ninh mạng, đồng thời là sản phẩm hàng đầu trong giải pháp SOAR Một số tính năng nổi bật của Cortex XSOAR bao gồm khả năng tự động hóa quy trình, nâng cao khả năng phản ứng với sự cố và tối ưu hóa hiệu suất hoạt động của đội ngũ an ninh mạng.

- Khả năng tích hợp tới các sản phẩm khác linh hoạt

- Hỗ trợ việc điều tra và giám sát các mối đe dọa, cảnh báo hiệu quả thông qua AI và ML

- Làm giàu thông tin IOC nhanh chóng

- Việc tự động hóa là thế mạnh của XSOAR

- Cung cấp tính năng phân tích và báo cáo chi tiết

- Có cơ chế tự động đưa ra các hành động bảo vệ dựa trên mức độ của cảnh báo

- Có cơ chế giám sát tập trung

- Phần quản lí kịch bản được cung cấp bởi các chuyên gia và có thể tự động tùy chỉnh phù hợp với tổ chức

- Phần bố cục giao diện được chia ra dễ quan sát và dễ quản lí

- Chuẩn hóa và cân bằng các quy trình xử lí

- Giảm thời gian hiệu quả với cơ chế tự động hóa

- Tự động hóa các quy trình làm việc cho việc thông báo các bên liên quan khi có sự cố xảy ra

IBM Security QRadar SOAR ,trước đây là

Resilient được thiết kế để hỗ trợ nhóm bảo mật của bạn ứng phó với các mối đe dọa trực tuyến một cách tự tin và hiệu quả Với khả năng tự động hóa thông qua trí thông minh, nó giúp nhóm bạn cộng tác một cách nhất quán Hệ thống này hướng dẫn nhóm giải quyết các sự cố bằng cách mã hóa các quy trình ứng phó sự cố đã được thiết lập thành các vở kịch động, nâng cao khả năng ứng phó và quản lý rủi ro.

Nền tảng mở và bất khả tri cho phép tăng tốc và điều phối phản ứng thông qua việc tự động hóa các hành động bằng trí thông minh, đồng thời tích hợp hiệu quả với các công cụ bảo mật khác.

Cơ sở xây dựng hệ thống SOAR dựa trên mã nguồn mở

Hiện nay, nhiều sản phẩm SOAR nổi tiếng như Chronicle SOAR, Splunk SOAR, và Cortex XSOAR đã mang lại lợi ích lớn cho các tổ chức quy mô lớn, nhưng chi phí cao khiến chúng khó tiếp cận với các tổ chức vừa và nhỏ Để giải quyết vấn đề này, tôi đề xuất xây dựng giải pháp SOAR dựa trên mã nguồn mở, nhằm hỗ trợ các tổ chức vừa và nhỏ Qua việc tìm hiểu kiến trúc của các hãng bảo mật nổi tiếng như FireHelix, Chronicle Google, Splunk, D3Security, và IBM, tôi đã phát triển một mô hình kiến trúc hệ thống SOAR cần thiết, như được mô tả trong Hình 3-1.

Hình 3-1 Kiến trúc của giải pháp SOAR

Mô tả về mô hình kiến trúc của SOAR:

Lớp thu thập dữ liệu (Ingestion Layer) là phần quan trọng trong hệ thống SOAR, chịu trách nhiệm tổng hợp dữ liệu từ nhiều nguồn khác nhau Các phương thức phổ biến để thu thập dữ liệu bao gồm giao thức syslog, Beats và LogStash, giúp đảm bảo tính toàn vẹn và hiệu quả trong việc chuyển giao thông tin.

Lớp xử lý dữ liệu (Data Processing Layer) là thành phần quan trọng trong hệ thống SOAR, có nhiệm vụ phân tích và chuẩn hóa các dữ liệu cảnh báo cũng như dữ liệu log Sau khi dữ liệu được thu thập qua lớp thu thập, hệ thống sẽ xử lý và chuyển đổi các dữ liệu đầu vào thành một định dạng có cấu trúc chung, đảm bảo tính nhất quán và dễ dàng trong việc quản lý và phân tích.

Lớp lưu trữ là thành phần quan trọng trong hệ thống, đảm nhận nhiệm vụ lưu trữ dữ liệu từ các nguồn khác nhau và cung cấp dữ liệu cho việc phân tích và làm giàu thông tin Nền tảng Elasticsearch đang trở thành lựa chọn phổ biến nhờ vào tính tiện ích và khả năng truy vấn dữ liệu nhanh chóng Sau khi xử lý, các bản ghi dữ liệu sẽ được lưu trữ ở dạng tiền xử lý, giúp hỗ trợ việc lưu trữ và truy vấn thông tin hiệu quả.

Lớp quản lý kịch bản tự động Playbook là một thành phần quan trọng trong việc hệ thống hóa và chuẩn hóa quy trình làm việc của đội ngũ bảo mật Nó giúp quản lý các kịch bản xử lý tự động, từ đó đảm bảo các hành động xử lý được thực hiện kịp thời Hơn nữa, Playbook còn tích hợp với các thành phần khác để tự động hóa công việc phân tích và làm giàu dữ liệu, cung cấp cái nhìn tổng quát về các cảnh báo và tình huống mà đội ngũ bảo mật cần xử lý.

Lớp ứng dụng cung cấp giao diện tập trung cho người dùng, giúp đội ngũ bảo mật dễ dàng quản lý và xử lý sự cố Nó cho phép phối hợp với các bộ phận khác để thực hiện phân tích sự cố hiệu quả Giao diện này thường bao gồm các tính năng như Dashboard, quản lý báo cáo và quản lý cảnh báo, tạo điều kiện thuận lợi cho việc theo dõi và phản ứng kịp thời với các sự cố bảo mật.

Quản lý tình huống, quản lý kịch bản tự động và quản lý tích hợp là những yếu tố quan trọng trong việc tối ưu hóa quy trình làm việc Giao diện có khả năng tùy chỉnh, giúp các tổ chức điều chỉnh theo các yêu cầu bảo mật cụ thể, từ đó nâng cao tính linh hoạt và hiệu quả trong quản lý.

Lớp tích hợp (Integration Layer) là thành phần quan trọng trong hệ thống SOAR, đóng vai trò kết nối các công cụ, hệ thống và công nghệ bảo mật khác nhau Nó tạo điều kiện cho việc trao đổi dữ liệu và thông tin, giúp đội ngũ bảo mật phân tích, điều tra và thực hiện hành động ngăn chặn ngay tại giao diện của SOAR.

Dựa trên các thành phần trong hệ thống SOAR, tôi đề xuất xây dựng hệ thống SOAR sử dụng các giải pháp mã nguồn mở như TheHive, Cortex, n8n, Elasticsearch, ElastAlert và MISP Những nền tảng này có khả năng tích hợp với nhau, giúp tối ưu hóa hiệu quả cho hệ thống.

SOAR Phần mô hình hoạt động của hệ thống SOAR dựa trên mã nguồn mở sẽ được thể hiện qua Hình 3-2

Hình 3-2 Mô hình hệ thống SOAR open-source

Mỗi nền tảng trong hệ thống SOAR đảm nhiệm các nhiệm vụ cụ thể, giúp cung cấp những tính năng cơ bản cần thiết Điều này cho phép người dùng dễ dàng sử dụng và nâng cao hiệu quả trong quá trình xử lý sự cố.

Hệ thống SOAR mã nguồn mở hoạt động bằng cách thu thập dữ liệu cảnh báo và log, lưu trữ chúng tại Elasticsearch, nơi dữ liệu được phân chia theo các chỉ mục khác nhau ElastAlert sẽ kiểm tra điều kiện trong bộ luật để chuyển cảnh báo đến TheHive, nơi tiếp nhận và phân chia dữ liệu nhằm hỗ trợ đội ngũ bảo mật SOC dễ dàng theo dõi Dữ liệu cảnh báo có thể được gửi đến MISP để kiểm tra và làm giàu thông tin, sau đó trả kết quả về TheHive Người dùng có thể kích hoạt n8n hoặc Cortex để tự động phân tích các dấu hiệu và trường thông tin quan trọng, đồng thời thực hiện các hành động ứng phó với cảnh báo Ngoài ra, n8n còn có khả năng tự động kết nối và tương tác với các sản phẩm bảo mật khác, tùy thuộc vào cấu hình quy trình hoạt động của người dùng.

TheHive là một nền tảng điều phối và xử lý sự cố quan trọng trong mô hình kiến trúc, giúp tổ chức quản lý và tự động hóa quy trình xử lý sự cố Nền tảng này cho phép đội ngũ bảo mật phối hợp hiệu quả trong việc phân tích và phản ứng kịp thời với các sự cố TheHive có khả năng kết nối với các công cụ bảo mật khác như SIEM, TI, IDS/IPS, mang lại sự linh hoạt và hiệu quả trong công tác bảo mật Các tính năng chính của TheHive hỗ trợ tổ chức tối ưu hóa quy trình xử lý sự cố và nâng cao khả năng bảo vệ hệ thống.

Quản lý cảnh báo là một hệ thống tập hợp các cảnh báo đã được thu thập, cho phép người dùng xem thông tin chi tiết như thời gian phát sinh cảnh báo, nguồn thu thập, và các thông tin liên quan đã được hỗ trợ trích xuất.

Đội ngũ bảo mật sẽ chuyển các cảnh báo liên quan thành tình huống cần điều tra khi phát hiện hành vi đáng ngờ.

Hình 3-3 Danh sách quản lý cảnh báo

Quản lý tình huống giúp đội ngũ bảo mật theo dõi thông tin cần kiểm tra, chuyển đổi thành sự cố và gắn thẻ, điền thông tin cần thiết Hệ thống cho phép phân quyền người xử lý công việc và hỗ trợ kết nối tự động đến các công cụ bảo mật, từ đó phân tích và làm giàu thông tin ngay tại giao diện.

Hình 3-4 Danh sách quản lý tình huống

Xây dựng kịch bản thử nghiệm và đánh giá

Do không thể triển khai thực tế, đồ án đã đề xuất mô hình và kịch bản thử nghiệm trên hệ thống máy ảo Mô hình thử nghiệm bao gồm một agent hoạt động trên hệ điều hành Ubuntu, một máy chủ cài đặt hệ thống SOAR, và một máy attacker để tiến hành tấn công vào các máy trong hệ thống Chi tiết về việc cài đặt mô hình thử nghiệm được trình bày trong Phụ lục.

3.3.1 Kịch bản 1: Xây dựng quy trình ứng phó sự cố mã độc

3.3.1.1 Mô tả kịch bản thử nghiệm

Sự cố an ninh mạng bắt đầu khi máy tính của một nhân viên trong công ty

Trong quá trình làm việc với khách hàng qua email, nạn nhân đã bị nhiễm mã độc khi tải về một tệp tin chứa mã độc trong lúc trao đổi về việc sử dụng thử sản phẩm Sau khi tệp tin này được kích hoạt, mã độc đã ảnh hưởng đến hệ thống của nạn nhân.

Hệ thống giám sát trên máy tính đã phát hiện và gửi thông báo đến quản trị viên cùng đội ngũ bảo mật, nhưng do thiếu nhân lực, họ đã yêu cầu sự hỗ trợ từ đội ngũ SOC của tổ chức KMA để phân tích và điều tra các cảnh báo Thông tin về cảnh báo và tình huống đã được chia sẻ trên hệ thống TheHive và gửi đến tổ chức KMA để nhận hỗ trợ.

3.3.1.2 Tiến hành kịch bản thử nghiệm

Quản trị viên bảo mật của công ty A sẽ chuyển giao thông tin cảnh báo từ hệ thống cùng với các dữ liệu liên quan đến tổ chức KMA để thực hiện theo dõi, phân tích, điều tra và ứng phó với sự cố mã độc.

Hình 3-18 Công ty A cấu hình chia sẻ thông tin

Hình 3-19 Chia sẻ thông tin sự cố sang tổ chức KMA

Sau khi tiếp nhận cảnh báo và thông tin về sự cố mã độc, tổ chức bảo mật KMA tiến hành phân tích và điều tra để xử lý sự cố một cách hiệu quả.

Hình 3-20 Tổ chức KMA tiếp nhận cảnh báo

Các nhân viên bảo mật sẽ xem xét thông tin từ công ty A để xác định nguyên nhân sự cố máy tính của nhân viên, liên quan đến việc tải tệp Hệ thống TheHive sẽ tự động tạo ra các công việc dựa trên mẫu tình huống xử lý mã độc và thông báo cho từng nhân viên bảo mật thực hiện nhiệm vụ.

Hình 3-21 Thông tin về sự cố công ty A

Hình 3-22 Danh sách công việc liên quan đến xử lý mã độc

Nhân viên giám sát sẽ nhận thông báo về công việc cần thực hiện và tiến hành theo các bước đã được thiết lập cho quy trình "Cô lập hệ thống", như mô tả trong Hình 3-24.

Hình 3-23 Mô tả công việc “Cô lập hệ thống”

Thực hiện xong việc cô lập máy tính, giám sát viên kết thúc công việc và cập nhật kết quả xử lý công việc

Sau đó, phân tích viên tier 2 sẽ thực hiện công việc “Phân tích tệp độc hại” Công việc sẽ mô tả nội dung được thể hiện trong Hình 3-25

Hình 3-24 Mô tả công việc “Phân tích tệp độc hại”

Sau khi thu thập thông tin ban đầu, nhân viên bảo mật sẽ kiểm tra tệp tin đính kèm bằng cách sử dụng các trình phân tích đã được cấu hình trong hệ thống Cortex Kết quả phân tích sẽ được tóm tắt và gửi về giao diện hiển thị chi tiết của tệp tin, như thể hiện trong hình 3-26 và 3-27.

Hình 3-25 Tệp trước khi được tự động phân tích

Tệp độc hại sẽ được gửi đến các công cụ bảo mật như VirusTotal để kiểm tra thông tin độc hại và SandBox của tổ chức KMA để phân tích động Sau khi phân tích thành công từ các thành phần tích hợp sẵn của Cortex, thông tin xác nhận độc hại và điểm số độc hại sẽ được gán vào phần thông tin của tệp.

Hình 3-26 Tệp sau khi được phân tích

Thông tin chi tiết thực hiện các hành vi độc hại của tệp sẽ được ghi lại thông qua Sandbox như trong hình 3-28

Hình 3-27 Chi tiết tiến trình thực thi của tệp độc hại

Nhân viên bảo mật tier 2, sau khi phân tích và xác minh mức độ độc hại của mã độc, sẽ chuyển sang công việc "Xác định nguồn lây nhiễm" Thông tin công việc này được phân công cho người xử lý là “Soc tier 2”, như thể hiện trong Hình 3-29.

Hình 3-28 Mô tả công việc “Xác định nguồn gốc lây nhiễm”

Sau khi hoàn tất việc xác định nguồn gốc, phân tích viên sẽ tổng hợp tất cả thông tin để đảm bảo mọi thành viên nắm bắt được nhanh chóng và hiệu quả hơn.

Công việc tiếp theo bao gồm việc ngăn chặn nguồn gốc lây nhiễm, loại bỏ tệp và hành vi độc hại, cũng như khôi phục hệ thống Những nhiệm vụ này sẽ được giao cho nhân viên bảo mật tier 3, do yêu cầu kiến thức sâu về cách xử lý mã độc Thông tin chi tiết về công việc đã được mô tả và phân công cho người xử lý.

“Soc tier 3” được thể hiện trong Hình 3-30 và Hình 3-31

Hình 3-29 Mô tả công việc “Ngăn chặn nguồn gốc lây nhiễm”

Hình 3-30 Mô tả công việc “Loại bỏ tệp và hành vi độc hại”

Hình 3-31 Mô tả công việc “Khôi phục hệ thống”

Người quản lý chính trong sự cố, Trịnh Quốc An, sẽ hoàn tất toàn bộ công việc bằng cách rà soát kết quả thực hiện của từng nhân viên và các thông tin đính kèm Cuối cùng, ông sẽ kết thúc sự cố, điền kết quả và lập báo cáo.

Hình 3-32 Mô tả công việc “Xác nhận kết quả và lập báo cáo”

Hình 3-33 Kết luận công việc ứng phó sự cố

Quản trị viên bảo mật tại công ty A đã thu thập toàn bộ thông tin về việc ứng phó sự cố, kết luận từ tổ chức bảo mật KMA cho biết tệp độc hại đã được loại bỏ Đồng thời, công ty cũng đã tăng cường các biện pháp bảo mật để nâng cao an ninh cho hệ thống.

Hình 3-34 Kết thúc sự cố công ty A

Kịch bản thử nghiệm 1 đã thành công, với việc triển khai hệ thống SOAR giúp đội ngũ SOC nhanh chóng tiếp nhận cảnh báo từ các tổ chức liên kết Hệ thống hỗ trợ hiệu quả trong việc trích xuất thông tin và phân chia công việc cho từng nhân viên, từ đó chuẩn hóa quy trình ứng phó sự cố và giảm thiểu vấn đề phát sinh trong việc chia sẻ thông tin.

3.3.2 Kịch bản 2: Kích hoạt kịch bản Playbook xử lý tự động cảnh báo kết nối CNC

3.3.2.1 Mô tả kịch bản thử nghiệm

Ngày đăng: 07/11/2024, 11:45

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w