Khi nhật ký an ninh nằm rải rác khắp hệ thống, kẻ tấn công dễ ẩn mình. SIEM tập trung hoá giám sát, tương quan sự kiện để phát hiện mối đe doạ mà từng phần riêng lẻ bỏ sót.
SIEM làm gì
SIEM thu thập nhật ký từ nhiều nguồn, chuẩn hoá và tương quan chúng để phát hiện mẫu tấn công vượt ngoài tầm nhìn của từng hệ thống đơn lẻ.
Giá trị của tương quan sự kiện
- Phát hiện chuỗi hành vi đáng ngờ
- Giảm thời gian phát hiện sự cố
- Cung cấp ngữ cảnh cho điều tra
- Hỗ trợ tuân thủ và lưu vết kiểm toán
Tránh quá tải cảnh báo
S
I
E
M
c
ấ
u
h
ì
n
h
k
é
m
t
ạ
o
b
i
ể
n
c
ả
n
h
b
á
o
n
h
i
ễ
u
k
h
i
ế
n
đ
ộ
i
n
g
ũ
k
i
ệ
t
s
ứ
c
.
T
i
n
h
c
h
ỉ
n
h
l
u
ậ
t
v
à
ư
u
t
i
ê
n
t
h
e
o
r
ủ
i
r
o
l
à
y
ế
u
t
ố
s
ố
n
g
c
ò
n
.
Câu hỏi thường gặp
SIEM khác công cụ giám sát đơn lẻ thế nào?
SIEM tương quan sự kiện từ nhiều nguồn để phát hiện mẫu tấn công mà từng hệ thống riêng lẻ không thấy.
Vấn đề thường gặp với SIEM?
Quá tải cảnh báo nhiễu; cần tinh chỉnh luật và ưu tiên theo rủi ro để đội ngũ tập trung đúng việc.