Tài liệu Tìm hiểu và triển khai công nghệ quản lý thông tin và sự kiện an ninh

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TÌM HIỂU VÀ TRIỂN KHAI CÔNG NGHỆ QUẢN LÝ THÔNG TIN VÀ SỰ KIỆN AN NINH KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công Nghệ Thông Tin HÀ NỘI - 2013 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TÌM HIỂU VÀ TRIỂN KHAI CÔNG NGHỆ QUẢN LÝ THÔNG TIN VÀ SỰ KIỆN AN NINH KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công Nghệ Thông Tin Cán bộ hướng dẫn: HÀ NỘI - 2013 VIETNAM NATIONAL UNIVERSITY, HANOI UNIVERSITY OF ENGINEERING AND TECHNOLOGY (Upper case, bold, 18pt, centered) Major: FACULTY OF INFORMATION TECHNOLOGY Supervisor: DOAN MINH PHUONG HA NOI - 2013 TÓM TẮT Tóm tắt: Cùng với sự phát triển của xã hội, việc ứng dụng Công nghệ thông tin vào đời sống và làm việc ngày càng được phát triển và nâng cao hiệu quả. Vấn đề An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được quan tâm không chỉ ở Việt Nam mà trên toàn thế giới. Trong lĩnh vực an ninh mạng, phát hiện và phòng chống tấn công xâm nhập cho các mạng máy tính là một đề tài hay, thu hút được sự chú ý của nhiều nhà nghiên cứu với nhiều hướng nghiên cứu trong và ngoài nước khác nhau. Chính vì vậy em đã lựa chọn đề tài “Tìm hiểu và triển khai giải pháp Quản lý thông tin và sự kiện an ninh” được viết tắt là SIEM (Security Information and Event Management). SIEM là một giải mới cung cấp cái nhìn tổng thể về hệ thống, quét các lỗ hổng, đánh giá tổn thương, thu thập dữ liệu sau đó phân tích liên kết các sự kiện an ninh đưa ra cảnh báo và báo cáo đáp ứng với chuẩn quốc tế. Với mong muốn tìm hiểu cũng như triển khai trên thực tế một giải pháp công nghệ mới đang là xu thế ứng dụng đảm bảo an ninh cho hệ thống mạng trên thế giới. Trong quá trình tìm hiểu, nghiên cứu và triển khai, khóa luận đã chứng minh được vai trò, cũng như ưu điểm của SIEM trong việc đảm bảo an ninh cho hệ thống. Từ khóa: SIEM, Security information and event management. iv ABSTRACT Abstract: Keywords: SIEM, Security information and event management. v SUPERVISOR’S APPROVAL “I hereby approve that the thesis in its current form is ready for committee examination as a requirement for the Bachelor of Information Systems degree at the University of Engineering and Technology.” Signature:……………………………………………… MỤC LỤC TÓM TẮT ................................................................................................................iv ABSTRACT .............................................................................................................. v MỤC LỤC ................................................................................................................ ii LỜI CẢM ƠN ..........................................................................................................iv DANH MỤC CÁC HÌNH ........................................................................................ v DANH MỤC CÁC BẢNG ......................................................................................vi DANH MỤC CÁC TỪ VIẾT TẮT ..........................................................................i MỞ ĐẦU ................................................................................................................... 1 TỔNG QUAN VỀ SIEM ......................................................................................... 2 1.1. Tổng quan về SIEM......................................................................................... 2 1.1.1. Quản lý nhật ký sự kiện an ninh................................................................ 4 1.1.2. Tuân thủ các quy định về CNTT ............................................................... 4 1.1.3. Tương quan liên kết các sự kiện an ninh .................................................. 4 1.1.4. Cung cấp các hoạt động ứng phó ............................................................. 5 1.1.5. Đảm bảo an ninh thiết bị đầu cuối............................................................ 6 1.2. Ưu điểm của SIEM .......................................................................................... 7 THÀNH PHẦN CỦA SIEM .................................................................................... 9 2.1. Thiết bị nguồn................................................................................................ 10 2.2. Thu thập Log ................................................................................................. 12 2.2.1. Push Log ................................................................................................. 12 2.2.2. Pull Log................................................................................................... 12 2.3. Phân tích, chuẩn hóa Log .............................................................................. 14 2.4. Kỹ thuật tương quan sự kiện an ninh............................................................. 15 2.5. Lưu trữ Log ................................................................................................... 16 2.6. Theo dõi và giám sát...................................................................................... 18 HOẠT ĐỘNG CỦA SIEM .................................................................................... 19 3.1. Thu thập thông tin ......................................................................................... 20 3.2. Chuẩn hóa và tổng hợp sự kiện an ninh ........................................................ 22 3.3. Tương quan sự kiện an ninh .......................................................................... 23 3.4. Cảnh báo và báo cáo ...................................................................................... 25 3.5. Lưu trữ ........................................................................................................... 26 THỰC NGHIỆM, KẾT QUẢ ............................................................................... 27 4.1. Một số công cụ triển khai SIEM.................................................................... 28 4.1.1. AlienVault OSSIM ................................................................................... 28 4.1.2. Q1 Labs Qradar ...................................................................................... 29 4.1.3. MARS ...................................................................................................... 30 4.2. Triển khai SIEM với AlienVault OSSIM ...................................................... 31 4.2.1. Phương pháp thu thập thông tin ............................................................. 31 4.2.2. Một số công cụ mã nguồn mở trong AlienVault OSSIM ......................... 31 4.2.3. Tương quan sự kiện an ninh trong AlienVault OSSIM ........................... 33 4.2.4. Đánh giá rủi ro ....................................................................................... 33 4.2.5. Các hành động ứng phó sự cố an ninh ................................................... 34 4.2.6. Báo cáo trong AlienVault OSSIM ........................................................... 35 4.3. Thực nghiệm kết quả với AlienVault OSSIM ............................................... 36 4.3.1. Lab 1 ....................................................................................................... 36 4.3.2. Lab 2 ....................................................................................................... 36 4.3.3. Lab 3 ....................................................................................................... 36 KẾT LUẬN ............................................................................................................. 37 TÀI LIỆU THAM KHẢO ..................................................................................... 38 Phụ lục A ................................................................................................................. 40 iii LỜI CẢM ƠN Lời đầu tiên em xin chân thành cảm ơn đến thầy cô trường Đại học Công NghệĐHQGHN đã tận tình chỉ bảo và truyền đạt kiến thức cho chúng em trong suốt các năm học qua. Đặc biệt là các thầy trong bộ môn đã hết lòng trực tiếp hướng dẫn, quan tâm và dạy dỗ, truyền đạt nhiều kinh nghiệm cũng như cho em nhiều ý kiến, kiến thức quý báu trong suốt quá trình chuẩn bị, thực hiện và hoàn thành khóa luận tốt nghiệp này. Tôi xin cảm ơn các bạn sinh viên K55 trường Đại học Công Nghệ - Đại học Quốc Gia Hà Nội, đặc biệt là các bạn sinh viên lớp K55C-CLC và K55CB đã đoàn kết, giúp đỡ cùng tôi tham gia theo học các môn học bổ ích và thú vị trong chương trình đại học. Với kiến thức còn hạn hẹp, khả năng áp dụng kiến thức vào thực tiễn chưa được tốt. Do đó trong quá trình xây dựng bài khóa luận không tránh khỏi những sai sót và những hạn chế. Em rất mong nhận được những đóng góp, ý kiến của quý thầy cô để em hoàn chỉnh kiến thức của mình. Cuối cùng em xin chúc quý Thầy Cô và toàn thể cán bộ trong trường Đại học Công Nghệ - ĐHQGHN dồi dào sức khỏe và thành công trong công việc. Em xin chân thành cảm ơn! Hà Nội, tháng 05 năm 2013. iv DANH MỤC CÁC HÌNH Figure 2-1 – UET Logo. .................................... Error! Bookmark not defined. Figure 2-2 – University of Engineering and Technology: (a) Logo of UET (b) Front view of UET Headquater..................................................... Error! Bookmark not defined. v DANH MỤC CÁC BẢNG Table 2.1 – Average day of a UET graduate student.Error! Bookmark not defined. DANH MỤC CÁC TỪ VIẾT TẮT SIEM Security Information and Event Management IDS Bit Error Rate IPS Fast Fourier Transform LOG Signal to Noise Ratio Guidelines: Put them in alphabetical order. Note that in the main text of the thesis, the first time you introduce an abbreviation, it must be given in full. For example: Fast Fourier transform (FFT) was developed by Cooley and Tuckey in 1965. And even an abbreviation has been introduced earlier, you still need to re-provide the full text when you give a definition about it. MỞ ĐẦU An toàn an ninh mạng cho một hệ thống đang là một nhu cầu cần thiết cho các tổ chức. Các cuộc tấn công ngày càng trở lên phức tạp tinh vi hơn. Một hệ thống mạng hàng ngày tạo ra một lượng lớn dữ liệu bản ghi log từ các thiết bị và ứng dụng khác nhau. Việc thu thập phân tích các bản ghi log ngày càng trở lên phức tạp và khó khăn hơn. Đã có nhiều đề tài nghiên cứu và các giải pháp nhằm phát hiện, ngăn chặn và đưa ra cảnh báo về các sự kiện an ninh trong hệ thống như các thiết bị IDS, IPS. Mỗi thiết bị đều có những ưu điểm và lợi ích riêng giúp chúng ta đảm bảo phần nào nhu cầu an ninh cho hệ thống. Song hầu hết các thiết bị này hoạt động một cách riêng lẻ, việc quản lý tập trung, xử lý các dữ liệu, phân tích các thông tin và quản lý sự kiện an ninh trong hệ thống là không có. SIEM là một giải pháp có thể giúp các tổ chức giải quyết các vấn đề trên và làm giảm nguy cơ hệ thống bị tấn công xâm nhập. SIEM giúp chúng ta quản lý các thiết bị, dò quét các lổ hổng trong hệ thống, thu thập các dữ liệu từ các thiết bị và các ứng dụng khác nhau, dữ liệu sau đó được chuẩn hóa sang một định dạng chuẩn riêng, phân tích tương quan các thông tin sự kiện an ninh với nhau theo ngữ cảnh và cảnh báo cho các quản trị viên cảnh báo trong trường hợp bị tấn công. Bên cạnh đó SIEM đáp ứng các tuân thủ về hoạt động công nghệ thông tin và cung cấp sẵn các báo cáo theo đúng chuẩn quốc tế quy định về an toàn thông tin. Phần tiếp theo của khóa luận được tổ chức như sau: Chương 1: Tổng quan về SIEM. Trong chương này sẽ giới thiệu một cách tổng quan về SIEM. Nhằm cung cấp cái nhìn sơ lược về SIEM và những ưu điểm của SIEM. Chương 2: Thành phần của SIEM. Chương này cung cấp thông tin về thành phần của SIEM. Chương 3: Hoạt động của SIEM. Sau khi đã biết về thành phần của SIEM gồm những thành phần nào ở chương trước thì chương này cung cấp các thông tin về cách mà SIEM hoạt động. Giúp hiểu thêm về công nghệ SIEM. Chương 4: Thực nghiệm kết quả. Trong chương này, em tiến hành tìm hiểu một số công cụ triển khai SIEM và lựa chọn một công cụ triển khai thực tế nhằm thể hiện rõ hơn lợi ích của công nghệ SIEM. Chương 5: Kết luận. Chương này tổng………….. 1 Chương 1 TỔNG QUAN VỀ SIEM 1.1. Tổng quan về SIEM Sự phát triển của hệ thống mạng ngày càng phát triển, một số nhu cầu đặt ra như: Làm sao để quản lý rất nhiều các thiết bị, việc quản lý thông tin và sự kiện an ninh trong hệ thống vận hành tốt và an toàn? Đó là câu hỏi mà các nhà nghiên cứu hay các quản trị viên an ninh mạng đang đi tìm câu trả lời sao cho tối ưu nhất. Đã có rất nhiều các thiết bị IDS, IPS ra đời nhằm trả lời điều đó. Nhưng hầu hết các thiết bị này đều hoạt động riêng lẻ, quản lý tập chung là không có, sự tương quan liên kết các sự kiện an ninh cũng không có, bên cạnh đó là việc đảm bảo tuân thủ an ninh còn hạn chế và có thể là rất mệt mỏi để hoàn thành các báo cáo về tình trạng an ninh của hệ thống đúng theo chuẩn quốc tế. Chính vì vậy SIEM (Security information and event management – Công nghệ quản lý thông tin và sự kiện an ninh) ra đời một cách khách quan và theo xu hướng phát triển của thế giới. SIEM giải quyết được các vấn đề nêu trên đảm bảo cho hệ thống của chúng ta an toàn và hiệu quả hơn. Giải pháp quản lý thông tin và sự kiện an ninh (SIEM) là một giải pháp bảo mật an ninh cung cấp cái nhìn tổng thể về hệ thống công nghệ thông tin của một tổ chức. SIEM là sự kết hợp giữa quản lý thông tin an ninh (SIM - Security Information Management) và quản lý sự kiện an ninh (SEM - Security Event Management). Nguyên lý cơ bản của SIEM là thu các dữ liệu về các sự kiện an ninh từ nhiều thiết bị khác nhau ở các vị trí khác nhau trong hệ thống và chúng ta có thể dễ dàng phân tích, theo dõi tất cả các dữ liệu ở tại một vị trí duy nhất để phát hiện xu hướng và theo dõi các dấu hiệu bất thường. SIEM thu thập Log và các tài liệu liên quan đến an ninh khác để phân tích, tương quan liên kết. SIEM làm việc thu thập Log và các sự kiện an ninh thông qua các Agent. Từ người dùng đầu cuối, các máy chủ, các thiết bị mạng và thậm chí là các thiết bị an 2 ninh chuyên nghiệp như Firewall, Anti Virus hoặc các hệ thống phòng chống xâm nhập. Các thiết bị thu thập thông tin chuyển tiếp thông tin tới trung tâm nhằm chuẩn hóa, quản lý tập trung, phân tích, tương quan các sự kiện an ninh. Tiếp sau đó có thể xác định các sự kiện bất thường và thông báo tới quản trị viên. < sach imple> Các chuyên gia bảo mật và các nhà phân tích sử dụng SIEM nhằm theo dõi, xác định, quản lý hệ thống tài sản và ứng phó với các sự cố an ninh. Một số sự kiện an ninh như tấn công từ chối dịch vụ (DoS), tấn công có chủ ý, tấn công mã độc hại và phát virus. SIEM cũng có thể xác định mà không dễ phát hiện bằng các thiết bị khác. Nhiều sự kiện khó phát hiện hoặc bị che khuất bởi hàng ngàn các sự kiện an ninh khác trong mỗi giây. Bên cạnh đó SIEM có thể phát hiện những sự kiện an ninh khó phát hiện hơn như các hành vi vi phạm chính sách, cố gắng truy cập trái phép và phương thức tấn công của những kẻ tấn công có trình độ cao xâm nhập vào hệ thống CNTT. Một mục tiêu quan trọng cho các nhà phân tích an ninh sử dụng SIEM là giảm số lượng cảnh báo giả. Hệ thống an ninh được cho là yếu kém, chẳng hạn như hệ thống phát hiện xâm nhập (IDS) thường có những cảnh báo về nhiều sự kiện giả. Nhiều cảnh báo này gây lãng phí thời gian, công sức của các nhà phân tích an ninh và thường tập trung chú ý vào các cảnh báo đó. Điều đó làm cho các nhà phân tích lại bỏ qua các cảnh báo đúng đắn và quan trọng hơn. Với hệ thống SIEM, việc giảm các cảnh báo giả được thực hiện một cách cẩn thận bởi các bộ lọc và các quy tắc tương quan liên kết giữa các thông tin sự kiện an ninh với nhau. Điều đó xác định và cảnh báo chính xác khi có sự kiện an ninh bất chấp số lượng lớn những sự kiện an ninh lớn và nhiều. SIEM cung cấp các dịch vụ sau: - Quản lý nhật lý sự kiện an ninh (Log management). - Tuân thủ các quy định về CNTT (IT regulatory compliance). - Tương quan liên kết các sự kiện an ninh (Event correlation). - Cung cấp các hoạt động ứng phó (Active response). - Đảm bảo an ninh thiết bị đầu cuối (Endpoint security). 3 1.1.1. Quản lý nhật ký sự kiện an ninh SIEM quản lý Log từ các thiết bị trong hệ thống. Bắt đầu với việc cấu hình các vị trí quan trọng trong hệ thống để gửi các sự kiện an ninh vào một cơ sở dữ liệu tập trung. SIEM sẽ chuẩn hóa các Log này về một định dạng duy nhất để phân tích, tương quan liên kết. Sau đó, SIEM lưu trữ các file Log, tổ chức, tìm kiếm và các dịch vụ khác để đáp ứng nhu cầu quản lý mà các tổ chức yêu cầu. Phần quản lý dữ liệu này cũng sử dụng để phân tích về thời gian thực, trình trạng khai thác dữ liệu và an ninh của tất cả hệ thống CNTT. 1.1.2. Tuân thủ các quy định về CNTT Tất cả các sự kiện từ các hệ thống quan trọng đang được sử dụng truy nhập, chúng ta có thể xây dựng các bộ lọc hoặc các thiết lập các luật và tính toán thời gian để kiểm tra và xác thực việc tuân thủ của họ hoặc để xác định hành vi vi phạm các yêu cầu tuân thủ đã đặt ra của tổ chức. Các luật đó được đối chiếu với log được đưa vào hệ thống. Có thể giám sát số lần thay đổi mật khẩu, xác định hệ điều hành hoặc các bản vá lỗi ứng dụng, kiểm tra chống virus, phần mềm gián điệp và cập nhật. Chúng ta có thể xây dựng tập luật riêng của mình cho các bộ lọc hoặc các luật để hỗ trợ trong việc tuân thủ các quy định đã đề ra. Nhiều nhà cung cấp SIEM có các tập đóng gói sẵn các quy tắc được thiết kế đặc biệt để đáp ứng các yêu cầu về pháp luật và các quy định khác nhau mà các doanh nghiệp cần phải tuân thủ. Chúng được đóng gói và cung cấp bởi các nhà cung cấp một cách miễn phí hoặc mất một khoản chi phí. 1.1.3. Tương quan liên kết các sự kiện an ninh Sự tương quan liên kết giữa các sự kiện an ninh mang đem lại thông báo tốt hơn cho hệ thống. Chúng ta không chỉ qua một sự kiện duy nhất để quyết định cách ứng phó hay không ứng phó với nó. Với tương quan liên kết giữa các sự kiện an ninh, chúng ta xem xét điều kiện khác nhau trước khi kích hoạt báo động. Ví dụ, một máy chủ có CPU sử dụng 100% có thể được gây ra bởi nhiều nguyên nhân khác nhau. Nó có thể do một vấn đề xảy ra hoặc có thể không. Cũng có thể là một dấu hiệu cho thấy hệ thống bị quá tải với các hoạt động và yêu cầu một hoặc nhiều dịch vụ hoặc các ứng dụng cần được 4 chia sẻ trên các máy chủ khác. Và cũng có thể là máy chủ đạt đến hết công suất do một một tấn công từ chối dịch vụ (DoS) vào hệ thống. Hoặc nó có thể là ngừng trệ tạm thời một cách tự nhiên của máy chủ. Các công cụ tương quan trên một SIEM có thể kiểm tra và xem xét (tương quan) các sự kiện khác không phải liên quan đến việc sử dụng CPU. Có thể cung cấp một bức tranh đầy đủ hơn về tình trạng của máy chủ để loại trừ giả thuyết về nguyên nhân của vấn đề. Ví dụ, trong trường hợp sử dụng CPU 100%, SIEM có thể được cấu hình để xem xét một số nguyên nhân sau đây: - Phần mềm chống virus xác định có phần mềm độc hại trên máy chủ hay không? - Bất kỳ máy chủ nào có CPU sử dụng 100%? Cần xem xét có hay không sự tồn tại của virus? - Một ứng dụng hoặc nhiều ứng dụng, dịch vụ ngừng hoạt động? - Sự gia tăng lưu lượng mạng do nhu cầu chính đáng của người dùng nhưng vượt quá sự cung cấp dịch vụ của máy chủ. - Sự gia tăng lưu lượng mạng nhưng không do nhu cầu chính đáng của người dùng vượt quá sự cung cấp dịch vụ của máy chủ như một cuộc tấn công DoS? Từ các nguồn khác nhau? Có thể là một từ chối dịch vụ phân tán (DDoS)? Đó là sự tương quan các sự kiện an ninh. Cảnh báo của SIEM giúp chúng ta đưa ra cách ứng phó tùy thuộc vào các điều kiện. 1.1.4. Cung cấp các hoạt động ứng phó Tất cả các thiết bị cung cấp đầu vào cho SIEM, các quy tắc và bộ lọc sẽ xác định và phân tích mối quan hệ giữa các thông tin đầu vào đó. Chúng ta có thể cấu hình các hành động và thực hiện các phản ứng ứng phó cho tất cả các sự kiện an ninh hoặc có thể cấu hình riêng biệt cho từng loại sự kiện khác nhau. Lợi ích việc thực hiện các hoạt động ứng phó là rất tốt, nhưng bên cạnh đó nó cũng có điều bất lợi. Nếu chúng ta không cấu hình cẩn thận và chính xác thì nó có thể đưa ra các hành động ứng phó không cần thiết. Hoạt động ứng phó tự động này dễ dàng trở thành con dao hai lưỡi cho chúng ta. 5 1.1.5. Đảm bảo an ninh thiết bị đầu cuối Hầu hết các hệ SIEM có thể giám sát an ninh cho các thiết bị đầu cuối để thông báo sự an toàn của hệ thống. SIEM cung cấp việc quản lý cũng như đánh giá tài sản các thiết bị. Bên cạnh là việc dò quét lỗ hổng và cập nhật các bản vá. Nhiều hệ thống SIEM có thể theo dõi các thiết bị như PC, server, Firewall. Một số hệ thống SIEM thậm chí có thể quản lý an ninh cho thiết bị đầu cuối, có sự điều chỉnh và hoàn thiện hơn đối với thiết bị an ninh đó trên hệ thống. Như cấu hình Firewall, cập nhật và theo dõi Anti-Virus, chống spyware, chống spam email. 6 1.2. Ưu điểm của SIEM Với sự phát triển của hệ thống mạng thì ngày càng nhiều các thiết bị gia tăng và việc quản lý nó trở lên phức tạp hơn rất nhiều. Do vậy SIEM là một giải pháp giúp chúng ta quản lý chúng tốt hơn. Log từ các thiết bị tạo ra ngày càng nhiều (Có thể hàng trăm triệu bản ghi log trong một ngày) thì các quản trị viên hay các công cụ trước đó khó có thể phân tích một cách nhanh chóng, chính xác được. SIEM cung cấp việc tích hợp dữ liệu quản lý file log từ nhiều nguồn, bao gồm cả mạng, máy chủ, cơ sở dữ liệu, ứng dụng, cung cấp khả năng hợp nhất dữ liệu để tránh mất các sự kiện quan trọng. Việc đánh giá giá trị tài sản của các thiết bị trong hệ thống là không có với các hệ thống an ninh trước đó. SIEM cung cấp việc đánh giá giá trị của các thiết bị hay ứng dụng trong hệ thống (Giá trị tăng dần từ 0-5) và sắp xếp theo sự ưu tiên cảnh báo và bảo vệ chúng. SIEM cung cấp sự tương quan liên kết giữa các sự kiện an ninh lại với nhau rồi sau đó đưa ra kết luận có hay không một cuộc tấn công. Ví dụ như tấn công Brute Force. Nếu nhận thấy có hành vi quét cổng, bên cạnh đó là thấy số lần đăng nhập sai tên đăng nhập hoặc mật khẩu quá một giá trị nào đó và từ một IP nguồn trong một thời gian thì SIEM liên kết các sự kiện này với nhau và khẳng chắc rằng có một tấn công Brute Force đang xảy ra với hệ thống. Với các hệ thống an ninh trước đó các sự kiện an ninh này không được liên kết lại với nhau. Chúng chỉ có thể đưa ra cảnh báo rằng có những hành vi như quét cổng, đăng nhập sai hay gì đó… Với SIEM nếu có một trong các sự kiện an ninh nói trên thì chúng đưa ra cảnh báo mức trung bình và nếu cùng với đó xảy ra các sự kiện an ninh tiếp theo xảy ra thì nâng mức cảnh báo cao hơn và báo cho quản trị viên biết để ứng phó. SIEM cung cấp công cụ đánh giá lỗ hổng của các thiết bị trong hệ thống xem chúng có những lỗ hổng anh ninh nào? Hoặc có những bản vá cập nhật cho những lỗ hổng đó cần được cập nhật. SIEM cung cấp cái nhìn trực quan thông qua các biểu đồ, đồ thị giúp theo dõi rõ ràng hơn. Công cụ có thể hiện dữ liệu sự kiện và có thể thể hiện thành biểu đồ thông tin để hỗ trợ cho thấy mô hình hoặc xác định hoạt động không phù hợp. SIEM cung cấp các khuôn mẫu báo cáo chuẩn theo các tiêu chuẩn về an ninh quốc tế nhau như HIPAA, ISO27001 để các quản trị viên bảo mật có thể tập trung vào các hoạt động tăng cường an ninh mạng. 7 Cung cấp việc lưu trữ các bản ghi log trong một thời gian lâu dài phục vụ cho nhu cầu điều tra tổng hợp sau này và tuân thủ các quy định trong hoạt động CNTT. 8