Tổng quan

CyberShield Active Directory Manager

Sơ đồ tổng thể

Hệ thống giám sát Active Directory tại Trung tâm tích hợp dữ liệu của chủ đầu tư được cài đặt trên 01 máy chủ chuyên dụng, thiết lập và cấu hình như hình vẽ, các sự kiện giám sát được hiển thị trên màn hình giám sát. Hệ thống giám sát được thiết lập một phân vùng riêng biệt và độc lập trong hệ thống mạng. Các sự kiện giám sát được thu thập từ các máy chủ DC chuyển về Hệ thống giám sát nhằm phân tích, cảnh báo ra màn hình giám sát, đồng thời gửi email sự kiện giám sát đến quản trị mạng hoặc nhắn tin thông qua sms gateway service (do chủ đầu tư chỉ định – nếu có) đến số điện thoại của quản trị mạng. Thiết bị tường lửa sẽ được thiết lập các chính sách an ninh chặt chẽ, đảm bảo an toàn cho hệ thống thu thập và giám sát ATTT. Việc chia sẻ thông tin được truyền qua kênh mã hoá, giao thức Syslog hoặc HTTP. Thông tin chia sẻ bao gồm các trường và đóng gói theo chuẩn JSON.

Các thành phần của hệ thống giám sát

1. Thành phần giám sát trạng thái vận hành

Thành phần giám sát trạng thái vận hành thu thập thông tin từ các máy chủ DC thông qua các Agent được cài đặt trên các máy chủ DC. Mỗi khi có sự thay đổi trạng thái về tình trạng hoạt động của các máy chủ sẽ gửi ngay lập tức trạng thái về cho hệ thống giám sát.

Hệ thống giám sát sẽ hiển thị trạng thái ngay lập tức trên màn hình giám sát, đồng thời hệ thống sẽ gửi email hoặc tin nhắn đến cho người quản trị. Người quản trị nắm được thông tin và tiến hành ngay công tác xử lý đảm bảo toàn bộ hệ thống Active Directory hoạt động liên tục và luôn được theo dõi.

2. Thành phần chẩn đoán sự cố

Thành phần chẩn đoán sự cố hỗ trợ người quản trị tầm soát được các sự cố có thể xảy ra bằng cách kiểm tra sức khỏe toàn bộ hệ thống Active Directory hàng giờ.

Hệ thống giám sát Active Directory chẩn đoán các tình trạng sau:

Chẩn đoán mỗi DC có tự quảng cáo các vai trò mà nó có khả năng thực hiện hay không.
Chẩn đoán tất cả các phân vùng thư mục ứng dụng cho miền tham chiếu mô tả bảo mật thích hợp hay không.
Chẩn đoán tính hợp lệ của các tham chiếu chéo
Chẩn đoán lỗi trong hệ thống đồng bộ tập tin (SysVol)
Chẩn đoán tính sẵn sàng của hệ thống đồng bộ tập tin và ổ đĩa hệ thống
Chẩn đoán DC có thể liện hệ với Kerberos KDC (Key Distribution Center), máy chủ thời gian, DC chính (PDC) và máy chủ GC (Global Catalog)
Chẩn đoán các lỗi có thể ngăn chặn hoặc giữ đồng bộ nội bộ tạm thời và dự đoán thời gian cần thiết để KCC (Knowledge Consistency Checker) khôi phục
Chẩn đoán KCC có đang hoàn tất mà không có lỗi
Chẩn đoán DC có thể liên hệ với các máy chủ đang nắm giữ 05 vai trò chính FSMO
Chẩn đoán tài khoản máy đã được đăng ký đúng chưa và các dịch vụ có được quảng bá hay không
Chẩn đoán các bộ mô tả bảo mật trên tiêu đề naming context có quyền phù hợp để đồng bộ hay không
Chẩn đoán các đặc quyền đăng nhập tồn tại để cho phép tiến hành đồng bộ
Chẩn đoán các đối tượng tài khoản máy và DSA (Directory System Agent) đã được đồng bộ chưa
Chẩn đoán các kênh bảo mật tồn tại từ tất cả các DC trong miền đến các miền được chỉ định
Chẩn đoán đồng bộ kịp thời và bất kỳ lỗi đồng bộ nào giữa các DC
Chẩn đoán RID có thể truy cập và nếu nó có chứa thông tin thích hợp
Chẩn đoán các dịch vụ của DC có đang hoạt động không
Chẩn đoán hệ thống đang vận hành không có lỗi không
Chẩn đoán các tham chiếu hệ thống đã chỉ định có còn nguyên vẹn đối với FRS và cơ sở hạ tầng đồng bộ trên tất cả các đối tượng trong tổ chức trên mỗi DC hay không
Chẩn đoán các tham chiếu hệ thống nhất định còn toàn vẹn đối với FRS và hạ tầng đồng bộ
Chẩn đoán tất cả các phân vùng thư mục ứng dụng đã được khởi tạo đầy đủ trên tất cả các máy chủ đồng bộ chưa

3. Thành phần thu thập và quản lý thông tin sự kiện bảo mật

Thành phần thu thập và quản lý thông tin sự kiện bảo mật thu thập toàn bộ các nhật ký về thông tin vận hành và sự kiện bảo mật xảy ra trong quá trình vận hành của các máy chủ DC trong hệ thống Active Directory bằng các Agent được cài đặt trên máy máy chủ DC thông qua giao thức syslog.

Các thông tin sự kiện sẽ được trigger theo bộ trigger được xây dựng sẵn hoặc tùy chỉnh theo yêu cầu. Khi các thông tin sự kiện thỏa các điều kiện trong trigger thì các thông tin sự kiện sẽ cảnh báo trên màn hình giám sát. Đồng thời các thông tin sự kiện sẽ được gửi email hoặc nhắn tin sms cho người quản trị.

Giám sát trực tuyến xâm nhập hoặc truy cập hệ thống máy chủ trái phép hoặc có phép bằng cách cung cấp các thông tin bản ghi (Logs), giám sát việc đăng nhập máy chủ hoặc thay đổi thông tin hoặc cấu hình máy chủ (System file & Registry). Hệ thống sẽ gửi cảnh báo bằng Email hoặc App giám sát cài đặt trên thiết bị di động hoặc SMS đến người quản trị (Thông qua SMS gateway của chủ đầu tư chỉ định) kịp thời tùy thuộc vào việc xác lập các thông tin bảo mật (Triggered).

Yêu cầu tính năng kỹ thuật chi tiết Hệ thống giám sát Active Directory

a. Giám sát trực tuyến trạng thái hoạt động (Status) các máy chủ DC trong hệ thống Active Directory (Phần cứng, dịch vụ mạng, cổng mạng) và cảnh báo bằng email hoặc gửi thông tin đến APP di động hoặc gửi tin nhắn sms thông qua SMS service ngay (do chủ đầu tư chỉ định) lập tức đến người quản trị khi có sự cố xảy ra.

b. Giám sát tập trung và trực tuyến toàn bộ các bản ghi (Logs) từ tất cả các máy chủ DC (Security information and event management – SIEM) từ đó cung cấp cho người quản trị công cụ tìm kiếm tốc độ cao để tìm kiếm các sự kiện quan trọng hoặc bất thường liên quan đến vấn đề an toàn và hoạt động của hệ thống (event) để chẩn đoán, giám sát tình hình hoạt động cũng như cung cấp các báo cáo giám sát trực tuyến để người quản trị nắm bắt được tình hình an toàn - an ninh của hệ thống trung tâm dữ liệu và tình hình sử dụng tài nguyên mạng có đúng chuẩn hay không để có các điều chỉnh kịp thời.

c. Giám sát trực tuyến xâm nhập hoặc truy cập hệ thống máy chủ trái phép hoặc có phép bằng cách cung cấp các thông tin bản ghi (Logs), giám sát việc đăng nhập máy chủ hoặc giám sát cài đặt phần mềm độc hại (rootkit) thay đổi thông tin hoặc cấu hình máy chủ (System file & Registry). Hệ thống sẽ gửi cảnh báo bằng email hoặc bằng APP di động hoặc SMS đến người quản trị (Thông qua SMS gateway của chủ đầu tư chỉ định) kịp thời tùy thuộc vào việc xác lập các thông tin bảo mật (Triggered).

d. Chẩn đoán toàn bộ hệ thống Active Directory nhằm tầm soát các sự cố có thể xảy ra đảm bảo toàn bộ hệ thống hoạt động ổn định. Báo cáo kết quả chẩn đoán hàng giờ trực tuyến trên màn hình giám sát và kết xuất tập tin khi cần.

e. Khả năng chia sẻ thông tin tự động dữ liệu về giám sát với Hệ thống tiếp nhận và xử lý dữ liệu giám sát của Chủ đầu tư: Các thông tin cảnh báo từ hệ thống giám sát địa phương phải được cảnh báo trực tuyến tại hệ thống địa phương và được đóng gói theo chuẩn Syslog hoặc JSON trên kênh mã hoá HTTPS và truyền đến Hệ thống tiếp nhận và xử lý dữ liệu giám sát của Chủ đầu tư.

f. Không giới hạn số lượng máy chủ giám sát, không giới hạn lưu lượng phân tích logs hằng ngày.

g. Giao diện điều khiển: Tiếng Việt

h. Cung cấp bằng chứng số phục vụ công tác điều tra sau sự cố.