SIEM

v1.0.0 - 31/03/2026

1. NEW

Dashboard & Visualization

  • Overview Dashboard: Top user request, Top project request, Endpoint Access, Request Trends.
  • Custom Dashboard của hệ thống theo nhu cầu người dùng.

Log Collection

  • Thu thập log từ OS (Linux, Windows), Endpoint (Server, Workstation), Application (Web, DB), Network devices (Switch, Router, LB), Security solution (Firewall, EDR, WAF), Cloud workloads, Email gateway, Identity.
  • Hỗ trợ Syslog, Agent-based và API ingestion.
  • Thống kê dữ liệu theo thời gian thực.
  • Tiếp nhận log qua kết nối HTTPS, UDP/TCP không mã hóa, TCP có mã hóa như TLS.
  • Quản lý đối tượng được giám sát và nguồn gửi log theo địa chỉ vật lý (MAC address, Hostname, vị trí thiết bị, Asset ID trong CMDB), địa chỉ mạng, vị trí địa lý (IP address/Region).

Log Normalization

  • Tách chọn, tổ chức, sắp xếp dữ liệu theo các quy tắc, cấu trúc dữ liệu được định nghĩa trước (Indexing).
  • Chuẩn hóa log theo các định dạng tệp tin: SYSLOG, JSON, CSV, CEF, NETFLOW.
  • Chuẩn hóa log hệ điều hành Windows và Unix; Firewall, thiết bị mạng.
  • Làm giàu dữ liệu (Enrichment) với IP, Asset, User identity.
  • Chuẩn hóa dữ liệu theo schema thống nhất.
  • Tích hợp sẵn các bộ parser built-in và cho phép người dùng tạo custom parser theo yêu cầu.

Detection, Correlation & Analysis

  • Tìm kiếm cùng lúc trên nhiều nguồn dữ liệu, nhiều định dạng khác nhau.
  • Tìm kiếm, phân tích, thống kê bằng cách kết hợp các câu lệnh tìm kiếm nâng cao trong một câu lệnh tìm kiếm.
  • Bộ luật detection rules built-in theo khung MITRE ATT&CK.
  • Quản lý tập luật (thêm/sửa/tìm kiếm/sao chép/kích hoạt/vô hiệu hóa).
  • Tích hợp sẵn Streaming Rule: loại rule liên tục đánh giá, xử lý dữ liệu theo thời gian thực so với điều kiện trong rule.
  • Tích hợp sẵn Correlation Rule: loại rule dùng để phân tích mối liên hệ giữa nhiều sự kiện khác nhau (gom nhóm các sự kiện, so sánh theo điều kiện, tìm ra một chuỗi hành vi hoặc mẫu tấn công - attack pattern) trong một khoảng thời gian xác định.
  • Cho phép tự tạo bộ rule custom theo yêu cầu người dùng bao gồm Streaming rule và Correlation rule.
  • Tương quan sự kiện (Correlation Analysis) theo ngưỡng (Threshold-based).
  • Phân tích tương quan sự kiện theo thời gian thực đối với dữ liệu log thu thập được.
  • Cập nhật tập luật được phát hành bởi nhà sản xuất.

Alerting

  • Hiển thị nội dung cảnh báo trên giao diện đồ họa về quản lý cảnh báo.
  • Real-time alert với severity (Low / Medium / High / Critical).
  • Cảnh báo về dấu hiệu, nguy cơ, sự cố, cuộc tấn công và các hành vi gây mất an toàn thông tin khác dựa trên kết quả thực thi luật phân tích tương quan sự kiện.
  • Tìm kiếm và tạo thống kê dữ liệu cảnh báo theo dữ liệu raw và dữ liệu sau khi tương quan sự kiện theo khoảng thời gian xác định.

Reporting

  • Tùy chỉnh chức năng báo cáo theo nhiều dạng khác nhau: time-based charts, bar charts, pie charts.
  • Cung cấp sẵn mẫu báo cáo theo các hệ điều hành phổ biến (Windows, Linux), CMC Telecom.
  • Cung cấp sẵn các mẫu báo cáo đáp ứng các tiêu chuẩn bảo mật quốc tế, tối thiểu bao gồm: PCI DSS, CIS, TCVN 11930:2017, ISO/IEC 27001.
  • Tạo mới, xem lại và xóa báo cáo đã được tạo.
  • Tìm kiếm và tạo thống kê dữ liệu theo khoảng thời gian xác định.
  • Xuất và tải xuống báo cáo dưới định dạng PDF.

Case Management

  • Cung cấp hệ thống Case Management để quản lý các sự kiện an ninh bất thường/tấn công được định danh.
  • Cho phép người dùng nhóm nhiều cảnh báo (Alert) lại thành một Case duy nhất để dễ dàng điều tra, theo dõi và quản lý.
  • Tạo case độc lập (không cần alert có sẵn).
  • Tạo case từ một hoặc nhiều cảnh báo (được liên kết từ Alert).
  • Case có thể được giao cho người phụ trách, cập nhật thông tin và theo dõi trạng thái trong toàn bộ vòng đời xử lý.

Security

  • Xác thực người dùng 2 yếu tố thông qua MFA và có khả năng xác thực hai yếu tố bằng cách tích hợp với giải pháp khác.
  • Kiến trúc multi-tenancy (tạo tài khoản riêng cho từng tenant/nhóm tenant), tách biệt hoàn toàn dữ liệu, cấu hình, người dùng, luồng xử lý và thông tin bảo mật giữa các tenant, có cơ chế ML độc lập.
  • Remote access: mã hóa qua giao thức TLS, tự động đăng xuất tài khoản và hủy bỏ phiên kết nối quản trị từ xa khi hết thời gian duy trì phiên kết nối.
  • Cấu hình hạn chế truy cập vào các nguồn dữ liệu, loại dữ liệu, báo cáo hoặc dashboard cụ thể.
  • Cho phép người dùng truy cập giao diện quản trị an toàn thông qua giao thức HTTPS.

Permission

  • Phân quyền người dùng (Role-Based Access Control).
  • Phân quyền theo service trên nền tảng, user của root account có quyền tạo permission (view, edit, delete) theo từng tính năng.

Storage

  • Lưu trữ hot storage (lưu trữ dữ liệu được truy cập thường xuyên, phục vụ giám sát, phân tích và điều tra sự cố theo thời gian thực) tối thiểu 7 ngày (gói POC).
  • Lưu trữ cold storage (lưu trữ dữ liệu dài hạn, ít truy cập, phục vụ tuân thủ, audit và điều tra truy vết nâng cao) tối thiểu 14 ngày (gói POC).
  • Lưu trữ dữ liệu thô và dữ liệu sau xử lý, có thể trích xuất dữ liệu bất cứ khi nào cần.

Notification

  • Thiết lập các điều kiện cảnh báo dựa trên các ngưỡng do người dùng quy định trước.
  • Cho phép triển khai tích hợp cơ chế cảnh báo qua đa nền tảng như Email/Webhook (MS Teams, Slack, Telegram...).

Audit Log

  • Tra cứu lịch sử hoạt động của tài khoản người dùng trong vòng tối thiểu 90 ngày, bao gồm các hoạt động truy cập của tài khoản, các địa chỉ truy cập từ đâu, các máy chủ trong hệ thống đã truy cập và các kết nối truy cập.

2. CHANGED

  • N/A (Initial Release)

3. FIXED

  • N/A (Initial Release)

4. KNOWN ISSUES

  • Một số log source nâng cao (k8s, cloudtrail) chưa test về khả năng hoạt động.
  • Báo cáo custom còn giới hạn template.

Audit Log

Getting Started

logo
CMC Telecom
Aspire to Inspire the Digital World