[Security 101] SEM là gì? Kẻ gác đền với "phản xạ" thời gian thực

Bạn còn nhớ trong bài viết về SIEM, mình đã đề cập SIEM là sự kết hợp của SIM và SEM chứ?

Nếu hệ thống của bạn là một cửa hàng, thì SIM (Security Information Management) giống như cuốn sổ cái ghi chép lại mọi giao dịch, dành cho việc kiểm toán cuối tháng. Còn SEM (Security Event Management) chính là chiếc chuông báo động chống trộm kết hợp với camera giám sát trực tiếp. Nó không đợi đến cuối ngày mới báo cáo, mà nó "la toáng" lên ngay khoảnh khắc có kẻ gian cạy cửa.

Vậy rốt cuộc, SEM làm nhiệm vụ đó như thế nào?

1. Bản chất của SEM: Sống trong hiện tại (Real-time)

SEM (Security Event Management) tập trung hoàn toàn vào việc thu thập, phân tích và đưa ra cảnh báo về các sự kiện bảo mật trong thời gian thực (real-time).

Trong khi SIM giúp bạn trả lời câu hỏi "Chuyện gì đã xảy ra tuần trước?", thì SEM giúp bạn giải quyết câu hỏi sống còn: "Chuyện quái gì đang xảy ra với server của mình ngay lúc này?".

SEM sẽ giám sát các luồng dữ liệu nóng (live data) từ:

• Logs của Web Server (Nginx, Apache).
• Các phiên đăng nhập SSH/RDP.
• Logs từ Firewall hoặc thiết bị mạng.
• Các request gọi API bất thường.

2. Vũ khí tối thượng của SEM: Event Correlation (Tương quan sự kiện)

Điểm ăn tiền nhất của SEM không phải là nó thu thập được bao nhiêu log, mà là khả năng xâu chuỗi (Correlation).

Hãy thử đặt mình vào vị trí của một kỹ sư thiết kế hệ thống backend. Mỗi giây ứng dụng của bạn nhận về hàng ngàn request. Làm sao để biết đâu là người dùng thật, đâu là hacker? SEM sử dụng các tập luật (Rules) đã được định nghĩa sẵn để phân tích:

Tình huống 1: Một IP gọi API đăng nhập sai 1 lần. SEM: Bình thường, người dùng quên mật khẩu thôi. Bỏ qua.

Tình huống 2: Cùng IP đó gọi API đăng nhập sai 50 lần trong vòng 30 giây vào tài khoản Admin. SEM: Phát hiện Brute-force Attack! Ngay lập tức bắn cảnh báo (Alert) qua Slack/Email cho team Ops, đồng thời có thể trigger một webhook để block IP đó trên Firewall.

Nhờ khả năng tương quan này, SEM biến hàng triệu dòng log vô nghĩa thành những Sự cố (Incidents) rõ ràng và có thể hành động được (actionable)

3. Vì sao hệ thống không thể sống thiếu SEM?

Với một kiến trúc hệ thống hiện đại (đặc biệt là Microservices), sự phân mảnh log là rất lớn. Việc trang bị SEM mang lại những lợi ích cốt lõi:

• Giảm thiểu "Thời gian vàng" (MTTD - Mean Time To Detect): Phát hiện cuộc tấn công tính bằng giây/phút thay vì vài tháng sau khi dữ liệu đã bị tuồn ra ngoài.
• Chống nhiễu (Noise Reduction): Nếu cấu hình cảnh báo chay, team của bạn sẽ bị "spam" hàng ngàn email báo lỗi mỗi ngày và dẫn đến hiện tượng lờn cảnh báo (Alert Fatigue). SEM xâu chuỗi lại và chỉ báo động khi thực sự có rủi ro cao.
• Chặn đứng đòn tấn công đang diễn ra: Khác với phân tích tĩnh, SEM có thể tích hợp với các hệ thống khác (như SOAR) để tự động cô lập server bị nhiễm mã độc hoặc khóa tài khoản bị lộ mật khẩu ngay lập tức.

Lời kết: SIM + SEM = SIEM hoàn hảo

Để tóm gọn lại:

• SIM: Lưu trữ log dài hạn, phân tích quá khứ, báo cáo tuân thủ (Compliance).
• SEM: Phân tích thời gian thực, tương quan sự kiện, cảnh báo ngay lập tức.

Hai mảnh ghép này bổ trợ cho nhau, tạo nên một cỗ máy SIEM hoàn chỉnh giúp các kỹ sư bảo vệ hệ thống từ trong ra ngoài.

Có bao giờ anh em set up rule cảnh báo mà bị nó "spam" nổ cả thông báo điện thoại lúc nửa đêm chưa? Cùng chia sẻ những pha cấu hình "đi vào lòng đất" dưới phần bình luận nhé!