Netwrix Threat Manager

Danh mục:

Mô tả

Netwrix Threat Manager (trước đây là Netwrix StealthDEFEND) là một giải pháp bảo mật của Netwrix Corporation được thiết kế để phát hiện và phản ứng (Detect and Respond) tức thì với các mối đe dọa an ninh mạng và hành vi bất thường trong môi trường CNTT của bạn. Sản phẩm này tập trung vào việc bảo vệ Active Directory (AD), Microsoft Entra ID (trước đây là Azure AD)dữ liệu trên hệ thống file.

Mục tiêu chính của Netwrix Threat Manager là giúp các tổ chức:

  • Chặn đứng các cuộc tấn công tinh vi: Phát hiện các cuộc tấn công ngay từ giai đoạn đầu, bao gồm cả các mối đe dọa từ bên ngoài và các mối đe dọa nội bộ.
  • Phản ứng tự động: Tự động hóa quá trình ứng phó với sự cố để ngăn chặn thiệt hại nghiêm trọng và nhanh chóng cô lập mối đe dọa.
  • Nâng cao khả năng điều tra: Cung cấp thông tin chi tiết đầy đủ về các sự cố bảo mật để phục hồi và tăng cường khả năng phòng thủ.

Tính năng của phần mềm Netwrix Threat Manager

Các Tính năng Chính của Netwrix Threat Manager:

  1. Phát hiện mối đe dọa theo thời gian thực (Real-time Threat Detection):
    • Phân tích hành vi người dùng (User Behavior Analytics – UBA): Sử dụng máy học (machine learning) và phân tích hành vi để thiết lập hồ sơ “bình thường” của người dùng và hệ thống. Bất kỳ sự sai lệch đáng kể nào so với hồ sơ này đều được gắn cờ là hoạt động đáng ngờ.
    • Phát hiện tấn công tinh vi: Có khả năng phát hiện các kỹ thuật tấn công phức tạp như tấn công leo thang đặc quyền (privilege escalation), di chuyển ngang (lateral movement), tấn công chiếm đoạt thông tin xác thực (credential theft), tấn công phun mật khẩu (password spraying), và ransomware.
    • Bảo vệ Active Directory và Microsoft Entra ID: Giám sát các thay đổi cấu hình quan trọng, hoạt động tài khoản bị xâm nhập, thay đổi quyền ứng dụng, thay đổi vai trò nhạy cảm (ví dụ: Global Admin) trong cả AD tại chỗ và Entra ID trên đám mây.
    • Giám sát hệ thống file: Phát hiện hành vi truy cập file bất thường, thay đổi file nhạy cảm, hoặc các hoạt động mã hóa file nghi ngờ ransomware.
    • Honey tokens/Honey accounts: Có thể triển khai các “mồi nhử” (honeypots) dưới dạng thông tin xác thực hoặc tệp tin giả để thu hút kẻ tấn công và phát hiện khi chúng cố gắng truy cập.
  2. Phản ứng tự động với sự cố (Automated Incident Response):
    • Danh mục hành động phản ứng: Cung cấp một thư viện các hành động phản ứng được cấu hình sẵn để ngay lập tức chống lại các mối đe dọa.
    • Các hành động phản ứng phổ biến:
      • Vô hiệu hóa tài khoản người dùng hoặc máy tính bị ảnh hưởng.
      • Đặt lại mật khẩu của tài khoản bị nghi ngờ.
      • Chấm dứt các phiên làm việc đang hoạt động của tài khoản bị xâm nhập.
      • Đánh dấu tài khoản là “đã bị xâm phạm” để kích hoạt các biện pháp bảo mật và điều tra bổ sung.
      • Thay đổi quyền thành viên nhóm.
      • Chặn địa chỉ IP.
    • Tích hợp với quy trình kinh doanh: Có thể tích hợp với các hệ thống quản lý sự cố (ITSM) hoặc SIEM thông qua PowerShell hoặc webhook để tự động tạo ticket hoặc gửi dữ liệu.
  3. Điều tra sự cố toàn diện (Comprehensive Investigations):
    • Hiển thị đầy đủ sự kiện: Cung cấp khả năng hiển thị chi tiết về tất cả các sự kiện bảo mật liên quan đến một sự cố, bao gồm dòng thời gian tấn công, các hành động đã thực hiện, lỗ hổng đã bị khai thác.
    • Hỗ trợ điều tra pháp y: Cung cấp dữ liệu cần thiết để xác định cách thức sự cố bắt đầu, diễn biến và cách cải thiện bảo mật dữ liệu.
    • Báo cáo điều tra: Tạo ra các báo cáo chi tiết để hỗ trợ nhóm bảo mật trong việc điều tra và báo cáo.
  4. Cảnh báo theo thời gian thực (Real-time Alerting):
    • Thông báo ngay lập tức về bất kỳ hoạt động đáng ngờ nào trong mạng, dù là tấn công bên ngoài hay mối đe dọa nội bộ, thông qua email hoặc thông báo di động.

Netwrix Threat Manager phục vụ mục đích gì?

Netwrix Threat Manager là một công cụ cực kỳ quan trọng cho các tổ chức muốn:

  • Giảm thời gian phát hiện và phản ứng (MTTD & MTTR): Nhanh chóng xác định và vô hiệu hóa các mối đe dọa trước khi chúng gây ra thiệt hại đáng kể.
  • Bảo vệ các tài sản quan trọng nhất: Tập trung bảo vệ Active Directory (linh hồn của nhiều hạ tầng IT) và dữ liệu nhạy cảm.
  • Tự động hóa bảo mật: Giảm tải công việc cho đội ngũ bảo mật bằng cách tự động hóa các hành động phản ứng ban đầu.
  • Đáp ứng yêu cầu tuân thủ: Cung cấp khả năng giám sát và kiểm toán cần thiết để đáp ứng các tiêu chuẩn bảo mật.

Tóm lại, Netwrix Threat Manager là một giải pháp phát hiện và phản ứng mối đe dọa chủ động, giúp các tổ chức bảo vệ hiệu quả chống lại các cuộc tấn công mạng ngày càng phức tạp bằng cách cung cấp khả năng hiển thị sâu, phát hiện thông minh và khả năng phản ứng tự động.

Hướng dẫn cài đặt phần mềm Netwrix Threat Manager

Việc cài đặt Netwrix Threat Manager thường được thực hiện thông qua việc triển khai một Thiết bị ảo (Virtual Appliance) hoặc cài đặt trên một máy chủ Windows chuyên dụng. Hướng dẫn dưới đây sẽ tập trung vào cả hai phương pháp, với ưu tiên cho triển khai Thiết bị ảo vì đây là cách phổ biến và đơn giản hóa quá trình.

Lưu ý quan trọng: Netwrix Threat Manager yêu cầu một máy chủ cơ sở dữ liệu (thường là PostgreSQL, có thể được cài đặt cùng hoặc riêng) để lưu trữ dữ liệu sự kiện.

Phương pháp 1: Triển khai Thiết bị ảo (Virtual Appliance) – Được khuyến nghị

Đây là cách dễ nhất để bắt đầu vì thiết bị ảo đã được cấu hình sẵn với hệ điều hành và các thành phần cơ bản.

Giai đoạn 1: Chuẩn bị môi trường

  1. Yêu cầu Hệ thống cho Thiết bị ảo:
    • Hypervisor (Trình ảo hóa):
      • VMware ESXi: (Các phiên bản được hỗ trợ, thường từ 6.0 trở lên).
      • Microsoft Hyper-V: (Trên Windows Server 2016 trở lên).
    • Tài nguyên phần cứng (tối thiểu khuyến nghị, có thể tăng đáng kể tùy theo số lượng sự kiện hàng ngày và quy mô tổ chức):
      • CPU: Ít nhất 4 vCPU (khuyến nghị 8 vCPU trở lên cho môi trường lớn).
      • RAM: Ít nhất 16 GB (khuyến nghị 32 GB hoặc 64 GB cho môi trường lớn).
      • Ổ cứng: Ít nhất 100 GB (khuyến nghị 1 TB trở lên cho môi trường sản xuất để lưu trữ dữ liệu). Nên sử dụng loại “thin provisioned” để tiết kiệm không gian.
      • IOPS: Đảm bảo hệ thống lưu trữ có đủ IOPS (ví dụ: 1000-8000 IOPS tùy quy mô) để xử lý lượng sự kiện.
    • Kết nối mạng: Đảm bảo máy chủ ảo có thể truy cập mạng nội bộ của bạn (để thu thập nhật ký từ Domain Controller, File Server) và có kết nối internet (để cập nhật và cấp phép).
    • Cổng Firewall: Mở các cổng cần thiết để giao tiếp (ví dụ: TCP 443 cho giao diện web, các cổng cho giao tiếp với Agent và thu thập dữ liệu). Tham khảo tài liệu chính thức để biết danh sách cổng đầy đủ.
  2. Tải xuống file Thiết bị ảo (Virtual Appliance):
    • Bạn sẽ nhận được các file thiết bị ảo (thường là file .OVA cho VMware hoặc .VHDX cho Hyper-V) từ Netwrix sau khi mua giấy phép hoặc đăng ký dùng thử.

Giai đoạn 2: Triển khai Thiết bị ảo

  1. Import Thiết bị ảo vào Hypervisor của bạn:
    • Đối với VMware (ESXi/vCenter):
      1. Mở vSphere Client hoặc kết nối trực tiếp đến ESXi Host qua trình duyệt.
      2. Chọn File > Deploy OVF Template (hoặc Actions > Deploy OVF template).
      3. Duyệt đến file .OVA đã tải xuống.
      4. Làm theo hướng dẫn trên màn hình: Chọn tên, vị trí, datastore, loại disk provisioning (khuyến nghị Thin Provision), và ánh xạ các card mạng ảo với các mạng vật lý của bạn.
      5. Sau khi triển khai hoàn tất, bật nguồn (Power On) máy ảo.
    • Đối với Microsoft Hyper-V:
      1. Mở Hyper-V Manager.
      2. Chọn Action > Import Virtual Machine…
      3. Duyệt đến thư mục chứa file .VHDX và các file cấu hình khác của thiết bị ảo.
      4. Làm theo hướng dẫn trên màn hình: Chọn “Copy the virtual machine (create a new unique ID)” hoặc “Register the virtual machine in-place”. Chọn nơi lưu trữ và cấu hình lại card mạng.
      5. Sau khi import, bật nguồn (Start) máy ảo.

Giai đoạn 3: Cấu hình ban đầu của Thiết bị ảo

  1. Cấu hình mạng ban đầu qua Console của máy ảo:
    • Khi máy ảo khởi động lần đầu, bạn sẽ thấy một màn hình console với lời nhắc đăng nhập.
    • Tên người dùng mặc định: admin
    • Mật khẩu mặc định: admin (Hoặc theo tài liệu của Netwrix. Bạn bắt buộc phải thay đổi mật khẩu này ngay lập tức).
    • Hệ thống sẽ hướng dẫn bạn cài đặt cấu hình mạng ban đầu. Khuyến nghị sử dụng IP tĩnh (Static IP) để dễ quản lý. Nhập địa chỉ IP, Subnet Mask, Default Gateway và DNS Server.
    • Sau khi cấu hình, địa chỉ IP của thiết bị ảo sẽ được hiển thị trên console.
  2. Đăng nhập và hoàn tất cấu hình qua giao diện Web:
    • Mở trình duyệt web trên một máy tính trong cùng mạng với thiết bị ảo.
    • Nhập địa chỉ IP của thiết bị ảo Netwrix Threat Manager vào thanh địa chỉ (ví dụ: https://<Địa_chỉ_IP_thiết_bị_ảo>).
    • Bạn sẽ thấy trang đăng nhập. Sử dụng thông tin đăng nhập quản trị viên đã thiết lập.
    • Hoàn tất trình hướng dẫn thiết lập ban đầu: Nhập License Key để kích hoạt, cấu hình múi giờ, thông tin tổ chức, cài đặt email cho thông báo, v.v.

Phương pháp 2: Cài đặt trên máy chủ Windows (ít phổ biến hơn cho triển khai mới)

Nếu bạn không sử dụng thiết bị ảo, bạn có thể cài đặt Threat Manager trên một máy chủ Windows vật lý hoặc ảo.

Giai đoạn 1: Chuẩn bị máy chủ Windows

  1. Hệ điều hành: Windows Server 2016, 2019, 2022 (phiên bản US English).
  2. Yêu cầu phần cứng: Tương tự như yêu cầu cho thiết bị ảo (CPU, RAM, HDD, IOPS) tùy theo quy mô môi trường.
  3. Yêu cầu phần mềm:
    • .NET 8.0, .NET Desktop Runtime 8.0.x, ASP.NET Core 8.0.x
    • VC++ redist v14.x
    • Python v3.10.x (x64)
  4. Cơ sở dữ liệu:
    • PostgreSQL: Netwrix Threat Manager thường sử dụng PostgreSQL. Bạn có thể cài đặt PostgreSQL trên cùng máy chủ ứng dụng hoặc trên một máy chủ riêng. Hướng dẫn cài đặt PostgreSQL sẽ có trong tài liệu của Netwrix.
    • Lưu ý: Threat Manager không thể cài đặt trên cùng máy chủ với Netwrix Threat Manager Reporting Module.
  5. Cổng Firewall: Mở các cổng cần thiết (ví dụ: TCP 443 cho giao diện web, các cổng cho giao tiếp với DB, Agent).

Giai đoạn 2: Cài đặt các thành phần

  1. Cài đặt PostgreSQL: Nếu chọn cài đặt riêng, hãy cài đặt PostgreSQL trước trên máy chủ DB.
  2. Cài đặt Ứng dụng Threat Manager:
    • Chạy trình cài đặt Netwrix Threat Manager.
    • Làm theo các bước hướng dẫn, chọn đường dẫn cài đặt.
    • Cấu hình kết nối đến máy chủ cơ sở dữ liệu PostgreSQL (nếu riêng).
  3. Cài đặt Action Service (Tùy chọn): Dịch vụ này được cài đặt cùng với ứng dụng Threat Manager nhưng có thể cài đặt trên các máy chủ bổ sung nếu bạn cần phân phối tải hoặc có yêu cầu về mạng.
  4. Bảo mật Console: Nhập chứng chỉ SSL/TLS để bảo mật giao diện web console (HTTPS).

Giai đoạn 4: Cấu hình Tích hợp và Kích hoạt Phát hiện Mối đe dọa

Sau khi cài đặt xong thiết bị ảo hoặc ứng dụng trên Windows Server, bạn cần cấu hình Netwrix Threat Manager để nó bắt đầu thu thập dữ liệu và phát hiện mối đe dọa.

  1. Tích hợp Nguồn dữ liệu (Data Sources):
    • Trong giao diện quản trị web của Threat Manager, điều hướng đến phần “Integrations” hoặc “Data Collection”.
    • Active Directory: Cấu hình để Threat Manager nhận sự kiện từ các Domain Controller của bạn. Điều này thường liên quan đến việc cấu hình các chính sách kiểm toán (audit policies) trong AD và/hoặc tích hợp với Netwrix Activity Monitor (nếu bạn sử dụng).
    • Hệ thống file: Cấu hình để giám sát các File Server.
    • Microsoft Entra ID: Cấu hình để nhận sự kiện từ môi trường đám mây của Microsoft.
    • Cung cấp thông tin xác thực của tài khoản dịch vụ có đủ quyền để thu thập nhật ký và thông tin hoạt động.
  2. Kích hoạt Tính năng Phát hiện Mối đe dọa:
    • Trong phần “Threat Detection” hoặc “Policies”, xem lại và kích hoạt các quy tắc phát hiện mối đe dọa có sẵn (ví dụ: phát hiện tấn công phun mật khẩu, di chuyển ngang, hoạt động ransomware).
    • Bạn có thể tinh chỉnh các quy tắc này để phù hợp với môi trường của mình.
    • Cấu hình các Honey Token/Honey Account (nếu có) để phát hiện kẻ tấn công.
  3. Thiết lập Phản ứng Tự động (Automated Responses):
    • Trong phần “Threat Response” hoặc “Playbooks”, cấu hình các hành động tự động sẽ được thực hiện khi một mối đe dọa được phát hiện (ví dụ: vô hiệu hóa tài khoản, đặt lại mật khẩu, chấm dứt phiên).
  4. Cấu hình Cảnh báo (Alerting):
    • Thiết lập thông báo qua email hoặc tích hợp với hệ thống SIEM (Security Information and Event Management) của bạn để nhận cảnh báo về các mối đe dọa.
  5. Giám sát và Điều tra:
    • Sử dụng giao diện Threat Manager để theo dõi các cảnh báo, điều tra sự cố và xem lại các phiên bản ghi lại (nếu có).

Lời khuyên quan trọng:

  • Kiểm tra Port: Đảm bảo tất cả các cổng cần thiết được mở trên tường lửa giữa các máy chủ (Threat Manager, Database, Domain Controllers, File Servers).
  • Quyền hạn tài khoản: Đảm bảo tài khoản dịch vụ được sử dụng bởi Threat Manager có các quyền tối thiểu cần thiết để thu thập dữ liệu và thực hiện các hành động phản ứng.
  • Thử nghiệm: Sau khi cài đặt và cấu hình, hãy thực hiện các thử nghiệm để đảm bảo rằng Threat Manager đang phát hiện và phản ứng với các mối đe dọa như mong đợi.

Mua phần mềm Netwrix Threat Manager ở đâu?

Trải qua nhiều năm phát triển, Tri Thức Software đã được sự tin tưởng của nhiều khách hàng trên thế giới và Việt Nam. Hiện nay chúng tôi đã trở thành doanh nghiệp hoạt động chuyên nghiệp trong lĩnh vực tư vấn và cấp phép phần mềm Netwrix Threat Manager có bản quyền và các thiết bị CNTT lớn tại Việt Nam. Cung cấp nhiều giải pháp phần mềm trọn gói cho nhiều khách hàng từ đa ngành nghề và đa hình thức tư nhân, nhà nước, giáo dục,…chúng tôi có đội ngũ tư vấn, kỹ thuật, triển khai và thương mại, chăm sóc có kinh nghiệm sẽ hỗ trợ phục vụ khách hàng tốt nhất. Để được tư vấn và hỗ trợ giá tốt hơn, Quý khách hãy liên lạc với đội ngũ kinh doanh và hỗ trợ kỹ thuật của chúng tôi qua hotline (028) 22443013.

Ghi chú: Giá tham khảo cho số lượng 1 và thay đổi theo tỷ giá và số lượng. Quý khách vui lòng liên hệ Tri Thức để có giá chính xác vào thời điểm mua hàng.

Đánh giá

Chưa có đánh giá nào.

Hãy là người đầu tiên nhận xét “Netwrix Threat Manager”

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *


The reCAPTCHA verification period has expired. Please reload the page.

Sản phẩm tương tự

zalo-icon
phone-icon