
Ngày xửa ngày xưa, tại một Trung tâm Điều hành An ninh mạng ở một nơi rất xa… các chuyên gia phân tích bảo mật phải vật lộn với vô số cảnh báo, liên tục tìm kiếm ngữ cảnh trên nhiều giao diện rời rạc và chứng kiến các mối đe dọa thực sự lọt qua những khoảng trống trong quá trình phát hiện. Hôm nay, cuộc chiến phản công chính thức bắt đầu.
Đây không phải là một bản phát hành được xây dựng xoay quanh một tính năng nổi bật duy nhất. Thay vào đó, đây là thành quả từ việc đội ngũ của chúng tôi lắng nghe những phản hồi trực tiếp từ các chuyên gia đang làm việc ở tuyến đầu, với mục tiêu loại bỏ những rào cản khiến công việc của họ trở nên phức tạp hơn mức cần thiết. Đội ngũ Nghiên cứu & Phát triển (R&D) của Graylog đã thực sự vượt qua chính mình, và chúng tôi rất mong chờ bạn trực tiếp trải nghiệm những cải tiến lần này.
Hãy cùng khám phá những điểm mới.
Một Hy Vọng Mới Để Chấm Dứt Tình Trạng Quá Tải Cảnh Báo
Nếu có một điều mà tôi thường xuyên nghe từ các đội ngũ bảo mật quy mô nhỏ, thì đó là: "Chúng tôi không thể nhìn thấy tín hiệu thực sự giữa quá nhiều nhiễu.". Alert Fatigue (tình trạng quá tải cảnh báo) chính là mặt trái của một hệ thống giám sát được triển khai toàn diện. Bạn càng giám sát nhiều, nguy cơ những tín hiệu quan trọng bị chìm trong hàng loạt cảnh báo càng lớn.
Với phiên bản Graylog 7.1, chúng tôi tiếp cận vấn đề này từ nhiều góc độ khác nhau.
Điểm thay đổi cốt lõi của Graylog 7.1 là chuyển đổi từ mô hình phân tích dựa trên từng sự kiện (event-based triage) sang phương pháp điều tra theo vụ việc (case-based methodology).

Khi xử lý từng cảnh báo riêng lẻ, chuyên gia phân tích phải tự thu thập ngữ cảnh của sự cố và liên kết nó với nhiều cảnh báo khác nhau trước khi có thể xác định liệu đó có phải là cảnh báo giả hay không.
Tính năng Automatic Investigation Creation sẽ tự động tạo phiên điều tra dựa trên các ngưỡng rủi ro tài sản (Asset Risk) mà bạn đã cấu hình. Đồng thời, bạn có thể tinh chỉnh ngưỡng rủi ro theo từng nhóm người dùng hoặc nhóm máy để phản ánh chính xác mức độ chấp nhận rủi ro khác nhau trong tổ chức.
Quá trình phân loại ưu tiên (triage) vẫn được thực hiện ngay trên trang cảnh báo (Alerts), nhưng nay được bổ sung thêm khả năng mạnh mẽ hơn.
Tính năng Slice-By ở phiên bản 7.1 cho phép bạn nhanh chóng lọc dữ liệu theo giá trị của bất kỳ cột nào. Ví dụ:
- Lọc theo Investigation, sau đó sắp xếp theo mức độ ưu tiên của Investigation để bắt đầu phân tích toàn bộ các sự kiện thuộc các Investigation mà Graylog đã tự động tạo.
- Lọc theo Asset, rồi sắp xếp theo điểm rủi ro của tài sản để phát hiện các tài sản khác đang tích lũy điểm rủi ro cao trước khi vượt ngưỡng cảnh báo.
- Lọc theo Status, rồi sắp xếp theo điểm rủi ro của sự kiện (Event Risk) nhằm xác định các sự kiện lặp lại nhiều lần cần được tinh chỉnh.

Sau khi quay lại Investigation mà Graylog đã tạo, bạn chỉ cần chọn hàng loạt sự kiện (Bulk Select) và nhấn Replay.
Context Sidebar cung cấp toàn bộ thông tin liên quan đến sự kiện, bao gồm:
- Chi tiết sự kiện (Event Details)
- Các bước xử lý (Procedure Steps)
- Các tài sản liên quan (Associated Assets)
Toàn bộ thông tin này luôn được hiển thị xuyên suốt quá trình điều tra, giúp chuyên gia phân tích không phải liên tục chuyển đổi giữa nhiều màn hình.
Bên cạnh đó, nhiều cải tiến khác cũng được bổ sung nhằm giảm tối đa số lần cuộn trang và thao tác nhấp chuột cần thiết để hoàn tất quá trình điều tra.

- Ngay trên trang Alerts, Event Summary Templates sẽ hiển thị trực tiếp các thông tin quan trọng trong trường Description, như là: Người dùng liên quan (User) và Hệ thống liên quan (System). Nhờ đó, bạn không còn phải mở từng dòng sự kiện để xem các thông tin cơ bản này.
- Favorite Fields cho phép đưa các trường dữ liệu quan trọng nhất lên đầu giao diện theo đúng thứ tự bạn mong muốn.
- Tính năng Bulk Add to Investigation giúp thêm đồng thời toàn bộ các log liên quan vào Investigation chỉ với một thao tác duy nhất.
- Ở chế độ xem toàn trang của Investigation, tính năng Merged Event Procedures sẽ loại bỏ các bước xử lý trùng lặp (Deduplicate) và Nhóm các hành động tương tự lại với nhau. Nhờ đó, người dùng chỉ cần một lần nhấp chuột để thực hiện các thao tác thay vì phải xử lý từng mục riêng lẻ.

Đây không đơn thuần là những cải tiến nhỏ lẻ. Khi kết hợp với nhau, các tính năng này giúp rút ngắn đáng kể thời gian phát hiện và phản ứng trước sự cố, đồng thời tập trung nguồn lực vào các tình huống có xác suất bị xâm nhập cao nhất.
Phân tích hành vi trở lại mạnh mẽ
Graylog tiếp tục nâng cấp Anomaly Detectors với khả năng linh hoạt cao hơn thông qua:
- Khả năng xác minh và phân tích lại nhanh hơn nhờ Search Replay
- Hỗ trợ đa nền tảng, không phụ thuộc vào nhà cung cấp (Vendor-Agnostic)
- Nhiều tùy chọn tinh chỉnh (Tuning Options)
Ngoài ra, Graylog còn bổ sung các kỹ thuật Baselining mới nhằm phát hiện hiệu quả hơn các bất thường như:
- Log Fluctuations – phát hiện sự biến động bất thường về số lượng log.
- Impossible Travel – phát hiện các đăng nhập không thể xảy ra về mặt địa lý hoặc thời gian.
Nền Tảng Hạ Tầng Giúp "Hyperdrive" Vận Hành Mượt Mà
Không có bất kỳ cải tiến nào dành cho đội ngũ phân tích (analyst) thực sự phát huy hiệu quả nếu nền tảng hạ tầng phía sau vẫn hoạt động chậm hoặc thiếu ổn định. Chính vì vậy, trong phiên bản Graylog 7.1, đội ngũ kỹ thuật đã đầu tư đáng kể vào lớp dữ liệu (data layer) — những cải tiến quan trọng mà chúng tôi không muốn bị bỏ qua.
Dynamic Shard Sizing tự động xác định và thiết lập số lượng shard ở mức tối ưu cho từng index. Đây là một cải tiến đáng kể về hiệu năng tìm kiếm mà các tổ chức triển khai hệ thống quy mô lớn sẽ nhanh chóng cảm nhận được.
Bên cạnh đó, tính năng Dynamic Shard Count for Restored Index Sets cho phép Index Set được khôi phục từ Data Lake tự động điều chỉnh số lượng shard phù hợp với dữ liệu được phục hồi. Nhờ đó, quá trình khôi phục và truy xuất dữ liệu có thể mở rộng tương ứng với số lượng shard, giúp việc truy xuất dữ liệu diễn ra nhanh hơn đáng kể
Đối với các quản trị viên vận hành hệ thống quy mô lớn, MongoDB node giờ đây đã được hiển thị trực tiếp trên trang Cluster Configuration, giúp việc theo dõi và quản lý cụm hệ thống trở nên thuận tiện hơn. Đồng thời, trang Inputs cũng đã được thiết kế lại toàn diện (Inputs Page Revamp), giúp việc quản lý hàng chục Input và Forwarder Input trở nên trực quan và hiệu quả hơn.
Chúng tôi cũng bổ sung tính năng License Usage Alerts, giúp bạn luôn chủ động theo dõi mức sử dụng giấy phép và không còn bất ngờ khi tiến gần đến giới hạn dung lượng ingest được cấp phép.
Đây chính là bước nhảy vọt về hiệu năng và khả năng vận hành mà hạ tầng của bạn có thể chưa nhận ra mình đang cần.
Về DT Asia
DT Asia được thành lập năm 2007 với sứ mệnh đưa các giải pháp bảo mật CNTT tiên phong khác nhau từ Hoa Kỳ, Châu Âu và Israel gia nhập thị trường.
Hiện tại, DT Asia đã là một nhà phân phối giá trị gia tăng trong khu vực đối với các giải pháp an ninh mạng, cung cấp công nghệ tiên tiến cho các tổ chức chính phủ trọng yếu cũng như các khách hàng tư nhân lớn bao gồm các ngân hàng toàn cầu và các công ty trong danh sách Fortune 500. Với các văn phòng và đối tác rộng khắp trong khu vực Châu Á Thái Bình Dương, chúng tôi hiểu rõ hơn về thị trường và từ đó mang đến những giải pháp bản địa hóa phù hợp với từng quốc gia, từng tổ chức.
DT Asia có thể hỗ trợ bạn như thế nào?
Nếu bạn muốn tìm hiểu thêm về Graylog 7.1 – May the Logs Be With You, DT Asia luôn sẵn sàng đồng hành và hỗ trợ.
Là nhà phân phối chính thức của Graylog tại Singapore và nhiều thị trường trong khu vực Châu Á, DT Asia sở hữu đội ngũ kỹ sư giàu kinh nghiệm về Graylog cũng như các công nghệ liên quan. Chúng tôi cung cấp giải pháp trọn gói (turnkey), từ tư vấn, triển khai đến vận hành và bảo trì, giúp doanh nghiệp khai thác tối đa giá trị của nền tảng quản lý và phân tích log.
Để tìm hiểu thêm về các giải pháp Graylog, vui lòng truy cập:
https://dtasiagroup.com/graylog/









