Trong các dự án bảo mật lớn, việc đáp ứng các tiêu chuẩn quốc tế như PCI DSS (Bảo mật thẻ thanh toán) hay ISO 27001 (Quản lý an toàn thông tin) luôn là bài toán đau đầu. Hai yêu cầu cốt lõi nhưng cực kỳ khó nhằn của các bộ tiêu chuẩn này là:
Mở Dev Tools và thực thi đoạn JSON sau:
PUT _plugins/_ism/policies/compliance-1-year-policy
{
"policy": {
"description": "Policy chuẩn PCI DSS/ISO 27001: Lưu trữ log tối thiểu 365 ngày",
"default_state": "retention",
"states": [
{
"name": "retention",
"actions": [],
"transitions": [
{
"state_name": "delete",
"conditions": { "min_index_age": "365d" }
}
]
},
{
"name": "delete",
"actions": [ { "delete": {} } ],
"transitions": []
}
],
"ism_template": [
{
"index_patterns": ["audit-logs-*", "auth-logs-*", "system-logs-*"],
"priority": 100
}
]
}
}
Chính sách này sẽ tự động áp dụng cho tất cả các index log bảo mật được tạo mới có tiền tố quy định.
Và đây là file PDF "nguyên đai nguyên kiện" mình tải trực tiếp từ hệ thống về. File được đóng gói vô cùng sạch sẽ, chuyên nghiệp, giữ nguyên tỷ lệ đồ họa, font chữ chuẩn chỉnh, sẵn sàng đem đi in hoặc đính kèm email gửi cho các tổ chức đánh giá cấp chứng nhận!
- Log Retention: Lưu trữ nhật ký hệ thống độc hại/nhạy cảm ít nhất 1 năm (365 ngày).
- Audit Trails & Reporting: Trực quan hóa nhật ký truy cập dữ liệu, đăng nhập lỗi và tự động xuất báo cáo định kỳ gửi cho cấp quản lý hoặc đánh giá viên.
Giai đoạn 1: Khóa Log tối thiểu 1 năm bằng ISM Policy
OpenSearch cung cấp tính năng ISM (Index State Management) giúp chúng ta tự động hóa vòng đời của Index. Để đảm bảo không ai (kể cả admin) vô tình xóa mất log trước thời hạn 1 năm, chúng ta sẽ cấu hình một policy giữ index ở trạng thái an toàn trong 365 ngày.Mở Dev Tools và thực thi đoạn JSON sau:
PUT _plugins/_ism/policies/compliance-1-year-policy
{
"policy": {
"description": "Policy chuẩn PCI DSS/ISO 27001: Lưu trữ log tối thiểu 365 ngày",
"default_state": "retention",
"states": [
{
"name": "retention",
"actions": [],
"transitions": [
{
"state_name": "delete",
"conditions": { "min_index_age": "365d" }
}
]
},
{
"name": "delete",
"actions": [ { "delete": {} } ],
"transitions": []
}
],
"ism_template": [
{
"index_patterns": ["audit-logs-*", "auth-logs-*", "system-logs-*"],
"priority": 100
}
]
}
}
Chính sách này sẽ tự động áp dụng cho tất cả các index log bảo mật được tạo mới có tiền tố quy định.
Giai đoạn 2: Thiết kế Dashboard Tuân thủ (Compliance Dashboard)
Một báo cáo tuân thủ PCI DSS/ISO 27001 cơ bản cần chứng minh được hai yếu tố: Ai đăng nhập lỗi liên tục? và Ai đã sờ vào vùng dữ liệu nhạy cảm? Sau khi mồi dữ liệu mẫu, mình tiến hành dựng 2 widget cốt lõi:1. Biểu đồ Đăng nhập thất bại (Failed Authentications)
- Loại biểu đồ: Vertical Bar (Cột dọc).
- Trục X (X-axis): Chọn Date Histogram, field @timestamp.
- Phân mảnh màu (Split Series): Chọn Aggregation là Terms, field là user.name.keyword để bóc tách rõ xem tài khoản nào (admin, root) đang bị dò quét mật khẩu.
2. Bảng nhật ký truy cập (Access Logs Table)
Auditor cực kỳ thích xem dạng bảng vì nó chi tiết.- Loại biểu đồ: Data Table.
- Cấu hình Rows: Thêm 2 sub-bucket dạng Terms. Dòng đầu tiên bóc field user.name.keyword (Tên người truy cập), dòng thứ hai bóc field resource.name.keyword (Tài nguyên bị sờ gáy).
- Kết quả hiển thị rõ mồn một: User johndoe đã truy cập cơ sở dữ liệu thẻ tín dụng customer_credit_cards_db.
Giai đoạn 3: Tự động hóa xuất báo cáo PDF (Reporting Plugin)
Dashboard đẹp đến mấy mà hàng tuần phải chụp ảnh thủ công bằng tay gửi sếp thì chưa phải là SOC Automation. Chúng ta sẽ dùng tính năng Reporting ngay trên thanh Menu của Dashboard.- Bấm vào Reporting -> Create report definition.
- Export format: Chọn PDF.
- Report trigger: Chọn Recurring (Định kỳ), đặt tần suất là Daily hoặc Weekly tùy nhu cầu.
- Hệ thống sẽ chạy ngầm và tự động "chụp hình" Dashboard này đúng giờ quy định.
Và đây là file PDF "nguyên đai nguyên kiện" mình tải trực tiếp từ hệ thống về. File được đóng gói vô cùng sạch sẽ, chuyên nghiệp, giữ nguyên tỷ lệ đồ họa, font chữ chuẩn chỉnh, sẵn sàng đem đi in hoặc đính kèm email gửi cho các tổ chức đánh giá cấp chứng nhận!
Kết luận
Chỉ với các công cụ mặc định (Native Plugins) của OpenSearch bao gồm ISM, Visualizations và Reporting, chúng ta hoàn toàn có thể xây dựng một quy trình giám sát và báo cáo tuân thủ tự động đạt chuẩn quốc tế mà không tốn một xu chi phí bản quyền.
Sửa lần cuối: