1. Trang chủ
  2. » Giáo Dục - Đào Tạo

BÀI BÁO CÁO TIỂU LUẬN CHUYÊN NGÀNH ĐỀ TÀI TÌM HIỂU SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM) VÀ THỰC NGHIỆM TRÊN MÃ NGUỒN MỞ

49 63 3
BÀI BÁO CÁO TIỂU LUẬN CHUYÊN NGÀNH ĐỀ TÀI TÌM HIỂU SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM) VÀ THỰC NGHIỆM TRÊN MÃ NGUỒN MỞ

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP. HỒ CHÍ MINH KHOA CÔNG NGHỆ THÔNG TIN BÀI BÁO CÁO TIỂU LUẬN CHUYÊN NGÀNH ĐỀ TÀI: TÌM HIỂU SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM) VÀ THỰC NGHIỆM TRÊN MÃ NGUỒN MỞ Giảng viên hướng dẫn : ThS. Nguyễn Thị Thanh Vân Sinh viên thực hiện : Phan Văn Hưng – 15110224 Trương Trọng Ân -16110280 TP. HỒ CHÍ MINH – 10/2019 1 Mục Lục PHẦN MỞ ĐẦU...........................................................................................................4 1. Lý do chọn đề tài................................................................................................ 4 2. Mục tiêu đề tài.................................................................................................... 5 3. Đối tượng của đề tài........................................................................................... 5 4. Nội dung của đề tài............................................................................................ 5 5. Ý nghĩa của đề tài............................................................................................... 5 PHẦN NỘI DUNG.......................................................................................................7 Chương 1: HỆ THỐNG SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM).............................................................................................7 1.1. Tổng quan về SIEM........................................................................................7 1.2. Các tính năng của hệ thống SIEM................................................................16 1.2.1. Thu thập dữ liệu, quản lí tập trung, tương quan sự kiện an ninh...............16 1.2.2. Báo cáo, cảnh báo tới quản trị viên hệ thống, hiển thị tình trạng hệ thống17 1.2.3. Kiểm soát truy cập, giám sát, đảm bảo an toàn hệ thống..........................17 1.2.4. Cung cấp các giải pháp xử lý sự cố...........................................................18 1.3. Lợi ích, ưu điểm của SIEM..........................................................................19 1.4. Các thành phần của hệ thống SIEM..............................................................20 1.4.1. Thiết bị nguồn và các dịch vụ...................................................................21 1.4.2. Các dạng bản ghi log.................................................................................23 1.5. Cơ chế hoạt động của hệ thống SIEM..........................................................24 1.5.1. 1.5.2. 1.5.3. 1.5.4. Thu thập thông tin từ các thiết bị..............................................................24 Phân tích, chuẩn hóa bản ghi log, tương quan các sự kiện an ninh...........27 Theo dõi và giám sát hệ thống..................................................................29 Báo cáo, cảnh báo, lưu trữ dữ liệu............................................................30 SIEM TOOLS...........................................................................................32 Chương 2: 2.1. Splunk Enterprise.........................................................................................32 2 2.1.1. Cơ chế Splunk Enterprise thu thập thông tin.............................................33 2.1.2. Splunk Enterprise giám sát hệ thống.........................................................35 2.1.3. Splunk Enterprise lưu trữ dữ liệu..............................................................35 2.1.4. Splunk Enterprise ứng phó với sự cố........................................................35 2.1.5 Triển khai Splunk Enterprise.......................................................................35 2.1.6 Mở rộng....................................................................................................36 2.2. AlienVault OSSIM.......................................................................................37 2.2.1. 2.2.2. 2.2.3. 2.2.4. Phương pháp thu thập thông tin của OSSIM.............................................38 Tương quan sự kiện an ninh trong OSSIM...............................................38 Các hành động ứng phó sự cố an ninh trong OSSIM................................39 Một số công cụ mã nguồn mở tích hợp trong OSSIM...............................40 THỰC NGHIỆM......................................................................................42 Chương 3: 3.1. Mô tả............................................................................................................42 3.2 Kịch bản tấn công..............................................................................................42 3 PHẦN MỞ ĐẦU 1. Lý do chọn đề tài Ngày nay, sự bùng nổ và phát triển của công nghệ thông tin và mạng internet trên toàn thế giới thúc đẩy sự tăng trưởng mọi mặt của nền kinh tế, công nghệ và đời sống...Đi kèm với sự phát triển nhanh chóng ấy là những nguy cơ như mất an toàn thông tin, dữ liệu, với yêu cầu bảo mật những dữ liệu, thông tin quan trọng thì vấn đề đảm bảo an ninh mạng là vấn đề mà các tổ chức, cơ quan, doanh ngiệp luôn đặt lên hàng đầu. Đó cũng là lý do mà hệ thống giám sát an toàn mạng và quản lí sự kiện ra đời (SIEM) ra đời, nhằm thu thập thông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối và lưu trữ dữ liệu một cách tập trung. Theo đó, các sản phẩm SIEM cho phép phân tích tập trung và báo cáo về các sự kiện an toàn mạng của hệ thống. Kết quả phân tích này có thể được dùng để phát hiện ra các cuộc tấn công mà không thể phát hiện được theo phương pháp thông thường. Một số sản phẩm SIEM còn có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện được. Sản phẩm SIEM đã xuất hiện nhiều năm nay, nhưng tiền thân của sản phẩm này nhắm đến các tổ chức lớn với khả năng và đội ngũ phân tích an ninh chuyên biệt. SIEM đang dần trở nên nổi bật, phù hợp cả với nhu cầu của các tổ chức vừa và nhỏ. Kiến trúc SIEM ngày nay bao gồm phầm mềm SIEM cài đặt trên một máy chủ cục bộ, một phần cứng cục bộ hoặc một thiết bị ảo dành riêng cho SIEM, kèm theo đó là một dịch vụ đám mây SIEM. SIEM là một giải pháp hoàn chính, đầy đủ cho phép các tổ chức thực hiện việc giám sát các sự kiện an toàn thông tin cho một hệ thống, đảm bảo an ninh thông tin và quản lí các sự kiện an ninh của hệ thống một cách khoa học và hợp lý, giúp quản trị viên có cái nhìn tổng quan và chính xác về tình trạng của hệ thống, ngoài ra còn giúp quản trị viên đưa ra phương án xử lí thích hợp khi xảy sự cố. 4 Với những lợi ích thiết thực của mình, hệ thống SIEM ngày càng phát triển và trở nên phổ biến, vì vậy với vai trò là những kỹ sư công nghệ thông tin tương lai, chúng em thực hiện đề tài này với mong mỏi phát triển tri thức, tìm hiểu và thực nghiệm hệ thống này nhằm phục vụ công việc sau này và phát triển hơn về sau. 2. Mục tiêu đề tài Tìm hiểu về cơ chế hoạt động, tính năng và ứng dụng của hệ thống giám sát an toàn mạng và quản lí sự kiện SIEM Thực nghiệm triển khai hệ thống SIEM trên mã nguồn mở với mô hình mạng nhỏ, thực hiện một số tính năng nổi biệt của SIEM 3. Đối tượng của đề tài Hệ thống giám sát an toàn mạng và quản lí sự kiện security information and event management (SIEM).

TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP HỒ CHÍ MINH KHOA CÔNG NGHỆ THÔNG TIN BÀI BÁO CÁO TIỂU LUẬN CHUYÊN NGÀNH ĐỀ TÀI: TÌM HIỂU SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM) VÀ THỰC NGHIỆM TRÊN MÃ NGUỒN MỞ Giảng viên hướng dẫn : ThS Nguyễn Thị Thanh Vân Sinh viên thực Phan Văn Hưng – 15110224 : Trương Trọng Ân -16110280 TP HỒ CHÍ MINH – 10/2019 Mục Lục PHẦN MỞ ĐẦU Lý chọn đề tài Mục tiêu đề tài Đối tượng đề tài Nội dung đề tài 5 Ý nghĩa đề tài PHẦN NỘI DUNG Chương 1: HỆ THỐNG SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM) 1.1 Tổng quan SIEM 1.2 Các tính hệ thống SIEM 16 1.2.1 Thu thập liệu, quản lí tập trung, tương quan kiện an ninh .16 1.2.2 Báo cáo, cảnh báo tới quản trị viên hệ thống, hiển thị tình trạng hệ thống17 1.2.3 Kiểm soát truy cập, giám sát, đảm bảo an toàn hệ thống 17 1.2.4 Cung cấp giải pháp xử lý cố 18 1.3 Lợi ích, ưu điểm SIEM 19 1.4 Các thành phần hệ thống SIEM 20 1.4.1 Thiết bị nguồn dịch vụ 21 1.4.2 Các dạng ghi log 23 1.5 Cơ chế hoạt động hệ thống SIEM 24 1.5.1 Thu thập thông tin từ thiết bị 24 1.5.2 Phân tích, chuẩn hóa ghi log, tương quan kiện an ninh 27 1.5.3 Theo dõi giám sát hệ thống 29 1.5.4 Báo cáo, cảnh báo, lưu trữ liệu 30 Chương 2: SIEM TOOLS 32 2.1 Splunk Enterprise 32 2.1.1 Cơ chế Splunk Enterprise thu thập thông tin 33 2.1.2 Splunk Enterprise giám sát hệ thống 35 2.1.3 Splunk Enterprise lưu trữ liệu 35 2.1.4 Splunk Enterprise ứng phó với cố 35 2.1.5 Triển khai Splunk Enterprise 35 2.1.6 Mở rộng 36 2.2 AlienVault OSSIM 37 2.2.1 Phương pháp thu thập thông tin OSSIM 38 2.2.2 Tương quan kiện an ninh OSSIM 38 2.2.3 Các hành động ứng phó cố an ninh OSSIM 39 2.2.4 Một số công cụ mã nguồn mở tích hợp OSSIM 40 Chương 3: THỰC NGHIỆM 42 3.1 Mô tả 42 3.2 Kịch công 42 PHẦN MỞ ĐẦU Lý chọn đề tài Ngày nay, bùng nổ phát triển công nghệ thông tin mạng internet toàn giới thúc đẩy tăng trưởng mặt kinh tế, công nghệ đời sống Đi kèm với phát triển nhanh chóng nguy an tồn thông tin, liệu, với yêu cầu bảo mật liệu, thơng tin quan trọng vấn đề đảm bảo an ninh mạng vấn đề mà tổ chức, quan, doanh ngiệp đặt lên hàng đầu Đó lý mà hệ thống giám sát an tồn mạng quản lí kiện đời (SIEM) đời, nhằm thu thập thông tin nhật ký kiện an ninh từ thiết bị đầu cuối lưu trữ liệu cách tập trung Theo đó, sản phẩm SIEM cho phép phân tích tập trung báo cáo kiện an tồn mạng hệ thống Kết phân tích dùng để phát công mà phát theo phương pháp thơng thường Một số sản phẩm SIEM cịn có khả ngăn chặn công mà chúng phát Sản phẩm SIEM xuất nhiều năm nay, tiền thân sản phẩm nhắm đến tổ chức lớn với khả đội ngũ phân tích an ninh chuyên biệt SIEM dần trở nên bật, phù hợp với nhu cầu tổ chức vừa nhỏ Kiến trúc SIEM ngày bao gồm phầm mềm SIEM cài đặt máy chủ cục bộ, phần cứng cục thiết bị ảo dành riêng cho SIEM, kèm theo dịch vụ đám mây SIEM SIEM giải pháp hồn chính, đầy đủ cho phép tổ chức thực việc giám sát kiện an tồn thơng tin cho hệ thống, đảm bảo an ninh thơng tin quản lí kiện an ninh hệ thống cách khoa học hợp lý, giúp quản trị viên có nhìn tổng quan xác tình trạng hệ thống, ngồi cịn giúp quản trị viên đưa phương án xử lí thích hợp xảy cố Với lợi ích thiết thực mình, hệ thống SIEM ngày phát triển trở nên phổ biến, với vai trị kỹ sư công nghệ thông tin tương lai, chúng em thực đề tài với mong mỏi phát triển tri thức, tìm hiểu thực nghiệm hệ thống nhằm phục vụ công việc sau phát triển sau Mục tiêu đề tài Tìm hiểu chế hoạt động, tính ứng dụng hệ thống giám sát an tồn mạng quản lí kiện SIEM Thực nghiệm triển khai hệ thống SIEM mã nguồn mở với mơ hình mạng nhỏ, thực số tính biệt SIEM Đối tượng đề tài Hệ thống giám sát an toàn mạng quản lí kiện security information and event management (SIEM) Nội dung đề tài  Khái niệm hệ thống SIEM  Các tính hệ thống SIEM  Lợi ích hệ thống SIEM  Thành phần cách hoạt động hệ thống SIEM  Các cơng cụ triển khai SIEM tính bật  Triển khai hệ thống mã nguồn mở Ý nghĩa đề tài Việc thực đề tài giúp người thực có thêm tri thức hệ thống giám sát an toàn mạng quản lí kiện an ninh mà thời buổi công nghệ thông tin mạng internet ngày phát triển mạnh mẽ, kèm với nguy cơ, rủi ro vấn đề bảo mật thông tin, an toàn mạng cục toàn cầu Để phần giải vấn đề trên, hệ thống SIEM đời ngày hoàn thiện giúp quản trị viên hệ thống mạng dễ dàng việc quản lí kiện an ninh diễn hệ thống, giám sát an toàn hệ thống mạng cách khoa học hiệu quả… Đề tài mang tới cho người đọc, người nghiên cứu nguồn tri thức khoa học vấn đề đề tài, tảng để phát triển đề tài sau PHẦN NỘI DUNG Chương 1: HỆ THỐNG SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM) 1.1 Tổng quan SIEM SIEM (Security Infomation and Event Management - Hệ thống bảo mật thông tin quản lý kiện an ninh) hệ thống phần mềm dịch vụ kết hợp từ SIM (Security information management) SEM (Security event management) SIEM cung cấp dịch vụ phân tích thời gian thực cảnh báo bảo mật tạo từ liệu thu thập từ ứng dụng phần cứng mạng SIEM thu thập liệu kiện an ninh từ nhiều thiết bị khác hệ thống để phân tích, tương quan đưa cảnh báo bảo mật cho người quản trị nguy xảy với hệ thống SIEM cịn cung cấp giải pháp ứng phó với cố an ninh mạng, chuẩn hóa, lưu trữ quản lý liệu an ninh liệu đăng nhập Hình 1: Các tính hệ thống SIEM SIEM cung cấp tính như:  Thu thập file log  Phân tích file log  Tương quan kiện an ninh  Đảm bảo tuân thủ tiêu chuẩn công nghệ thông tin  Quản lý, giám sát đăng nhập xác thực  Kiểm soát truy cập ứng dụng  Kiểm soát hoạt động người dùng  Báo cáo, cảnh báo, thống kê tình trạng hệ thống  Đảm bảo toàn vẹn liệu  Giám sát hệ thống, đảm bảo an ninh thiết bị đầu cuối  Cảnh báo thời gian thực  Tạo biểu đồ thể tình trạng hệ thống cách trực quan  Phát lỗ hổng, nguy cung cấp giải pháp xử lý, khắc phục cố  Lưu trữ liệu, đánh mục liệu đảm bảo cho việc tìm kiếm sau SIEM giải pháp hồn chính, đầy đủ cho phép tổ chức thực việc giám sát kiện an tồn thơng tin cho hệ thống mạng SIEM so sánh với máy phức tạp SIEM có số phận chuyển động, phận thực công việc cụ thể, cần phải hoạt động với không tồn hệ thống thất bại Có biến thể SIEM tiêu chuẩn với phận cụ thể bổ sung SIEM đơn giản chia thành sáu phần riêng biệt.Những mảnh riêng lẻ thiết bị nguồn, sưu tập nhật ký,phân tích cú pháp / chuẩn hóa nhật ký, cơng cụ quy tắc, lưu trữ nhật ký giám sát kiện thu hồi Mỗi phận hoạt động độc lập với phận khác, khơng có tất chúng hoạt động nhau, tồn SIEM không hoạt động Hầu hết người không nhận khối lượng lớn ghi tạo ngày thông qua hoạt động hàng ngày họ Họ tạo nhật ký từ vô số thiết bị khác nhau: người dùng máy tính, với định tuyến, chuyển mạch tường lửa khác mà người dùng phải truy cập để truy cập trang web sau trang web chứa tất hộp thư đến email người dùng, tất tạo ghi hiển thị xác người dùng làm nơi người dùng Tùy thuộc vào bạn tìm kiếm, số thơng tin khơng phải hữu ích, số thơng tin hữu ích Phần 2.1 Splunk Enterprise Splunk tập đồn đa quốc gia Mỹ có trụ sở San Francisco, California, phần mềm để thu thập Log, tìm kiếm, theo dõi phân tích liệu lớn (big data) máy tạo ra, thông qua giao diện web nhằm giải nhiều toán khác tổ chức, doanh nghiệp việc giám sát, vận hành hệ thống, điều tra cố.v.v Phần mềm Splunk thu thập, đánh mục liệu, tìm kiếm thời gian thực kho lưu trữ liệu tìm kiếm, từ tạo đồ thị, báo cáo, cảnh báo, biểu đồ Splunk có sứ mệnh làm cho liệu máy truy cập tổ chức cách xác định mơ hình liệu, cung cấp số liệu, chẩn đốn vấn đề cung cấp thơng tin cho hoạt động kinh doanh Splunk sử dụng để quản lý ứng dụng, bảo mật tuân thủ theo sách tổ chức, kinh doanh phân tích web Tính đến đầu năm 2016, Splunk có 10.000 khách hàng tồn giới Sản phẩm trả phí: Có tất chức Splunk, khơng hạn chế kích thước liệu.Sản phẩm miễn phí: Hạn chế số chức năng, hạn chế khối lượng liệu ngày 500MB Bao gồm chức năng: Đánh mục liệu, tìm kiếm thời gian thực, thống kế kết xuất báo cáo Các tính năng:  Định dạng Log: Hỗ trợ tất loại log hệ thống, thiết bị hạ tầng mạng, phần mềm, Firewall, IDS/IPS, Log Event, Register máy trạm …  Các hình thức thu thập liệu: Splunk thực việc thu thập log từ nhiều nguồn khác Từ file thư mục (kể file nén) server, qua kết nối UDP, TCP từ Splunk Server khác mơ hình Splunk phân tán, từ Event Logs, Registry Windows … Splunk kết hợp tốt với công cụ thu thập log khác  Cập nhật liệu: Splunk cập nhật liệu liên tục có thay đổi thời gian thực Giúp cho việc phát cảnh báo thời gian thực  Đánh mục liệu: Splunk đánh mục liệu với khối lượng liệu lớn khoảng thời gian ngắn Giúp việc tìm kiếm diễn nhanh chóng thuận tiện  Tìm kiếm thơng tin: Splunk làm việc tốt với liệu lớn cập nhật liên tục Nó cung cấp chế tìm kiếm với “Splunk Language” thơng minh bao gồm từ khóa, hàm cấu trúc tìm kiếm giúp người sử dụng truy xuất thứ, theo nhiều tiêu chí từ tập liệu lớn Những nhà quản trị mạng cao cấp chuyên nghiệp thường gọi Splunk với tên “Splunk toàn năng” hay “Splunk as Google for Log files” để nói lên sức mạnh Splunk  Giám sát cảnh báo: Splunk cung cấp cho người dùng chế cảnh báo dựa việc tìm kiếm thơng tin người sử dụng đặt Khi có vấn đề liên quan tới hệ thống phù hợp với tiêu chí mà người dùng đặt hệ thống cảnh báo tới người dùng (cảnh bảo trực tiếp qua giao diện, giử Email)  Khắc phục cố: Splunk cung câp chế tự động khắc phục với vấn đề xảy việc tự động chạy file Script mà người dùng tự tạo (Ví dụ như: Chặn IP, đóng Port …) có cảnh báo xảy  Hiển thị thông tin: Splunk cung cấp chế hiển thị trực quan giúp người sử dụng dễ dàng hình dung tình trạng hệ thống, đưa đánh giá hệ thống Splunk từ động kết xuất báo cáo với nhiều loại định dạng cách chuyên nghiệp  Phát triển: Cũng cung cấp API hỗ trợ việc tạo ứng dụng Splunk người dùng Một số API điển Splunk SDK (Cung cấp SDK tảng Python, Java, JS, PHP), Shep (Splunk Hadoop Intergration – Đây kết hợp Splunk Hadoop), Shuttl (Là sản phẩm hỗ trợ việc lưu liệu Splunk), Splunkgit (Giúp bạn hình dung liệu tốt hơn), Splunk power shell resource Kit (Bộ công cụ hỗ trợ việc mở rộng quản lý hệ thống) Splunk phần mềm giám sát mạng dựa sức mạnh việc phân tích log Splunk thực cơng việc tìm kiếm, giám sát phân tích liệu logs lớn sinh từ ứng dụng, hệ thống thiết bị hạ tầng mạng Nó thao tác tốt với nhiều loại dịnh dạng liệu khác (Syslog, csv, apache-log, access_combine …) Splunk xây dựng dựa tảng Lucene and MongoDB với giao diện web trực quan Hình 7: Giao diện đăng nhập Splunk Enterprise Hình 8: giao diện sau đăng nhập 2.1.1 Cơ chế Splunk Enterprise thu thập thơng tin Hình 9: Sơ đồ thu thập liệu Splunk Enterprise Splunk hỗ trợ tất loại log hệ thống, thiết bị hạ tầng mạng, phần mềm, Firewall, IDS/IPS, Log Event, Register máy trạm ….Splunk thực việc thu thập log từ nhiều nguồn khác Từ file thư mục (kể file nén) server, qua kết nối UDP, TCP từ Splunk Server khác mơ hình Splunk phân tán, từ Event Logs, Registry Windows …Splunk kết hợp tốt với công cụ thu thập log khác Splunk cập nhật liệu liên tục có thay đổi thời gian thực Giúp cho việc phát cảnh báo thời gian thực Splunk làm việc tốt với liệu lớn cập nhật liên tục Nó cung cấp chế tìm kiếm với “Splunk Language” thơng minh bao gồm từ khóa, hàm cấu trúc tìm kiếm giúp người sử dụng truy xuất thứ, theo nhiều tiêu chí từ tập liệu lớn Những nhà quản trị mạng cao cấp chuyên nghiệp thường gọi Splunk với tên “Splunk toàn năng” hay “Splunk as Google for Log files” để nói lên sức mạnh Splunk 2.1.2 Splunk Enterprise giám sát hệ thống Splunk cung cấp cho người dùng chế cảnh báo dựa việc tìm kiếm thơng tin người sử dụng đặt Khi có vấn đề liên quan tới hệ thống phù hợp với tiêu chí mà người dùng đặt hệ thống cảnh báo tới người dùng (cảnh bảo trực tiếp qua giao diện, giử Email) Splunk cung cấp chế hiển thị trực quan giúp người sử dụng dễ dàng hình dung tình trạng hệ thống, đưa đánh giá hệ thống Splunk từ động kết xuất báo cáo với nhiều loại định dạng cách chuyên nghiệp 2.1.3 Splunk Enterprise lưu trữ liệu Splunk đánh mục liệu với khối lượng liệu lớn khoảng thời gian ngắn Giúp việc tìm kiếm diễn nhanh chóng thuận tiện 2.1.4 Splunk Enterprise ứng phó với cố Splunk cịn cung câp chế tự động khắc phục với vấn đề xảy việc tự động chạy file Script mà người dùng tự tạo (Ví dụ như: Chặn IP, đóng Port …) có cảnh báo xảy 2.1.5 Triển khai Splunk Enterprise Với hệ thống lớn để triển khai Splunk cần có Server riêng để tập trung Log Tuy nhiên Splunk làm không tốt việc tập trung Log từ Server hay thiết bị khác Vì cần sử dụng số công cụ khác để thực việc tập trung Log Splunk Server Cụ thể ta kết hợp với syslog, Snare (for Windows), sử dụng qua Heroku … Triển khai hệ thống phân tán: Splunk hỗ trợ người dùng thiết lập hệ thống phân tán lượng liệu lớn vượt qua khả lưu trữ xử lý máy Hình 10: Triển khai hệ thống Splunk Enterprise 2.1.6 Mở rộng Splunk có khẳ kết hợp với cơng cụ khác nhằm hồn thiện việc giám sát an ninh quản lí kiện hệ thống Các cơng cụ kết hợp với Splunk như: OSSEC, Juniper, Sourcefire, … Hình 11: Cơng cụ tích hợp với Splunk Enterprise 2.2 AlienVault OSSIM OSSIM cách tiếp cận hấp dẫn SIEM OSSIM mã nguồn mở tải miễn phí, cài đặt chỉnh sửa phù hợp với hoạt động riêng cho hệ thống OSSIM phát triển AlienVault, gồm hai phiên miễn phí tính phí Phiên miễn phí có số hạn chế liên quan đến hiệu suất, lưu trữ việc hỗ trợ Tuy nhiên dùng phiên cao phiên miễn phí đáp ứng nhiều nhu cầu Một tính quan trọng AlienVault OSSIM Logger Nó sở liệu bổ sung cho mục đích Logger cho phép lưu trữ ghi số lượng lớn thời gian lâu dài Chúng sử dụng chủ yếu hệ thống lưu trữ NAS/SAN OSSIM phát triển dựa cộng đồng khả tùy chỉnh giống với phần mềm mã nguồn mở khác OSSIM sử dụng tổ chức nhỏ hiệu sử dụng tổ chức lớn, nơi có nhiều thiết bị mạng Firewall, IDS/IPS, Anti-Virus máy chủ web, OSSIM tích hợp với cơng cụ bảo mật mã nguồn mở khác không giới hạn Snort, ntop, OpenVAS, P0f, PADs, arpwatch, OSSEC, Osiris, Nagios, OCS, Kismet Có cơng cụ mã nguồn mở tiếng phần tảng làm cho chuyên gia an ninh dễ dàng làm việc với Tính AlienVault OSSIM:  Giám sát ứng dụng bên thiết bị tạo kiện an ninh  Các ứng dụng chuyển với AlienVault tạo kiện an ninh (AlienVault cảm biến)  Sự kiện an ninh thu thập chuẩn hóa trước gửi đến máy chủ trung tâm  Các AlienVault Server đánh giá rủi ro, tương quan lưu trữ kiện an ninh sở liệu SQL  Các máy chủ lưu trữ AlienVault kiện an ninh hệ thống lưu trữ, thường NAS cho mã nguồn mở SAN cho thương mại  Một giao diện web cho phép cung cấp hệ thống số liệu, báo cáo, bảng điều khiển, hệ thống, báo cáo lỗ hổng, hệ thống quản lý thông tin thời gian thực mạng 2.2.1 Phương pháp thu thập thơng tin OSSIM Có nhiều cách để thu thập ghi từ máy chủ sử dụng Agent OSSEC Snare Lựa chọn thay để cài đặt Agent cho hệ thống Linux đơn giản cấu hình rsyslog thiết lập snmptrapd Cách tốt để chuyển tiếp ghi từ hệ thống Windows sử dụng Snare 2.2.2 Tương quan kiện an ninh OSSIM Sự tương quan liên kết kiện an ninh tính cốt lõi OSSIM phân biệt với IDS/IPS Nó giúp giảm cảnh báo giả cách tương quan liên kết nhiều kiện an ninh khác báo động cho quản trị viên biết ý đến kiện an ninh Tính tương quan bao gồm tương quan chéo tương quan hợp lý (tương quan Chỉ thị) Chéo tương quan làm việc với kiện an ninh xác định IP đích đến kiểm tra máy chủ đích để xác định xem có lỗ hổng khơng có sở liệu thay đổi giá trị độ tin cậy kiện an ninh phù hợp Giá trị độ tin cậy kiện an ninh số liệu sử dụng để tính toán rủi ro OSSIM  Đánh giá rủi ro Đánh giá rủi ro việc làm quan trọng nhằm xác định quan trọng không? Việc đánh giá rủi ro coi trợ lý trình định OSSIM tính tốn rủi ro cho kiện an ninh Việc tính tốn dựa ba thơng số sau:  Giá trị tài sản (Mất giá trị bị xâm nhập?)  Nguy xảy ra?  Xác suất xảy bao nhiêu? Bản ghi log cung cấp từ nguồn liệu khác đến máy chủ OSSIM Các ghi log chuẩn hóa hiển thị giao diện quản lý web kiện an ninh Tickets tự mở tự động tạo OSSIM Để xử lý cố, OSSIM xem xét báo động, tạo ticket cố có liên quan gán cho thành phần thích hợp Báo động xảy giá trị rủi ro kiện an ninh lớn giá trị Rủi ro tính tốn theo cơng thức sau: [ASSET VALUE(0-5)*PRIORITY(0-5)*RELIABILITY(0-10)] /25 = RISK OF THE EVENT(0-10) Trong đó: • ASSET VALUE: Giá trị tài sản • PRIORITY: Độ ưu tiên cho kiện an ninh • RELIABILITY: Độ tin cậy kiện an ninh • RISK OF THE EVENT: Mức độ rủi ro kiện an ninh Các tài sản OSSIM có giá trị tài sản từ 0-5 Số cao có giá trị tài sản Tài sản nhóm máy chủ, nhóm máy chủ, mạng nhóm mạng Căn vào độ tin cậy để nhận thấy xác suất cơng Ví dụ, giá trị cao (9 10) có nghĩa cơng có thật 2.2.3 Các hành động ứng phó cố an ninh OSSIM OSSIM có khả ứng phó tự động với kiện an ninh định thiết lập ứng phó cho kiện an ninh Ứng phó bao gồm việc gửi email tới quản trị viên, đưa cảnh báo giao diện quản lý thực hành động nhằm ngăn chặn hành vi vi phạm an ninh Điều có ích nguy hiểm cấu hình khơng tốt gây cảnh báo giả hay đưa hành động không tốt cho hệ thống 2.2.4 Một số công cụ mã nguồn mở tích hợp OSSIM  Snort: cơng cụ mã nguồn mở hàng đầu IDS ngày Một phiên với tùy chọn tích hợp vào OSSIM Nó cung cấp cảnh báo liên quan đến công mạng  OpenVAS: cấp phép (GPL) phiên Nessus Một công cụ mã nguồn mở quét lỗ hổng phổ biến Công cụ sử dụng nhằm cung cấp thông tin lỗ hổng quét mạng thêm thông tin có giá trị cho sở liệu OSSIM  Ntop công cụ mã nguồn mở giám sát lưu lượng mạng phổ biến Công cụ cung cấp thông tin lưu lượng truy cập mạng, sử dụng để phát cách chủ động vấn đề bất thường hay độc hại  Nagios công cụ phần mềm mã nguồn mở giám sát thiết bị mạng phổ biến Công cụ sử dụng để giám sát thiết bị mạng, dịch vụ theo thời gian cung cấp cảnh báo trường hợp ngừng hoạt động  PADs: Passive Asset Detection System hệ thống phát thụ động tài sản công cụ Công cụ lặng lẽ theo dõi lưu lượng mạng, ghi log dịch vụ Dữ liệu theo dõi OSSIM có bất thường dịch vụ mạng  P0f: sử dụng thu thập thông tin hệ điều hành Công cụ theo dõi lưu lượng truy cập mạng xác định hệ điều hành Thơng tin hữu ích q trình suy luận tương quan  OCS-NG: Open Computer and Software Inventory Next Generation phần mềm giám sát, thống kê thiết bị, tài sản hệ thống Công cụ thực cách tự động theo dõi tài sản cung cấp phân tích thơng tin an ninh cần thiết  OSSEC: công cụ mã nguồn mở phát xâm nhập host Cơng cụ cung cấp tảng phân tích log, kiểm tra tính tồn vẹn tập tin, phát rootkit, giám sát sách, thời gian thực đưa cảnh báo  OSVDB: Open Source Vulnerability Database dự án mã nguồn mở cập nhật thông tin lỗ hổng sở liệu Nó tích hợp vào OSSIM sử dụng trình tương quan cho nhà phân tích  NFSen/NFDump: Netflow phần quan trọng theo dõi hệ thống mạng ích q trình tương quan NFSen cung cấp giao diện dựa web đồ họa làm việc Cả NFSen NFDump tích hợp vào OSSIM điều chỉnh để làm việc với công cụ khác Inprotect: thể giao diện web Nessus, OpenVAS Nmap.Inprotect tích hợp vào OSSIM cung cấp khả quét theo mẫu, quét theo lịch xuất kết sang định dạng khác Chương 3: THỰC NGHIỆM 3.1 Mô tả Sử dụng công cụ Splunk Enterprise để triển khai hệ thống SIEM giám sát an toàn hệ thống mạng gồm máy sau: Thiết bị Hệ điều hành Dịch vụ Hostname Splunk server Ubuntu 16.04 64 bit SSH, FTP, web (apache2), Telnet ubuntu Client Windows/ Attacker Windows 10 64 bit SSH, FTP, web (apache2), Telnet windows 3.2 Kịch công Sự dụng công cụ : Splunk Enterprise for Linux Splunk forwarder for Windows  Cài đặt cho phép Splunk server thu thập thông tin từ máy client hệ thống, phân tích, tương quan thể giao diện web nhiều hình thức bảng, biểu đồ  Thiết đặt báo cáo Splunk server có client yêu cầu thực dịch vụ: SSH, FTP, Telnet, Web (apache2), NTP  Thiết đặt cảnh báo có thiết bị SSH, FTP thất bại tới server gửi cảnh báo cho quản trị viên theo thời gian thực qua email  Tạo biểu đồ thể thông tin dịch vụ  Xem liệu thô file text chứa nội dung file log hệ thống dạng mục

Ngày đăng: 13/03/2022, 14:56

Xem thêm:

Mục lục

    TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP. HỒ CHÍ MINH KHOA CÔNG NGHỆ THÔNG TIN

    1. Lý do chọn đề tài

    2. Mục tiêu đề tài

    3. Đối tượng của đề tài

    4. Nội dung của đề tài

    5. Ý nghĩa của đề tài

    Chương 1: HỆ THỐNG SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM)

    1.1. Tổng quan về SIEM

    Hình 1: Các tính năng của hệ thống SIEM

    Hình 2: admin login rules

Tài liệu cùng người dùng

Tài liệu liên quan