TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ Nghiên cứu phát triển hệ thống phát bất thường dựa log LÊ VĂN ĐỒNG Ngành Kỹ thuật máy tính Giảng viên hướng dẫn: PGS.TS Trần Quang Đức Trường: Công nghệ thông tin Truyền thông HÀ NỘI, 2021 TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ Nghiên cứu phát triển hệ thống phát bất thường dựa log LÊ VĂN ĐỒNG Ngành Kỹ thuật máy tính Giảng viên hướng dẫn: PGS.TS Trần Quang Đức Chữ ký GVHD Trường: Công nghệ thơng tin Truyền thơng HÀ NỘI, 2021 CỘNG HỊA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ Họ tên tác giả luận văn: Lê Văn Đồng Đề tài luận văn: Nghiên cứu phát triển hệ thống phát bất thường dựa log Chuyên ngành: Kỹ thuật máy tính Mã số SV: 20202913M Tác giả, Người hướng dẫn khoa học Hội đồng chấm luận văn xác nhận tác giả sửa chữa, bổ sung luận văn theo biên họp Hội đồng ngày 24/12/2021 với nội dung sau: - Bổ sung biểu đồ mô tả API để làm rõ cách thức tương tác, xử lý liệu hệ thống quản lý tập luật với máy chủ SIEM-QRadar - Bổ sung mô tả để làm rõ cách thức xây dựng tập luật theo cấu trúc chuẩn dạng sigma-rule - Bổ sung mô tả cách thức chuyển đổi luật viết dạng sigma-rules thành luật cấu hình hệ thống SIEM-QRadar - Cập nhật số đề mục trích dẫn đề mục, hình vẽ, bảng biểu luận văn Ngày tháng năm Giáo viên hướng dẫn Tác giả luận văn PGS.TS Trần Quang Đức Lê Văn Đồng CHỦ TỊCH HỘI ĐỒNG TS Đỗ Bá Lâm LỜI CẢM ƠN Đầu tiên, em xin gửi lời cảm ơn chân thành sâu sắc tới PGS.TS Trần Quang Đức, Giảng viên môn Truyền thông Mạng máy tính, Trường CNTT&TT, Đại học Bách Khoa Hà Nội, người trực tiếp hướng dẫn em thực luận văn Thầy người cẩn thận, có trách nhiệm cao công việc, hỗ trợ em nhiều kể từ quãng thời sinh viên tận Đồng thời, em xin cảm ơn anh Bùi Xuân Định, bạn Nguyễn Trọng Ngọc toàn thể người Trung tâm An tồn, an ninh thơng tin Bách Khoa (BKCS) Các anh, bạn động viên, hỗ trợ em nhiều cơng việc nói chung việc thực luận văn nói riêng Sau cùng, em xin gửi lời cảm ơn tới PGS.TS Nguyễn Linh Giang, Trưởng môn Truyền thông Mạng máy tính, tồn thể thầy Trường CNTT&TT hỗ trợ em nhiều trình học thạc sĩ, truyền đạt cho em nhiều kiến thức, kinh nghiệm quý báu để em có hành trang tốt vào đời Với kiến thức gặt hái được, em cố gắng hoàn thiện thân đóng góp nhiều điều có ích cho cộng đồng, cho xã hội, xứng đáng với truyền thống sinh viên Bách Khoa nói chung sinh viên CNTT nói riêng Tuy nhiên, cịn hạn chế thời gian nên chắn em không tránh khỏi thiếu sót q trình thực luận văn tốt nghiệp Vì vậy, em mong nhận góp ý, bảo thầy, để hồn thiện luận văn tốt Hà Nội, ngày tháng Tác giả Lê Văn Đồng năm MỤC LỤC ĐẶT VẤN ĐỀ Lý lựa chọn đề tài Tính cấp thiết đề tài CHƯƠNG CƠ SỞ LÝ THUYẾT 1.1 1.2 1.3 1.4 Tổng quan Cyber Security Framework 1.1.1 Cyber Kill Chain Framework 1.1.2 NIST Cybersecurity Framework 1.1.3 MITRE ATT&CK Framework Giới thiệu logs hệ điều hành Windows Linux 10 1.2.1 Nhật ký Windows Event Logs 10 1.2.2 Dịch vụ Sysmon 13 1.2.3 Logs mặc định Linux 17 1.2.4 Dịch vụ OSQuery 19 1.2.5 Dịch vụ Auditd 22 Thu thập chuẩn hóa logs SIEM-Qradar 31 1.3.1 Giới thiệu Wincollect Agent 31 1.3.2 Thu thập logs máy chủ Linux 35 Tổng quan Rules SIEM-Qradar 36 1.4.1 Giới thiệu chuẩn sigma-rules 36 1.4.2 Giới thiệu Rules Qradar 40 1.4.3 Giới thiệu Qradar-Rules-API 43 CHƯƠNG THIẾT KẾ VÀ XÂY DỰNG HỆ THỐNG 46 2.1 2.2 Thiết kế hệ thống Rules-Cross-Platform 46 2.1.1 Xây dựng kiến trúc hệ thống 46 2.1.2 Thiết kế sở liệu 49 2.1.3 Quy trình xây dựng tập luật sigma-rules 51 Cấu hình nguồn logs Windows Linux 53 2.2.1 Cấu hình Windows Policy 53 2.2.2 Cấu hình dịch vụ Sysmon 55 2.2.3 Cấu hình dịch vụ OSQuery 58 i 2.2.4 Cấu hình dịch vụ Auditd 60 CHƯƠNG TRIỂN KHAI VÀ ĐÁNH GIÁ HỆ THỐNG 62 3.1 3.2 3.3 3.4 3.5 Triển khai cài đặt thử nghiệm hệ thống 62 3.1.1 Xây dựng mơ hình triển khai 62 3.1.2 Thu thập chuẩn hoá logs SIEM 63 3.1.3 Quy trình cấu hình tập luật QRadar 67 Xây dựng script hỗ trợ vận hành hệ thống 71 3.2.1 Cấu hình Windows GPO 71 3.2.2 Cấu hình osquery auditd 72 Thiết kế kịch thử nghiệm tập luật 75 3.3.1 Danh sách tập luật triển khai 75 3.3.2 Kịch công máy chủ Windows [1] 76 3.3.3 Kịch công máy chủ Windows [2] 81 3.3.4 Kịch công máy chủ Linux 82 Phân tích kết thử nghiệm hệ thống 90 3.4.1 Windows GPO với Sysmon 90 3.4.2 OSQuery với Audit 92 3.4.3 Đánh giá hiệu tập luật 93 Xây dựng quy trình tối ưu tập luật 95 CHƯƠNG KẾT LUẬN 99 4.1 Kết luận 99 4.2 Hướng phát triển luận văn tương lai 99 TÀI LIỆU THAM KHẢO 100 PHỤ LỤC 102 ii DANH MỤC CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT CNTT Công nghệ thông tin Trường CNTT&TT Trường Công nghệ Thông tin Truyền thông SIEM Security Information and Event Management API Application Programming Interface APT Advanced Persistent Threat XOAR Security Orchestration, Automation and Response SOC Security Operations Center ATT&CK Adversarial Knowledge DLP Data Loss Prevention SNMP Simple Network Management Protocol NIST National Institute of Standards and Technology IDPS Intrusion Detection and Prevention System EDR Endpoint Detection and Response EPS Event Per Second AQL Ariel Query Language JSON JavaScript Object Notation CEF Common Event Format LEEF Log Event Extended Format LSASS Local Security Authority Subsystem Service SHA1 Secure Hash Algorithm TCP Transmission Control Protocol UDP User Datagram Protocol DoS Denial-of-Service GPO Group Policy Object Tactics, Techniques, and Common iii DANH MỤC HÌNH VẼ VÀ ĐỒ THỊ Hình 1.1 Sơ đồ bước cơng theo Cyber Kill Chain Framework [3] Hình 1.2 Sơ đồ thành phần NIST CyberSecurity Framework [17] Hình 1.3 Sơ đồ số chiển thuật kỹ thuật công dạng ma trận MITRE ATT&CK [1] Hình 1.4 Sơ đồ quan hệ thành phần hệ thống audit linux 23 Hình 1.5 Chế độ Wincollect Managed thu thập logs máy chủ Windows 32 Hình 1.6 Chế độ Wincollect Standalone thu thập logs máy chủ Windows 33 Hình 1.7 Mơ hình kết nối Wincollect Agent SIEM-Qradar 34 Hình 1.8 Mơ hình thu thập logs máy chủ Linux hệ thống Qradar 35 Hình 1.9 Ví dụ cú pháp sigma-rules cho phép phát Web Shell 40 Hình 1.10 Kết sử dụng QRadar-API trích xuất thơng tin tập luật 45 Hình 2.1 Sơ đồ kiến trúc thành phần hệ thống Rule-Cross-Platform 46 Hình 2.2 Sở đồ luồng xử lý liệu theo mơ hình MVC Laravel 47 Hình 2.3 Sơ đồ luồng xử lý liệu hệ thống quản lý tập luật QRadar 48 Hình 2.4 Sơ đồ quan hệ bảng sở liệu hệ thống 51 Hình 2.5 Quy trình bước xây dựng tập luật sigma-rules 52 Hình 3.1 Sơ đồ mơ hình triển khai hệ thống thu thập logs thử nghiệm kịch công 62 Hình 3.2 Sơ đồ luồng thu thập xử lý logs hệ thống SIEM 64 Hình 3.3 Quy trình cấu hình tập luật hệ thống SIEM-Qradar 67 Hình 3.4 Sơ đồ luồng xử lý xây dựng script tự động cấu hình Windows GPO 71 Hình 3.5 Sơ đồ luồng xử lý xây dựng script tự động cấu hình dịch vụ osquery 73 Hình 3.6 Sơ đồ luồng xử lý xây dựng script tự động cấu hình dịch vụ auditd 73 Hình 3.7 Sơ đồ quy trình tối ưu tập luật hệ thống SIEM 95 Hình 3.8 Sơ đồ quy trình tối ưu nguồn logs máy chủ 98 iv DANH MỤC BẢNG BIỂU Bảng 1.1 Bảng mô tả chiến thuật công ma trận ATT&CK Bảng 1.2 Bảng đánh giá ưu nhược điểm MITRE ATT&CK Framework Bảng 1.3 Bảng mô tả số loại logs hệ điều hành Windows 11 Bảng 1.4 Bảng so sánh Basic Audit Policy Advanced Audit Policy 12 Bảng 1.5 Bảng đánh giá ưu điểm nhược điểm dịch vụ Sysmon 14 Bảng 1.6 Bảng thống kê số kiện logs dịch vụ Sysmon 16 Bảng 1.7 Bảng thống kê đặc tả số loại logs Linux 17 Bảng 1.8 Bảng thống kê bảng liệu cần truy vấn osquery 20 Bảng 1.9 Bảng thống kê trường thông tin quan trọng tệp auditd.conf 25 Bảng 1.10 Bảng giá trị uid người dùng hệ thống linux 31 Bảng 1.11 Bảng so sánh Wincollect Managed Wincollect Standalone 33 Bảng 1.12 Bảng đặc tả thành phần sigma-rules 37 Bảng 1.13 Bảng mô tả mối quan hệ rules offense Qradar 41 Bảng 1.14 Bảng mô tả trường thông tin trả QRadar-API 44 Bảng 2.1 Bảng đặc tả sở liệu hệ thống Rules-Cross-Platform 49 Bảng 2.2 Bảng audit policy cần kích hoạt để sinh logs cho Windows 53 Bảng 2.3 Bảng cập nhật số thay đổi tệp cấu hình Sysmon 55 Bảng 3.1 Bảng thơng tin cấu hình hệ thống thử nghiệm 63 Bảng 3.2 Bảng đặc tả số extension cài đặt Qradar 65 Bảng 3.3 Bảng thống kê trường thông tin logs osquery 65 Bảng 3.4 Cấu trúc bảng sử liệu webvul chứa nhiều lỗ hổng bảo mật 82 Bảng 3.5 Bảng so sánh dịch vụ osquery auditd 92 Bảng 3.6 Bảng đánh giá khả đáp ứng tập luật 94 Bảng 3.7 Bảng thống kê thông tin cần thu thập để tối ưu tập luật 96 Bảng 3.8 Bảng thống kê ký tự cần ý tối ưu tập luật SIEM 97 v ĐẶT VẤN ĐỀ Lý lựa chọn đề tài Cùng với phát triển khoa học công nghệ, hệ thống CNTT từ máy chủ cung cấp dịch vụ, máy trạm người dùng, thiết bị mạng, nhiều thiết bị phần cứng, phần mềm chuyên dụng trở thành phần khơng thể thiếu, tác động tới quy trình nghiệp vụ phát triển chung tổ chức, doanh nghiệp Song song với lợi ích to lớn “nỗi lo” việc an toàn, an ninh thông tin không gian mạng, trước gia tăng ngày nhiều công quy mô độ phức tạp năm gần Theo báo cáo hàng năm [4, 5] tổ chức bảo mật hàng đầu giới McAfee, Kaspersky cơng mạng, cơng có chủ đích (APT) nhắm vào tổ chức, tập đoàn lớn ngày trở nên phổ biến Kẻ công liên tục thay đổi phương thức công, sử dụng nhiều kỹ thuật tinh vi, phức tạp nhằm che giấu hành vi để qua mặt hệ thống phòng thủ Trước nguy đó, doanh nghiệp thay đổi, chuyển dịch dần xu hướng đầu tư Thay đầu tư tới 80% sở hạ tầng cho giải pháp ngăn chặn, phịng thủ trước tập trung đầu tư nhiều cho giải pháp theo dõi, giám sát nhằm sớm phát bất thường, phục vụ cho việc phản ứng, điều tra, truy vết xảy cố an toàn an ninh thông tin Theo văn số 2973/BTTTT-CATTT ngày 04/09/2019 Bộ Thông tin Truyền thông việc “Hướng dẫn triển khai hoạt động giám sát an toàn thông tin quan, tổ chức nhà nước” [6], thấy việc giám sát, đảm bảo an tồn cho hạ tầng công nghệ thông tin thường triển khai theo hai cách đây: - Giải pháp thứ nhất: Cài đặt phần mềm giám sát, phát ngăn chặn hành vi công máy chủ cung cấp dịch vụ, máy trạm người dùng Host-IDS, AV, DLP, … Cách cho phép trực tiếp phát cơng sinh cảnh báo gửi hệ thống quản lý - Giải pháp thứ hai: Thu thập thông tin nhật ký (log) từ hạ tầng CNTT gửi hệ thống giám sát tập trung SIEM để sớm phát hành vi cơng dựa việc phân tích dấu hiệu bất thường, so khớp luật, sử dụng công nghệ xử lý liệu lớn Việc gửi log hệ thống giám sát tập trung thực thông qua giao thức, chế mà hệ điều hành hỗ trợ Syslog, SNMP, … cần phát triển phần mềm tác tử riêng cho giải pháp cụ thể Ngoài việc ghi nhiều thơng tin hơn, Sysmon cịn cho phép lọc kiện gây nhiễu, giúp giảm số lượng kiện cần xử lý lưu trữ SIEM Hơn nữa, cịn cung cấp chế cho phép tự giám sát việc thay đổi cấu hình, thay đổi trạng thái dịch vụ Tuy có nhiều ưu điểm vậy, dịch vụ Sysmon có điểm hạn chế định Thứ nhất, tạo nhiều kiện gây nhiễu, bỏ sót kiện địi hỏi người quản trị phải có kiến thức định kỹ thuật công xây dựng tệp cấu hình dịch vụ Sysmon Thứ hai, giải pháp miễn phí, phát triển bổ sung cộng đồng nên chứa nhiều lỗi, tồn vấn đề hiệu cài đặt máy chủ dịch vụ Trong luận văn này, dịch vụ Sysmon cấu hình hệ thống thử nghiệm phịng nghiên cứu nên chưa phản ánh xác hiệu triển khai môi trường thực tế doanh nghiệp Thứ ba dễ dàng bị tắt, bị vơ hiệu hóa phá hoại nên việc giám sát khóa registry liên quan cấu hình dịch vụ vơ cần thiết 3.4.2 OSQuery với Audit Dựa logs thử nghiệm số kịch công máy chủ Linux cài đặt dịch vụ osquery auditd, thấy hai dịch vụ cho phép ghi bổ sung logs liên quan đến tiến trình thực thi, kết nối mạng khởi tạo Tuy nhiên, chúng có điểm khác biệt hạn chế định Bảng bên so sánh mô tả số ưu nhược điểm dịch vụ osquery auditd Bảng 3.5 Bảng so sánh dịch vụ osquery auditd Tính Cấu hình OSQuery Để giám sát toàn lệnh thực thi hệ thống, cần cài đặt audit framework (auditd) trước, sau cài đặt cấu hình osquery Ghi logs Thực theo tác vụ lập lịch, sau khoảng thời gian định kiểm tra thông tin hệ thống thực ghi lại logs Logrotate Cần sử dụng thêm dịch vụ khác, ví dụ logrotate để xếp lại ghi tệp log đạt kích thước tới hạn Ghi lại Cho phép ghi lại trạng thái Auditd Thường tích hợp sẵn hệ điều hành, cho phép giám sát lệnh thực thi, kết nối hệ thống Ghi logs theo thời gian thực Được hỗ trợ mặc định tệp cấu hình auditd.conf Khơng hỗ trợ 92 trạng thái thơng tin thay đổi so với thời hệ thống điểm truy vấn chạy trước Các thơng tin ghi lại thành phần cụ thể hệ thống, ví dụ thơng tin tài khoản, thơng tin nhóm, thơng tin tiến trình, … Cấu trúc Các ghi có cấu trúc JSON, có logs khả tùy chỉnh thông tin dựa việc truy vấn bảng sở liệu Thu thập Hỗ trợ tốt giao thức TCP logs với giao thức UDP Do Qradar ghi logs thường dài nên sử dụng UDP bị thơng tin giới hạn kích thước thơng điệp Qradar Cấu hình Cung cấp extension IBM QRadar parser Custom Properties for Osquery rules [21] cho phép phân tách số Qradar thuộc tính logs dịch vụ osquery hạn chế Cần tự bổ sung cấu hình parser, QID xây dựng tập luật phát hành vi cơng Khơng có khả tùy chỉnh trường thông tin Các kiện bị phân tách thành nhiều thơng điệp có giá trị RecordID Hỗ trợ tốt UDP/TCP ghi thường ngắn bị chia tách thành nhiều thông điệp Cung cấp extension MITRE Linux Integration App [21] cho phép bổ sung thuộc tính, QID, tập luật theo MITRE dựa logs dịch vụ auditd Về bản, thấy dịch vụ auditd hỗ trợ tốt so với osquery máy chủ linux Tuy nhiên, tin chứa thơng tin thường bị phân mảnh nên gây khó khăn cho việc giám sát xây dựng tập luật Tuy nhiên, lại cung cấp tập luật audit.rules triển khai phía máy chủ cho phép lọc tối ưu nguồn logs giúp giảm số lượng kiện cần lưu trữ xử lý SIEM Ngoài ra, tích hợp sẵn máy chủ linux nên dịch vụ auditd hỗ trợ tốt việc ghi logs, tối ưu mặt hiệu so với dịch vụ osquery 3.4.3 Đánh giá hiệu tập luật Trong phạm vi luận văn này, dựa MITRE ATT&CK [2], Atomic RedTeam [1] Sigma [13] với số kinh nghiệm tích lũy q trình điều tra xử lý cố, em xây dựng chuẩn hóa khoảng 160 luật 93 dạng cấu trúc sigma Bảng bên mô tả số tiêu chí đánh giá tập luật khả đáp ứng Bảng 3.6 Bảng đánh giá khả đáp ứng tập luật Tiêu chí Đáp ứng Các hành vi nguy hại hạ tầng mạng: DoS/DDoS, Có MaliciousIP/Botnet, hành vi sử dụng giao thức bất thường Các hành vi nguy hại tầng ứng dụng: hành vi bất Có thường tài khoản (đăng nhập sai nhiều lần, đăng nhập làm việc, đăng nhập lúc từ nhiều địa IP khác nhau, từ quốc gia khác nhau, đăng nhập thành công sau nhiều lần đăng nhập thất bại, …) Các hành vi bất thường, hành vi công máy chủ, Có Chưa thống máy trạm theo MITRE ATT&CK Đã map rules phát kê tỷ lệ phát hiện công với kỹ thuật theo ATT&CK cơng theo ATT&CK V10 Cảnh báo tình trạng hoạt động hệ thống, tình trạng Có sẵn phần cứng (CPU / RAM / ổ cứng ngưỡng), cảnh SIEM-Qradar báo kết nối / cố với thành phần hệ thống Các hành vi bất thường người dùng Có Dựa nguồn logs Windows GPO, dịch vụ Sysmon, Linux OS, dịch vụ Auditd OSQuery tập luật xây dựng bao phủ nhiều kỹ thuật công theo MITRE ATT&CK Cụ thể phân bổ chúng dựa nguồn logs LinuxOS (8 UC), Linux OSQuery/Linux Auditd (26 UC), Windows Event Logs (72 UC), Sysmon (62 UC) Trong kịch thử nghiệm trên, ta thấy tập luật cho phép sinh cảnh báo phát hành vi nghi ngờ cơng, từ sớm phát mối đe dọa tiềm ẩn máy chủ 94 Hình ảnh bên minh họa giao diện hệ thống kịch bản/tập luật theo định dạng chung sigma Trong đó, kịch chuẩn hóa thành sigmarules sau phát triển thành rules cho SIEM khách hàng tương ứng 3.5 Xây dựng quy trình tối ưu tập luật Trong q trình giám sát an tồn thơng tin, tập luật cần phải liên tục làm giàu, cập nhật thêm dấu hiệu để sớm phát kỹ thuật cơng Đồng thời, cần tối ưu để giảm số lượng cảnh báo sai gây nhiễu cho hệ thống giám sát Thống kê số lượng cảnh báo hệ thống SIEM tuần Thống kê số lượng cảnh báo liên quan sau ngày thực tối ưu luật Sắp xếp cảnh báo theo số lượng từ cao xuống thấp Gửi khách hàng xác nhận hành vi tạo Building Block False Positive Xác định rules tương ứng điều kiện Thống kê kiện bị trigger điều kiện rules Hình 3.7 Sơ đồ quy trình tối ưu tập luật hệ thống SIEM Để tối ưu tập luật, ta thực theo sơ đồ bên [Hình 3.7] Cụ thể, gồm bước sau: Bước 1: Thống kê cảnh báo hệ thống SIEM tuần gần 95 Bước 2: Sắp xếp cảnh báo theo số lượng từ cao xuống thấp Bước 3: Xác định luật tương ứng với cảnh báo điều kiện Bước 4: Thống kê kiện bị trigger điều kiện luật Bước 5: Gửi khách hàng xác nhận hành vi tạo Building Block False Positive bổ sung vào tập luật Bước 6: Thống kê số lượng cảnh báo liên quan sau ngày tối ưu tập luật đánh giá hiệu việc tối ưu cho luật Trong sơ đồ trên, Bước 4, thông thường, ta cần thống kê số thông tin bảng sau: Bảng 3.7 Bảng thống kê thông tin cần thu thập để tối ưu tập luật Process Process Parent Parent Log Username Source Path CommandLine Process CommandLine Source IP Path Trong đó, trường có ý nghĩa sau: - Process Path: Đường dẫn tuyệt đối tiến trình thực thi - Process CommandLine: Tham số tiến trình thực thi - Parent Process Path: Đường dẫn tuyệt đối tiến trình cha khởi chạy - Parent CommandLine: Tham số tiến trình cha khởi chạy - Log Source: Tên log source ghi nhận kiện - Username: Tên người dùng thực - Source IP/Destination IP: Địa IP nguồn/đích liên quan đến kiện Ngoài ra, với số điều kiện khác, cần thu thập thông tin QID tương ứng với kiện, EventID sử dụng, Log Source Type, Reference Set/Reference Data liên quan Để đảm bảo an toàn giảm tối đa rủi ro có cấu hình whitelist số điều kiện để tối ưu tập luật nhằm giảm cảnh báo False Positive, ta cần sử dụng tham số, đường dẫn tuyệt đối, theo giá trị cụ thể, khơng sử dụng tìm kiếm từ khóa giá trị % +) Để thực whitelist thuộc tính mà có nhiều giá trị, nên tạo Reference Set để dễ dàng quản lý cập nhật điều kiện Quy tắc đặt tên RS sau: TenKH_Rules_DieuKien Ví dụ KHA_BB:UC001_ProcessPath Tùy thuộc vào loại giá trị mà chọn kiểu Reference Set tương ứng, thông thường chọn 96 AlphaNumeric (Ignore Case) để lưu kết dạng không phân biệt chữ hoa, chữ thường +) Xây dựng whitelist cho rules dạng BB theo quy tắc đặt tên sau: BB:FalsePositive: BB:Rule_1, BB:FalsePositive: BB:Rule_2, v.v Trong đó, BB sử dụng số điều kiện sau: - Nên viết điều kiện dạng AQL (and when the event matches "Process CommandLine" ILIKE 'value' AQL filter query) với giá trị value thường giá trị tuyệt đối tham số, hạn chế/không sử dụng tìm kiếm từ khóa theo ký tự % câu điều kiện Sử dụng ILIKE cho phép so sánh giá trị xâu ký tự mà không phân biệt hoa thường - Sử dụng Reference Set để quản lý chuỗi giá trị cần whitelist Khi có nhiều thuộc tính cần whitelist, nên sử dụng Reference Data +) Sau tạo BB:FalsePositive: BB:Rule_1, …, ta thêm chúng vào rules để giảm cảnh báo False Positive theo cách bên dưới: Điều kiện Điều kiện and NOT when an event matches any of the following BB:FalsePositive: BB:Rule_1, BB:FalsePositive: BB:Rule_2, … Nếu dùng IMATCHES để viết câu truy vấn sử dụng biểu thức quy, cần ý số ký tự đặc biệt sau: Bảng 3.8 Bảng thống kê ký tự cần ý tối ưu tập luật SIEM STT Ký tự Điều kiện AQL \ \\ \ ‘ \’ “space” \s Các ký tự thay đổi tùy thuộc vào phiên Qradar Nên kiểm tra kỹ dấu chấm, dấu phảy, dấu cách ký tự đặc biệt giá trị thuộc tính sử dụng truy vấn AQL để đảm bảo luật hoạt động Để tối ưu nguồn logs máy chủ cài đặt số dịch vụ Sysmon, OSQuery, Auditd, ta thực theo bước sơ đồ bên Đối với Windows Event Logs, Linux OS, lọc bớt kiện cần lưu trữ sử dụng lọc Qradar Log Source Management 97 Thống kê số lượng kiện theo Log Source Type Thống kê số lượng kiện theo Log Source Type ngày Sắp xếp Event Name theo thứ tự số lượng từ cao xuống thấp Thêm lọc kiện vào tập luật máy chủ để tối ưu nguồn logs Thống kê điều kiện ứng với kiện có số lượng lớn Xác nhận lại hành vi logs với khách hàng đề xuất whitelist Hình 3.8 Sơ đồ quy trình tối ưu nguồn logs máy chủ 98 CHƯƠNG KẾT LUẬN 4.1 Kết luận Trong trình nghiên cứu hoàn thiện, luận văn đạt nhiều kết tích cực Đầu tiên, luận văn thực nghiên cứu lý thuyết hệ thống logs máy chủ Windows Linux, dịch vụ nguồn mở cho phép ghi bổ sung thêm số logs cần thiết phục vụ việc giám sát an toàn cho máy chủ Tiếp theo, thực nghiên cứu dấu hiệu, kỹ thuật cơng theo MITRE ATT&CK sau dựa Atomic RedTeam số kinh nghiệm cá nhân việc điều tra xử lý cố để mơ hình hóa xây dựng kịch bản/tập luật cho phép phát hành vi công theo định dạng thống Sau thực triển khai cấu hình thử nghiệm số luật lên hệ thống SIEM-Qradar xây dựng số kịch gồm chuỗi hành vi công để đánh giá hiệu tập luật Kết thu cho thấy tập luật có tính thực tiễn cao, có khả phát tốt nhiều hành vi công nguy hiểm, phức tạp thực tế Đồng thời, sở phân tích cảnh báo logs thu hệ thống SIEM, luận văn đề xuất quy trình tối ưu tập luật quy trình tối ưu nguồn logs nhằm hạn chế cảnh báo sai thực tế Ngoài ra, để tối ưu trình triển khai tích hợp logs máy chủ hệ thống giám sát SIEM thực tế, luận văn xây dựng tệp thực thi dạng batch, bash shell cho phép tự động cài đặt cấu hình dịch vụ, hoạt động nhiều tảng máy chủ khác 4.2 Hướng phát triển luận văn tương lai Ngày nay, kỹ thuật công ngày trở nên tinh vi phức tạp nhằm qua mặt hệ thống giám sát, hệ thống phịng thủ Kẻ cơng có xu hướng chuyển dịch dần sang việc khai thác cơng tầng ứng dụng Do vậy, sau hồn thiện luận văn này, tương lai em tiếp tục phát triển số hướng nghiên cứu sau: - Nghiên cứu logs dịch vụ dịch vụ Web (IIS, Apache), dịch vụ thư điện tử (MS-Exchange, Office-365, …) tích hợp hệ thống SIEM - Nghiên cứu phát triển tập luật phát hành vi nghi ngờ công dựa logs dịch vụ tích hợp SIEM - Nghiên cứu đề xuất tối ưu tập luật giải pháp, thiết bị an ninh EDR, Firewall, IDS/IPS - Nghiên cứu xây dựng bổ sung luật có tính thống kê để phát hành vi bất thường dựa ngưỡng Ví dụ, phát số công cụ hệ thống khởi chạy nhiều lần thời gian ngắn máy chủ, … 99 TÀI LIỆU THAM KHẢO [1] "Github-Atomic/RedTeam," redcanaryco, [Online] Available: https://github.com/redcanaryco/atomic-red-team [Accessed 10 2021] [2] "MITRE ATT&CK," MITRE Corporation, https://attack.mitre.org/ [Accessed 10 2021] [3] "Cyber Kill Chain," Lockheed Martin Corporation, [Online] Available: https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-killchain.html [Accessed 10 2021] [4] "McAfee Labs Threat Report 06.2021," McAfee Enterprise, [Online] Available: https://www.mcafee.com/enterprise/en-us/lp/threats-reports/jun2021.html [Accessed 06 2021] [5] "Kaspersky Security Bulletin 2020 Statistics," Kaspersky Labs, [Online] Available: https://go.kaspersky.com/rs/802-IJN240/images/KSB_statistics_2020_en.pdf [Accessed 10 2021] [6] "2973/BTTTT-CATTT, Hướng dẫn triển khai hoạt động giám sát thông tin," Bộ Thông tin Truyền thông, 15 08 2019 [Online] Available: https://ais.gov.vn/huong-dan-trien-khai-hoat-dong-giam-sat-thong-tin.htm [Accessed 10 2021] [7] "Qradar Custom Rules Documents," IBM Corporation, 2021 [Online] Available: https://www.ibm.com/docs/en/qsip/7.4?topic=rules-custom [Accessed 10 2021] [8] A Miroshnikov, Windows Security Monitoring, Scenarios and Patterns, 2018 [9] D Murdoch, BlueTeam Handbook: SOC, SIEM, and Threat Hunting UseCases, Notes from the Field, A condensed field guide for the Security Operations team (V1.02), 2018 [Online] Available: [10] "OSQuery Document," 2021 [Online] https://osquery.io/schema/5.0.1/ [Accessed 10 2021] Available: [11] "Auditd Document," 2021 [Online] https://linux.die.net/man/8/auditd [Accessed 10 2021] Available: [12] M R a T Garnier, "Sysmon Document," 2021 [Online] Available: https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon [Accessed 10 2021] 100 [13] Neo23x0, "Github-Sigma Rules Document," 2021 [Online] Available: https://github.com/SigmaHQ/sigma [Accessed 10 2021] [14] "Wincollect Agent," IBM Security, 2021 [Online] Available: https://www.ibm.com/community/qradar/home/wincollect/ [Accessed 10 2021] [15] B T Tùng, "Bài giảng Phịng chống cơng mạng," SoICT, 2021 [Online] Available: https://users.soict.hust.edu.vn/tungbt/it4830/ [Accessed 10 2021] [16] T Q Đức, "Bài giảng Cơ sở pháp lý số," SoICT, 2021 [Online] Available: https://users.soict.hust.edu.vn/ductq/ [Accessed 10 2021] [17] N I o S a Technology, "NIST Cyber Framewoek," 2021 [Online] Available: https://www.nist.gov/cyberframework [Accessed 10 2021] [18] "RSyslog Document," 2021 [Online] Available: https://www.rsyslog.com/doc/master/index.html [Accessed 10 2021] [19] U Berkeley, "CLTC and McAfee Study: MITRE ATT&CK Improves Security, But Many Struggle to Implement," 2021 [Online] Available: https://cltc.berkeley.edu/2020/10/06/mitre-attck/ [Accessed 10 2021] [20] "Windows Events to Monitor," Microsoft, 10 2021 [Online] Available: https://docs.microsoft.com/en-us/windows-server/identity/adds/plan/appendix-l events-to-monitor [Accessed 10 2021] [21] "IBM Xforce Exchage," IBM Security, 10 2021 [Online] Available: https://exchange.xforce.ibmcloud.com/ [Accessed 10 2021] [22] "OWASP Project," [Accessed 10 2021] 2021 [Online] Available: [23] "Burp Suite," PortSwigger Ltd., 10 2021 https://portswigger.net/burp [Accessed 10 2021] https://owasp.org/ [Online] Available: [24] SwiftOnSecurity, "Github Sysmon-Config," 10 2021 [Online] Available: https://github.com/SwiftOnSecurity/sysmon-config [Accessed 10 2021] [25] "QRadar Interactive API Documentation for Developers," 10 2021 [Online] Available: https://ip_qradar/api_doc#version=12.0 [Accessed 10 2021] 101 PHỤ LỤC A1 Cài đặt cấu hình Wincollect Để cài đặt cấu hình Wincollect theo chế độ Managed, ta tham khảo bước Bước 1: Nháy đúp vào phần mềm Wincollect Agent chọn Next để tiếp tục Bước 2: Đồng ý sách nhà phát triển chọn Next để tiếp tục Nhập thông tin người thực cài đặt (nếu có) 102 Bước 3: Chọn đường dẫn thư mục chứa cài Wincollect Agent Chọn Next để tiếp tục Bước 4: Chọn cài đặt theo chế độ Managed chọn Next để tiếp tục 103 Bước 5: Nhập thông số cho phép Wincollect Agent kết nối với Console Qradar để gửi nhận logs Trong gồm: - Host Identifier: Tên máy chủ / địa IP - Authentication Token: Giá trị token để mã hóa liệu - Console (Host/Port): Điền IP Qradar cổng 8413 Chọn tạo Log Source muốn Qradar tự nhật Log Source Wincollect Agent Nếu bỏ qua bước này, cần tạo thủ công Log Source Qradar Chọn Next để tiếp tục 104 Bước 6: Nhập tham số cho Heartbeat Giá tri cho phép Qradar kiểm tra trạng thái Log Source Chọn Next để tiếp tục Bước 7: Kiểm tra thơng tin cần cấu hình chọn Next để bắt đầu chờ trình cài đặt kết thúc 105 Để hỗ trợ trình triển khai Agent nhiều máy chủ, Qradar hỗ trợ cài đặt Wincollect Agent dạng dịng lệnh có cấu trúc bên wincollect-7.3.1-22.x64.exe /s /v"/qn INSTALLDIR=\"C:\Program Files\IBM\WinCollect\" AUTHTOKEN=0e3617cb-23ea-4732-a3440779646b7d7b FULLCONSOLEADDRESS=192.168.39.69:8413 HOSTNAME=WIN-SVR_01 LOG_SOURCE_AUTO_CREATION_ENABLED=False" 106 ... LUẬN VĂN THẠC SĨ Nghiên cứu phát triển hệ thống phát bất thường dựa log LÊ VĂN ĐỒNG Ngành Kỹ thuật máy tính Giảng viên hướng dẫn: PGS.TS Trần Quang Đức Chữ ký GVHD Trường: Công nghệ thông tin Truyền... LUẬN VĂN THẠC SĨ Họ tên tác giả luận văn: Lê Văn Đồng Đề tài luận văn: Nghiên cứu phát triển hệ thống phát bất thường dựa log Chuyên ngành: Kỹ thuật máy tính Mã số SV: 20202913M Tác giả, Người... vụ cài đặt hệ thống, phục vụ tốt cho việc giám sát, điều tra xử lý cố phát phân tích mối đe dọa tiềm ẩn hệ thống +) Có thể hoạt động hệ thống phát xâm nhập IDS tích hợp logs với hệ thống IDS khác