TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI 2019B MẠNG MÁY TÍNH VÀ AN TỒN THƠNG TIN LUẬN VĂN THẠC SĨ Nghiên cứu khảo sát hệ thống SIEM phát triển giải pháp mã nguồn mở nhỏ gọn NGÔ MINH QN quan.nmcb190232@sis.hust.edu.vn Ngành Mạng máy tính an tồn thơng tin NGƠ MINH QN - CB190232 Giảng viên hướng dẫn: PGS TS Nguyễn Khanh Văn Trường: Công Nghệ Thông Tin Truyền Thông HÀ NỘI, 2021 TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ Nghiên cứu khảo sát hệ thống SIEM phát triển giải pháp mã nguồn mở nhỏ gọn NGÔ MINH QUÂN quan.nmcb190232@sis.hust.edu.vn Ngành Mạng máy tính an tồn thơng tin Giảng viên hướng dẫn: PGS TS Nguyễn Khanh Văn Trường: Công Nghệ Thông Tin Truyền Thông HÀ NỘI, 2021 Chữ ký GVHD CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ Họ tên tác giả luận văn : Ngô Minh Quân Đề tài luận văn: Nghiên cứu khảo sát hệ thống SIEM phát triển giải pháp mã nguồn mở nhỏ gọn Chuyên ngành: Mạng máy tính an tồn thơng tin Mã số SV: CB190232 Tác giả, Người hướng dẫn khoa học Hội đồng chấm luận văn xác nhận tác giả sửa chữa, bổ sung luận văn theo biên họp Hội đồng ngày 24/12/2021 với nội dung sau: - Bổ sung bối cảnh tổ chức cần phải xây dựng hệ thống SIEM - Bổ sung phần giải thích cho khái niệm nhỏ gọn tiêu đề luận văn - Bổ sung yêu cầu đặt trước xây dựng hệ thống SIEM - Viết lại phần lợi ích triển khai hệ thống SIEM - Bổ sung phần tiêu chí lựa chọn hệ thống SIEM Ngày tháng năm Giáo viên hướng dẫn Tác giả luận văn PGS TS Nguyễn Khanh Văn Ngô Minh Quân CHỦ TỊCH HỘI ĐỒNG TS Nguyễn Thanh Hùng Lời cảm ơn Để hồn thành luận văn tốt nghiệp này, em xin chân thành cảm ơn thầy cô giáo Trường Công nghệ thông tin Truyền thông – Đại học Bách Khoa Hà Nội, đặc biệt thầy cô Bộ môn Công nghệ Phần mềm dạy em khơng kiến thức mà cịn phương pháp nghiên cứu kiến thức giúp em hồn thành luận văn Đặc biệt em xin gửi lời cảm ơn sâu sắc đến thầy PGS TS Nguyễn Khanh Văn, giảng viên Bộ môn Công nghệ Phần mềm hướng dẫn bảo em tận tình trình làm đồ án tốt nghiệp Cuối em xin gửi lời cảm ơn đến gia đình, bạn bè động viên, chăm sóc, đóng góp ý kiến giúp đỡ q trình học tập, nghiên cứu hoàn thành luận văn tốt nghiệp Trong suốt trình làm luận văn, thân em cố gắng tập trung tìm hiểu, nghiên cứu tham khảo thêm nhiều tài liệu liên quan Tuy nhiên, thời gian hạn chế thân chưa có nhiều kinh nghiệm nghiên cứu đề tài, chắn luận văn cịn nhiều thiếu sót Em mong nhận bảo thầy cô giáo góp ý bạn bè để luận văn hoàn thiện Em xin chân thành cảm ơn! Tóm tắt nội dung luận văn Đề tài: Nghiên cứu khảo sát hệ thống SIEM phát triển giải pháp mã nguồn mở nhỏ gọn Tác giả luận văn: Ngơ Minh Qn Khóa 2019B Người hướng dẫn: PGS TS Nguyễn Khanh Văn Nội dung tóm tắt: a) Lý chọn đề tài: Ngày nay, với phát triển mạnh mẽ ngành khoa học công nghệ, không gian mạng dần trở thành phận thiếu đóng vai trị quan trọng phát triển xã hội Sự phát triển bùng nổ số ngành cơng nghệ tiêu biểu, mang tính đột phá trí tuệ nhân tạo, IoT, điện tốn đám mây, liệu lớn v.v làm không gian mạng thay đổi sâu sắc chất lượng, dự báo mang lại lợi ích chưa có lịch sử xã hội lồi người Song song với phát triển đó, khơng gian mạng ngày xuất nguy tiềm ẩn vô lớn Các cơng mạng với mục đích xấu nhắm vào hệ thống mạng công ty hay tổ chức diễn với tần suất lớn mức độ tinh vi ngày cao Hậu để lại công thường vô nghiêm trọng gây thiệt hại lớn liệu tiền bạc Bởi vậy, cần có hệ thống cho phép quan, tổ chức theo dõi giám sát mối đe dọa mà họ đối mặt, từ đưa phương án để đối phó, ngăn chặn mối đe dọa này, hệ thống Giám sát an ninh mạng Hệ thống GSANM quản lý phân tích kiện ATTT, thực thu thập, chuẩn hóa, lưu trữ phân tích tương quan tồn kiện ATTT sinh từ thành phần hạ tầng công nghệ thông tin quan, tổ chức b) Mục đích nghiên cứu luận văn, đối tượng, phạm vi nghiên cứu: - Mục đích nghiên cứu: Khảo sát số giải pháp xây dựng hệ thống giám sát an tồn thơng tin SIEM triển khai xây dựng hệ thống mã nguồn mở - Đối tượng, phạm vi nghiên cứu: + Khái niệm, chức năng, thành phần hệ thống giám sát an ninh mạng + Thử nghiệm xây dựng phát số loại công c) Kết luận Luận văn nghiên cứu trình bày tổng quan hệ thống giám sát an ninh mạng, có nghiên cứu thử nghiệm xây dựng để kiểm nghiệm khả hoạt động hệ thống HỌC VIÊN MỤC LỤC DANH MỤC TỪ NGỮ VIẾT TẮT ix DANH MỤC BẢNG BIỂU x DANH MỤC HÌNH VẼ xi MỞ ĐẦU CHƯƠNG GIỚI THIỆU BÀI TOÁN 1.1 Bối cảnh doanh nghiệp cần phải xây dựng hệ thống giám sát an ninh mạng 1.2 Đối tượng nghiên cứu 1.3 Các nhiệm vụ cần thực luận văn 1.4 Kết đạt 1.5 Cấu trúc luận văn CHƯƠNG TỔNG QUAN VỀ GIẢI PHÁP QUẢN LÝ VÀ PHÂN TÍCH SỰ KIỆN AN TỒN THƠNG TIN (SIEM) 2.1 Số liệu thống kê tổn thất doanh nghiệp liên quan đến an tồn thơng tin 2.2 Tổng quan giải pháp quản lý phân tích kiện an tồn thơng tin SIEM 2.2.1 Các u cầu đặt trước xây dựng hệ thống SIEM 2.2.2 Các khái niệm chức hệ thống 2.2.3 Các thành phần hệ thống SIEM 10 2.2.4 Các lợi ích mang lại hệ thống SIEM 17 CHƯƠNG GIỚI THIỆU MỘT SỐ GIẢI PHÁP SIEM VÀ CÁC GIẢI PHÁP MÃ NGUỒN MỞ CĨ THỂ TÍCH HỢP 20 3.1 3.2 Một số giải pháp SIEM có thị trường 20 3.1.1 Syslog-NG 20 3.1.2 Logzilla (PHP Syslog-NG) 22 3.1.3 Splunk 24 3.1.4 ELK Stack 30 3.1.5 Lựa chọn giải pháp 40 Một số giải pháp tích hợp cho hệ thống SIEM 42 3.2.1 Hệ thống tìm kiếm, phát ngăn ngừa xâm nhập Snort 42 3.2.2 Hệ thống phát xâm nhập OSSEC 48 CHƯƠNG XÂY DỰNG THỬ NGHIỆM HỆ THỐNG SIEM MÃ NGUỒN MỞ NHỎ GỌN 56 4.1 Các tiêu chí đánh giá xây dựng hệ thống SIEM 56 4.1.1 Mức độ hỗ trợ SIEM nguồn nhật ký 56 4.1.2 Khả ghi nhật ký bổ sung SIEM 56 4.1.3 SIEM Khả sử dụng hiệu thơng tin tình báo hệ thống 57 4.1.4 Khả điều tra số hệ thống SIEM 57 4.1.5 SIEM Những tính hỗ trợ thực phân tích liệu hệ thống 58 4.1.6 Khả phản hồi tự động SIEM 58 4.1.7 Khả xây dựng báo cáo hệ thống SIEM 59 4.2 Xây dựng toán thử nghiệm 59 4.3 Triển khai hệ thống 59 4.3.1 Triển khai ELK Stack 59 4.3.2 Triển khai Snort 62 4.3.3 Triển khai OSSEC 65 4.4 Thực nghiệm công ghi nhận log vào hệ thống SIEM 65 4.5 Đánh giá kết 68 KẾT LUẬN 70 TÀI LIỆU THAM KHẢO 71 DANH MỤC TỪ NGỮ VIẾT TẮT Từ viết tắt SIEM Diễn giải Hệ thống giám sát an ninh mạng ELK Stack Elastic Search Kibana – tên phần mềm hỗ trợ triển khai giám sát an ninh mạng ATTT An tồn thơng tin IDS Hệ thống phát xâm nhập IPS Hệ thống ngăn chặn xâm nhập CNTT Công nghệ thông tin CSDL Cơ sở liệu Log Nhật ký hoạt động thiết bị, phần mềm IOC Indicator of Compromise – tác nhân thỏa hiệp với xâm phạm SNMP Simple Network Monitoring Protocol - Giao thức giám sát mạng đơn giản HIPAA Federal Health Insurance Portability and Accountability Act, luật tiếng phủ liên bang Hoa Kỳ ban hành năm 1996 nhằm thiết lập quy tắc cho việc truy cập, xác thực, lưu trữ, kiểm toán chuyển hồ sơ y tế điện tử SOX Sarbanes-Oxley Act đạo luật nghề kế toán, kiểm toán Mỹ PCI DSS Payment Card Industry Data Security Standard tiêu chuẩn an ninh thông tin bắt buộc dành cho doanh nghiệp lưu trữ, truyền tải xử lý thẻ toán quản lý 05 tổ chức toán quốc tế Visa, MasterCard, American Express, Discover JCB GDPR General Data Protection Regulation Quy định bảo vệ liệu chung 2016/679 quy định luật EU bảo vệ liệu quyền riêng tư cho tất cá nhân Liên minh châu Âu Khu vực kinh tế châu Âu ISO 27001 tiêu chuẩn quốc tế thông tin quản lý an ninh DANH MỤC BẢNG BIỂU Bảng 2.1 Các định dạng log 13 Bảng 3.1 Bảng so sánh giải pháp Splunk ELK Stack 41 ghi nhật ký Một số hệ thống dịch vụ SIEM bổ sung điều cách thực giám sát riêng chúng bên cạnh công việc quản lý nhật ký thường xuyên chúng Về chất, điều mở rộng SIEM từ việc hồn tồn cơng cụ thu thập, phân tích báo cáo nhật ký tập trung sang việc tạo liệu nhật ký thô thay mặt cho máy chủ khác 4.1.3 Khả sử dụng hiệu thơng tin tình báo hệ thống SIEM Hầu hết SIEM có khả sử dụng nguồn cấp liệu thơng tin tình báo mối đe dọa Các nguồn cấp liệu này, thường lấy từ nguồn đăng ký riêng biệt, chứa thông tin cập nhật hoạt động mối đe dọa quan sát toàn giới, bao gồm máy chủ sử dụng để phân chia khởi động công đặc điểm cơng Giá trị lớn việc sử dụng nguồn cấp liệu cho phép SIEM xác định cơng xác đưa định sáng suốt hơn, thường tự động, công cần phải loại bỏ ngân chặn phương pháp tốt để ngăn chặn chúng Tất nhiên, chất lượng thông tin mối đe dọa khác nhà cung cấp Các yếu tố cần xem xét đánh giá thơng tin tình báo mối đe dọa nên bao gồm tần suất cập nhật thơng tin tình báo mối đe dọa cách nhà cung cấp thông tin tình báo mối đe dọa thể tin tưởng họ vào chất độc hại mối đe dọa 4.1.4 Khả điều tra số hệ thống SIEM Năng lực điều tra số tiêu chí đánh giá SIEM Theo truyền thống, SIEM thu thập liệu nguồn nhật ký khác cung cấp Tuy nhiên, gần số hệ thống SIEM bổ sung khả điều tra số khác thu thập liệu riêng họ liên quan đến hoạt động đáng ngờ Một ví dụ phổ biến khả thực chụp tồn gói tin cho kết nối mạng có liên quan đến hoạt động độc hại Giả sử gói tin khơng mã hóa, nhà phân tích SIEM sau xem xét nội dung chúng kỹ để hiểu rõ chất gói tin Một khía cạnh khác điều tra số ghi nhật ký hoạt động máy chủ; sản phẩm SIEM thực ghi nhật ký lúc ghi nhật ký có 57 thể kích hoạt cơng cụ SIEM nghi ngờ hoạt động đáng ngờ liên quan đến máy chủ cụ thể 4.1.5 Những tính hỗ trợ thực phân tích liệu hệ thống SIEM Các sản phẩm SIEM sử dụng để phát xử lý cố phải cung cấp tính giúp người dùng tự xem xét phân tích liệu nhật ký, cảnh báo riêng SIEM phát khác Một lý cho điều SIEM có độ xác cao đơi hiểu sai kiện tạo kết cảnh báo giả, người cần phải có cách để xác thực kết SIEM Một lý khác cho điều người dùng liên quan đến phân tích bảo mật cần giao diện hữu ích để tạo điều kiện thuận lợi cho việc điều tra họ Ví dụ giao diện bao gồm khả tìm kiếm phức tạp khả trực quan hóa liệu 4.1.6 Khả phản hồi tự động SIEM Một tiêu chí đánh giá khác SIEM khả phản hồi tự động sản phẩm Đây thường nỗ lực tổ chức cụ thể phụ thuộc nhiều vào kiến trúc mạng tổ chức, biện pháp kiểm soát an ninh mạng khía cạnh khác quản lý bảo mật Ví dụ: sản phẩm SIEM cụ thể khơng có khả đạo tường lửa tổ chức biện pháp kiểm soát an ninh mạng khác để chấm dứt kết nối độc hại Bên cạnh việc đảm bảo sản phẩm SIEM thơng báo nhu cầu với biện pháp kiểm sốt an ninh khác tổ chức, điều quan trọng phải xem xét đặc điểm sau: - SIEM để phát công đạo biện pháp kiểm sốt an ninh thích hợp để ngăn chặn nó? - Thông tin liên lạc SIEM biện pháp kiểm soát bảo mật khác bảo vệ để ngăn chặn việc nghe trộm thay đổi? - Sản phẩm SIEM có hiệu việc ngăn chặn công trước xảy thiệt hại? 58 4.1.7 Khả xây dựng báo cáo hệ thống SIEM Hầu hết SIEM cung cấp khả báo cáo tùy chỉnh cao Nhiều sản phẩm số cung cấp hỗ trợ tích hợp để tạo báo cáo đáp ứng yêu cầu sáng kiến tuân thủ bảo mật khác Mỗi tổ chức nên xác định sáng kiến áp dụng sau đảm bảo sản phẩm SIEM hỗ trợ nhiều sáng kiến Đối với sáng kiến mà SIEM không hỗ trợ, đảm bảo sản phẩm SIEM hỗ trợ tùy chọn báo cáo tùy chỉnh phù hợp để đáp ứng yêu cầu bạn 4.2 Xây dựng toán thử nghiệm Trong khuôn khổ luận văn này, tác giả thử nghiệm khả thu thập phân tích liệu nhật ký hoạt động theo thời gian thực Để làm điều đó, cần xây dựng hệ thống thử nghiệm sau Triển khai cài đặt ELK Stack server Ubuntu Đồng thời máy chủ Ubuntu cài thêm Snort để giám sát dải mạng 192.168.39.0/24 Tiến hành công vào máy client dải mạng thực việc phát thông qua rule gửi ELK Stack Hình 4.1 Mơ hình thử nghiệm 4.3 Triển khai hệ thống 4.3.1 Triển khai ELK Stack ELK stack triển khai cài đặt thành phần Elasticsearch, 59 Logstash hay Kibana riêng rẽ Tuy nhiên, việc địi hỏi phải cài đặt qua nhiều bước, yêu cầu nhiều thư viện hay công cụ kèm Để dễ dàng cho việc cài đặt triển khai cho doanh nghiệp vừa nhỏ sau này, tác giả cài đặt cách sử dụng docker qua câu lệnh sau: - Clone cài ELK từ Github: git clone https://github.com/deviantony/docker-elk.git cd docker-elk/ - Khởi chạy ELK Stack từ docker: sudo docker stack deploy -c docker-stack.yml elk-stack Hình 4.2 Khởi chạy ELK Stack docker - Kiểm tra trạng thái ELK vừa cài docker: Hình 4.3 Kiểm tra trạng thái ELK Stack docker - Từ trình duyệt, truy cập địa http://192.168.202.145:5601 vào giao diện quản trị Kibana để xem q trình cài đặt thành cơng hay khơng - Cài đặt filebeat wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add sudo apt-get install apt-transport-https echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list sudo apt-get update && sudo apt-get install filebeat - Cấu hình Filebeat cho phép đẩy log ELK Stack, lưu ý đặt địa nguồn đích cho với IP máy chủ cài ELK đặt filebeat tự động chạy sau hệ điều hành bật sudo vi /etc/filebeat/filebeat.yml sudo filebeat modules enable system sudo filebeat test config sudo filebeat test output sudo filebeat setup 60 sudo systemctl start filebeat - Cài đặt cấu hình Elasalert để thực việc đẩy cảnh báo từ hệ thống SIEM tới quản trị viên qua email sudo apt-get install -y python sudo apt-get install -y python-pip python-dev libffi-dev libssl-dev git clone https://github.com/Yelp/elastalert.git cd elastalert sudo pip install "setuptools>=11.3" sudo pip install pyOpenSSL sudo python setup.py install sudo pip install "elasticsearch>=5.0.0" cp config.example.yaml config.yaml - Sửa file config.yaml cập nhật lại địa IP dns server elasticsearch elastalert-create-index - Chạy thử rule để kiểm tra hoạt động Elasalert elastalert-test-rule config config.yaml example_rules/example_frequency.yaml - Chạy Elasalert python -m elastalert.elastalert verbose rule example_frequency.yaml - Cài đặt Postfix Gmail SMTP, yêu cầu bật xác thực nhân tố khởi tạo mật ứng dụng - Cài đặt Postfix sudo apt-get install postfix mailutils libsasl2-2 ca-certificates libsasl2-modules - Cấu hình Postfix relayhost = [smtp.gmail.com]:587 smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_sasl_security_options = noanonymous smtp_tls_CApath = /etc/ssl/certs smtpd_tls_CApath = /etc/ssl/certs smtp_use_tls = yes - Cấu hình password gmail cho Posfix cat /etc/postfix/sasl_passwd [smtp.gmail.com]:587 quankthp@gmail.com:qpdm vkxv hdpc boja 61 - Phân quyền cho thư mục lưu password sudo chmod 400 /etc/postfix/sasl_passwd sudo postmap /etc/postfix/sasl_passwd sudo systemctl restart postfix - Kiểm tra thử khả gửi email: echo "Testing" | mail -s "Test Email" server.jbs@gmail.com sudo postqueue -p 4.3.2 Triển khai Snort - Cài đặt thành phần cần thiết cho Snort: sudo apt-get install -y build-essential autotools-dev libdumbnet-dev libluajit-5.1-dev libpcap-dev \ zlib1g-dev pkg-config libhwloc-dev cmake liblzma-dev openssl libssldev cpputest libsqlite3-dev \ libtool uuid-dev git autoconf bison flex libcmocka-dev libnetfilterqueue-dev libunwind-dev \ libmnl-dev ethtool - Cài đặt safec: cd ~/snort_src wget https://github.com/rurban/safeclib/releases/download/v02092020/libsafe c-02092020.tar.gz tar -xzvf libsafec-02092020.tar.gz cd libsafec-02092020.0-g6d921f /configure make sudo make install - Cài đặt PCRE: cd ~/snort_src/ wget https://ftp.pcre.org/pub/pcre/pcre-8.45.tar.gz tar -xzvf pcre-8.45.tar.gz cd pcre-8.45 /configure make sudo make install - Cài đặt Gperftools 2.9: cd ~/snort_src wget https://github.com/gperftools/gperftools/releases/download/gperftools2.9.1/gperftools-2.9.1.tar.gz 62 tar xzvf gperftools-2.9.1.tar.gz cd gperftools-2.9.1 /configure make sudo make install - Cài đặt Ragel: cd ~/snort_src wget http://www.colm.net/files/ragel/ragel-6.10.tar.gz tar -xzvf ragel-6.10.tar.gz cd ragel-6.10 /configure make sudo make install - Cài đặt thư viện Boost C++ cd ~/snort_src wget https://boostorg.jfrog.io/artifactory/main/release/1.76.0/source/boost _1_76_0.tar.gz tar -xvzf boost_1_76_0.tar.gz - Cài đặt Hyperscan 5.4: cd ~/snort_src wget https://github.com/intel/hyperscan/archive/refs/tags/v5.4.0.tar.gz tar -xvzf v5.4.0.tar.gz mkdir ~/snort_src/hyperscan-5.4.0-build cd hyperscan-5.4.0-build/ cmake -DCMAKE_INSTALL_PREFIX=/usr/local DBOOST_ROOT=~/snort_src/boost_1_76_0/ /hyperscan-5.4.0 make sudo make install - Cài đặt flatbuffers: cd ~/snort_src wget https://github.com/google/flatbuffers/archive/refs/tags/v2.0.0.tar.gz -O flatbuffers-v2.0.0.tar.gz tar -xzvf flatbuffers-v2.0.0.tar.gz mkdir flatbuffers-build cd flatbuffers-build cmake /flatbuffers-2.0.0 make 63 sudo make install - Cài đặt thành phần thu thập liệu cho Snort DAQ: cd ~/snort_src wget https://github.com/snort3/libdaq/archive/refs/tags/v3.0.4.tar.gz -O libdaq-3.0.4.tar.gz tar -xzvf libdaq-3.0.4.tar.gz cd libdaq-3.0.4 /bootstrap /configure make sudo make install - Cài đặt Snort: cd ~/snort_src wget https://github.com/snort3/snort3/archive/refs/tags/3.1.6.0.tar.gz -O snort3-3.1.6.0.tar.gz tar -xzvf snort3-3.1.6.0.tar.gz cd snort3-3.1.6.0 /configure_cmake.sh prefix=/usr/local enable-tcmalloc cd build make sudo make install - Cài đặt phần mềm tự động tải tập luật cho Snort Ở tác giả sử dụng PulledPork3 cd ~/snort_src/ git clone https://github.com/shirkdog/pulledpork3.git cd ~/snort_src/pulledpork3 sudo mkdir /usr/local/bin/pulledpork3 sudo cp pulledpork.py /usr/local/bin/pulledpork3 sudo cp -r lib/ /usr/local/bin/pulledpork3 sudo chmod +x /usr/local/bin/pulledpork3/pulledpork.py sudo mkdir /usr/local/etc/pulledpork3 sudo cp etc/pulledpork.conf /usr/local/etc/pulledpork3/ - Chỉnh sửa file cấu hình pulledpork3, chỉnh sửa theo dòng đây: community_ruleset = false registered_ruleset = false LightSPD_ruleset = true snort_blocklist = true et_blocklist = true snort_path = /usr/local/bin/snort 64 local_rules = /usr/local/etc/rules/local.rules - Cấu hình file snort.lua để nạp liệu sudo vi /usr/local/etc/snort/snort.lua - Sửa theo thông tin đây: ips = { enable_builtin_rules = true, include = RULE_PATH "/pulledpork.rules", variables = default_variables } - Cài đặt cho Pulledpork tự động chạy hàng ngày: sudo vi /lib/systemd/system/pulledpork3.timer - Sửa theo thông tin đây: [Unit] Description=Run PulledPork3 rule updater for Snort rulesets RefuseManualStart=no # Allow manual starts RefuseManualStop=no # Allow manual stops [Timer] #Execute job if it missed a run due to machine being off Persistent=true #Run 120 seconds after boot for the first time OnBootSec=120 #Run daily at am OnCalendar=*-*-*13:35:00 #File describing job to execute Unit=pulledpork3.service [Install] WantedBy=timers.target 4.3.3 Triển khai OSSEC - Tải cài đặt phần mềm OSSEC: wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt - Giải nén tập tin vừa tải: tar xf ossec-hids-2.8.1.tar.gz - Di chuyển vào tập tin vừa tải tiến hành cài đặt: sudo /install.sh - Tùy vào máy chủ cần cài đặt mà tiến hành lựa chọn phiên cho server client cho phù hợp 4.4 Thực nghiệm công ghi nhận log vào hệ thống SIEM 65 Sau cài đặt xong, ta tiến hành thực công DOS, scan port, công qua lỗ hổng MS-17-010 vào máy dải mạng, sau kiểm tra log bắt ELK Stack đồng thời để thử nghiệm khả phát xâm nhập mạng phần mềm Snort: Thử ping từ máy trạm bên tới máy chủ Ubuntu cài ELK Stack để xem khả bắt log realtime: Hình 4.4 Kiểm tra trạng thái bắt log hệ thống thực ping Thử ssh từ máy trạm sang máy chủ cài Ubuntu server ELK Stack; Hình 4.5 Kiểm tra log hệ thống thực ssh từ xa Thử dùng nmap từ máy Kali linux scan sang máy chủ chạy hệ điều hành 66 Windows Hình 4.6 Kiểm tra log hệ thống thực cơng dị qt Thực nghiệm công khai thác lỗ hổng MS17-010 máy chủ chạy Windows để kiểm tra khả phát cảnh báo hệ thống Hình 4.7 Tiến hành khai thác từ máy Kali Linux 67 Hình 4.8 Máy trạm bị dừng đột ngột Hình 4.9 Ghi nhận dấu hiệu công hệ thống SIEM Thử tạo user máy trạm Windows sau kiểm tra lại ELK Stack để kiểm tra khả thu thập log hệ điều hành phần mềm OSSEC Hình 4.10 Ghi nhận hành vi tạo người dùng 4.5 Đánh giá kết Sau thực xây dựng cấu hình thử nghiệm dựa mơ hình thử nghiệm trình bày trên, tác giả đánh giá kết đạt giải vấn đề tốn triển khai hệ thống giám sát an ninh mạng môi trường doanh nghiệp: - Lưu trữ, quản lý tập trung nhật ký hoạt động thiết bị, phần mềm ElasticSearch phục vụ cho việc truy xuất hiệu cao, làm nguồn thơng tin hữu ích cho việc giám sát, phân tích theo thời gian thực Kibana - Phát số cố công đến hệ thống cách xác 68 kịp thời, giúp cán phát khắc phục cố với hệ thống So với việc kiểm tra thủ công trước kết coi bước tiến dài, đóng góp hữu ích cho doanh nghiệp Ngoài ra, việc nhật ký hoạt động thiết bị, phần mềm lưu trữ tập trung ElasticSearch giúp quản trị viên xây dựng biểu đồ, mơ hình hóa liệu theo nhiều chiều, nhiều khía cạnh để phân tích phát bất thường xảy hệ thống theo thời gian thực giúp cho trình điều tra truy vết sau 69 KẾT LUẬN Xử lý liệu nhật ký hoạt động thiết bị, phần mềm kèm với chế cảnh báo tự động giúp quản trị viên hệ thống sớm nắm bắt vấn đề xảy với hệ thống để thực biện pháp khắc phục kịp thời trước cố trở nên nghiêm trọng Bằng luận văn này, tác giả xác định vấn đề cần phải giải toán triển khai hệ thống giám sát an ninh mạng cho doanh nghiệp, là: - Thứ nhất: Đã nắm lý thuyết tổng quan hệ thống SIEM, chức năng, thành phần nguyên lý hoạt động hệ thống - Thứ hai: Đề xuất, so sánh đối chiếu số giải pháp SIEM tiêu biểu - Thứ ba: Thử nghiệm thành công số tính hệ thống bao gồm thu thập phân tích nguồn liệu nhận để phát hoạt động hay cố diễn hệ thống Vấn đề tồn tại: Bên cạnh kết đạt được, Luận văn số hạn chế cần khắc phục sau: - Hiệu ứng dụng bị ảnh hưởng vấn đề sử dụng tốn nhớ thành phần Logstash giải pháp đề xuất - Rủi ro liệu đường truyền trình truyền tải thông tin từ Logstash tới thành phần ElasticSearch - Bước đầu đưa tiêu chí lựa chọn hệ thống SIEM trước đưa vào triển khai Tuy nhiên khuôn khổ mục tiêu luận văn thử nghiệm số tính hệ thống nên chưa thể đánh giá tổng thể giải pháp lựa chọn Về định hướng phát triển tương lai Với hạn chế phân tích trên, tác giả tiếp tục nghiên cứu hoàn thiện tính giải pháp, đặc biệt vấn đề cảnh báo phát cố tích hợp thêm thành phần bổ trợ thêm cho hệ thống, đặc biệt giải pháp hỗ trợ xử lý tự động cố (SOAR) 70 TÀI LIỆU THAM KHẢO [1] Report of IBM Security about Cost of a Data Breach Report 2021 [2] https://solutionsreview.com/security-information-event-management/theminimum-requirements-for-enterprise-siem-solutions/ [3] Sandeep Kumar Bhatt, Loai Zomlot and Pratyusa K Manadhata 2014 The Operational Role of Security Information and Event Management Systems, pages 35–41 IEEE [4] https://www.n-able.com/blog/top-siem-benefits [5] Vielberth, M and Pernul, G 2018 A Security Information and Event Management Pattern jn 2, 3, Article (November 2018), 12 pages [6] Gustavo González-Granadillo , Susana González-Zarzosa and Rodrigo Diaz 2021 Security Information and Event Management (SIEM): Analysis, Trends, and Usage in Critical Infrastructures Sensors [7] Nabil Moukafih, Ghizlane Orhanou, Soukaina Sabir 2017 SIEM selection criteria for an efficient contextual security IEEE [8] Ana Vazão; Leonel Santos; Maria Beatriz Piedade; Carlos Rabadão 2019 SIEM Open Source Solutions: A Comparative Study IEEE [9] https://www.syslog-ng.com/community/b/blog [10] https://www.logzilla.net/ [11] https://www.splunk.com/en_us/resources.html [12] https://www.elastic.co/guide/index.html [13] Sung Jun Son, Youngmi Kwon 2017 Performance of ELK stack and commercial system in security log analysis IEEE [14] Pranita P Bavaskar, Onkar Kemker, Aditya Kumar Sinha 2019 A survey on: “log analysis with ELK Stack tool” IJRAR19K8116 [15] https://www.snort.org/documents#OfficialDocumentation [16] https://www.ossec.net/docs/ 71 ... văn : Ngô Minh Quân Đề tài luận văn: Nghiên cứu khảo sát hệ thống SIEM phát triển giải pháp mã nguồn mở nhỏ gọn Chuyên ngành: Mạng máy tính an tồn thơng tin Mã số SV: CB190232 Tác giả, Người hướng... 2: Tổng quan giải pháp quản lý phân tích kiện an tồn thơng tin (SIEM) Chương 3: Giới thiệu số giải pháp SIEM mã nguồn mở số giải pháp mã nguồn mở tích hợp Chương 4: Thử nghiệm giải pháp đánh giá... mang lại hệ thống SIEM 17 CHƯƠNG GIỚI THIỆU MỘT SỐ GIẢI PHÁP SIEM VÀ CÁC GIẢI PHÁP MÃ NGUỒN MỞ CĨ THỂ TÍCH HỢP 20 3.1 3.2 Một số giải pháp SIEM có thị trường 20 3.1.1 Syslog-NG