1. Trang chủ
  2. » Công Nghệ Thông Tin

Triên khai hệ thống giám sát Qradar

24 14 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 24
Dung lượng 14,84 MB

Nội dung

2 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HỒ CHÍ MINH BÁO CÁO KIỂM THỬ VÀ GIÁM SÁT AN TOÀN MẠNG Giám sát an ninh mạng sử dụng công nghệ QRADAR GVHD SVTH TP Hồ Chí Minh, 2021 LỜI CẢM ƠN Chún.

0 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CƠNG NGHỆ TP HỒ CHÍ MINH BÁO CÁO KIỂM THỬ VÀ GIÁM SÁT AN TOÀN MẠNG Giám sát an ninh mạng sử dụng cơng nghệ QRADAR GVHD: SVTH: TP.Hồ Chí Minh, 2021 LỜI CẢM ƠN Chúng em xin bày tỏ lịng kính trọng biết ơn đến thầy x tận tình giúp đỡ hướng dẫn chúng em hoàn thành báo cáo Nhờ giúp đỡ nhiệt lịng thầy mà báo cáo hồn thành tiến độ đề Trong trình thực hiện, nhóm chúng em cố gắng Nhưng khó tránh khỏi sai sót, kính mong q thầy bạn góp ý thêm Xin chân thành cảm ơn! Mục lục Chương 1: TỔNG QUAN .3 1: Tổng quan đồ án 2: Nhiệm vụ đồ án 3: Cấu trúc đồ án Chương 2: CƠ SỞ LÝ THUYẾT Giới thiệu QRADAR 2: Các chức 3: Phát hoạt động mạng, người dùng ứng dụng bất thường 4: Dễ dàng mở rộng quy mô với nhu cầu thay đổi .8 Chương 3: KẾT QUẢ THỰC NGHIỆM Chương 4: TỔNG KẾT .20 Kết luận 20 Chương 1: TỔNG QUAN 1: Tổng quan đồ án Giới thiệu cho biết đến phần mềm giám sát an ninh mạng sử dụng cơng nghệ QRadar Nhiệm vụ QRadar Các tình 2: Nhiệm vụ đồ án Giúp người dùng hiểu rõ QRadar Cấu hình triển khai QRadar 3: Cấu trúc đồ án Đồ án gồm có chương: - Chương 1: Tổng quan Phần giới thiệu tổng quan, nhiệm vụ đồ án, giúp hiểu nội dung đồ án - Chương 2: Cơ sở lý thuyết Phần giới thiệu cụ thể khái niệm QRadar, nhu cầu ứng dụng tại, vấn đề bảo mật, ưu nhược điểm QRadar, kiến trúc xử lý phân tích giá trị thành trình - Chương 3: Kết thực nghiệm Phần cho thấy mơ hình mục tiêu úng dụng, giới thiệu công cụ để thực phân tích - Chương 4: Kết luận hướng phát triển đồ án Phần rút lưu ý lời khuyên đưa hướng phát triển để giao thức hoàn thiện 4 Chương 2: CƠ SỞ LÝ THUYẾT Giới thiệu QRadar QRadar SIEM thiết kế để tự động phân tích tương quan hoạt động nhiều nguồn liệu bao gồm nhật ký, kiện, luồng mạng, hoạt động người dùng, thông tin lỗ hổng thông tin mối đe dọa để xác định mối đe dọa biết chưa biết QRadar chạy hệ điều hành CentOS QRadar SIEM tương quan phân tích thơng minh nhiều loại thơng tin, bao gồm hoạt động sau:  Sự kiện bảo mật: Từ tường lửa (Firewall) , mạng riêng ảo (VPN), hệ thống phát xâm nhập (IDS), hệ thống ngăn chặn xâm nhập (IPS), sở liệu nhiều  Sự kiện mạng: Từ thiết bị chuyển mạch (switch), định tuyến (router), máy chủ (server) , máy chủ (host)và nhiều  Bối cảnh hoạt động mạng: Bối cảnh ứng dụng lớp (Layer application) từ lưu lượng mạng ứng dụng  Hoạt động đám mây: Từ môi trường SaaS Cơ sở hạ tầng dạng Dịch vụ (IaaS), Office365, SalesForce.com, Amazon Web Services (AWS), Azure Google Cloud  Bối cảnh người dùng tài sản: Dữ liệu theo ngữ cảnh từ sản phẩm quản lý truy cập nhận dạng (identity and access management) phần mềm quét lỗ hổng  Sự kiện điểm cuối: Từ event log Windows, giải pháp Sysmon, EDR  Nhật ký ứng dụng: Từ giải pháp hoạch định nguồn lực doanh nghiệp (ERP), sở liệu ứng dụng, ứng dụng SaaS  Thông tin mối đe doạ (Threat intelligence): Từ nguồn IBM X-Force® IBM QRadar SIEM cho phép bạn giảm thiểu khoảng cách thời gian thời điểm hoạt động đáng ngờ xảy bạn phát Các cơng vi phạm sách để lại dấu vết kiện nhật ký luồng mạng hệ thống CNTT bạn QRadar SIEM kết nối dấu chấm cung cấp cho bạn thông tin chi tiết cách thực tác vụ sau:  Cảnh báo công bị nghi ngờ vi phạm sách mơi trường CNTT  Cung cấp khả hiển thị sâu vào hoạt động mạng, người dùng ứng dụng  Đặt liệu liên quan đến bảo mật từ nhiều nguồn khác theo ngữ cảnh  Cung cấp mẫu báo cáo để đáp ứng yêu cầu hoạt động tuân thủ  Cung cấp lưu trữ nhật ký đáng tin cậy, chống giả mạo để điều tra pháp y sử dụng chứng 2: Các chức - Ghi nhật ký hoạt động  Điều tra Điều tra liệu kiện  Điều tra nhật ký kiện gửi đến QRadar thời gian thực  Tìm kiếm kiện  Giám sát hoạt động nhật ký cách sử dụng biểu đồ chuỗi thời gian định cấu hình 7  Xác định báo động giả để điều chỉnh QRadar - Hoạt động mạng  Điều tra luồng gửi đến QRadar thời gian thực  Các luồng mạng tìm kiếm  Giám sát hoạt động mạng cách sử dụng biểu đồ chuỗi thời gian định cấu hình - Assets  Tìm kiếm Assets  Xem tất Assets  Điều chỉnh lỗ hổng báo động giả - Vi phạm  Điều tra hành vi vi phạm, địa IP nguồn đích, hành vi mạng điểm bất thường mạng bạn  Tương quan kiện luồng lấy từ nhiều mạng đến địa IP đích  Đi tới trang khác tab Vi phạm để điều tra chi tiết kiện quy trình  Xác định kiện gây hành vi phạm tội - Báo cáo  Tạo, phân phối quản lý báo cáo cho liệu QRadar  Tạo báo cáo tùy chỉnh để sử dụng hoạt động điều hành  Kết hợp thông tin mạng bảo mật vào báo cáo  Sử dụng chỉnh sửa mẫu báo cáo cài đặt sẵn  Xây dựng thương hiệu cho báo cáo bạn biểu trưng tùy chỉnh Thương hiệu có lợi cho việc phân phối báo cáo cho đối tượng khác  Đặt lịch để tạo báo cáo tùy chỉnh mặc định  Xuất báo cáo nhiều định dạng khác 3: Phát hoạt động mạng, người dùng ứng dụng bất thường QRadar bao gồm hàng trăm trường hợp sử dụng bảo mật xây dựng trước, thuật toán phát bất thường, quy tắc sách tương quan thời gian thực để phát mối đe dọa biết chưa biết Khi mối đe dọa phát hiện, giải pháp tổng hợp kiện bảo mật liên quan thành cảnh báo đơn lẻ, ưu tiên gọi vi phạm (offenses) Hành vi phạm tội tự động ưu tiên dựa mức độ nghiêm trọng mối đe dọa mức độ nghiêm trọng tài sản liên quan Trong hành vi phạm tội, nhà phân tích bảo mật thấy tồn chuỗi hoạt động đe dọa từ hình Từ đây, nhà phân tích dễ dàng sâu vào kiện luồng mạng cụ thể để bắt đầu điều tra, định hành vi phạm tội cho nhà phân tích cụ thể đóng Hành vi phạm tội tự động cập nhật có hoạt động liên quan xảy để nhà phân tích xem thơng tin cập nhật thời điểm Cách tiếp cận độc đáo giúp nhà phân tích bảo mật dễ dàng hiểu mối đe dọa quan trọng môi trường cách cung cấp nhìn sâu sắc từ đầu đến cuối cố tiềm ẩn đồng thời giảm tổng âm lượng cảnh báo 9 Khi kẻ công trở nên tinh vi kỹ thuật chúng, việc phát mối đe dọa biết khơng cịn đủ Thay vào đó, tổ chức phải có khả phát thay đổi nhỏ hành vi mạng, người dùng hệ thống mối đe dọa không xác định, chẳng hạn người độc hại, thông tin bị xâm phạm fileless malware QRadar chứa nhiều khả phát bất thường để xác định thay đổi hành vi số mối đe dọa chưa biết Và khả độc đáo QRadar để giám sát phân tích lưu lượng ứng dụng Lớp cho phép xác định xác bất thường mà giải pháp khác bỏ lỡ Bằng cách tùy chọn sử dụng QRadar Network Insights phần việc triển khai SIEM, tổ chức hiểu rõ hệ thống giao tiếp với nhau, ứng dụng có liên quan thơng tin trao đổi gói Bằng cách tương quan thơng tin với hoạt động mạng, nhật ký người dùng khác, nhà phân tích bảo mật phát hoạt động mạng bất thường dấu hiệu máy chủ bị xâm nhập, người dùng bị xâm phạm nỗ lực đánh cắp liệu Trong QRadar mang tới nhiều quy tắc phát hành vi dị thường cài đặt mặc định, nhóm bảo mật tạo quy tắc riêng, cài đặt phát bất thường tải xuống 160 ứng dụng xây dựng trước từ IBM Security App Exchange để tăng cường triển khai 4: Dễ dàng mở rộng quy mô với nhu cầu thay đổi Kiến trúc linh hoạt, mở rộng QRadar thiết kế để hỗ trợ tổ chức lớn nhỏ với nhiều nhu cầu khác Các tổ chức nhỏ bắt đầu với giải pháp tất dễ dàng nâng cấp thành triển khai phân tán nhu cầu phát triển Các tổ chức doanh nghiệp lớn triển khai thành phần chuyên dụng để hỗ trợ mạng phân tán, toàn cầu với khối lượng liệu cao Giải pháp QRadar SIEM bao gồm thành phần sau: thu kiện, xử lý kiện, thu lưu lượng, xử lý luồng, nút liệu (để lưu trữ chi phí thấp tăng hiệu suất) bảng điều khiển trung tâm Tất thành phần có sẵn phần cứng, phần mềm thiết bị ảo 10 Tùy chọn phần mềm thiết bị ảo triển khai chỗ, môi trường IaaS phân phối môi trường lai Bất kể mơ hình triển khai, tổ chức tùy chọn thêm tính sẵn sàng cao bảo vệ khắc phục thảm họa đâu cần để giúp đảm bảo hoạt động liên tục Đối với tổ chức tìm kiếm khả phục hồi kinh doanh, QRadar cung cấp chuyển đổi dự phòng tự động tích hợp đồng hóa tồn đĩa hệ thống mà không cần thêm sản phẩm quản lý lỗi bên thứ ba Đối với tổ chức tìm kiếm bảo vệ phục hồi liệu, giải pháp khắc phục thảm họa QRadar chuyển tiếp liệu trực tiếp, chẳng hạn luồng kiện, từ hệ thống QRadar sang hệ thống song song thứ cấp đặt sở riêng biệt Chương 3: KẾT QUẢ THỰC NGHIỆM Mơ hình triển khai Tải cài đặt QRadar tại: https://www.ibm.com/community/qradar/ce/ Bước 1: Tải cài đặt Qradar chạy HĐH Centos VMware Workstation Memory : 8GB Processors: 11 Hard Disk: 250GB Network Adapter: Bridged Khởi động để bắt đầu cấu hình Ta sử dụng PuTTY SSH qua Qradar để cấu hình dễ dàng 12 Tiếp đến ta chạy file setup /setup Quá trình khoảng 30p Sau setup xong ta đặt pass cho admin dùng để đăng nhập truy cập web 13 Kiểm tra xem hệ thống khởi động hay chưa dòng lệnh systemctl status tomcat Bây ta truy cập web đường dẫn đăng nhập tài khoản admin https://ip 14 Giao diện trang chủ Qradar Tiếp đến Mount IOS Qradar sudo mount -o loop /opt/ibm/cloud/iso/QradarCE2019.14.0.20191031163225.GA.iso /media/cdrom 15 Vào đường dẫn cd /mdia/cdrom/post/dsmrpms/ Và cài gói DSM yum -y install DSM-MicrosoftWindows-7.3-20170803132814.noarch.rpm Tiếp đến ta tải file Qradar_wincollectupdate dùng WinSCP để truyền file vào Qradar vào đường dẫn: /mdia/cdrom/post/dsmrpms/storetmp 16 17 mount file Qradar_wincollectupdate chạy installer Ta tiếp tục tạo uỷ quyền để giám sát Window 10 Qradar -> Admin -> Authorized Services 18 Add Authorized Service Ta nhận Authentication Token 19 Tiếp theo ta vào Wincollect Add WinCollect 20 Ta chuyển sang Window 10 cài đặt WinCollect Dùng token tạo ip Qradar Sau cài đặt xong ta khởi động lại WinCollect 21 Quay trở lại Qradar vào Collect -> Agents Ta thấy máy window 10 Ở tab Log Activity ta thấy luồng liệu window 10 22 Chương 4: TỔNG KẾT Kết luận Trong chương này, đồ án giới thiệu quy trình bước cài đặt triển khai hệ thống giám sát an ninh mạng QRadar bước thu thập xử lý kiện Qua đó, trình bày chức hệ thống thành phần quản trị hệ thống giám sát an ninh mạng QRadar Đồ án tìm hiểu, nghiên cứu vấn đề việc triển khai giải pháp giám sát an ninh mạng IBM QRadar sau như: • Tổng quan tình hình giám sát an ninh mạng nước ngồi nước • Tìm hiểu, nghiên cứu phân tích giải pháp giám sát an ninh mạng đặc biệt giải pháp SIEM; • Tìm hiểu mơ hình giải pháp triển khai cho hệ thống giám sát an ninh mạng IBM QRadar; • Tìm hiểu, nghiên cứu thành phần, chế hoạt động hệ thống giám sát an ninh mạng IBM QRadar; • Triển khai, thử nghiệm hệ thống giám sát IBM QRadar Lợi ích: • QRadar giảm chi phí nhân viên • Qradar quản lý tốt việc giám sát mạng nội • Dễ dàng mở rộng quy mô tuỳ với nhu cầu người dùng • Với giao diện dễ dàng tuỳ chỉnh phù hợp doanh nghiệp • Có khả tốt việc giúp người dùng phát xác cơng thực tế 23 • Cung cấp nhìn trực quan giúp người dùng theo dõi rõ ràng • Giám sát an ninh mạng cho thấy tương quan kiện thiết bị, giảm thiểu báo động giả Hạn chế đề tài: • Chưa tìm hiểu chun sâu thuật toán tương quan hệ thống giám sát an ninh mạng Hướng nghiên cứu tiếp theo: • Nghiên cứu việc nâng cao hiệu việc giám sát an ninh mạng; ... triển khai cho hệ thống giám sát an ninh mạng IBM QRadar; • Tìm hiểu, nghiên cứu thành phần, chế hoạt động hệ thống giám sát an ninh mạng IBM QRadar; • Triển khai, thử nghiệm hệ thống giám sát. .. trình bước cài đặt triển khai hệ thống giám sát an ninh mạng QRadar bước thu thập xử lý kiện Qua đó, trình bày chức hệ thống thành phần quản trị hệ thống giám sát an ninh mạng QRadar Đồ án tìm hiểu,... thiệu cho biết đến phần mềm giám sát an ninh mạng sử dụng công nghệ QRadar Nhiệm vụ QRadar Các tình 2: Nhiệm vụ đồ án Giúp người dùng hiểu rõ QRadar Cấu hình triển khai QRadar 3: Cấu trúc đồ án

Ngày đăng: 01/11/2022, 10:57

w