Đang tải... (xem toàn văn)
2 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HỒ CHÍ MINH BÁO CÁO MÔN AN TOÀN HĐH VÀ HỢP NGỮ Hệ thống giám sát An toàn thông tin sử dụng SolarWinds Security Event Manager (SEM) Ngành CÔNG NGHỆ.
1 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CƠNG NGHỆ TP HỒ CHÍ MINH BÁO CÁO MƠN AN TOÀN HĐH VÀ HỢP NGỮ Hệ thống giám sát An tồn thơng tin sử dụng SolarWinds Security Event Manager (SEM) Ngành: CƠNG NGHỆ THƠNG TIN Chun Ngành: AN TỒN THƠNG TIN GVHD: ThS.Dương Minh Chiến SVTH: x x x MSSV: x MSSV: x MSSV: x Lớp: x TP.Hồ Chí Minh, 2021 LỜI CẢM ƠN Chúng em xin bày tỏ lịng kính trọng biết ơn sâu sắc đến Thầy x tận tình giúp đỡ hướng dẫn chúng em hoàn thành báo cáo Nhờ giúp đỡ nhiệt lòng thầy mà báo cáo hoàn thành tuần, tiến độ đề NỘI DUNG ĐỀ TÀI Hệ thống giám sát An tồn thơng tin sử dụng SolarWinds Security Event Manager (SEM) - Tự động tìm kiếm log - Tự động phát bất thường hệ thống - Phân tích lịch sử - Hệ thống cảnh báo MỤC LỤC Contents Chương 1: TỔNG QUAN 1.1 Cấu trúc báo cáo Báo cáo gồm có chương: - Chương 1: Giới thiệu tổng quan, nhiệm vụ đồ án, giúp hiểu nội dung đồ án - Chương 2: Triển khai mô hình, hướng dẫn cách thực - Chương 3: Rút kết luận, ưu nhược điểm, hướng phát triển để hoàn thiện 1.2 Giới thiệu Phần mềm Solarwinds Log & Event Manager thu thập thông tin từ thiết bị khác nhau, tập trung tất vào file log liên kết liệu nhằm đưa chi tiết quan trọng tên kiện, ngày xảy mức độ nghiêm trọng Tính bật phần mềm khơng phân tích file log, mà cịn tìm hiểu từ kiện khứ để cảnh báo người dùng trước điều tương tự xảy Cách tiếp cận chủ động chắn lưu trữ nhiều thông tin hành vi vi phạm liệu Để giúp bảo vệ liệu nhạy cảm làm giảm nguy liệu, người dùng khuyên nên sử dụng công nghệ Security Information and Event Management (SIEM), cụ thể SolarWinds Log & Event Manager Log & Event Manager (LEM) sản phẩm SIEM tồn diện, đóng gói thiết bị ảo dễ sử dụng, ứng dụng có tất Với chức out-of-the-box, sử dụng chạy mà không cần phải chuyên gia bảo mật! Quan trọng nhất, bao gồm tính phát triển chun mơn để giúp phịng chống mát liệu 1.3: Một số tính bật Tính 1: Phát giao tiếp với Command Control Servers Các công DDoS thực mạng botnet, chúng xâm nhập vào hệ thống khắp giới Một mạng botnet vài máy chủ tương đối vô hại, mạng botnet bao gồm hàng nghìn máy đại diện cho lực lượng mạnh có khả đánh sập tổ chức nhắm mục tiêu SolarWinds Security Event Manager (SEM) xây dựng để tận dụng danh sách tác nhân xấu biết có nguồn gốc từ cộng đồng để dễ dàng xác định tương tác với máy chủ điều khiển huy tiềm Điều thực cách hợp nhất, chuẩn hóa xem xét nhật ký từ nhiều nguồn, bao gồm IDS / IPS, tường lửa , máy chủ, dịch vụ xác thực máy trạm Tính 2: Phản hồi thời gian thực với rule-based event correlation Botnet hoạt động cách lấn át dịch vụ trực tuyến hợp pháp đến mức dịch vụ trực tuyến xử lý khối lượng hoạt động ngoại tuyến cách hiệu suốt thời gian xảy cơng Một mạng botnet nằm im nhận hướng dẫn từ máy chủ điều khiển huy SEM thiết kế với phản hồi tự động bao gồm từ gửi cảnh báo, chặn IP, đến thực đóng tài khoản Các tùy chọn dễ dàng định cấu hình cách sử dụng hộp kiểm không yêu cầu tập lệnh tùy chỉnh mở rộng, giúp đảm bảo hoạt động đáng ngờ hệ thống khơng bị ý Tính 3: Điều tra lỗ hỏng công cụ forensics Nhật ký kiện SolarWinds SEM ghi lại xây dựng để mã hóa, nén ghi lại định dạng đọc thay đổi Kho lưu trữ nhật ký đại diện cho nguồn thật tận dụng điều tra sau vi phạm giảm thiểu DDoS Tìm kiếm SEM thiết kế để dễ dàng tùy chỉnh để lọc khung thời gian cụ thể, tài khoản IP cụ thể kết hợp tham số Với giao diện người dùng kéo thả đơn giản tận dụng logic Boolean đơn giản, bạn dễ dàng xây dựng truy vấn để tìm kiếm SEM mà không cần sử dụng grep regex Chương 2: TRIỀN KHAI MƠ HÌNH Cài đặt SolarWinds Security Event Manager (SEM) tản máy ảo ESXI( vphere) Truy cập trình duyệt địa IP ESXI Đăng nhập quyền root mật tạo ESXI Chọn Create VM để tạo máy ảo Chọn tệp OVA Sem dể add vào máy chủ 10 Chọn Next -> finish Powon để bật máy chủ Solarwinds: 10 19 Ở tab Live Events nhìn thấy thao tác vừa làm SEM Ở Historical Event thống kê cột mốc SEM ghi lại trước 19 20 Rule: dùng để cấu hình quy tắc mà Sem ghi lại: ví dụ: Login, cảnh báo, lưu lượng vv Ở NODES thêm máy để giám sát 20 21 Trước tiên thêm tường lửa cho SEM: Chọn Configure -> Manager connectors Ở tìm kiếm nhập tìm firewall mà muốn cài Sau nhấn ADD conector 21 22 Chọn ADD để thêm firewall Ở ô Configured Connectors chọn firewall vừa add chọn start để bật fire wall *** 22 23 Giờ dùng máy ảo để giám sát: Để thêm máy vào, phải đăng nhập giao diện máy cần thêm cài đặt NODE AGENT Giờ sử dụng máy SV-12 để làm ví dụ 23 24 Đăng nhập SEM máy ảo Vào NODEs chọn add NODE 24 25 Chọn Nền tảng phù hợp với máy Ở sử dụng Window nên tải phần Windows Agent Installer Giải nén file vừa tải cài đặt NODE Agent Chọn next tab License Agreement tích vào I accept the terms of license agreement Sau chọn next 25 26 Ở tab tiếp theo, điền IP SEM vào ô IP or hostname Tiếp tục next -> install 26 27 Chọn next -> close Reset lại web SEM để nhận node 27 28 Cấu hình RULE: Chọn tab RULES Chọn Create Rule from template để tạo rule theo mẫu có sẵn Ở tạo rule giám sát việc đăng nhập truy cập vào máy Ở tìm kiếm nhập từ khóa logan Chọn Critial account logan failures -> next 28 29 Chọn Create để tạo rule Thử logout máy SV-12 đăng nhập lại sai pass Ở tab Live Events thông báo việc máy vừa có người truy cập thất bại 29 30 Đăng nhập lại vào máy SV-12 SEM thị có người đăng nhập vào máy với tài khoản ADMINISTRATOR 30 31 Tạo RULE giám sát lưu lượng Chọn PortScan next next Create để tạo rule LÀM TƯƠNG TỰ VỚI CÁC RULE CỊN LẠI TUỲ MỤC ĐÍCH SỬ DỤNG 31 32 Chương 3: TỔNG KẾT 3.1 Kết luận SolarWinds Security Event Manager SIEM đơn giản, mạnh mẽ tiết kiệm chi phí, cơng cụ thiết kế để tăng cường an ninh nhà mạng chỗ cách cung cấp khả phát mối đe doạ, phản ứng cố tự động Có thể tuỳ chỉnh bảng điều khiển cách dễ dàng để xác định trực quan mẫu nhật ký liệu quan trọng Với lọc trực tiếp khả tìm kiếm lịch sử, xem tất diễn đường mạng thời gian thực có khả thị hoạt động trước để phân tích xử lý cố Với hàng trăm mẫu template tích hợp sẵn để phân tích, tuỳ chỉnh mẫu có tạo template riêng Các hành động phản hồi tích cực bao gồm xử lý xâm nhập trái phép tách thiết bị USB đăng xuất người dùng chặn địa IP tường lửa gửi email đến nhóm hỗ trợ 3.2 Tài liệu tham khảo https://www.solarwinds.com/security-event-manager/ https://www.youtube.com/channel/UC3-kH9Aq4s-TLTWodBiGLYg/ 32 33 33 ... DUNG ĐỀ TÀI Hệ thống giám sát An tồn thơng tin sử dụng SolarWinds Security Event Manager (SEM) - Tự động tìm kiếm log - Tự động phát bất thường hệ thống - Phân tích lịch sử - Hệ thống cảnh báo... nên sử dụng công nghệ Security Information and Event Management (SIEM), cụ thể SolarWinds Log & Event Manager Log & Event Manager (LEM) sản phẩm SIEM tồn diện, đóng gói thiết bị ảo dễ sử dụng, ... đơn giản tận dụng logic Boolean đơn giản, bạn dễ dàng xây dựng truy vấn để tìm kiếm SEM mà khơng cần sử dụng grep regex Chương 2: TRIỀN KHAI MÔ HÌNH Cài đặt SolarWinds Security Event Manager (SEM)