Đang tải... (xem toàn văn)
Wazuh là một nền tảng bảo mật mã nguồn mở và miễn phí hợp nhất các khả năng của XDR và SIEM. Wazuh giúp các tổ chức và cá nhân bảo vệ tài sản dữ liệu của họ trước các mối đe dọa bảo mật. Nó được sử dụng rộng rãi bởi hàng ngàn tổ chức trên toàn thế giới, từ doanh nghiệp nhỏ đến doanh nghiệp lớn.
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN BÀI TẬP LỚN AN TỒN ĐIỆN TỐN ĐÁM MÂY Đề tài: TÌM HIỂU NỀN TẢNG BẢO MẬT SIEM WAZUH Sinh viên thực hiện: NGÔ QUANG THIÊN - AT150456 VŨ HOÀNG LONG - AT150431 Giảng viên hướng dẫn: XXX Hà Nội, 11-2022 HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THƠNG TIN BÀI TẬP LỚN AN TỒN ĐIỆN TỐN ĐÁM MÂY Đề tài: TÌM HIỂU NỀN TẢNG BẢO MẬT SIEM WAZUH Sinh viên thực hiện: NGÔ QUANG THIÊN - AT150456 VŨ HOÀNG LONG - AT150431 Giảng viên hướng dẫn: XXX Hà Nội, 11-2022 MỤC LỤ C DANH MỤC HÌNH VẼ i DANH MỤC BẢNG iii LỜI NÓI ĐẦU iv CHƯƠNG GIẢI PHÁP QUẢN LÝ SỰ KIỆN VÀ THÔNG TIN BẢO MẬT .1 1.1 Giới thiệu 1.2 Tầm quan trọng .1 1.3 Cách thức hoạt dộng 1.3.1 Thu thập liệu 1.3.2 Lưu trữ liệu 1.3.3 Chính sách quy tắc .3 1.3.4 Hợp tương quan liệu 1.4 Các tính khả 1.5 Thành phần 1.6 Quy trình ghi nhật ký 1.6.1 Thu thập liệu 1.6.2 Quản lý liệu 1.6.3 Lưu giữ liệu 1.7 Lợi ích giải pháp .7 1.8 Kiến trúc triển khai .7 1.8.1 Tự lưu trữ, tự quản lý .7 1.8.2 SIEM đám mây, tự quản lý 1.8.3 Tự lưu trữ, quản lý kết hợp 1.8.4 SIEM dịch vụ 10 1.9 Một số sản phẩm SIEM .10 1.9.1 SIEMMonster 10 1.9.2 Elastic Stack .11 1.9.3 OSSIM 12 1.9.4 Seucurity Onion .12 1.9.5 IBM Qradar SIEM 12 CHƯƠNG NỀN TẢNG BẢO MẬT SIEM WAZUH .13 2.1 Giới thiệu Wazuh 13 2.2 Thành phần hệ thống 13 2.2.1 Wazuh indexer 13 2.2.2 Wazuh server 15 2.2.3 Wazuh dashboard 17 2.2.4 Wazuh agent .20 2.3 Kiến trúc hệ thống .22 2.3.1 Giao tiếp Wazuh agent Wazuh server 23 2.3.2 Giao tiếp Wazuh server Wazuh indexer 24 2.4 Khả Wazuh 24 2.4.1 Thu thập phân tích liệu nhật ký 24 2.4.2 Giám sát tính tồn vẹn tệp 25 2.4.3 Phát bất thường phần mềm độc hại 25 2.4.4 Đánh giá cấu hình bảo mật .27 2.4.5 Giám sát sách bảo mật 27 2.4.6 Giám sát gọi hệ thống .28 2.4.7 Giám sát lệnh 29 2.4.8 Phản ứng tích cực 29 2.4.9 Giám sát không tác nhân 30 2.4.10 2.5 Phát lỗ hổng 30 Luật Wazuh 31 2.5.1 Quy trình xử lý 31 2.5.2 Cú pháp viết luật .32 2.5.3 Các cấp độ luật 33 2.5.4 Phân loại luật 35 CHƯƠNG ỨNG DỤNG WAZUH TRONG GIÁM SÁT AN NINH MẠNG .37 3.1 Mơ hình hệ thống 37 3.2 Kịch thực nghiệm 37 3.2.1 Mô kỹ thuật T1053.005 - Scheduled Task/Job 38 3.2.2 Mô kỹ thuật T1218.010 - Signed Binary Proxy Execution: Regsvr32 41 KẾT LUẬN 44 TÀI LIỆU THAM KHẢO 45 PHỤ LỤC .46 Cài đặt Wazuh Agent .46 Cài đặt Sysmon 47 Cài đặt Atomic Red Team 47 Cấu hình thu thập liệu Sysmon 48 Bảng phân công công việc .48 DANH MỤC HÌNH VẼ Hình 1.1 Triển khai SIEM tự quản lý, tự lưu trữ Hình 1.2 Triển khai SIEM đám mây, tự quản lý Hình 1.3 Triển khai SIEM tự lưu trữ, quản lý kết hợp Hình 1.4 Triển khai SIEM dich vụ .10 Hình 2.1 Tổ chức liệu Wazuh Indexer 14 Hình 2.2 Kiến trúc thành phần Wazuh Server .16 Hình 2.3 Các tiêu chuẩn tuân thủ Wazuh 18 Hình 2.4 Giao diện giám sát Wazuh Agent 18 Hình 2.5 Các chức quản lý hệ thống 19 Hình 2.6 Giao diện công cụ kiểm tra luật 19 Hình 2.7 Giao diện bảng điều khiển API 20 Hình 2.8 Kiến trúc thành phần Wazuh Agent 21 Hình 2.9 Kiến trúc triển khai tảng Wazuh 23 Hình 2.10 Luồng hoạt động tính thu thập nhật ký 25 Hình 2.11 Luồng hoạt động tính giám sát toàn vẹn tệp 25 Hình 2.12 Luồng hoạt động tính phát bất thường .27 Hình 2.13 Luồng hoạt động mô-đun Rootcheck 28 Hình 2.14 Luồng hoạt động mô-đun OpenSCAP 28 Hình 2.15 Luồng hoạt động tính giám sát lệnh 29 Hình 2.16 Luồng hoạt động tính phản ứng tích cực 30 Hình 2.17 Luồng xử ý liệu nhật ký Wazuh 31 Hình 2.18 Minh họa cú pháp viết luật Wazuh 32 Hình 2.19 Minh họa luật nguyên tố Wazuh 35 Hình 2.20 Minh họa luật kết hợp Wazuh 36 Hình 3.1 Mơ hình thực nghiệm 37 Hình 3.2 Kết thực thi lệnh mô kỹ thuật T1053.005 39 Hình 3.3 Task tạo Task Scheduler .39 i Hình 3.4 Sysmon ghi lại kiện tạo Task 39 Hình 3.5 Khôi phục lại trạng thái ban đầu cho máy tính 40 Hình 3.6 Luật phát kỹ thuật T1053.005 .40 Hình 3.7 Cảnh báo phát kỹ thuật T1053.005 41 Hình 3.8 Chi tiết cảnh báo thực kỹ thuật T1053.005 41 Hình 3.9 Kết thực thi lệnh mô kỹ thuật T1218.010 42 Hình 3.10 Sysmon ghi lại kiện kết nối mạng 42 Hình 3.11 Luật phát kỹ thuật T1218.010 43 Hình 3.12 Cảnh báo phát kỹ thuật T1218.010 43 Hình 3.13 Chi tiết kiện cảnh báo kỹ thuật T1218.010 43 ii DANH MỤC BẢNG Bảng 2.1 Danh sách mục liệu Wazuh 15 Bảng 2.2 Danh sách nhãn xml luật Wazuh .33 Bảng 2.3 Danh sách cấp độ luật Wazuh 35 Bảng 3.1 Cấu hình máy ảo thực nghiệm 37 iii ... tích hợp hệ thống SIEM 1.8.1 Tự lưu trữ, tự quản lý Tổ chức tự triển khai vận hành SIEM Đây mơ hình triển khai SIEM truyền thống - lưu trữ SIEM trung tâm liệu, thường với thiết bị SIEM chuyên dụng,... Triển khai SIEM tự quản lý, tự lưu trữ Hình 1.2 Triển khai SIEM đám mây, tự quản lý Hình 1.3 Triển khai SIEM tự lưu trữ, quản lý kết hợp Hình 1.4 Triển khai SIEM dich vụ... .7 1.8.2 SIEM đám mây, tự quản lý 1.8.3 Tự lưu trữ, quản lý kết hợp 1.8.4 SIEM dịch vụ 10 1.9 Một số sản phẩm SIEM .10 1.9.1 SIEMMonster