BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÁO CÁO KỸ THUẬT THEO DÕI, GIÁM SÁT AN TỒN MẠNG  Đề tài : TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG GIÁM SÁT AN TỒN MẠNG ELK SIEM TÍCH HỢP WAZUH Người hướng dẫn: TS Huỳnh Thanh Tâm Sinh viên thực hiện: Nhóm 17 NGUYỄN MINH THUẬN N19DCAT086 NGUYỄN THẾ BẢO N19DCAT007 TỪ NGUYỄN QUỐC HUY N19DCAT038 TP.HCM, tháng 04/2023   LỜI CẢM ƠN Lời đầu tiên, nhóm em xin chân thành cảm ơn thầy Huỳnh Thanh Tân – giản viên môn “ KỸ THUẬT THEO DÕI, GIÁM SÁT AN TỒN MẠNG ” đã bảo tận tình giúp đỡ chúng em suốt trình làm đồ án mơn học Với hướng dẫn thầy, nhóm em có định hướng tốt việc triển khai thực yêu cầu làm tập lớn mơn học Tuy nhiên, tìm hiểu với kiến thức cịn chưa sâu sắc nên khơng tránh khỏi nhiều thiếu sót Mong thầytạo điều kiện có lời góp để nhóm em hồn thành đồ án cách hồn thiện Một lần nữa, nhóm em xin chân thành cảm ơn v chúc thầy thật nhiều sức khỏe, thành công công việc TPHCM, ngày ?? tháng 04 năm 2023  Nhóm sinh viên thực  Nguyễn Minh Thuận  Nguyễn Thế Bảo Từ Nguyễn Quốc Huy   MỤC LỤC LỜI MỞ ĐẦU CHƯƠNG CƠ SỞ LÝ THUYẾT 1.1 Giới thiệu SIEM  .4 1.1.1 Tầm quan trọng lợi ích SIEM .5 1.1.2 Kiến trúc SIEM 1.1.3 Chức hệ thống SIEM 1.1.4 Tính hệ thống SIEM 1.1.5 Thành phần hệ thống SIEM 1.2 ELK SIEM   1.2.1 Cách thức hoạt động ELK SIEM .9 1.2.2 Các tính ELK SIEM .9 1.2.3 Ưu nhược điểm ELK SIEM 10 CHƯƠNG THIẾT KẾ VÀ XÂY DỰNG HỆ THỐNG 11 2.1 Mơ hình triển khai 11 2.2 Cài đặt 11 CHƯƠNG KẾT QUẢ THỰC NGHIỆM 12 3.1 Kịch 1: 12 3.2 Kịch 2: 12 TÀI LIỆU THAM KHẢO 12   LỜI MỞ ĐẦU Hiện với phát triển mạnh mẽ khoa học kỹ thuật nói chung cơng nghệ thơng tin nói riêng, việc ứng dụng cơng nghệ thơng tin, Internet ngày trở lên phổ  biến đời sống ngày hầu hết lĩnh vực Song song với  phát triển hàng loạt nguy an tồn thơng tin Trong năm gần đây, website internet, liệu cá cá nhân, tổ chức, phủ … bị nhiều đợt công tội phạm mạng Có nhiều website, hệ thống mạng  bị ngừng hoạt động nhiều giờ, nhiều liệu quan trọng bị đánh cắp Những vụ công gây thiệt hại nghiêm trọng có tác động tiêu cực, ảnh hưởng trực tiếp đến nhiều cá nhân, doanh nghiệp… Vấn đề đảm bảo an tồn thơng tin quan, tổ chức đặt lên hàng đầu Tuy nhiên hàng năm vụ công mạng liên tục gia tăng mà chưa có biện pháp khắc phục hiệu Để đảm bảo t ốt c ho hệ thống mạng t ránh khỏi đợt cơng chủ động phát cơng đưa phản ứng thích hợp Để làm cần phải có hệ thống có khả giám sát tồn hành động vào bất thường bên hệ thống mạng cần bảo vệ, c ó vấn đề công cụ bảo vệ hệ thống triển khai nước ta hầu hết mua nước với giá thành cao khó khăn lớn t ổ chức vừa nhỏ Mặt khác sản phẩm thương mại nên công nghệ kỹ thuật hệ thống ln ln giữ kín phát sinh dạng công mới, nhà quản trị nước tự phát triển mở rộng Để giảm bớt khó khăn cho quan, tổ chức vừa nhỏ việc giám sát  bảo vệ hệ thống mạng cách hiệu Nhóm em chọn đề tài ”Tìm hiểu triển khai hệ thống giám sát an toàn mạng sử dụng ELK SIEM”   CHƯƠNG CƠ SỞ LÝ THUYẾT 1.1 Giới thiệu SIEM Hệ thống SIEM viết tắt cụm từ tiếng Anh: Security Informa tion a Management SIEM hệ thống quản lý nhật ký kiện tập trung, có nhiệm vụ thu thập thơng tin nhật ký, kiện toàn hệ thống doanh nghiệp tổng hợp tất giao diện thay phải làm thủ cơng Hình 1.1 Hệ thống SIEM 1.1.1 Tầm quan trọng lợi ích SIEM  * Tầm quan trọng SIEM: Khi hệ thống IT doanh nghiệp trang bị nhiều hãng thiết bị công nghệ khác Router, Switch, máy chủ, sở liệu, SAN, hệ điều hành máy trạm, ứng dụng ngân hàng, … Hơn nữa, thiết bị, ứng dụng đưa dạng lo khác tương ứng với nhà cung cấp   Hệ thống IT quản trị nhiều phòng ban System, Network, Application, … để t hợ p lại ki ệ n t ại t hờ i điể m diễ n r a s ự cố r ấ t khó , khơng có gi ải chuyên dụng lưu trữ kiện dài hạn cho việc phân tích sau này, dẫn đến khó khăn thơng báo hệ thống bị “tràn”, lượng lớn thông tin đượ  sinh từ hệ thống log, số cảnh báo quan trọng bị bỏ nhỡ, khơng xử l ý k ị p t h i Vi ệ c đ i ề u t r a v ề n g u n t ấ n c ô n g , đ í c h t ấ n c ô n g , n g u y ê n l ý t thường phải làm thủ công, nhiều thời gian cơng sức lại khơng có hiệu kịp thời  Ngoà i thời gian gần đây, loại hình tấ n c ơng kiểu m ới : Adva Persistent Thread (ATP), Zero-day, cơng từ bên loại hình Malware kiểu gia tăng dội, số lượng máy bị công lây nhiêm mà cách thức máy bị điều khiển Cùng với số lượng bùng nổ, loại hình trở nên khó phát hơn, với thủ thuật tinh vi để tránh bị phát phân tích Các giải pháp bảo mật truyền thống gần không tác dụng trước loại nguy Do đó, giải pháp SIEM giải toán phức tạp * Lợi ích SIEM: Các cơng cụ SIEM mang lại nhiều lợi ích giúp củng cố vị bảo mật tổng thể tổ chức, bao gồm:   Dạng xem trung tâm mối đe dọa tiềm ẩn  Nhận dạng ứng phó với mối đe dọa theo thời gian thực  Thông tin mối đe dọa nâng cao  Kiểm tra báo cáo việc tuân thủ theo quy định  Giám sát người dùng, ứng dụng thiết bị minh bạch 1.1.2 Kiến trúc SIEM  Kiến trúc SIEM bao gồm thành phần sau:   - Người dùng: Là người quản lý xử lý thông tin kiện an ni mạng thu thập từ nguồn khác - Thiết bị thu thập kiện (Event Collector): Là thiết bị phần mềm cài đặt hệ thống mạng để thu thập kiện thông tin an ninh từ nguồn khác lưu trữ nhật ký (log), tường lửa (firewall), máy chủ, tuyến, - Hệ thống phân tích (Event Analyzer): Là phần mềm phần cứng sử dụng để phân tích kiện thu thập từ thiết bị thu thập kiện Hệ thống phân tích xử lý kiện an ninh mạng, đánh giá mức độ nguy hiểm tạo cảnh báo phát có vi phạm bảo mật - Hệ thống quản lý kiện an ninh (Security Event Management): Là hệ thống quản lý sở liệu để lưu trữ, quản lý truy vấn kiện thông tin an ninh thu thập từ thiết bị thu thập kiện phân tích - Hệ thống quản lý liên tục an ninh (Continuous Security Monitoring): Là trình giám sát liên tục hoạt động mạng để phát hành vi bất thường, công mối đe dọa an ninh mạng khác Tất thành phần hoạt động với để tạo thành hệ thống SIEM hoàn chỉnh, giúp quản lý bảo vệ an ninh mạng hiệu 1.1.3 Chức hệ thống SIEM  Hệ thống SIEM có chức sau đây: - Thu thập liệu: Hệ thống SIEM thu thập liệu từ thiết bị mạng hệ thống,  bao gồm thông tin nhật ký (log) kiện, thông tin lưu lượng mạng, truy cập hệ thống, v.v Các liệu lưu trữ phân tích để tìm hành vi đáng ngờ đe dọa bảo mật   - Phân tích đánh giá rủi ro: Hệ thống SIEM sử dụng quy tắc thuật tốn để  phân tích liệu thu thập đánh giá rủi ro bảo mật, bao gồm hành vi đáng ngờ công mạng, phá hoại hệ thống, phát tán mã độc, v.v - Phát cảnh báo: Hệ thống SIEM phát hành vi đáng ngờ đe dọa  bảo mật, tạo cảnh báo để cảnh báo người quản lý bảo mật Các cảnh báo gửi qua email, tin nhắn, hiển thị giao diện hệ thống SIEM - Phản ứng: Sau phát hành vi đáng ngờ đe dọa bảo mật, hệ thống SIEM kích hoạt biện pháp phản ứng để ngăn chặn giảm thiểu tác động công Các biện pháp bao gồm khóa tài khoản người dùng, cắt đứt kết nối mạng, cập nhật phần mềm, v.v - Báo cáo: Hệ thống SIEM tạo báo cáo kiện bảo mật, bao gồm đánh giá rủi ro, cảnh báo biện pháp phản ứng thực Các báo cáo giúp cho người quản lý bảo mật đánh giá hiệu suất hệ thống bảo mật đưa cải tiến Tóm lại, hệ thống SIEM có chức thu thập liệu, phân tích đánh giá rủi ro,  phát cảnh báo hành vi đáng ngờ đe dọa bảo mật, phản ứng để ngăn chặn giảm thiểu tác động công, tạo báo cáo kiện bảo mật để người quản lý bảo mật đánh giá hiệu suất hệ thống bảo mật đưa cải tiến Hệ thống SIEM giúp cho tổ chức giám sát  phát công mạng cách nhanh chóng hiệu quả, đồng thời giúp họ nâng cao tính an tồn bảo mật cho hệ thống liệu 1.1.4 Tính hệ thống SIEM  Sau số tính hệ thống SIEM: - Bảo mật liệu   - Tồn vẹn liệu - Tính khả dụng cao - Phân tích chuyên sâu theo thời gian thực - Tích hợp báo cáo tiêu chuẩn tùy chỉnh theo yêu cầu doanh nghiệp 1.1.5 Thành phần hệ thống SIEM  Hệ thống SIEM bao gồm thành phần sau: - Log Management: Đây trình thu thập, lưu trữ quản lý thơng tin nhật ký từ thiết bị mạng ứng dụng khác Log Management giúp SIEM thu thập thông tin từ nguồn khác để phân tích tìm cố bảo mật - Event Management: Là q trình thu thập phân tích kiện để tìm cá hành vi đáng ngờ môi trường mạng SIEM sử dụng quy tắc để phân tích xác định kiện bất thường - Correlation: Là trình kết hợp kiện từ nhiều nguồn khác để tìm mơ hình hành vi bất thường, báo động phản ứng nhanh chóng - Alerting: SIEM sử dụng quy tắc để tìm cố bảo mật gửi cảnh báo đến nhân viên quản lý bảo mật để phản ứng kịp thời - Reporting: Là trình tạo báo cáo kiện bảo mật, để giúp người quản lý bảo mật đánh giá hiệu suất hệ thống bảo mật đưa cải tiến Tóm lại, SIEM hệ thống quản lý thông tin kiện bảo mật sử dụng để giám sát phát hành vi đe dọa tiềm tàng mạng hệ thống SIEM sử dụng thành phần Log Management, Event Management, Correlation, Alerting   Reporting để tìm mơ hình hành vi bất thường, báo động phản ứng nhanh chóng để bảo vệ hệ thống   1.2 ELK SIEM ELK SIEM giải pháp SIEM (Security Information and Event Management) mã nguồn mở xây dựng tảng ELK (Elasticsearch, Logstash Kiban ELK SIEM cho phép tổ chức thu thập, phân tích trả lời kiện an ninh từ nguồn khác hệ thống họ Bằng cách tích hợp cơng cụ phân tích log, lọc, tìm kiếm hình ảnh hóa, ELK SIEM cho phép tổ chức nhanh chóng phát mối đe dọa an ninh đưa hành động phù hợp 1.2.1 Cách thức hoạt động ELK SIEM  ELK SIEM hoạt động cách thu thập phân tích liệu an ninh từ nguồn khác Các liệu thu thập cách sử dụng công cụ syslog, SNMP, NetFlow, ứng dụng phần mềm bảo mật khác Sau thu thập liệu, ELK SIEM sử dụng công cụ tính phân tích liệu để xác định hoạt động bất thường, mối đe dọa an ninh lỗ hổng bảo mật Hình 1.2 Cơ chế hoạt động ELK  - Đầu tiên, log đưa đến Logstash   3.4 Kịch 4: Phát quy trình trái phép Khả giám sát lệnh Wazuh chạy lệnh điểm cuối giám sát đầu lệnh Trong trường hợp sử dụng nà y, bạn sử dụng kh ả giám sá t lệnh Wazuh đ  phát Netcat chạy điểm cuối Ubuntu Netcat tiện ích mạng máy tính sử dụng để qt cổng nghe cổng Mơ hình Điểm cuối Mơ tả Ubuntu 22.04 Định cấu hình mơ-đun giám sát lệnh điểm cuối để phát quy trình Netcat chạy Cấu hình Máy Ubuntu agent  - Thêm nội dung sau vào tệp  /var/ossec/etc/ossec.conf  cho phép định kỹ lấy danh sách quy trình chạy:     full_command   process list   ps -e -o pid,uname,command   30     - Khởi động lại Wazuh agent để áp dụng thay đổi - Cài đặt Netcat phụ thuộc cần thiết Máy chủ Wazuh - Thêm quy tắc sau vào /var/ossec/etc/rules/local_rules.xml     530   ^ossec: output: 'process list'   List of running processes.   process_monitor,       100050     nc -l   netcat listening for incoming connections.   process_monitor,   - Khởi động lại trình quản lý Wazuh để áp dụng thay đổi Thử nghiệm công  - Trên điểm cuối Ubuntu giám sát, chạy lệnh: nc -l 8000 Kiểm tra giám sát  Dữ liệu cảnh báo hiển thị bảng điều khiển Wazuh 3.5 Kịch 5: Phát lỗ hổng Wazuh sử dụng mơ-đun Trình phát lỗ hổng để xác định lỗ hổng ứng dụng hệ điều hành chạy điểm cuối   Kịch cho thấy cách Wazuh phát Lỗ hổng phổ biến Điểm tiếp xúc (CVE) chưa vá điểm cuối giám sát Mơ hình Điểm cuối Mơ tả Windows 10 Mô-đun phát lỗ hổng quét điểm cuối Windows để tìm lỗ hổng hệ điều hành ứng dụng cài đặt Cấu hình Máy chủ Wazuh - Kích hoạt Mơ-đun Trình phát lỗ hổng /var/ossec/etc/ossec.conf      yes   5m   6h yes     yes   1h         yes   2019     1h     - Khởi động trình quản lý Wazuh để áp dụng thay đổi cấu hình Kết giám sát  Dữ liệu cảnh báo hiển thị bảng điều khiển Wazuh 3.6 Kịch 6: Phát tiến trình ẩn Trong kịch này, nhóm em trình bày cách Wazuh phát quy trình ẩn rootkit tạo điểm cuối Linux Rootkit ẩn khỏi danh sách mô-đun kernel Nó ẩn quy trình chọn khỏi ps tiện ích Tuy nhiên, Wazuh phát cách sử dụng lệnh gọi setsid(), getpid()và kill()hệ thống Mô hình Điểm cuối Mơ tả Ubuntu 22.04 Trên điểm cuối này, tải xuống biên dịch rookit Sau đó, định cấu   hình mơ-đun Wazuh rootcheck để phát bất thường Cấu hình Trên Ubuntu agent  - Cài đặt gói cần thiết để xây dựng rootkit  fre quencytrong phần - Trong /var/ossec/etc/ossec.conf  Đặt tùy chọn thành 120 để định cấu hình để quét chạy rootcheck sau phút - Khởi động lại Wazuh agent để áp dụng thay đổi   Thử nghiệm công  - Trên điểm cuối Ubuntu, tìm nạp mã nguồn rootkit Diamorphine từ github - Điều hướng đến thư mục Diamorphine biên dịch mã nguồn - Tải mô-đun rootkit kernel - Chạy kill PID quy trình ngẫu nhiên chạy Thao tác nà rootkit Diamorphine - Chạy lệnh sau để xem rsyslogdquy trình lần hiển thị sau khơng hiển thị Rootkit cho phép bạn ẩn quy trình chọn khỏi pslệnh Gửi tín hiệu hủy ẩn 31/hiện quy trình   Kiểm tra giám sát  Dữ liệu cảnh báo hiển thị bảng điều khiển Wazuh 3.7 Kịch 7: Giám sát thực thi lệnh độc hại Auditd tiện ích kiểm tốn có nguồn gốc từ hệ thống Linux Nó sử dụng để hạch tốn hành động thay đổi điểm cuối Linux Trong kịch này, định cấu hình Auditd điểm cuối Ubuntu để tính đến tất lệnh thực thi người dùng định Điều bao gồm lệnh người dùng chạy chế độ sudo sau thay đổi thành người dùng gốc Cần định cấu hình quy tắc Wazuh tùy chỉnh để cảnh báo lệnh đáng ngờ Mơ hình Điểm cuối Mô tả Ubuntu 22.04 Trên điểm cuối này, định cấu hình Auditd để theo dõi việc thực thi lệnh độc hại Sau đó, tận dụng khả tra cứu danh sách Wazuh   CDB để tạo danh sách lệnh độc hại tiềm ẩn chạy Cấu hình Trên điểm cuối Ubuntu - Cài đặt, khởi chạy Auditd - Thực lệnh để nối quy tắc kiểm toán vào /etc/audit/audit.rules - Tải lại quy tắc xác nhận chúng có sẵn   - Thêm cấu hình vào /var/ossec/etc/ossec.conf Cho phép đọc tệp nhật ký audit   audit   /var/log/audit/audit.log - Khởi động lại Wazuh agent   Máy chủ Wazuh - Tạo danh sách CDB  /var/ossec/etc/lists/suspicious-programs và điền nội dụng: ncat:yellow nc:red  tcpdump:orange - Thêm danh sách vào phần  của tệp /var/ossec/etc/ossec.conf  - Tạo quy tắc có mức độc ngiêm trọng cao để kích hoạt chương trình “đỏ” thực thi Thêm quy tắc vào  /var/ossec/etc/rules/local_rules.xml    - Khởi động lại trình quản lý Wazuh Thử nghiệm công  - Trên thiết bị Ubuntu, cài đặt chạy chương trình “red” netcat Kết giám sát  Dữ liệu cảnh báo hiển thị bảng điều khiển Wazuh   3.8 Kịch 8: Phát công Shellshock  Wazuh có khả phát cơng Shellshock cách phân tích nhật ký máy chủ web thu thập từ điểm cuối giám sát Trong trường hợp sử dụng này, bạn thiết lập máy chủ web Apache điểm cuối Ubuntu mô cơng shellshock Mơ hình Điểm cuối Mơ tả Ubuntu 22.04 Điểm cuối nạn nhân chạy máy chủ web Apache 2.4.54 Kali Linux Điểm cuối kẻ công gửi yêu cầu HTTP độc hại đến máy chủ web nạn nhân Cấu hình Điểm cuối Ubuntu - Thêm dòng vào tệp  /var/ossec/etc/ossec.conf. Điều theo dõi nhật ký truy cập máy chủ Apache - Khởi động lại Wazuh agent để áp dụng thay đổi cấu hình   Thử nghiệm cơng  Kết giám sát  Dữ liệu cảnh báo hiển thị bảng điều khiển Wazuh TÀI LIỆU THAM KHẢO   TP HCM, ngày 25 tháng 04 năm 2023 XÁC NHẬN CỦA GIẢNG VIÊN HƯỚNG DẪN TS NGUYỄN VĂN A