BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÁO CÁO KỸ THUẬT THEO DÕI, GIÁM SÁT AN TOÀN MẠNG Đề tài: TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG GIÁM SÁT AN TỒN MẠNG ELK SIEM TÍCH HỢP WAZUH Người hướng dẫn: TS Huỳnh Thanh Tâm Sinh viên thực hiện: Nhóm 17 NGUYỄN MINH THUẬN N19DCAT086 NGUYỄN THẾ BẢO N19DCAT007 TỪ NGUYỄN QUỐC HUY N19DCAT038 TP.HCM, tháng 04/2023 LỜI CẢM ƠN Lời đầu tiên, nhóm em xin chân thành cảm ơn thầy Huỳnh Thanh Tân – giản viên mơn “ KỸ THUẬT THEO DÕI, GIÁM SÁT AN TỒN MẠNG ” bảo tận tình giúp đỡ chúng em suốt q trình làm đồ án mơn học Với hướng dẫn thầy, nhóm em có định hướng tốt việc triển khai thực yêu cầu làm tập lớn mơn học Tuy nhiên, tìm hiểu với kiến thức cịn chưa sâu sắc nên khơng tránh khỏi nhiều thiếu sót Mong thầytạo điều kiện có lời góp để nhóm em hồn thành đồ án cách hồn thiện Một lần nữa, nhóm em xin chân thành cảm ơn v chúc thầy thật nhiều sức khỏe, thành công công việc TPHCM, ngày ?? tháng 04 năm 2023 Nhóm sinh viên thực Nguyễn Minh Thuận Nguyễn Thế Bảo Từ Nguyễn Quốc Huy MỤC LỤC LỜI MỞ ĐẦU CHƯƠNG CƠ SỞ LÝ THUYẾT 1.1 Giới thiệu SIEM 1.1.1 Tầm quan trọng lợi ích SIEM .5 1.1.2 Kiến trúc SIEM 1.1.3 Chức hệ thống SIEM 1.1.4 Tính hệ thống SIEM 1.1.5 Thành phần hệ thống SIEM .8 1.2 ELK SIEM 1.2.1 Cách thức hoạt động ELK SIEM .9 1.2.2 Các tính ELK SIEM .9 1.2.3 Ưu nhược điểm ELK SIEM .10 CHƯƠNG THIẾT KẾ VÀ XÂY DỰNG HỆ THỐNG 11 2.1 Mơ hình triển khai 11 2.2 Cài đặt 11 CHƯƠNG KẾT QUẢ THỰC NGHIỆM 12 3.1 Kịch 1: 12 3.2 Kịch 2: 12 TÀI LIỆU THAM KHẢO .12 LỜI MỞ ĐẦU Hiện với phát triển mạnh mẽ khoa học kỹ thuật nói chung cơng nghệ thơng tin nói riêng, việc ứng dụng công nghệ thông tin, Internet ngày trở lên phổ biến đời sống ngày hầu hết lĩnh vực Song song với phát triển hàng loạt nguy an tồn thơng tin Trong năm gần đây, website internet, liệu cá cá nhân, tổ chức, phủ … bị nhiều đợt cơng tội phạm mạng Có nhiều website, hệ thống mạng bị ngừng hoạt động nhiều giờ, nhiều liệu quan trọng bị đánh cắp Những vụ công gây thiệt hại nghiêm trọng có tác động tiêu cực, ảnh hưởng trực tiếp đến nhiều cá nhân, doanh nghiệp… Vấn đề đảm bảo an tồn thơng tin ln quan, tổ chức đặt lên hàng đầu Tuy nhiên hàng năm vụ công mạng liên tục gia tăng mà chưa có biện pháp khắc phục hiệu Để đảm bảo t ốt c ho hệ thống mạng t ránh khỏi đợt cơng chủ động phát công đưa phản ứng thích hợp Để làm cần phải có hệ thống có khả giám sát toàn hành động vào bất thường bên hệ thống mạng cần bảo vệ, c ó vấn đề cơng cụ bảo vệ hệ thống triển khai nước ta hầu hết mua nước với giá thành cao khó khăn lớn t ổ chức vừa nhỏ Mặt khác sản phẩm thương mại nên công nghệ kỹ thuật hệ thống ln ln giữ kín phát sinh dạng cơng mới, nhà quản trị nước tự phát triển mở rộng Để giảm bớt khó khăn cho quan, tổ chức vừa nhỏ việc giám sát bảo vệ hệ thống mạng cách hiệu Nhóm em chọn đề tài ”Tìm hiểu triển khai hệ thống giám sát an toàn mạng sử dụng ELK SIEM” CHƯƠNG CƠ SỞ LÝ THUYẾT 1.1 Giới thiệu SIEM HệthốngSIEMđượcviếttắtcụmtừtiếngAnh:SecurityInformati o n a Management SIEM hệ thống quản lý nhật ký kiện tập trung, có nhiệm vụ thu thập thơng tin nhật ký, kiện tồn hệ thống doanh nghiệp tổng hợp tất giao diện thay phải làm thủ cơng Hình 1.1 Hệ thống SIEM 1.1.1 Tầm quan trọng lợi ích SIEM * Tầm quan trọng SIEM: Khi hệ thống IT doanh nghiệp trang bị nhiều hãng thiết bị công nghệ khác Router, Switch, máy chủ, sở liệu, SAN, hệ điều hành máy trạm, ứng dụng ngân hàng, … Hơn nữa, thiết bị, ứng dụng đưa dạng lo khác tương ứng với nhà cung cấp Hệ thống IT quản trị nhiều phòng ban System, Network, Application, … để tổng hợp lại kiệ n thờ i điể m diễ n cố rấ t khó , khơng có giải chun dụng lưu trữ kiện dài hạn cho việc phân tích sau này, dẫn đến khó khăn thơng báo hệ thống bị “tràn”, lượng lớn thông tin đượ sinh từ hệ thống log, số cảnh báo quan trọng bị bỏ nhỡ, khơng xử l ý k ị p t h i Vi ệ c đ i ề u t r a v ề n g u n t ấ n c n g , đ í c h t ấ n c ô n g , n g u y ê n l ý t thường phải làm thủ công, nhiều thời gian công sức lại khơng có hiệu kịp thời Ngồi thời gian gần đây, loại hình cơng kiểu như: Adva Persistent Thread (ATP), Zero-day, công từ bên loại hình Malware kiểu gia tăng dội, số lượng máy bị công lây nhiêm mà cách thức máy bị điều khiển Cùng với số lượng bùng nổ, loại hình trở nên khó phát hơn, với thủ thuật tinh vi để tránh bị phát phân tích Các giải pháp bảo mật truyền thống gần không tác dụng trước loại nguy Do đó, giải pháp SIEM giải toán phức tạp * Lợi ích SIEM: Các cơng cụ SIEM mang lại nhiều lợi ích giúp củng cố vị bảo mật tổng thể tổ chức, bao gồm: Dạng xem trung tâm mối đe dọa tiềm ẩn Nhận dạng ứng phó với mối đe dọa theo thời gian thực Thông tin mối đe dọa nâng cao Kiểm tra báo cáo việc tuân thủ theo quy định Giám sát người dùng, ứng dụng thiết bị minh bạch 1.1.2 Kiến trúc SIEM Kiến trúc SIEM bao gồm thành phần sau: - Người dùng: Là người quản lý xử lý thông tin kiện an ni mạng thu thập từ nguồn khác - Thiết bị thu thập kiện (Event Collector): Là thiết bị phần mềm cài đặt hệ thống mạng để thu thập kiện thông tin an ninh từ nguồn khác nhaunhưbộlưutrữnhậtký(log),tườnglửa(firewall),máychủ, tuyến, - Hệ thống phân tích (Event Analyzer): Là phần mềm phần cứng sử dụng để phân tích kiện thu thập từ thiết bị thu thập kiện Hệ thống phân tích xử lý kiện an ninh mạng, đánh giá mức độ nguy hiểm tạo cảnh báo phát có vi phạm bảo mật - Hệ thống quản lý kiện an ninh (Security Event Management): Là hệ thống quản lý sở liệu để lưu trữ, quản lý truy vấn kiện thông tin an ninh thu thập từ thiết bị thu thập kiện phân tích - Hệ thống quản lý liên tục an ninh (Continuous Security Monitoring): Là trình giám sát liên tục hoạt động mạng để phát hành vi bất thường, công mối đe dọa an ninh mạng khác Tất thành phần hoạt động với để tạo thành hệ thống SIEM hoàn chỉnh, giúp quản lý bảo vệ an ninh mạng hiệu 1.1.3 Chức hệ thống SIEM Hệ thống SIEM có chức sau đây: - Thu thập liệu: Hệ thống SIEM thu thập liệu từ thiết bị mạng hệ thống, bao gồm thông tin nhật ký (log) kiện, thông tin lưu lượng mạng, truy cập hệ thống, v.v Các liệu lưu trữ phân tích để tìm hành vi đáng ngờ đe dọa bảo mật - Phân tích đánh giá rủi ro: Hệ thống SIEM sử dụng quy tắc thuật tốn để phân tích liệu thu thập đánh giá rủi ro bảo mật, bao gồm hành vi đáng ngờ công mạng, phá hoại hệ thống, phát tán mã độc, v.v - Phát cảnh báo: Hệ thống SIEM phát hành vi đáng ngờ đe dọa bảo mật, tạo cảnh báo để cảnh báo người quản lý bảo mật Các cảnh báo gửi qua email, tin nhắn, hiển thị giao diện hệ thống SIEM - Phản ứng: Sau phát hành vi đáng ngờ đe dọa bảo mật, hệ thống SIEM kích hoạt biện pháp phản ứng để ngăn chặn giảm thiểu tác động cơng Các biện pháp bao gồm khóa tài khoản người dùng, cắt đứt kết nối mạng, cập nhật phần mềm, v.v - Báo cáo: Hệ thống SIEM tạo báo cáo kiện bảo mật, bao gồm đánh giá rủi ro, cảnh báo biện pháp phản ứng thực Các báo cáo giúp cho người quản lý bảo mật đánh giá hiệu suất hệ thống bảo mật đưa cải tiến Tóm lại, hệ thống SIEM có chức thu thập liệu, phân tích đánh giá rủi ro, phát cảnh báo hành vi đáng ngờ đe dọa bảo mật, phản ứng để ngăn chặn giảm thiểu tác động công, tạo báo cáo kiện bảo mật để người quản lý bảo mật đánh giá hiệu suất hệ thống bảo mật đưa cải tiến Hệ thống SIEM giúp cho tổ chức giám sát phát công mạng cách nhanh chóng hiệu quả, đồng thời giúp họ nâng cao tính an tồn bảo mật cho hệ thống liệu 1.1.4 Tính hệ thống SIEM Sau số tính hệ thống SIEM: - Bảo mật liệu - Tồn vẹn liệu - Tính khả dụng cao - Phân tích chuyên sâu theo thời gian thực - Tích hợp báo cáo tiêu chuẩn tùy chỉnh theo yêu cầu doanh nghiệp 1.1.5 Thành phần hệ thống SIEM Hệ thống SIEM bao gồm thành phần sau: - Log Management: Đây trình thu thập, lưu trữ quản lý thông tin nhật ký từ thiết bị mạng ứng dụng khác Log Management giúp SIEM thu thập thông tin từ nguồn khác để phân tích tìm cố bảo mật - Event Management: Là trình thu thập phân tích kiện để tìm cá hành vi đáng ngờ mơi trường mạng SIEM sử dụng quy tắc để phân tích xác định kiện bất thường - Correlation: Là trình kết hợp kiện từ nhiều nguồn khác để tìm mơ hình hành vi bất thường, báo động phản ứng nhanh chóng - Alerting: SIEM sử dụng quy tắc để tìm cố bảo mật gửi cảnh báo đến nhân viên quản lý bảo mật để phản ứng kịp thời - Reporting: Là trình tạo báo cáo kiện bảo mật, để giúp người quản lý bảo mật đánh giá hiệu suất hệ thống bảo mật đưa cải tiến Tóm lại, SIEM hệ thống quản lý thông tin kiện bảo mật sử dụng để giám sát phát hành vi đe dọa tiềm tàng mạng hệ thống SIEM sử dụng thành phần Log Management, Event Management, Correlation, Alerting Reporting để tìm mơ hình hành vi bất thường, báo động phản ứng nhanh chóng để bảo vệ hệ thống 1.2 ELK SIEM ELK SIEM giải pháp SIEM (Security Information and Event Management) mã nguồn mở xây dựng tảng ELK (Elasticsearch, Logstash Kiban ELK SIEM cho phép tổ chức thu thập, phân tích trả lời kiện an ninh từ nguồn khác hệ thống họ Bằng cách tích hợp cơng cụ phân tích log, lọc, tìm kiếm hình ảnh hóa, ELK SIEM cho phép tổ chức nhanh chóng phát mối đe dọa an ninh đưa hành động phù hợp 1.2.1 Cách thức hoạt động ELK SIEM ELK SIEM hoạt động cách thu thập phân tích liệu an ninh từ nguồn khác Các liệu thu thập cách sử dụng công cụ syslog, SNMP, NetFlow, ứng dụng phần mềm bảo mật khác Sau thu thập liệu, ELK SIEM sử dụng cơng cụ tính phân tích liệu để xác định hoạt động bất thường, mối đe dọa an ninh lỗ hổng bảo mật Hình 1.2 Cơ chế hoạt động ELK - Đầu tiên, log đưa đến Logstash