BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT THÀNH PHỐ HỒ CHÍ MINH ĐỒ ÁN TỐT NGHIỆP NGÀNH CƠNG NGHỆ THƠNG TIN TÌM HIỂU SIEM (SECURITY INFORMATION AND EVENT MANAGEMENT) VÀ THỰC NGHIỆM GVHD: ThS NGUYỄN THỊ THANH VÂN SVTH : HỒ DUY TÂN TRẦN DUY ĐỨC ĐỘ SKL010923 Tp Hồ Chí Minh, tháng 6/2023 KHĨA LUẬN TỐT NGHIỆP ĐỀ TÀI: TÌM HIỂU SIEM (SECURITY INFORMATION AND EVENT MANAGEMENT) VÀ THỰC NGHIỆM Nhóm: Hồ Duy Tân 18110195 Trần Duy Đức Độ 18110098 Giáo viên hướng dẫn: ThS Nguyễn Thị Thanh Vân TP.HỒ CHÍ MINH – THÁNG NĂM 2023 Cộng Hòa Xã Hội Chủ Nghĩa Việt Nam Độc lập – Tự – Hạnh phúc **** PHIẾU NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Họ tên sinh viên: Hồ Duy Tân MSSV: 18110195 Họ tên sinh viên: Trần Duy Đức Độ MSSV: 18110098 Ngành: Công nghệ thông tin Tên đề tài: Tìm hiểu SIEM (Security Information and Event Management) thực nghiệm Họ tên Giáo viên hướng dẫn: cô Nguyễn Thị Thanh Vân NHẬN XÉT: Về nội dung đề tài khối lượng thực hiện: Ưu điểm: 3.Khuyết điểm: 4.Đề nghị cho bảo vệ hay không? Đánh giá loại: Điểm: TP Hồ Chí Minh, tháng 06 năm 2023 Giáo viên hướng dẫn (Ký & ghi rõ họ tên) Cộng Hòa Xã Hội Chủ Nghĩa Việt Nam Độc lập – Tự – Hạnh phúc **** PHIẾU NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN Họ tên sinh viên: Hồ Duy Tân MSSV: 18110195 Họ tên sinh viên: Trần Duy Đức Độ MSSV: 18110098 Ngành: Công nghệ thông tin Tên đề tài: Tìm hiểu SIEM (Security Information and Event Management) thực nghiệm Họ tên Giáo viên phản biện: thầy Huỳnh Nguyên Chính NHẬN XÉT: Về nội dung đề tài khối lượng thực hiện: Ưu điểm: Khuyết điểm: Đề nghị cho bảo vệ hay không? Đánh giá loại: Điểm: TP Hồ Chí Minh, tháng 06 năm 2023 Giáo viên hướng dẫn (Ký & ghi rõ họ tên) LỜI CẢM ƠN Khơng có thành cơng mà khơng gắn liền với nỗ lực, cố gắng, hỗ trợ, giúp đỡ dù hay nhiều, dù trực tiếp hay gián tiếp Là q trình phấn đấu khơng ngừng nghỉ bên cạnh hướng dẫn, bảo tận tình, gắn bó tình cảm sâu sắc Để hồn thành tốt đề tài báo cáo này, chúng em xin gửi lời cảm ơn chân thành đến giảng viên, cô Nguyễn Thị Thanh Vân, người trực tiếp hỗ trợ chúng em suốt trình làm đề tài Chúng em cảm ơn cô đưa lời khuyên từ kinh nghiệm thực tiễn để định hướng cho chúng em với yêu cầu đề tài chọn, giải đáp thắc mắc đưa góp ý, chỉnh sửa kịp thời giúp chúng em khắc phục nhược điểm hoàn thành tốt thời hạn đề Chúng em xin gửi lời cảm ơn chân thành quý thầy Khoa Đào tạo Chất lượng cao nói chung ngành Cơng nghệ thơng tin nói riêng tận tình truyền đạt kiến thức cần thiết giúp chúng em có tảng để làm nên đề tài này, tạo điều kiện để chúng em tìm hiểu thực tốt đề tài Đề tài báo cáo chúng em thực với hạn chế mặt kiến thức, kỹ thuật kinh nghiệm thực tế Do đó, q trình làm nên đề tài có thiếu sót điều tránh khỏi nên chúng em mong nhận ý kiến đóng góp q báu để kiến thức chúng em hoàn thiện Chúng em xin chân thành cảm ơn MỤC LỤC LỜI CẢM ƠN .5 DANH MỤC HÌNH DANH MỤC TỪ VIẾT TẮT 11 PHẦN MỞ ĐẦU .13 Lý chọn đề tài .13 2.Đối tượng nghiên cứu 13 3.Phạm vi nghiên cứu 13 4.Mục tiêu nghiên cứu 13 PHẦN NỘI DUNG 15 CHƯƠNG 1: AN TỒN THƠNG TIN DOANH NGHIỆP VÀ HỆ THỐNG SIEM 15 Tổng quan an tồn thơng tin 15 1.1 Tổng quan CIA 15 1.2 Các mối nguy hại an tồn thơng tin 17 1.3 Tình trạng bảo mật doanh nghiệp .20 1.4 Mơ hình kinh doanh bảo mật 22 Tổng quan SIEM 23 2.1 Khái niệm SIEM 23 2.2 Lịch sử SIEM 23 Các thành phần SIEM 25 3.1 Source Device .26 3.2 Log Collection 27 3.3 Parsing/Normalization of Logs 29 3.4 Rule Engine/Correlation Engine 31 3.5 Log Storage 32 3.6 Monitoring 34 Cách hoạt động SIEM 34 Các chức SIEM 36 Lợi ích hạn chế SIEM 37 6.1 Những giá trị mà SIEM mang lại 37 6.2 Khi nên sử dụng SIEM 38 6.3 Những hạn chế SIEM 40 Sự khác biệt có SIEM khơng có SIEM 42 Hệ thống SIEM doanh nghiệp 43 8.1 Hệ thống doanh nghiệp .43 8.2 Giải pháp SIEM sử dụng doanh nghiệp 43 CHƯƠNG 2: CÁC CÔNG CỤ SIEM PHỔ BIẾN 49 Các công cụ SIEM phổ biến 49 Tổng quan Splunk 50 2.1 Khái niệm Splunk 50 2.2 Thành phần Splunk 50 2.3 Chức Splunk 53 2.4 Giải pháp với Splunk 54 Tổng quan IBM QRadar 57 3.1 Khái niệm IBM QRadar .57 3.2 Chức IBM QRadar .58 3.3 Cơ chế hoạt động IBM QRadar 61 3.4 Các giải pháp triển khai IBM QRadar 64 CHƯƠNG 3: THỰC NGHIỆM SIEM 69 I Sơ đồ thực nghiệm 69 Hình ảnh 69 Mô tả sơ đồ .69 Kịch 70 II Triển khai kịch .70 Thu thập log hệ điều hành 70 Thu thập log Firewall .86 Thu thập log antivirus 90 Thu thập log IDS 94 Tạo cảnh báo cho splunk 101 Tạo thống kê liệu .102 PHẦN KẾT LUẬN 106 Kết đạt 106 1.1 Về phần lý thuyết 106 1.2 Về phần ứng dụng .106 Thuận lợi 107 Khó khăn .107 Nhận xét đánh giá tổng quan 107 Đánh giá mức độ hoàn thành thành viên 107 5.1 Hồ Duy Tân .107 5.2 Trần Duy Đức Độ 107 TÀI LIỆU THAM KHẢO 109 DANH MỤC HÌNH Hình 1.1 Các thành phần SIEM .26 Hình 1.2 Windows event log .30 Hình 1.3 Cisco ASA syslog message 30 Hình 1.4 Nhật ký SIEM sau chuẩn hóa 31 Hình 1.5 Mơ hình kiến trúc Viettel SIEM 46 Hình 2.1 Mơ hình triển khai Splunk phổ biến doanh nghiệp 52 Hình 2.2 Thành phần chế hoạt động IBM QRadar 62 Hình 2.3 Mơ hình giải pháp tập trung .65 Hình 2.4 Mơ hình giải pháp phân tán 67 Hình 3.1 Mơ hình triển khai hệ thống SIEM 69 Hình 3.2 Cài đặt splunk linux 71 Hình 3.3 Chuyển gói splunk thư mục home .71 Hình 3.4 Giải nén file splunk tải 72 Hình 3.5 Lấy liệu license để vào splunk 73 Hình 3.6 Cài đặt hồn tất hệ thống splunk 73 Hình 3.7 Giao diện hệ thống Splunk 74 Hình 3.0.8 Giao diện đăng nhập vào hệ thống splunk 75 Hình 3.9 Tạo data input để nhận log 75 Hình 3.10 Cấu hình UDP 76 Hình 3.11 Cấu hình nhận log từ hệ điều hành 77 Hình 3.12 Kiểm tra tình trạng rsyslog 78 Hình 3.13 Chỉnh sửa file rsyslog.conf .78 Hình 3.14 Chọn IP để quản lý log 79 Hình 3.15 Hệ thống splunk nhận log hệ điều hành 79 Hình 3.16 Vào browse để cài đặt thêm add-on linux 80 Hình 3.17 Install add-on linux splunk 80 Hình 3.18 Cấu hình đế nhận log từ hệ điều hành 81 Hình 3.19 Save để lưu cấu hình 82 Hình 3.20 Tạo index cho linux 83 Hình 3.21 Cấu hình lại file input .84 Hình 3.22 Chỉnh sửa file input 84 Hình 3.23 Đã nhận cấu hình từ hệ thống 85 Hình 3.24 Nhận log từ hệ điều hành 85 Hình 3.25 Cài đặt pfsense file ISO 86 Hình 3.26 Cấu hình mặc định pfsense 87 Hình 3.27 Chọn Quick install 87 Hình 3.28 Thực reboot để pfsense nhận cấu hình .88 Hình 3.29 Cấu hình card mạng cho pfsene .88 Hình 3.30 Chọn subnet cho card mạng .89 Hình 3.31 Cấu hình gateway cho card mạng 89 Hình 3.32 Giao diện pfsense .89 Hình 3.33 SPlunk nhận liệu từ pfsene 90 Hình 3.34 Cài đặt squid pfsense 91 Hình 3.35 Cấu hình squid pfsense .91 Hình 3.36 Cấu hình hard disk squid 92 Hình 3.37 Cấu hình memory cho squid 92 Hình 3.38 Khởi động ClamAV 93 Hình 3.39 Splunk nhận liệu squid 93 Hình 3.40 Cài đặt thực Snort .94 Hình 3.41 Giao diện Snort 95 Hình 3.42 Cấu hình Snort 95 Hình 3.43 Giáo diện trang chủ Snort 96 Hình 3.44 Tạo tài khoản Snort 96 Hình 3.45 Vào oninkcode lấy mã 96 Hình 3.46 Enable Snort VRT enable Snort GPLv2 .97 Hình 3.47 cấu hình time Snort 97 Hình 3.48 Cấu hình Remove Blocked Hosts Interval .98 Hình 3.49 Updates rule nhận cấu hình 98 Hình 3.50 Cấu hình gửi cảnh báo 99 Hình 3.51 Chọn rules để công .99 Hình 3.52 Nhận Log cơng từ firewall .100 Hình 3.53 Những công snort 100 Hình 3.54 Cấu hình cảnh báo công Snort 101 Hình 3.55 Splunk nhận cảnh báo cơng snort 102 Hình 3.56 Thống kê liệu linux 103 Hình 3.57 Thống kê đăng nhập sai hệ điều hành .103 Hình 3.58 Thống kê session hệ điều hành 104 Hình 3.59 Thống kê liệu firewall 104 Hình 3.60 Thống kê liệu snort .105 Hình 3.61 Thống kê cơng snort 105 Hình 3.62 Thống kê liệu antivirus .105 10