BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT THÀNH PHỐ HỒ CHÍ MINH ĐỒ ÁN TỐT NGHIỆP NGÀNH CƠNG NGHỆ THƠNG TIN TÌM HIỂU SIEM (SECURITY INFORMATION AND EVENT MANAGEMENT) VÀ THỰC NGHIỆM GVHD: ThS NGUYỄN THỊ THANH VÂN SVTH : HỒ DUY TÂN TRẦN DUY ĐỨC ĐỘ SKL010923 Tp Hồ Chí Minh, tháng 6/2023 Cộng Hòa Xã Hội Chủ Nghĩa Việt Nam Độc lập – Tự – Hạnh phúc **** PHIẾU NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Họ tên sinh viên: Hồ Duy Tân MSSV: 18110195 Họ tên sinh viên: Trần Duy Đức Độ MSSV: 18110098 Ngành: Công nghệ thông tin Tên đề tài: Tìm hiểu SIEM (Security Information and Event Management) thực nghiệm Họ tên Giáo viên hướng dẫn: cô Nguyễn Thị Thanh Vân NHẬN XÉT: Về nội dung đề tài khối lượng thực hiện: Ưu điểm: 3.Khuyết điểm: 4.Đề nghị cho bảo vệ hay không? Đánh giá loại: Điểm: TP Hồ Chí Minh, tháng 06 năm 2023 Giáo viên hướng dẫn (Ký & ghi rõ họ tên) Cộng Hòa Xã Hội Chủ Nghĩa Việt Nam Độc lập – Tự – Hạnh phúc **** PHIẾU NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN Họ tên sinh viên: Hồ Duy Tân MSSV: 18110195 Họ tên sinh viên: Trần Duy Đức Độ MSSV: 18110098 Ngành: Công nghệ thông tin Tên đề tài: Tìm hiểu SIEM (Security Information and Event Management) thực nghiệm Họ tên Giáo viên phản biện: thầy Huỳnh Nguyên Chính NHẬN XÉT: Về nội dung đề tài khối lượng thực hiện: Ưu điểm: Khuyết điểm: Đề nghị cho bảo vệ hay không? Đánh giá loại: Điểm: TP Hồ Chí Minh, tháng 06 năm 2023 Giáo viên hướng dẫn (Ký & ghi rõ họ tên) LỜI CẢM ƠN Khơng có thành công mà không gắn liền với nỗ lực, cố gắng, hỗ trợ, giúp đỡ dù hay nhiều, dù trực tiếp hay gián tiếp Là trình phấn đấu khơng ngừng nghỉ bên cạnh hướng dẫn, bảo tận tình, gắn bó tình cảm sâu sắc Để hoàn thành tốt đề tài báo cáo này, chúng em xin gửi lời cảm ơn chân thành đến giảng viên, cô Nguyễn Thị Thanh Vân, người trực tiếp hỗ trợ chúng em suốt q trình làm đề tài Chúng em cảm ơn đưa lời khuyên từ kinh nghiệm thực tiễn để định hướng cho chúng em với yêu cầu đề tài chọn, giải đáp thắc mắc đưa góp ý, chỉnh sửa kịp thời giúp chúng em khắc phục nhược điểm hoàn thành tốt thời hạn đề Chúng em xin gửi lời cảm ơn chân thành quý thầy cô Khoa Đào tạo Chất lượng cao nói chung ngành Cơng nghệ thơng tin nói riêng tận tình truyền đạt kiến thức cần thiết giúp chúng em có tảng để làm nên đề tài này, tạo điều kiện để chúng em tìm hiểu thực tốt đề tài Đề tài báo cáo chúng em thực với hạn chế mặt kiến thức, kỹ thuật kinh nghiệm thực tế Do đó, q trình làm nên đề tài có thiếu sót điều khơng thể tránh khỏi nên chúng em mong nhận ý kiến đóng góp q báu để kiến thức chúng em hoàn thiện Chúng em xin chân thành cảm ơn MỤC LỤC LỜI CẢM ƠN DANH MỤC HÌNH DANH MỤC TỪ VIẾT TẮT 11 PHẦN MỞ ĐẦU 13 Lý chọn đề tài 13 2.Đối tượng nghiên cứu 13 3.Phạm vi nghiên cứu 13 4.Mục tiêu nghiên cứu 13 PHẦN NỘI DUNG 15 CHƯƠNG 1: AN TỒN THƠNG TIN DOANH NGHIỆP VÀ HỆ THỐNG SIEM 15 Tổng quan an tồn thơng tin 15 1.1 Tổng quan CIA 15 1.2 Các mối nguy hại an tồn thơng tin 17 1.3 Tình trạng bảo mật doanh nghiệp 20 1.4 Mơ hình kinh doanh bảo mật 22 Tổng quan SIEM 23 2.1 Khái niệm SIEM .23 2.2 Lịch sử SIEM 23 Các thành phần SIEM .25 3.1 Source Device 26 3.2 Log Collection 27 3.3 Parsing/Normalization of Logs .29 3.4 Rule Engine/Correlation Engine 31 3.5 Log Storage .32 3.6 Monitoring .34 Cách hoạt động SIEM .34 Các chức SIEM 36 Lợi ích hạn chế SIEM 37 6.1 Những giá trị mà SIEM mang lại 37 6.2 Khi nên sử dụng SIEM 38 6.3 Những hạn chế SIEM 40 Sự khác biệt có SIEM khơng có SIEM 42 Hệ thống SIEM doanh nghiệp 43 8.1 Hệ thống doanh nghiệp 43 8.2 Giải pháp SIEM sử dụng doanh nghiệp 43 CHƯƠNG 2: CÁC CÔNG CỤ SIEM PHỔ BIẾN 49 Các công cụ SIEM phổ biến 49 Tổng quan Splunk 50 2.1 Khái niệm Splunk 50 2.2 Thành phần Splunk 50 2.3 Chức Splunk 53 2.4 Giải pháp với Splunk 54 Tổng quan IBM QRadar 57 3.1 Khái niệm IBM QRadar 57 3.2 Chức IBM QRadar 58 3.3 Cơ chế hoạt động IBM QRadar 61 3.4 Các giải pháp triển khai IBM QRadar 64 CHƯƠNG 3: THỰC NGHIỆM SIEM 69 I Sơ đồ thực nghiệm 69 Hình ảnh 69 Mô tả sơ đồ 69 Kịch 70 II Triển khai kịch 70 Thu thập log hệ điều hành 70 Thu thập log Firewall 86 Thu thập log antivirus 90 Thu thập log IDS 94 Tạo cảnh báo cho splunk 101 Tạo thống kê liệu 102 PHẦN KẾT LUẬN 106 Kết đạt .106 1.1 Về phần lý thuyết 106 1.2 Về phần ứng dụng .106 Thuận lợi .107 Khó khăn .107 Nhận xét đánh giá tổng quan 107 Đánh giá mức độ hoàn thành thành viên .107 5.1 Hồ Duy Tân 107 5.2 Trần Duy Đức Độ .107 TÀI LIỆU THAM KHẢO 109 DANH MỤC HÌNH Hình 1.1 Các thành phần SIEM 26 Hình 1.2 Windows event log 30 Hình 1.3 Cisco ASA syslog message 30 Hình 1.4 Nhật ký SIEM sau chuẩn hóa .31 Hình 1.5 Mơ hình kiến trúc Viettel SIEM 46 Hình 2.1 Mơ hình triển khai Splunk phổ biến doanh nghiệp 52 Hình 2.2 Thành phần chế hoạt động IBM QRadar .62 Hình 2.3 Mơ hình giải pháp tập trung 65 Hình 2.4 Mơ hình giải pháp phân tán 67 Hình 3.1 Mơ hình triển khai hệ thống SIEM 69 Hình 3.2 Cài đặt splunk linux 71 Hình 3.3 Chuyển gói splunk thư mục home .71 Hình 3.4 Giải nén file splunk tải .72 Hình 3.5 Lấy liệu license để vào splunk 73 Hình 3.6 Cài đặt hoàn tất hệ thống splunk 73 Hình 3.7 Giao diện hệ thống Splunk 74 Hình 3.0.8 Giao diện đăng nhập vào hệ thống splunk 75 Hình 3.9 Tạo data input để nhận log 75 Hình 3.10 Cấu hình UDP 76 Hình 3.11 Cấu hình nhận log từ hệ điều hành 77 Hình 3.12 Kiểm tra tình trạng rsyslog 78 Hình 3.13 Chỉnh sửa file rsyslog.conf .78 Hình 3.14 Chọn IP để quản lý log 79 Hình 3.15 Hệ thống splunk nhận log hệ điều hành .79 Hình 3.16 Vào browse để cài đặt thêm add-on linux 80 Hình 3.17 Install add-on linux splunk 80 Hình 3.18 Cấu hình đế nhận log từ hệ điều hành 81 Hình 3.19 Save để lưu cấu hình 82 Hình 3.20 Tạo index cho linux 83 Hình 3.21 Cấu hình lại file input 84 Hình 3.22 Chỉnh sửa file input 84 Hình 3.23 Đã nhận cấu hình từ hệ thống 85 Hình 3.24 Nhận log từ hệ điều hành 85 Hình 3.25 Cài đặt pfsense file ISO 86 Hình 3.26 Cấu hình mặc định pfsense 87 Hình 3.27 Chọn Quick install 87 Hình 3.28 Thực reboot để pfsense nhận cấu hình 88 Hình 3.29 Cấu hình card mạng cho pfsene 88 Hình 3.30 Chọn subnet cho card mạng .89 Hình 3.31 Cấu hình gateway cho card mạng 89 Hình 3.32 Giao diện pfsense 89 Hình 3.33 SPlunk nhận liệu từ pfsene 90 Hình 3.34 Cài đặt squid pfsense 91 Hình 3.35 Cấu hình squid pfsense 91 Hình 3.36 Cấu hình hard disk squid .92 Hình 3.37 Cấu hình memory cho squid 92 Hình 3.38 Khởi động ClamAV .93 Hình 3.39 Splunk nhận liệu squid .93 Hình 3.40 Cài đặt thực Snort 94 Hình 3.41 Giao diện Snort 95 Hình 3.42 Cấu hình Snort 95 Hình 3.43 Giáo diện trang chủ Snort 96 Hình 3.44 Tạo tài khoản Snort 96 Hình 3.45 Vào oninkcode lấy mã 96 Hình 3.46 Enable Snort VRT enable Snort GPLv2 97 Hình 3.47 cấu hình time Snort 97 Hình 3.48 Cấu hình Remove Blocked Hosts Interval 98 Hình 3.49 Updates rule nhận cấu hình 98 Hình 3.50 Cấu hình gửi cảnh báo 99 Hình 3.51 Chọn rules để công 99 Hình 3.52 Nhận Log công từ firewall 100 Hình 3.53 Những cơng snort 100 Hình 3.54 Cấu hình cảnh báo cơng Snort 101 Hình 3.55 Splunk nhận cảnh báo cơng snort 102 Hình 3.56 Thống kê liệu linux .103 Hình 3.57 Thống kê đăng nhập sai hệ điều hành 103 Hình 3.58 Thống kê session hệ điều hành .104 Hình 3.59 Thống kê liệu firewall 104 Hình 3.60 Thống kê liệu snort .105 Hình 3.61 Thống kê cơng snort 105 Hình 3.62 Thống kê liệu antivirus 105 10 DANH MỤC TỪ VIẾT TẮT ATTT An tồn thơng tin CIA Confidenttiality, integrity, availability CNTT Công nghệ thông tin DdoS Distributed Denial of Service DNS Domain Name System DoS Denial Of Service FTP File Transfer Protocol GSANM Giám sát an ninh mạng HDD Hard Disk Drive HTTP Hypertext Transfer Protocol IDS Intrusion detection system IPS Intrusion prevention system LAN Local Area Network OPSEC Operations security OSPF Open Shortest Path First RMF Risk Management Framework SFTP Secure File Transfer Protocol SIEM Security Information and Event Management SNMP Simple Network Management Protocol SOC Security Operation Center 11