1. Trang chủ
  2. » Luận Văn - Báo Cáo

Đồ án tìm hiểu siem (security information and event management) và thực nghiệm

110 9 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 110
Dung lượng 5,03 MB

Cấu trúc

  • 1. Lý do chọn đề tài (12)
  • CHƯƠNG 1: AN TOÀN THÔNG TIN DOANH NGHIỆP VÀ HỆ THỐNG SIEM 15 1. Tổng quan an toàn thông tin (14)
    • 1.1 Tổng quan về CIA (14)
    • 1.2 Các mối nguy hại trong an toàn thông tin (16)
    • 1.3 Tình trạng bảo mật trong doanh nghiệp hiện nay (19)
    • 1.4 Mô hình kinh doanh và bảo mật (21)
    • 2. Tổng quan về SIEM (22)
      • 2.1 Khái niệm về SIEM (22)
      • 2.2 Lịch sử của SIEM (22)
    • 3. Các thành phần của SIEM (24)
      • 3.1 Source Device (25)
      • 3.2 Log Collection (26)
      • 3.3 Parsing/Normalization of Logs (28)
      • 3.4 Rule Engine/Correlation Engine (30)
      • 3.5 Log Storage (31)
      • 3.6 Monitoring (33)
    • 4. Cách hoạt động của SIEM (33)
    • 5. Các chức năng của SIEM (35)
    • 6. Lợi ích và hạn chế của SIEM (36)
      • 6.1 Những giá trị mà SIEM mang lại (36)
      • 6.2 Khi nào nên sử dụng SIEM (37)
      • 6.3 Những hạn chế của SIEM (39)
    • 7. Sự khác biệt giữa có SIEM và không có SIEM (41)
    • 8. Hệ thống SIEM trong doanh nghiệp (42)
      • 8.1 Hệ thống trong doanh nghiệp (42)
      • 8.2 Giải pháp SIEM sử dụng trong doanh nghiệp (42)
  • CHƯƠNG 2: CÁC CÔNG CỤ SIEM PHỔ BIẾN (48)
    • 1. Các công cụ SIEM phổ biến (48)
    • 2. Tổng quan Splunk (49)
      • 2.1 Khái niệm Splunk (49)
      • 2.2 Thành phần của Splunk (49)
      • 2.3 Chức năng của Splunk (52)
      • 2.4 Giải pháp với Splunk (53)
      • 3.1 Khái niệm IBM QRadar (56)
      • 3.2 Chức năng IBM QRadar (57)
      • 3.3 Cơ chế hoạt động IBM QRadar (60)
      • 3.4 Các giải pháp triển khai IBM QRadar (63)
  • CHƯƠNG 3: THỰC NGHIỆM SIEM (68)
    • I. Sơ đồ thực nghiệm (68)
      • 1. Hình ảnh (68)
      • 2. Mô tả sơ đồ (68)
      • 3. Kịch bản (69)
    • II. Triển khai các kịch bản (69)
      • 1. Thu thập log hệ điều hành (69)
      • 2. Thu thập log Firewall (85)
      • 3. Thu thập log antivirus (89)
      • 4. Thu thập log IDS (93)
      • 5. Tạo cảnh báo cho splunk (100)
      • 6. Tạo thống kê dữ liệu (101)
      • 1. Kết quả đạt được (105)
        • 1.1. Về phần lý thuyết (105)
        • 1.2. Về phần ứng dụng (105)
      • 2. Thuận lợi (106)
      • 3. Khó khăn (106)
      • 4. Nhận xét và đánh giá tổng quan (106)
      • 5. Đánh giá mức độ hoàn thành của thành viên (106)
        • 5.1. Hồ Duy Tân (106)
        • 5.2. Trần Duy Đức Độ (106)
  • TÀI LIỆU THAM KHẢO (108)

Nội dung

AN TOÀN THÔNG TIN DOANH NGHIỆP VÀ HỆ THỐNG SIEM 15 1 Tổng quan an toàn thông tin

Tổng quan về CIA

Để hiểu rõ hơn và so sánh các loại mô hình kinh doanh khác nhau thì ta cần xác định những điểm chung phần lớn của các chương trình bảo mật Khái niệm này sẽ được dùng để đánh giá mức an toàn của một hê thống và khái niệm đó là tam giác CIA (confidentiality, integrity, availability) đây cũng là nguyên tắc cốt lõi của chương trình bảo mật Nếu không hiểu rõ về các khái niệm này và cách chúng liên quan với môi trường, bạn sẽ không thể nào đánh giá được nhu cầu của chương trình bảo mật của mình một cách chính xác Dưới đây là tóm tắt về các khái niệm này:

Tính bí mật (Confidentiality): Đảm bảo tính bí mật của thông tin, tức là thông tin chỉ được phép truy cập (đọc) bởi những đối tượng (người, chương trình máy tính) được cấp phép Cách phổ biến nhất để giữ bí mật thông tin là kiểm soát truy cập bằng cách đặt mật mã để mã hóa dữ liệu Ví dụ: một giao dịch tín dụng qua Internet, số thẻ tín dụng được gửi từ người mua hàng đến người bán, và từ người bán đến nhà cung cấp dịch vụ thẻ tín dụng Hệ thống sẽ cố gắng thực hiện tính bí mật bằng cách mã hóa số thẻ trong suốt quá trình truyền tin, giới hạn nơi nó có thể xuất hiện (cơ sở dữ liệu, log file, sao lưu (backup), in hóa đơn…)

Tính toàn vẹn (Integrity): Trong an toàn thông tin, toàn vẹn có nghĩa rằng dữ liệu không thể bị chỉnh sửa mà không bị phát hiện Nó khác với tính toàn vẹn trong tham chiếu của cơ sở dữ liệu, mặc dù nó có thể được xem như là một trường hợp đặc biệt của tính nhất quán Tính toàn vẹn bị xâm phạm khi một thông điệp bị chỉnh sửa trong giao dịch Hệ thống thông tin an toàn luôn cung cấp các thông điệp toàn vẹn và bí mật

Tính sẵn sàng (Availability): Mọi hệ thống thông tin đều phục vụ mục đích riêng của nó và thông tin phải luôn luôn sẵn sàng khi cần thiết Điều đó có nghĩa rằng hệ thống tính toán sử dụng để lưu trữ và xử lý thông tin, có một hệ thống điều khiển bảo mật sử dụng để bảo vệ nó, và kênh kết nối sử dụng để truy cập nó phải luôn hoạt động chính xác Hệ thống có tính sẵn sàng cao hướng đến sự sẵn sàng ở mọi thời điểm, tránh được những rủi ro cả về phần cứng, phần mềm như: sự cố mất điện, hỏng phần cứng, cập nhật, nâng cấp hệ thống… đảm bảo tính sẵn sàng cũng có nghĩa là tránh được tấn công từ chối dịch vụ.

Ví dụ: nếu server chỉ bị ngưng hoạt động hay ngừng cung cấp dịch vụ trong vòng 5 phút trên một năm thì độ sẵn sàng nó là 99.999%

Ngoài những khái niệm đó là tam giác CIA thì ta còn có:

Tính xác thực (authentication): Trong hoạt động tính toán, kinh doanh qua mạng và an toàn thông tin, tính xác thực là vô cùng cần thiết để đảm bảo rằng dữ liệu, giao dịch, kết nối hoặc các tài liệu (tài liệu điện tử hoặc tài liệu cứng) đều là thật (genuine) Nó cũng quan trọng cho việc xác nhận rằng các bên liên quan biết họ là ai trong hệ thống.

Tính không thể chối cãi (Non-repudiation): tính không thể chối cãi có nghĩa rằng một bên giao dịch không thể phủ nhận việc họ đã thực hiện giao dịch với các bên khác Ví dụ:trong khi giao dịch mua hàng qua mạng, khi khách hàng đã gửi số thẻ tín dụng cho bên bán, đã thanh toán thành công, thì bên bán không thể phủ nhận việc họ đã nhận được tiền, (trừ trường hợp hệ thống không đảm bảo tính an toàn thông tin trong giao dịch).

Tính định danh (Identification): hành động của ngườisử dụng khi xác nhận một sự định danh tới hệ thống,ví dụ định danh thông qua tên (username) của cánhân.

Tính kiểm toán (Accountability): sự xác định các hành động hoặc hành vi của một cá nhân bên trong hệ thống và nắm chắc được trách nhiệm cá nhân hoặc các hành động của họ

Các mối nguy hại trong an toàn thông tin

Nhìn từ quan điểm an toàn th có vô số cách để tấn công, lấy cắp thông tin của một hệ thống Lỗ hổng của ứng dụng, lỗ hổng dịch vụ trực tuyến (web, mail…), lỗ hổng hệ điều hành… Vì thế, rất khó để có thể thiết lập và duy trì bảo mật thông tin.

Rất nhiều các khai thác thành công đều bắt nguồn từ bên trong tổ chức (công ty) Theo những thống kê của Computer Security Institute, thì khoảng 60%-80% các hành động sử dụng sai mạng máy tính, phần mềm bắt nguồn từ bên trong các công ty Vì thế, đào tạo nhận thức an ninh mạng cho các thành viên của công ty, thậm chí cho người quản trị là vô cùng quan trọng, đồng thời ta cũng phải tìm hiểu một số nguy ngại phổ biến trong an toàn thông tin:

Lỗi và sự bỏ sót, cố tình bỏ qua

Nguy cơ này được xếp vào hàng nguy hiểm nhất Khi lập trình, các cảnh báo và lỗi do trình biên dịch đưa ra thường bị bỏ qua và nó có thể dẫn đến những sự việc không đáng có, ví dụ như tràn bộ đệm, tràn heap Khi người dùng vô tình (hay cố ý) sử dụng các đầu vào không hợp lý thì chương trình sẽ xử lý sai, hoặc dẫn đến việc bị khai thác, đổ vỡ(crash) Kỹ thuật lập trình đóng vài trò rất quan trọng trong mọi ứng dụng Và lập trình viên phải luôn luôn cập nhật thông tin, các lỗi bị khai thác, cách phòng chống, sử dụng phương thức lập trình an toàn.

Một cách tốt nhất để phòng tránh là sử dụng chính sách “lease privilege” (có nghĩa là ít quyền hạn nhất có thể) Người dùng sẽ chỉ được xử lý, truy cập đến một số vùng thông tin nhất định.

Lừa đảo và lấy cắp thông tin

Tưởng tượng rằng có những đồng nghiệp trong công ty đi làm không phải để làm việc, mà để lấy cắp những thông tin quan trọng của công ty Chuyện này hoàn toàn có thể xảy ra, đặc biệt là những công ty làm việc về quân sự, cơ quan nhà nước… Rất khó phát hiện kẻ tấn công từ bên trong Việc lấy cắp có thể được thực hiện dưới nhiều hình thức: lấy cắp văn bản in hay lấy cắp thông tin số, cung cấp thông tin nội bộ cho bên ngoài.

Cách tốt nhất để phòng tránh nguy cơ này là: phải có những chính sách bảo mật được thiết kế tốt Những chính sách có thể giúp người quản lý bảo mật thông tin thu thập thông tin, từ đó điều tra và đưa ra những kết luận chính xác, nhanh chóng Khi đã có một chính sách tốt, người quản trị có thể sử dụng các kỹ thuật điều tra số (forensics) để truy vết các hành động tấn công.

Ví dụ như hình thức lấy cắp thông tin số, nếu một nhân viên truy cập vào khu vực đặt tài liệu bí mật của công ty, hệ thống sẽ ghi lại được thời gian, IP, tài liệu bị lấy, sử dụng phần mềm gì để truy cập, phần mềm bị cài đặt trái phép… từ đó, người quản trị sẽ chứng minh được ai đã làm việc này.

Có rất nhiều cách hacker tấn công hệ thống Mỗi kẻ tấn công đều có những thủ thuật, công cụ, kiến thức, hiểu biết về hệ thống Và cũng có vô số các cuốn sách, diễn đàn đăng tải những nội dung này.

Trước tiên, hacker thu thập thông tin về hệ thống, nhiều nhất có thể Càng nhiều thông tin, thì khả năng thành công của việc tấn công sẽ càng lớn Những thông tin đó có thể là: tên ứng dụng, phiên bản ứng dụng, hệ điều hành, email quản trị… Bước tiếp theo là quét hệ thống để tìm lỗ hổng Các lỗ hổng này có thể gây ra bởi ứng dụng xử lý thông tin hoặc do hệ điều hành, hoặc bất kỳ thành phần nào có liên quan Từ đó, họ sẽ lợi dụng các lỗ hổng tìm được, hoặc sử dụng các tài khoản mặc định nhằm chiếm quyền truy cập vào ứng dụng Khi đã thành công, hacker sẽ cài đặt các phần mềm, mã độc để có thể xâm nhập vào hệ thống trong các lần sau Bước cuối cùng là xóa vết tấn công.

Các trang mạng nổi tiếng như: The World Street Jounals, The NewYork Times mới đây đều công bố rằng mình đã bị hacker tấn công. Để phòng tránh nguy cơ này, các ứng dụng tương tác với người dùng, dữ liệu cần phải giấu đi những thông tin quan trọng (nếu có thể) như phiên bản, loại ứng dụng, các thành phần kèm theo… Sử dụng các phần mềm phát hiện truy cập trái phép, rà soát hệ thống thường xuyên xem có phần mềm lạ không, cấu hình tường lửa hợp lý, chính sách truy cập của từng nhóm người dùng, quản lý truy cập…

Có rất nhiều loại mã độc có thể kể đến như: virus, sâu máy tính, Trojan horse, logic bomb… Nguy cơ do chúng gây ra là hoàn toàn rõ ràng, và vô cùng phong phú Khi đã xâm nhập vào máy nạn nhân, mã độc có thể: mở cổng hậu (back door) để kẻ tấn công có thể truy cập và làm mọi việc trên máy nạn nhân; ghi lại thông tin sử dụng máy tính (thao tác bàn phím, sử dụng mạng, thông tin đăng nhập…) Đã có rất nhiều công ty bị cài đặt mã độc Mới đây, Facebook cũng bị một nhóm hacker tấn công[2] do máy tính của một số nhân viên bị cài mã độc.

Cài mã độc vào máy tính có thể qua nhiều con đường: lỗ hổng phần mềm (điển hình như adobe Flash, rất nhiều lỗ hổng 0-days được phát hiện, hay Java Runtime Environment thời gian gần đây cũng liên tục đưa ra bản vá bảo mật); hệ thống đã bị hacker điều khiển; sử dụng phần mềm crack, không có giấy phép sử dụng;

Cách tốt nhất để tránh nguy cơ này là luôn cập nhật phần mềm xử lý dữ liệu, hệ điều hành và phần mềm an ninh mạng, diệt virus.

Tấn công từ chối dịch vụ

Nếu một hacker không thể cướp quyền truy cập vào một hệ thống, họ sẽ tìm cách tấn công từ chối dịch vụ (làm hệ thống không thể phục vụ người dùng được trong một khoảng thời gian, bằng cách truy cập đến hệ thống liên tục, số lượng lớn, có tổ chức) Có

2 kiểu tấn công từ chối dịch vụ:

- DoS (Denny of Service – tấn công từ chối dịch vụ): tấn công này có thể xảy ra với cả ứng dụng trực tuyến và ứng dụng offline Với ứng dụng trực tuyến, hacker sử dụng các công cụ tấn công (tấn công Syn floods, Fin floods, Smurfs, Fraggles) trên một máy tính để tấn công vào hệ thống, khiến nó không thể xử lý được yêu cầu, hoặc làm nghẽn băng thông khiến người dùng khác khó mà truy cập được Với ứng dụng offline, hacker tạo ra những dữ liệu cực lớn, hoặc các dữ liệu xấu (làm cho quá trình xử lý của ứng dụng bị ngưng trệ, treo)

- DDoS (Distributed Denny of Service – tấn công từ chối dịch vụ phân tán): một hình thức cao cấp của DoS, các nguồn tấn công được điều khiển bởi một (một vài) server của hacker (gọi là server điều khiển), cùng tấn công vào hệ thống Loại tấn công này khó phát hiện ra hơn cho các hệ thống phát hiện tự động, giúp hacker ẩn mình tốt hơn. Để chống lại nguy cơ này, hệ thống cần có nhiều server phục vụ, server phân tải, cơ chế phát hiện tấn công DoS hiệu quả.

Tình trạng bảo mật trong doanh nghiệp hiện nay

Nếu bạn theo dõi các nguồn tin tức về bảo mật, bạn sẽ liên tục thấy về các lỗ hổng mới được phát hiện và tổ chức này đang bị tổn hại vì những lỗ hổng này Chúng ta thường nghĩ rằng hầu hết các vi phạm an ninh xảy ra phạm vi lớn như là trong các tập đoàn, công ty lớn với những bí mật thông tin quan trọng có giá trị, Nhưng trong thực tế không chỉ những doanh nghiệp lớn được kẻ xấu quan tâm, mà các doanh nghiệp nhỏ cũng bị nhắm đến tương tự Một môi trường doanh nghiệp nhỏ hơn sẽ là một mục tiêu tốt, dễ dàng cho kẻ tấn công vì công ty nhỏ có thể không bảo mật hoặc được bảo vệ như các công ty lớn. Sau đây là thống kê cụ thể về bảo mật trong doanh nghiệp

Theo báo cáo mới nhất của Securonix - công ty chuyên về các giải pháp bảo mật thông tin (Texas, Mỹ), trong 12 tháng qua, số lượng lỗ hổng bảo mật mới được phát hiện lớn gần gấp đôi so với năm ngoái, trong khi số lượng mối đe dọa an ninh mạng đã tăng 482% so với cùng kỳ năm trước.

Cụ thể, Securonix cho biết, có 867 mối đe dọa và 35.776 báo cáo về sự xâm phạm (IOC), tăng tương ứng 482% và 380% so với năm trước Tổng cộng có 582 mối đe dọa đã được phát hiện, phân tích và báo cáo trong khoảng thời gian này, tăng 218% so với năm 2021.

Rủi ro lớn trong năm 2023, nhiều công ty hiện xếp an ninh mạng vào diện quan tâm lớn. Scott Sayce, Giám đốc Toàn cầu về mạng kiêm Trưởng nhóm Trung tâm Năng lực Không gian mạng tại AGCS, cho rằng hầu hết các công ty sẽ không thể tránh khỏi mối đe dọa về an ninh mạng Tuy nhiên, các tổ chức vốn có kinh nghiệm về không gian mạng rõ ràng sẽ hoạt động hiệu quả hơn khi được trang bị thêm để đối phó với sự cố.

Số liệu thống kê của hãng nghiên cứu bảo mật Kaspersky cho thấy hơn 60% doanh nghiệp vừa và nhỏ đã trải qua các cuộc tấn công hệ thống mạng suốt năm 2022 Trong khi nhóm doanh nghiệp này là thành tố đóng góp to lớn cho nền kinh tế toàn cầu Theo

Tổ chức Thương mại Thế giới (WTO), doanh nghiệp vừa và nhỏ đại diện cho hơn 90% tổng số doanh nghiệp trên toàn thế giới Khi bị ảnh hưởng bởi các cuộc tấn công mạng, doanh nghiệp có thể mất thông tin mật, tài chính, thị phần.

Báo cáo của Hãng bảo hiểm Allianz Global Corporate & Specialty (AGCS), phần mềm tống tiền (ransomware) vẫn được xác định là rủi ro an ninh mạng hàng đầu đối với các tổ chức trên toàn cầu, trong khi sự cố thâm nhập thư điện tử doanh nghiệp đang gia tăng và sẽ còn cao hơn nữa Đánh giá hàng năm của AGCS cũng nhấn mạnh rằng các mối đe dọa đang nổi lên do sự phụ thuộc ngày càng tăng vào các dịch vụ đám mây, cũng như tác động của việc thiếu chuyên gia an ninh mạng.

Trong đó, châu Âu đã chứng kiến sự gia tăng các cuộc tấn công mạng trong giai đoạn này Dự báo, tấn công mã độc tống tiền sẽ gây thiệt hại 30 tỷ USD đối với các tổ chức trên toàn cầu vào năm 2023.

Trong số các mối đe dọa hàng đầu được ghi nhận, các rủi ro bảo mật bắt nguồn từ đánh cắp dữ liệu xảy ra nhiều nhất ở năm 2022 và dự kiến sẽ tiếp tục trong năm 2023.

Có thể thấy, trong những năm gần đây, giới doanh nghiệp lao đao vì sự xuất hiện của các hình thức tấn công mới tinh vi hơn, khó đoán hơn Mặt khác, trong khi những kẻ tấn công ngày càng được trang bị tốt hơn, luôn chờ đợi thời cơ ra tay để trục lợi, thì các nhà chức trách dường như bị tụt lại phía sau và không kịp phản ứng lại những mối đe dọa này Sự thiếu hụt chuyên gia đang cản trở nỗ lực cải thiện an ninh mạng Mặc dù số lượng chuyên gia về an ninh mạng thống kê trên toàn thế giới đã tăng 350% trong 8 năm qua, lên khoảng 3,5 triệu người, song nhiều công ty vẫn đang gặp khó khăn trong việc thuê chuyên gia.

Mô hình kinh doanh và bảo mật

Khi bạn hiểu môi trường của doanh nghiệp và nhu cầu của nó dựa trên mô hình kinh doanh, thì ta bắt đầu muốn xem xét các cách tăng cường bảo mật Với một điểm khởi đầu tốt, bạn có thể muốn theo dõi hoạt động trên mạng cục bộ của mình và các thiết bị chạy trên đấy Vì thế việc giám sát này có thể tạo ra một lượng dữ liệu đáng kể dưới dạng sự kiện nhật ký từ các hệ thống, bạn có thể xem xét đến một phần mềm có tên là Security Information and Event Management (SIEM) SIEM.

Nếu bạn tin rằng một công cụ SIEM có thể giúp cho việc bảo mật tốt hơn cho doanh nghiệp thì điều đấy là chính xác Công cụ SIEM rất mạnh và có thể làm nhiều việc để giúp bạn bảo vệ môi trường mạng của mình tốt hơn, nhưng trước hết bạn cần phải biết mình muốn dùng công cụ SIEM để làm gì Biết những thông tin giá trị nhất bạn ở đâu.Bạn phải hiểu được tầm quan trọng của việc bảo vệ tính bí mật, tính toàn vẹn, tính sẵn sàng của những thông dữ liệu ấy Bạn hiểu được nên quan tâm nhiều đến bảo mật thông tin của công ty bạn hơn là tính sẵn sàng của những thông tin đó hoặc ngược lại Hãy nhớ rằng công cụ SIEM không phải là chìa khóa vạn năng sẽ giải quyết tất cả các vấn đề về bảo mật mà bạn gặp phải Điều quan trọng vẫn là bạn phải hiểu về mô hình kinh doanh của bạn để xác định được nơi nào bạn cần ưu tiển bảo mật Những điều này cần được tìm hiểu rõ mới có thể áp dụng SIEM một cách tốt nhất

Tổng quan về SIEM

Hệ thống SIEM được viết tắt cụm từ tiếng Anh: Security Information and Event Management là một lĩnh vực trong bảo mật máy tính nơi các sản phẩm và dịch vụ phần mềm kết hợp quản lý thông tin bảo mật (SIM) và quản lý sự kiện bảo mật (SEM) Các giải pháp SIEM có khả năng phát hiện các mối đe dọa và lỗ hổng bảo mật tiềm ẩn bằng cách phân tích dữ liệu nhật ký và sự kiện trong thời gian thực từ nhiều nguồn khác nhau bao gồm cả mạng, bảo mật, máy chủ, cơ sở dữ liệu và ứng dụng Họ cung cấp các cảnh báo và thông báo cho các nhóm bảo mật để điều tra và phản hồi thêm Các công cụ SIEM đã phát triển đáng kể trong những năm qua và hiện được coi là một công cụ thiết yếu để phát hiện, điều tra và ứng phó với các mối đe dọa an ninh mạng nâng cao.

SIEM hoạt đông như một kho lưu trữ trung tâm do nhật ký hệ thống tạo ra, thông qua các quy tắc logic mà bạn thiết lập, để chọn ra các sự kiện quan tâm cụ thể Từ SIEM, khi có thể bị tấn công mạng ta có thể xem được nhiều loại thông tin và các sự kiện từ nhiều thiết bị.

Tóm lại, SIEM cung cấp cho các tổ chức khả năng quan sát hoạt động trong mạng của họ để họ có thể ứng phó nhanh chóng với các cuộc tấn công qua mạng tiềm ẩn và đáp ứng các yêu cầu tuân thủ.

Hệ thống giám sát nhật ký đã trở nên phổ biến hơn khi các cuộc tấn công mạng phức tạp buộc tuân thủ các cơ chế quy định và quy định để bắt buộc kiểm soát bảo mật nhật ký trong Khung quản lý rủi ro Các cấp độ ghi nhật ký của một hệ thống bắt đầu với chức năng chính là khắc phục sự cố lỗi hệ thống hoặc mã gỡ lỗi được biên dịch và chạy Khi các hệ điều hành và mạng ngày càng phức tạp, thì việc tạo sự kiện và nhật ký trên các hệ thống này cũng tăng theo Trong khi đó, việc ghi nhật ký hệ thống, bảo mật và ứng dụng không phải là cách duy nhất để thực hiện ứng phó sự cố Chúng cung cấp khả năng theo dõi các hoạt động của hầu hết mọi hệ thống hoặc chuyển động liên quan đến người dùng trong một khoảng thời gian nhất định Từ cuối những năm 1970, đã thành lập các nhóm làm việc để giúp thiết lập các tiêu chí cho việc quản lý các chương trình kiểm tra và giám sát cũng như những gì và cách thức nhật ký hệ thống có thể được sử dụng cho mối đe dọa nội bộ, ứng phó sự cố và khắc phục sự cố Điều này cũng thiết lập một cuộc thảo luận cơ bản cho nhiều khái niệm vẫn được sử dụng trong an ninh mạng hiện đại.

Với các khung quản lý rủi ro (RMF) đang được triển khai trên toàn thế giới trong hầu hết các lĩnh vực công nghiệp, kiểm toán và giám sát là các yếu tố cốt lõi của đảm bảo thông tin và an ninh thông tin Nhân viên đảm bảo thông tin, kỹ sư an ninh mạng và nhà phân tích có thể sử dụng thông tin ghi nhật ký để thực hiện các chức năng bảo mật quan trọng trong thời gian thực Các mục này được thúc đẩy bởi các mô hình quản trị tích hợp hoặc sử dụng kiểm toán và giám sát làm cơ sở cho công việc phân tích đó Khi bảo đảm thông tin đầy đủ, vào cuối những năm 1990 và chuyển sang những năm 2000, nhật ký hệ thống cần được tập trung hóa Điều này cho phép các bản ghi được định vị và xem tập trung, đồng thời cung cấp khả năng quản lý tập trung dưới dạng 'trung tâm thần kinh' cho tất cả các máy trên một mạng nhất định.

Việc tập trung hóa và hợp nhất dữ liệu hệ thống này sẽ cung cấp nhiều hơn là một cái nhìn tổng thể Tuy nhiên, giờ đây các tổ chức có thể sử dụng dữ liệu ghi nhật ký cho các trường hợp sử dụng hoạt động và giúp khắc phục sự cố giao tiếp dựa trên hiệu suất và mạng Quản lý sự kiện và thông tin bảo mật (SIEM) hiện đã phổ biến và có các biến thể rõ ràng của cùng một từ viết tắt trong bài viết này Từ SIEM chủ yếu là một biệt danh buộc tất cả các bản ghi vào một nơi duy nhất để cung cấp một ô kính duy nhất cho các hoạt động mạng và bảo mật để thực hiện phân tích.

Viện Tiêu chuẩn và Công nghệ Quốc gia đưa ra định nghĩa sau cho Quản lý Sự kiệnThông tin Bảo mật (SIEM): "Ứng dụng cung cấp khả năng thu thập dữ liệu bảo mật từ các thành phần của hệ thống thông tin và trình bày dữ liệu đó dưới dạng thông tin có thể thực hiện được thông qua một giao diện." Đảm bảo thông tin đã trở thành một chức năng bắt buộc đối với việc ghi nhật ký hệ thống Ghi nhật ký hệ thống có thể cho phép truy xuất nguồn gốc đối với tài khoản trên hệ thống được sử dụng để thực hiện các tác vụ của hệ thống Khi kết hợp với hệ điều hành, SIEM có thể lập chỉ mục và phân tích nhật ký hệ thống và sẵn sàng để tìm kiếm SIEM hay Quản lý sự kiện và thông tin bảo mật, là một công nghệ tương đối mới trong lĩnh vực an ninh mạng, được Gartner đưa ra lần đầu tiên vào năm 2005

Vào ngày 17 tháng 5 năm 2021, Tổng thống Hoa Kỳ Joseph Biden đã ký Sắc lệnh 14028 Cải thiện An ninh mạng Quốc gia Sắc lệnh này yêu cầu bảo vệ điểm cuối, xác định thêm các yêu cầu ghi nhật ký, triển khai ghi nhật ký kiểm tra theo cách thống nhất và tăng cường các khả năng để cung cấp thông tin chi tiết hơn nữa về các hành động của hệ thống và tài khoản Nhật ký kiểm tra được xác định trong ba lĩnh vực kỹ thuật riêng biệt, tất cả đều liên quan đến ứng phó sự cố và biết điều gì đang xảy ra trên hệ thống tại một thời điểm nhất định Sắc lệnh này phản ứng với sự gia tăng các cuộc tấn công mạng sử dụng mã độc tống tiền để làm tê liệt các thành phần cơ sở hạ tầng quan trọng liên quan đến an ninh quốc gia và công chúng Tăng cường các biện pháp kiểm soát bảo mật đảm bảo thông tin hiện có như một phần của K hung Quản lý Rủi ro là một cơ chế phù hợp để buộc tuân thủ và biện minh cho việc tài trợ dựa trên các yêu cầu này của Tổng thống.

Các thành phần của SIEM

SIEM có thể được so sánh với một cỗ máy phức tạp Trong đó mỗi bộ phận thực hiện một công việc cụ thể, các bộ phận này cần phối hợp nhịp nhàng với nhau ngược lại nếu không phối hợp được với nhau thì hệ thống sẽ thất bại Một SIEM cơ bản có thể chia thành 6 phần riêng biệt Những phần riêng lẻ này là: Source Device, Log Collection,Parsing/Normalization of Logs, the rule engine, log storage và event monitoring and retrieval Mỗi thành phần hoạt động độc lập với các thành phần khác, nhưng khi một thành phần không hoạt động được thì toàn bộ hệ thống SIEM sẽ không hoạt động bình thường

Hình 1.1 Các thành phần trong SIEM

- Phần đầu tiên của SIEM là thiết bị nguồn cung cấp thông tin vào SIEM Thiết bị nguồn cũng có thể là một thiết bị thực tế trên mạng của bạn, chẳng hạn như bộ định tuyến, bộ chuyển mạch hoặc một số loại máy chủ, nhưng nó cũng có thể là nhật ký từ một ứng dụng hoặc bất cứ dữ liệu nào khác mà bạn đang có Thiết bị nguồn không được xem là một phần thực của SIEM, khi nhìn vào SIEM ta có thể xem nó đóng vai trò quan trọng trong SIEM Việc hiểu rõ những nguồn muốn lấy các bản ghi nhật ký là rất quan trọng trong việc triển khai SIEM nó giúp tiết kiệm công sức, số tiền đáng kể và giảm sự phức tạp trong triển khai.

 Hệ điều hành: Microsoft Windows và các biến thể của Linux và UNIX, AIX, Mac OS là những hệ điều hành phổ biến Hầu hết các hệ điều hành về cơ bản công nghệ không giống nhau và thực hiện chuyên một nhiệm vụ nào đó nhưng tất cả đều có điểm chung là chúng tạo ra các bản ghi Log Các bản ghi Log sẽ cho thấy hệ thống của đã làm gì: Ai là người đăng nhập, làm những gì trên hệ thống? Các bản ghi Log được tạo ra bởi một hệ điều hành về hệ thống và người sử dụng hoạt động sẽ rất hữu ích khi tiến hành ứng phó sự cố an ninh hoặc chuẩn đoán vấn đề hay chỉ là việc cấu hình sai.

 Thiết bị: Muốn tương tác giữa quyền administrator của hệ thống với các thiết bị hầu hết các quản trị hệ thống không có quyền truy cập từ xa vào hệ thống để thực hiện một số việc quản lý cơ bản Nhưng có thể quản lý các thiết bị thông qua một cổng giao diện đặc biệt Giao diện này có thể dựa trên web, dòng lệnh hoặc chạy qua một ứng dụng được tải về máy trạm của quản trị viên Hệ điều hành các thiết bị mạng chạy có thể là một hệ điều hành thông thường, chẳng hạn như Microsoft Windows hoặc phiên bản của Linux, nhưng nó cũng có thể được cấu hình theo cách mà hệ điều hành thông thường Một ví dụ như một router hoặc switch Nó không phụ thuộc vào nhà cung cấp, nên không bao giờ có thể truy cập trực tiếp vào hệ thống điều hành cơ bản của nó mà chỉ có thể truy cập vào thông qua dòng lệnh hoặc giao diện web được sử dụng để quản lý. Các thiết bị lưu trữ các bản ghi Log của chúng trên hệ thống hoặc thường có thể được cấu hình để gửi các bản ghi ra thông qua SysLog hoặc FTP.

 Ứng dụng: Chạy trên các hệ điều hành là những ứng dụng được sử dụng cho một loạt các chức năng Trong một hệ thống có thể có hệ thống tên miền (DNS), dịch vụ cấp phát địa chỉ động (DHCP), máy chủ web, hệ thống thư điện tử và vô số các ứng dụng khác Các bản ghi ứng dụng chứa thông tin chi tiết về tình trạng của ứng dụng, ví dụ như thống kê, sai sót, hoặc thông tin tin nhắn.

 Xác định bản ghi Log cần thiết: Sau khi xác định các thiết bị nguồn trong hệ thống, người quản trị cần xem xét việc thu thập các bản ghi Log từ các thiết bị nào là cần thiết và quan trọng cho SIEM.

- Các thông tin trên rất có ích trong việc xác định nguồn thiết bị cần thiết cho SIEM. Chúng có quá nhiều nhưng nó là cần thiết để xác định chính xác hơn điều gì là cần thiết cho SIEM Số lượng người sử dụng, lịch bảo trì hệ thống và nhiều yếu tố khác có thể tác động đáng kể đến số lượng các bản ghi Log được tạo ra mỗi ngày

- Bước tiếp theo trong nhật ký dịch vụ và thiết bị là khi bạn có tất cả những bản ghi khác nhau từ các thiết bị gốc của chúng gửi đến SIEM Cơ chế thực tế của nhật ký được truy xuất khác nhau tùy thuộc vào SIEM bạn đang sử dụng Ở mức cơ bản nhất, quy trình thu thập nhật ký có thể được chia làm hai phương thức cơ bản:

 Push Log: Thiết bị nguồn sẽ gửi nhật ký của nó tới SIEM

+Ưu điểm: Dễ thiết lập và cấu hình tại SIEM Thông thường, bạn chỉ cần thiết lập một bộ thu và sau đó bạn trỏ vào thiết bị nguồn Một số ví dụ phổ biến về điều này sẽ là syslog Khi cấu hình nguồn thiết bị sử dụng nhật ký hệ thống, thiết lập đỉa chỉ IP hoặc tên DNS của máy chủ nhật ký trên hệ thống mạng và thiết bị này sẽ tự động bắt đầu gửi nhật ký của nó qua hệ thống tới máy thu nhật ký hệ thống Trong ví dụ này, máy chủ nhật ký hệ thống sẽ là máy thu trên SIEM.

+Nhược điểm: Ví dụ, sử dụng UDP syslog trong môi trường của bạn sẽ có một số lỗ hổng bảo mật mà bạn sẽ muốn xem xét khi thiết kế triển khai SIEM của bạn Vì bản chất của UDP là không cung cấp sự tin cậy và thứ tự truyền nhận mà TCP làm, các gói dữ liệu có thể không đến đúng thứ tự hoặc bị mất mà không có thông báo, nghĩa là bạn không có thể đảm bảo rằng các gói đến đích của chúng Nếu một tình xảy ra trên mạng, chẳng hạn như vi rút lan truyền mạnh mẽ trên toàn mạng, bạn có thể không nhận được các gói nhật ký hệ thống đến SIEM của bạn Một số vấn đề bảo mật khác có thể phát sinh là nếu bạn không đặt quyền truy cập thích hợp trên bộ thu SIEM, một hệ thống được cấu hình sai hoặc người dùng độc hại có thể tràn vào SIEM của bạn với thông tin sai lệch, khiến các sự kiện thực tế được ưu tiên Nếu như đây là một cuộc tấn công có chủ ý chống lại SIEM của bạn, có thể sẽ làm sai lệch các gói tin và đưa dữ liệu rác vào SIEM của bạn Vì lý do này, việc hiểu thiết bị nào đang gửi nhật ký tới SIEM là điều cần thiết.

 Pull Log: Không giống giống như phương pháp Push Log, trong đó thiết bị nguồn gửi nhật ký tới SIEM mà không có bất kỳ tương tác nào từ SIEM.Phương pháp kéo yêu cầu SIEM bắt đầu kết nối với thiết bị nguồn và chủ động truy xuất nhật ký từ thiết bị nguồn Một số ví dụ về điều này, nếu nhật ký được lưu trữ trong tệp văn bản được chia sẻ trên mạng SIEM sẽ thiết lập một kết nối với mạng bằng thông tin đăng nhập được lưu trữ và đọc tệp văn bản cho nhật ký từ thiết bị nguồn Một điều mà bạn cần lưu ý khi dùng Pull Log thì nhật ký có thể không được đưa vào SIEM theo thời gian thực Khi bạn nghĩ về việc thu thập nhật ký bằng phương pháp Push Log, thiết bị nguồn thường gửi nhật ký đến SIEM ngay khi nó tạo ra chúng Nhưng với phương thức Pull Log, SIEM cần liên hệ với thiết bị nguồn và lấy nhật ký của thiết bị nguồn Thu thập bằng phương thức Pull Log có thể được vận hành để chạy trong các khoảng thời gian nhất định Khoảng thời gian này thường do người dùng cấu hình, nhưng bạn sẽ muốn kiểm tra cấu hình mặc định cho SIEM khi thiết lập phương thức này

- Vô số các bản ghi Log được gửi từ các thiết bị và ứng dụng trong môi trường đến SIEM Tại thời điểm này, tất cả các bản ghi đang ở định dạng gốc ban đầu, do đó người quản trị không thực hiện được bất cứ điều gì ngoại trừ lưu nó vào một nơi nào đó Hệ thống SIEM thu thập các bản ghi Log từ rất nhiều các thiết bị khác nhau, việc truyền các bản ghi log từ các bị nguồn đến SIEM cần được giữ bí mật, xác thực và tin cậy bằng việc sử dụng Syslog hoặc các giao thức SNMP, OPSEC, SFTP.

- Nhưng để các bản ghi Log hữu ích trong SIEM cần định dạng lại chúng sang một định dạng chuẩn duy nhất Việc thay đổi tất cả các loại bản ghi Log khác nhau thành các bản ghi có cùng một định dạng duy nhất gọi là chuẩn hóa Nếu các thiết bị không hỗ trợ các giao thức này cần phải sử dụng các Agent Đó là một điều cần thực hiện để việc thực hiện lấy các bản ghi có định dạng mà SIEM có thể hiểu được Việc cài đặt các Agent có thể kéo dài quá trình triển khai SIEM nhưng người quản trị sẽ có những bản ghi Log theo dạng chuẩn mong muốn.

- Mục đích của việc thu thập thông tin là để hiểu và chuẩn hóa các thông tin từ các thiết bị an ninh khác nhau và cung cấp các thông tin đó cho hệ thống để phân tích tiếp Chức năng này rất quan trọng vì dữ liệu có định dạng khác nhau sẽ đến từ các thiết bị và các nhà cung cấp khác nhau.

Hình 1.3 Cisco ASA syslog message

- Ví dụ như hình 3-5 và 3-6 hai hệ thống này, một hệ thống Windows Event Log và một ASA Cisco Cả hai cho thấy cùng một người đăng nhập vào thiết bị Ta thấy các đăng nhập của mỗi nhà cung cấp là khác nhau Nên cần phải hiểu định dạng và chi tiết có trong sự kiện đó Vì vậy việc chuẩn hóa Log là rất quan trọng

Hình 1.4 Nhật ký SIEM sau khi chuẩn hóa

Cách hoạt động của SIEM

- Giải pháp SIEM hoạt động bằng cách thu thập dữ liệu từ nhiều nguồn khác nhau như máy tính, thiết bị mạng, máy chủ, v.v Dữ liệu sau đó được chuẩn hóa và tổng hợp Tiếp theo, các chuyên gia bảo mật phân tích dữ liệu để khám phá và phát hiện các mối đe dọa Do đó, các doanh nghiệp có thể xác định các vi phạm bảo mật và cho phép các tổ chức điều tra các cảnh báo.

- Để hiểu rõ nhất về cách hoạt động của SIEM, trước tiên chúng ta hãy xem xét kỹ hơn hai khái niệm bảo mật chính: sự cố và sự kiện

- Sự cố bảo mật là sự cố xảy ra thực sự hoặc có khả năng gây nguy hiểm cho tính bảo mật, tính toàn vẹn hoặc tính khả dụng (CIA) của hệ thống thông tin hoặc thông tin mà hệ thống xử lý, lưu trữ, truyền hoặc tạo thành vi phạm hoặc nguy cơ vi phạm chính sách bảo mật sắp xảy ra, các thủ tục bảo mật, hoặc các chính sách sử dụng được chấp nhận.

Ví dụ về một sự cố bao gồm nhưng không giới hạn ở:

 Nỗ lực (không thành công hoặc thành công) để có được quyền truy cập trái phép vào hệ thống hoặc dữ liệu của hệ thống.

 Sự gián đoạn hoặc từ chối dịch vụ không mong muốn.

 Việc sử dụng trái phép hệ thống để xử lý hoặc lưu trữ dữ liệu.

 Các thay đổi đối với đặc điểm phần cứng, chương trình cơ sở hoặc phần mềm của hệ thống mà không có sự hiểu biết, hướng dẫn hoặc đồng ý của chủ sở hữu.

- Sự kiện bảo mật là bất kỳ sự kiện nào có thể quan sát được trong hệ thống thông tin bao gồm:

- Làm thế nào để nhân viên CNTT được thông báo hoặc nhận biết rằng họ cần phải điều tra một sự kiện hoặc sự cố bảo mật? Điều này thường được thông báo qua một cảnh báo.

- Cảnh báo là một thông báo rằng một cuộc tấn công cụ thể đã được nhắm vào hệ thống thông tin của một tổ chức Các cảnh báo có nội dung ngắn gọn và thường được gửi đến một cá nhân hoặc nhóm phản hồi cụ thể Thông báo thường được gửi qua email, tin nhắn bật lên trên bảng điều khiển hoặc bằng văn bản hoặc cuộc gọi điện thoại tới điện thoại thông minh.

- Tùy thuộc vào số lượng sự kiện được tạo ra cho mỗi nền tảng được theo dõi, bạn có thể tưởng tượng số lượng sự kiện được ghi lại có thể đạt hàng trăm đến hàng nghìn mỗi giờ khá nhanh Cần phải điều chỉnh cẩn thận và chính xác SIEM để phát hiện và cảnh báo về các sự kiện gây rủi ro lớn nhất.

- Chính khả năng này giúp SIEM khác biệt với các công cụ giám sát và phát hiện khác trên mạng, chẳng hạn như IPS hoặc IDS SIEM không thực sự thay thế chức năng ghi nhật ký của các thiết bị này Nó chỉ hoạt động cùng với các công cụ này bằng cách nhập và tổng hợp dữ liệu nhật ký của chúng để xác định các sự kiện có thể dẫn đến việc khai thác tiềm năng của một hệ thống.

Các chức năng của SIEM

 Quản lý tập trung: Thu thập, lưu trữ tập trung nhật ký và sự kiện từ tất cả các thiết bị trên 1 giao diện giúp quản trị viên có được cái nhìn toàn diện về những gì đang xảy ra trong hệ thống.

 Giám sát an toàn mạng: Phân tích thông tin qua các thuật toán, dự đoán các sự cố bảo mật giúp các bộ phận liên quan chủ động hơn trong công việc.

 Xử lý sự cố: Đưa ra cảnh báo khi có xâm nhập trái phép để kịp thời xử lý và khắc phục sự cố nhanh nhất.

Các tính chức năng này phải đáp ứng đúng nhu cầu của các tính năng sau thì hệ thống SIEM mới hoạt động trơ tru được.

 Phân tích chuyên sâu theo thời gian thực.

 Tích hợp báo cáo tiêu chuẩn hoặc tùy chỉnh theo yêu cầu của doanh nghiệp.

Lợi ích và hạn chế của SIEM

6.1 Những giá trị mà SIEM mang lại

Có rất nhiều lợi thế khi sử dụng SIEM bất kể quy mô doanh nghiệp của bạn Hãy xem bên dưới một số lợi ích bạn có thể kiếm được khi nó được triển khai đúng cách:

Cải thiện hiệu suất an ninh mạng

- SIEM có thể cung cấp cho bạn một trong những tài nguyên quan trọng nhất mà bạn cần khi nói đến các cuộc tấn công mạng - thời gian Việc triển khai SIEM đúng cách sẽ rút ngắn thời gian phát hiện và xác định các mối đe dọa, cho phép bạn phản ứng nhanh hơn Điều đó cho bạn cơ hội để giảm thiểu thiệt hại hoặc ngăn chặn nó hoàn toàn.

- Nó cũng có thể giúp bạn nắm bắt các mối đe dọa zero-day SIEM có thể được cấu hình để phát hiện hoạt động liên quan đến một cuộc tấn công hơn là bản thân cuộc tấn công Điều đó cho phép bạn xác định các mối đe dọa như zero-day có khả năng cao vượt qua bộ lọc thư rác, tường lửa và phần mềm chống vi-rút.

- Trong khi các biện pháp phòng thủ truyền thống khác có thể làm nên điều kỳ diệu để bảo vệ mạng của bạn, thì SIEM có thể giúp bạn phát hiện các hoạt động độc hại lọt qua kẽ hở.

Cung cấp phân tích pháp y chi tiết

- Ngay cả những giải pháp an ninh mạng tốt nhất cũng có thể thất bại Nếu đúng như vậy, SIEM có thể giúp điều tra pháp y diễn ra nhanh hơn Nó cung cấp thông tin chi tiết về vị trí và cách thức vi phạm xảy ra, giúp nhóm CNTT của bạn tạo bản sửa lỗi hoặc bản vá Ngoài ra, nó cũng có thể giúp giải quyết vụ kiện hoặc yêu cầu bảo hiểm bằng cách cung cấp nhật ký lịch sử chuyên sâu mà các nhà điều tra pháp y có thể sử dụng.

Giúp tuân thủ quy định

- Tất cả các doanh nghiệp đều bị ràng buộc bởi một số loại quy định, cho dù đó là từ chính phủ hay một số cơ quan quản lý khác SIEM không chỉ bảo vệ bạn khỏi các cuộc tấn công mà còn giúp bạn tuân thủ các yêu cầu quy định.

- Nó liên tục thu thập và báo cáo về toàn bộ mạng của bạn trong thời gian thực, cung cấp cho bạn dữ liệu để đáp ứng các cơ quan quản lý đang kiểm tra môi trường của bạn Kiểm tra là không thể tránh khỏi, nhưng với SIEM, bạn sẽ luôn sẵn sàng cho chúng.

Cung cấp nhiều loại sử dụng

- SIEM có nhiều cách sử dụng cho bất kỳ thứ gì xoay quanh dữ liệu hoặc nhật ký lịch sử Từ hỗ trợ vận hành đến khắc phục sự cố, SIEM trao quyền cho nhóm CNTT của bạn với thông tin họ cần để thực hiện công việc hiệu quả hơn

6.2 Khi nào nên sử dụng SIEM

- Để có thể đánh giá khái quát về bức tranh an toàn, an ninh thông tin của một cơ quan, tổ chức, thì việc thu thập, phân tích và lưu trữ các sự kiện an toàn thông tin (ATTT) từ các thiết bị, dịch vụ và ứng dụng như: Router, Switch, Firewall, IDS/IPS, Mail Security, Web Security, Anti-Virus, ứng dụng Mail, Web, cơ sở dữ liệu, hệ điều hành… là hết sức cần thiết Tuy nhiên, số lượng sự kiện ATTT được tạo ra bởi các thiết bị an ninh và toàn bộ hệ thống là rất lớn, với các kiểu định dạng khác nhau và giá trị thông tin mang lại cũng khác nhau Các thiết bị khác nhau có thể tạo ra báo cáo ở các góc độ khác nhau về cùng một biến cố ATTT.

- Bên cạnh đó, yếu tố con người và môi trường làm việc có thể dẫn đến việc một số thông tin cảnh báo quan trọng bị bỏ qua, các sự cố ATTT mạng không được xử lý kịp thời… gây ra thiệt hại lớn cho cơ quan, tổ chức Bởi vậy, cần có một hệ thống cho phép cơ quan, tổ chức theo dõi và giám sát được các mối đe dọa mà họ đang đối mặt, từ đó đưa ra các phương án để đối phó, ngăn chặn các mối đe dọa này, đó chính là hệ thống Giám sát an ninh mạng (GSANM) Hệ thống GSANM quản lý và phân tích các sự kiện ATTT, thực hiện thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn bộ các sự kiện ATTT được sinh ra từ các thành phần trong hạ tầng công nghệ thông tin của cơ quan, tổ chức Hệ thống GSANM có thể thực hiện được các nhiệm vụ sau:

 Phát hiện kịp thời các tấn công mạng xuất phát từ Internet cũng như các tấn công xuất phát trong nội bộ.

 Phát hiện kịp thời các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch vụ trong hệ thống.

 Phát hiện kịp thời sự lây nhiễm mã độc trong hệ thống mạng, các máy tính bị nhiễm mã độc, các máy tính bị tình nghi là thành viên của mạng máy tính ma (botnet).

 Giám sát việc tuân thủ chính sách an ninh trong hệ thống.

 Cung cấp bằng chứng số phục vụ công tác điều tra sau sự cố.

- Có nhiều đơn vị, công ty khi được hỏi tại sao lại triển khai giải pháp SIEM họ chỉ trả lời đơn giản: “Để đối phó với các luật liên quan đến an ninh mạng, hay các security compliance mà nhà nước ban hành”.

- Tuy nhiên có nhiều đơn vị, chính chủ doanh nghiệp hơn ai hết họ nhận biết rằng SIEM đóng vai trò cực kỳ quan trọng trong việc góp phần bảo vệ an ninh thông tin cho doanh nghiệp Mà trong kỷ nguyên 4.0 thì việc an ninh thông tin dường như là yếu tố quyết định sự sống còn của doanh nghiệp.

- Giả sử bạn đã trang bị IPS/ IDS /AV, nhưng bạn phải nhớ rằng bản thân các thiết bị này cũng phải cập nhật Sigset/signature trong một thời gian nhất định mới đưa ra các action cần thiết trong việc protect hệ thống của bạn nếu trong hệ thsong bạn có IoC(Indicator of compromise) hoặc zero day attack.

 Trong quá trình chưa cập nhật kip để phát hiện các IoC hoặc zero day attack thi việc truy xuất thông tin các even log đã lưu trữ từ SIEM là việc rất hữu ích để giúp bạn có thể trace các security attack đã diễn ra ở thời gian nào, trên thiết bị nào, user nào, ảnh hưởng tới toàn cục ra sao Vì bản thân SIEM nhận tất cả log, flow từ các nơi để phân tích thống kê.

Sự khác biệt giữa có SIEM và không có SIEM

Hệ Thống Có Giải Pháp SIEM Hệ Thống Không Có Giải Pháp SIEM

– Quản lý event log một cách tập trung và – Việc lưu trữ log bạn phải thực hiện trên việc truy xuất đến log ở 1 thời điểm nhất local, và việc truy xuất logo bạn phải truy định rát dễ dàng xuất đến từng thiết bị một cách thủ công.

– Dựa trên các event log bạn có thể đưa ra – Việc bạn phân tích log cho toàn thể hệ các phân tích cho toàn hệ thống một cách thống để đưa ra 1 đánh giá tổng thể là một tự động hóa một cách dễ dàng việc làm khá khó, thậm chí sẽ tốn của bạn rất nhiều thời gian.

– Tiết kiệm về chi phí phần cứng phục vụ – Việc lưu trữ log trên từng thiết bị một cho việc lưu trữ log trong 1 thời gian dài: cách dài hạn đòi hỏi bạn phải trang bị bạn cứ tưởng tượng 1 server xxx bạn đầu HDD với dung lượng lớn cho từng thiết bị, tư HDD cho việc lưu trữ log trong 10 năm đó là chưa kể các thiết bị firewall, network thì liệu việc nầy có khả thi hay chăng, chưa device thì internal storage của các thiết bị kể nếu doanh nghiệp bạn có 100 server nầy cực kỳ nhỏ nên thậm chí việc lưu trữ như vậy bạn phải đầu tư trang bị HDD lưu log trên local từng thiết bị nầy hầu như là trữ log cho 100 server, việc đưa log tập việc cực kỳ khó khăn và tốn kém Việc lưu trung lại ở 1 mối không chỉ tiết kiệm hơn trữ log xuống HDD local đối với nhiều về chi phí đầu tư mà còn cải thiện thiết bị vận hành phức tạp thì việc nầy có performance cho thiết bị vì không phải ghi thể dẫn đến việc ảnh hưởng tới log lên HDD của server đang vận hành performance của thiết bị đang vận hành khá nhiều.

Hệ thống SIEM trong doanh nghiệp

8.1 Hệ thống trong doanh nghiệp

 Hệ thống CNTT trong doanh nghiệp được quản lý qua nhiều bộ phận như: mạng, ứng dụng, phần mềm,… Do đó, khi có sự cố xảy ra việc tổng hợp nhật ký và sự kiện trong thời điểm đó là rất khó Quá trình điều tra nguyên do bị tấn công, nguồn tấn công sau đó tiêu tốn rất nhiều thời gian, công sức nhưng lại không đảm bảo hiệu quả.

 Hiện nay, các thủ đoạn tấn công ngày càng tinh vi mà các giải pháp bảo mật truyền thống hầu như không thể giúp ích trong việc chống trả lại Vì vậy cần có giải pháp SIEM trong doanh nghiệp Có SIEM mọi vấn đề phức tạp, rắc rối như trên sẽ được giải quyết.

 SIEM giúp thu thập tất cả nhật ký, sự kiện tập trung tại một chỗ để quản trị viên có thể phân tích chính xác vấn đề, phát hiện lỗ hổng ở đâu từ đó đưa ra giải pháp xử lý.hệ thống SIEM tương tự như cuốn từ điển ghi nhận lại tất cả sự việc trên hệ thống mạng nên có thể tra cứu thông tin bất kỳ lúc nào.

 Các cảnh báo còn được đưa ra kịp thời nhằm tiết kiệm thời gian, nhân lực SIEM còn cung cấp cơ chế ngăn chặn tự động các cuộc tấn công mạng và ngắt kết nối với các thiết bị đã bị xâm hại để giảm thiểu tổn thất xuống mức thấp nhất.

8.2 Giải pháp SIEM sử dụng trong doanh nghiệp

Hiện nay, SIEM là nền tảng giảm sát tổng thể và đóng vai trò quan trọng, không thể thiếu trong hệ thống Trung tâm Điều hành An toàn thông tin (SOC) của một tổ chức, đơn vị.

Vì vậy có nhiều công ty phát triển giải pháp SIEM như: Fortinet có FortiSIEM, PaloAlto có PaloAlto SIEM, NESSAR có NESSAR SIEM,… Đặc biệt Viettel một tổ chức thiên về lĩnh vực công nghệ thông tin đã tạo ra sản phẩm Viettel SIEM và sản phẩm này đang được Viettel công bố rộng rãi về ưu điểm tính năng mô hình hoạt động của sản phẩm này

8.1.1 Ưu điểm nổi bật của Viettel SIEM

Giải pháp Viettel SIEM là sản phẩm tự phát triển của Công ty An ninh mạng Viettel Sản phẩm có những ưu điểm, lợi thế như sau:

 Giám sát được tất cả các thành phần trong hệ thống CNTT của khách hàng: Máy chủ, ứng dụng, thiết bị

 Giám sát trong thời gian thực

 Linh hoạt với nhiều mô hình tổ chức

 Tri thức về ATTT được cập nhật liên tục

 Được hỗ trợ bởi đội ngũ chuyên gia giàu kinh nghiệm

 Kiến trúc triển khai mềm dẻo, dễ dàng mở rộng theo quymô của hệ thống

8.1.2 Các tính năng của giải pháp Viettel SIEM

Sử dụng những công nghệ tối tân nhất, đạt chuẩn quốc tế, giải pháp Viettel SIEM hỗ trợ tối đa cho người dùng trong công tác vận hành, giám sát hệ thống ATTT của tổ chức, đơn vị với các tính năng chính như sau:

- Thu Thập và Chuẩn Hóa Dữ Liệu: Viettel SIEM thu thập nhật ký ATTT từ nhiều nguồn khác nhau (như máy chủ, thiết bị, ứng dụng …) qua syslog, API, JDBC, WMI hoặc qua các agent Hệ thống phân tích loại bỏ các dữ liệu dư thừa, chuẩn hóa và phân loại theo định dạng chung tối ưu hóa cho việc phân tích Hệ thống cũng cho phép lưu trữ nhật ký nguyên bản ban đầu phục vụ cho công tác điều tra, truy vết sau này

- Tìm Kiếm và Điều Tra: Viettel SIEM cung cấp ngôn ngữ tìm kiếm thân thiện, hỗ trợ tìm kiếm các event, alert dưới dạng biểu đồ trực quan Các kết quả tìm kiếm có thể trích xuất ra dưới dạng file (json, xlsx).

- Tối Ưu Lưu Trữ Dữ Liệu: Hệ thống lưu trữ dữ liệu được đánh chỉ mục, sao lưu đảm bảo không mất mát dữ liệu, phục vụ cho quá trình điều tra, truy vết trong trường hợp gặp sự cố Hệ thống còn hỗ trợ phân chia chính sách lưu trữ với nhiều loại không gian lưu trữ khác nhau giúp tối ưu hóa hiệu năng hoạt động và tiết kiệm chi phí đầu tư cho việc lưu trữ

- Phát Hiện Tấn Công Thời Gian Thực: Viettel SIEM cung cấp giao diện giám sát cảnh báo theo thời gian thực Các cảnh báo được sắp xếp thứ tự ưu tiên tùy thuộc vào độ nghiêm trọng của loại tấn công cũng như mục tiêu bị tấn công Việc thu thập, xử lý log, phân tích đưa ra cảnh báo được thực hiện trong thời gian < 1 phút với quy mô hệ thống khoảng 60,000 EPS

- Corelation: Hệ thống cung cấp sẵn gần 1000 luật phát hiện các vấn đề bất thường trong hệ thống Tùy từng nghiệp vụ khách hàng mà có thể tùy biến, thêm các luật mới

- Dashboard: Cung cấp giao diện quản trị trực quan, thân thiện, đa dang về thông tin và có thể tùy chỉnh theo nhu cầu sử dụng thực tế của khách hàng Giao diện cũng hỗ trợ việc quản lý nguồn log, cho phép thêm các thiết bị, ứng dụng mới vào hệ thống để đảm bảo khả năng giám sát tức thì.

- Quản Lý WorkFlow: Viettel SIEM cung cấp một hệ thống quản lý ticket và workflow với khả năng lưu trữ, truy vết lịch sử, quản lý vòng đời sự cố, hỗ trợ tối đa khách hàng trong quá trình quản lý, vận hành và khai thác hệ thống ATTT.

- Tự Động Cập Nhật: Các phiên bản mới, bộ luật mới, tri thức mới luôn được cập nhật tự động, giúp giám sát toàn diện hệ thống của khách hàng động.

CÁC CÔNG CỤ SIEM PHỔ BIẾN

Các công cụ SIEM phổ biến

Khi các mối quan tâm về an ninh mạng gia tăng, các tổ chức cần có một cơ sở hạ tầng bảo mật vững chắc để bảo vệ dữ liệu khách hàng và doanh nghiệp của họ đồng thời bảo vệ danh tiếng kinh doanh và giải quyết các vấn đề tuân thủ có thể xảy ra Hiểu được những nhu cầu này nhiều công ty, tổ chức ngày nay đang triển khai các công cụ SIEM để bảo mật hệ thống, ứng dụng vào cơ sở hạ tầng của họ trên đám mây hoặc tại chỗ SIEM cung cấp một công nghệ để theo dõi dấu chân ảo của kẻ tấn công để có được thông tin chi tiết về các sự kiện trước đó và các cuộc tấn công liên quan Nó giúp xác định nguồn gốc của một cuộc tấn công và tìm ra biện pháp khắc phục phù hợp khi vẫn còn thời gian.

Trước khi chọn một công cụ SIEM, nó rất quan trọng để đánh giá mục tiêu của bạn Ví dụ: nếu bạn đang tìm kiếm một công cụ SIEM để đáp ứng các yêu cầu quy định, việc tạo báo cáo sẽ là một trong những ưu tiên hàng đầu của bạn.

Mặt khác, nếu bạn muốn sử dụng hệ thống SIEM để được bảo vệ trước các cuộc tấn công mới nổi, bạn cần một hệ thống có chức năng thông thường hóa chức năng cao và các phương tiện thông báo do người dùng xác định rộng rãi Sau đây là một số công cụ SIEM tốt nhất trên thị trường:

- Elastic Security Ở đây chúng ta sẽ tìm hiểu chi tiết về 2 công cụ:

Tổng quan Splunk

Splunk là hệ thống có thể captures, trích ra các dữ liệu thời gian thực có liên quan tới nhau từ đó nó có thể tạo ra các đồ thị, các báo cáo, các cảnh báo và các biểu đồ.

Mục đích của Splunk là giúp cho việc xác định mô hình dữ liệu và thu thập dữ liệu máy trên toàn hệ thống dễ dàng hơn.Nó cung cấp số liệu, chẩn đoán các vấn đề xảy ra , phục vụ tốt cho hoạt động kinh doanh

Splunk có thể tìm kiếm các sự kiện đã và đang xảy ra, đồng thời cũng có thể báo cáo và phân tích thống kê các kết quả tìm được Nó có thể nhập các dữ liệu của máy dưới dạng có cấu trúc hoặc không cấu trúc Hoạt động tìm kiếm và phân tích sử dụng SPL(Search Processing Language), được tạo để quản lý Big Data Do được phát triển từ Unix Piping và SQL nên Splunk có khả năng tìm kiếm dữ liệu, lọc, sửa đổi, chèn và xóa dữ liệu.

Trong Splunk sẽ gồm 3 thành phần cốt lõi để tạo nên hệ thống Splunk:

Có thể xem Indexer là một nhà máy và data là những nhiên liệu thô cần phải xử lí Khi data được chuyển vào nhà máy, Indexer đóng vai thanh tra nhìn vào các data đó mà đưa ra quyết định xử lí chúng Sau đó chúng được lưu nơi mà người dùng có thể tìm kiếm Khi Indexer thực hiện việc index các event, nó sẽ tạo ra gắn thời gian vào các thư mục để thuận lợi cho việc thực hiện truy vấn của người dùng Khi người dùng truy vấn trong khoảng thời gian nào thì Splunk chỉ việc mở các thư mục chứa trong khoảng thời gian đó hiệu quả và nhanh chóng.

Splunk có thể index cho rất nhiều kiểu dữ liệu Các nguồn dữ liệu thông thường:

 Các dữ liệu có cấu trúc: Các tập tin CSV, JSON hay XML

 Các dịch vụ Web: Apache, IIS

 Các phần mềm vận hành IT: Nagios, NetApp, Cisco USC

 Dịch vụ cơ sở dữ liệu: Oracle, MySQL, Microsoft SQL Server

 Các nền tảng ảo hóa: VMWare, Xen Desktop, XenApp, Hyper-V

 Các dịch vụ ứng dụng: JMX & JMS, WebLogic, WebSphere,

 Nền tảng của Microsoft: Exchange, Active Directory, Sharepoint

- Đây là nơi cho phép người dùng sử dụng để tìm kiếm dữ liệu trong indexed

- Search Head xử lí các yêu cầu tìm kiếm của người dùng và phân tán nó đến các indexers, sau khi nhận được kết quả từ các indexers Search Head thực hiện hợp nhất kết quả trước khi phản hồi cho người dùng

- Search Head cũng cung cấp cho người dùng các tool hỗ trợ chẳng hạn như dashboard, report, visualizations, … c/ Forwarder

- Forwarder có nhiệm vụ tiêu thụ data và chuyển tiếp đến các indexers để xử lí

- Forwarder không yêu cầu resource cao, cũng như ít ảnh hưởng đến performance của hệ thống

- Forwarder thường nằm chung trên các máy chạy các ứng dụng tạo ra dữ liệu, chẳng hạn như máy chủ web

Từ những thành phần cốt lõi đó ta có được sơ đồ triển khai Splunk

Hình 2.1 Mô hình triển khai Splunk phổ biến trong doanh nghiệp

Mô hình trên bao gồm các thành phần như:

 Nhiều thiết bị Forwarders trung gian phục vụ cho quá trình load, tính sẵn sang cao, và cải thiện tốc độ xử lý các event sắp tới.

 Một Indexer liên kết với nhiều hệ thống Với nhiều search-peer(indexer) cải thiện hiệu năng của quá trình nhập dữ liệu và tìm kiếm Khi Indexer thực hiện việc index các event, nó sẽ tạo ra gắn thời gian vào các thư mục để thuận lợi cho việc thực hiện truy vấn của người dùng Khi người dùng truy vấn trong khoảng thời gian nào thì Splunk chỉ việc mở các thư mục chứa trong khoảng thời gian đó, hiệu quả và nhanh chóng Nó giúp giảm thời gian tìm kiếm và cung cấp tính dự phòng cao.

 Có nhiều đầu tìm kiếm Những hệ thống riêng biệt này sẽ phân phối bất kỳ yêu cầu tìm kiếm trên tất cả các search-peer đã cấu hình trước đó để cải thiện hiệu năng tìm kiếm.

 Đầu tìm kiếm riêng biệt được thể hiện ở đây để hỗ trợ ứng dụng Splunk’s Enterprise Security(ES).

 Server triển khai Hệ thống nay có thể được tích hợp với các dịch vụ Splunk khác, hoặc triển khai độc lập Nếu muốn triển khai hệ thống lớn, một hệ thống độc lập là rất quan trọng.

2.3 Chức năng của Splunk Định dạng Log: Hỗ trợ hầu như tất cả các loại log của hệ thống, thiết bị hạ tầng mạng, phần mềm, Firewall, IDS/IPS, Log Event, Register của các máy trạm ….

Các hình thức thu thập dữ liệu: Splunk có thể thực hiện việc thu thập log từ rất nhiều nguồn khác nhau Từ một file hoặc thư mục (kể cả file nén) trên server, qua các kết nối UDP, TCP từ các Splunk Server khác trong mô hình Splunk phân tán, từ các Event Logs, Registry của Windows …Splunk kết hợp rất tốt với các công cụ thu thập log khác.

Cập nhật dữ liệu: Splunk cập nhật dữ liệu liên tục khi có thay đổi trong thời gian thực.

Giúp cho việc phát hiện và cảnh báo trong thời gian thực. Đánh chỉ mục dữ liệu: Splunk có thể đánh chỉ mục dữ liệu với một khối lượng dữ liệu rất lớn trong một khoảng thời gian ngắn Giúp việc tìm kiếm diễn ra nhanh chóng và thuận tiện.

Tìm kiếm thông tin: Splunk làm việc rất tốt với dữ liệu lớn và cập nhật liên tục Nó cung cấp cơ chế tìm kiếm với một “Splunk Language” cực kỳ thông minh bao gồm các từ khóa, các hàm và cấu trúc tìm kiếm giúp người sử dụng có thể truy xuất mọi thứ, theo rất nhiều tiêu chí từ tập dữ liệu rất lớn Những nhà quản trị mạng cao cấp và chuyên nghiệp thường gọi Splunk với cái tên “Splunk toàn năng” hay “Splunk as Google for Log files” để nói lên sức mạnh của Splunk.

Giám sát và cảnh báo: Splunk cung cấp cho người dùng một cơ chế cảnh báo dựa trên việc tìm kiếm các thông tin do chính người sử dụng đặt ra Khi có vấn đề liên quan tới hệ thống phù hợp với các tiêu chí mà người dùng đã đặt ra thì hệ thống sẽ cảnh báo ngay tới người dùng (cảnh bảo trực tiếp qua giao diện, giử Email).

Khắc phục sự cố: Splunk còn cung câp một cơ chế tự động khắc phục với các vấn đề xảy ra bằng việc tự động chạy các file Script mà người dùng tự tạo (Ví dụ như: Chặn IP, đòng Port …) khi có các cảnh báo xảy ra.

Hiển thị thông tin: Splunk cung cấp một cơ chế hiển thị rất trực quan giúp người sử dụng có thể dễ dàng hình dung về tình trạng của hệ thống, đưa ra các đánh giá về hệ thống Splunk còn từ động kết xuất ra các báo cáo với nhiều loại định dạng một cách rất chuyên nghiệp.

Phát triển: Cung cấp các API hỗ trợ việc tạo các ứng dụng trên Splunk của người dùng.

THỰC NGHIỆM SIEM

Sơ đồ thực nghiệm

1 Hình ảnh Đây là mô hình triển khai hệ thống Splunk, máy linux có nhiệm vụ là cài đặt hệ thống Splunk, 2 server có nhiệm vụ cài đặt pfsense: 1 server firewall pfsense cài đặt antivirus và 1 server pfsense cài đặt snort, còn máy laptop có nhiệm vụ đăng nhập vào giao diện của Splunk, pfsense để thực hiện cấu hình chỉnh sửa, để có thể thu thập được dữ liệu của firewall, OS, antivirus và IDS lên hệ thống Splunk

Hình 3.1 Mô hình triển khai hệ thống SIEM

Máy linux có cài hệ thống Splunk có kết nối mạng với 2 server firewall pfsense, máy laptop dùng để vào giao diện của Splunk Splunk có nhiệm vụ thu thập dữ liệu từ hệ điều hành: CPU, hardware và các hoạt động trên hệ điều hành (đăng nhập, chỉnh sửa, cấu hình), firewall: CPU, và các hoạt động trên hệ điều hành (đăng nhập, chỉnh sửa, cấu hình), IDS: các hoạt động cấu hình, chỉnh sửa, show log khi khởi động snort trên firewall,kiểm tra đươc log khi có tấn công snort, antivirus: : là các hoạt động cấu hình, chỉnh sửa,show log khi khởi động antivirus trên firewall và tạo cảnh báo, thống kê trên hệ thốngSplunk Máy laptop để đăng nhập vào giao diện của Splunk, pfsense để thực hiện cấu hình, chỉnh sửa Chi tiết cần thực hiện 1 máy linux và 2 server firewall:

Máy linux có IP 103.143.208.52 sử dụng để cài đặt hệ thống Splunk làm để quản lý log, dữ liệu thống kê, và tạo cảnh báo khi có tấn công đăng nhập sai.

 Có 1 server firewall có IP 103.143.209.63 cài firewall pfsense trên firewall có cài thêm squid proxy(clamav) để thực hiện gửi giữ liệu của firewall, antivirus qua cho Splunk để quản lý log, dữ liệu và thống kê.

 Có 1 server firewall có IP 103.143.209.119 cài firewall pfsense trên firewall có cài thêm Snort(IDS) để thực hiện gửi giữ liệu của firewall, snort qua cho Splunk để quản lý log, dữ liệu, thống kê và tạo cảnh báo khi có tấn công snort.

- Máy laptop thật là để kết nối với IP máy linux và IP của 2 server firewall để vào giao diện hệ thống.

- Thu thập log của hệ điều hành: CPU, hardware và các hoạt động trên hệ điều hành như là: đăng nhập, chỉnh sửa, cấu hình

- Thu thập log firewall: CPU và các hoạt động trên firewall như là: đăng nhập, chỉnh sửa, cấu hình

- Thu thập log antivirus: là các hoạt động cấu hình, chỉnh sửa, show log khi khởi động antivirus trên firewall

- Thu thập log IDS: là các hoạt động cấu hình, chỉnh sửa, show log khi khởi động snort trên firewall, kiểm tra đươc log khi có tấn công snort

- Tạo thống kê: dữ liệu của hệ điều hành, firewall, antivirus, IDS khi thực hiện thu thập log trong một khoảng thời gian trên biểu đồ

- Cảnh báo các sự kiện: những sự kiện khi có tấn công, đăng nhập sai fail ở trên hệ điều hành, firewall, antivirus, IDS

Triển khai các kịch bản

1 Thu thập log hệ điều hành

- Ở hệ điều hành, tiến hành thực hiện cấu hình hệ thống Splunk trên centos

- Tạo một hệ điều hành centos khác kết với hệ thống Splunk và cấu hình rsyslog để gửi log về cho hệ thống Splunk

- Ở trên hệ thống Splunk ta tiến hành cấu hình port để tùy chọn lắng nghe từ nhiều nguồn trên hệ điều hành

Cấu hình hệ thống Splunk:

Bước 1: Xây dựng hệ thống Splunk bằng lệnh được nhập sau: wget https://download.splunk.com/products/splunk/releases/8.1.0/linux/splunk-8.1.0- f57c09e87251-Linux-x86_64.tgz là một lệnh để tải phiên bản Splunk

Hình 3.2 Cài đặt splunk trên linux

Bước 2: Chuyển phiên bản Splunk vừa cài đặt vào home để dễ quản lý bằng lệnh cp splunk-8.1.0-f57c09e87251-Linux-x86_64.tgz /home

Hình 3.3 Chuyển gói splunk về thư mục homeBước 3: Giải nén phiên bản Splunk vừa cài đặt bằng lệnh được nhập sau: tar -xvzf splunk-8.1.0-f57c09e87251-Linux-x86_64.tgz

Hình 3.4 Giải nén file splunk mới tải về Bước 4: Khởi động hệ thống Splunk và lấy dữ liệu license

Vào file splunk/bin sau đó sẽ khởi động để chạy Splunk bằng lệnh: /splunk start

Hình 3.5 Lấy dữ liệu license để vào splunk

Sau khi được cấp phép license hoàn tất thì ta sẽ vào được giao diện Splunk

Hình 3.6 Cài đặt hoàn tất hệ thống splunk

Dùng đường link khi đã cài xong Spunk để vào giao diện đăng nhập và nhập user password vừa tạo để vào hệ thống. Đường link: http://103.231.188.97:8000

Hình 3.7 Giao diện hệ thống Splunk

Hình 3.0.8 Giao diện khi đăng nhập vào hệ thống splunk

Bước 5: Sau khi truy cặp vào hệ thống Splunk để nhận syslog (nhật ký dữ liệu) của hệ điều hành, ta cần thực hiện: Đầu tiên vào settings chọn mục Data inputs

Hình 3.9 Tạo data input để nhận log

Ta chọn UDP -> add new nhập port 514 và bấm next Tiếp theo ta chọn syslog -> Search

& Reporting (search) -> IP rồi sau đó ấn review

Hình 3.11 Cấu hình nhận log từ hệ điều hành

Cấu hình trên hệ điều hành

Bước 1: Cài rsyslog để xuất log cho hệ thống Splunk nhận vào bằng lệnh: yum install rsyslog khởi động rsyslog bằng lệnh: systemctl start rsyslog

Hình 3.12 Kiểm tra tình trạng của rsyslog Bước 2: Thực hiện vào file /etc/rsyslog.conf để chỉnh sửa port 514

Hình 3.13 Chỉnh sửa file trong rsyslog.conf Đồng thời thêm một dòng dưới vào section rules

Hình 3.14 Chọn IP để quản lý log

Sau khi cấu hình xong, ta tiến hành thu thập log và dữ liệu của hệ điều hành bằng câu lệnh sau: host= 103.243.218 source="udp:514" sourcetype="syslog" host= 103.243.218 đây là ip để Splunk truy cập vào thu thập log

Source: lệnh nguồn lắng port udp 514 của hệ điều hành sourcetype="syslog” đây là lệnh để Splunk thu thập nhật ký dữ liệu của hệ điều hành

Thu thập nhật ký dữ liệu của hệ điều hành trong 24h qua

Hình 3.15 Hệ thống splunk đã nhận được log của hệ điều hành

Bước 1: Chúng ta có thể cài 1 app trên hệ thống splunk để quản lý log cho hệ điều hành cho dễ hơn như sau: Đầu tiên vào phần setting sau đó chọn Browse more apps để có thể add thêm được phần Linux

Hình 3.16 Vào browse để cài đặt thêm add-on linux

Sau đó ở đây search từ Linux rồi chọn vào Add-on for Unix and Linux cài vào trong hệ thống splunk

Hình 3.17 Install add-on linux về splunkSau khi đã cài xong thì chúng ta sẽ setup để có thể đẩy log lên hệ thống splunk

Hình 3.18 Cấu hình đế nhận log từ hệ điều hànhKhi đã setup những phần cần thiết thì sẽ bấm save để lưu lại cấu hình vừa rồi đã cài đặt

Hình 3.19 Save để lưu cấu hìnhBước 2: Tạo index trên splunk để dễ nhận cấu hình hơn

Hình 3.20 Tạo index cho linux

Bước 3: Chúng ta sẽ lên hệ điều hành centos để cấu hình cho log có thể đẩy lên được hệ thống splunk Đầu tiên chúng ta dùng lệnh sau để có thể vào file input để chỉnh cấu hình đẩy log lên hệ thống cd splunk/etc/apps/Splunk_TA_nix/default và sau đó bấm ls để show ra nhưng file nằm trong lệnh trên

Hình 3.21 Cấu hình lại file input

Tiếp theo chúng ta dùng lệnh vi inputs.conf để cấu hình và chỉnh những file sau để đẩy log những cấu hình vừa rồi lên

Hình 3.22 Chỉnh sửa file input

* Chúng ta sẽ sử dụng câu lệnh sau trên hệ thống splunk là index=linux thì sẽ hiện ra những cấu hình đã thực hiện để splunk nhận log được từ hệ điều hành

Khi search index=linux thì chúng ta nhận được những cấu hình được thiết lập như syslog, hardware, root,…

Hình 3.23 Đã nhận được cấu hình từ hệ thống Nhận được kết quả khi nhập index=linux dữ liệu được nhận vào trong vòng 24h qua

Hình 3.24 Nhận được log từ hệ điều hành

2 Thu thập log Firewall Ở firewall, tiến hành thực hiện cài đặt pfSense firewall

Các bước thực hiện cấu hình: Điều kiện để cấu hình được pfSense firewall chúng ta cần:

- 2 card mạng (1 là mạng Lan, 2 là mạng Wan) trong đó mạng Wan sẽ kết nối ra ngoài internet còn mạng Lan sẽ kết nối cục bộ cho các máy trong nội bộ

Bước 1: Tải file về ISO Sau đó sử dụng bản ISO vừa tải về để tiến hành cài đặt:

Hình 3.25 Cài đặt pfsense bằng file ISO

Bước 2: Tại giao diện pfSense, xuất hiện Menu hiển thị các tùy chọn cài đặt Người dùng có thể nhấn phím 1 để cài đặt mặc định Hoặc hệ thống sẽ tự chọn mặc định Boot pfSense Default.

Hình 3.26 Cấu hình mặc định của pfsense

Bước 3: Kế tiếp ở phần tiếp theo chọn “Configure Console”, bạn chọn Option “Accept these settings” để tiếp tục cài đặt Nếu bạn chưa từng cài đặt hoặc sử dụng pfSense thì có thể lựa chọn Option “Quick/Easy Install” Hoặc nếu bạn đã từng sử dụng pfSense có thể chọn Option “Custom Install” để tùy chọn nâng cao cho phần cấu hình pfSense.

Bước 4: Sau khi thực hiện hết các bước thì sẽ hiện bảng để reboot bạn chọn vào reboot để hoàn tất cài đặt

Hình 3.28 Thực hiện reboot để pfsense nhận cấu hình

Bước 5: Chúng ta sẽ tiến hành cấu hình card Lan cho firewall còn card Wan thì dùng mạng wifi mặc định

Hình 3.29 Cấu hình card mạng cho pfseneBước 6: Chúng ta chọn 24 là subnetmask

Hình 3.30 Chọn subnet cho card mạng Bước 7: Chọn gateway tới IP chọn khi cài đặt ở trên

Hình 3.31 Cấu hình gateway cho card mạng Hình giao diện vào pfSense firewall khi nhập IP Lan để vào

Hình 3.32 Giao diện của pfsense

Trên hệ thống Splunk thu thập được dữ liệu từ CPU và các hoạt động thực hiện như là bật tắt cấu hình chỉnh sửa trên firewall gửi đến Splunk

Hình 3.33 SPlunk đã nhận được dữ liệu từ pfsene

3 Thu thập log antivirus Ở firewall, tiến hành thực hiện cài đặt pfSense firewall

Sau khi cấu hình, pfsense thì tiến thành cài đặt squid trên pfsense và cấu hình squid có thể truyền dữ liệu cho hệ thống Splunk để quản lý dữ liệu

Thực hiện cấu hình firewall Đã thực hiện ở phần 2

Bước 1: Đầu tiên ta thực hiện cài đặt Snort trên pfSense thì cần phải vào: System-> package manager -> chọn Available Packages để cái đặt snort Đã thực hiện cài đặt squid

Hình 3.34 Cài đặt squid trên pfsense

Bước 2: Cấu hình để squid có thể gửi dữ liệu cho hệ thống Splunk để quản lý

Vào Services -> Chọn squid proxy server

Sau đó thực hiện enable squid lên chọn IPv4 chọn card mạng là card Wan, còn port proxy là port mặc định 3128 và ấn save để lưu cấu hình

Hình 3.35 Cấu hình squid trên pfsense Bước 3: Cấu hình local cache cho squid để có thể cấu hình antivirus

Cấu hình hard Disk lại và memory cache cho squid, chọn save để nhận cấu hình

Hình 3.36 Cấu hình hard disk squid

Hình 3.37 Cấu hình memory cho squidBước 4: Sau đó thực hiện enable Clamav lên và chọn data update trong vòng 1 giờ và nhấn save để lưu lại cấu hình Khởi động clamav lên.

Splunk nhận được log của squid khi khởi động, tắt hay tác động lên đều nhận được dữ liệu từ firewall chuyển đến hệ thống Splunk

Hình 3.39 Splunk nhận được dữ liệu của squid

4 Thu thập log IDS Ở firewall, tiến hành thực hiện cài đặt pfSense firewall

Sau khi cấu hình, pfsense thì tiến thành cài đặt snort trên pfsense và cấu hình snort có thể truyền dữ liệu cho hệ thống Splunk để quản lý dữ liệu

Thực hiện cấu hình firewall Đã thực hiện ở phần 2

Ngày đăng: 11/12/2023, 08:11

Xem thêm

HÌNH ẢNH LIÊN QUAN

Hình 1.2 Windows event log - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 1.2 Windows event log (Trang 29)
Hình 1.5 Mô hình kiến trúc của Viettel SIEM - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 1.5 Mô hình kiến trúc của Viettel SIEM (Trang 45)
Hình 2.1 Mô hình triển khai Splunk phổ biến trong doanh nghiệp Mô hình trên bao gồm các thành phần như: - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 2.1 Mô hình triển khai Splunk phổ biến trong doanh nghiệp Mô hình trên bao gồm các thành phần như: (Trang 51)
Hình 2.2 Thành phần trong cơ chế hoạt động của IBM QRadar - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 2.2 Thành phần trong cơ chế hoạt động của IBM QRadar (Trang 61)
Hình 2.3 Mô hình giải pháp tập trung - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 2.3 Mô hình giải pháp tập trung (Trang 64)
Hình 2.4 Mô hình giải pháp phân tán - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 2.4 Mô hình giải pháp phân tán (Trang 66)
Hình 3.4 Giải nén file splunk mới tải về Bước 4: Khởi động hệ thống Splunk và lấy dữ liệu license - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.4 Giải nén file splunk mới tải về Bước 4: Khởi động hệ thống Splunk và lấy dữ liệu license (Trang 71)
Hình 3.5 Lấy dữ liệu license để vào splunk - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.5 Lấy dữ liệu license để vào splunk (Trang 72)
Hình 3.6 Cài đặt hoàn tất hệ thống splunk - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.6 Cài đặt hoàn tất hệ thống splunk (Trang 72)
Hình 3.7 Giao diện hệ thống Splunk - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.7 Giao diện hệ thống Splunk (Trang 73)
Hình 3.0.8 Giao diện khi đăng nhập vào hệ thống splunk - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.0.8 Giao diện khi đăng nhập vào hệ thống splunk (Trang 74)
Hình 3.17 Install add-on linux về splunk - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.17 Install add-on linux về splunk (Trang 79)
Hình 3.20 Tạo index cho linux - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.20 Tạo index cho linux (Trang 82)
Hình 3.21 Cấu hình lại file input - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.21 Cấu hình lại file input (Trang 83)
Hình 3.25 Cài đặt pfsense bằng file ISO - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.25 Cài đặt pfsense bằng file ISO (Trang 85)
Hình 3.26 Cấu hình mặc định của pfsense - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.26 Cấu hình mặc định của pfsense (Trang 86)
Hình 3.27 Chọn Quick install - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.27 Chọn Quick install (Trang 86)
Hình 3.28 Thực hiện reboot để pfsense nhận cấu hình - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.28 Thực hiện reboot để pfsense nhận cấu hình (Trang 87)
Hình 3.29 Cấu hình card mạng cho pfsene Bước 6: Chúng ta chọn 24 là subnetmask - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.29 Cấu hình card mạng cho pfsene Bước 6: Chúng ta chọn 24 là subnetmask (Trang 87)
Hình 3.31 Cấu hình gateway cho card mạng Hình giao diện vào pfSense firewall khi nhập IP Lan để vào - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.31 Cấu hình gateway cho card mạng Hình giao diện vào pfSense firewall khi nhập IP Lan để vào (Trang 88)
Hình 3.36 Cấu hình hard disk squid - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.36 Cấu hình hard disk squid (Trang 91)
Hình 3.38 Khởi động ClamAV - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.38 Khởi động ClamAV (Trang 92)
Hình 3.41 Giao diện Snort Tiếp theo thực hiện cài đặt Rules Snort - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.41 Giao diện Snort Tiếp theo thực hiện cài đặt Rules Snort (Trang 94)
Hình 3.44 Tạo tài khoản Snort - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.44 Tạo tài khoản Snort (Trang 95)
Hình 3.45 Vào oninkcode lấy mã - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.45 Vào oninkcode lấy mã (Trang 95)
Hình 3.48 Cấu hình Remove Blocked Hosts Interval - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.48 Cấu hình Remove Blocked Hosts Interval (Trang 97)
Hình 3.50 Cấu hình gửi cảnh báo - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.50 Cấu hình gửi cảnh báo (Trang 98)
Hình 3.54 Cấu hình cảnh báo tấn công Snort - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.54 Cấu hình cảnh báo tấn công Snort (Trang 100)
Hình 3.56 Thống kê dữ liệu của linux - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.56 Thống kê dữ liệu của linux (Trang 102)
Hình 3.58 Thống kê session của hệ điều hành - Đồ án tìm hiểu siem (security information and event management) và thực nghiệm
Hình 3.58 Thống kê session của hệ điều hành (Trang 103)

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w