Nghiên cứu và xây dựng giải pháp tự động hóa ứng phó sự cố trong hệ thống phát hiện và phản hồi đầu cuối

Đồ án tốt nghiệp đại học Mục lụcActive Response Phản hồi chủ động Decoder Bộ giải mã EDR Endpoint Detection and Hệ thống phát hiện và phản hồi Response đầu cuối Endpoint Các thiết bị đầu

Trang 1

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THONG

KHOA AN TOÀN THÔNG TIN

PT,

LA

DE TAI: NGHIEN CUU VA XAY DUNG

GIAI PHAP TU DONG HOA UNG PHO SU CO TRONG HE THONG PHAT HIEN VA PHAN HOI

ĐẦU CUOI

Giảng viên hướng dẫn : PGS TS DO XUAN CHO

Sinh viên thực hiện : NGUYÊN ĐỨC SƠN Lớp : DI9CQATOI-B

Niên khóa : 2019-2024

Hệ : Đại học chính quy

Hà Nội, tháng 1 năm 2024

Trang 2

LỜI CẢM ƠN

Lời đầu tiên, em xin gửi lời cản ơn chân thành nhất tới các Thầy, Cô trong Khoa

An toàn thông tin và Công nghệ thông tin I Học viện Công nghệ Bưu chính Viễn

thông, đã tận tình truyền đạt cho em những kiến thức quan trọng trong suốt quá trình

theo học tại trường.

Đặc biệt, em xin bày tỏ lòng biết ơn sâu sắc nhất tới thầy giáo hướng dẫn đồ án tốtnghiệp cho em — PGS TS Đỗ Xuân Chợ, người đã dành thời gian và tâm huyết dé

hướng dẫn, giúp đỡ em trong quá trình thực hiện đồ án

Cuối cùng, em xin gửi lời cảm ơn tới gia đình, bạn bè và đồng nghiệp đã luôn ởcạnh quan tâm động viên, tạo những điều kiện tốt nhất cho em trong quá trình học tập

và thực hiện đồ án

Do trình độ kiến thức cũng như kinh nghiệm thực tế còn nhiều hạn chế, nên trong

đồ án của em không thể tránh khỏi những thiếu sót Vì thế, em rất mong nhận được sựquan tâm, góp ý của các Thay, Cô dé đồ án của em được hoàn thiện hơn

Em xin chân thành cảm ơn!

Hà Nội, tháng | năm 2024

Sinh viên thực hiện Nguyễn Đức Sơn

Trang 3

Đồ án tốt nghiệp đại học

NHAN XÉT, ĐÁNH GIÁ, CHO DIEM

(Của Người hướng dẫn)

Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng cham đồ án tốt nghiệp?

Hà Nội, ngày tháng năm 2024

CÁN BỘ - GIẢNG VIÊN HƯỚNG DẪN

(ký, họ tên)

Nguyễn Đức Sơn - B19DCAT153

Trang 4

NHAN XÉT, ĐÁNH GIÁ, CHO DIEM

(Của Người phản biện)

Hà Nội, ngày tháng năm 2024

CÁN BỘ - GIẢNG VIÊN PHẢN BIỆN

(ký, họ tên)

Trang 5

Trang 6

Đồ án tốt nghiệp đại học Mục lục

MỤC LỤC MỤC LUỤC 5:21 21 1E2122122121121121121121111211121111211211211212112 111kg i

DANH MỤC HINH ẢNH 2-22 52s 9E EEEEE1E2122121121121121112121 111111111 re iii

DANH MỤC CAC BANG oioieoceccecceccsssssessessessesssssesscsesssessessessessesssssesssstsstessssseteeees vi

DANH MỤC CAC TU VIET TAT u.occccccccccccecccsecsessessesssssssessesessessessessessessesseseeees Vii

NY COSDY Oh 1

CHUONG 1: HE THONG PHAT HIEN VÀ PHAN HOI ĐẦU CUOI (EDR) 3

1.1 Tổng quan về hệ thống phát hiện và phản hồi đầu cuối (EDR) 3

1.1.1 Khái niệm về Endpoint và sự cần thiết của Endpoint Security: 3

1.1.2 Khái niệm và chức năng của EDR: - - cecceeteeceeeteeeeeeneeeeeneaes 4

1.1.3 Một số sản phẩm EDR:: 5-5 S1 E1 3E 121111811 211121 11111111111 rte 5

1.2 Tống quan về Wazuh [3]: - + s22 1211211211 2121112111 2121111 re 5

1.2.1 Giới thiệu về Wazulh: - - 2-5252 E2E21 2171717111112 1c rre 5

1.2.2 Kiến trúc và cách thức hoạt động của Wazuh: -2- 5c cscccce¿ 5

1.2.3 Rule và Decoder: - - - -c G c1 111111112 11222221 111111 vn ng 1111 kh 6

CÀ 7Á) 6 :Öö5œ-+1OOÔÔÔ 9

1.2.5 Một số API Wazuh cung €ấp: - c5 2121212121 1121 E111 II

1.3 Kết chương Ï: -©5:©2222E22E22112122121121 2121121 re 11

CHUONG 2: HE THONG DIEU PHÓI, TỰ ĐỘNG HOA VA PHAN HOI AN

NINH (SOAR) 12

2.1 Téng quan về hệ thống điều phối, tự động hóa và phan hồi an ninh

911 (3ịilÀ 12

2.1.1 Khái niệm SOAR [4|: -.- - - 2c S1 2112112111115 111x811 1H Hệ 12

2.1.2 Các tính nang và lợi ích SOAR mang lại [Š]: . 5555555555 13

2.1.3 Một số sản phẩm SOAIR: 5 2S SE E12212212112112112112121 111 y6 13

2.2 Tống quan về Shuffle [Ñ]: - - 2© SềEEEEEE2EEEE2EEE21E1 E111 EErtre 15

2.2.1 Giới thiệu về Shufffle: +: 52221221 EE211221221211211221211211 1 xe 15

2.2.2 Kiến trúc và hoạt động của Shufffe: - 2-52 St te ket 16

2.2.3 Các tính năng Shuffle cung cấp: - 2 s22 2EzErEerkerrrxree 17

2.3 Tổng quan về TheHive [9]: 2: + +SE£EE+EE£EE2EE2EE2EE2EEEEEEEErErrrrres 22

2.3.1 Giới thiệu về TheHive: 2-52 SE E121 1121111111111 xe 22

2.3.2 Kiến trúc và hoạt động của TheHive: - +52 scczzxeEerzxerred 23

2.3.3 Một số API TheHive cung cấp: (52 SE E2 211121 xcxerrex 24

2.4 Kết chương 2: S St HE ng r ra 25

Nguyễn Đức Sơn — BI9DCAT153 i

Trang 7

CHƯƠNG 3: XÂY DỰNG HE THONG DIEU PHÓI, TỰ ĐỘNG HOÁ VÀ

PHAN HOI AN NINH DUA TREN SHUFFLE, THEHIVE VÀ WAZ.UH 26

3.1 Mô tả bai toán và hướng giải quyẾt: - - 5-5 St Street 26

3.1.1 Mô tả bài toán: - - Q2 HH TT HH HT HH KT kg kh 2x2 26

3.1.2 Hướng giải quyẾt: 5c S1 E1 1 1221211111111 re 26

3.2 Tiến hành xây dựng hệ thống điều phối, tự động hoá và phản hồi an ninh

(SOAR): S22 2122122122112112112211 1012121111111 re 28

3.2.1 Cài đặt Wazuh [3]: - 2-55-5222 EE2E2E1221271211212112112121211 1E yee 28

3.2.2 Cài đặt Shuffle [Ñ]: -©-¿+2s+2Et2E22122127112112127121121112111 112 e0 33

3.2.3 Cài đặt TheHive [9]: - + + 22222122121122122121121121121121 11 xe 34

CHƯƠNG 4: XÂY DUNG PLAYBOOK THU NGHIỆM HE THONG SOAR.37

4.1 _ Xây dựng playbook tự động phản ứng khi phát hiện tấn công vét cạn: 37

ALA Kich Dame e. aố 37

4.1.2 Tiến hành xây dung Playbook: 0.0 c.ccccccsccscsseesessesesseseesesessseseeeeees 37

4.1.3 Thử nghiệm Playbo0: - G 2 112112 1111211911111 1 1811181111 ng reg 40

4.2 Xây dựng playbook tự động phản ứng lại khi người dùng tải xuống các

phần mêm độc hại: - 5G 0322111211 3321 1121111111111 11111111 11 1n kg ng kế 45

4.2.1 Kich Dame - 45

4.2.2 Tiến hành xây dựng Playbook? 0.0 00.cccccccscssesseseessesessesseesesseseeeeseeees 45

4.2.3 Thử nghiệm Playbo0: - - c2 1121121111121 2 111111181 1g ket 49

4.3 Xây dựng playbook tự động phản ứng khi endpoint có dấu hiệu bị nhiễm

mã độc tông tiên (ranS0ITIWAF€): nh H* HH TH TH TH TH HH net 54

4.3.1 Kich Dame e ỐẢ 54

4.3.2 Tiến hành xây dựng Playbook? 00.0 c0cccccsscessesesseeseesesseesesseeseeeeeeees 55

4.3.3 Thử nghiệm PlaybooK: - + 1n ng ng 59

4.4 Danh giá kết qua thử nghiệm, ưu điểm và nhược điểm của hệ thống

SOAR được xây dựng: LH HH HH HH nh 63

4.4.1 Đánh giá kết quả thử nghiệm: - 2-5 5s St SE EEEEeErkrkrkrke 63

4.4.2 Ưu điểm và nhược điểm của hệ thống được xây dựng: 64

4.5 Kết chương 4: -2c TT H101 re 65

KẾT LUẬN 52-52 S1 E121221212111 211211211 211211211211211 2111111211111 Eerr rêu 66

TÀI LIEU THAM KHẢO 22 2S 9ESEEEEEEEEEE1211211211211211211712111 11111 xe 67

DANH MỤC HÌNH ANH

Hình 1-1 Ví dụ vê EndpOIHi( - - 11119 ng nh TH nh TH nh 3

Hình 1-2 Endpoint Detection and ReSpOTS€ - (c2 33211132 113355511 Eexk2 4

Nguyễn Đức Sơn - BI9DCAT153 ii

Trang 8

Hình 1-3 Kiến trúc của Wazuh -:-52c:222t222122111271112721122112112.1 re 6

Hình 1-4 Sơ đồ hoạt động Active RespOonse ¿+52 tt E211 Erkrrrei 10

Hình 2-1 Security Orchestration, Automation and Response + -+++++ 12

Hình 2-2 Splunk SOAI c1 12111211 112111211 1111111110111 011 01111 1 ng kg ky 14

Hinh 2-3 Cortex XSOAR 011 5 5 14

Hinh 2-4 3i 1117 15

Hình 2-5 Kiến trúc của Shuffle - ¿2 2 ESE9EEEEEE2EEEEEEEEEEE12171215 7111.111111 xe 16

Hình 2-6 Các App được cung cấp sẵn ¿- 25s E2 2212212231221221211211221 212 crk 17

Hinh 2-7 960)/.u06/.v : 18 .ad(:::1I1 18

Hinh 2-8 Enrich Usecase ccccccecccccsssccsssecceseceeseeceeseeeceseeeceseeeseeseeeeeeesssseeeeeseneeaaes 18

Hình 2-16 Kiến trúc của TheHive - -::552+22++2Exx2EEx2EExtttErrttrrtrtrrrrrrrerrre 23

Hình 3-1 Mô hình giải quyết bài toán - +: S S‡EềE SE 2112117112111 te 27

Hình 3-3 File cầu hình Wazuh 552c22++2EE t2 ErttEErrttrrrrtrrrrrrrrrrirrrik 29

Hình 3-4 Tạo các file cần thiẾ - c5 SE S3 SE2E2EEEEEEEEEEEE1212151E551111111 1151111 EEe 29

Hình 3-5 Cài đặt Wazuh Ïndexer - + + + 2113322231111 115553111111 1 xxx ve 30

Hình 3-6 Kiểm tra Wazuh Indexer - +: + s‡S‡EE9EE2EE2EE2E2EE2E21717171 211 xe 30

Hình 3-7 Cài đặt Wazuh S€TV€T - - - QQQQĐĐ S991 9223311 11111 vu 31

Hình 3-8 Cài đặt Wazuh Dashboard - - 2211111111111 1 1111k 31

Hình 3-9 Giao diện Wazuh Dashboard - + 2 1E 322211111 12135533351111 1111111 xe 32

Hình 3-10 Triển khai Agent trên Endpoint 2-2: ©5¿252+x>x+£zEtzxzxzzxezxzrszxez 32

Hình 3-11 Triển khai Agent trên WindOWS 2-52 S2 2xEE2 E2 E221 Eerrei 33

Hình 3-12 Tải xuống Shuffle - - 2 2s SE EE2EEEEEE12111211211121111111 11111111 xe 33

Hình 3-13 Tạo và phân quyền Database - ¿2-5 SSE‡EEEEE2EEEEEEEEEEEEEEErkrrrrres 33

Hình 3-14 Cài đặt thành công ShuffTe ¿2c 2c 3321112511311 34

Hình 3-15 Chay TheHive thông qua Docker 6 - tk ngư 34

Hình 3-16 Tạo Organization TmỚI - c2 33211121133 11 1111191111111 1 11111188111 key 35

Hình 3-17 Giao diện Theh1ve 2 G0 2201111122111 11 1125255521111 1111111 xxx ren 35

Hình 3-18 Cấu hình COrtex ¿-©2+222+t2221122211222111221122112211.211 E1 36

Hình 3-19 Cau hình Analyzer cho COFt€X -¿- 5-2 2 S9EEE‡EE2EEEEEEE2EEEEEEEEEeEkrrrrres 36

Hình 4-1 Cấu hình TheHive API 2:55++22S++22EY+t2EEE2ExtEExtrEtrtrtrrrrrrrrrrrree 38

Hình 4-2 Brute Force Webhook -. c c 1121121111111 1111118111111 1111118 1 8811k ri 38

Hình 4-3 Brute Force Playbook Ì - c1 11 1191k St TH kg kg ky 39

Hình 4-4 Brute Force Playbook 2 - - - c 111112111 111111191111 11110111 TH kg ky 39

Hình 4-5 Block Wazuh IP PlaybookK - c1 112211121112 111 1111211181118 11118211 re 40

Hình 4-6 Dia chỉ IP máy nạn nhân - - - + 3321321113511 111511111111 krrrrre 40

Hình 4-7 Iptable trước khi kích hoạt Playbook 5 + +c +22 *+*Ex+seeexesseesres 41

Hinh 4-8 Thuc hién tan 0050/20 01110 Al

Nguyễn Đức Son - B19DCAT153 iii

Trang 9

Hình 4-9 Nhận được Alert khi cĩ tắn cơng - 2 2 2+E2+E£+Et2EEEE2EEEEEEEErkrrerres 42

Hình 4-10 Trạng thái Iptable sau khi Playbook chạy - ¿555 s‡+++sssx++ssexss 42

Hình 4-11 Tao Case thành cơng - - 5L 1S ng TH HH ệt 43

Hình 4-12 Tạo Task thành cơng c2 2 322133111311 19213 111111111111 1811 11 E111 ri 43

Hình 4-13 Tao Observable thành cơng - - c2 3S 1332111111111 44

Hình 4-14 Tạo thành cơng Cortex /JOD - c1 2c 2211112111211 1 1111118111111 rree 44

Hình 4-15 Thơng báo về tan cơng được gửi qua Discord - - - s5s+s+xzczczcs2 45

Hình 4-16 Webhook lay Alert khi cĩ file được tải xuống - 5-52-5555: 46

Hình 4-17 Câu hình Webhook trên Wazuh SerVer - 2-2 2 +xeE£E+2E2E2EzEerxez 46

Hình 4-18 Script Remove “Tr€áf -.- c3 2133211131911 11 1111811111811 111 1 ng 1 ep 47

Hình 4-19 Chuyên file exe vào thư mục của ag€nI + 2 +Sz+x+Es£zzEezzxerees 47

Hình 4-20 Cau hình remove-threat active reSpOIS€ - 5-2 5S S22*2E‡E£EeEzzxzxzed 48

Hình 4-21 Playbook phát hiện và loại bỏ file độc hại l -.-. - 555 55<<<++++sss2 48

Hình 4-22 Playbook phát hiện và loại bỏ file độc hại 2 5+ +S5s**++++sss2 49

Hình 4-23 Playbook phát hiện và loại bỏ file độc hại 3 - 22-5 ss+++sss 49

Hình 4-24 Tải xuống file sample maÏwarc - 2-52 2S22S2E2E2Et2EeEEeEEeErkrrerreg 50

Hình 4-25 Kết qua Detect trên Wazuh - - 2-5 1 S2 SE EEEEE1217121171 11111111 e, 50

Hình 4-26 Lay Alert thành cơng -¿- 2: ©5£+2++2E+2E£2EE2EEE2E22E1221212122121221 22.2 rk 51

Hình 4-27 Lay thành cơng Wazuh API Key cececccccscssesessessessessesseseesssesessseeerseseeees 51

Hình 4-28 Lay thành cơng Hash c.cccccccscsscsscsssscssesescsscsessesecsessessevsvssscecsvsvseseseseees 52

Hình 4-29 Tao thành cơng Report Virustotal cc eececcccesceeeneeeneeeeeeeeneeeseeeeseaeees 52

Hình 4-30 Kích hoạt Active response ccccccccsscessccessesseeeescesseceseeesseesseeeeeseeeessaeees 53

Hình 4-31 Loại bỏ thành cơng file độc hại - 2 2 222111221231 rrrrrrrrrkrree 53

Hình 4-32 Gửi thơng báo thành CON ec eccccescceteeeseeeeeeeeeceseeeeseseseeeseeeeeeeetseeens 54

Hình 4-33 Script Block Connection ccccccccccesccesseeeeseeeeeseeeeeseeeeeeeeeseeenseeeeeeeeesaes 55

Hinh 4-34 Chuyén file exe vào thư mục cần thiẾt - 2+ SE2E2E2E2E2EE2E2EzE e2 55

Hình 4-35 Actice Response Command - ¿5c 2c 3321112113111, 56

Hình 4-36 Cau hình Active RespOnse 2: 2 1+2 2E222E22X232221271 21222212 56

Hình 4-37 Tạo Weblhook -c 1 1211111122311 11953 1111190311 1 net 57

Hình 4-38 Cấu hình Webhook ::-5+:222+t22xt2Ext2ExtttEErttrrttrrtrrrrrrrrrirrre 57

Hình 4-39 Playbook Ransomware Response Ì - - + kn** strseerrree 58

Hình 4-40 Playbook Ransomware Response 2 :cccccccsseesseesseeeeseeeseeseeeeesseeeesesaees 58

Hình 4-41 Playbook Ransomware Response 3 - - cà ng nh hư 59

Hình 4-42 Playbook Block ConnecfIOT ĩc 3c 3211335111133, 59

Hình 4-43 Script mơ phỏng lại hành vi của Ransomwate cccccescceesseeeeessteeeeees 60

Hình 4-44 Chay Script độc hại trên máy Windows lÚ -c Sccsssseirseeerres 60

Hình 4-45 Chạy các command xố Event LOB - - c2 * + ‡+#E+svseeseserses 61

Hình 4-46 Tạo thành cong Alert eee eeeeseeseceseeseceeceecssesneceseseeesseessneeesaeeseneeeens 61

Hình 4-47 Tao thành cơng Cas€ - G2 2 2221122111211 1921 1111118111111 11811 E81 kg 62

Hình 4-48 Trang thái khi chưa kích hoạt Playbook - -. - «+ <++sx++e+seerserss 62

Hình 4-49 Trạng thái sau khi kích hoạt Playbook - ¿+ s-c + sssksseerssseerres 63

Hình 4-50 Gửi thành cơng thơng báo tới người quản fTỊ - -. 55s + x++sss 63

Nguyễn Đức Sơn — BI9DCAT153 IV

Trang 10

DANH MỤC CAC BANG

Bảng 1-1 Cac Decoder thường dùng - - c1 2c 221112111121 11111181 111111111811 1E xe 8

Bang 1-2 Cac Rule thường dùng - - 5 311219 1 nh TH ng nh 9

Bảng 1-3 Các Active Response có sẵn trên Linux - - ¿2+2 +2+2+2+2+2+z£z+zzzzzzz 10

Bảng 1-4 Các Active Response có sẵn trên WindOwWs 2-5-5 S22EcEsctzxsrerzrerd 10

Nguyễn Đức Sơn - B19DCAT153 v

Trang 11

DANH MỤC CÁC TU VIET TAT

Trang 12

Active Response Phản hồi chủ động

Decoder Bộ giải mã

EDR Endpoint Detection and Hệ thống phát hiện và phản hồi

Response đầu cuối

Endpoint Các thiết bị đầu cuôi

HIDS Host-based IDS Hệ thống phát hiện xâm nhập dựa

trên máy chủ

Playbook Quy trình ứng phó sự cô

SOAR Security Orchestration, Hệ thông điều phối, tự động hoá

Automation and Response và phản hồi an ninh

SOC Security Operation Center Trung tâm van hành an toàn thông

tin

SIEM Security Information and Event | Hệ thông quản lý sự kiện và thông

Management tin bảo mật

TI Threat Intelligence Quan ly thông tin về mối de doa

XDR Extend Detection and Response | Hệ thông phát hiện va phan hồi

mo rong

Workflow Quy trình ứng phó sự cô

Nguyễn Đức Sơn - BI9DCAT153 vil

Trang 13

Đồ án tốt nghiệp đại học Mở đầu

MỞ ĐẦU

Hiện nay, sự phát triển không ngừng của khoa học công nghệ không chỉ mang lại

những lợi ích to lớn mà còn đặt ra những thách thức, trong đó có vấn đề bảo mật Với

sự gia tăng không ngừng của số lượng Endpoint, nơi mả dữ liệu và thông tin quan

trọng được chia sẻ và lưu trữ, nguy cơ về tấn công cũng trở nên ngày càng phức tạp va

nguy hiểm.

Vì vậy, vấn đề bảo mật Endpoint trở nên hết sức quan trọng Việc bảo vệ những

điểm cuối này không chỉ đảm bảo an toàn cho dữ liệu quan trọng mà còn ngăn chặn

các cuộc tấn công vào hệ thống Mặc dù có nhiều giải pháp an ninh hiện đại, nhưng

khối lượng công việc đặt ra cho đội ngũ vận hành Security Operations Center (SOC)

vẫn rất lớn, không chỉ vậy nhiệm vụ của SOC còn đòi hỏi sự linh hoạt và hiệu quả cao

Với bối cảnh đó, việc xây dựng giải pháp tự động hoá ứng phó sự cố cho hệ thống

phát hiện và phản hồi đầu cuối (EDR) trở nên cực ki cần thiết Điều này không chỉ

giúp giảm áp lực cho đội ngũ vận hành SOC mà còn tăng cường khả năng phát hiện và

ứng phó kịp thời với các mối đe dọa một cách chính xác và hiệu quả

Với đề tài “NGHIÊN CỨU VÀ XÂY DỰNG GIẢI PHÁP TỰ ĐỘNG HOÁ

UNG PHO SỰ CÓ TRONG HE THONG PHAT HIỆN VA PHAN HOI ĐẦU

CUOI”, đồ án này tập trung nghiên cứu và xây dựng một hệ thông điều phối tự động

hoá và phản héi an ninh bằng các phan mềm mã nguồn mở trên nền tảng EDR.

Đồ án được chia thành 04 chương với nội dung như sau:

Chương 1: Hệ thống phát hiện và phản hồi đầu cuối (EDR)

Trình bày các kiến thức tong quan về Endpoint, EDR Ngoài ra, chương này còn dé

cập tới tầm quan trọng của bảo mật Endpoint và trình bày các kiến thức tổng quan về

Wazuh.

Chương 2: Hệ thống điều phối, tự động hoá và phản hồi an ninh (SOAR)

Trình bày các đặc điểm cơ bản của hệ thống điều phối, tự động hoá và phản hồi an

ninh (SOAR) và đưa ra một số sản phẩm SOAR Trong chương này cũng đề cập tới

các kiến thức tổng quan về Shuffle và TheHive

Chương 3: Xây dựng hệ thống điều phối, tự động hóa và phản hồi an ninh dựa

trên Shuffle, The Hive và Wazuh

Trình bày về bài toán đặt ra và hướng giải quyết của bài toán, ngoài ra trong

chương cũng sẽ trình bày quá trình xây dựng hệ thống SOAR

Chương 4: Xây dựng Playbook thử nghiệm hệ thống SOAR

Trình bày quá trình xây dựng kịch bản, xây dựng playbook và thử nghiệm

playbook Đánh giá kết quả thử nghiệm và chỉ ra các ưu điểm và nhược điểm của hệ

thống SOAR vừa xây dựng

Nguyễn Đức Sơn - B19DCAT153 8

Trang 14

Do thời gian có hạn cũng như kiên thức của em còn hạn chê nên quá trình thực

hiện đô án sẽ khó tránh khỏi những thiêu sót Em rât mong nhận được các ý kiên đóng

góp của các Thây, Cô đê đô án của em được hoàn thiện hơn.

Em xin chân thành cảm ơn!

Trang 15

Nguyễn Đức Sơn — BI9DCAT153 10

Trang 16

Đồ án tốt nghiệp đại học Chương |: EDR

CHUONG 1: HE THONG PHAT HIEN VA PHAN HOI DAU CUOI (EDR)

Do sự phát triển của công nghệ, số lượng Endpoint ngày càng gia tang, tạo nên một

môi trường phức tạp va da dạng, kèm theo đó là yêu cau cần phải đảm bảo an toàn

cho các thiết bị đầu cuối Endpoint Detection and Response (EDR) ra đời nhằm giải

quyết van dé đó bằng cách đặt trọng điểm vào việc phát hiện và ứng phó với các moi

de dọa trên các thiết bị dau cuối (Endpoint) trong mạng

Trong số các phan mềm EDR thì Wazuh, một giải pháp mã nguôn mở, là một công

cụ cung cấp đây đủ tinh năng của một EDR Chương này sẽ tập trung vào những khía

cạnh quan trọng của EDR và Wazuh.

1.1 Tổng quan về hệ thống phát hiện và phản hồi đầu cuối (EDR):

1.1.1 Khái niệm về Endpoint và sự cần thiết của Endpoint Security:

Endpoint (theo Microsoft) là các thiết bị vật lý kết nối và trao đổi thông tin với

mạng máy tính Ngày nay, với sự phát triển của khoa học và công nghệ, số lượng các

Endpoint ngày càng lớn Đặc biệt ở trong các doanh nghiệp lớn, số lượng các Endpoint

cần bảo vệ rất lớn đặt ra nhiều thách thức cho các kỹ sư an toàn thông tin [1]

Ví dụ về Endpoint: Các thiết bị di động, Máy tính dé ban, May ảo, Cac server, Các

thiết bị IOT

(©) —)

Hình 1-1 Vi dụ về EndpointTầm quan trọng của Endpoint Security được thê hiện ở các điểm sau [1]:

- Tội phạm mạng thường nhắm vào các thiết bi đầu cuối vì các Endpoint phụ

thuộc vào người dùng đê áp dụng các biện pháp bảo mật.

Nguyễn Đức Sơn - B19DCAT153 H

Trang 17

- Doanh nghiệp thuộc mọi quy mô đều có thé bị nhắm tới Theo Bao cáo Điều tra

Vi phạm Dữ liệu của Verizon, 43% các cuộc tấn công mạng liên quan đến các

doanh nghiệp nhỏ.

- _ Và nếu như doanh nghiệp bi tan công thành công rất có thể doanh nghiệp đó sẽ

phải chịu thiệt hại nặng nề Chi phí trung bình của một vụ vi phạm dữ liệu là4,24 triệu USD trên toàn cầu và 9,05 triệu USD ở Hoa Ky, theo "Báo cáo chiphí vi phạm đữ liệu năm 2021" của Viện Ponemon (do IBM ủy quyền)

1.1.2 Khái niệm và chức năng của EDR:

EDR (theo IBM) là một phần mềm được thiết kế để tự động bảo vệ các thiết bị

Endpoint trong một tô chức khỏi các mối đe dọa EDR thu thập dữ liệu liên tục từ các

Endpoint va phân tích dữ liệu đó để đưa ra các thông báo hoặc ngăn chặn các mối đe

dọa EDR là một giải pháp hiệu quả giúp cho các doanh nghiệp lớn đảm bảo an toàn

cho các Endpoint trong bối cảnh số lượng các thiết bị Endpoint ngày càng gia tăng và

các kỹ thuật tan công vào Endpoint ngày càng đa dạng [2]

IDENTIFY PROTECT DETECT RESPOND RECOVER

Endpoint Detection & Response (EDR)

Các tính năng của EDR [2]:

- Thu thập dt liệu liên tục từ các Endpoint: EDR liên tục thu thập di liệu liên

quan đến các tiến trình, hiệu năng, những thay đổi về cấu hình, kết nối mạng,

các tập tin hoặc dữ liệu được tải xuống và truyền đi nhờ vao các agent.

- Phan tích và phát hiện các mối đe dọa trong thời gian thực: EDR tìm kiếm các

IOC dựa vào việc liên kết đữ liệu từ endpoint trong thời gian thực với các dịch

vu TI (Threat Intelligence) cung cấp liên tục các thông tin về các kỹ thuật tan

công mới

Trang 18

- Tu động phan ứng khi phát hiện mối đe doa: EDR có thé tự động phan ứng lại

khi phát hiện các mối đe doạ Ví dụ: ngắt kết nối mạng của các endpoint, đưa ra

các cảnh báo khi có mối de doa

- Điều tra và khắc phục: EDR cung cấp các công cụ giúp cho việc điều tra và

khắc phục sự cô.

- _ Hỗ trợ cho Threat Hunting: Kết hợp với các nền tảng TI (Threat Intelligence)

như Mitre ATT&CK để cập nhật các kỹ thuật tấn công mới nhất

1.1.3 Một số sản phẩm EDR:

1.1.3.1 OSSEC:

- OSSEC là hệ thống phát hiện xâm nhập dựa trên host (HIDS) mã nguồn mở, đa

nền tảng, có thể mở rộng vả có nhiều cơ chế bảo mật khác nhau

- _ Phiên bản Automic OSSEC XDR mới nhất tích hợp thêm nhiều tinh năng mới,

XDR là một nền tảng kết thừa EDR, ngoài khả năng giám sát các Endpoint,XDR cung cấp khả năng giám sát các nền tảng điện toán đám mây (AWS,

Azure, ) 1.1.3.2 Wazuh:

- Wazuh là một phần mềm mã nguồn mở được xây dựng dựa trên HIDS OSSEC,

Wazuh kết hợp các tính năng của XDR và SIEM

- Wazuh cho phép giám sát các Endpoint và các dịch vụ điện toán đám mây,

ngoài ra Wazuh tích hợp tính năng của SIEM, cho phép người dùng đánh chỉ

mục và tìm kiếm các cảnh báo

1.2 Tổng quan về Wazuh [3]:

1.2.1 Giới thiệu về Wazuh:

Wazuh là một phan mềm mã nguồn mở miễn phí hợp nhất các khả năng của XDR

và SIEM Wazuh giúp các tô chức và cá nhân bảo vệ tài sản dữ liệu trước các mối de

dọa bảo mật Wazuh được sử dụng rộng rãi bởi hàng nghìn tổ chức doanh nghiệp trên

toàn thế giới từ doanh nghiệp nhỏ đến lớn

1.2.2 Kiến trúc và cách thức hoạt động của Wazuh:

1.2.2.1 Kiến trúc của Wazuh:

Trang 19

Endpoints Wazuh central components

Server : :Wazuh agent : :: : 43 W server cluster

: ‘ El Master node : Wazuh users

B Worker node © Wazuh indexer node

: h Analysis engine Filebeat

Virtual Machine : :

Ls] Wazuh agent : :

Hình 1-3 Kiến trúc của Wazuh

- Wazuh agents: được cài đặt tại các Endpoint như laptop, máy tinh dé ban

nhằm thu thập dữ liệu từ các thiết bị đó

- Wazuh server: Phân tích dữ liệu từ các agent.

- Wazuh indexer: là một công cụ phân tích và tìm kiếm có khả năng mở rộng cao

- Wazuh server có thé được chia thành các node khác nhau

- Wazuh indexer cũng có thé được chia thành các node khác nhau

=> Điều này giúp cho Wazuh có thé mở rộng được nhằm phù hợp với kich thước

của mỗi doanh nghiệp khác nhau.

- Wazuh dashboard: Giao diện web trực quan hóa dir liệu.

1.2.2.2 Cách thức hoạt động của Wazuh:

Wazuh thu thập dữ liệu từ các Endpoint thông qua các Wazuh agent, các agent nay

có thé được cài trên đa số các nền tảng hệ điều hành Sau đó đữ liệu này được gửi đến

Wazuh server, tại Wazuh server dữ liệu sẽ được phân tích dé đưa ra các cảnh báo Các

dữ liệu sẽ được bóc tách và so khớp với bộ rule của Wazuh Wazuh server sử dụng

Filebeat để gửi những dữ liệu về các cảnh bảo và sự kiện tới cho Wazuh indexer Tại

Wazuh indexer dữ liệu sẽ được đánh index phục vụ cho mục đích tìm kiếm và quản lý

Wazuh dashboard hiển thị dữ liệu đã được đánh index cho người dùng va cung cấp

giao điện cho người dùng dé tương tác với hệ thống

Trang 20

|_— decoders/

Lˆ rules/

+ Trong thư mục ruleset/ chứa các luật va các decoder thường được sử dung.

Tất cả các file trong thư mục nay sẽ được viết lại và chỉnh sửa khi Wazuh cậpnhật tiến trình

+ Để tự tạo các luật, cần thêm vào các file local decoder.xml và

local_rules.xml

+ Các ID cua các rule va decoder phải được đặt trong khoảng từ 100000 đến120000

1.2.3.1 Decoder:

Có nhiệm vụ trích xuất các thông tin từ các sự kiện thu thập được từ agent dé

chuẩn bi cho quá trình phân tích tiếp theo Các lựa chon dé cấu hình decoder:

Lựa chọn Gia tri M6 ta

decoder Tên của decoder Thuộc tính này định nghĩa một

decoder.

parent Tên của 1 decoder | Tham chiếu decoder gốc va decoder

bat ky hién tai

accumulate None Cho phép theo dõi các sự kiện thông

qua log

program name Bất ky biéu | Dat tên cho một program

thức regex, sregex

hoặc pcre2 nao.

prematch Bất cứ biểu | Đặt một biêu thức làm điều kiện dé áp

thức regex hoặc pc | dung decoder

Trang 21

use_own_ name True Chỉ được dùng cho decoder con

json_null field String Thêm tùy chon cách lưu trữ gia tri

NULL từ JSON

json_array_ structure String Thêm tùy chon các lưu trữ mang từ

JSON

var Tên của bién Xác định các bién có thé được sử dụng

lại trong cùng | file Bang T-I Các Decoder thường dùng

1.2.3.2 Rule:

Sau khi các decoder bóc tách các thông tin từ log, rule sẽ sử dụng các thông tin này

dé so khớp với các IOC Bảng dưới đây mô tả một số thẻ thường được sử dụng khi viết

rule của Wazuh:

Lựa chọn Gia tri M6 ta

rule Xem bảng bên | Khai báo một rule mới

decoded_as Tên của bat cứ | Tìm phan trùng khớp với những log được

decoder nào decode bởi một decoder đặt biệt

category Bat cứ giá trị nào | So sánh các log có loại bộ giải mã đồng

nhất

field Tên và bất kỳ |So sánh một trường được trích xuất bởi

biểu thức thông | decoder với một biểu thức thông thường

STCpOrf Bat cứ một biêu | So sánh một biểu thức thông thường đại

thức thông | diện cho một port với một giá tri được thường nào decode (srcport)

dstport Bất cứ một biêu | So sánh một biểu thức thông thường đại

thức thông | diện cho một port với một giá tri được

thường nào decode (dstport)

data Bat cứ một biêu | So sánh một biéu thức thông thường đại

thức thông | diện cho data với giá trị được decode (data)

Trang 22

thuong nao

user Bất cứ một biêu | So sánh một biểu thức thông thường đại

thức thông | diện cho user với gia tri được decode (user)

thường nào

system_ name Bất cứ một biêu | So sánh một biểu thức thông thường đại

thức thông | diện cho system name với giá trị được

thường nào decode (system_ name)

program name Bất cứ một biêu | So sánh một biểu thức thông thường đại

thức thông | diện cho tên chương trình với giá trị được

thường nào pre-decode (program_ name)

protocol Bất cứ một biêu | So sánh một biểu thức thông thường đại

thức thông | diện cho một giao thức với giá trị được thường nào decode (protocol)

hostname Bat cứ một biểu | So sánh một biéu thức thông thường đại

thức thông | diện cho tên máy chủ với giá trị được

pre-thường nào decode (hostname)

time Bất cứ khoảng Kiểm tra xem liệu một sự kiện có được sinh

thời gian nảo |ra trong khoảng thời gian xác định hay

(hh:mm-hh:mm) | không

id Bat cứ một biéu | So sánh một biểu thức thông thường dai

thức thông | diện cho ID với giá trị được decode (id) thường nào

url Bất cứ một biêu | So sánh một biểu thức thông thường đại

thức thông | diện cho URL với giá trị được decode (url) thường nào

location Bat cứ một biểu | So sánh một biểu thức thông thường đại

- Khai niệm va cách thức hoạt động:

Active response là một tính năng của Wazuh, nó cho phép tự động hoá các hành

động phản hồi dựa trên các yếu tố kích hoạt cụ thé nhờ đó làm gia tăng sự hiệu quả

trong quản lý các sự cố Mô đun này bao gồm một loạt các tập lệnh có săn dùng dé

ứng phó và giảm thiêu với các mối đe doa Có thé chặn truy cập mạng hoặc loại bỏ các

phần mềm độc hại trong thiết bị đầu cuối Mô đun này thực thi các lệnh trên các

endpoint được giám sát khi một cảnh báo có ID, mức độ nghiêm trọng hoặc một nhóm

cảnh báo được kích hoạt Tuy nhiên cần xem xét các quy tắc kích hoạt active response

- _ Cách thức hoạt động của active response:

Trang 23

Monitored endpoint Wazuh server

Hình 1-4 Sơ đồ hoạt động Active Response

- Cac active response có san:

Trên Linux, MacOS:

Tén Mô tả

disable-account Vô hiệu hoá một tài khoản

firewall-drop Thêm một địa chi IP vào danh sách chặn của iptable

firewalld-drop Thêm một địa chỉ IP và danh sách chặn của firewalld

(firewalld đã được cai đặt ở endpoint)

host-deny Thêm một địa chỉ IP vào file /etc/hosts.deny

ip-customblock Script tự tùy chỉnh

ipfw Script được tạo cho IPFW (yêu câu IPFW đã được cai đặt ở

restart.sh Khởi động lại Wazuh agent hoặc Wazuh manager

restart-wazuh Khởi động lại Wazuh agent hoặc Wazuh manager

route-null Thêm một dia chi IP vào một null route

kaspersky Script tích hợp với Kaspersky

Bang 1-3 Cac Active Response có săn trên Linux

Trén Windows:

Name of script Description netsh.exe Chan một dia chi IP sử dung netsh.exe restart-wazuh.exe | Khởi động lại Wazuh agent

route-null.exe Thêm một địa chi IP vào một null route

Bang 1-4 Cac Active Response có san trên Windows

Nguyễn Đức Son— B19DCAT153 18

Trang 24

1.2.5 Một số API Wazuh cung cấp:

- API dùng dé đăng nhập và lay token:

POST /security/user/authenticate

API được sử dụng dé lay token jwt, can cung cap tai khoan va mat khau hợp lệ

dưới dạng Basic Authentication (<Username>:<Password>)

- API dùng dé chạy các lệnh trong mô dun active response:

PUT /active-response

Khi str dung API can cung cap token xác thực va danh sách các agent_id trong

phần body của request yêu cầu cần có các trường sau:

+ arguments (array of strings): nếu như câu lệnh thực hiện có tham số

+ command (string): tên của lệnh thực

+ custom (boolean): giá trị bằng true nếu như lệnh thực thi được custom

+ alert (object): truyền vào dif liệu của cảnh báo sinh ra dé thực thi lệnh

- API dùng dé lay hash của | file trên hệ thống:

GET /syscheck/{agent_id}

Khi sử dung API cần cung cấp token xác thực, cung cấp agent_id, cung cấp đường

dẫn tới thư mục có file cần theo dõi Ví dụ:

+ type=file&limit=2&file=’C:\\User\\sonnd\\Downloads\\data.txt”

- API dùng dé tìm kiếm các cảnh báo theo id:

POST <ip_address>:9200/ search

Khi su dung can cung cấp xác thực bang tài khoản va mật khẩu, ngoài ra trong

phan body request cân thêm id của rule cân tìm Ví du:

{ "query" {

"bool":{ "must": [{ "match": {"rule.id": "63104"}}]}

}1.3 Kết chương 1:

Như vậy, Chương 1 đã trình bày tổng quan về Hệ thống phát hiện va phan hồi đầu

cuối (Endpoint Detection and Response - EDR) và Wazuh: Khái niệm, tam quan trong

của Endpoint Security; khái niệm, chức năng của EDR va một số sản phẩm EDR; giới

thiệu về Wazuh, kiến trúc và cách thức hoạt động của Wazuh

Trang 25

Đồ án tốt nghiệp đại học Chương 2: SOAR

CHUONG 2: HE THONG DIEU PHÓI, TỰ DONG HOÁ VA PHAN HOI

AN NINH (SOAR)

Su gia tang về số lượng và sự phức tạp của các mối đe dọa trên mạng đặt ra thách

thức lớn đối với đội ngũ an ninh mạng Trong bối cảnh đó, Hệ thong Diéu phối, Tự

động hoá và Phản hồi An ninh (SOAR) ra đời và trở thành một cầu noi quan trọng

giữa các công cụ và quy trình, hỗ trợ tự động hóa và tối ưu hóa quy trình ứng phó sự

co.

Hai nên tảng nồi bật được giới thiệu là Shuffle và TheHive Shuffle, với thiết kể

linh hoạt và sự mạnh mẽ trong tích hợp, cung cấp một giải pháp SOAR da chức năng,

trong khi TheHive tập trung vào quản lý các sự có Cả hai déu là công cụ hữu ich cho

tổ chức trong việc đối mặt với những thách thức an ninh hiện đại

Chương này sẽ cung cấp một cách nhìn tổng quan về SOAR, đồng thời tập trung

vào những đặc điểm của Shuffle và TheHive Bằng cách tập trung vào tính năng và tu

điểm cụ thể của từng nên tảng, chúng ta sẽ hiểu rõ hơn vé cách chúng có thể được tích

hợp để xây dựng một hệ thống SOAR mạnh mẽ, linh hoạt và hiệu quả

2.1 Tổng quan về hệ thống điều phối, tự động hóa và phản hồi an ninh

(SOAR):

2.1.1 Khái niệm SOAR [4]:

Security Orchestration, Automation and Response (SOAR) tạm dịch hệ thống điều

phối, tự động hóa và phản hồi an ninh kết hợp các kha năng ứng phó sự có, điều phối

và tự động hóa cũng như quản lý thông tin về mối đe dọa (TD) trong một nền tảng duy

nhất Các công cu SOAR cũng được sử dụng dé ghi lại và triển khai các quy trình (còn

gọi là playbooks, workflows va processes); hỗ trợ quản lý sự cố an ninh và áp dụng hỗ

trợ dựa trên học máy cho các nhà phân tích và vận hành an ninh.

Trang 26

Security Orchestration, Automation, and Response

Orchestration Automation Response

Playbooks, workflows Automated scripts Case management

Logically organized plan Extensible product Analysis and reporting

of action integrations

Controlling, activating security Machine execution of Communication and

product stack from central playbook tasks collaboration

location

Hinh 2-5 Security Orchestration, Automation and Response

2.1.2 Cac tính năng và lợi ich SOAR mang lại [5]:

2.1.2.1 Các tính năng SOAR cung cấp:

- Quan lý quy trình công việc có khả năng tùy biến cao cho phép chuyền các tác

vụ tự động lặp lại thành playbook riêng biệt hoặc kết hợp với nhau thành các

quy trình công việc phức tạp hơn.

- Kha năng lưu trữ dt liệu quản lý sự cố (cục bộ hoặc trong hệ thong bén thir 3)

dé hỗ trợ điều tra SecOps

- Kết hop giữa vận hành tự động va thủ công giúp tăng cường cho người vận

hành, nhà phân tích bảo mật thực hiện nhiệm vụ vận hành một cách nhất quán

- _ Cung cấp cơ chế đối chiếu và vận hành trong việc sử dụng thông tin về mối de

dọa.

- H6 trợ nhiều công nghệ bảo mật hiện có giúp cải thiện hiệu quả

2.1.2.2 Lợi ích mà SOAR đem lại:

- _ Giảm thời gian phản ứng với các sự cố xảy ra

- Tang hiệu quả của trung tâm SOC

- _ Giảm sự phức tạp của quy trình làm việc

2.1.3 Một số sản phẩm SOAR:

2.1.3.1 Splunk SOAR [6]:

Splunk SOAR được cung cấp bởi Splunk Enterprise là hệ thống điều phối, tự động

hóa và phản hồi an ninh được dùng cho các doanh nghiệp lớn Splunk SOAR cung cấp

các tính năng cơ bản của SOAR:

- Quan lý các trường hop (case)

- Quan lý các sự kiện (event)

- Cho phép tạo các playbook

Trang 27

- _ Cung cấp phần mềm cho người quản trị trên điện thoại

Splunk SOAR cung cấp khoảng hơn 100 playbook được định nghĩa sẵn và hơn 300

phần mềm tích hợp với bên thứ 3, ngoài ra Splunk SOAR còn hỗ trợ mô hình triển

khai với nhiều node nhằm đáp ứng việc cân bằng tải cho các hệ thống lớn

Hinh 2-6 Splunk SOAR

2.1.3.2 Cortex XSOAR [7]:

Cortex XSOAR là hệ thống điều phối, tự động hóa và phản hồi an ninh được cung

cấp bởi công ty Palo alto Cortex XSOAR cung cấp các tính năng cơ bản của SOAR:

- Quan lý các trường hop (case)

- Quan lý các sự kiện (event)

- Cho phép tạo các playbook

- _ Cung cấp môi trường dé tương tác cho nhiều người sử dung

Cortex XSOAR có tới 1000 playbook được xây dựng sẵn và hơn 970 công cụ được

tích hợp với bên thứ 3, XSOAR cũng cung cấp mô hình triển khai cho cân bằng tải

Trang 28

SEM Cortex XDR Mail Other sources ISAC OpenSource Premium AutoFocus

Hinh 2-7 Cortex XSOAR

2.1.3.3 Shuffle [8]:

Shuffle là một hệ thống điều phối, tự động hóa và phản hồi an ninh mã nguồn mở

hoàn toàn miễn phí Shuffle cung cấp cho người dùng kha năng tạo các playbook dé

dàng thông qua giao diện và các công cụ Shuffle cung cấp các tính năng:

- Tao va quản lý các playbook

- _ Các ứng dụng được tích hop sẵn với API của bên thứ 3

Shuffle không cung cấp nhiều playbook có sẵn nhưng cung cấp cho người dùng

khả năng kết hợp các công cụ để tạo playbook khá linh hoạt, ngoài ra Shuffle cũng

cung cấp mô hình triển khai cân bằng tải lớn thông qua Docker Swarm

Trang 29

2.2.1 Giới thiệu về Shuffle:

Shuffle là một phần mềm SOAR mã nguồn mở, mục đích của Shuffle là gộp tất cả

các khả năng cần thiết dé chuyển dir liệu trong toàn doanh nghiệp với các ứng dụng

plug-and-play, làm cho việc tự động hóa có thể tiếp cận với bat kì ai

Hình 2-8 Shuffle

Một số thành phan của Shuffle:

- Workflows (Playbook): Là xương sống của Shuffle, giúp cho việc tự động hóa

công việc hằng ngày bằng giao diện đơn giản Workflow sử dung apps, triggers,

conditions và variables dé tự động hóa

- Apps: Là một công cụ quan trọng của Workflow, chúng cung cấp truy cập tới

một thư viện hàm và được tạo bằng OpenAPI hoặc Python thuần túy

- Triggers: Là các toán tử được sử dụng dé thực hiện một quy trình công việc một

cách tự động.

- Conditions: Xác định luồng thực thi nút trong workflow Một điều kiện được

xác định trên nhánh/dòng giữa hai nút.

- Variables: Là dữ liệu tĩnh có thé tái sử dụng được quyết định trước khi thực thi

Chúng thường được sử dụng cho khóa API, URL hoặc tên người dùng.

2.2.2 Kiến trúc và hoạt động của Shuffle:

2.2.2.1 Kiến trúc:

Trang 30

Frontend Backend

4; OPTIONAL Connection

Apps j — Wor

Executes

user-defined actions

= Multiple per worker

Hình 2-9 Kiến trúc của ShuffleShuffle bao gồm các thành phan:

- Orborus: Có nhiệm vụ đợi các công việc từ backend hoặc cloud và bắt đầu các

Worker (job)

- Worker: Có nhiệm vụ chạy các Workflow (jobs) và có thé chạy nhiều Worker

trên 1 Orborus

- Apps: Có nhiệm vụ thực hiện các hành vi định nghĩa của người dùng và có thé

chạy nhiều App trên 1 Worker

- Frontend và Backend: Phần Frontend cung cấp giao diện quản trị cho người

dùng, tại đây người dùng có thể tạo và quản lý các App, các Workflow PhầnBackend là kênh giao tiếp giữa Frontend và kiến trúc bên dưới bao gồm Apps,

Orborus, Worker.

2.2.2.2 Cách thức hoạt động của Shuffle:

Sức mạnh của Shuffle nằm ở số lượng các ứng dụng được tích hợp với API của

bên thứ 3 Các Workflow (playbook) của Shuffle hoạt động dựa trên các ứng dụng

này Việc xây dựng các Workflow (playbook) được thực hiện hoàn toàn bằng giao

diện (Frontend) Các Workflow có thê lấy dữ liệu đầu vào từ các Webhook (các cảnh

báo từ SIEM hoặc EDR) hoặc di liệu đầu vào sẽ được nhập trực tiếp từ người dùng

Dữ liệu sẽ được xử lý bởi các Workflow, các Workflow gọi đến phần Backend (bao

Trang 31

gồm các thành phần Orborus, Worker, Apps) dé thực hiện các bước trong Workflow

Kết quả thực hiện từng bước sẽ được Backend trả lại cho Frontend để hiển thị cho

người dùng.

2.2.3 Các tính năng Shuffle cung cấp:

Shuffe cung cấp hơn 2000 App có sẵn, giúp cho việc xây dựng các Workflow

(playbook) trở nên dễ dàng hơn:

Workflows Apps Docs X+k

› Elasticsearch Activated apps (14)

Hình 2-10 Các App được cung cấp san

Cac Workflow của Shuffle được chia thành 5 usecase chính:

- Collect (thu thập)

1 Collect

Email management EDR to ticket SIEM to ticket

2-way Ticket ChatOps Threat Intel

Assign tickets Firewall alerts IDS/IPS alerts

Hinh 2-11 Collect Usecase

Trang 32

- Enrich (làm giàu)

Enrichment

Realtime

Hinh 2-12 Enrich Usecase

- Detect (phat hién)

Search SIEM Search EDR Search emails

(Sigma) (OSQuery) (Sublime)

Memory Analysis IDS & IPS Honeypot access

Trang 33

Get policies from assets

Hinh 2-14 Response Usecase

Monitor and track Password dumps

Chương 2

Update Outdated Software

Update indicators

(FW, EDR, SIEM )

Lock vault

Run ansible scripts

Ensure policies are followed

Ensure access rights match HR systems

Devices used for your cloud account

Monitor domain creation and

expiration

Monitor for mentions of domain

on darknet sites

Hinh 2-15 Verify Usecase

Trang 34

Phụ thuộc vào hạ tầng mà người sử dụng có, Shuffle sẽ tự động gợi ý các

Workflow đã được cộng đồng đóng góp Tuy nhiên số lượng Workflow mà Shuffle

cung cấp không nhiều và các Workflow này không ứng dụng được nhiều trong thực tế

Các công cụ mà Shuffle cung cấp:

Workflows Apps Docs

› Shuffle Tools

20 15

Workflows Related apps

_ custom Repeat back to me

“custom - Execute python

(EBAY check cache Shuffle tools App documentation

“custom Get cache value

_ custom Set cache value 1 minute to read

“custom Delete cache value

Shuffle tools is a utility app that simplifies your understanding of what happens in a node and also allows you to test on the

Hinh 2-16 Shuffle Tools

Một số API Shuffle cung cấp:

- TheHive:

Actions (50 / 188)

Actions are the tasks performed by an app - usually single URL paths for REST APT's.

Alert Case Connector Admin AlertStatus Attachment Auth CaseStatus CaseTempiate Catalog Comment CustomEvent CustomField Dashboara Describe Flow

License Log Login Logout Observable ‘Organisation Page Pattern Procedure

Profile Query Search SharingProfile Status Stream Task Taxonomy User

eo cer /api/v 1/alert/{alertid} - Get Alert

CÀ pw irease - create case

Hinh 2-17 TheHive API

Trang 35

CUSTOM) Run available

€USTOWI Run analyzer CUSTOM) Get available analyzers

Trang 36

Actions (50 / 162)

Actions are the tasks performed by an app - usually single URL paths for REST API's.

Active-response Active_response Agents Ciscat Cluster Decoders Experimental Groups Lists Logtest Manager Mitre Overview Rootcheck Rules Sca Security

Syscheck Syscollector Tasks Vulnerability

@ PUT /active-response - Run command mm

g GET / - Get API info [x) PUT /active_response - Run custom command

@ DELETE /agents - Delete agents

@ — GẸT /agents - List agents

g — POST | /agents - Add agent

@ DELETE /agents/group - Remove agents from group

(Vy) pur /agents/group - Assign agents to group

Hình 2-19 Wazuh API

2.3 Tổng quan về TheHive [9]:

2.3.1 Giới thiệu về TheHive:

TheHive là một nền tang ứng phó sự cố bảo mật nguồn mở, có thé mở rộng và hợp

tác được thiết kế dé hỗ trợ quản lý và phân tích các sự cô bảo mật Được phát triển chủ

yếu cho Nhóm ứng phó sự cố bảo mật máy tính và Trung tâm điều hành bảo mật

(SOC), TheHive hợp lý hóa và nâng cao quy trình xử lý sự cỗ bằng cách cung cấp một

nền tang tập trung dé quản lý trường hợp, phân công nhiệm vụ và cộng tác theo thời

g1an thực.

Với bộ tính năng phong phú, bao gồm bảng điều khiển có thể tùy chỉnh, thiết bị

quan sát tích hợp và tích hợp với các công cụ tình báo về mối đe dọa phổ biến

như MISP và Cortex, TheHive cho phép các chuyên gia bảo mật phân loại, phân tích

và ứng phó hiệu quả với các sự kiện bảo mật.

Một số tính năng của TheHive:

- Quan lý các cảnh báo (Alert Management)

- Quan lý các trường hợp (Case Management)

- _ Môi trường đa người dùng (Multi Tenant Environments)

- Quan lý người dùng nâng cao (Advanced User management)

Trang 37

- _ Số liệu và bảng điều khiển (Metrics and Dashboards)

- Bao cáo các trường hợp (Case Reporting)

- Tich hợp MISP (MISP Integration)

2.3.2 Kiến trúc và hoạt động của TheHive:

2.3.2.1 Kiến trúc của TheHive:

ñ m (550W

ˆ.

a

® " elasticsearch

B= » a=

Hình 2-20 Kiến trúc của TheHive

- Apache Cassandra: Một cơ sở dữ liệu dé lưu trữ

- Elasticsearch: Có nhiệm vụ đánh index cho data

- Local Filesystem or S3 Minio: hệ thống lưu trữ các file cần thiết

2.3.2.2 Cách thức hoạt động:

TheHive hoạt động như một nền tảng dựa trên web tập trung quản lý sự cố và cộng

tác cho các nhóm bảo mật Các thành phần chính của TheHive là các trường hợp

(case), tác vụ (task), quan sát (observable) và phân tích (analyze), được sử dụng dé

quản lý và phân tích các sự cố bảo mật một cách hiệu quả Trong đó:

- Cac trường hợp (Case): Các nhà phân tích bảo mật tạo các trường hợp dé đại

diện cho các sự cố riêng lẻ Mỗi trường hợp chứa một ban tóm tắt, mức độ

nghiêm trọng, thẻ và metadata có liên quan khác Các trường hợp cho phép các

nhà phân tích duy trì cách tiếp cận có cấu trúc trong khi xử lý đồng thời nhiều

sự CỐ

- _ Nhiệm vụ (Task): Nhà phân tích có thé tao và giao nhiệm vụ cho các thành viên

trong nhóm trong từng trường hợp Nhiệm vụ có thé được chỉ định mức độ ưu

tiên, ngày đến hạn và mô tả, giúp theo dõi tiến độ và đảm bảo trách nhiệm rõ

ràng.

Trang 38

- Quan sát (Observable): là các điểm dữ liệu hoặc chỉ báo liên quan đến một sự

cố, chăng hạn như địa chỉ IP, tên miền, địa chỉ email hoặc mã băm tệp Các nhà

phân tích có thé thêm các dữ liệu có thé quan sát được vào một trường hợp, làmphong phú chúng bằng các công cụ tình báo về mối đe dọa tích hợp

(như MISP và Cortex) và nhanh chóng xác định các mối de dọa tiềm ân hoặc

các hoạt động độc hại.

- Phan tích (Analyze): TheHive cung cấp khả năng trực quan hóa và báo cáo giúp

các nhóm bảo mật phân tích dữ liệu sự cố và xác định các mẫu, xu hướng hoặc

mối tương quan Bảng điều khiến có thé tùy chỉnh cung cấp một cái nhìn toàndiện về các sự cố đang diễn ra và tạo điều kiện cho việc ra quyết định hiệu quả

- _ Tích hợp (Integration): TheHive hỗ trợ tích hợp với nhiều công cụ và dịch vụ

của bên thứ ba, cho phép các nhóm tận dụng cơ sở hạ tầng an ninh mạng hiện

có của họ.

- _ Cộng tác (Collaboration): Các thành viên trong nhóm có thể giao tiếp, chia sẻ

kết quả và cập nhật chỉ tiết trường hợp trên nền tảng, hợp lý hóa việc liên lạc vàdam bảo rang mọi người đều được thông báo

2.3.3 Một số API TheHive cung cấp:

- API tạo cảnh báo:

Trang 39

Khi sử dụng cần cung cấp xác thực dưới dạng Bearer auth và cung cấp caseld,

ngoài ra trong phan body cần có trường:

+ datatype (string): trường này lấy từ các kiểu dit liệu trong TheHive định nghĩa

- API tạo một nhiệm vụ trong một case:

POST /api/v1/case/{caseld}/task

Khi sử dụng cần cung cấp xác thực dưới dạng Bearer auth và cung cấp caseld,

ngoài ra trong phần body cần có trường:

Như vậy chương 2 đã cung cấp các kiến thức tổng quan về SOAR, các tính năng

mà SOAR cung cấp, một số sản phẩm SOAR, kiến thức tổng quan về 2 công cụ

Shuffle và TheHive.

Trang 40

Đồ án tốt nghiệp đại học Chương 3: Xây dựng SOAR

CHUONG 3: XAY DỰNG HỆ THONG DIEU PHÓI, TỰ ĐỘNG HOÁ VÀ

PHAN HOI AN NINH DỰA TREN SHUFFLE, THEHIVE VÀ WAZUH

Chương này tập trung vào việc mô tả và đặt ra hướng giải quyết bài toán xây

dựng một hệ thong Diéu phối, Tự động hóa và Phản hồi An ninh (SOAR) tích hợp từ

ba công cụ chính là Shuffle, TheHive va Wazuh Mục tiêu là nghiên cứu và phát triển

một giải pháp tổng thể, linh hoạt và hiệu quả cho việc quản lý và tự động ứng phó mối

đe dọa an ninh mạng trong môi trường ngày càng phức tạp Ngoài ra, nội dung

chương cũng sẽ dé cập tới quá trình tích hợp, cấu hình mỗi công cụ để tạo ra được hệ

thông SOAR có thể vận hành hiệu quả

3.1 Mô tả bài toán va hướng giải quyết:

3.1.1 Mô tả bài toán:

Hiện nay, cùng với sự phát triển của khoa học và kỹ thuật là các nguy cơ mat an

toàn thông tin mà các tô chức lớn phải đối mặt Các công ty lớn không chỉ phải đối

mặt với các ký thuật tấn công mạng mà còn phải đối mặt với các dạng tấn công nhắm

vào các Endpoint trong tổ chức Không những vậy, đối với các doanh nghiệp có sự gia

tăng về nhân sự lớn kèm theo đó sẽ là sự gia tăng về các Endpoint cần quản lý và giám

sát Vì vậy, số lượng các cảnh báo liên quan đến Endpoint cần xác minh trong một

ngày rất lớn và có thê gây quá tải cho nhân sự giám sát SOC

Trong bối cảnh đó, việc nghiên cứu phát triển giải pháp điều phối, tự động hoá và

phản hồi an ninh (SOAR) là rất cần thiết Hệ thống này có thé giúp giảm tải các công

việc mà các nhân sự an toàn thông tin cần phải giải quyết bằng cách tự động hoá các

quy trình xác minh và xử lý các sự cô Bài toán đặt ra yêu cầu xây dựng hệ thống điều

phối, tự động hoá và phản hồi an ninh (SOAR) bằng các phần mềm Open Source, kết

quả cần có là một hệ thống có thể tự động hoặc bán tự động xử lý các cảnh báo

3.1.2 Hướng giải quyết:

Xây dựng một hệ thống bao gồm các thành phần như sau:

- Thanh phan thu thập log từ Endpoint và phát cảnh báo khi phát hiện tan công

- Thanh phan tạo case về tấn công và tạo môi trường cho nhóm an toàn thông tin

phân tích sự có

- Thanh phan kết nối các thành phần trên lại bằng việc tạo các playbook, quản lý

các playbook và liên kết với các API của bên thứ 3

Mô hình của bài toán:

Tiêu đề	Nghiên Cứu Và Xây Dựng Giải Pháp Tự Động Hóa Ứng Phó Sự Cố Trong Hệ Thống Phát Hiện Và Phản Hồi Đầu Cuối
Tác giả	Nguyễn Đức Sơn
Người hướng dẫn	PGS TS. Đỗ Xuân Chợ
Trường học	Học viện Công nghệ Bưu chính Viễn thông
Chuyên ngành	An toàn thông tin
Thể loại	Đồ án tốt nghiệp đại học
Năm xuất bản	2024
Thành phố	Hà Nội

Định dạng
Số trang	82
Dung lượng	18,78 MB