HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THONG KHOA AN TOÀN THÔNG TIN PT, LA _ e — d DE TAI: NGHIEN CUU VA XAY DUNG GIAI PHAP TU DONG HOA UNG PHO SU CO TRONG HE THONG PHAT HIEN VA PHAN HOI ĐẦU CUOI Giảng viên hướng dẫn : PGS TS DO XUAN CHO Sinh viên thực hiện : NGUYÊN ĐỨC SƠN Lớp : DI9CQATOI-B Niên khóa : 2019-2024 Hệ : Đại học chính quy Hà Nội, tháng 1 năm 2024 LỜI CẢM ƠN Lời đầu tiên, em xin gửi lời cản ơn chân thành nhất tới các Thầy, Cô trong Khoa An toàn thông tin và Công nghệ thông tin I Học viện Công nghệ Bưu chính Viễn thông, đã tận tình truyền đạt cho em những kiến thức quan trọng trong suốt quá trình theo học tại trường Đặc biệt, em xin bày tỏ lòng biết ơn sâu sắc nhất tới thầy giáo hướng dẫn đồ án tốt nghiệp cho em — PGS TS Đỗ Xuân Chợ, người đã dành thời gian và tâm huyết dé hướng dẫn, giúp đỡ em trong quá trình thực hiện đồ án Cuối cùng, em xin gửi lời cảm ơn tới gia đình, bạn bè và đồng nghiệp đã luôn ở cạnh quan tâm động viên, tạo những điều kiện tốt nhất cho em trong quá trình học tập và thực hiện đồ án Do trình độ kiến thức cũng như kinh nghiệm thực tế còn nhiều hạn chế, nên trong đồ án của em không thể tránh khỏi những thiếu sót Vì thế, em rất mong nhận được sự quan tâm, góp ý của các Thay, Cô dé đồ án của em được hoàn thiện hơn Em xin chân thành cảm ơn! Hà Nội, tháng | năm 2024 Sinh viên thực hiện Nguyễn Đức Sơn Đồ án tốt nghiệp đại học NHAN XÉT, ĐÁNH GIÁ, CHO DIEM (Của Người hướng dẫn) Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng cham đồ án tốt nghiệp? Hà Nội, ngày tháng năm 2024 CÁN BỘ - GIẢNG VIÊN HƯỚNG DẪN (ký, họ tên) Nguyễn Đức Sơn - B19DCAT153 Đồ án tốt nghiệp đại học NHAN XÉT, ĐÁNH GIÁ, CHO DIEM (Của Người phản biện) Hà Nội, ngày tháng năm 2024 CÁN BỘ - GIẢNG VIÊN PHẢN BIỆN (ký, họ tên) Nguyễn Đức Sơn - B19DCAT153 Đồ án tốt nghiệp đại học Nguyễn Đức Sơn - B19DCAT153 Đồ án tốt nghiệp đại học Mục lục MỤC LỤC MỤC LUỤC 5:21 21 1E21221221211211211211211112111211112111211 1211 121k21g 12 i DANH MỤC HINH ẢNH .2-2.2 5.2s.9.E E.EEE.E1E.212.212.112.112.112.111.212.1 1.111.11.111.r.e iii DANH MỤC CAC BANG oioieoceccecceccsssssessessessesssssesscsesssessessessessesssssesssstsstessssseteeees vi DANH MỤC CAC TU VIET TAT u.occccccccccccecccsecsessessesssssssessesessessessessessessesseseeees Vii NY COSDY Oh 1 CHUONG 1: HE THONG PHAT HIEN VÀ PHAN HOI ĐẦU CUOI (EDR) 3 1.1 Tổng quan về hệ thống phát hiện và phản hồi đầu cuối (EDR) 3 1.1.1 Khái niệm về Endpoint và sự cần thiết của Endpoint Security: 3 1.1.2 Khái niệm và chức năng của EDR: - -.- ce.cc.ee.tee.ce.ee.te.eee.ee.ne.eee.en.ea-es 4 1.1.3 Một số sản phẩm EDR:: .5.-5.S.1.E.1 3.E 1.211.11.811.21.112.1 111.11.11.11.11.rt.e 5 1.2 Tống quan về Wazuh [3]: - + s22 1211211211 2121112111 2121111 re 5 1.2.1 Giới thiệu về Wazulh: - 2-.525.2.E.2E.21.2.17.17.17.1.11.11.2 1.c.r-re 5 1.2.2 Kiến trúc và cách thức hoạt động của Wazuh: .5.c.c.s.cc-c2ce-¿ 5 1.2.3 Rule và Decoder: - - - - - -c G c1 111111112 11222221 111111 vn ng 1111 kh 6 CÀ 7Á) 6 :Öö5œ-+1OOÔÔÔ 9 1.2.5 Một số API Wazuh cung €ấp: .c5 21.21.21.2.12.1 1.12-1 E-1-1-1- II 1.3 Kết chương Ï: . -©5:©2222E22E22211212121122121r1e2.1 11 CHUONG 2: HE THONG DIEU PHÓI, TỰ ĐỘNG HOA VA PHAN HOI AN NINH (SOAR) 12 2.1 Téng quan về hệ thống điều phối, tự động hóa và phan hồi an ninh 911 (3ịilÀ 12 2.1.1 Khái niệm SOAR [4|: -.- - - 2c S1 2112112111115 111x811 1H Hệ 12 2.1.2 Các tính nang và lợi ích SOAR mang lại [Š]: .-.-.5.55.5.55.5.55.5 13 2.1.3 Một số sản phẩm SOAIR: 5.2S.S.E E12.212.21.211.211.21.121.121.21.1.11.y.6 13 2.2 Tống quan về Shuffle [Ñ]: .- 2.©.S.ềE.EE.EE.E2E.EE.E2.EE.E21.E1.E.11.1.E-Er-tr-e 15 2.2.1 Giới thiệu về Shufffle: +.: 52.221.22.1 EE.21.12.21.22.12.11.21.12.21.21.12.11.1 -x-e 15 2.2.2 Kiến trúc và hoạt động của Shufffe: - 2-.52 St t.e k e t 16 2.2.3 Các tính năng Shuffle cung cấp: .2 s.2 2 2E.zE.r.Ee.rk-er-r-rx-re-e 17 2.3 Tổng quan về TheHive [9]: .2:.+ +SE.£E.E+E.E£.EE2.EE.2E.E2E.E2.EEE.EE.EEE.rE.rrr-rr-es 22 2.3.1 Giới thiệu về TheHive: 2.-52 S E E.12.1.11.21.11.11.11.11.1 -xe-.22 2.3.2 Kiến trúc và hoạt động của TheHive: - +.52.s.cc.z.zx.eE.e.rz.xe.r-re-d 23 2.3.3 Một số API TheHive cung cấp: (52 SE E.2.2.11.12.1 xcx.err.ex24 2.4 Kết chương 2: S.t H E n g r r.Sa 25 Nguyễn Đức Sơn — BI9DCAT153 i Đồ án tốt nghiệp đại học Mục lục CHƯƠNG 3: XÂY DỰNG HE THONG DIEU PHÓI, TỰ ĐỘNG HOÁ VÀ PHAN HOI AN NINH DUA TREN SHUFFLE, THEHIVE VÀ WAZ.UH 26 3.1 Mô tả bai toán và hướng giải quyẾt: -.5.-5 St.S t r e e t- 26 3.1.1 Mô tả bài toán: - Q.2 HH.T T HH.HT.H H K.T k.g.k h 2-x2 26 3.1.2 Hướng giải quyẾt: 5c S1 E1 1.1.2.2.12.1.1.1.1.11.1.1 -r-e 26 3.2 Tiến hành xây dựng hệ thống điều phối, tự động hoá và phản hồi an ninh (SOAR): S22 2122122122112112112211 10121211111r 1e 1 28 3.2.1 Cài đặt Wazuh [3]: 2-.55-.52 22 EE2.E2 E12 212.712.11 212.112.11 212 121.1 1.E.y- ee 28 3.2.2 Cài đặt Shuffle [Ñ]: . ©-¿+2s+2Et2E221221271121121271211121121121e101 33 3.2.3 Cài đặt TheHive [9]: + +.2.22.221.22.12.11.22.122.12.11.21.121.12.11.21-1-1. x-e 34 CHƯƠNG 4: XÂY DUNG PLAYBOOK THU NGHIỆM HE THONG SOAR.37 4.1 _ Xây dựng playbook tự động phản ứng khi phát hiện tấn công vét cạn: 37 ALA Kich Dame .e. aố 37 4.1.2 Tiến hành xây dung Playbook: 0.0 c.ccccccsccscsseesessesesseseesesessseseeeeees 37 4.1.3 Thử nghiệm Playbo0: - .G.2 11.211.2 111.12.119.111.11.1 1.811.181.111 ng reg 40 4.2 Xây dựng playbook tự động phản ứng lại khi người dùng tải xuống các phần mêm độc hại: - 5G 0322111211 3321 1121111111111 11111111 11 1n kg ng kế 45 4.2.1 Kich Dame - 45 4.2.2 Tiến hành xây dựng Playbook? 0.0 00.cccccccscssesseseessesessesseesesseseeeeseeees 45 4.2.3 Thử nghiệm Playbo0: - - c.2.11.211.21.111.121.2.11.111.11.81 1.g -k-et 49 4.3 Xây dựng playbook tự động phản ứng khi endpoint có dấu hiệu bị nhiễm mã độc tông tiên (ranS0ITIWAF€): nh H* HH TH TH TH TH HH net 54 4.3.1 Kich Dame e ỐẢ 54 4.3.2 Tiến hành xây dựng Playbook? 00.0 c0cccccsscessesesseeseesesseesesseeseeeeeeees 55 4.3.3 Thử nghiệm PlaybooK: .-.- - + 1 n n.g n g 59 4.4 Danh giá kết qua thử nghiệm, ưu điểm và nhược điểm của hệ thống SOAR được xây dựng: L H HH.H.H.H.H n .h 63 4.4.1 Đánh giá kết quả thử nghiệm: .-.2-.5 5s.St.S.E EE.EE.eE.rkr.kr.kr.ke 63 4.4.2 Ưu điểm và nhược điểm của hệ thống được xây dựng: 64 4.5 Kết chương 4: .T T H.1.0.1 r -e 2c 65 KẾT LUẬN 52-52 S1 E121221212111 211211211 211211211211211 2111111211111 Eerr rêu 66 TÀI LIEU THAM KHẢO .22.2.S 9.ESE EEEE.EEEE.E12.1121.121 1211.2112.117 1211.1 1 111.1 xe 67 DANH MỤC HÌNH ANH Hình 1-1 Ví dụ vê EndpOIHi( - - 11119 ng nh TH nh TH nh 3 Hình 1-2 Endpoint Detection and ReSpOTS€ .( c.2 33.21.113.2 1.13.3.5.55.1.1.Ee.xk-2 4 Nguyễn Đức Sơn - BI9DCAT153 ii Đồ án tốt nghiệp đại học Mục lục Hình 1-3 Kiến trúc của Wazuh . -:-52c:222t22212211127111272112211r 211e 2.1 6 Hình 1-4 Sơ đồ hoạt động Active RespOonse ¿+.52 t.t E.2.1 1 Er.kr-rr-ei 10 Hình 2-1 Security Orchestration, Automation and Response .-.-.+ -.+.++.+.+ 12 Hình 2-2 Splunk SOAI . c1 12111211 112111211 1111111110111 011 01111 1 ng kg ky 14 Hinh 2-3 Cortex XSOAR 011 5 5 14 Hinh 2-4 3i 1117 15 Hình 2-5 Kiến trúc của Shuffle .¿.2 2 ESE.9E.EEE.EE.2EE.EE.EEE.EE.EE1.21.712.15.71.11 1.11-111 xe 16 Hình 2-6 Các App được cung cấp sẵn 2.5s E22.212.212.23.122.12.212.112-11-221-2-12¿ c-rk 17 Hinh 2-7 960)/.u06/.v : 18 ad(:::1I1 18 Hinh 2-8 Enrich Usecase ccccccecccccsssccsssecceseceeseeceeseeeceseeeceseeeseeseeeeeeesssseeeeeseneeaaes 18 Hình 2-9 Detect secase HH HT HH ng nh ngà 19 Hình 2-10 Response S€CAS€ - - - G1 1222111112101 111911 111 1111911111111 1H ng re 19 Hinh 2-11 4u 40- ) cv:— LLƑ‡aiỖỒẮỎỒẮỎỒỎẮỒẮŨỒẮỎẮÚAỒđỒDŨDŨDŨO 20 Hình 2-12 Shuffle TOOÏS 2 222 3321112113318 191 1311131111181 8111111811118 811 1 ky 20 I0): 6199.12.0110 21 i00 50 11 21 Hình 2-15 Wazuh APÌ - - - c1 2111 2111111111 11911101110 1110111011 1H 11H 111g 1 ky 22 Hình 2-16 Kiến trúc của TheHive - -::552+22++2Exx2EEx2EExtttErrttrrtrtrrrrrrrerrre 23 Hình 3-1 Mô hình giải quyết bài toán -.-+.: S.S.‡E.ềE.S.E 2.11.21.1.71.12.1.11 t-e 27 Hình 3-2 Sơ đồ cài đặt .c.2 t2 t r e 28 Hình 3-3 File cầu hình Wazuh .t.2 Er.tt.EE.rr-tt-r5rr5rt2rrcrr2rr2r+rr+ri2rrEriEk 29 Hình 3-4 Tạo các file cần thiẾ - c5 SE S3 SE2E2EEEEEEEEEEEE1212151E511551111111E11E1e 29 Hình 3-5 Cài đặt Wazuh Ïndexer - + + + 2113322231111 115553111111 1 xxx ve 30 Hình 3-6 Kiểm tra Wazuh Indexer +.: +.s.‡S‡.EE9.EE2.EE2.EE.2E2.EE2.E21.717.171.2.11 -xe 30 Hình 3-7 Cài đặt Wazuh S€TV€T - - - QQQQĐĐ S991 9223311 11111 vu 31 Hình 3-8 Cài đặt Wazuh Dashboard .- -.- 22.1.11.11.1.11.1.11 1.1.1 1.1.k- 31 Hình 3-9 Giao diện Wazuh Dashboard . .+ 2 1E 32.221.111.1 1.213.55.333.511.11.111.111.1 -xe 32 Hình 3-10 Triển khai Agent trên Endpoint .2-.2: ©5¿.252.+x.>x+.£zE.tz.xzx.zzx.ez.xzr-szx-ez 32 Hình 3-11 Triển khai Agent trên WindOWS -.- 2-.52 S2 2xE.E2 E2.E.2.21.-Eer-rei 33 Hình 3-12 Tải xuống Shuffle -.2 2s.S.E EE2.EEE.EEE.121.112.112.111.211.111.11.11.111-11-1 -xe.33 Hình 3-13 Tạo và phân quyền Database ¿.2-.5.SS.E‡E.EE.EE2.EEE.EE.EEE.EEE.EEE.Er.krr.rrr-es 33 Hình 3-14 Cài đặt thành công ShuffTe .¿.2.c.2.c 3.3.2.1.1.1.2.5.1.1.3.1.1 34 Hình 3-15 Chay TheHive thông qua Docker 6 - t k n g ư 34 Hình 3-16 Tạo Organization TmỚI - c2 33211121133 11 1111191111111 1 11111188111 key 35 Hình 3-17 Giao diện Theh1ve 2 G0 2201111122111 11 1125255521111 1111111 xxx ren 35 Hình 3-18 Cấu hình COrtex ¿-©2+222+t22211222112221112211221E 1221 11.2.11 36 Hình 3-19 Cau hình Analyzer cho COFt€X .5-.2 2 S9.EEE.‡EE.2E.EEE.EE.E2E.EEE.EE.EEE.eEk-rr¿rrr-es 36 Hình 4-1 Cấu hình TheHive API 2:55++22S++22EY+t2EEE2ExtEExtrEtrtrtrrrrrrrrrrrree 38 Hình 4-2 Brute Force Webhook -. c c 1121121111111 1111118111111 1111118 1 8811k ri 38 Hình 4-3 Brute Force Playbook Ì .-. c.1.1.1 11 91k.St.T.H k.g.k g k y 39 Hình 4-4 Brute Force Playbook 2 - - - c 111112111 111111191111 11110111 TH kg ky 39 Hình 4-5 Block Wazuh IP PlaybookK - c1 112211121112 111 1111211181118 11118211 re 40 Hình 4-6 Dia chỉ IP máy nạn nhân .- - - + 3321321113511 111511111111 krrrrre 40 Hình 4-7 Iptable trước khi kích hoạt Playbook .5 + +.c +.22 *+.*E.x+.se.ee.xe.ss.ee-sr-es 41 Hinh 4-8 Thuc hién tan 0050/20 01110 Al Nguyễn Đức Son - B19DCAT153 iii Đồ án tốt nghiệp đại học Mục lục Hình 4-9 Nhận được Alert khi có tắn công .2.2.2.+E2.+E.£+E.t2.EEE.E2.EEE.EE-EEE-rk-rre-rr-es 42 Hình 4-10 Trạng thái Iptable sau khi Playbook chạy -. .¿.55.5.s.‡+.++.ss.sx.+.+s.se-xs-s 42 Hình 4-11 Tao Case thành công - - 5L 1S ng TH HH ệt 43 Hình 4-12 Tạo Task thành công c2 2 322133111311 19213 111111111111 1811 11 E111 ri 43 Hình 4-13 Tao Observable thành công - -. c 2 3S.1.3.3 21.1.1.1.11.1.1.1 44 Hình 4-14 Tạo thành công Cortex /JOD - c1 2c 2211112111211 1 111111811111rr1ee 44 Hình 4-15 Thông báo về tan công được gửi qua Discord -.- s5.s+.s+.xz.cz-cz-cs-2 45 Hình 4-16 Webhook lay Alert khi có file được tải xuống - 5-52-5555: 46 Hình 4-17 Câu hình Webhook trên Wazuh SerVer 2.-.2.2.+.xe.E£.E+.2E.2E.2E.zE.er.xe-z 46 Hình 4-18 Script Remove “Tr€áf -.- c3 2133211131911 11 1111811111811 111 1 ng 1 ep 47 Hình 4-19 Chuyên file exe vào thư mục của ag€nI + 2 +S.z+.x+.Es.£z.zE.ez-zx-er-ee-s 47 Hình 4-20 Cau hình remove-threat active reSpOIS€ .5.-2 5.S.S.22*.2E.‡E£.Ee.Ez.zxz.xz-ed 48 Hình 4-21 Playbook phát hiện và loại bỏ file độc hại l 5.55.5.5.