Nghiên cứu triển khai hệ thống giám sát an ninh mạng dựa trên phần mềm Wazuh.

Tổng quan Hệ thống giám sát an ninh mạng Network Security Monitoring - NSM là mộtcụm từ mô tả việc theo dõi và phân tích liên tục các hoạt động mạng dé phát hiện vàngăn chặn mối đe doa a

Trang 1

HỌC VIEN CÔNG NGHỆ BƯU CHÍNH VIỄN THONG

KHOA AN TOÀN THÔNG TIN

DE TAI: Nghiên cứu triển khai hệ thông giám sát an ninh

mạng dựa trên phần mềm Wazuh.

Giảng viên hướng dẫn : Vũ Minh Mạnh

Sinh viên thực hiện : Pham Bá Tú

Mã sinh viên : BI9DCAT164

Lớp : DI9CQAT04-B

Niên khóa : 2019-2024

Hệ : Dai học chính quy

HÀ NỘI, THÁNG 01 NĂM 2024

Trang 2

Đồ án tốt nghiệp

LOI CAM ON

Đầu tiên, em xin gửi lời cảm ơn chân thành và sâu sắc nhất tới Thay giáo hướng

dẫn đồ án tốt nghiệp của em — Thay Vũ Minh Mạnh Trong suốt khoảng thời gian

làm đồ án, thầy đã tận tình hướng dẫn và chỉ dạy, giúp em có những định hướng vàphương pháp tiếp cận trong quá trình tìm hiểu, thực hiện cho tới những bước cuối

cùng đề đồ án được hoàn thành

Ngoài ra, em xin gửi lời cảm ơn chân thành tới các thầy, cô trong Khoa An ToànThông Tin và toàn thể các cán bộ của Học viện Công Nghệ Bưu Chính ViễnThông Hà Nội, đã truyền đạt cho em những kiến thức hữu ích và quan trọng trongsuốt quá trình em học tập tại trường, dé em có thê hoàn thành đồ án của mình một

cách tốt nhất

Cuối cùng, em xin cảm ơn gia đình, bạn bè và đồng nghiệp đã luôn ở bên em,quan tâm động viên, giúp em có điều kiện tốt nhất trong cả quá trình học tập cũngnhư khi thực hiện đồ án

Với trình độ hiểu biết còn nhiều hạn chế của bản thân, và vốn kiến thức van còn

it ỏi, nên trong đồ án của em không tránh khỏi những thiếu sót Em rất mong nhận

được sự góp ý của các Thầy, Cô để đồ án của em được hoàn thiện hơn Em xin

Trang 3

NHAN XÉT, ĐÁNH GIÁ, CHO DIEM

(Của Người hướng dẫn)

Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng cham đồ án tốt nghiệp?

Hà Nội, ngày tháng năm 2024

CÁN BỘ - GIẢNG VIÊN HƯỚNG DẪN

(ký, họ tên)

Phạm Bá Tú - BI9DCAT164

Trang 4

NHAN XÉT, ĐÁNH GIA, CHO DIEM

(Của Người phan biện)

Hà Nội, ngày tháng năm 2024

CÁN BỘ - GIẢNG VIÊN PHẢN BIỆN

(ký, họ tên)

Trang 5

ÿ/I902 1000157 12Chương 1: Tổng quan về hệ thống giâm sât an ninh mạng - - 2-2 2 525252 13

1.1 Hệ thống giâm sât an ninh mạng - ¿- ¿+ +E+EE+EE+E££E+EeEEeErkrrrrerees 13I.I.I Tổng quan 2©22+222E2E2EEEE2EE21E71717121211211211211 21.211 xe 131.1.2 Đối tượng của hệ thống giâm sât an ninh mạng - 2-2 s+cs+szc+2 14

1.1.3 Những lợi ích của việc xđy dựng hệ thống giâm sât an ninh mạng 15

1.1.4 Kiến trúc một hệ thống giâm sât an ninh mạng - 2-2 s2 +2 +¿ 171.1.5 Câc quy tắc khi thiết kế hệ thống giâm sât an ninh mạng - 18

1.2 Câc thuật ngữ trong an ninh mạng - - + + + **EE+eEEeeEeeeserserrreres 19

1.2.1 EDR Ặ S2 12.1 SH TS vn TH TT TH HT TH TT TH vt 19 1.2.2 XXDN Ă S2 Q1 12H 1 H1 nh TT TH kí 20 1.2.3 SIEM 2L 2n S2 HH TT TT TH TT KT TH KH ng kí 21 1.2.4 SOAR -1IÓẲ 22

1.2.5 Su khâc biệt giữa SIEMva SOAR cee ececeeceseeseeeeeeseeseeeeeeseeeaeeeaeensees 23

1.2.6 Sự khâc biệt giữa XDR vă SIEM/SOAR - c5 sS+sssskreeerssrres 23

1.2.7 P0 = A d 23 1.2.8 h° 24

Chương 2: Tổng quan về phần mềm Wazuh vă một số phần mềm giâm sât an ninh

MAN 4U 26

2.1 Phần mềm Wazuh - - + sS<9EE9EE2EE2E12E12112112111717171111111 1111 cyA 262.1.1 Giới thiệu về phần mềm Wazuh - 2-52 +E2Ee£E£EEEEEEEEEEEEEErkerxrree 26

2.1.3 Đặc điểm của Wazuh -cc:-csct tt 282.1.4 Kiến trúc của Wazuh -: 22+ 22x22 t2 2 .rrrrie 292.1.5 Thănh phần của Wazuh 2 2+5 +E2E‡EEEEEEEEEE1E2122121121 21212121 xe 302.1.6 Phương thức liín lạc vă luồng dit liệu 2 2 2+s+x+zxezx+zxerxssez 31

Phạm Bâ Tú - BI9DCAT164

Trang 6

21.7 Lume i0 GU 33

2.1.8 Đánh giá phần mềm Wazuh 2 s2E+2E22EE£EEEEEEEEEE12E221 21212 cxe2 332.1.9 Cài đặt thử nghiệm phần mềm Wazuh 2-5 ©52+S2+E+£x+£++£zzzzzxez 352.2 Các phần mềm giám sát an ninh mạng 2 2 s2££+++£x+z++Ezzx+zxerxez 36

"P9 36

“5N ¡1 — 38 V5 Nhà vài ế :â L 40 2.2.4 ELK Stack (Elasticsearch, Logstash, KIbana): - -c<+++<css++ 41

Chương 3: Triển khai hệ thống giám sát an ninh mạng dựa trên phan mềm Wazuh 45

3.1 Triển khai hệ thống giám sát -©E©S+SE9EEEEEEEE2E2EEEE21212121 212.21 cxe 45

3.1.1 Kịch bản và mô hình triển khai -¿-22ccctcxxrtrkrrrrkrrrrrrrrierrkeg 45

3.1.3 Triển khai Ubuntu Ag€I 5-52 Ss2E2E2E12E2E21717111E1111112E1 1E xe 48

3.1.4 Triển khai Windows ag€nI ¿- 2s tt TT 112111121121 21111 1x11 xe 513.1.5 Triển khai Redhad cc:222+t22ExtttEExttttttrrtttrrrttrrrtrirrrrrred 5]3.1.6 Cài đặt Kali Linux làm máy tan CONg cccccccccscsssssessessessesessessessesseeeeeees 52

3.2 Minh hoa thir nghiém cece 52

3.2.1 Phát hiện các tiến trình trái phép 2-2 2 2+E++E++E£EtzEeErxererxeree 533.2.2 Phát hiện tấn công Shellshock c ccccsscsssssessessessessessessesssssessesseseseseeseees 563.2.3 Phát hiện tấn công chèn mã SQ(L 2 2 2+ ©E+E££E+E+£EzEerxzErrxzed 593.2.4 Phát hiện tấn công bruf€-fOFCC -:- 2 t+SE+EeEE+EvEE2EEEEEEEEEEEErkrrrrkrei 64

3.2.5 Phát hiện các tệp nhị phân bất thường 2-2 2+52+E++E++Et+Eerxerxerxee 66

3.2.6 Tich hop IDS cee Ả 69

3.2.7 Phát hiện và loại bỏ phần mềm độc hại bằng cách tích hop VirusTotal 74

3.2.8 Phát hiện và rà soát lỗ hồng — 80

ESNNH9(0ì in 83

Sử dụng Wazuh để giám sát GitHub 2- 22222 2E2E12212212221221271 22122 tre 83KET LUẬN -.- 5c SE 1E 121111E1121111111 111111111111 1111 111111111101 111gr ưyu 87IV.108090095790.4:70900015 89

Trang 7

DANH MỤC HÌNH ẢNH

Hình 1.1: Kiến trúc EDR -. -22+:222vttE tt ng 19Hình 1.2: Kiến trúc XDR -.-¿- 222tr re 20

Hình 1.3: Kiến trúc SIEM -2ccc:22 tre 21

I0) 1 O-ẢẲẢA^-Ô-L 26

Hình 2.2: Thành phần của Wazuh 2-5 SE SE EEEEEEEEEEEE2E12112111111111 111.1 cxe 27

Hình 2.3: Wazuh multi-node depÏoyIme€nI - s + 331133211511 xreres 30

Hình 2.5: Thành phần của Wazuh - 2-2: 522S29EE9EE£2EEEEEEEEE2E1221271711221221 1222k 3l

Hình 2.6: Phương thức liên lạc của wazuh - c5: + E3 EEsvEEsreerrerrrersrree 32 Hình 2.7: STIOYF( (c1 1S TT TH TT TH HH TH TT TT HH HT HH 36

018030071510 17ẼẺ7 38 Hinh 2.9: à c0 40 I0i)i0281085) 0.01) 42

Hình 3.1.0: Mô hình hệ thống ¿2 252 SE2SE2EE2EE2EE2EEEEEEEEEEEEEEEEEEEEErkrrkrkerrred 45Hình 3.1.1: Cấu trúc kịch bản hệ thống giám sát -2 2 + E2E+z+£zEzxcred 46

Hinh 802000408 sa, 47 Hình 3.1.2.2: Thông tin đăng nhập vào wazuh dashboard -++ ++++<s+2 47 Hinh 3.1.2.3: yAì0i0:1)ii9i 1n 48 Hình 3.1.3.1: Cai đặt gpg khoá Ubuntu ag€TI - 5 S232 *+Erskresirsrrrerrvee 48 Hình 3.1.3.2: Cai đặt responsity Wazuh ag€TIÍ 5 + cs++ + ksisirerikrervee 49

Hình 3.1.3.3: Cài đặt Wazuh server dé deploy agenI 2 ¿©5z+s2xezxezzxcrszed 49

Hình 3.1.3.4: Chạy lệnh deploy Ubtuntu ÀøØ€nt 5 S5 3+ sssvsseereessres 50 Hình 3.1.3.5: Deploy thành công Ubuntu Agent eee eeceecceceeneeeeeeeeeeneeeneneereaes 50 Hình 3.1.4.1: Wazuh agent manager window UÏ - - ¿+ +: <++ss++stxssersseersreeee 51 Hình 3.1.4.2: Deploy thành công Window Agent ceccceecceseeeceeeceeeeeeeeeeeeeeeeeenees 51

Hình 3.1.5.1: Chay lệnh deploy Redhad Agent cccccccccscccsssceeseceeseeeeseeesseeenses 52

Phạm Bá Tú - B1I9DCAT164

Trang 8

Xem Trạng thai tường ÏỬa - 55 + 2+ + +33 +2 SEEEEErrrkrrrrrsrererrke 60 Xem trạng thai Apache S€TV€T - - - 2S 3S S2 19 111 1x ng ngư 61 chay curl :1e11x0/2 TA 61

Cấu hình file OSS€C.COH - - 2-1 SE9SE9EE£EEEEE2E12E1211211212121 2121 te 62Tan công SQL Injection 2¿ 25s SE9SE£EE£EE£EE2EE2EE2EZEEErErkrrered 63Kết quả phát hiện tấn công chèn mã SQL - 2 2 5z +s+xz£x+S+£ 63

Cài đặt Hydra trên máy tan công - 2 St E2 EEEEEExEErrkrex 65Kết quả phát hiện tấn công brufe-fOrce - + setxeEeEerxerrxrree 66Cấu hình file osseC.COHI - ¿22 22 2E22EE£EEEEE2E122171712121121 2x 67

Kết quả phát hiện các tệp nhị phân bat thường - - 2 5s 5+¿ 68

Tai suricata 0v so i‹ mm e 69

Cấu hình file suricata.yaiml -2- 5+ 2+ s+2x+£E+EE£EE£EE2EEEeEEEExrrrrrees 71Cấu hình file suricata-yaml c ccccccccsscessessessesssessessessessessssessesseesseesees 71Cấu hình file suricata-yaml c.cccccccccsscessessessesssessessessesttstssessessestssesees 72Cấu hình OSS€C.COTÝ ¿- 2-52 t2 SE E9 1EE12112121211121111 111 xe 73Kết quả tích hợp mạng IDS - 22 2 2 S2E£2EE£EEtEE22EEEEEerxzrrred 73Cấu hình file OSS€C.COỂ - - 2 SE E99 E2E12E12E12112112121 711121 xe 74Cấu hình file SS€C.COHIỂ - - 2-2 SE2SE9EE9EE2EE2E12E12E121E71212111 21 xe 75

0 0 0 A 75 Tao file /emove-threaf.SỈ - -‹¿ 21111111 11125331 11 11k eg 76

Trang 9

Hình 3.2.7.5: Cấu hình file local rules.xml 2: 2 2 22 ++E£+EE+EezEeEErEererxerered 77

Hình 3.2.7.6: Tạo VirusTotal API key - c- c1 2c 1212911111111 1111118111111 1811 egrkp 78

Hình 3.2.7.7: Cấu hình file ossec.conf với VirusTotal API key 2 :5¿ 78Hình 3.2.7.8: Cấu hình file sS€C.COH 2-2 StSE‡EE‡EE2EE2EE2EE2E12E21E121EE 1E re 79Hình 3.2.7.9: Cấu hình file rules.xim] ¿2 S E+SE+EE£EE+EE2EE2EE2EE2EEECEEEEErrrkrree 79Hình 3.2.7.10: Tải tệp kiểm tra EICAR - 2-52 2 SSE£EE£EEEEEEEEEEEEEEEEEErEerkrrerkred 80Hình 3.2.7.11: Kết quả phát hiện và loại bỏ phan mềm độc hai bằng cách tích hợp

Hình 3.2.8.1: Cài đặt file ossec.conf của wazuh Se€TV€T cccccc c2 83

Hình 3.3.1.1: Tao Personal access token và sửa quyÈn 2- + s+sscxzxerxzxerxres 84

Hình 3.3.1.2: bat module github cloud S€TVICG - 5 555 232 **+2EE+svEEsreeerereeree 85

Hình 3.3.1.3: Kết quả giám sát github - 2-52 s+SE£EE+E£EE+EEEEEEEEEEEErErrrrkrrerrrei 85

Hình 3.3.1.4: Kết quả giám sát github - 2-25 2E22E1SEE2EE2E7EE7122121121 1E re 86

Trang 10

DANH MỤC VIET TAT VÀ THUAT NGỮ TIENG ANH - VIET

MỞ ĐẦU

Với sự gia tăng nhanh chóng và mạnh mẽ của các mạng lưới thiết bị công nghệ

thông tin cho thay duoc su phat triển một cách toàn diện của nền công nghệ thông

tin tuy nhiên điều đó gây ra những khó khăn trong việc quản lý và quản trị hệ thống

an ninh mạng Đây là một van đề không thé thiếu trong việc xây dựng các hệ thốngmạng Tùy thuộc vào các mô hình triển khai hệ thống mạng khác nhau thì các công

ty, các tô chức sẽ phải lựa chọn xây dựng va quan lý mạng một cách thích hợp dévừa tối ưu và đạt được hiệu quả cao nhất

Bên cạnh đó có rất nhiều phần mềm hỗ trợ quản lý và giám sát mạng ra đời Mộttrong số đó là Wazuh — một phần mềm giám sát an ninh mạng có chi phí đầu tưthấp Mặc dù vậy nó có khả năng linh hoạt có thé dé dang mở rộng trong việc giámsát hoạt động của các thiết bị trên mạng Đây là bộ công cụ hỗ trợ đắc lực cho nhàquản trị nhằm phân tích, giám sát cũng như các công cụ quản lý việc thực thi trên hệthống mạng Vi vậy, trong dé tài này em sẽ đi sâu tìm hiểu về “Triển khai hệ thốnggiám sát an ninh mạng dựa trên phần mềm Wazuh”

Bước vào thời đại số hóa ngày càng phát triển, an ninh mạng trở thành trụ cộtkhông thé thiếu đối với mọi hệ thống thông tin Trong bối cảnh này, việc triển khai

hệ thống giám sát an ninh mạng hiệu quả trở thành ưu tiên hàng đầu để bảo vệ đữliệu quan trong và đảm bảo hoạt động én định của môi trường kỹ thuật số Đồngthời, sự xuất hiện của phần mềm Wazuh đã mở ra một cánh cửa mới, cung cấp công

cụ mạnh mẽ dé giám sát và phát hiện các mối đe dọa an ninh mạng

Đề tài nghiên cứu này tập trung vào việc khám phá và triển khai hệ thống giámsát an ninh mạng dựa trên nền tảng phần mềm Wazuh Sự kết hợp giữa công nghệ

và chiến lược sẽ được khai phá dé xây dựng một hệ thống an ninh mạng toàn diện,đáp ứng các yêu cầu ngày càng cao về bảo mật và phòng ngừa các mối đe dọa trực

tuyên.

Qua việc tìm hiểu sâu hơn về Wazuh và cách thức triển khai, đề tài này hy vọng

gop phan nang cao nhận thức về quan trọng của việc bảo vệ an ninh mạng và cung

cấp một cơ sở kiến thức cụ thé dé triển khai hệ thống giám sát an ninh mạng hiệu

quả Hy vọng rằng công trình nghiên cứu này sẽ là nguồn tài liệu hữu ích, đồnghành cùng các chuyên gia và nhà quản lý hệ thống trong việc xây dựng môi trường

Trang 11

mạng an toan và bên vững.

Trang 12

Đồ án tốt nghiệp Chương 1: Tổng quan về hệ thống giám sát an ninh mạng

Chương 1: Tổng quan về hệ thống giám sát an ninh mạng

Chương 1 trình bày về các khái niệm tổng quan của hệ thống an ninh mang,giám sát mạng, kiến trúc, vai trò và lợi ich của giám sát an ninh mạng trong việcquản trị hệ thong mang, dé cập đến các quy tắc thiết kế hệ thong giám sát mạng.Đồng thời giải thích rõ ràng một số thuật ngữ trong an ninh mạng

11 Hệ thống giám sát an ninh mạng

1.1.1 Tổng quan

Hệ thống giám sát an ninh mạng (Network Security Monitoring - NSM) là mộtcụm từ mô tả việc theo dõi và phân tích liên tục các hoạt động mạng dé phát hiện vàngăn chặn mối đe doa an ninh mang NSM đóng vai trò quan trọng trong việc bao

vệ môi trường mạng, giúp tổ chức giảm thiéu rủi ro và tăng cường khả năng phanứng trước các mối đe dọa [3]

Dưới đây là một tổng quan về hệ thống giám sát an ninh mang [3]:

- Thu thập dữ liệu:

Hệ thống NSM thu thập dữ liệu từ nhiều nguồn khác nhau trên mạng, bao gồm

logs hệ thống, logs ứng dụng, lưu lượng mang, và các dang dit liệu khác

- Packet Capture (PCAP):

Thu thập dir liệu gói tin từ mang dé phân tích chi tiết các giao thức, dit liệutruyền tải và các hoạt động mạng

- Flow Data:

Theo dõi dữ liệu lưu lượng mạng dé xác định các mô hình hoạt động, đánh giá

sự tương tác giữa các thiết bị, và phát hiện các hoạt động không bình thường

- Log Analysis:

Phân tích logs từ nhiều nguồn dé nhan dién cac su kién an ninh quan trong vaxác định mối de doa

- Intrusion Detection System (IDS):

Sử dung các quy tắc và công nghệ giả mạo dé phát hiện và cảnh báo về các hành

vi đe dọa trên mạng.

- Vulnerability Assessment:

Kiểm tra các thiết bi và ứng dung để xác định lỗ hồng bảo mật và đánh giá rủi ro

an ninh.

- Threat Intelligence Integration:

Tích hợp thông tin đe doa từ các nguồn de dọa hàng dau dé cập nhật và nâng cao

12

Trang 13

khả năng phát hiện mối đe dọa

- Behavioral Analysis:

Phân tích hành vi của người dùng và các thành phan mạng dé xác định các hành

vi đe dọa tiềm ấn

- Incident Response:

Cung cap kha năng phan ứng nhanh chóng và hiệu qua khi phát hiện các sự kiện

đe dọa.

- Forensic Analysis:

Thu thập đữ liệu dé hỗ trợ phân tích forensics sau khi xảy ra sự cô dé hiểu rõ

nguyên nhân va hau quả.

- Reporting and Visualization:

Cung cấp báo cáo chi tiết và các giao diện đồ hoa dé hỗ trợ quản lý và người

dùng cuối hiểu rõ về tình trạng an ninh mạng

- Integration with SIEM:

Liên kết với các hệ thống quản lý sự cố và sự kiện an ninh (SIEM) để cung cấpquản lý tổng thê và phân tích dữ liệu an ninh mạng

Hệ thống giám sát an ninh mạng không chỉ giúp phát hiện mối đe dọa mà còn hỗtrợ tổ chức trong việc năm bắt và phản ứng nhanh chóng trước các sự cố an ninh.Điều này đóng vai trò quan trọng trong chiến lược bảo mật của một tổ chức

11.2 Doi tượng của hệ thống giám sát an ninh mang

Trong hệ thống giám sát an ninh mạng, có nhiều đối tượng can được giám sát déđảm bảo an toàn và bảo mật Dưới đây là một số đối tượng chính mà hệ thống giám

sat an ninh mạng thường theo dõi [3]:

- Máy chủ (Servers):

Giám sát hoạt động của máy chủ dé phát hiện các hoạt động không bình thường,

lỗ hồng bảo mật, và các sự kiện có thé là dấu hiệu của mối de dọa

- Mạng (Network):

Theo dõi lưu lượng mạng để phát hiện các mẫu lưu lượng không bình thường,

tân công mạng, và quản lý băng thông

- Người dùng và quyền truy cập:

Xác định hành vi của người dùng, theo dõi quyên truy cập dé phát hiện sự cốnhư lạm dụng quyền hoặc tan công ủy quyên

- Ứng dụng và dịch vụ (Applications and Services):

Giám sát các ứng dụng và dịch vụ dé phát hiện lỗ hồng bảo mật, thấp kém hiệu13

Trang 14

suất, và các van đề khác có thé anh hưởng đến sự 6n định của hệ thống

- Thiết bị mạng (Network Devices):

Theo dõi các thiết bị mạng như router, switch, va firewall dé đảm bảo rằng

chúng đang hoạt động đúng cách và không có hoạt động đáng ngờ.

- Hệ thống lưu trữ (Storage Systems):

Kiểm tra và giám sát các hệ thống lưu trữ dé phát hiện các thay đổi không mong

muốn, truy cập trái phép, hoặc mat đữ liệu.

- Hệ thống quản lý và giám sát (Management and Monitoring Systems):

Giám sát sự hoạt động của các hệ thống quản lý và giám sát để đảm bảo chúngđang hoạt động đúng cách và không bị tấn công

- Endpoint Devices:

Theo dõi hoạt động của các thiết bị kết nối với mang, chang hạn như máy tinh cá

nhân, laptop, và thiết bi di động dé phát hiện malware và hành vi đe doa

- Dữ liệu và tệp tin:

Giám sát sự thay đôi trong cấu trúc tệp và thư mục dé phát hiện các sự thay đôikhông mong muốn hoặc nghi ngờ

- Kết nối ngoai vi va thiét bi USB:

Kiểm soát và giám sát kết nối ngoại vi và thiết bi USB dé ngăn chặn các tan

công từ các thiết bị ngoại vi không an toàn

- Dịch vụ Cloud:

Nếu tổ chức sử dụng dịch vụ đám mây, cần giám sát và kiểm soát truy cập và

hoạt động trong môi trường đám mây.

- Tích hợp với hệ thống quản lý sự cố và sự kiện (SIEM):

Kết nối và tích hợp với hệ thống SIEM dé tong hợp và phân tích dữ liệu an ninh

từ nhiều nguồn khác nhau

Bằng cách giám sát những đối tượng này, hệ thống giám sát an ninh mạng giúp

tổ chức nhanh chóng phát hiện và đáp ứng trước các mỗi đe dọa an ninh mạng một

cách hiệu quả.

1.1.3 Những lợi ích của việc xây dựng hệ thống giám sát an ninh mạng

Xây dựng và triển khai một hệ thống giám sát an ninh mạng mang lại nhiều lợiích quan trọng cho tổ chức Dưới đây là một số lợi ích chính của việc xây dựng hệthống giám sát an ninh mạng [3]:

- Phát hiện sớm mối đe dọa:

14

Phạm Bá Tú — BI9DCAT164

Trang 15

Hệ thống giám sát giúp phát hiện sớm các hoạt động không bình thường hoặcmối đe dọa an ninh mạng, giúp tô chức phản ứng nhanh chóng trước khi xảy ra sự

có lớn

- Tăng cường an ninh mạng:

Giúp củng cô bảo mật mang bang cách liên tục theo dõi và đánh giá rủi ro, lỗhồng bảo mật và các hành vi đe dọa tiềm ẩn

- Quản lý băng thông hiệu quả:

Theo dõi lưu lượng mạng giúp tổ chức quản lý và tối ưu hóa băng thông, ngăn

chặn tấn công mạng va đảm bảo hiệu suất mạng

- Bảo vệ đữ liệu quan trọng:

Đảm bảo sự an toàn và bao mật của dữ liệu quan trọng tránh mat mát hoặc truy

cập trái phép.

- Giảm thiểu rủi ro kinh tế và thiệt hại nhắn định:

Giảm nguy co mắt mát dữ liệu, thiệt hại kinh tế và thiệt hại về danh tiếng do các

vụ tấn công hoặc sự cố an ninh mạng

- Tăng cường tuân thủ quy tắc an ninh:

Hỗ trợ tô chức duy trì tuân thủ các quy tắc và chính sách an ninh mạng nội bộ vàcác yêu cầu pháp luật

- Phân tích forensic hiệu quả:

Cung cấp dữ liệu và thông tin cần thiết dé thực hiện phân tích forensic sau sự cố,

hỗ trợ trong việc hiểu rõ nguyên nhân và hậu quả

- Nâng cao hiệu suất hệ thống:

Theo dõi hiệu suất các thiết bị và ứng dụng giúp đảm bảo rằng chúng đang hoạtđộng hiệu quả mà không ảnh hưởng đến hiệu suất toàn bộ hệ thống

- Quản lý quyền truy cập:

Giám sát quyền truy cập để đảm bảo rằng người dùng chỉ có quyền truy cậpnhững thông tin và tài nguyên cần thiết

- Hỗ trợ đánh giá rủi ro:

Cung cấp thông tin quan trọng dé tổ chức có thể đánh giá rủi ro an ninh và xácđịnh các biện pháp bảo mật cần thiết

- Hỗ trợ điều tra sự cố:

Hỗ trợ quá trình điều tra khi có sự cố an ninh mạng xảy ra, giúp xác định nguyênnhân và xử lý vấn đề

- Độ tin cậy và tính liên tục:

Đảm bảo tính liên tục của hệ thống giám sát, giup tô chức tự tin hơn về mức độ15

Trang 16

an toàn của môi trường mạng của mình.

Từ đây ta thấy việc xây dựng hệ thống giám sát an ninh mạng không chỉ là mộtbiện pháp phòng ngừa mà còn giúp tổ chức nhanh chóng và hiệu quả trong việcphản ứng trước các mối đe dọa an ninh mạng

1.1.4 Kiến trúc một hệ thống giám sát an ninh mang

Kiến trúc của hệ thống giám sát an ninh mạng có thể bao gồm một số thànhphần cơ bản, mỗi thành phần đóng vai trò quan trọng trong việc thu thập, xử lý,

phân tích và hiển thị dữ liệu an ninh mạng Dưới đây là một phác thảo về kiến trúctổng thé của hệ thống này [3]:

- Các thiết bị mạng:

Các thiết bị mạng bao gồm máy chủ, thiết bị mạng, router, firewall, switch vacac thiét bi mang khác thuộc hệ thống.Chúng tạo ra lưu lượng mạng và tạo ra các dữliệu logs, sự kiện và thông tin cần được giám sát

- Thu thập dữ liệu:

Các hệ thống giám sát thường sử dụng các agent hoặc phần mềm thu thập dữliệu từ các thiết bị mạng.Có thé sử dụng các công cụ như Snort, Suricata hoặc cácgiải pháp giám sát khác dé thu thập thông tin mạng

- Xử lý dữ liệu:

Dữ liệu được gửi đến các máy chủ hoặc các điểm tập trung để xử lý.Công cụnhư Logstash, Wazuh, hoặc các phần mềm tương tự được sử dụng để xử lý vàchuyển đổi dữ liệu từ nhiều nguồn thành định dạng chuẩn dé lưu trữ và phân tích

- Lưu trữ dữ liệu:

Dữ liệu được lưu trữ trong các hệ thống lưu trữ dữ liệu, thường là cơ sở dir liệuphân tán như Elasticsearch Elasticsearch được sử dung dé lưu trữ, tìm kiếm và truyvấn dữ liệu mang với tốc độ cao và khả năng mở rộng

- Phân tích và xử lý dữ liệu:

Dữ liệu trong Elasticsearch được phân tích và xử lý bằng các công cụ và giaodiện như Kibana Kibana cung cấp giao diện trực quan hóa dé tạo biểu đô, dé thị, vàbảng điều khiển từ dữ liệu, cũng như cho phép thực hiện truy van tìm kiếm phức

tạp.

16

Trang 17

- Cảnh báo và đáp ứng:

Hệ thống có khả năng tạo cảnh báo dựa trên việc phân tích dữ liệu Người quảntrị có thể nhận được cảnh báo qua email, tin nhắn văn ban hoặc các phương tiệnkhác dé ứng phó với các sự kiện quan trọng

- Quản lý và điều khiển:

Có các công cụ quản lý và điều khiển hệ thống giám sát để quản lý cấu hình,lịch sử sự kiện, xác thực và kiểm soát truy cập Kiến trúc này mô tả một quy trìnhtong thể về cách các thành phan của hệ thống giám sát an ninh mạng hoạt động cùng

nhau dé thu thập, xử lý, lưu trữ và phân tích dữ liệu an ninh mạng

1.1.5 Cac quy tắc khi thiết kế hệ thống giám sát an ninh mang

Khi thiết kế hệ thống giám sát an ninh mạng, có một số quy tắc quan trọng cầntuân thủ dé dam bảo tính hiệu qua và an toàn của hệ thống Dưới đây là một số quytắc khi thiết kế hệ thống giám sát an ninh mang [3]:

- Xác định mục tiêu và yêu cầu:

Đặt ra các mục tiêu cụ thê và xác định yêu cầu chính mà hệ thống giám sát cần

đáp ứng Điều này giúp xác định rõ phạm vi và chức năng của hệ thống

- Đánh gia TỦI ro:

Tiến hành một đánh giá rủi ro chỉ tiết để xác định các mối đe dọa tiềm ấn và lỗhồng bảo mật trong môi trường mạng

- Xác định các đối tượng cần giám sát:

Xác định rõ các đối tượng mà hệ thống Sẽ giám sát, bao gồm máy chủ, mạng,người dùng, ứng dụng, và các yếu tố khác

- Tuân thủ quy tắc chính an ninh:

Tuân thủ các quy tắc và tiêu chuẩn an ninh mạng quốc tế, ví dụ như ISO 27001,

dé đảm bảo tinh chất lượng và chuẩn mực

- Chọn các công cụ và giải pháp phù hợp:

Lựa chọn các công cụ và giải pháp giám sát phù hợp với nhu cầu cụ thé của tôchức, bao gồm cả IDS/IPS, SIEM, và các công nghệ khác

- Xây dựng mô hình dữ liệu:

Phát triển một mô hình dit liệu chi tiết để xác định cách dữ liệu sẽ được thu thập,lưu trữ và xử lý trong hệ thống giám sát

- Kết hop threat intelligence:

Kết hop thông tin de doa từ các nguồn de doa hang đầu dé cập nhật hệ thống với17

Trang 18

các mô hình đe dọa mới và cập nhật.

- Xác định ngưỡng cảnh báo (Thresholds):

Xác định ngưỡng cảnh báo cho các sự kiện quan trọng để giảm thiểu các cảnh

báo giả mạo và đảm bảo tính chính xác.

- Bảo mật dữ liệu:

Đảm bảo an toàn cho dữ liệu giám sát thông qua các biện pháp bảo mật như mã

hóa, kiểm soát truy cập, và quản lý chứng chỉ

- Xây dựng hệ thống có khả năng mở rộng:

Thiết kế hệ thống để có khả năng mở rộng, dé có thé đáp ứng với sự phát triển

của môi trường mạng.

- Chuẩn hóa và tông hop dir liệu:

Chuẩn hóa các thông tin và logs thu thập từ nhiều nguồn khác nhau để dễ dàngtong hợp và phân tích

- Chú trọng đến hiệu suất:

Đảm bảo rằng hệ thống giám sát không gây ảnh hưởng đáng kể đến hiệu suấtcủa mạng và các thiết bị khác

- Đào tạo nhân sự:

Đảo tạo nhân sự vận hành và quản lý hệ thống giám sát để đảm bảo họ có kiến

Trang 19

giải pháp được thiết kế để phát hiện và điều tra các mối đe dọa mạng trên các thiết

bị điểm cuối như PC, máy tính xách tay hoặc máy chủ Trái ngược với phần mềm

chống vi-rút, EDR không chỉ phát hiện các mối đe dọa trên mạng bằng cách quétcác tệp dé tìm chữ ký vi-rút mà còn bang cách xem xét hành vi của các thiết bị đầucuối Khi phát hiện hành vi đáng ngờ, công cụ này sẽ thông báo cho nhóm bảo mậtCNTT và đề xuất các hành động khắc phục Công cụ EDR cũng có thể cung cấp cácphản hồi giảm thiểu tự động, chang hạn như cách ly điểm cuối [3][4]

EDR bao gồm [3]:

- Giám sát điểm cuối và ghi nhật ký sự kiện

- Tìm kiếm dữ liệu, điều tra và săn lùng mối đe doa

Trang 20

liệu XDR thu thập dữ liệu và phân tích hành vi của tất cả các lớp và ứng dụng

CNTT Ngoài các điểm cuối, điều này bao gồm các thành phần mạng và dịch vụ

đám mây Bằng cách này, XDR tạo ra một cái nhìn toàn diện về bảo mật CNTT vàcác mối de doa mạng có thé xảy ra, giúp đơn giản hóa các hoạt động điều tra và ứng

phó [3][5].

XDR bao gôm [3]:

- Việc giám sát các nguồn đữ liệu từ các miền khác nhau

- Tìm kiếm đữ liệu, điều tra và săn tìm mối đe dọa trên nhiều miền

- Phân tích sự kiện định hướng mối đe dọa

Quản lý sự kiện va thông tin bao mật Security information and event

management (SIEM) là một giải pháp cho phép các tổ chức tập trung, tương quan vàphân tích dir liệu trên mạng CNTT dé phát hiện các van đề bảo mật Các khả năng20

Trang 21

chính của SIEM bao gồm quản lý và tập trung nhật ký, phát hiện sự kiện bảo mật,

khả năng báo cáo và tìm kiếm Nó cho phép các nhà phân tích kiểm tra dữ liệu nhật

ký và sự kiện, đồng thời cho phép họ theo dõi và ghi nhật ký đữ liệu bảo mật chocác mục đích kiểm toán và tuân thủ [3][6]

Giải pháp SIEM cho phép các nhóm bảo mật CNTT [3]:

- Thu thập và tương quan dữ liệu nhật ký

- Sử dụng đữ liệu dé xác định, phân loại và phân tích các sự cố và sự kiện

- Hợp nhất đữ liệu đa miền trong một nền tảng trung tâm

- Tạo cảnh báo và báo cáo

thiệp của con người [3] [7].

Các giải pháp SOAR cho phép các nhóm bảo mật CNTT [3]:

21

Trang 22

- Thu thập thông tin về các mối đe dọa bảo mật từ nhiều nguồn khác nhau vàcung cấp những thông tin này một cách tập trung

- Tự động hóa phản ứng của họ đối với các mối đe dọa bảo mật

- Giảm thiêu sự can thiệp của con người

1.2.5 Su khác biệt giữa SIEMva SOAR

Cả hai giải pháp đều thu thập thông tin bảo mật từ nhiều miền Tuy nhiên, các

chức năng chính của chúng khá khác nhau SIEM tập trung vào phân tích dữ liệu thu

thập được, phát hiện các mối de dọa và cảnh báo Mặt khác, SOAR tập trung vaoviệc tạo phản hồi tự động cho thông tin được thu thập Các giải pháp SIEM rất hiệuquả trong việc phát hiện các cuộc tấn công mạng, nhưng chúng cần có sự can thiệpthủ công của các nhà phân tích bảo mật dé chống lại chúng SOAR có thé hoạt độngđộc lập hơn nhiều [3]

1.2.6 Sự khác biệt giữa XDR và SIEM/SOAR

SIEM thu thập, tổng hợp, phân tích và lưu trữ một lượng lớn dữ liệu nhật ký từnhiều miền khác nhau Điều này cho phép các nhóm bảo mật áp dụng các trườnghợp sử dụng khác nhau cho đữ liệu — bao gồm cả việc sử dụng dữ liệu cho mục đíchkiểm tra và tuân thủ Các giải pháp SIEM đòi hỏi nhiều nỗ lực triển khai và tỉnhchỉnh Chúng có thể cảnh báo cho các nhà phân tích, nhưng không bao gồm cáchành động phản hồi tự động [3]

Ngược lại, XDR tích hợp một bộ công cụ điều tra, phân tích hành vi và khắc

phục tự động vào một nền tảng duy nhất Trọng tâm của nó là phát hiện mối đe dọanâng cao và tạo phản ứng phù hợp Điều đáng chú ý là XDR không có khả năng ghi

nhật ký, lưu giữ hoặc tuân thủ của SIEM [3].

SOAR cung cấp khả năng điều phối giúp các nhóm bảo mật CNTT tối ưu hóa tài

nguyên và ưu tiên các hoạt động Thông thường, giải pháp XDR không có những khả năng này [3].

1.2.7 MDR

Phát hiện và phản hồi được quản lý Managed detection and response (MDR) làmột dịch vụ bao gồm giám sát và phân tích bảo mật, cũng như một yếu tố ứng phóvới mỗi đe dọa Mặc dù phần mềm rất quan trọng ở đây, nhưng chìa khóa cho dịch

vụ MDR thành công là có các nhà phân tích có tay nghề cao tham gia Đây thường

là sự khác biệt giữa thành công và thất bại [3][8]

MDR bao gồm [3]:

- Nhà phân tích bảo mật CNTT

22

Trang 23

- Quy trình

- Công cụ bảo mật CNTT

- Giám sát an ninh liên tục

- Săn lùng mối đe dọa

- Mối đe dọa và ưu tiên cảnh báo

chuyên dụng [3][9].

Một SOC điền hình bao gồm [3]:

- Một trung tâm điều khiển trung tâm

ra các thông báo càng nhanh càng tốt khiến cho quá trình khắc phục và xử lý sự cốđược triển khai sớm trước khi ảnh hưởng xấu đến hệ thống

Trên hành trình khám phá về hệ thống giám sát an ninh mạng và các thuật ngữ23

Trang 24

trong an ninh mạng, chúng ta đã thấy sự quan trọng và đa dạng của các công cụ,

khái niệm và quy trình trong việc bảo vệ môi trường mạng Các thuật ngữ quan

trọng trong an ninh mang đã được giải thích Điều này giúp xây dựng nền tảng kiếnthức cho việc tiếp cận với an ninh mạng một cách toản diện hơn

24

Trang 25

Chương 2: Tổng quan về phần mềm Wazuh và một số

Do án tot nghiệp phân mềm giám sát an ninh mạng khác

Chương 2: Tông quan về phần mêm Wazuh và một sô phan mém giám sát

an ninh mạng khác

Trên hành trình liên tục phát triển của ngành an ninh mạng, việc sử dụng phan

mém giám sát đóng vai trò cực ky quan trọng trong việc bảo vệ và dam bảo an toàn cho môi trường kỹ thuật số của chúng ta Trong chương này, chúng ta sẽ bắt dau

bằng việc tim hiểu về một trong những công cụ mạnh mẽ trong lĩnh vực này - phan

mêm Wazuh.

Wazuh, một giải pháp mã nguon mở, không chỉ cung cấp khả năng phát hiện

xâm nhập mạnh mẽ mà còn cung cấp một loạt các tính năng an ninh mạng khác, từ quản ly log đến phân tích sự cô và cảnh báo Chúng ta sẽ khám phá sâu hơn về các khía cạnh quan trọng của Wazuh, cũng như cách nó có thể tích hợp và làm việc cùng với các phan mém giám sát an ninh mạng khác [1].

Ngoài Wazuh, chúng ta cũng sẽ lập trung vào mot số phan mém giám sát an

ninh mạng khác pho biến và quan trong trong lĩnh vực này Chúng ta sẽ di sâu vào các đặc điểm, ưu điểm, nhược điểm và các ứng dụng của từng phan mém này, từ Snort và Suricata đến ELK Stack và Nagios.

Bằng việc tim hiểu chỉ tiết về từng công cụ này, chúng ta sẽ có cái nhìn tổngquan về các lựa chọn có săn để xây dựng một hệ thống giảm sát an ninh mạng mạnh

mẽ và hiệu quả.

Mục tiêu của chúng ta là không chỉ Cung cấp cái nhìn chỉ tiết về Wazuh và các

phân mém giám sát an ninh mạng khác mà còn giúp hiểu rõ hơn về cách chúng có

thể được tích hợp và tận dụng trong môi trường an ninh mạng.

Trang 26

phân mêm giám sát an ninh mạng khác

dữ liệu của họ Wazuh được xây dựng từ các thành phần : OSSEC HIDS,

OpenSCAP va Elastic Stack [2].

OSSEC OpenSCAP Elastic Stack

OSSEC HIDS : host-based Intrusion Detection System (HIDS) được dung cho

việc phát hiện xâm nhập, hiển thi và giám sát Nó dựa vào | multi-platform agent

cho việc đây đữ liệu hệ thống (log message, file hash và phát hiện bất thường) tới I

máy quản lý trung tâm, nơi sẽ phân tích và xử lý, dựa trên các cảnh báo an ninh Các

agent truyền event data event data tới máy quản lý trung tâm thông qua kênh đượcbảo mật và xác thực OSSEC HIDS cung cấp syslog server trung tâm và hệ thonggiám sát không can agent, cung cấp việc giám sát tới các event và thay đổi trên cácthiết bị không cai được agent như firewall, switch, router, access point, thiét bi

mang [2]

OpenSCAP OpenSCAP là 1 OVAL (Open Vulnerability Assesment Language)

va XCCDF (Extensible Configuration Checklist Description Format) được dùng dékiểm tra cau hình hệ thống và phát hiện các ứng dụng dé bi tan công Nó được biếtđến như là một công cụ được thiết kế để kiểm tra việc tuân thủ an ninh của hệ thống

sử dụng các tiêu chuan an ninh dùng cho môi trường doanh nghiệp [2]

ELK Stack Sử dụng cho việc thu thập, phân tích, lưu trữ, tìm kiếm và hiển thi di

liệu log [2].

26

Trang 27

2.1.2 Chức năng của Wazuh

Wazuh cung cấp nhiều chức năng quan trọng đề giúp tô chức theo dõi, phân tích

và bảo vệ hệ thống của họ Dưới đây là một số chức năng chính của Wazuh [3]:

- Log Management:Thu thập, phân tích và quan lý các loại log khác nhau từ hệ

thong, ứng dụng và thiết bị dé giúp theo dõi và đánh giá sự kiện bảo mật

- Intrusion Detection System (IDS):Duyệt theo dõi và phát hiện các hành vi de

dọa trên mỗi máy chủ thông qua việc sử dụng quy tắc, bộ quy tắc và công nghệ giả

mạo.

- File Integrity Monitoring (FIM): Giám sát sự thay đổi trong cấu trúc tệp và thư

mục dé phát hiện sự thay đổi không mong muốn, làm tăng khả năng phát hiện các

hành động đe dọa hoặc vi phạm bao mật.

- Vulnerability Detection: Kiểm tra các máy chủ để xác định các 16 hồng bảomật có thé bị tận dụng, giúp tổ chức giảm thiểu rủi ro

- Threat Intelligence Integration: Tích hợp thông tin đe doa từ các nguồn đe dọahàng đầu để cung cấp cập nhật về các môi đe dọa mới và nâng cao khả năng nhận

diện.

- Scalability: Có khả năng mở rộng để phục vụ môi trường hệ thống lớn, đápứng nhu cầu của cả doanh nghiệp nhỏ và lớn

- Active Responses: Tích hợp khả năng phan ứng tự động dé giảm thiểu thời

gian phản ứng vả giảm nguy cơ an ninh.

-Elastic Stack Integration: Tương thích chặt chẽ với Elastic Stack

(Elasticsearch, Logstash, Kibana) để cung cấp khả năng tìm kiếm, truy xuất và hiển

thị dữ liệu một cách hiệu quả.

- Web Interface: Cung cấp giao diện web dé giúp người dùng dé dang quản lý và

theo dõi dữ liệu bảo mật.

- Documentation và Cộng đồng: Cung cấp tài liệu chỉ tiết và có một cộng đồngsôi động để hỗ trợ người dùng

Wazuh là một giải pháp an ninh toàn diện, giúp tổ chức nâng cao khả năng giám

sát, phân tích và phản ứng đối với các mối đe dọa an ninh mạng

2.1.3 Đặc điểm của Wazuh

Wazuh có nhiều đặc điểm quan trọng, điều này giúp nó trở thành một giải pháp

an ninh mạnh mẽ và linh hoạt Dưới đây là một số đặc điểm chính của Wazuh [3]:

- Open Source: Wazuh là một dự án mã nguồn mở, cho phép người dùng kiểm27

Trang 28

tra, tùy chỉnh và phát triển theo nhu cau cụ thé của họ

- Log Management: Cung cấp giải pháp quản lý log để thu thập, phân tích vàquản lý các loại log từ nhiều nguồn khác nhau

- Intrusion Detection System (IDS): La một HIDS mạnh mẽ, giúp theo đõi và

phát hiện các hành vi đe dọa trên mỗi máy chủ.

- File Integrity Monitoring (FIM): Cung cấp kha năng giám sát sự thay đổi trongcấu trúc tệp và thư mục đề phát hiện sự thay đổi không mong muốn

- Vulnerability Detection: Kiểm tra lỗ héng bảo mật trên hệ thống dé giúp tổ

chức giảm thiểu rủi ro từ các lỗ hồng có thé bị tận dụng

- Threat Intelligence Integration: Tích hợp thông tin đe dọa từ các nguồn đe dọa

hàng đầu dé cung cấp cập nhật về các mối đe dọa mới

- Scalability: Có khả năng mở rộng dé phục vụ môi trường hệ thống lớn

- Active Responses: Hỗ trợ các phản ứng tự động khi phát hiện mối đe dọa, giúp

giảm thiêu thời gian phản ứng và nguy cơ bảo mật

-Elastic Stack Integration: Tương thích chặt chẽ với Elastic Stack

(Elasticsearch, Logstash, Kibana) dé cung cấp giao diện đồ họa và phân tích mạnh

Wazuh được thiết kế để giúp tổ chức xây dựng một hệ thống an ninh mạng

mạnh mẽ, đồng thời đảm bảo tính mở và tính linh hoạt trong triển khai và tùy chỉnhtheo nhu cầu cụ thé

2.1.4 Kiến trúc của Wazuh

Mô hình kiến trúc của Wazuh được chia thành 2 dạng [2]:

* Multi-node deployment

* Single node deployment

- Multi-node deployment:

Khi Wazuh server va Elasticsearch cluster chạy trên các host khác nhau,

Filebeat được dùng dé truyén một cách an toàn các cảnh báo, archived event tới

Elasticsarch server sử dụng TLS Chú ý rằng multi-node cluster sẽ là multiple28

Trang 29

Đồ án tốt nghiệ ae lgniep phan mém giam sat an ninh mang khac

Elastic stack sererver [2].

Logstash Wazuh agent

đọc các cảnh báo, event từ Wazuh trực tiếp từ local file system và đây chúng tới

local Elasticsearch instance [2].

Wazuh-Elastic Stack server

Wazuh API Elasticsearch

Wazuh App

Hình 2.4: Wazuh single-node deployment

2.1.5 Thanh phần của Wazuh

Nền tảng Wazuh cung cấp các tinh năng XDR va SIEM dé bảo vệ khối lượngcông việc trên đám mây, bộ chứa và máy chủ Chúng bao gồm phân tích dữ liệu

nhật ký, phát hiện xâm nhập và phần mềm độc hại, giám sát tính toàn vẹn của tệp,đánh giá cau hình, phát hiện lỗ hồng và hỗ trợ tuân thủ quy định [2]

Wazuh dựa trên Wazuh agent được triển khai trên các điểm cuối được giám sát

và trên ba thành phần trung tâm: Wazuh server, Wazuh indexer và Wazuh

dashboard [2].

- Wazuh indexer là một công cụ phân tích và tìm kiếm toàn văn bản có khả năng

mở rộng cao Thành phần trung tâm này lập chỉ mục và lưu trữ các cảnh báo do máy

chủ Wazuh tạo ra.

29

Trang 30

- Wazuh server phân tích đữ liệu nhận được từ các đại lý Nó xử lý thông tin đó

thông qua bộ giải mã và quy tắc, sử dụng thông tin về mối đe dọa dé tìm kiếm cácdau hiệu thỏa hiệp (IOC) phô biến Một máy chủ có thé phân tích dữ liệu từ hàngtrăm hoặc hàng nghìn tác nhân và mở rộng quy mô theo chiều ngang khi được thiếtlập thành một cụm Thành phần trung tâm này cũng được sử dụng để quản lý các tácnhân, cấu hình và nâng cấp chúng từ xa khi cần thiết [2]

- Wazuh dashboard là giao điện người dùng web dé trực quan hóa và phân tích

dữ liệu Nó bao gồm các bảng thông tin dùng ngay cho các sự kiện bảo mật, tuân thủ

quy định (ví dụ: PCI DSS, GDPR, CIS, HIPAA, NIST 800-53), các ứng dung dễ bị

phát hiện, di liệu giám sát tính toàn vẹn của tệp, kết quả đánh giá câu hình, giám sát

cơ sở hạ tầng đám mây sự kiện và những sự kiện khác Nó cũng được sử dụng déquản ly cau hình Wazuh và theo dõi trạng thái của nó [2]

- Wazuh agents được cài đặt trên các điểm cuối như máy tính xách tay, máy tính

dé bàn, máy chủ, phiên bản đám mây hoặc máy ảo Chúng cung cấp khả năng ngănchặn, phát hiện và ứng phó với mối đe dọa Chúng chạy trên các hệ điều hành như

Linux, Windows, macOS, Solaris, AIX và HP-UX [2].

Ngoài khả năng giám sát dựa trên tác nhân, nền tảng Wazuh có thé giám sát các

thiết bị không có tác nhân như tường lửa, bộ chuyên mạch, bộ định tuyến hoặc IDS

mang, cùng nhiều thiết bị khác Vi dụ: dữ liệu nhật ký hệ thống có thé được thu thập

qua Syslog và cau hình của nó có thé được theo dõi thông qua việc thăm dò đữ liệu

định kỳ, thông qua SSH hoặc thông qua API [2].

Sơ đô bên dưới thê hiện các thành phân và luông dữ liệu của Wazuh.

Endpoint security agent Central components

8 Woz qwses

& ‘Agent daemon Agent connection service Analysis engine

Hinh 2.5: Thanh phan cua Wazuh

30

Trang 31

Đồ án tốt nghiệ sa.gniep phan mém giam sat an ninh mang khac

2.1.6 Phuong thức liên lạc va luồng dữ liệu

Agent processes Manager processes Elastic processes

Hình 2.6: Phương thức liên lạc của wazuh

- Agent-server communication:

Wazuh agent sử dung OESSEC message protocol dé gửi các event thu thập

được tới Wazhu server thông qua port 1514 (UDP hoặc TCP) Wazuh server giải ma

và thực hiện rule-check với các event nhận được với công cụ phan tích Cac event

ứng với các rule được bồ sung dữ liệu cảnh báo như rule-id và rule-name Các event

có thé được đây tới 1 hoặc cả 2 file sau, dựa vào việc có được event có tương ứng

với rule hay không [2]:

File /var/ossec/logs/archives/archives.json chứa tat cả các event du có tương ứng

với rule hay không.

File /var/ossec/logs/alerts/alerts.json chỉ chứa các event tương ứng với rule đã đặt ra.

OSSEC message protocol dùng 1 mã hóa 192-bit Blowfish với full 16-round implemetation.

- Wazuh-elastic communication:

Trên mô hình triển khai diện rộng, Wazuh server sử dung Filebeat dé chuyển dữliệu về cảnh báo và event tới Logstash (5000/TCP) trên Elastic Stack server, sửdụng TLS Với kiến trúc single-host, Logstash đọc trực tiếp từ local file system màkhông cần dùng Filebeat

Logstash định hình incoming data, và có thé là GeolP, trước gửi tới

Elasticsearch (port 9200/TCP) Một khi dữ liệu được index tới Elasticsearch, Kibana

(port 5601/TCP) được dùng dé khai thác và hiển thị thông tin

Wazuh App chạy bên trong Kibana liên tục truy vấn tới RESTful API (port

55000/TCP trên Wazuh manager) dé hién thị cấu hình và thông tin trạng thái liên

31

Trang 32

Đô án tôt nghiệp

quan của server và agent, cũng như restart agent theo yêu câu Liên lạc này được mã hóa với TLS và được xác thực với username và password.

2.1.7 Lưu trữ dữ liệu

Các event về alert và non-alert được lưu trữ cùng nhau trong file trên Wazuhserver và sau để gửi tới Elasticsearch Các file này được viết với dạng JSON hoặc

với plain text format Các file này được nén hàng ngay và được đánh dau với MD5

và SHAI checksums Cấu trúc thư mục và tên file như sau [2]:

root@wazuh-server:/var/ossec/logs/archives/2017/Jan# Is -1 total 176

-TW-T - 1 ossec ossec 234350 Jan 2 00:00 ossec-archIve-01.Json.gz -Iw-t - 1 ossec ossec 350 Jan 2 00:00 ossec-archive-01.json.sum -IW-I - 1 ossec ossec 176221 Jan 2 00:00 ossec-archive-01.log.gz -IW-I - l ossec ossec 346 Jan 2 00:00 ossec-archive-01.log.sum -IW-I - 1 ossec ossec 224320 Jan 2 00:00 ossec-archive-02.json.gz -IW-I - l ossec ossec 350 Jan 2 00:00 ossec-archive-02.json.sum -IW-t - 1 ossec ossec 151642 Jan 2 00:00 ossec-archive-02.log.gz -TW-T - l ossec ossec 346 Jan 2 00:00 ossec-archive-02.log.sum -TW-T - 1 ossec ossec 315251 Jan 2 00:00 ossec-archive-03.json.gz -Iw-t - 1 ossec ossec 350 Jan 2 00:00 ossec-archive-03.json.sum -TW-T - 1 ossec ossec 156296 Jan 2 00:00 ossec-archive-03.log.gz -Iw-t - l ossec ossec 346 Jan 2 00:00 ossec-archive-03.log.sum

Việc Rotation va backup các file nén được khuyến khích, tùy theo khả năng lưutrữ của Wazuh Manger server Sử dung cron job dé rà soát các file nén

Ngoài ra, có thể lựa chọn việc bỏ qua việc lưu trữ các file nén, và sử dụngElasticsearch cho các tài liệu lưu trữ, đặc biệt nếu chạy Elasticsearch snapshotbackup hoặc multi-node Elasticsearch cluster cho shard replica Chúng ta có thé sử

dung cron job dé di chuyển các index đã duoc snapshot tới một server lưu trữ vađánh dau chúng với MD5 va SHAI [2]

2.1.8 Đánh giá phần mềm Wazuh

Đánh giá về phần mềm Wazuh có thê thay đổi dựa trên nhu cầu cụ thé của mỗi

tô chức và cá nhân Dưới đây là một số đánh giá tích cực và khía cạnh cần cân nhắc

Trang 33

Logstash, Kibana), cung cấp khả năng phân tích logs mạnh mẽ và giao diện đồ họa

dễ sử dụng

- Hỗ Trợ HIDS, NIDS, và FIM: Wazuh không chỉ giúp theo dõi logs hệ thống

mà còn cung cấp chức năng giám sát Host-based Intrusion Detection System

(HIDS), Network-based Intrusion Detection System (NIDS), va File Integrity Monitoring (FIM).

- Quy tắc đe doa linh hoạt: Wazuh sử dụng quy tắc dé phát hiện các hành vi de

dọa, và khả năng linh hoạt trong việc tùy chỉnh quy tắc giúp phù hợp với nhu cầu cụ

thé của từng tô chức

- Thiết lập cảnh báo: Cung cấp hệ thống cảnh báo linh hoạt, giúp người quản trị

và an ninh có thé phản ứng nhanh chóng khi có sự kiện đe dọa

Điểm yếu của Wazuh:

- Khả năng triển khai phức tạp: Cài đặt và triển khai Wazuh có thé đòi hỏi kiến

thức chuyên sâu về an ninh mạng, điều này có thể là một thách thức đối với các tổchức không có nguồn lực an ninh đủ

- Giao diện người dùng chưa thân thiện: Mặc dù có nhiều tính năng mạnh mẽ,

nhưng giao diện người dùng có thé được cải thiện dé làm cho việc quan lý và theo

dõi dé dàng hơn đối với người dùng không chuyên sâu về an ninh

- Yêu cầu tài nguyên: Wazuh có thé đòi hỏi một lượng tài nguyên đáng ké, đặcbiệt là khi triển khai trên các môi trường có quy mô lớn

- Hạn chế trong việc phân loại sự kiện: Mặc dù có khả năng phản ứng nhanhchóng, nhưng đôi khi có thé có hạn chế trong việc phân loại chính xác các sự kiện,dẫn đến các cảnh báo giả mạo

- Chưa có sự hỗ trợ tốt cho môi trường đám mây: Wazuh có thé dang gặp khó

khăn trong việc tích hợp tốt với các môi trường đám mây so với các giải pháp anninh khác đã được tối ưu hóa cho môi trường này

Khía Cạnh Cần Cân Nhắc:

- Doi hỏi kiến thức an ninh: Mặc dù có hướng dẫn, nhưng triển khai và tùy chỉnh

Wazuh có thê doi hỏi một mức độ kiên thức về an ninh mạng.

33

Trang 34

phân mềm giám sát an ninh mạng khác

- Quản lý công suất: Việc quản lý và duy trì một hệ thống Wazuh có thê đòi hỏi

sự chú ý đặc biệt dé dam bảo hiệu suất và tính 6n định

Wazuh là một giải pháp an ninh mạng đáng cân nhắc, đặc biệt là đối với những

tổ chức có kiến thức và nguồn lực dé triển khai và quản lý nó một cách hiệu quả.

2.1.9 Cài đặt thử nghiệm phần mềm Wazuh

Dưới đây là các bước thực hiện cài đặt Wazuh:

- Tải xuống và chạy trợ lý cài đặt Wazuh

curl -sO_ https://packages.wazuh.com/4.7/wazuh-mstallsh && sudo bash /wazuh-install.sh -a

- Sau khi trợ lý hoàn tat quá trình cài đặt, đầu ra sẽ hiển thị thông tin xác thựctruy cập và thông báo xác nhận rằng quá trình cài đặt đã thành công

INFO: Summary INFO: You can access the web interface https://<wazuh-dashboard-ip>

-User: admin Password: <ADMIN PASSWORD>

INFO: Installation finished.

- Bây giờ chúng ta đã cài đặt và cau hình Wazuh

- Truy cập vào Wazuh web interface with https://<wazuh-dashboard-ip> với thông tin đăng nhập của mình:

Username: admin Password: <ADMIN_PASSWORD>

- Khi truy cập bảng điều khiển Wazuh lần đầu tiên, trình duyệt sẽ hiển thị thôngbáo cảnh báo cho biết chứng chỉ không được cấp bởi cơ quan đáng tin cậy Điều nàyđược mong đợi và người dùng có tùy chọn chấp nhận chứng chỉ dưới dạng ngoại lệ34

Trang 35

hoặc, cách khác, đặt cấu hình hệ thống dé sử dụng chứng chỉ từ cơ quan đáng tin

cậy.

- Lưu ý có thê tìm thấy mật khâu cho tất cả người lập chỉ mục Wazuh và người

dùng API Wazuh trong tệp wazuh-passwords.txt bên trong wazuh-install-files.tar.

2.2 Các phân mêm giám sát an ninh mạng

Có nhiều phần mềm giám sát hệ thống an ninh mạng có thé sử dụng dé theo dõi

và bảo vệ môi trường mạng của mình Dưới đây là một số phần mềm phổ biến trong

lĩnh vực giám sát an ninh mạng:

2.2.1 Snort:

Snort là một HIDS (Host-based Intrusion Detection System) va NIDS

(Network-based Intrusion Detection System) No sit dung cac quy tac dé phat hién cac hanh vi

de doa trén mang va may chu.

Dac trung:

- Mô-đun Phat hiện Xâm nhập (IDS/IPS): Snort là một hệ thống phát hiện xâm

nhập (IDS) hoặc có thể được cấu hình thành một hệ thống ngăn chặn xâm nhập

35

Trang 36

nhật các luật và tính năng mới.

- Khả năng tích hợp và linh hoạt: Snort có thé tích hợp với nhiều công cụ và hệthống khác, cung cấp linh hoạt cho việc triển khai và tích hợp với cơ sở hạ tầng

- Yêu cầu kiến thức kỹ thuật cao: Cấu hình và tùy chỉnh Snort đòi hỏi kiến thức

sâu rộng về mạng và an ninh mạng Điều này có thể là một thách thức đối với người

dùng không có kỹ năng kỹ thuật cao.

- Cần phải cập nhật luật thường xuyên: Việc cập nhật luật để đối phó với cácmỗi đe dọa mới đòi hỏi sự theo dõi và bảo trì định kỳ Nếu không được cập nhậtthường xuyên, Snort có thé trở nên không hiệu quả trong việc phát hiện các đe doa

moi.

- Khả năng báo động giả cao: Có thé xảy ra tình trạng báo động giả khi Snortphát hiện các hoạt động không mong muốn nhưng không chắc chắn liệu chúng cóphải là mối đe đọa thực sự hay không

- Yêu cầu tài nguyên hệ thống: Snort có thể yêu cầu tài nguyên hệ thống khá lớn,đặc biệt là khi phải xử lý lưu lượng mạng lớn và áp dụng nhiều luật

- Hỗ trợ kỹ thuật han chế: Mặc dù có cộng đồng người dùng rộng lớn, nhưng hỗ36

Trang 37

Chương 2: Tông quan vê phân mêm Wazuh va một sô

trợ kỹ thuật có thê hạn chế so với các giải pháp thương mại

- Khó khăn trong việc phân tích log và quản lý: Số lượng log sinh ra từ Snort cóthé rat lớn và khó khăn trong việc phân tích và quan lý chúng dé tìm ra thông tin

quan trọng và nguy cơ thực sự.

2.2.2 Nagios:

- Giám sát đa dạng: Nagios cho phép giám sát nhiều loại tài nguyên khác nhaunhư máy chủ, ứng dụng, mạng, dịch vụ và các yếu tố hệ thống khác thông qua giaothức SNMP, HTTP, SSH, SMTP, và nhiều giao thức khác [3]

- Khả năng mở rộng: Nagios có khả năng mở rộng linh hoạt thông qua plugin,

cho phép người dùng tùy chỉnh và mở rộng khả năng giám sát của hệ thống theo nhucầu cụ thê của họ [3]

- Giao điện người dùng dé sử dụng: Nagios cung cấp giao diện người dùng web

thân thiện, cho phép người dùng dễ dàng theo dõi trạng thái của các tài nguyên và

hệ thống đang được giám sát [3]

- Thông báo và báo cáo: Naglos có khả năng thông báo tức thì qua email, tin

nhắn văn bản, hoặc các phương tiện khác khi phát hiện sự cố Nó cũng cung cấp báo

cáo chỉ tiết về trạng thái của hệ thống trong thời gian thực và qua thời gian [3]

37

Trang 38

- Quản lý sự kiện và ghi chép lich sử: Nagios ghi lại lich sử các sự kiện giám sat,

giúp trong việc phân tích và điều tra sự cố, cũng như cung cấp thông tin để tối ưuhóa hiệu suất hệ thống [3]

- Kiểm soát và điều chỉnh linh hoạt: Người dùng có khả năng kiểm soát và điềuchỉnh các cài đặt, cảnh báo và quy trình tự động hóa dé phản ứng nhanh chóng khiphát hiện sự cé [3]

- Hỗ trợ cộng đồng lớn: Nagios có một cộng đồng người dùng rộng lớn, vớinhiều tai liệu, plugin và hỗ trợ từ cộng đồng, giúp người dùng giải quyết van đề và

mở rộng tính năng của Nagios [3].

Nhược điểm:

- Khó khăn trong việc cài đặt ban đầu: Việc cấu hình và cài đặt Nagios ban đầu

có thê phức tạp và đòi hỏi kiến thức kỹ thuật sâu rộng về hệ thống và mạng [3]

- Giao điện người dùng hạn chế: Mặc dù giao diện web của Nagios dé sử dụng,nhưng cảm giác trực quan và thiết kế có thé cải thiện dé tối ưu hóa trải nghiệm

- Thông báo quá nhiều hoặc không chính xác: Đôi khi, Nagios có thé thông báo

quá nhiều cảnh báo không quan trọng hoặc cung cấp cảnh báo không chính xác, gây

ra hiện tượng báo động giả [3].

- Ghi chép lịch sử lưu lượng lớn: Số lượng log và thông tin ghi chép được tạo ra

từ Nagios có thê rất lớn, gây ra khó khăn trong việc quản lý và phân tích dữ liệu

- Hỗ trợ kỹ thuật hạn chế: Mặc dù có cộng đồng người dùng rộng lớn, nhưng hỗtrợ kỹ thuật từ nhà phát triển chính không được cung cấp một cách đầy đủ cho người

dùng miễn phí [3].

38

Trang 39

- Phát hiện Xâm nhập (IDS/IPS): Suricata có khả năng hoạt động như một hệ

thống phát hiện xâm nhập (IDS) hoặc hệ thống ngăn chặn xâm nhập (IPS), giúp pháthiện và ngăn chặn các cuộc tan công mạng.[ 10]

- Phân tích đa lớp và đa lu6ng: Suricata có khả năng phân tích lưu lượng mang

đa lớp và đa luông, từ lớp thấp nhất của giao thức mạng đến các tầng cao hơn, giúpphát hiện các mối de dọa da dạng.[10]

- Hỗ trợ nhiều giao thức: Suricata hỗ trợ nhiều giao thức mạng như TCP, UDP,ICMP và các giao thức lớp 7 như HTTP, TLS/SSL, DNS, va nhiều giao thức khác

[10]

- Sử dụng quy tắc và luật phát hiện: Suricata sử dụng cau trúc quy tắc và luật déphát hiện các mẫu hoặc hành vi của các cuộc tấn công mạng Luật này có thể đượctùy chỉnh và mở rộng dé phù hợp với môi trường cu thê.[ 10]

39

Trang 40

- Khả năng ghi log và phân tích lưu lượng mạng: Suricata có khả năng ghi lại

lưu lượng mạng để phân tích sau này và hỗ trợ trong việc điều tra sự cố an ninh

- Yêu cầu tài nguyên hệ thống cao: Suricata có thể tiêu tốn nhiều tài nguyên hệ

thống, đặc biệt là khi áp dung phân tích đa luồng và da lớp trên lưu lượng mạng lớn

- Yêu cầu cập nhật liên tục: Đề duy trì tính hiệu qua, Suricata cần được cập nhậtđịnh kỳ với các luật và quy tắc mới để đối phó với các mối đe dọa mới.[3]

- Độ tin cậy và hiệu suất: Có thé có sự mat mát dit liệu hoặc giảm hiệu suất néuSuricata không được cau hình đúng hoặc không hoạt động ồn dinh.[3]

- Hỗ trợ kỹ thuật hạn chế: Mặc dù có cộng đồng người dùng rộng lớn, nhưng hỗtrợ kỹ thuật từ nhà phát triển chính không được cung cấp một cách đầy đủ cho người

dùng miễn phí.[3]

- Khó khăn trong việc quản lý và phân tích log: Số lượng log và dữ liệu ghi chép

từ Suricata có thể rất lớn, gây khó khăn trong việc quản lý và phân tích để tìm ra

thông tin quan trong.[3]

40

Tiêu đề	Nghiên cứu triển khai hệ thống giám sát an ninh mạng dựa trên phần mềm Wazuh
Tác giả	Phạm Bà Tú
Người hướng dẫn	Vũ Minh Mạnh
Trường học	Học viện Công nghệ Bưu chính Viễn thông
Chuyên ngành	An toàn thông tin
Thể loại	Đồ án tốt nghiệp
Năm xuất bản	2024
Thành phố	Hà Nội

Định dạng
Số trang	88
Dung lượng	25,24 MB