1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Tìm hiểu về hệ thống phát hiện tấn công, đột nhập Wazuh

37 1 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Tìm hiểu về hệ thống phát hiện tấn công, đột nhập Wazuh
Tác giả Đào Hải Đăng, Lương Ngọc Yên, Nguyễn Văn Sơn, Lê Duy Khánh, Đỗ Quang Huy
Chuyên ngành An Toàn Và Bảo Mật Hệ Thống Thông Tin
Định dạng
Số trang 37
Dung lượng 14 MB

Nội dung

Giới thiệu tổng quan 1Các thành phần chính 2 Kiến trúc của Wazuh 3 Cài đặt Wazuh 4 Cấu hình, tạo luật 5 Nội dung... WAZUH SERVERLà thành phần chính , có trách nhiệm phân tích dữ liệu từ

Trang 2

Đào Hải Đăng B21DCCN197

Lương Ngọc Yên B21DCCN809

Lê Duy Khánh B21DCCN451

Nguyễn Văn Sơn B21DCCN653

Đỗ Quang Huy B21DCCN432

Thành viên nhóm 13

Trang 3

Giới thiệu tổng quan 1

Các thành phần chính 2

Kiến trúc của Wazuh 3

Cài đặt Wazuh 4

Cấu hình, tạo luật 5

Nội

dung

Trang 4

Wazuh là dự án mã nguồn mở có chức năng phát hiện lỗ hổng bảo mật, tăng cường khả năng quan sát

và giám sát tuân thủ các quy định

an ninh thông tin Nó tự động thu thập và tổng hợp dữ liệu bảo mật từ nhiều hệ điều hành như Linux, Windows, macOS, Solaris, và AIX, tạo nên một giải pháp SIEM toàn diện

Giới thiệu

tổng quan

Trang 5

Khả năng của Wazuh

Detection

• Intrusion Attempts

Trang 6

Wazuh ban đầu được phát triển dựa trên OSSEC HIDS và sau đó được tích hợp thêm Elastic Stack cùng với OpenSCAP để trở thành một giải pháp an ninh toàn diện

Trang 7

WAZUH SERVER

Các thành phần chính

WAZUH AGENT

Trang 8

WAZUH SERVER

Là thành phần chính , có trách nhiệm phân tích dữ liệu từ các agent và gửi cảnh báo khi phát hiện các

sự kiện an ninh

• Có thể được cài đặt trên một máy chủ vật lý hoặc máy ảo riêng biệt

• Có thể được cài đặt trên một máy trên đám mây

• Có thể chạy các agent để tự giám sát chính nó

Trang 10

WAZUH AGENT

Thu thập dữ liệu từ hệ thống và ứng dụng, sau đó gửi đến Wazuh Server qua kênh truyền được mã hóa và xác thực

Wazuh agent có thể được cài đặt trên các hệ điều hành Windows, Linux, Solaris, BSD, và Mac

Giám sát máy chủ vật lý, máy ảo, các instance trên đám mây Các gói cài đặt agent hiện có cho Linux, HP-UX, AIX, Solaris, Windows và Darwin (Mac OS X)

Trang 12

Các thành phần chính của

WAZUH AGENT

Active response

Trang 13

Kiến trúc của WAZUH

Trang 14

Giao tiếp Agent –

ServerWazuh Agent liên tục gửi các sự kiện đến máy chủ Wazuh Server để phân tích và phát hiện mối đe dọa

để bắt đầu vận chuyển, Agent thiết lập kết nối với dịch vụ Server thông qua cổng 1514, mặc định

nhưng có thể được cấu hình

máy chủ Wazuh giải mã và kiểm tra các sự kiện đã nhận, phân tích Các sự kiện liên quan đến các quy tắc được bổ sung thông tin cảnh báo

Trang 15

Giao tiếp Agent –

ServerCác sự kiện liên quan đến quy tắc được bổ sung thông tin cảnh báo Được lưu vào một hoặc cả hai tệp sau:

• /var/ossec/logs/archives/archives.json lưu trữ mọi sự kiện

• /var/ossec/logs/alerts/alerts.json lưu trữ các sự kiện vi phạm rule

sử dụng cả hai tệp để tạo cảnh báo có thể dẫn đến việc cảnh báo bị lặp lại Cả hai tệp đều chứa dữ liệu

đã được giải mã và sử dụng mã hóa Blowfish 192-bit hoặc AES 128-bit

Trang 16

Filebeat gửi dữ liệu định dạng đến Elasticsearch

(port 9200/TCP) và Kibana hiển thị dữ liệu (port

5601/TCP)

Giao tiếp WAZUH –

Elastic

Wazuh App trên Kibana sử dụng RESTful API (port

55000/TCP) trên Wazuh manager để truy vấn và

quản lý agent, với mã hóa TLS và xác thực

username/password

Trang 17

Một số dịch vụ được sử dụng để liên lạc với các thành phần của Wazuh Bên đây là danh sách các cổng mặc định được sử dụng bởi các dịch vụ này.

Required ports &

Archival data

storage

Cảnh báo và sự kiện không cảnh báo được lưu trữ trong các tệp trên máy chủ Wazuh Có thể ở định dạng JSON hoặc văn bản thuần túy, được nén và ký bằng tổng kiểm MD5, SHA1 và SHA256 hàng ngày

Trang 18

Cài Đặt Wazuh

Wazuh Server

Trang 19

Cài Đặt Wazuh

Wazuh Agent

Trang 20

CẤU HÌNH ,TẠO LUẬT

WAZUH

Trang 21

1.WAZUH AGENT

Cấu hình agent đúng cách là điều cần thiết để đảm bảo Wazuh hoạt động hiệu quả

Trang 22

• Mở file cấu hình agent (/etc/wazuh/agent.conf trên Linux).

• Chỉnh sửa các cài đặt sau:

⚬ Wazuh server IP: Địa chỉ IP của Wazuh server.

⚬ Wazuh server port: Cổng giao tiếp với Wazuh server.

⚬ Pre-shared key: Khóa bí mật được chia sẻ giữa agent và Wazuh server.

Cấu hình Wazuh

agent

Trang 23

2.CẤU HÌNH WAZUH

SERVER

Cấu hình Wazuh Server đúng cách giúp đảm bảo hiệu quả hoạt động và khả năng mở rộng của hệ thống

Trang 24

Sửa file cấu hình: /etc/wazuh/ossec.conf

• Cấu hình giao diện mạng:

⚬ bind_address: Địa chỉ IP của server

⚬ port: Cổng của server

• Cấu hình agent:

⚬ active-response: Kích hoạt chức năng phản hồi chủ động

⚬ disabled_rules: Danh sách các quy tắc bị vô hiệu hóa

Cấu hình Wazuh

server

Trang 25

3 CẤU HÌNH WAZUH

INDEXER

Cấu hình Wazuh Indexer (hay còn gọi là ELK) là bước quan trọng để thiết lập hệ thống giám sát bảo mật hiệu quả với Wazuh

Trang 26

Wazuh-Sửa file cấu hình: /etc/wazuh-indexer.conf

• Cấu hình Elasticsearch:

• elasticsearch.url: Địa chỉ IP của Elasticsearch

• elasticsearch.port: Cổng của Elasticsearch

• Cấu hình Kibana:

• kibana.url: Địa chỉ IP của Kibana

• kibana.port: Cổng của Kibana

Cấu hình Wazuh

indexer

Trang 27

4.CẤU HÌNH WAZUH

DASHBOARD

Cấu hình Wazuh Dashboard đúng cách giúp bạn dễ dàng theo dõi tình trạng bảo mật, nhận cảnh báo và thực hiện các hành động khắc phục sự cố

Trang 28

Wazuh dashboard bao gồm một tập tin cấu hình nằm ở

/usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml,

nơi có thể định nghĩa các giá trị tùy chỉnh cho một số tùy chọnĐây là một ví dụ về cấu hình nhiều máy chủ:

Cấu hình Wazuh

dashboard

Trang 29

4.2 TẠO LUẬT

Tạo luật của wazuh bao gồm những quy tắc Các quy tắc này được

hệ thống sử dụng để phát hiện tấn công, xâm nhập, sử dụng sai phần mềm, vấn đề cấu hình, lỗi ứng dụng, phần mềm độc hại

Trang 30

Cấu trúc cây thư mục tạo

luật

Tạo luật Wazuh

Trang 31

Để thêm mới hoặc thay đổi các quy tắc và bộ giải

mã thì cần sửa file local_decoder.xml và

local_rules.xml

Một số luật mặc định của

wazuh:

Tạo luật Wazuh

Trang 32

Ta có thể thêm quy tắc mới vào /var/ossec/etc/rules/local_rules.xml

Luật được sử dụng để theo dõi hoạt động đăng nhập của

người dùng cho chương trình "example"

Tạo luật Wazuh

Trang 33

Có thể thay đổi quy tắc Wazuh mặc định trong thư

Trang 34

VÍ DỤ CẤU HÌNH PHÒNG CHỐNG TẤN CÔNG SQL INJECTION:

Trang 35

Bước 1: Ở máy agent ubuntu cập nhật các gói

cục bộ:

sudo apt updatesudo apt install apache2

Bước 2: Cài đặt máy chủ web

Apache:

sudo systemctl status apache2

Bước 3: Sử dụng curl lệnh hoặc mở http://<UBUNTU_IP> trong trình duyệt để xem trang đích Apache và xác minh cài đặt:

curl http://<UBUNTU_IP>

Cấu hình phòng chống tấn công SQL

injection:

Trang 36

Bước 4: Thêm các dòng sau vào tệp cấu hình /var/ossec/etc/ossec.conf của Wazuh agent Điều này cho phép Wazuh agent giám sát các nhật ký truy cập của máy chủ Apache của bạn:

<localfile>

<log_format>syslog</log_format>

<location>/var/log/apache2/access.log</location>

injection:

Ngày đăng: 11/04/2024, 20:47

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w