Báo Cáo Cuối Kỳ Triển Khai Hệ Thống Phát Hiện Xâm Nhập Wazuh.pdf

H C VI N CỌ Ệ ÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO CUỐI KỲ

Môn học: CHUYÊN ĐỀ AN NINH MẠNG

TRI N KHAI H ỂỆ THỐNG PHÁT HIỆN XÂM NHẬP WAZUH Giảng viên: TS.Nguyễn Ngọc Điệp

Sinh viên: Trần Th ế Quân – B18DCAT194

Nguyễn Thanh Hưng – B18DCAT117

Phạm Gia Khiêm – B18DCAT129

Hà Nội, tháng 11 năm 2022

II CƠ SỞ LÝ THUYẾT 8

1 T ng quan v ổ ề xâm nhập, k ỹ thuật và các ệ thống phát hiện xâm nhậh p 8

2.4 Rules trong Wazuh 20

2.5 Các chức năng tiêu biểu của Wazuh 25

III NỘI DUNG TH C HI N DEMO 30Ự Ệ 1 Chu n bẩ ị môi trường 30

1.1 Yêu cầu cài đặt 30

1.2.Cài đặt elasticsearch 31

1.3.Cài đặt wazuh manger 32

1.4.Cài đặt filebeat 33

1.5.Cài đặt kibana và cấu hình 33

1.6 Cài đặt wazuh agent trên window 34

1.7 Cài đặt agent trên Ubuntu server 37

2 Demo 38

2.1 Brute force: 38

2.1.1 Môi trường thực hiện 38

2.3 Brute force vào cổng dịch vụ SSH 44

2.3.1 Chuẩn bị môi trường 44 2.3.2 Các bước th c hiự ện 44 2.3.3 Kết quả mong mu n 46ố 2.4 Phát hiện các file độc xuất hiện trong máy 46

2.4.1 Môi trường chu n b 46ẩ ị

4 DANH SÁCH HÌNH VẼ

Hình 1 Hệ thống phát hiện xâm nhập IDS 8

Hình 2 Lưu đồ giám sát phát hiện tấn công, xâm nhập dựa trên chữ ký 10

Hình 3 Giá trị emtropy c a IP ngu n củ ồ ủa các gói tin lưu lượng hợp pháp (Phần giá trị cao, đều) và entropy của IP ngu n cồ ủa các gói tin từ lưu lượng tấn công DDoS (phần giá trị thấp) 11

Hình 4 Các thành phần c a Wazuhủ 12

Hình 5 Agent trong Wazuh 14

Hình 6 Server trong Wazuh 15

Hình 7 Multi-node deployment 17

Hình 8 Single-node deployment 18

Hình 9 Phương thức hoạt động c a lu ng d liệu 18ủ ồ ữ Hình 10 Cấu trúc Rules 20

Hình 11 Phân tích bảo m t trong Wazuh 26ậ Hình 12 Phát hiện xâm nhập trong Wazuh 27

Hình 13 Phát hiện l h ng trong Wazuhỗ ổ 28

Hình 14 Phân tích log trong Wazuh 29

Hình 15 Cài đặt Wazuh server 30

Hình 16 Thêm agent trong kibana 35

Hình 17 Các agent đã được thêm vào wazuh-server 35

Hình 18 Các bước thêm agent 36

Hình 19 Cài đặt Wazuh agent 36

Hình 20: Deploy a new Linux system agent 37

Hình 21: Command để đăng kí agent trên Ubunt server 37

Hình 22: Cài đặt thành công agent Ubuntu Server 38

Hình 23 Sử d ng nmap thụ ực hiện rà quét lỗ hổng 39

Hình 24 Thực hiện tấn công Brute force 39

Hình 25 Wazuh nhận được alert Brute force 40

Hình 26 Nội dung alert Brute force 40

Hình 27 Rules Brute force 41

Hình 28 Web server trên máy windows 11 41

Hình 29 Câu lệnh tấn công SQL injection 42

Hình 30 Sử dụng máy kali tấn công SQL injection vào web server 42

Hình 31 Wazuh nhận được alert SQL injection 43

Hình 32 Nội dung alert SQL injection 43

Hình 33 Rules SQL injection 44

Hình 34: Quét các cổng trên Ubuntu Server 44

Hình 35: Tấn công Brute force vào dịch vụ SSH 45

Hình 36: Cảnh báo Brute force hiện lên 45

Hình 37: Cấu hình file ossec.conf 47

5

Hình 38: Custom rule phát hiện file độc hại 47

Hình 39: Restart Wazuh manager 47

Hình 40: Tải file độc hại về máy 48

Hình 41: Cảnh báo phát hiện file độc 48

6 LỜI M Ở ĐẦU

Thế k XXI, ch ng ki n s ỷ ứ ế ự phát triển nhanh chóng của Internet và những ảnh hưởng sâu rộng tới mọi lĩnh vực đời sống của con người Song song với những lợi ích mà mạng máy tính đem lại thì nó cũng trở thành mục tiêu lợi dụng của những kẻ tấn công, xâm nhậ trái phép nhằp m th c hi n nhự ệ ững mưu đồ ấu, đe dọ x a tới tính an toàn về bảo mật thông tin của các tổ chức hay những người dùng kết nối mạng Mặc dù, mỗi hệ thống máy tính đều có những cơ chế tự bảo vệ riêng nhưng có thể chưa đủ để phát hiện hay ngăn chặn những cu c tộ ấn công ngày một tinh vi hơn Vấn đề đặt ra là làm sao xây dựng được một hệ thống có thể phát hiện sớm và có hiệu quả các cuộc tấn công hay xâm nhập trái phép từ đó đưa ra những cảnh báo và biện pháp xử lý kịp th i M t s ờ ộ ố các hệ thống phát hiện xâm nhập m ng truy n thạ ề ống được áp dụng khá phổ ến và rộng rãi trên thế ới như hệ bi gi thống phát hiện xâm nhập dựa trên tập luật, phân tích thống kê,…Các hệ ống trên đã phát hiệ th n tốt nh ng cu c tữ ộ ấn công đã bi t v i t l cế ớ ỷ ệ ảnh báo sai thấp Tuy nhiên, chúng t i t ạ ỏ ra kém hiệu qu ả đối v i nh ng ớ ữ cuộc tấn công mới, đồng thời phải luôn c p nhật luật m i ậ ớ

Phát hiện xâm nhập cũng là một kỹ thuật liên quan được áp dụng Các phương thức phát hiện xâm nhập xuất hiện vài năm gần đây Với các phương pháp này người quản trị có thể thu thập và sử ụng thông tin từ các dạ d ng tấn công chưa được biết hoặc phát hiện cu c tấn công đang diễộ n ra Những thông tin thu thập được s ẽ giúp người qu n tr gia c an ninh mả ị ố ạng, đưa ra các chính sách an toàn cho hệ thống nhằm giảm thiểu nh ng tữ ấn công bất hợp pháp

Vì vậy chúng em chọn đề tài: “Triển khai hệ thống phát hiện xâm nhập WAZUH.”

7 I GIỚI THIỆU

1 Danh sách sinh viên Tên các sinh viên trong nhóm:

Nguyễn Thanh Hưng - B18DCAT117 Phạm Gia Khiêm - B18DCAT129 Trần Th ế Quân - B18DCAT194 2 Mục đích

B o m t vả ậ ốn là một vấn đề ớn đố ới môi trườ l i v ng doanh nghi p hi n nay ệ ệ Trong l ch sị ử đã có nhiều trường hợp tin thành công trong việc xâm nhập vào mạng công ty và đem ra ngoài rất nhiều thông tin giá trị Đã có nhiều phương pháp phát triển để đảm bảo cho hạ tầng mạng và giao tiếp trên internet như : sử dụng Firewall, VPN trong đó có hệ thống phát hiện và ngăn chặn xâm nhập

Phát hiện xâm nhập là một trong những công nghệ và phương thức dùng để phát hiện hành động khả nghi trên cả Host và mạng Các phương pháp phát hiện xâm nh p bậ ắt đầu xu t hi n nhấ ệ ững năm gần đây, sử dụng phương thức phát hiện xâm nhập , ta có thể thu thập, sử dụng thông tin từ những lỗ hổng tấn công đã biết để tìm ra và cảnh báo một ai đó đang cố gắng tấn công vào mạng hay máy cá nhân

Vì vậy, là sinh viên được trang bị những kiến thức của ngành An toàn thông tin, v i nh ng ki n thớ ữ ế ức đã tiếp thu và vận đụng lý thuyết đó vào công việc th c t ự ế nên chúng em đã chọn đê tài “Triển khai h ệ thống phát hiện xâm nhập WAZUH v.” ới mục đích xây dựng được hệ thống phát hiện và phòng chống xâm nhập trái phép nhằm đảm bảo an toàn hệ thống m ng cho doanh nghiạ ệp và cá nhân

8 II CƠ SỞ LÝ THUYẾT

1 Tổng quan v ề xâm nhập, kỹ thuật và các hệ thống phát hiện xâm nhập 1.1 H ệ thống phát hiện xâm nhập

1.1.1 Định nghĩa:

Hệ thống phát hiện xâm nhập (IDS - Intrusion Detection System) là mộ ớp t l phòng vệ quan trọng, là giải pháp đảm bảo an toàn cho hệ thống thông tin và mạng theo mô hình phòng thủ nhiều l p theo chiớ ều sâu Các hệ thống IDS có thể được tri n ể khai ở trước hoặc sau tường lửa trong mô hình mạng tùy theo mục đích sử dụng Hình sau cung c p v ấ ị trí hệ thống IDS trong sơ đồ mạng, trong đó IDS thường được k t nế ối vào các bộ định tuyến, switch, card mạng và chủ ếu làm nhiệ y m vụ giám sát và cảnh báo, không có khả năng chủ động ngăn chặn tấn công, xâm nhập

Hình 1 Hệ thống phát hiện xâm nhập IDS Nhiệm v ụ chính của các IDS bao gồm:

Giám sát lưu lượng mạng hoặc các hành vi trên một hệ thống để nhận dạng các d u hi u c a tấ ệ ủ ấn công, xâm nh p ậ

Khi phát hiện các hành vi tấn công, xâm nhập, thì ghi log các hành vi này cho phân tích bổ sung sau này

Gửi thông báo, cảnh báo cho người quản trị về các các hành vi tấn công, xâm nhập đã phát hiện được.

1.1.2 Phân loại:

9 Có 2 phương pháp phân loại chính các hệ thống IDS gồm phân loại theo nguồn d ữ liệu và phân loại theo phương pháp phân tích dữ liệ u:

1.1.2.1 Phân loại theo nguồn dữ liệu:

Gồm 2 lo i: h ạ ệ thống phát hiện xâm nhập mạng (NIDS – Network-based IDS) và hệ thống phát hiện xâm nhập máy (HIDS – Host-based IDS)

Hệ thống phát hiện xâm nhập m ng (NIDS): ạ

Hệ thống phát hiện xâm nhập mạng giám sát cổng mạng và thực hi n thu ệ thập, phân tích lưu lượng mạng gồm các gói tin để phát hiện tấn công, xâm nh p cho c m ng ho c mậ ả ạ ặ ột phân đoạn m ng ạ

Ưu điểm của NIDS là có khả năng giám sát phát hiện các dạng xâm nhập cho c m ng, hoả ạ ặc phân đoạn mạng do nó thường được tri n khai t i c ng ể ạ ổ mạng và sử ụng lưu lượ d ng m ng gạ ồm các gói tin đi/đến làm nguồn dữ liệu Hạn ch cế ủa NIDS là gặp nhiều khó khăn khi phải giám sát cổng mạng có lưu lượng lớn, hoặc lưu lượng b ị mã hóa và các dạng xâm nhập trên các máy không phát sinh lưu lượng qua cổng mạng

Có nhiều h ệ thống NIDS dựa trên phần cứng và phần mềm, thương mại hoặc mã mở được phát triển và ứng dụng trên thực tế Có thể kể đến một s hệ ố thống NIDS n i tiếng như Check Point IPS, McAfee Network Security ố Platform, Snort, Bro và Suricata

Hệ thống phát hiện xâm nhập máy (HIDS):

H ệ thống phát hiện xâm nhập cho máy giám sát các hoạt động của một máy, thu thập và thực hiện phân tích các sự ệ ki n xảy ra trong máy, hoặc d ch v ị ụ chạy trên máy để phát hiệ ấn công, xâm nhận t p, hoặc các hành vi lạm dụng Ưu điểm của HIDS là có khả năng phát hiện chính xác các xâm nhập và các hành vi lạm dụng trên từng máy cụ thể do HIDS được cài đặt trên từng máy để giám sát các sự ki n x y ra trong h ệ ả ệ thống H n ch cạ ế ủa HIDS là phải triển khai trên từng máy và điều này có thể phát sinh chi phí lớn cho cài đặt và bảo trì với các hệ thống mạng lớn

Cũng như NIDS, các HIDS cũng được phát triển và ứng d ng rụ ộng rãi trên thực tế Có thể ể đến các HIDS nổ k i tiếng như IMB QRadar, Tripwire, OSSEC, Security Onion và Wazuh

1.1.2.2 Phân loại theo phương pháp phân tích dữ liệu:

Theo phương pháp phân tích dữ ệu, có 2 kỹ li thuật phát hiện được sử dụng, bao gồm: Phát hiện xâm nhập dựa trên chữ ký, dấu hi u, hoệ ặc phát hiện s l m d ng ự ạ ụ (Signature-based / misuse intrusion detection) và phát hiện xâm nhập dựa trên bất thường (Anomaly intrusion detection) Chi ti t hai kế ỹ thuật này sẽ được nói rõ tại ph n sau ầ

10 1.2 K thuỹ ật phát hiện xâm nhập

B n ch t c a kả ấ ủ ỹ thuật phát hiện xâm nhập là việc giám sát thu thập và phân tích dữ liệu nhằm phát hiện các dấu hiệu xuất hiện tấn công, xâm nhập Để có thể nh n dậ ạng được các hành vi tấn công, xâm nhập, trước h t c n ế ầ xây dựng cơ sở ữ d liệu các dấu hi u, hoệ ặc chữ ký của các tấn công, xâm nhập đã biết, hoặc xây dựng hồ sơ mô tả ập các hành vi bình thườ t ng của đối tượng cần giám sát.

1.2.1 Phát hiện xâm nhập dựa trên chữ ký

Phát hiện xâm nhập dựa trên chữ ký trước hết cần xây dựng cơ sở dữ liệu các chữ ký, hoặc các dấu hiệu của các loạ ấn công, xâm nhập đã biếi t t Hầu hết các chữ ký, dấu hiệu được nh n dậ ạng và mã hóa thủ công và dạng bi u diể ễn thường gặp là các luật phát hiện Bước tiếp theo là sử ụng cơ sở d dữ ệu cácli chữ ký để giám sát các hành vi của h ệ thống, ho c mặ ạng, và cảnh báo nếu phát hiện dấu hi u, ch ệ ữ ký của tấn công, xâm nhập Hình dưới biểu diễn lưu đồ giám sát phát hiện tấn công, xâm nhập dựa trên chữ ký điển hình, trong đó CSDL chữ ký là cơ sở ữ liệu lưu các dấ d u hi u, ệ chữ ký của các tấn công, xâm nhập đã biết.

Hình Lưu đồ giám sát phát hiệ2 n tấn công, xâm nhập dựa trên chữ ký Ưu điểm l n nh t cớ ấ ủa phát hiện xâm nhập dựa trên chữ ký là có khả năng phát hiện các tấn công, xâm nhập đã biết một cách hiệu quả Ngoài ra, phương pháp này cho tốc độ x ử lý cao, đồng thời yêu cầu tài nguyên tính toán tương đối thấp Nh v y, ờ ậ các hệ thống phát hiện xâm nhập dựa trên chữ ký đã và đang được ứng dụng rộng rãi trong th c tự ế Tuy nhiên, nhược đ ểm chính của phương pháp này là không có khải năng phát hiện các tấn công, xâm nhập mới, hoặc các biến thể của xâm nhập đã biết, do ch ữ ký của chúng chưa tồn tại trong cơ sở ữ liệ d u ch ữ ký Hơn nữa, phương pháp này cũng đòi hỏi nhiều công sức chuyên gia cho xây dựng và cập nhật cơ sở dữ liệu chữ ký, dấu hi u cệ ủa các tấn công, xâm nhập

1.2.2 Phát hiện xâm nhập dựa trên bất thường

11 Phát hiện xâm nhập dựa trên bất thường dựa trên giả thiết: các hành vi tấn công, xâm nhập thường có quan hệ chặt chẽ với các hành vi bất thường Quá trình xây dựng và triển khai một hệ thống phát hiện xâm nhập dựa trên bất thường thường gồm 2 giai đoạn: (1) hu n luyấ ện và (2) phát hiện Trong giai đoạn hu n luy n, hấ ệ ồ sơ của đối tượng cần giám sát trong chế độ làm việc bình thường được xây dựng Để thực hiện giai đoạn hu n luyấ ện, cần giám sát đối tượng trong m t khoộ ảng th i gian ờ đủ dài để thu thập được đầy đủ dữ liệu mô tả các hành vi của đối tượng trong điều kiện bình thường làm dữ liệu hu n luy n.Ti p theo, th c hi n hu n luy n d liấ ệ ế ự ệ ấ ệ ữ ệu để xây dựng mô hình phát hiện, hay h ồ sơ của đối tượng Trong giai đoạn phát hiện, thực hiện giám sát hành vi hiện tại của đối tượng và cảnh báo nếu có khác biệt rõ nét giữa hành vi hiện tại và các hành vi lưu trong hồ sơ của đối tượng

Có nhiều kỹ thuật xử lý, phân tích dữ ệu cho xây dự li ng hồ sơ của đối tượng cần giám sát đã được nghiên cứu, đề xuất cho phát hiện xâm nhập dựa trên bất thường Mục tiêu c a các kủ ỹ thuật xử lý, phân tích dữ liệu là có thể xây dựng h ồ sơ phát hiện tự động t dừ ữ liệu huấn luy n, c i thiệ ả ện được hi u quệ ả phát hiện, bao gồm tăng tỷ ệ l phát hiện đúng, giảm t l ỷ ệ phát hiện sai và giảm yêu cầu sử dụng tài nguyên tính toán Một số ỹ thuậ ử lý, phân tích dữ liệu cho phát hiện xâm nhậ k t x p dựa trên bất thường có thể kể đến bao gồm: phân tích thống kê, khai phá dữ liệu, học máy và phân tích tương quan

Hình dưới biểu diễn giá trị entropy IP ngu n (IP entropy) cồ ủa các gói tin theo cửa sổ trượt từ lưu lượng bình thường và entropy IP nguồn của các gói tin từ lưu lượng tấn công DDoS theo quan sát thực nghiệm và dựa trên kỹ thuật phân tích thống kê Có thể thấy sự khác biệt rõ nét giữa giá trị IP entropy của lưu lượng bình thường và lưu lượng tấn công và như vậy nếu một ngưỡng entropy được chọn phù hợp ta hoàn toàn có thể phát hiện s xu t hi n c a cu c tự ấ ệ ủ ộ ấn công DDoS dựa trên sự thay đổi đột biến của giá trị entropy

Hình Giá trị3 emtropy của IP nguồn của các gói tin lưu lượng hợp pháp (Phần giá trị cao, đều) và entropy của IP nguồn của các gói tin từ lưu lượng tấn công DDoS (phần

giá trị thấp)

Ưu điểm của phát hiện xâm nhập dựa trên bất thường là có tiềm năng phát hiện các loại tấn công, xâm nhập mới mà không yêu cầu biết trước thông tin về chúng Tuy nhiên, phương pháp này thường có tỷ lệ cảnh báo sai tương đối cao so với phát

12 hi n dệ ựa trên chữ ký do mộ ố hành vi xâm nhập không tạt s i ra bất thường và ngược l i mạ ột hành vi bất thường nhưng không phải là xâm nhập Điều này làm giảm kh ả năng ứng d ng th c t cụ ự ế ủa phát hiện xâm nhập dựa trên bất thường Ngoài ra, phương pháp này cũng tiêu tốn nhiều tài nguyên hệ thống cho việc xây dựng hồ sơ đối tượng và phân tích hành vi hiện t i Mạ ặc dù vậy, đây vẫn là một hướng nghiên cứu phát hiện xâm nhập đang rất được quan tâm nhằm cải thiện tỷ l ệ phát hiện, giảm tỷ lệ cảnh báo sai và giảm yêu cầu sử dụng tài nguyên tính toán, lưu trữ

2 Giới thi u v WAZUH ệ ề 2.1 Định nghĩa

Wazuh là hệ thống phát hiện xâm nhập máy (HIDS) dùng cho việc bảo vệ an ninh, phát hiện mối đe doa, giám sát toàn vẹn và ứng phó sự cố Wazuh là 1 project mã nguồn mở, được xây dựng từ các thành phần : OSSEC HIDS, OpenSCAP và Elastic Stack

Hình Các thành phầ4 n của Wazuh

● OSSEC HIDS : host-based Intrusion Detection System (HIDS) được dùng cho việc phát hiện xâm nhập, hi n thể ị và giám sát Nó dựa vào 1 multi-platform agent cho việc đẩy dữ liệu hệ thống (log message, file hash và phát hiện bất thường) tới 1 máy quản lý trung tâm, nơi sẽ phân tích và xử lý, dựa trên các cảnh báo an ninh Các agent truyền event data event data tới máy quản lý trung tâm thông qua kênh được bảo mật và xác thực

● OpenSCAP được dùng để kiểm tra cấu hình hệ thống và phát hiện các ứng d ng d b tụ ễ ị ấn công Nó được biết đến như là một công cụ được thi t kế ế để ki m tra viể ệc tuân thủ an ninh c a hủ ệ thống s dử ụng các tiêu chuẩn an ninh dùng cho môi trường doanh nghiệp

Chạy trên : Windows, Linux, Solaris, BSD hoặc MAC OS Dùng thu thập các dạng khác nhau của dữ liệu hệ thống và ứng d ng Dụ ữ liệu được chuy n t i Wazuh ể ớ server thông qua 1 kênh được mã hóa và xác thực Để thiết lập kênh này, 1 quá trình đăng ký bao gồm pre-shared key duy nhất được thiết lập

Các agent có thể dùng để giám sát server vật lý, máy ảo, cloud instance (AWS, Azure hoặc Google cloud) Các các cài đặt pre-compile agent có sẵn cho các OS : Linux, AIX, Solaris, Windows và Darwin (Mac OS X)

Trên các OS Unix-based, agent chạy trên multiple process, các process này liên lạc với nhau thông qua local Unix domain socket 1 trong các process này phụ trách việc liên lạc và gửi dữ liệu tới Wazuh server Trên Windows, chỉ có 1 agent process chạy trên multiple task sử dụng mutexes

Các agent task hoặc process khác nhau được dùng để giám sát hệ thống theo các cách khác nhau (giám sát sự thay đổi v ề file, đọc log, quét các thay đổi h ệ thống) Sơ đồ sau thể hiện các internal task và process diễn ra trên các agent level.

15

● OpenSCAP: dựa vào các hồ sơ bảo mật cơ bản, định kỳ quét hệ thống, nó sẽ phát hiệ được các ứn ng dụng và cấu hình sẽ bị tấn công, không tuân theo các chuẩn được xác định theo CIS (Center of Internet Security)

● Agent Daemon: Process nh n dậ ữ liệu đượ ạc t o hoặc được thu th p b i t t c ậ ở ấ ả các thành phần agent khác Nó nén, mã hóa và phân phối dữ liệu tới server thông qua kênh được xác thực Process này chạy trên "chroot" environment được cô lập, có nghĩa rằng nó sẽ hạn chế truy cập tới các hệ thống được giám sát Điều này cải thiện được an toàn cho agent vì process đó là process duy nhất k t nế ố ới t i m ng.ạ

2.2.2 Wazuh server

Thành phần server phụ trách việc phân tích dữ liệu nhận từ agent, tạo các ngưỡng cảnh báo khi 1 event ánh xạ ới rule (phát hiện xâm nhập, thay đổ v i file, cấu hình không tương thích với policy, rootkit )

Hình 6 Server trong Wazuh

Server thông thường chạy các thành phần agent với mục tiêu giám sát chính nó Một s ố thành phần server chính là :

16

● Registration service: Được dùng để register agent mới được việc cung cấp và phân phối các key xác thực pre-shared, các key này là độc nhất với mỗi agent Process này chạy như 1 network service và hỗ trợ việc xác thực qua TLS/SSL

● Remote daemon service: Service này nhận dữ liệu từ agent Nó sử dụng pre-shared key để xác thực định danh c a mủ ỗi agent và mã hóa giao tiếp với chúng

● Analysis daemon: Process này thực hiện việc phân tích dữ ệu Nó sử li dụng các bộ giải mã để nh n dậ ạng thông tin được xử lý (các Windows event, SSHD logs ) và sau đó giải nén các yếu tố dữ ệu thích hợp từ log message (source li ip, event id, user ) Sau đó, bằng cách sử ụng các rule đượ d c định nghĩa bằng các mẫu đặc biệt trên bộ ải mã, nó sẽ ạo các cảnh báo thậm chí ra lệnh để gi t thực hiện các biện pháp đối phó như chặn IP trên firewall

● RESTful API: Cung cấp interface để quản lý và giám sát cấ hình và trạng thái triển khai của các agent Nó cũng được dùng bởi Wazuh web interface (Kibana)

2.2.3 ELK STACK

Elastic Stack là một bộ gồm các công cụ mã nguồn mở phục vụ cho mục đích quản lý log, bao gồm Elasticsearch, Kibana, Filebeat, Logstash, Các công cụ ủa c Elastic stack được sử d ng trong Wazuh gụ ồm:

• Elasticsearch: Một công cụ tìm kiếm và phân tích mạnh m v i chẽ ớ ức năng full-text search cũng như khả năng mở ộng cao Elasticsearch đượ r c t ổ chức phân phối, nghĩa là dữ liệu (index) sẽ được chia thành các phân đoạn cơ sở dữ liệu (shard) và mỗi phân đoạn có thể có 0 hoặc nhiều bản sao • Kibana: Cung cấp một giao di n web linh hoệ ạt và trực quan cho mining,

phân tích, và trình bày dữ liệu

• Filebeat: Một công cụ ọn nhẹ để forward log trong mạng, thường được g s d ng cho Elasticsearch ử ụ

Wazuh tích hợp Elastic Stack để lưu trữ và index các log đã được giải mã với Elasticsearch, và sử dụng như một giao diện console real-time để theo dõi các alert và phân tích log Bên cạnh đó, giao diện người dùng của Wazuh (chạy trên Kibana) cũng có thể được sử dụng để quản lý và giám sát hạ ng c a Wazuh tầ ủ

Một Elasticsearch index là một t p hậ ợp các văn bản có các đặc trưng tương tự Wazuh s d ng 3 index sau: ử ụ

• wazuh-alerts: các alert được tạo bởi Wazuh server • wazuh-events: mọi event được gửi đến t agent ừ

17 • wazuh-monitoring: các dữ liệu liên quan đến trạng thái của agent Nó được s d ng cho giao di n web cử ụ ệ ủa Wazuh để hiển thị các trạng thái của agent như: “Active”, “Disconnected” hay “Never connected”

Với các index trên, document là các cảnh báo, archived event hoặc status event riêng lẻ

Các index của Elasticsearch có thể được chia thành nhiều phân đoạn (shard) và nhân thành các bản sao Mỗi thực thể này là một Lucene index Vì vậy, có thể coi một Elasticsearch index là một tập các Lucene index Khi một yêu cầu tìm kiếm được thực hi n tệ rên một Elasticsearch index, yêu cầu này sẽ được thực thi song song trên các phân đoạn của index và kết qu sau đó sẽ đượả c được trộn l i v i nhau Viạ ớ ệc chia nhỏ các index của Elasticsearch được s d ng trong multiple-node Elasticsearch ử ụ cluster với mục đích mở rộng tìm kiếm để đảm bảo tính sẵn sàng Đối với các single-node Elasticsearch cluster thì thường mỗi index s ẽ chỉ t n t i mồ ạ ột phân đoạn duy nhất

Khi Wazuh server và Elasticsearch cluster chạy trên các host khác nhau, Filebeat được dùng để truy n mề ột cách an toàn các cảnh báo, archived event tới Elasticsearch server sử d ng TLS ụ

Hình 7 Multi-node deployment Single-node deployment

18 Wazuh và Elastic stack chạy với 1 single-node Elasticsearch cluster (số lượng agent < 50), có thể triển khai trên một single server Ở triển khai này, Logstash sẽ đọc các cảnh báo, event từ Wazuh trực tiếp từ local file system và đẩy chúng tới local Elasticsearch instance

Hình 8 Single-node deployment 2.3.1 Phương thức liên lạc và luồng dữ liệu

Hình Phương thứ9c hoạt động của luồng dữ liệu

2.3.2 Agent-server communication

Wazuh agent s dử ụng OSSEC message protocol để gửi các event thu thập được tới Wazuh server thông qua port 1514 (UDP hoặc TCP) Wazuh server giải mã và thực hi n rule-check vệ ới các event nhận được với công cụ phân tích Các event ứng với các rule được b sung dổ ữ liệu cảnh báo như rule-id và rule-name Các event có thể được đẩy tới 1 hoặc cả 2 file sau, dựa vào việc có được event có tương ứng với rule hay không:

● File /var/ossec/logs/archives/archives.json chứa t t cấ ả các event dù có tương ứng với rule hay không

Trên mô hình triển khai diện rộng, Wazuh server s dử ụng Filebeat để chuy n ể dữ liệu v cề ảnh báo và event tới Logstash (5000/TCP) trên Elastic Stack server, sử d ng TLS V i kiụ ớ ến trúc single-host, Logstash đọc tr c ti p t local fiự ế ừ le system mà không cần dùng Filebeat

Logstash định hình incoming data, và có thể là GeoIP, trước gửi tới Elasticsearch (port 9200/TCP) Một khi d ữ liệu được index t i Elasticsearch, Kibana ớ (port 5601/TCP) được dùng để khai thác và hiển thị thông tin.

Wazuh App chạy bên trong Kibana liên tục truy vấn tới RESTful API (port 55000/TCP trên Wazuh manager) để hiển thị cấu hình và thông tin trạng thái liên quan của server và agent, cũng như restart agent theo yêu cầu Liên lạc này được mã hóa với TLS và được xác thực với username và password.

2.3.4 Lưu trữ dữ liệu

Các event về alert và non alert được lưu trữ cùng nhau trong file trên Wazuh -server và sau để gửi tới Elasticsearch Các file này được vi t v i d ng JSON ho c vế ớ ạ ặ ới plain text format Các file này được nén hàng ngày và được đánh dấu với MD5 và SHA1 checksums Cấu trúc thư mục và tên file như sau :

root@wazuh-server:/var/ossec/logs/archives/2017/Jan# ls -l total 176

-rw-r - 1 ossec ossec 234350 Jan 2 00:00 ossec-archive-01.json.gz -rw-r - 1 ossec ossec 350 Jan 2 00:00 ossec-archive-01.json.sum -rw-r - 1 ossec ossec 176221 Jan 2 00:00 ossec-archive-01.log.gz -rw-r - 1 ossec ossec 346 Jan 2 00:00 ossec-archive-01.log.sum -rw-r - 1 ossec ossec 224320 Jan 2 00:00 ossec-archive-02.json.gz -rw-r - 1 ossec ossec 350 Jan 2 00:00 ossec-archive-02.json.sum -rw-r - 1 ossec ossec 151642 Jan 2 00:00 ossec-archive-02.log.gz -rw-r - 1 ossec ossec 346 Jan 2 00:00 ossec-archive-02.log.sum -rw-r - 1 ossec ossec 315251 Jan 2 00:00 ossec-archive-03.json.gz -rw-r - 1 ossec ossec 350 Jan 2 00:00 ossec-archive-03.json.sum -rw-r - 1 ossec ossec 156296 Jan 2 00:00 ossec-archive-03.log.gz

20 -rw-r - 1 ossec ossec 346 Jan 2 00:00 ossec-archive-03.log.sum

Việc Rotation và backup các file nén được khuyến khích, tùy theo khả năng lưu trữ của Wazuh Manager server Sử dụng cron job để rà soát các file nén

Ngoài ra, bạn có thể lựa ch n vi c b qua viọ ệ ỏ ệc lưu trữ các file nén, và sử d ng ụ Elasticsearch cho các tài liệu lưu trữ, đặc biệt nếu bạn chạy Elasticsearch snapshot backup ho c multi-node Elasticsearch cluster cho shard replica Bặ ạn có thể ử ụ s d ng cron job để di chuyển các index đã được snapshot t i mớ ột server lưu trữ và đánh dấu chúng với MD5 và SHA1

2.4 Rules trong Wazuh

Luật (rules) là một phần vô cùng quan trọng trong hệ thống Wazuh, nó chính là cốt lõi trong việc đảm b o h ả ệ thống Wazuh có được hoạt động theo quy trình, chính xác và hiệu quả hay không Rules có định dạng XML, được cấu hình trong Wazuh server /var/ossec/etc/ossec.conf và nằm trong thẻ Rules được lưu trong /var/ossec/rules

2.4.1 Cấu trúc Rules

Hình 10 Cấu trúc Rules

2.4.2 Thuộc tính của rules

21 Id: b t buắ ộc có ( mỗi rules sẽ có 1 id riêng k trùng lặp là các số t 100-99999ừ ,

khi t o mạ ới thì thường t ừ trên 100000) Level: bắt buộc có 16 level từ 0-15

00 Ignored Không thực hiện hành động nào Khi gặp luật có cấp độ này thì s ẽ không có thông báo Các luật này được quét trước tất cả các luật khác Chúng bao gồm các sự kiện không có sựliên quan

Thông báo hệthống hoặc thông báo trạng thái Không có sự liên quan về bảo mật

Các lỗi liên quan đến cấu hình hoặc thiết bị/ứng dụng không sử dụng.không có sự liên quan v bề ảo mật và thường được gây ra

bởi các cài đặt mặc định hoặc kiểm thử ph n mầ ềm.

Chỉ ra một con sâu hoặc virus không ảnh hưởng đến hệ th ng ố (như mã màu đỏ cho các máy chủ apache, vv) Chúng cũng bao

gồm các sự ện IDS thường xuyên và các lỗi thường xuyên ki

Chúng bao gồm các từ như "bad", "error", v.v Những sự kiện này hầu như không được phân loại và có th ểcó một số mức độ

liên quan về bảo mật

08 First time seen (lần đầu tiên nhìn thấy):

Bao gồm các sự ệ ần đầu tiên đượ ki n l c xem Lần đầu tiên một s kiự ện IDS được kích hoạt hoặc lần đầu tiên người dùng đăng nh p N u b n mậ ế ạ ới bắt đầu s d ng OSSEC HIDS, nh ngử ụ ữ thông báo này có thể sẽ thường xuyên.Sau một thời gian sẽ

Bao gồm các lần đăng nhập dưới dạng người dùng không xác định hoặc từ nguồn không hợ ệ Có thể có sự liên quan vềp l b o mả ật (đặc biệt nếu được lặ ại) Chúng cũng bao gồm các p l

lỗi liên quan đến tài khoản "qu n tr " (root) ả ị

Chúng bao gồm nhiều m t khậ ẩu không hợp lệ, nhi u lần đăng ề nhập không thành công, v.v Họ có thể chỉ ra một cuộc tấn công hoặc có thể chỉ là người dùng vừa quên thông tin đăng

Chúng bao gồm các thông báo liên quan đến việc sửa đổi các t p nh ệ ị phân hoặc sự ệ hi n di n c a rootkit (b ng ki m tra rooệ ủ ằ ể

Nếu b n ch c n sạ ỉ ầ ửa đổi cấu hình h ệ thống c a b n, b n sủ ạ ạ ẽ được báo về các thông báo "syscheck" Nó có thể ch ra m t ỉ ộ cuộc tấn công thành công Cũng bao gồm các sự kiện IDS sẽ bị

b qua (s l n l p l i cao) ỏ ố ầ ặ ạ

importancy hChúng bao gồm các thông báo lỗạt nhân, v.v Chúng có th chỉể ra mi hoặc cột cuộc tấn công chốảnh báo từ hệ thống, ng lại

B ng 1ả Các mức level c a rules trong wazuh ủ

Noalert : không bắt buộc : không kích hoạt cảnh báo nếu rules h p lệ ợ Frequency: chỉ định s lố ần rules được kiểm tra trước khi th c hi n S lự ệ ố ần

kích hoạt phải gấp đôi số ần cài đặt Ví dụ l : tần sô = 2 => rule phải được so sánh 4 lần.(từ 1- 99999)

Timeframe: khung thời gian tính bằng giây, được s dử ụng để ế k t h p vợ ới frequency.(1-99999)

Ignore: thời gian (s) b ỏqua rule này ( 1-99999)

Overwrite: Cho phép chỉnh sửa rule ( overwrite= "yes or no")

Ví dụ: Rule được tạo bằng ID: 3151 và nó sẽ kích hoạt cảnh báo cấp 10 nếu Rule 3102 kh p 8 lớ ần trong 120 giây qua.

24 2.4.3 Phân loại rules

Trong Wazuh, luật được chia thành 2 loại: Luật nguyên tố và luậ ết k t h p: ợ Luật nguyên tố - các luật xử lý 1 sự ki n:ệ cảnh báo, thông báo hay hành

động ứng phó sẽ xuất hiện khi có 1 sự ện thỏa mãn ki

Ví dụ: Bao nhiêu lần đăng nhập thất bại sẽ xuất hi n bệ ấy nhiêu lần thông báo

Luật k t hế ợp – xử lý nhiều s ự kiện một lúc trong 1 luật: Có thể s d ng vử ụ ới thẻ Frequency và Timeframe để x ử lý một x kiự ện được di n ra nhi u lễ ề ần Các luật được kết hợp với nhau thông qua id, sử dụng thẻ<if_sid> hoặc ( <if_match_sid>ho c <same_id> ho c<same_source_ip> - ặ ặ các thẻ này được kết hợp với Frequency và Timeframe)

2.4.4 Cách thức hoạt động của rules

T cừ ấu trúc thư mục của Rule s bao gẽ ồm Decoders và rule: 2.4.4.1 Một số cú pháp của decode

B ng 2 M t s ả ộ ố cú pháp decode Ví dụ: