Đang tải... (xem toàn văn)
Tài liệu này sẽ hướng dẫn bạn cách xây dựng và quản lý hệ thống SIEM (Security Information and Event Management) sử dụng hai công cụ phổ biến: Splunk và Elasticsearch. SIEM là một giải pháp an ninh mạng quan trọng giúp thu thập, phân tích và lưu trữ nhật ký từ nhiều nguồn khác nhau trong môi trường CNTT của bạn. Sử dụng Splunk và Elasticsearch, bạn có thể: Thu thập nhật ký từ nhiều nguồn: Splunk và Elasticsearch hỗ trợ nhiều nguồn nhật ký khác nhau, bao gồm máy chủ, ứng dụng mạng, thiết bị bảo mật và thậm chí cả mạng xã hội. Phân tích nhật ký để phát hiện mối đe dọa: Cả Splunk và Elasticsearch đều có các tính năng phân tích mạnh mẽ giúp bạn xác định các hoạt động đáng ngờ và tiềm ẩn mối đe dọa. Lưu trữ nhật ký để tuân thủ: SIEM có thể giúp bạn đáp ứng các yêu cầu tuân thủ bằng cách lưu trữ nhật ký trong một khoảng thời gian xác định. Tạo báo cáo và bảng điều khiển: Splunk và Elasticsearch cung cấp các công cụ để tạo báo cáo và bảng điều khiển giúp bạn trực quan hóa dữ liệu bảo mật của mình.
Trang 1MẠNG MÁY TÍNH
Báo cáo bài tập lớn - chủ đề 2
XÂY DỰNG VÀ QUẢN LÝ HỆ THỐNG SIEM
Giảng viên hướng dẫn: Bùi Xuân Giang
Sinh viên thực hiện: 2070423 – Nguyễn Thị Ngọc Phim1910356 – Nguyễn Phương Nam2133187 – Nguyễn Thị Thanh Uyên
TP Hồ Chí Minh, Ngày 11 Tháng 05 Năm 2024
Trang 2Mục lục
1.1 Giới thiệu chung 2
1.2 Các thành phần của hệ thống SIEM 4
1.2.1 Thiết bị nguồn 4
1.2.2 Thu thập Log 5
1.2.3 Phân tích, chuẩn hóa Log 5
1.2.4 Kỹ thuật tương quan sự kiện 6
1.2.5 Lưu trữ Log 6
1.2.6 Theo dõi và giám sát 7
1.3 Cơ chế hoạt động của hệ thống SIEM 7
1.3.1 Thu thập thông tin từ các thiết bị 7
1.3.2 Phân tích, chuẩn hóa bản ghi log, tương quan các sự kiện an ninh 81.3.3 Theo dõi và giám sát hệ thống 8
1.3.4 Báo cáo, cảnh báo, lưu trữ dữ liệu 8
2 Các công cụ triển khai hệ thống SIEM 92.1 Splunk 9
2.1.1 Cơ chế Splunk Enterprise thu thập thông tin 9
2.1.2 Splunk Enterprise giám sát hệ thống 9
2.1.3 Splunk Enterprise lưu trữ dữ liệu 10
2.1.4 Splunk Enterprise ứng phó với sự cố 10
2.1.5 Mở rộng 10
2.2 Elastic 10
3 Hiện thực bằng Splunk 153.1 Thêm dữ liệu 15
3.2 Thêm dữ liệu bằng cổng TCP 19
3.3 Tìm kiếm cơ bản 21
3.4 Tìm kiếm bằng các trường (fields) 22
3.5 Tìm kiếm bằng ngôn ngữ tìm kiếm Splunk (Splunk search language) 23
Trang 31Giới thiệu SIEM
1.1 Giới thiệu chung
SIEM – viết tắt của Quản lý Sự kiện và Thông tin Bảo mật (Security Informationand Event Management), là một hệ thống bao gồm các phần mềm và dịch vụ được tíchhợp từ SIM (Quản lý Thông tin Bảo mật) và SEM (Quản lý Sự kiện Bảo mật) SIEMcung cấp các dịch vụ phân tích và cảnh báo bảo mật trong thời gian thực dựa trên dữliệu thu thập từ các ứng dụng và thiết bị mạng.
Hệ thống SIEM thu thập dữ liệu về các sự kiện an ninh từ nhiều thiết bị trong hệthống để phân tích, tương quan và cảnh báo về các nguy cơ an ninh cho người quản trị.Ngoài ra, SIEM cung cấp các giải pháp ứng phó với các sự cố an ninh mạng, bao gồmchuẩn hóa, lưu trữ và quản lý dữ liệu an ninh và dữ liệu đăng nhập.
Hình 1: SIEM là sự kết hợp giữa SEM và SIM
SIEM là một giải pháp hoàn chính, đầy đủ cho phép các tổ chức thực hiện việc giámsát các sự kiện an toàn thông tin cho một hệ thống, đảm bảo an ninh thông tin và quảnlí các sự kiện an ninh của hệ thống một cách khoa học và hợp lý, giúp quản trị viên cócái nhìn tổng quan và chính xác về tình trạng của hệ thống, ngoài ra còn giúp quản trịviên đưa ra phương án xử lí thích hợp khi xảy sự cố Với những lợi ích thiết thực củamình, hệ thống SIEM ngày càng phát triển và trở nên phổ biến, vì vậy với vai trò lànhững kỹ sư công nghệ thông tin tương lai, chúng em thực hiện đề tài này với mong mỏiphát triển tri thức, tìm hiểu và thực nghiệm hệ thống này nhằm phục vụ công việc saunày và phát triển hơn về sau.
Trang 4Một số tính năng mà SIEM cung cấp:• Thu thập file log
• Phân tích file log
• Tương quan sự kiện an ninh
• Đảm bảo tuân thủ tiêu chuẩn công nghệ thông tin• Quản lý, giám sát đăng nhập và xác thực
• Kiểm soát truy cập ứng dụng
• Kiểm soát hoạt động của người dùng
• Báo cáo, cảnh báo, thống kê tình trạng hệ thống• Đảm bảo sự toàn vẹn dữ liệu
• Giám sát hệ thống, đảm bảo an ninh các thiết bị đầu cuối• Cảnh báo thời gian thực
• Tạo biểu đồ thể hiện tình trạng hệ thống một cách trực quan
• Phát hiện lỗ hổng, nguy cơ và cung cấp giải pháp xử lý, khắc phục sự cố• Lưu trữ dữ liệu, đánh chỉ mục dữ liệu đảm bảo cho việc tìm kiếm về sau
Hình 2: Các tính năng của SIEM
Từ đó SIEM mang lại nhiều lợi ích cho người dùng:
Trang 5• Phát hiện mối đe dọa sớm: SIEM cho phép tổ chức phát hiện các mối đe dọabảo mật một cách sớm nhất bằng cách theo dõi, phân tích và cảnh báo về các hoạtđộng không bình thường trên hệ thống mạng.
• Tăng cường khả năng phản ứng: SIEM giúp tổ chức phản ứng nhanh chóngvà hiệu quả hơn đối với các sự cố bảo mật qua việc tự động hóa quy trình phảnứng và cung cấp thông tin chi tiết về các mối đe dọa.
• Tăng cường tuân thủ và giảm rủi ro: Bằng cách cung cấp khả năng theo dõivà báo cáo liên tục về tuân thủ các quy định bảo mật và luật pháp, SIEM giúp tổchức giảm thiểu rủi ro và tuân thủ đúng các yêu cầu pháp lý.
• Tối ưu hóa quản lý log: SIEM giúp tổ chức tối ưu hóa quản lý và giám sát loghệ thống, từ việc thu thập dữ liệu nhật ký cho đến phân tích và báo cáo, giúp quảntrị viên dễ dàng theo dõi và đánh giá các hoạt động trên hệ thống.
• Nâng cao hiệu suất hoạt động: Bằng cách tự động hóa nhiều công việc liênquan đến quản lý sự kiện và thông tin bảo mật, SIEM giúp giảm thời gian và côngsức cần thiết cho việc phát hiện và xử lý các mối đe dọa.
Như vậy nhờ có SIEM mà tổ chức không chỉ có thể phát hiện và phản ứng với cácmối đe dọa bảo mật một cách hiệu quả, mà còn nâng cao khả năng quản lý và tuân thủcủa họ đối với các quy định và luật pháp liên quan.
1.2 Các thành phần của hệ thống SIEM
Hệ thống SIEM được cấu thành từ nhiều phần khác nhau, mỗi phần thực hiện mộtnhiệm vụ riêng Mỗi thành phần này có thể hoạt động độc lập với nhau, nhưng nếukhông hoạt động đồng bộ thì hệ thống SIEM sẽ không hiệu quả Tuỳ thuộc vào cấu trúccủa hệ thống, mỗi SIEM có các thành phần cơ bản khác nhau Hiểu rõ về các thànhphần và cách chúng hoạt động giúp người quản trị có khả năng quản lý và khắc phục sựcố hiệu quả khi cần.
Tuy nhiên, chúng ta có thể nói một hệ thống SIEM cơ bản sẽ bao gồm 6 thành phần sẽđược trình bày chi tiết sau đây.
1.2.1 Thiết bị nguồn
Thành phần đầu tiên của SIEM là các thiết bị đầu vào cung cấp dữ liệu cho SIEM.Thiết bị nguồn có thể là một thiết bị thực tế trong hệ thống mạng như Router, Switchhoặc một số loại máy chủ và cũng có thể là các bản ghi Log từ một ứng dụng hoặc chỉlà bất kỳ dữ liệu nào khác Việc biết về những gì có trong hệ thống là rất quan trọngtrong việc triển khai SIEM Hiểu rõ những nguồn muốn lấy các bản ghi Log trong giaiđoạn đầu sẽ giúp tiết kiệm được công sức, số tiền đáng kể và giảm sự phức tạp trongtriển khai.
Trang 61.2.2 Thu thập Log
Thành phần tiếp theo trong sơ đồ là thành phần thu thập Log Cơ chế thu thập cácbản ghi Log phụ thuộc vào từng thiết bị nhưng cơ bản có hai phương thức như sau:Push Log và Pull Log.
Push Log: Các bản ghi Log sẽ được các thiết bị nguồn gửi về SIEM Phương pháp này cólợi ích: Dễ dàng cài đặt và cấu hình Thông thường, chỉ cần thiết lập một bộ tiếp nhậnvà sau đó kết nối thiết bị nguồn đến bộ phận tiếp nhận này Ví dụ như SysLog, khi cấuhình thiết bị nguồn sử dụng SysLog, người quản trị có thể thiết lập địa chỉ IP hoặc DNStên của một máy chủ SysLog trên mạng và thiết bị sẽ tự động gửi các bản ghi của nóthông qua SysLog Tuy nhiên phương pháp nay cũng còn một số nhược điểm.
Ví dụ, sử dụng SysLog trong môi trường UDP Bản chất của việc sử dụng SysLogtrong môi trường UDP có thể là không đảm bảo rằng các gói tin đến đích, vì UDP là mộtgiao thức không hướng kết nối Nếu một tình huống xảy ra trên mạng chẳng hạn như khimột loại virus mạnh trên mạng, người quản trị có thể không nhận được gói tin SysLog.Một vấn đề có thể phát sinh là nếu không đặt quyền điều khiển truy cập thích hợp trênmáy thu nhận các bản ghi Log thì khi cấu hình sai hoặc có phần mềm độc hại có thể làmtràn ngập các thông tin sai lệch Điều đó làm cho các sự kiện an ninh khó được phát hiện.Nếu là một cuộc tấn công có chủ ý nhằm chống lại SIEM thì một kẻ xấu có thể làmsai lệch các thông tin và và thêm các dữ liệu rác vào SIEM Do vậy sự hiểu biết về cácthiết bị gửi các bản ghi Log cho SIEM là điều rất quan trọng.
Pull Log: Các bản ghi Log sẽ được SIEM lấy về Không giống như phương pháp PushLog, trong đó thiết bị nguồn gửi các bản ghi Log cho SIEM mà không cần bất kỳ sựtương tác từ SIEM Pull Log đòi hỏi SIEM bắt đầu kết nối với các thiết bị nguồn và chủđộng lấy các bản ghi từ các thiết bị nguồn đó bằng một phần mềm được cài đặt trêncác thiết bị an ninh Một ví dụ nếu các bản ghi Log được lưu trữ trong tập tin văn bảnchia sẻ trên một mạng SIEM sẽ thiết lập một kết nối lấy các thông tin được lưu trữ vàđọc các file bản ghi từ các thiết bị nguồn.
1.2.3 Phân tích, chuẩn hóa Log
Vô số bản ghi Log được gửi từ các thiết bị và ứng dụng trong môi trường đến SIEM.Để thu thập các bản ghi này, hệ thống SIEM sử dụng các giao thức như Syslog, SNMP,OPSEC hoặc SFTP để đảm bảo tính bí mật, xác thực và tin cậy Tuy nhiên, để làm chocác bản ghi Log này hữu ích trong SIEM, chúng cần được định dạng lại thành một địnhdạng chuẩn duy nhất thông qua quá trình chuẩn hóa Các thiết bị không hỗ trợ các giaothức này cần sử dụng các Agent để chuyển đổi các bản ghi sang định dạng có thể hiểuđược bởi SIEM Mặc dù việc cài đặt các Agent có thể làm kéo dài thời gian triển khaiSIEM, nhưng nó cung cấp cho người quản trị các bản ghi log theo dạng chuẩn, làm tăngtính hiệu quả của việc phân tích dữ liệu từ các thiết bị an ninh khác nhau.
Trang 71.2.4 Kỹ thuật tương quan sự kiện
Các quy luật trong SIEM cho phép chuẩn hóa các bản ghi sự kiện an ninh từ nhiềunguồn khác nhau để kích hoạt cảnh báo Việc viết quy luật thường bắt đầu đơn giảnnhưng có thể trở nên rất phức tạp Người quản trị thường sử dụng biểu thức BooleanLogic để xác định điều kiện cụ thể và kiểm tra sự phù hợp trong dữ liệu Tương quangiữa các sự kiện an ninh là một tập hợp các quy tắc nhằm liên kết các sự kiện từ cácnguồn khác nhau thành các sự kiện chính xác Điều này giúp đơn giản hóa thủ tục ứngphó sự cố bằng cách tổng hợp các sự kiện từ nhiều nguồn thành một sự kiện duy nhất.Thông thường có hai kiểu tương quan sự kiện là dựa trên các quy tắc kiến thức đãbiết (Rule- based) và dựa trên phương pháp thống kê (Statistical-based):
Rule – based : Là phương pháp tương quan sự kiện dựa trên các quy tắc và kiến thứcđã biết về các cuộc tấn công Các kiến thức đã biết về các cuộc tấn công được sử dụngđể liên kết các sự kiện lại với nhau và phân tích trong một bối cảnh chung Các quytắc được xây dựng vào các mẫu xác định và do các nhà cung cấp phát triển hoặc ngườiquản trị có thể tự xây dựng, phát triển và bổ sung vào hệ thống theo thời gian và kinhnghiệm tích lũy.
Statistical - based : phương thức tương quan không sử dụng bất kỳ kiến thức của cáchoạt động cho là nguy hiểm đã biết trước đó Nhưng thay vì dựa vào những kiến thứccủa các hoạt động bình thường đã được công nhận và tích lũy theo thời gian Các sựkiện đang diễn ra được đánh giá bởi một thuật toán và có thể được so sánh với mẫubình thường để phân biệt hành vi bình thường và hành vi bất thường Hệ thống phântích các sự kiện an ninh trong một khoảng thời gian và sử dụng trọng số để đánh giá tàisản, hệ thống Các giá trị trọng này sau đó được phân tích để xác định nguy cơ kiểu tấncông này xảy ra Các hệ thống này cũng thiết lập mức độ hoạt động mạng bình thườngvà tìm kiếm sai lệch so với những mẫu có hành vi bình thường có thể chỉ ra một cuộctấn công.
1.2.5 Lưu trữ Log
Với các bản ghi Log gửi tới SIEM cần một cách để lưu trữ chúng để phục vụ các mụcđích lưu giữ và truy vấn sau này Có ba cách mà có thể lưu trữ các bản ghi trong SIEMlà: Dùng một cơ sở dữ liệu, file Text và dưới dạng file nhị phân.
Cơ sở dữ liệu:
Lưu trữ các bản ghi Log trong cơ sở dữ liệu là phương pháp phổ biến nhất trong SIEM.Các cơ sở dữ liệu thường là Oracle, MySQL, Microsoft SQL hoặc các ứng dụng khác phổbiến trong doanh nghiệp Phương pháp này cho phép dễ dàng tương tác với dữ liệu vàcó hiệu suất tốt, nhưng cần tối ưu hóa để chạy với SIEM Tuy nhiên, việc triển khai cơsở dữ liệu có thể gây ra một số vấn đề, đặc biệt nếu SIEM không tương tác nhiều với cơsở dữ liệu hoặc không có DBA để quản lý.
Lưu trữ dưới dạng file text:
Một tập tin văn bản là cách thông thường để lưu trữ dữ liệu trong định dạng có thể
Trang 8đọc được Dữ liệu thường được phân cách bằng dấu phẩy, khoảng trắng tab hoặc kíhiệu khác để phân tích và đọc dễ dàng Tuy nhiên, việc này thường chậm hơn so với cácphương pháp khác và không được sử dụng thường xuyên Mặc dù không nhiều lợi ích,nhưng việc sử dụng tập tin văn bản làm cho dữ liệu dễ truy cập cho các ứng dụng bênngoài và dễ đọc cho con người.
Lưu trữ dưới dạng nhị phân:
Định dạng tập tin nhị phân là sử dụng một tập tin với định dạng tùy chỉnh để lưu trữthông tin duới dạng nhị phân SIEM biết làm thế nào để đọc và ghi vào những file này.1.2.6 Theo dõi và giám sát
Giai đoạn cuối cùng trong quá trình là tương tác với các bản ghi trong SIEM Giaodiện điều khiển web hoặc ứng dụng tải về cho phép quản trị viên tương tác với dữ liệuvà quản lý SIEM SIEM cung cấp ba cách thông báo về cuộc tấn công hoặc hành vi bấtthường: cảnh báo ngay khi phát hiện, thông báo vào thời điểm đã xác định trước, vàgiám sát thời gian thực qua giao diện web Giao diện này giúp xử lý sự cố và cung cấpcái nhìn tổng quan về môi trường hệ thống, tiết kiệm thời gian so với việc phải kiểm tratừng thiết bị riêng lẻ.
1.3 Cơ chế hoạt động của hệ thống SIEM
SIEM thu thập và phân tích dữ liệu từ các thiết bị, chuẩn hóa và tương quan hóachúng Sau đó, nó cảnh báo về các sự kiện bất thường và báo cáo cho quản trị viên Cuốicùng, SIEM lưu trữ dữ liệu không cần thiết.
1.3.1 Thu thập thông tin từ các thiết bị
Mục đích của việc thu thập thông tin là để tổng hợp và chuẩn hóa dữ liệu từ cácthiết bị an ninh khác nhau và cung cấp chúng cho máy chủ để tiến hành phân tích Chứcnăng này là rất quan trọng vì dữ liệu thường có định dạng khác nhau từ các thiết bị vànhà cung cấp khác nhau Khi dữ liệu đã được thu thập và chuẩn hóa, nó có thể đượctích hợp với dữ liệu từ các nguồn khác, tăng cường khả năng phát hiện sự kiện an ninhđộc hại và chính xác hơn SIEM thu thập các bản ghi Log từ nhiều thiết bị khác nhauthông qua các giao thức như syslog, SNMP, OPSEC, SFTP, IDXP Để đảm bảo tính bảomật và tin cậy, việc truyền bản ghi log cần được thực hiện thông qua các giao thức antoàn Các bản ghi log sau đó được chuẩn hóa để đưa về cùng một định dạng Nếu thiếtbị không hỗ trợ các giao thức này, cần sử dụng các Agent để chuyển đổi dữ liệu sangđịnh dạng mà SIEM có thể hiểu được Mặc dù việc cài đặt các Agent có thể kéo dài quátrình triển khai SIEM, nhưng nó giúp đảm bảo các bản ghi log được lưu trữ theo địnhdạng chuẩn mong muốn.
Trang 91.3.2 Phân tích, chuẩn hóa bản ghi log, tương quan các sự kiện an ninhMỗi bản ghi log có định dạng riêng biệt, và trong môi trường doanh nghiệp, có thểcó hàng trăm hệ thống thu thập và phân tích bản ghi log Mỗi hệ thống và sự kiện cóthể chứa thông tin khác nhau Để tìm kiếm các sự kiện liên quan đến một sự cố, chuẩnhóa là cần thiết để ánh xạ các sự kiện từ mọi nguồn log vào chương trình Mỗi loại logcó định dạng và nội dung riêng Ví dụ, bản ghi proxy của Web chứa URL, địa chỉ IPnguồn, mã trạng thái, tên và phiên bản trình duyệt, trong khi bản ghi tường lửa chứađịa chỉ IP nguồn và đích, cổng và giao thức Chuẩn hóa giúp đưa các bản ghi về cùngmột định dạng mà SIEM có thể hiểu được, với các thông số quan trọng như ngày-tháng,tên người dùng, IP nguồn, IP đích, giao thức, URL yêu cầu Quá trình tương quan sựkiện an ninh kết hợp các bản ghi từ nhiều nguồn để xác định xem có xảy ra tấn côngvào hệ thống hay không Quá trình này yêu cầu xử lý tập trung và sâu sắc để hiểu cáchtấn công diễn ra và liên kết thông tin với bối cảnh trong mạng SIEM có khả năng họctừ sự kiện mới và cập nhật thông tin bối cảnh liên tục.
1.3.3 Theo dõi và giám sát hệ thống
Khi đã có tất cả các bản ghi log trong SIEM và các sự kiện an ninh đã được xử lý,tiếp theo là sử dụng thông tin từ các bản ghi log khác nhau SIEM có giao diện điềukhiển web hoặc ứng dụng tải về máy trạm, cho phép tương tác với dữ liệu và quản lýSIEM Giao diện này cũng dùng để xử lý sự cố hoặc cung cấp cái nhìn tổng quan về môitrường Với SIEM đã chuẩn hóa dữ liệu, việc phân tích các bản ghi log trở nên dễ dàng.Trong giao diện điều khiển, chúng ta có thể tìm kiếm thông tin từ các sự kiện an ninhđã được xử lý.
1.3.4 Báo cáo, cảnh báo, lưu trữ dữ liệu
SIEM thông báo về các cuộc tấn công hoặc hành vi bất thường theo ba cách:1 Phát cảnh báo ngay khi phát hiện sự bất thường.
2 Gửi thông báo vào thời điểm xác định trước của cuộc tấn công.3 Quản trị viên giám sát SIEM theo thời gian thực qua giao diện web.
Các sản phẩm SIEM có thể tự động ứng phó bằng cách xóa phần mềm độc hại hoặcđóng cổng Báo cáo được lập lịch để cung cấp cái nhìn tổng quan về tình trạng an ninh.Dữ liệu được lưu trữ trực tuyến và chuyển đi khi không cần thiết để lưu trữ lâu dài.
Trang 102Các công cụ triển khai hệ thống SIEM
2.1 Splunk
Splunk là một tập đoàn đa quốc gia của Mỹ có trụ sở tại San Francisco, California,làm phần mềm để thu thập Log, tìm kiếm, theo dõi và phân tích dữ liệu lớn (big data)do máy tạo ra, thông qua một giao diện web nhằm giải quyết nhiều bài toán khác nhaucủa các tổ chức, doanh nghiệp như trong việc giám sát, vận hành hệ thống, điều tra sựcố.v.v
Phần mềm Splunk thu thập, đánh chỉ mục dữ liệu, tìm kiếm trong thời gian thựctrong một kho lưu trữ dữ liệu có thể tìm kiếm, từ đó nó tạo ra các đồ thị, báo cáo, cảnhbáo, biểu đồ.
Splunk có sứ mệnh làm cho dữ liệu máy có thể truy cập được trong một tổ chức bằngcách xác định mô hình dữ liệu, cung cấp số liệu, chẩn đoán vấn đề và cung cấp thôngtin cho các hoạt động kinh doanh Splunk được sử dụng để quản lý ứng dụng, bảo mậtvà tuân thủ theo chính sách tổ chức, cũng như kinh doanh và phân tích web Tính đếnđầu năm 2016, Splunk có hơn 10.000 khách hàng trên toàn thế giới.
Splunk là một phần mềm giám sát mạng dựa trên sức mạnh của việc phân tích log.Splunk thực hiện các công việc tìm kiếm, giám sát và phân tích dữ liệu logs lớn được sinhra từ các ứng dụng, các hệ thống và các thiết bị hạ tầng mạng Nó có thể thao tác tốtvới nhiều loại dịnh dạng dữ liệu khác nhau (Syslog, csv, apache-log, access-combine, ).Splunk được xây dựng dựa trên nền tảng Lucene and MongoDB với một giao diện webrất trực quan.
2.1.1 Cơ chế Splunk Enterprise thu thập thông tin
Splunk hỗ trợ đa dạng loại log từ các hệ thống, thiết bị mạng, phần mềm, Firewall,IDS/IPS, Log Event, Register của máy trạm Nó có khả năng thu thập log từ nhiềunguồn khác nhau như file, thư mục, kết nối UDP, TCP từ các Splunk Server khác, EventLogs, Registry của Windows Splunk liên tục cập nhật dữ liệu thời gian thực, giúp pháthiện và cảnh báo kịp thời Với cơ chế tìm kiếm thông minh, Splunk cho phép truy xuấtmọi thứ từ tập dữ liệu lớn, được các chuyên gia mạng gọi là "Splunk toàn năng" hoặc"Splunk như Google cho các tập tin log".
2.1.2 Splunk Enterprise giám sát hệ thống
Splunk cho phép cảnh báo dựa trên tìm kiếm thông tin người dùng đặt ra Khi pháthiện vấn đề phù hợp với tiêu chí đã đặt, Splunk sẽ cảnh báo qua giao diện hoặc email.Giao diện trực quan của Splunk giúp người dùng dễ dàng đánh giá tình trạng hệ thốngvà tự động tạo báo cáo chuyên nghiệp.
Trang 112.1.3 Splunk Enterprise lưu trữ dữ liệu
Splunk có thể đánh chỉ mục dữ liệu với một khối lượng dữ liệu rất lớn trong mộtkhoảng thời gian ngắn Giúp việc tìm kiếm diễn ra nhanh chóng và thuận tiện.
2.1.4 Splunk Enterprise ứng phó với sự cố
Splunk còn cung câp một cơ chế tự động khắc phục với các vấn đề xảy ra bằng việctự động chạy các file Script mà người dùng tự tạo (Ví dụ như: Chặn IP, đóng Port )khi có các cảnh báo xảy ra.
2.1.5 Mở rộng
Splunk có khẳ năng kết hợp với các công cụ khác nhằm hoàn thiện hơn việc giámsát an ninh và quản lí sự kiện của hệ thống Các công cụ có thể kết hợp với Splunk như:OSSEC, Juniper, Sourcefire,
2.2 Elastic
Elastic Security là một phần của nền tảng Elastic Stack được thiết kế đặc biệt choviệc quản lý bảo mật mạng và giám sát hệ thống Elastic Security cung cấp các công cụvà tính năng để phát hiện, đánh giá và phản ứng với các mối đe dọa bảo mật trong mộtmôi trường IT.
Các thành phần chính của Elastic Security bao gồm:
1 Detection Engine: Đây là một công cụ phát hiện mối đe dọa tự động và linhhoạt Nó sử dụng các quy tắc, phân tích hành vi, và machine learning để phát hiệncác hoạt động không bình thường hoặc đe dọa tiềm ẩn trong mạng.
2 Endpoint Security: Elastic Security cung cấp giải pháp bảo mật endpoint đểbảo vệ các thiết bị cuối khỏi các mối đe dọa như malware, ransomware và các cuộctấn công khác Nó cung cấp tính năng như phát hiện và phản ứng tự động, quảnlý và giám sát endpoints, và thu thập dữ liệu từ các thiết bị.
3 SIEM (Security Information and Event Management): Elastic Security tíchhợp SIEM để cung cấp khả năng giám sát, phân tích và báo cáo về các sự kiện vàthông tin bảo mật trong hệ thống SIEM giúp tổ chức phát hiện các mối đe dọa,phản ứng nhanh chóng và định hình chiến lược bảo mật dài hạn.
4 Threat Intelligence: Elastic Security tích hợp thông tin đe dọa từ các nguồn bênngoài để cung cấp thông tin cập nhật về các mối đe dọa mới và cung cấp thôngtin liên quan để hỗ trợ quyết định bảo mật.
5 Integration và Tích hợp với Elastic Stack: Elastic Security có thể tích hợpvới các thành phần khác của Elastic Stack như Elasticsearch, Kibana và Beats đểthu thập, lưu trữ và phân tích dữ liệu bảo mật từ nhiều nguồn khác nhau.
Trang 12Bộ công cụ ELK là tập hợp 3 phần mềm đi chung với nhau, phục vụ cho công việclogging Ba phần mềm này lần lượt là:
Elasticsearch là một cơ sở dữ liệu mở rộng có khả năng lưu trữ, tìm kiếm và truyvấn các log Nó được xây dựng trên nền tảng của Apache Lucene, một công cụ tìm kiếmtoàn văn bản viết bằng Java, và được sử dụng phổ biến trong các ứng dụng có yêu cầuphức tạp về tính năng tìm kiếm.
Elasticsearch cho phép lưu trữ, tìm kiếm và phân tích lượng lớn dữ liệu một cáchnhanh chóng và gần thời gian thực Các tính năng chính của Elasticsearch bao gồm:
Phân tích thời gian Lưu trữ và chỉ mục tập tin theo thời gian thực, với mỗi lĩnh vựcđược chỉ mục Tài liệu hướng dẫn, trong đó mọi đối tượng đều là một tài liệu Tính sẵnsàng cao, dễ dàng mở rộng, hỗ trợ cho các cụm (clusters), các phân đoạn (shards) vàsao chép (replicas) Giao diện thân thiện, hỗ trợ cho JSON.
Các thành phần chính của Elasticsearch bao gồm:
• Index: Là một tập hợp các tài liệu có điểm tương tự nhau, được sử dụng để tìmkiếm và truy vấn dữ liệu.
• Document: Một đối tượng JSON chứa dữ liệu cụ thể, là đơn vị dữ liệu cơ bảntrong Elasticsearch.
• Shard: Là một phần của một index, chứa một tập hợp con các tài liệu Có hailoại shard: primary shard và replica shard.
• Node: Là một điểm trong hệ thống Elasticsearch, chứa dữ liệu và tham gia vàoviệc tìm kiếm và đánh chỉ mục.
• Cluster: Là một tập hợp các node, chứa toàn bộ dữ liệu và thực hiện các hoạtđộng tìm kiếm và đánh chỉ mục Mỗi cluster có một node chính (master) và có thểcó nhiều node phụ (data nodes) khác.
Trang 13Hai là Logstash là một công cụ mã nguồn mở được sử dụng để thu thập, phân tích vàlưu trữ các bản ghi log để sử dụng trong tương lai Nó được tích hợp với ngôn ngữ Jruby(một phiên bản của Ruby được viết bằng Java) và có thể nhận dữ liệu từ nhiều nguồnkhác nhau trước khi xử lý và ghi dữ liệu vào Elasticsearch.
Các tính năng chính của Logstash bao gồm:• Khả năng truy cập vào bất kỳ dữ liệu nào.• Khả năng tích hợp với nhiều ứng dụng bên ngoài.• Hỗ trợ mở rộng đàn hồi.
Logstash được cấu thành từ 3 thành phần chính, tương ứng với 3 bước xử lý chính:Input: Thành phần này được sử dụng để lấy dữ liệu vào Logstash từ các nguồnkhác nhau như tệp tin, syslog, redis, hoặc Beats.
Filter: Filter là bước xử lý trung gian trong Logstash Nó cho phép người dùng thựchiện các hoạt động biến đổi hoặc phân tích cú pháp trên dữ liệu, ví dụ như sử dụngGrok để phân tích cú pháp log hoặc thêm thông tin về vị trí địa lý của địa chỉ IP bằngGeoip.
Output: Output là pha cuối cùng của quá trình xử lý trong Logstash Nó ghi dữ liệuđã được xử lý vào các đích đến như Elasticsearch, tệp tin, Graphite hoặc Statsd.Các thành phần và tính năng của Logstash cung cấp một cách tiếp cận linh hoạt vàmạnh mẽ cho việc xử lý và quản lý dữ liệu log.
Ba là Kibana: Giao diện để quản lý, thống kê log Đọc thông tin từ Elasticsearch.Kibana là một ứng dụng phân tích và trực quan mã nguồn mở được thiết kế để làmviệc với Elasticsearch.
Kibana cung cấp một giao diện web cho phép người dùng tìm kiếm, xem và tươngtác với dữ liệu được lưu trữ trong các chỉ mục Elasticsearch mà Logstash đã tạo ra.Nó cho phép người dùng tạo và chia sẻ biểu đồ động nhanh chóng để hiển thị sự pháttriển của dữ liệu Elasticsearch trong thời gian thực Kibana cung cấp khả năng phântích dữ liệu tiên tiến và hiển thị dữ liệu trong một loạt các biểu đồ, bảng và bản đồ.Đầu tiên, log được chuyển đến Logstash.
Logstash sẽ đọc log, thêm thông tin như thời gian, địa chỉ IP, phân tích dữ liệu từlog (chẳng hạn, máy chủ, mức độ nghiêm trọng, nội dung log), sau đó ghi xuống cơ sởdữ liệu Elasticsearch.
Khi muốn xem log, người dùng truy cập URL của Kibana Kibana sẽ đọc thông tinlog từ Elasticsearch và hiển thị trên giao diện để người dùng truy vấn và xử lý.
Tổng quan về Bảo mật với Elastic Endpoint Security
Hệ thống này cung cấp khả năng bảo mật toàn diện cho các thiết bị đầu cuối (endpoint)với tính năng thu thập dữ liệu, phát hiện mối đe dọa và điều tra các sự cố.
Trang 14Hình 3: Workflow của Eslatic
Luồng Dữ liệu:Thu Thập Dữ Liệu:
Các beat module trên thiết bị thu thập dữ liệu liên quan đến bảo mật (quy trình, mạng,file, v.v.).
Tích hợp Elastic Endpoint Security thu thập chi tiết như phát hiện phần mềm độc hạivà phân phối các thành phần cần thiết (artifact).
Phân tích dữ liệu để tìm hoạt động đáng ngờ bằng cách sử dụng:
Quy tắc Phát hiện: Tìm kiếm các mẫu được xác định trước trong dữ liệu đã thu thập,kích hoạt cảnh báo.
Công việc Học máy: Phát hiện các bất thường trong hành vi của thiết bị đầu cuối vàmạng.
Tích hợp với các hệ thống thông báo bên ngoài (Slack, email).
Cho phép tạo các quy tắc phát hiện tùy chỉnh cùng với các quy tắc được xây dựng sẵn.Loại trừ: Giảm thiểu các cảnh báo dương tính giả bằng cách xác định các điều kiện đểloại bỏ cảnh báo.
Danh sách giá trị cung cấp các chi tiết sự kiện cụ thể để tạo ngoại lệ.Cũng có thể được thêm trực tiếp từ ứng dụng Endpoint Security.
Dòng thời gian: Không gian làm việc để điều tra các cảnh báo và sự kiện:Truy vấn và lọc các sự kiện liên quan đến các sự cố bảo mật.
Sử dụng các truy vấn được xác định trước đính kèm với các quy tắc phát hiện để điều
Trang 15tra nhanh hơn.
Lưu và chia sẻ dòng thời gian để cộng tác.
Các Trường hợp: Hệ thống nội bộ để quản lý các vấn đề bảo mật:Tạo, theo dõi và chia sẻ các sự cố bảo mật trực tiếp trong ứng dụng.
Tích hợp với các hệ thống ticket bên ngoài để quy trình làm việc được đơn giản hóa.Quản trị: Xem và quản lý các thiết bị đầu cuối chạy Endpoint Security.
Trang 163Hiện thực bằng Splunk
3.1 Thêm dữ liệu
Các bước thực hiện:1 Chọn Add data
2 Chọn Upload
3 Chọn Select File
Trang 174 Trong thư mục tải xuống của bạn, chọn tệp tutorialdata.zip và nhấp vào Open,sau đó chọn Next.
Lưu ý: Tệp tutorialdata.zip phải được nén để tải tệp lên thành công.
Về tệp dữ liệu tutorialdata.zip: Báo cáo này sử dụng dữ liệu từ một cửa hàng tròchơi hư cấu có tên là Buttercup Games - một cửa hàng trực tuyến bán trò chơi vàcác mặt hàng liên quan Các tệp dữ liệu bao gồm tệp log truy cập web (access.logfile), tệp secure (secure.log file), tệp log bán hàng (vendor_sales.log) và bảng giátrong tệp CSV.
5 Trong phần Input Settings, chọn hướng dẫn cài đặt theo Splunk Cloud form hoặc Splunk Enterprise và hệ điều hành thích hợp:
Plat-Splunk Cloud Platform
• Chọn Segment in path.
• Nhập 1 vào ô segment number.
Splunk Enterprise dành cho Linux or Mac OS X
• Chọn Segment in path.
• Nhập 1 vào ô segment number.