Báo Cáo Bài Tập Lớn Mạng Máy Tính Đề Tài Security Monitoring.pdf

TRƯỜNG ĐẠI H C BÁCH KHOA HÀ N I ỌỘTRƯỜNG ĐIỆN- ĐIỆN T Ử

Đề tài: Security Monitoring

Hà Nội, 1 - 2024

Nhóm sinh viên thực hiện:

Lê Duy Chung 2020368

CÁC CỤM TỪ VIẾT TẮT SỬ DỤNG 4

MỞ ĐẦU 5

CHƯƠNG 1 GIỚI THIỆU CHUNG ĐỀ TÀI 7

1.1 Giới thiệu đề tài 7

1.2 Tính cấp thiết của đề tài 9

1.3 Mục tiêu nghiên cứu 10

1.4 Nội dung nghiên cứu 10

1.5 Phạm vi nghiên cứu 11

CHƯƠNG 2 KIẾN TRÚC GIẢI PHÁP SIEM 12

2.1 Mô hình kiến trúc hệ thống SOC 12

2.1.1 Giới thiệu cơ bản về hệ thống SOC 12

2.1.2 Mô hình triển khai của một hệ thống SOC 14

2.2 Mô hình kiến trúc hệ thống SIEM SIEM Netwitness 16

2.2.1 Tổng quan về NetWitness 16

2.2.2 Tổng quan về kiến trúc hệ thống SIEM SIEM Netwitness 17

2.2.3 Ưu và nhược điểm của giải pháp SIEM Netwitness 17

2.3 Thiết kế hệ thống SIEM 19

2.3.1 Kiến trúc tổng thể của hệ thống 19

2.3.2 Mô hình logic, luồng dữ liệu hệ thống 20

2.3.3 Các thành phần trong hệ thống SIEM 21

2.3.4 Yêu cầu phần cứng máy chủ 22

2.4 Sơ đồ luồng dữ liệu và yêu cầu kết nối 24

2.4.1 Yêu cầu kết nối từ SIEM server đến các thành phần khác 24

2.4.2 Yêu cầu kết nối từ Broker đến các thành phần khác: 26

2.4.3 Yêu cầu kết nối từ Concentrator đến các thành phần khác: 26

2.5.2 Cấu hình lấy log các máy chủ Linux 37

CHƯƠNG 3 VM (Vulnability management) 38

3.1 Vulnerability Management là gì? 38

3.1.1 Vì sao phải quan tâm đến Vulnerability? 39

3.1.2 Nguyên nhân dẫn đến Vulnerability 40

3.2 Vulnerability Management platform 40

3.3 Quy trình quản lý lỗ hổng bảo mật (vulnerability management) 40

3.4 Architechtur 44

Yêu cầu hệ thống 46

1.1 Phầncứn 46g 1.2 Hệ điềuhành. 46

CHƯƠNG 4 Threat intelligence 49

4.1 Threat Intelligence là gì? 49

4.2 Sự cần thiết của Threat Intelligence 50

4.3 Các tiêu chí để phát hiện khi bị Compromise 52

Response

MỞ ĐẦU

An ninh m ng ngày càng tr nên quan trạ ở ọng đối với các doanh nghiệp và tổ chức trong b i c nh thố ả ế giới ngày càng ph thu c vào công ngh thông tin Các mụ ộ ệ ối đe dọa này có thể bao gồm các cu c t n công m ng t hacker, tin t c, ho c các t ộ ấ ạ ừ ặ ặ ổchức t i phạm mạng; các l h ng bảo mật trong phần mềm và các thiết b kết n i ộ ỗ ổ ị ốm ng; ho c c nhạ ặ ả ững hành động l i c a nhân viên trong tỗ ủ ổ chức.

Nếu không được đối phó kịp thời và hiệu quả, các mối đe dọa này có thể gây ra nh ng thi t h i nghiêm tr ng cho các tữ ệ ạ ọ ổ chức và doanh nghiệp, như mất thông tin quan tr ng, ti n b c, hoọ ề ạ ặc ảnh hưởng đến danh ti ng và uy tín c a tế ủ ổ chức.

Để đố i phó với các cu c tấn công mạng, m t số doanh nghi p và tộ ộ ệ ổ chức đã đầu tư vào hệ th ng Security Operation Center (SOC) và Security Information and ốEvent Management (SIEM) SOC là m t trung tâm qu n lý an ninh m ng, cung cộ ả ạ ấp các gi i pháp b o m t tích hả ả ậ ợp để giảm thi u r i ro và giám sát các cu c t n công ể ủ ộ ấmạng Trong khi đó, SIEM là m t ph n mộ ầ ềm qu n lý s ả ự kiện an ninh mạng, cho phép các tổ chức giám sát và phân tích các thông tin liên quan đến an ninh m ng ạ

Trong b i c nh này, vi c tri n khai SOC và SIEM tr nên c c kố ả ệ ể ở ự ỳ quan tr ng ọđối với các doanh nghiệp và t chức để bảo vệ thông tin và dổ ữ liệu c a mình H ủ ệthống SOC và SIEM giúp định vị và phân tích các cuộc tấn công mạng, giúp các chuyên gia b o m t có th phát hiả ậ ể ện và ngăn chặn các hành vi tấn công mạng trước khi chúng gây h i cho hạ ệ thống

Trong đồ án tốt nghiệp này, em xin thực hiện đề tài: “Nghiên cứu Security Monitoring” Điều này giúp doanh nghi p và tệ ổ chức có th n m bể ắ ắt được tình hình an ninh m ng c a mình mạ ủ ột cách chính xác và k p thời, t đó tăng cườị ừ ng khả năng phát hi n và ph n ệ ả ứng đố ới v i các mối đe dọa an ninh mạng Đồng th i, nghiên cờ ứu này cũng giúp cho các doanh nghi p và t ệ ổ chức hiểu rõ hơn về tầm quan tr ng c a an ọ ủ

ninh mạng và cách để bảo vệ hệ thống thông tin c a mình R t mong nhủ ấ ận được s ựnh n xét, góp ý c a thậ ủ ầy cô để kiến th c cứ ủa em được hoàn thiện hơn.

CHƯƠNG 1

GIỚI THIỆU CHUNG ĐỀ TÀI

1.1 Giới thiệu đề tài

Việc tăng cường an ninh mạng là cần thiết để bảo vệ thông tin quan trọng của các tổ chức và qu c gia Tuy nhiên, việc phòng ngố ừa và đối phó với các cu c tấn công mạng cần ộđòi hỏi sự chuyên môn cao và kh ả năng cập nhật công ngh và nhi u bi n pháp b o mệ ề ệ ả ật đểđảm bảo an toàn cho d liệu và thông tin cá nhân cữ ủa người dùng

Hình 1.1: Mô hình Defense in Depth

Trên đây là mô hình phòng thủ theo chiều sâu (Defense- -Depth) Phòng th có chiin ủ ều sâu giúp chúng ta b o v h ả ệ ệ thống m ng c a mình b t ch p m t ho c nhi u l p b o v bên ạ ủ ấ ấ ộ ặ ề ớ ả ệngoài b xâm h i M t hị ạ ộ ệ thống phòng thủ chỉ an toàn khi nào càng đi sâu vào bên trong, k t n công càng gẻ ấ ặp ph i nhiả ều khó khăn, tốn nhi u công s c và d b phát hiề ứ ễ ị ện hơn Phần dữ liệu quan tr ng mà các tin t c nhọ ặ ắm đến là mục tiêu cần bảo vệ, hệ th ng phòng th ố ủl p trong cùng s là data security (password, encryption, access control list), lớ ẽ ần lượt các layer sau s là: application security (tùy ng d ng mà có cách cẽ ứ ụ ấu hình đảm b o an toàn ả

riêng), endpoint security (anti-virus, update management, OS hardening), network security (network-based IDS/IPS, VLAN-based network segmentation), perimeter network (firewall, router, VPN), physical (camera, lock, guard), policy/procedure/awareness (security policy, disaster recovery plan, security training)

Tuy nhiên không có b t kì l p b o vấ ớ ả ệ nào đủ ứ s c ch ng l i m i lo i t n công Trong ố ạ ọ ạ ấcác cu c t n công, ph n l n các hacker phát tri n và ti n hành các cu c t n công theo mộ ấ ầ ớ ể ế ộ ấ ột chuỗi các logic được gọi là Cyber Kill Chain

Hình 1.2: Mô hình Cyber Kill Chain

Vì vậy nên ta có thêm 2 y u t r t quan tr ng là Prevention (C&A, Penetration Testing, ế ố ấ ọRisk Management…) và Monitor& Response (NOC, SOC, SIEM…) để gia tăng khả năng phòng ngừa cũng như phát hiện kịp thời nh m b gãy chu i xâm nh p c a các attacker tính ằ ẻ ỗ ậ ủtừ giai đoạn thu thập thông tin (reconnaissance) cho đến khi thực hiện đánh cắp dữ liệu (Actions on Objectives)

Một trong nh ng hữ ệ thống quan trong nh t trong chu i b o m t trên chính là hấ ỗ ả ậ ệ thống Security Operations Center (SOC) SOC là trung tâm điều hành bảo mật cho m t tộ ổ chức,

có nhi m v giám sát và phát hi n các hoệ ụ ệ ạt động đáng ngờ, các mối đe dọa bảo mật và các cuộc tấn công mạng

1.2 Tính cấp thiết của đề tài

Trong những năm gần đây, tình hình an ninh mạng trên toàn cầu đang diễn ra vô cùng ph c t p và nghiêm tr ng Các cu c t n công mứ ạ ọ ộ ấ ạng ngày càng tinh vi hơn, gây thiệt hại không ch vỉ ề mặt tài chính mà còn v danh tiếng và uy tín c a các tề ủ ổ chức và qu c gia ốMột trong nh ng cu c t n công mữ ộ ấ ạng l n nh t trong l ch s là cu c t n công WannaCry ớ ấ ị ử ộ ấvào năm 2017, khi mã độc WannaCry đã lan nhanh trên toàn cầu, tấn công hệ thống máy tính của hàng trăm nghìn t ổ chức tại hơn 150 quốc gia Cu c tộ ấn công này đã làm cho nhiều công ty l n, b nh vi n và t ớ ệ ệ ổ chức chính ph ph i ng ng hoủ ả ừ ạt động và gây thi t h i tài chính ệ ạl n ớ

Một cu c t n công m ng gộ ấ ạ ần đây khác là cuộ ấn công vào Facebook vào năm 2021, c tkhi thông tin cá nhân của hơn 533 triệu người dùng đã bị đánh cắp và phổ biến trên mạng Điều này đã gây ra lo ngại lớn về bảo mật thông tin cá nhân và đặt ra câu hỏi về khả năng b o v dả ệ ữ liệu c a các công ty công ngh l n ủ ệ ớ

Ở Việt Nam, vào tháng 7 năm 2020, cuộc tấn công mạng vào Viettel Telecom đã gây ra sự chú ý đáng kể Các hacker đã tấn công vào hệ thống quản lý tài kho n c a Viettel, ả ủlấy đi thông tin cá nhân của hơn 7 triệu khách hàng và đưa lên một trang web bán hàng trực tuyến Đây là một trong nh ng cu c t n công m ng l n nh t và nguy hi m nh t tữ ộ ấ ạ ớ ấ ể ấ ại Việt Nam trong năm 2020

Với sự gia tăng không ngừng của các cuộc tấn công mạng, các tổ chức c n có m t h ầ ộ ệthống bảo mật toàn diện để giảm thi u thi t hể ệ ại và đảm bảo an toàn cho dữ liệu và thông tin c a h Hủ ọ ệ thống SOC-SIEM được xem là m t gi i pháp hi u quộ ả ệ ả để đáp ứng nhu cầu b o mả ật thông tin c a các tủ ổ chức, đặc biệt là các tổ chức có quy mô l n và phớ ải đối mặt v i nhi u mớ ề ối đe dọa b o mả ật

Hệ thống SIEM thu th p d ậ ữ liệu t nhi u ngu n khác nhau trên h ừ ề ồ ệ thống m ng và phân ạtích các sự kiện b o m t Khi hả ậ ệ thống SIEM phát hi n m t mệ ộ ối đe dọa b o m t, nó s t o ả ậ ẽ ạra m t c nh báo và gộ ả ửi thông tin đến hệ thống SOC để ử x lý Hệ thống SOC sẽ tiếp nhận cảnh báo này và th c hiự ện các bước đối phó, bao g m giám sát, phân tích và kh c ph c s ồ ắ ụ ựcố

Mối liên hệ giữa hệ thống SOC và SIEM giúp cung c p cho tấ ổ chức m t hộ ệ thống b o ảm t toàn di n, giúp tậ ệ ổ chức phát hi n, phòng ngệ ừa và đối phó v i các mớ ối đe dọa b o mả ật m t cách nhanh chóng và hi u quộ ệ ả Nó cũng giúp giảm thiểu thi t h i do các cu c t n công ệ ạ ộ ấmạng và đảm bảo an toàn cho hệ thống mạng c a tủ ổ chức Nh n th y t m quan tr ng cậ ấ ầ ọ ủa SIEM trong vi c giám sát an ninh mệ ạng nên em đã quyết định chọn đề tài: “Nghiên cứu Security Monitoring” để làm

1.3 Mục tiêu nghiên cứu

Từ nh ng phân tích trên, M c tiêu cữ ở ụ ần đạt được của Đề tài là: Nắm được mô hình ki n trúc c a SIEM s d ng SIEM ế ủ ử ụ Netwitness Xây d ng m t hự ộ ệ thống SIEM SIEM Netwitness hoàn chỉnh Thu th p dậ ữ liệu t các ngu n c n giám sát (log source) ừ ồ ầ Tích h p hợ ệ thống SIEM v hề ệ thống SOC để giám sát

Ngoài ra, m c tiêu quan tr ng cụ ọ ần đạt được là ph i hoàn thiả ện Báo cáo Đồ án tốt nghiệp theo đúng thời gian, đầy đủ ội dung và trình bày theo quy đị n nh

1.4 Nội dung nghiên cứu

Trên cơ sở mục tiêu đã đặt ra, để có thể hoàn thiện được những mục tiêu đó, em sẽ tập trung vào các n i dung nghiên c u sau: ộ ứ

Nghiên c u mô hình ki n trúc c a SIEM s d ng SIEM ứ ế ủ ử ụ Netwitness Nghiên c u xây d ng và v n hành hứ ự ậ ệ thống

Đưa ra được sizing, yêu cầu ươc tính của hệ thống, và c u hình storage ấ

Thu th p các nh t kí sậ ậ ự kiện (event log) t các log source ừ

Khảo sát toàn b hộ ệ thống để tìm ra lo i log c n thu thạ ầ ập để giám sát Tìm hi u cách c u hình l y log c a Windows Server ể ấ ấ ủ

Tìm hi u cách c u hình l y log c a Linux ể ấ ấ ủ

Tìm hi u cách c u hình l y log c a các thi t b b o m t, thi t b an toàn thông ể ấ ấ ủ ế ị ả ậ ế ịtin

Làm việc trên môi trường o hóa l n vả ẫ ật lí

Nắm được cách vận hành của một hệ th ng Domain Controler ố

Nắm được mô hình kết nối mạng site to site để tích hợp về hệ thống SOC giám sát

1.5 Phạm vi nghiên cứu

Các kiến thức và tài liệu được cung cấp bởi hãng SIEM Netwitness Nghiên cứu các kiến thức theo chứng chỉ: MCSA, LPI 1, LPI 2 Nghiên cứu cấu trúc mạng, đường truyền (network)

Khi đi vào dự án thực tiễn trong môi trường Product, khảo sát hệ thống khách hàng, các phòng ban, các site

CHƯƠNG 2

KIẾN TRÚC GIẢI PHÁP SIEM

2.1 Mô hình kiến trúc hệ thống SOC 2.1.1 Giới thiệu cơ bản về hệ thống SOC

- SOC là hệ thống cần thiết, hỗ trợ tích cực cho đơn vị trong việc giám sát và nâng cao trạng thái an ninh mạng, an toàn thông tin cho toàn bộ hệ thống mạng nghiệp vụ, sẵn sàng ứng phó với các sự cố có thể xảy ra

Hình 2-1: Mô tả các chức năng hệ thống SOC

- Xây dựng hệ thống SOC là tổng hợp của 3 thành phần: Công nghệ, quy trình, con người

Phát triểnnộidung (rule, playbook)Ứngphó sựcố

Giám sát, phát hiệnsựcốThu thậpthông tin, sựkiệnbảo

mật

Red Team: Nhóm chuyên sâu về tấn công mạng

Blue Team: Nhóm chuyên sâu về phòng thủ, giám sát và điều tra số Purple Team: Nhóm nghiên cứu, phát triển, tinh chỉnh các tập luật nhằm phát

hiện các hành vi bất thường, các kỹ thuật tấn công mạng Malware Team: Nhóm chuyên sâu về phân tích mã độc

Threat Intelligence Team: Nhóm phân tích, “săn” các mối đe dọa an ninh mạng mới

System Team: Nhóm triển khai, quản trị, vận hành hệ thống

Hình 2-2: Thành phần các Team tham gia vào xây dựng hệ thống SOC

2 Về quy trình

Hệ thống SOC xây d ng quy trình x lý công viự ử ệc được theo t ng l p sau: ừ ớ Tier 1: Giám sát, theo dõi cảnh báo Tạo tickets và loại bỏ cảnh báo sai Tier 2: Tiến hành điều tra sâu về vự cố

Tier 3: Điều tra ứng phó sự cố, phân tích mã độc và điều tra số chuyên sâu Tier 4: Quản lý, điều phối chung các Tier (Soc Manager)

Hình 2-3: Quy trình điều hành hệ thống SOC

3 Về công nghệ

Căn cứ quyết định số 1356/QĐ-BTTT quy định tiêu chí về công ngh và tùy theo ệhi n tr ng h t ng b o mệ ạ ạ ầ ả ật c a t ng doanh nghi p, các thành phủ ừ ệ ần cơ bản và nâng cao trong hệ thống SOC bao gồm:

SIEM: sản phẩm quản lý và phân tích sự kiện an toàn thông tin SOAR: sản phẩm điều phối, tự động hóa và phản ứng an toàn thông tin Anti-Virus-sản phẩm phòng chống mã độc

WAF: tường lửa ứng dụng web

Threat Intelligence Platcform: nền tảng tri thức mối đe dọa an toàn thông tin VM (Vulnerability Management): quản lý lỗ hổng bảo mật

2.1.2 Mô hình triển khai của một hệ thống SOC

Mô hình Distributed Model và Centralized Model là hai ki u t ể ổ chức hoạt động của m t d ch vộ ị ụ SOC (Security Operations Center), đây là hai cách tiếp c n khác nhau trong ậviệc tổ chức và qu n lý các hoả ạt động b o m t thông tin c a m t tả ậ ủ ộ ổ chức.

1 Mô hình Distributed Model

Hình 2-4: Mô hình Distributed Model

Trong mô hình này, các chức năng của SOC được phân tán và phát tri n t i các v ể ạ ịtrí địa lý khác nhau trong tổ chức Các đội SOC có thể được đặ ại các văn phòng hoặc t ttrung tâm dữ liệu c a tủ ừng địa điểm ho c chi nhánh c a tặ ủ ổ chức Các đội SOC này có th ểđảm nhiệm vai trò giám sát, phát hi n, phân tích và gi i quy t các s c b o m t c c bệ ả ế ự ố ả ậ ụ ộ Các dữ liệu và thông tin liên quan đến an ninh từ các địa điểm phân tán này có thể được t ng h p và phân tích t i mổ ợ ạ ột trung tâm SOC trung tâm hoặc trung tâm điều hành t ng th ổ ể

Mô hình này s ẽ thường được áp dụng trong các đối tượng là t ổ chức nhiều văn phòng hoặc địa điểm địa lý khác nhau, thường ph ổ biến trong các t ổ chức đa quốc gia hoặc đa văn phòng Ho c tặ ổ chức có mô hình phân tán hoặc đa nguồn dữ liệu: Trong các tổ chứ ớn c lv i nhi u ngu n d ớ ề ồ ữ liệu khác nhau, ch ng h n t các thi t b mẳ ạ ừ ế ị ạng, h ệ thống máy chủ, ứng d ng, d ch vụ ị ụ đám mây, thiế ị di đột b ng, etc

Trong mộ ố ổt s t ch c, việc duy trì và vận hành m t SOC trung tâm hoàn ch nh có ứ ộ ỉthể không kh thi v m t tài nguyên V i vai trò là m t tả ề ặ ớ ộ ổ chức chuyên cung c p d ch v ấ ị ụSOC, mô hình này có thể giải quyết được vấn đề về ngu n l c và tài nguyên c a tồ ự ủ ổ chức cần triển khai SOC

2 Mô hình Centralized Model

Hình 2-5: Mô hình Centralized Model

Trong mô hình này, t t cấ ả các chức năng của SOC đượ ậc t p trung và hoạt động tại m t trung tâm SOC duy nh t Các hoộ ấ ạt động giám sát, phát hi n, phân tích và gi i quyệ ả ết s c b o mự ố ả ật đều được th c hi n t i trung tâm SOC này Các dự ệ ạ ữ liệu và thông tin an ninh t các nguừ ồn khác nhau đượ ổc t ng h p và phân tích t i trung tâm SOC, và các hoợ ạ ạt động ph n ả ứng cũng được th c hi n tự ệ ừ đó.

Đối tượng giám sát ch y u là m t hủ ế ộ ệ thống duy nh t Trong m t sấ ộ ố trường h p, t ợ ổchức có nhu cầu giám sát và bảo vệ chủ yếu cho một hệ thống hoặc ứng dụng đặc biệt chẳng h n hạ ệ thống thanh toán tr c tuyự ến hay cơ sở ữ liệ d u khách hàng, thay vì toàn b ộm ng ho c hạ ặ ệ thống thông tin c a tủ ổ chức.

2.2 Mô hình kiến trúc hệ thống SIEM SIEM Netwitness 2.2.1 Tổng quan về NetWitness

NetWitness là một b phát hi n mộ ệ ối đe dọa m nh mạ ẽ cho phép các Trung tâm vận hành b o mả ật (SOC) nhanh chóng xác định vị trí, ưu tiên và loại b các mỏ ối đe dọa NetWitness giúp cô lập và kh c ph c các mắ ụ ối đe dọa đã biết cũng như những mối đe dọa