BÀI TIỂU LUẬN Hệ thống theo dõi giám sát Splunk

Splunk giúp người dùng phát hiện các vấn đề liên quan đến hiệu suất của hệ thống, như tình trạng tải cao, tình trạng bị treo, tình trạng ứng dụng bị lỗi.. Chúng có thể thực hiện nhiều ch

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA CÔNG NGHỆ THÔNG TIN

- -

BÀI TIỂU LUẬN

Hệ thống theo dõi giám sát Splunk

Giảng viên: Đinh Trường Duy Nhóm: D2002G15

Thành viên:

Viên Ngọc Kỳ Nguyễn Như Quỳnh Nguyễn Quang Khánh Trần Hoàng Sơn

Năm học: 2023

Thành viên Nhiệm vụ Tự đánh giá Nhóm trưởng

đánh giá

Nguyễn Như Quỳnh Làm slide, tham gia viết báo

cáo, tham gia tìm kịch bản

Viên Ngọc Kỳ Làm nội dung, tham gia viest

báo cáo, tham gia tìm vdu, kịch bản

Tổng hợp,hỗ trợ, theo dõi tiến

độ từng thành viên

MỤC LỤC

I Giới thiệu 4

1 Mục đích của báo cáo 4

2 Khái quát về Splunk và vai trò của nó trong việc giám sát hệ thống 4

II Kiến trúc của Splunk 4

1 Tổng quan về kiến trúc của Splunk 4

2 Các thành phần chính của Splunk 7

3 Các tính năng của Splunk 7

4 Hướng dẫn cài đặt và cấu hình Splunk 8

4.1 Cài đặt 8

4.2 Cấu hình Splunk 9

III Các giải thuật trong Splunk 10

1 Các giải thuật phân tích dữ liệu trong Splunk 10

2 Các giải thuật phát hiện tấn công trong Splunk 12

2.1 Giải thuật phát hiện tấn công mạng: 12

2.2 Giải thuật phát hiện tấn công hệ thống: 12

2.3 Giải thuật phát hiện tấn công cơ sở dữ liệu: 12

2.4 Giải thuật phát hiện tấn công ứng dụng: 12

IV Các điểm yếu của splunk và các dạng tấn công: 16

1 Các điểm yếu của Splunk: 16

2 Các dạng tấn công vào Splunk và cách đối phó với chúng 18

2.1 Tấn công từ chối dịch vụ (DoS) 18

2.2 Tấn công từ chối dịch vụ phân tán (DDoS) 18

2.3 Tấn công tràn bộ đệm 19

2.4 Tấn công Injection: 19

2.5 SQL Injection: 19

2.6 Tấn công tương tác người dùng giả mạo: 19

2.7 Tấn công mã độc: 19

2.8 Tấn công thư rác (Spam) 19

V Các kịch bản giám sát và phát hiện tấn công: 20

1 Kịch bản giám sát lưu lượng mạng: 20

2 Kịch bản giám sát đăng nhập: 20

3 Kịch bản giám sát dữ liệu: 21

VI Kết luận 21

VI Tài liệu tham khảo 22

I Giới thiệu

1 Mục đích của báo cáo

Báo cáo này nhằm tìm hiểu về hệ thống theo dõi giám sát Splunk, bao gồm kiến trúc, giải thuật, các điểm yếu, các dạng tấn công và ứng dụng của nó Bên cạnh đó, báo cáo cũng đưa ra các kịch bản giám sát và phát hiện tấn công thông qua Splunk

2 Khái quát về Splunk và vai trò của nó trong việc giám sát hệ thống

Splunk là một nền tảng phân tích dữ liệu và giám sát hệ thống, cho phép người dùng thu thập và phân tích các tập tin log từ nhiều nguồn khác nhau Splunk có thể giám sát các hệ thống, các ứng dụng, các tập tin log, các trang web và nhiều hơn nữa Các dữ liệu này sẽ được lưu trữ trong Splunk, cho phép người dùng phân tích chúng và đưa ra các báo cáo chi tiết về hoạt động trong

hệ thống

Vai trò của Splunk trong việc giám sát hệ thống là đảm bảo hiệu suất và bảo mật của hệ thống Splunk giúp người dùng phát hiện các vấn đề liên quan đến hiệu suất của hệ thống, như tình trạng tải cao, tình trạng bị treo, tình trạng ứng dụng bị lỗi Ngoài ra, Splunk cũng giúp người dùng phát hiện các hành vi đáng ngờ hoặc tấn công vào hệ thống, giúp tăng cường bảo mật cho hệ thống

II Kiến trúc của Splunk

1 Tổng quan về kiến trúc của Splunk

Kiến trúc của Splunk bao gồm nhiều thành phần khác nhau, đảm bảo hoạt động hiệu quả và chính xác của nền tảng này Kiến trúc của Splunk bao gồm

các thành phần sau:

 Indexer: Lưu trữ và quản lý dữ liệu được thu thập từ Forwarder Indexer được phân tán trên nhiều máy chủ để đảm bảo khả năng mở rộng và tăng hiệu suất

 Forwarder: Chịu trách nhiệm thu thập dữ liệu từ các nguồn khác nhau và gửi chúng đến Splunk Forwarder được cài đặt trên các máy chủ hoặc các ứng dụng

 Search Head: Quản lý và hiển thị các kết quả tìm kiếm cho người dùng Search Head có thể được cài đặt trên một máy chủ riêng biệt hoặc chia

sẻ với Indexer

 Deployment Server: Được sử dụng để cấu hình và quản lý các Forwarder

và các thành phần khác của Splunk

 Universal Forwarder: Phiên bản nhỏ gọn của Forwarder được sử dụng

để thu thập dữ liệu từ các thiết bị di động hoặc các ứng dụng nhỏ

 Heavy Forwarder: Phiên bản Forwarder có thêm tính năng xử lý và phân tích dữ liệu, được sử dụng để giải quyết các trường hợp cần xử lý dữ liệu trước khi gửi đến Indexer

Sơ đồ miêu tả kiến trúc của hệ thống giám sát Splunk, bao gồm các thành

phần chính của nó và cách chúng tương tác với nhau

Các thành phần chính của hệ thống bao gồm:

1 Data Producers: Đây là các máy chủ hoặc thiết bị tạo ra dữ liệu cần giám sát Chúng gửi các sự kiện hoặc bản ghi đến các máy chủ Forwarder để tiếp nhận

2 Universal Forwarder: Forwarder là thành phần trung gian, nhận dữ liệu

từ các data producers và chuyển đến Indexers hoặc các Heavy Forwarder

để tiếp tục xử lý Universal Forwarder là một loại forwarder nhỏ hơn, được sử dụng cho các ứng dụng nhỏ và tài nguyên hạn chế

3 Heavy Forwarder: Đây là một phiên bản của Forwarder có nhiều tính năng hơn Chúng có thể thực hiện nhiều chức năng xử lý dữ liệu, như lọc

dữ liệu, sử dụng giải thuật phân tích để tìm kiếm tấn công và chuyển dữ liệu đến các Indexers hoặc Search Heads

4 Indexers: Đây là nơi lưu trữ dữ liệu của hệ thống Indexers sử dụng dữ liệu nhận được từ Forwarders để tạo ra các bảng chỉ mục, là nơi các Search Heads sẽ tìm kiếm các sự kiện và dữ liệu liên quan

5 Search Head: Đây là giao diện người dùng cuối cùng của hệ thống, cho phép người dùng truy cập dữ liệu và thực hiện các tìm kiếm hoặc truy vấn đến dữ liệu Search Head thực hiện các tìm kiếm và truy vấn bằng cách tìm kiếm các chỉ mục đã tạo trên Indexers

6 Development Server: Đây là một máy chủ được sử dụng cho mục đích phát triển và kiểm tra Nó có thể được sử dụng để phát triển các ứng dụng Splunk hoặc các giải thuật phân tích dữ liệu

Các mũi tên trong sơ đồ mô tả các thông điệp và luồng dữ liệu giữa các thành phần của hệ thống Ví dụ, Data Producers gửi dữ liệu đến Universal Forwarders thông qua các giao thức như syslog hoặc agent-based Universal Forwarders sau đó chuyển dữ liệu đến các Indexers hoặc các Heavy Forwarder Các Indexers tạo các chỉ mục và chuyển chúng đến Search Heads để thực hiện các truy vấn và tìm kiếm dữ liệu

 Phân tích và tìm kiếm dữ liệu: Splunk cung cấp các công cụ phân tích và tìm kiếm dữ liệu mạnh mẽ, cho phép người dùng xác định các xu hướng, tìm kiếm thông tin cụ thể và phát hiện các sự cố trong hệ thống

 Thông báo và cảnh báo: Splunk có khả năng tạo ra các cảnh báo và thông báo cho người dùng khi có các tình huống đáng ngờ xảy ra trong hệ thống

 Quản lý sự kiện: Splunk có khả năng quản lý các sự kiện trong hệ thống, giúp người dùng hiểu rõ hơn về các hoạt động và sự kiện trong hệ thống

 Bảo mật và tuân thủ: Splunk cung cấp các tính năng bảo mật và tuân thủ cho phép người dùng giám sát và đảm bảo sự an toàn của hệ thống

3 Các tính năng của Splunk

 Thu thập dữ liệu: Splunk cho phép thu thập dữ liệu từ nhiều nguồn khác nhau như các file log, các ứng dụng, các thiết bị di động, các thiết bị IoT, các máy chủ,…

 Phân tích và tìm kiếm dữ liệu: Splunk cung cấp các công cụ phân tích và tìm kiếm dữ liệu mạnh mẽ, cho phép người dùng xác định các xu hướng, tìm kiếm thông tin cụ thể và phát hiện các sự cố trong hệ thống

 Thông báo và cảnh báo: Splunk có khả năng tạo ra các cảnh báo và thông báo cho người dùng khi có các tình huống đáng ngờ xảy ra trong hệ thống

 Quản lý sự kiện: Splunk có khả năng quản lý các sự kiện trong hệ thống, giúp người dùng hiểu rõ hơn về các hoạt động và sự kiện trong hệ thống

 Bảo mật và tuân thủ: Splunk cung cấp các tính năng bảo mật và tuân thủ cho phép người dùng giám sát và đảm bảo sự an toàn của hệ thống

4 Hướng dẫn cài đặt và cấu hình Splunk

4.1 Cài đặt

B1: Dowload tại trang chủ: https://www.splunk.com/

B2: Install

 Click vào Check this box

to accept the license

B4: Chọn chế độ phù hợp cho mục đích sử dụng, ở đây ta dùng chế độ cá nhân nên chọn local, nếu dùng cho công ty hoặc doanh nghiệp ta chọn Doman  Next

B5: Tạo tài khoản đăng nhập splunk Rồi Next  Install Rồi đợi cài đặt xong B6: Vậy là đã cài đặt xong nhấp Finish

B7: Bây giờ chúng ta vô bằng ip với port 8000 http://ip:8000

 Cấu hình Indexer: Người dùng cần cấu hình Indexer để lưu trữ và quản

lý dữ liệu được thu thập từ Forwarder

 Cấu hình Search Head: Người dùng cần cấu hình Search Head để có thể tìm kiếm và hiển thị kết quả tìm kiếm cho người dùng

 Cấu hình Deployment Server: Người dùng cần cấu hình Deployment Server để có thể cấu hình và quản lý các thành phần khác của Splunk

III Các giải thuật trong Splunk

1 Các giải thuật phân tích dữ liệu trong Splunk

 Keyword Search: Giải thuật tìm kiếm từ khóa cơ bản trong các tập tin nhật ký Người dùng có thể sử dụng các biểu thức chính quy để mở rộng phạm vi tìm kiếm

 Field Extraction: Giải thuật trích xuất các trường dữ liệu từ các sự kiện trong tập tin nhật ký Splunk sử dụng các biểu thức chính quy để xác định các trường dữ liệu trong tập tin nhật ký

 Lookup: Giải thuật cho phép người dùng tra cứu các thông tin bổ sung

từ một tập tin hoặc cơ sở dữ liệu bên ngoài và tích hợp chúng vào kết quả tìm kiếm

 Report: Giải thuật tạo báo cáo về các dữ liệu trong tập tin nhật ký Người dùng có thể tạo các báo cáo tự động và định kỳ dựa trên các tiêu chí cụ thể

 Giải thuật tìm kiếm: giúp tìm kiếm các log, sự kiện, dữ liệu từ nhiều nguồn dữ liệu khác nhau và đưa ra kết quả tìm kiếm chính xác

 Giải thuật lọc dữ liệu: giúp lọc ra dữ liệu quan trọng và loại bỏ dữ liệu không cần thiết

 Giải thuật phân tích đường dẫn: giúp tìm ra các đường dẫn tới các tập tin, ứng dụng và các kết nối giữa chúng

 Giải thuật phân tích dữ liệu tương đồng: giúp phân tích các mẫu dữ liệu tương đồng và liên kết chúng lại với nhau

 Giải thuật phân tích chuỗi: giúp phân tích các chuỗi dữ liệu và xác định các mẫu trong chúng

 Giải thuật phân tích dữ liệu hợp tác: giúp phân tích các mẫu dữ liệu được tạo ra bởi các thành phần hệ thống khác nhau và liên kết chúng lại với nhau

 Giải thuật phân tích cú pháp (Parsing Algorithm): Giải thuật này cho phép Splunk phân tích các tập tin log, tài liệu hoặc bất kỳ định dạng dữ liệu nào khác để trích xuất các trường và giá trị từ chúng Các trường và giá trị này sau đó có thể được sử dụng để tìm kiếm, phân tích và trình bày dữ liệu trong Splunk Ví dụ, khi phân tích tập tin log Apache, Splunk

sử dụng giải thuật parsing để phân tích và trích xuất các thông tin như địa chỉ IP, ngày giờ, phương thức truy cập và trang web được yêu cầu

 Giải thuật phân tích sự kiện (Event Analysis Algorithm): Giải thuật này cho phép Splunk phân tích các sự kiện và dòng log để phát hiện các mẫu

và xu hướng trong dữ liệu Các mẫu này có thể được sử dụng để phát hiện các tấn công, như các cuộc tấn công từ chối dịch vụ (DoS) hoặc các cuộc tấn công tìm kiếm lỗ hổng Ví dụ, giải thuật phân tích sự kiện có thể phát hiện khi một địa chỉ IP cố gắng truy cập quá nhiều lần vào một trang web nhất định trong một khoảng thời gian ngắn

 Giải thuật phân tích lưu lượng mạng (Network Traffic Analysis Algorithm): Giải thuật này cho phép Splunk phân tích lưu lượng mạng

để phát hiện các hành vi đáng ngờ và các cuộc tấn công mạng Ví dụ, giải thuật phân tích lưu lượng mạng có thể phát hiện khi một địa chỉ IP

cố gắng truy cập một số lượng lớn các cổng mạng không hợp lệ hoặc khi

có lưu lượng truy cập lạ vào mạng

 Giải thuật phân tích nội dung (Content Analysis Algorithm): Giải thuật này cho phép Splunk phân tích nội dung của các tập tin và dữ liệu để phát hiện các tấn công, như các cuộc tấn công SQL Injection hoặc XSS

Ví dụ, giải thuật phân tích nội dung có thể phát hiện khi một trang web

có chứa mã độc

2 Các giải thuật phát hiện tấn công trong Splunk

2.1 Giải thuật phát hiện tấn công mạng:

 Phát hiện tấn công từ chối dịch vụ (DoS) hoặc tấn công phân tán từ chối dịch vụ (DDoS)

 Phát hiện quét cổng (Port scanning) hoặc quét mạng (Network scanning)

 Phát hiện tấn công giả mạo địa chỉ IP (IP Spoofing)

 Phát hiện tấn công bẻ khóa (Brute force attacks)

 Phát hiện tấn công mã độc (Malware attacks)

 Phát hiện tấn công tình trạng hỗn loạn (Chaos engineering attacks)

2.2 Giải thuật phát hiện tấn công hệ thống:

 Phát hiện tấn công tràn bộ đệm (Buffer overflow attacks)

 Phát hiện tấn công chèn mã (Code injection attacks)

 Phát hiện tấn công dựa trên lỗ hổng phần mềm (Software vulnerability attacks)

 Phát hiện tấn công mạng lan tràn (LAN flooding attacks)

 Phát hiện tấn công tấn công thời gian thực (Real-time attacks)

 Phát hiện tấn công tương tác với người dùng (User interaction attacks)

2.3 Giải thuật phát hiện tấn công cơ sở dữ liệu:

 Phát hiện tấn công tràn bộ nhớ đệm (Buffer overflow attacks)

 Phát hiện tấn công đánh cắp dữ liệu (Data theft attacks)

 Phát hiện tấn công tương tác với người dùng (User interaction attacks)

 Phát hiện tấn công mã độc (Malware attacks)

 Phát hiện tấn công sử dụng lỗ hổng SQL (SQL injection attacks)

 Phát hiện tấn công từ chối dịch vụ (DoS)

2.4 Giải thuật phát hiện tấn công ứng dụng:

 Phát hiện tấn công mã độc (Malware attacks)

 Phát hiện tấn công dựa trên lỗ hổng phần mềm (Software vulnerability attacks)

 Tấn công xâm nhập ứng dụng(Application Security Attack

Trong đó:

 Giải thuật phát hiện xâm nhập: giúp phát hiện các hành vi độc hại trong

hệ thống, như các cuộc tấn công mạng, phát hiện dữ liệu và sử dụng các

lỗ hổng bảo mật

 Giải thuật phát hiện tấn công từ chối dịch vụ (DoS): giúp phát hiện các cuộc tấn công từ chối dịch vụ nhằm làm chậm hệ thống hoặc làm hỏng các dịch vụ của hệ thống

 Giải thuật phát hiện tấn công thư rác: giúp phát hiện các cuộc tấn công thư rác nhằm gửi hàng loạt thư rác tới nhiều người dùng khác nhau

 Giải thuật phát hiện tấn công mã độc: giúp phát hiện các mã độc và phần mềm độc hại được triển khai trên hệ thống

 Giải thuật phát hiện tấn công đánh cắp thông tin: giúp phát hiện các hành

vi đánh cắp dữ liệu từ hệ thống, bao gồm các tấn công trộm cắp thông tin đăng nhập, tấn công phần mềm độc hại để trộm dữ liệu, tấn công tìm kiếm lỗ hổng bảo mật để truy cập vào hệ thống

 Giải thuật phát hiện tấn công phần mềm độc hại trên thiết bị đầu cuối: giúp phát hiện các phần mềm độc hại được triển khai trên thiết bị đầu cuối như máy tính, điện thoại di động, máy tính bảng

 Giải thuật phát hiện tấn công từ bên trong (Insider Threat): giúp phát hiện các cuộc tấn công được thực hiện bởi nhân viên hay người dùng trong tổ chức, hoặc các tấn công do sai phạm, lỗi trong quản lý phân quyền và kiểm soát truy cập

 Giải thuật phát hiện tấn công phân tán, sử dụng các kỹ thuật như phân tích tương tự và phân tích dựa trên quy tắc để phát hiện các hành vi phân tán của tấn công

 Giải thuật phát hiện tấn công tràn bộ đệm, sử dụng các kỹ thuật như phân tích tương tự và phân tích dựa trên quy tắc để phát hiện các hành vi tràn

bộ đệm của tấn công