báo cáo thực tập tốt nghiệp tích hợp vulnerability assessment open vas với siem splunk

Tuần 2Từ ngày …đến ngày…Phân tích Log trong Splunk dựa vào kiến thức của F1 ,F2Thể hiện sự hiểu biết rõ ràng về cách thu thập và xử lý dữ liệu log trong Splunk Tuần 3Từ ngày …đến ngày…Tì

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC GIA ĐỊNH KHOA CÔNG NGHỆ THÔNG TIN

ĐÁNH GIÁ CỦA ĐƠN VỊ THỰC TẬP

1.Thái độ tác phong trong thời gian thực tập:

2.Kiến thức chuyên môn:

3.Nhận thức thực tế:

4.Đánh giá khác:

5 Đánh giá chung kết quả thực tập:

………, ngày ……… tháng ……… năm …………

TM Đơn vị thực tập

(Ký tên, đóng dấu)

MỤC LỤC(Bold, size 16, in hoa)

(size 14)

Mở đầu: -Trang…Giới thiệu về đơn vị thực tập -Trang…Chương 1. - Trang…

Chương 2. - Trang…

ĐÁNH GIÁ CỦA GIẢNG VIÊN HƯỚNG DẪN

1 Thái độ tác phong trong thời gian thực tập:

2 Kiến thức chuyên môn:

3 Nhận thức thực tế:

4 Đánh giá khác:

5 Đánh giá chung kết quả thực tập:

………, ngày ……… tháng ……… năm …………

Giảng viên hướng dẫn

(Ký tên, ghi rõ họ tên)

Trường Đại học Gia Định Cộng hoà xã hội chủ nghĩa Việt NamKhoa Công Nghệ Thông Tin Độc lập - Tự do - Hạnh phúc

BÁO CÁO THỰC TẬP TỐT NGHIỆP HÀNG TUẦN

Họ và tên SV: LÊ QUANG ĐẠI DĨ MSSV: 2008110065Lớp: K14DCATTT

Giảng viên hướng dẫn: ThS NGUYỄN NGỌC ĐẠI

Tên doanh nghiệp (đơn vị) đến thực tập: CÔNG TY CỔ PHẦN GIẢI PHÁP VÀ DỊCH VỤ HTC GLOBAL

Địa chỉ: 17 Hồ Bá Kiện Phường 15 Quận 10 Tp.Hồ Chí Minh , Việt NamĐiện thoại: (+84) 853 287 799

Tên cán bộ phụ trách thực tập tại doanh nghiệp: NGUYỄN DUY PHƯỚCThời gian thực tập: 2 tháng Từ: 01/05/2023 Đến: 01/07/2023

SttTuần thứNội dung CV thực tập trong tuần

Nhận xét của CBhướng dẫn tại

Nhận xét củagiảng viênhướng dẫn

Tuần 1(Từ ngày …đến ngày…)

Tìm hiểu, viết báo cáo Splunk Fudamentals F1 , F2

Báo cáo của bạn không chỉ cung cấp thông tin rõ ràng và chính xác về Splunk , mà cho thấy sự hiểu biết sâu sắc về khái niệm cốt lõi của nền tảng

Tuần 2(Từ ngày …đến ngày…)

Phân tích Log trong Splunk dựa vào kiến thức của F1 ,F2

Thể hiện sự hiểu biết rõ ràng về cách thu thập và xử lý dữ liệu log trong Splunk

Tuần 3(Từ ngày …đến ngày…)

Tìm hiểu, báo cáo về Vulnerability Assessment

Phân tích và trình bày tốt trong báo cáo về

Vulnerability Assessment

Tuần 4(Từ ngày …đến ngày…)

Cài đặt và vận hành OpenVas

Khả năng hiểu biết và thực hành của bạn trong lĩnhvực này đã được chứng minh qua báo cáo và thực hành thực tế

Tuần 5(Từ ngày …đến ngày…)

Tích hợp OpenVas với SIEM

Bạn đã thực hiện một công việc xuất sắc trong nghiên cứu và tích hợp OpenVasvới SIEM

(Từ ngày …đến ngày…)

Phân tích Log được Splunk thu thập từ OpenVas

Hiểu rõ về dữ liệulog từ OpenVas và quan trọng nhất , cách phân tích chúng bằng

Tuần 7(Từ ngày …đến ngày …)

Thu thập các field chứa nội dung quan trọng từ Log

Bạn đã tận dụng tối đa thông tin hữu ích từ log và tăng cường quá trình phân tích và giám sát

Tuần 8(Từ ngày …đến ngày …)

Xây dựng Dashboard

Bạn đã thể hiện một sự hiểu biết sâu sắc về việc xây dựng

dashboard trong Splunk và thực hiện công việc một các chuyên nghiệp và tỉ mỉ

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC GIA ĐỊNH

KHOA CÔNG NGHỆ THÔNG TIN -

Điện thoại:0929860265 E-mail : dile8861@gmail.com

Địa chỉ : 125/14A Vạn Kiếp Phường 3 Quận Bình Thạnh Tp.Hồ Chí Minh , ViệtNam

Nơi công tác: CÔNG TY CỔ PHẦN GIẢI PHÁP VÀ DỊCH VỤ HTC GLOBAL

3 MỤC TIÊU CỦA ĐỀ TÀI

- Hiểu kiến thức cơ bản về an ninh mạng

- Tìm hiểu các hệ thống SIEM

- Tìm hiểu về các hệ thống Vulnerability Assessment

- Tích hợp Vulnerability Assessment với SIEM

4 NỘI DUNG THỰC TẬP (ghi các nội dung chính sẽ thực hiện)

- Nghiên cứu và tìm hiểu về Splunk Fudamentals F1 , F2

- Tìm hiểu MITRE ATT&CK

- Xây dựng và vận hành Vulnerability Assessment (OpenVas) với SIEM(Splunk)

5.YÊU CẦU DỰ KIẾN BAN ĐẦU

- Hiểu rõ được các khái niệm, kỹ thuật cơ bản được đề cập trong các tài liệu

- Phát triển kỹ năng của bản thân trong lĩnh vực an toàn thông tin

6 CÔNG CỤ VÀ MÔI TRƯỜNG PHÁT TRIỂN

- Vmware, Linux Ubuntu 22.04 Server LTS , Windows 10

- Virustotal , Greenbone Security Assistant , Docker , Community GSA.

7 KẾ HOẠCH THỰC HIỆN (nêu rõ các mốc thời gian)

1 (Từ ngày …/…Tuần 1đến ngày …/…)

Tìm hiểu, viết báo cáo Splunk Fudamentals F1 , F2

2 (Từ ngày …/…Tuần 2đến ngày …/…)

Phân tích Log trong Splunk dựa vào kiến thức củaF1 ,F2

đến ngày …/…)5 (Từ ngày …/…Tuần 5

đến ngày …/…) Tích hợp OpenVas với SIEM

Tuần 6(Từ ngày …/…

đến ngày …/…) Phân tích Log được Splunk thu thập từ OpenVas7

Tuần 7(Từ ngày …/…

đến ngày …/…) Thu thập các field chứa nội dung quan trọng từ Log8

Tuần 8(Từ ngày …/…

8 DỰ KIẾN KẾT QUẢ ĐẠT ĐƯỢC

- Hiểu rõ được các khái niệm, kỹ thuật cơ bản được đề cập trong các tài liệu

- Phát triển kỹ năng triển khai và vận hành

9 CÁC VẤN ĐỀ KHÁC (kiến nghị, góp ý về quá trình thực tập, v.v )

- Không có

Ngày nhận đề tài: 01/05/2023

Ngày nộp báo cáo kết thúc: 01/07/2023

Ý kiến phê duyệt của người hướng dẫn về nội dung đề cương:

Các nội dung tìm hiểu mang tính thực tiễn, đi từ bao quát đến chi tiết, trải nghiệm khía cạnh Phân tích mã độc, từ đó vận dụng cho khả năng Phân tích sự cố sau này của thực tập sinh

hiện

(Ký tên và ghi họ tên) (Ký tên và ghi họ tên)

LÊ QUANG ĐẠI DĨ

MỤC LỤC

CHƯƠNG I : GIỚI THIỆU CHUNG 2

1 Giới thiệu về Vulnerablity Assessment 2

CHƯƠNG II : VULNERABILITY ASSESSMENT 13

1 Cài đặt công cụ OpenVas ( Greenbone Security Assistant ) 13

1.1 Cài đặt bằng Source 13

1.1.1 Chuẩn bị phần cứng 13

1.1.2 Source 13

2 Khắc phục các vấn đề thường gặp trong quá trình cài đặt 46

3 Xây dựng hệ thống Scanning trên OpenVas 47

4 Phân tích kết quả khi Scan hoàn thành 51

CHƯƠNG III : SIEM 54

1 Cài đặt công cụ Splunk 54

2 Cài đặt App để tích hợp OpenVas 56

3 Định cấu hình cảnh báo Splunk 59

CHƯƠNG IV : TÍCH HỢP VULNERABLITY ASSESSMENT ( OPENVAS) VỚI SIEM ( SPLUNK ) 61

1 Phân tích Log đã thu thập 61

2 Xây dựng Dashboard giám sát 62

CHƯƠNG V : KẾT LUẬN 64

TÀI LIỆU THAM KHẢO 67

MỤC LỤC HÌNH ẢNH

Hình 1 : OpenVas đã khởi động 49

Hình 2 : Giao diện đăng nhập Greenbone Security Assistant 50

Hình 3 : Tạo Task Scan 51

Hình 5 : Kết quả sau khi Scan hoàn tất 53

Hình 7 : Giao diện đăng nhập của Splunk 58

Hình 8: Cài đặt ứng dụng Splunk 59

Hình 9 : Kiểm tra cổng của ứng dụng Greenbone-Splunk 60

Hình 10 : Thay đổi bí danh tên trường 61

Hình 11 : Định cấu hình cảnh báo Splunk 62

Hình 12 : Kích hoạt cảnh báo 63

Hình 13 : Log đã thu thập được từ OpenVas 64

Hình 14 : Bảng điều khiển Greenbone trong ứng dụng Splunk 64

Greenbone-MỞ ĐẦU

Trong thời đại số hóa ngày nay, an toàn thông tin đóng vai trò cực kỳ quan trọngtrong việc bảo vệ thông tin và dữ liệu quan trọng của các tổ chức Trong khuônkhổ của chương trình thực tập của trường Đại Học Gia Định, tôi đã có cơ hộiđược tham gia vào một dự án thực tế về ứng phó sự cố, chính là thực tập SOC tạiCông Ty Cổ Phần Dịch Vụ Và Giải Pháp HTC Global Trong quá trình thực tập,tôi đã được thực hiện các hoạt động như nhận và phân loại sự cố, phân tích vàkhắc phục sự cố, đảm bảo các sự cố được giải quyết một cách hiệu quả và khônggây ra tổn thất cho công ty

Báo cáo này được viết nhằm trình bày kết quả của quá trình thực tập của tôi đồngthời chia sẻ các kinh nghiệm và kiến thức mà tôi đã học được Báo cáo này baogồm các phần chính sau:

Chương I: Giới thiệu chung

Chương II: Vulnerablity AssessmentChương III: SIEM

Chương IV: Tích hợp Vulnerablity Assessment (OpenVas) với SIEM (Splunk)Chương V: Kết luận

Tôi hy vọng rằng báo cáo này sẽ cung cấp cho các bạn đọc một cái nhìn tổngquan về quá trình thực tập của tôi tại Công Ty Cổ Phần Giải Pháp Và Dịch VụHTC Global và đóng góp vào việc nâng cao kiến thức và kỹ năng về bảo mật hệthống.

Xin chân thành cảm ơn!

Thành phố Hồ Chí Minh, tháng 07, năm 2023 Sinh viên

LÊ QUANG ĐẠI DĨ

CHƯƠNG I : GIỚI THIỆU CHUNG

1 Giới thiệu về Vulnerablity Assessment

1.1 Vulnerability Assessment là gì ?

Vulnerability Assessment (Đánh giá lỗ hổng) là quá trìnhphân tích, đánh giá và xác định các lỗ hổng bảo mật trong hệthống, mạng, ứng dụng và các tài sản thông tin khác của một tổchức hoặc cá nhân Mục tiêu của Vulnerability Assessment là tìmra các điểm yếu tiềm tàng trong môi trường kỹ thuật số và đưa racác biện pháp cải thiện để bảo vệ chống lại các cuộc tấn công vàrủi ro bảo mật.

Quá trình Vulnerability Assessment thường bao gồm cácbước sau:

a Thu thập thông tin: Xác định các hệ thống, ứngdụng và thiết bị trong mạng cần được đánh giá.Thu thập thông tin chi tiết về các thành phần nàybao gồm phiên bản phần mềm, cấu hình, và cấutrúc mạng.

b. Quét lỗ hổng: Sử dụng các công cụ tự động hoặchệ thống quét bảo mật để phát hiện các lỗ hổngbảo mật trong các thành phần đã xác định Các lỗhổng này có thể bao gồm các lỗ hổng phần mềm,cấu hình không an toàn, thiếu các bản vá bảo mậtvà các vấn đề bảo mật khác.

c. Phân tích và đánh giá: Đánh giá mức độ nghiêmtrọng của các lỗ hổng đã tìm thấy, xác định tầm

ảnh hưởng và khai thác tiềm năng của chúng.Điều này giúp xác định các lỗ hổng quan trọngcần được giải quyết ưu tiên và hạn chế nguy cơ bịtấn công.

d. Đưa ra biện pháp cải thiện: Dựa trên kết quả đánhgiá, đề xuất các biện pháp cải thiện để giảm thiểucác lỗ hổng bảo mật và tăng cường môi trường antoàn Các biện pháp này có thể bao gồm cài đặtcác bản vá bảo mật, cấu hình lại hệ thống, sửa lỗiphần mềm và triển khai các biện pháp bảo mậtmới.

e. Báo cáo: Tạo báo cáo chi tiết về các lỗ hổng đãtìm thấy, bao gồm mô tả về mỗi lỗ hổng, mức độnghiêm trọng, tầm ảnh hưởng và các biện phápkhắc phục đề xuất Báo cáo cần được biên tập vàtrình bày một cách rõ ràng để người quản lý vànhân viên kỹ thuật có thể hiểu và triển khai cácbiện pháp cải thiện.

Quá trình Vulnerability Assessment là một phần quan trọngtrong việc duy trì và nâng cao mức độ an toàn và bảo mật thông tincủa tổ chức hoặc hệ thống kỹ thuật số Nó giúp phát hiện và khắcphục các lỗ hổng bảo mật trước khi chúng trở thành điểm yếu dễ bịtấn công.

1.2 Sản phẩm được sử dụng cho Vulnerability Assessment

Có nhiều sản phẩm và công cụ được sử dụng để thực hiệnVulnerability Assessment (Đánh giá lỗ hổng), mỗi công cụ có các

tính năng và ưu điểm riêng Dưới đây là một số sản phẩm phổ biếnđược sử dụng cho Vulnerability Assessment:

a. Nessus: Nessus là một trong những công cụ phổbiến nhất và mạnh mẽ trong lĩnh vựcVulnerability Assessment Nó cung cấp khả năngquét tự động và phát hiện các lỗ hổng bảo mậttrong các hệ thống, ứng dụng và mạng Nessus cómột cơ sở dữ liệu lỗ hổng lớn và được cập nhậtthường xuyên.

b. OpenVAS: OpenVAS (Open VulnerabilityAssessment System) là một công cụ mã nguồn mởđược phát triển dựa trên Nessus Nó cũng cungcấp khả năng quét tự động và phát hiện các lỗhổng bảo mật, nhưng là một giải pháp mã nguồnmở, miễn phí và có sự hỗ trợ từ cộng đồng.

c. Qualys: Qualys là một công ty cung cấp các giảipháp bảo mật mạng, trong đó bao gồm công cụVulnerability Assessment có tên QualysVulnerability Management Công cụ này cung cấpkhả năng quét và phát hiện các lỗ hổng bảo mậttrên mạng, ứng dụng và hệ điều hành.

d. Rapid7 Nexpose: Nexpose là một công cụVulnerability Assessment của Rapid7 Nó cungcấp khả năng quét lỗ hổng tự động và đánh giámức độ nghiêm trọng của chúng, đồng thời cungcấp báo cáo chi tiết để hỗ trợ người dùng xác định

và khắc phục các vấn đề bảo mật.

e. Acunetix: Acunetix là một công cụ VulnerabilityAssessment chuyên dụng trong lĩnh vực ứng dụngweb Nó tập trung vào việc phát hiện các lỗ hổngbảo mật phổ biến trong ứng dụng web như SQLInjection, Cross-Site Scripting (XSS) và CSRF(Cross-Site Request Forgery).

f. Tenable.io: Tenable.io là một giải phápVulnerability Assessment dựa trên điện toán đámmây, cung cấp khả năng quét lỗ hổng trên hệthống và mạng Nó cũng hỗ trợ giám sát liên tụcvà phát hiện các sự cố bảo mật mới.

g. OpenSCAP: OpenSCAP là một công cụ mãnguồn mở được sử dụng để kiểm tra và tuân thủcác tiêu chuẩn bảo mật như CIS (Center forInternet Security) benchmarks và STIG (SecurityTechnical Implementation Guide) của DoD.

Các công cụ này chỉ là một số trong số rất nhiều công cụVulnerability Assessment có sẵn Sự lựa chọn của công cụ cụ thểphụ thuộc vào nhu cầu và mục tiêu của tổ chức, tính năng cần thiếtvà ngân sách.

1.3 Mục tiêu và phạm vi

Mục tiêu và phạm vi ảnh hưởng của VulnerabilityAssessment (Đánh giá lỗ hổng) là nhằm tăng cường mức độ an

toàn và bảo mật của môi trường kỹ thuật số của một tổ chức hoặccá nhân Quá trình Vulnerability Assessment đề xuất xác định vàgiải quyết các lỗ hổng bảo mật có thể được sử dụng để tấn công hệthống và đánh cắp thông tin nhạy cảm Dưới đây là mục tiêu vàphạm vi ảnh hưởng của Vulnerability Assessment:

1.3.1 Mục tiêu:

a Phát hiện lỗ hổng bảo mật: Mục tiêu chính củaVulnerability Assessment là xác định các lỗ hổng bảomật trong môi trường kỹ thuật số Điều này bao gồmphát hiện các lỗ hổng trong phần mềm, cấu hình, hệthống và mạng mà kẻ tấn công có thể khai thác đểxâm nhập vào hệ thống.

b Đánh giá mức độ nghiêm trọng: VulnerabilityAssessment cũng nhằm xác định mức độ nghiêmtrọng của các lỗ hổng bảo mật đã phát hiện Việcđánh giá này giúp người quản trị và nhân viên kỹthuật ưu tiên các lỗ hổng quan trọng để giải quyết đầutiên, nhằm giảm thiểu nguy cơ bị tấn công.

c Tìm kiếm các giải pháp khắc phục: Mục tiêu cuốicùng của Vulnerability Assessment là đề xuất cácbiện pháp khắc phục và cải thiện để giảm thiểu nguycơ bị tấn công và cải thiện mức độ bảo mật tổng thểcủa hệ thống.

1.3.2 Phạm vi ảnh hưởng:

a Hệ thống: Vulnerability Assessment xác định cáclỗ hổng bảo mật trong hệ điều hành, phần mềm vàcác ứng dụng trên các máy chủ và máy trạm trongmạng.

b Mạng: Đánh giá phạm vi mạng để xác định cácđiểm yếu trong cấu hình mạng, các dịch vụ đang chạyvà các cổng mạng mở để hạn chế các điểm tiếp xúcvới bên ngoài không an toàn.

c Ứng dụng web: Vulnerability Assessment pháthiện các lỗ hổng bảo mật phổ biến trong các ứngdụng web như SQL Injection, Cross-Site Scripting(XSS) và các lỗ hổng XSS khác.

d Chính sách và tuân thủ: Đánh giá tuân thủ cácchính sách bảo mật, đảm bảo rằng các tiêu chuẩn bảomật được thực hiện và các quy tắc bảo mật đang đượctuân thủ.

e Nhân viên: Đánh giá nhận thức và hiểu biết về bảomật của nhân viên và cung cấp đào tạo để nâng caonhận thức và khả năng phản ứng đối với các mối đedọa bảo mật.

Quá trình Vulnerability Assessment giúp xác định các điểmyếu tiềm ẩn và cung cấp thông tin cần thiết để đưa ra các biện phápbảo mật hiệu quả và tăng cường mức độ an toàn của tổ chức hoặchệ thống kỹ thuật số.

2 Giới thiệu về SIEM

2.1 SIEM là gì ?

SIEM là viết tắt của cụm từ "Security Information and EventManagement," dịch ra tiếng Việt có thể hiểu là "Quản lý Thông tinvà Sự kiện Bảo mật." Nó là một hệ thống phần mềm được sử dụngđể tự động thu thập, giám sát, phân tích và báo cáo về các hoạtđộng bảo mật và sự kiện liên quan đến an ninh trong môi trường kỹthuật số của một tổ chức hoặc hệ thống.

Mục tiêu chính của SIEM là cung cấp một cái nhìn tổngquan và toàn diện về tình trạng an ninh thông qua việc tập hợp,sàng lọc, kiểm tra và phân tích các dữ liệu từ nhiều nguồn khácnhau trong hạ tầng mạng và hệ thống của tổ chức Các nguồn dữliệu này có thể bao gồm các log hệ thống, sự kiện mạng, hoạt độngcủa ứng dụng và các dữ liệu bảo mật khác.

Các tính năng và chức năng chính của SIEM bao gồm:a Thu thập dữ liệu: SIEM thu thập các dữ liệu từ nhiều

nguồn, bao gồm các log từ hệ thống, mạng, ứngdụng, thiết bị và cơ sở dữ liệu.

b. Kiểm tra và phân tích: Dữ liệu được kiểm tra và phântích để xác định các mô hình hoạt động bất thường,các sự kiện không bình thường, hay các hành vi gianlận tiềm tàng.

c. Báo cáo và cảnh báo: SIEM tạo ra các báo cáo chitiết và cảnh báo tức thì khi phát hiện các hoạt độngbất thường hoặc các mẫu tấn công có thể đe dọa antoàn mạng.

d Quản lý sự cố: SIEM hỗ trợ quản lý sự cố và phảnứng nhanh chóng đối với các vấn đề bảo mật để giảmthiểu thiệt hại.

e. Tuân thủ và giám sát: SIEM giúp tổ chức tuân thủcác tiêu chuẩn và quy tắc bảo mật bằng cách kiểm travà giám sát việc thực hiện các chính sách bảo mật.Sử dụng SIEM giúp cải thiện khả năng phát hiện và ứng phóvới các mối đe dọa bảo mật, giúp tăng cường mức độ an toàn vàbảo mật trong môi trường kỹ thuật số của tổ chức.

2.2 Sản phẩm được sử dụng cho SIEM

Có nhiều sản phẩm và giải pháp SIEM phổ biến được sửdụng để triển khai hệ thống quản lý thông tin và sự kiện bảo mật.Dưới đây là một số sản phẩm nổi tiếng trong lĩnh vực SIEM:

a. Splunk Enterprise: Splunk Enterprise là một nền tảngSIEM mạnh mẽ, hỗ trợ thu thập và phân tích dữ liệutừ nhiều nguồn khác nhau Nó cung cấp các tính năngtìm kiếm, xem xét và báo cáo để giám sát và phảnứng nhanh chóng đối với các hoạt động không bìnhthường.

b. IBM QRadar: IBM QRadar là một giải pháp SIEMmạnh mẽ và toàn diện, hỗ trợ phân tích lớp dữ liệu vàsự kiện từ hệ thống, ứng dụng và mạng Nó cung cấpcác tính năng tự động hóa và cảnh báo thời gian thực.

c. ArcSight (HPE Security ArcSight): ArcSight là mộtgiải pháp SIEM được phát triển bởi Hewlett PackardEnterprise (HPE), giúp tổ chức tập trung thu thập vàphân tích dữ liệu bảo mật từ nhiều nguồn.

d LogRhythm: LogRhythm là một nền tảng SIEM tíchhợp, cung cấp khả năng giám sát, phân tích và báocáo dữ liệu bảo mật từ hệ thống và mạng.

e. SolarWinds Security Event Manager (SEM): SEM làmột giải pháp SIEM dựa trên đám mây, cung cấp khảnăng giám sát và phân tích dữ liệu từ nhiều nguồnkhác nhau.

f. McAfee Enterprise Security Manager (ESM):McAfee ESM cung cấp khả năng giám sát, phân tíchvà phản ứng đối với các sự kiện bảo mật trong môitrường kỹ thuật số.

g Elastic SIEM: Elastic SIEM là một giải pháp SIEMmã nguồn mở, được tích hợp với Elasticsearch,Logstash và Kibana để cung cấp khả năng thu thập,lưu trữ, phân tích và hiển thị dữ liệu bảo mật.

h. Graylog: Graylog là một giải pháp SIEM mã nguồnmở, giúp thu thập, xử lý và phân tích dữ liệu log vàsự kiện từ nhiều nguồn.

Đây chỉ là một số ví dụ về các sản phẩm SIEM phổ biến.Mỗi sản phẩm có các đặc điểm và tính năng riêng, và lựa chọn của

công cụ cụ thể phụ thuộc vào yêu cầu và mục tiêu của tổ chức,ngân sách và sự phù hợp với hạ tầng mạng hiện tại.

2.3 Mục tiêu và phạm vi

Mục tiêu và phạm vi ảnh hưởng của SIEM (SecurityInformation and Event Management) là nhằm cung cấp khả nănggiám sát, phân tích và quản lý thông tin và sự kiện bảo mật trongmôi trường kỹ thuật số của một tổ chức SIEM giúp tổ chức nắmbắt toàn diện về tình trạng an ninh, phát hiện và đối phó nhanhchóng với các hoạt động bất thường, từ đó tăng cường mức độ antoàn và bảo mật thông tin Dưới đây là mục tiêu và phạm vi ảnhhưởng của SIEM:

2.3.1 Mục tiêu của SIEM

a. Phát hiện và ngăn chặn các mối đe dọa: Mục tiêu chính củaSIEM là phát hiện sớm các hoạt động bất thường, như tấncông mạng, xâm nhập vào hệ thống, phần mềm độc hại vàcác sự kiện không bình thường khác Bằng cách phát hiệncác mối đe dọa này một cách tức thì, SIEM giúp tổ chứcngăn chặn các cuộc tấn công và giảm thiểu thiệt hại.

b. Kiểm tra tuân thủ và chính sách bảo mật: SIEM hỗ trợ tổchức đảm bảo tuân thủ các tiêu chuẩn bảo mật và chính sáchan ninh thông qua việc giám sát và phân tích việc thực thicác quy tắc và hành vi bảo mật.

c. Phản ứng nhanh chóng đối với các sự kiện bảo mật: SIEMgiúp tổ chức phản ứng nhanh chóng và hiệu quả đối với cácsự kiện bảo mật, từ việc tạo cảnh báo tức thì đến triển khai

biện pháp hạn chế và giảm thiểu thiệt hại.

d. Tối ưu hóa sự phân tích dữ liệu: SIEM tổng hợp các dữ liệutừ nhiều nguồn khác nhau và phân tích chúng để cung cấpcái nhìn tổng quan về tình trạng an ninh của tổ chức, giúpngười quản lý và nhân viên kỹ thuật có cái nhìn tổng thể vàtoàn diện.

2.3.2 Phạm vi ảnh hưởng của SIEM

a Hệ thống: SIEM giám sát các sự kiện bảo mật từ hệ thốngmáy tính, máy chủ, trạm làm việc và các thiết bị kỹ thuật sốkhác.

b. Mạng: SIEM thu thập và phân tích các sự kiện mạng từ cácthiết bị mạng như tường lửa, bộ định tuyến và cổng mạng.c Ứng dụng: SIEM theo dõi các hoạt động của các ứng dụng,

bao gồm các ứng dụng web và ứng dụng di động, để pháthiện các mối đe dọa tiềm ẩn.

d. Dữ liệu và cơ sở dữ liệu: SIEM giám sát việc truy cập và xửlý dữ liệu trong cơ sở dữ liệu để ngăn chặn sự cố và lỗi bảomật.

e Nhân viên: SIEM cũng có thể giám sát hoạt động của nhânviên để phát hiện các hành vi không bình thường hoặc đángngờ.

Tóm lại, SIEM giúp tổ chức có cái nhìn tổng quan và toàn diệnvề tình trạng an ninh của môi trường kỹ thuật số Nó giúp phát hiệnsớm các mối đe dọa và hỗ trợ tổ chức phản ứng nhanh chóng đốivới các sự kiện bảo mật, từ đó nâng cao mức độ an toàn và bảo mậttrong hệ thống và dữ liệu.

CHƯƠNG II : VULNERABILITY ASSESSMENT

1. Cài đặt công cụ OpenVas ( Greenbone Security Assistant )1.1 Cài đặt bằng Source

1.1.1 Chuẩn bị phần cứng

Máy ảo Ubuntu 22.04Lõi CPU : 4

RAM : 4 GBDISK : 100 GB

1.1.2 Source

1.1.2.1Tạo người dùng và nhóm#

Các dịch vụ được cung cấp bởi Greenbone Community Edition nên chạynhư một người dùng chuyên dụng và nhóm Do đó, một người dùng và mộtnhóm có cùng tên sẽ được tạo.gvm

Tạo người dùng và nhóm hệ thống gvm

sudo useradd -r -M -U -G sudo -s /usr/sbin/nologin gvm

1.1.2.2 Điều chỉnh người dùng hiện tại

Để cho phép người dùng hiện tại chạy gvmd, anh ta phải được thêm vàonhóm gvm Để làm cho thay đổi nhóm có hiệu quả, hãy đăng xuất và đăng nhậplại hoặc sử dụng su.

Thêm người dùng hiện tại vào nhóm gvmsudo usermod -aG gvm $USER

su $USER

1.1.2.3 Chọn tiền tố cài đặt

Trước khi xây dựng ngăn xếp phần mềm, một thư mục (gốc) phải đượcchọn ở đâu Phần mềm được xây dựng cuối cùng sẽ được cài đặt Ví dụ, khi xâydựng các gói, Các nhà phát triển phân phối đặt đường dẫn này thành /usr

Theo mặc định, nó cũng được sử dụng trong hướng dẫn này Này thư mụcsẽ được lưu trữ trong một biến môi trường để có thể tham chiếu saunày./usr/localINSTALL_PREFIX

Đặt biến môi trường tiền tố cài đặtexport INSTALL_PREFIX=/usr/local

1.1.2.4 Đặt PATH

Trên các hệ thống Debian, các vị trí , và không nằm trong số những ngườidùng bình thường Để chạy gvmd nằm trong biến môi trường nên được điềuchỉnh./sbin/usr/sbin/usr/local/sbinPATH/usr/local/sbinPATH

Điều chỉnh PATH để chạy gvmd

export PATH=$PATH:$INSTALL_PREFIX/sbin

1.1.2.5 Tạo nguồn, xây dựng và cài đặt thư mục

Để tách các nguồn và các thành phần lạ xây dựng, một nguồn và một thưmục xây dựng phải được tạo ra.

Thư mục nguồn này sẽ được sử dụng sau trong hướng dẫn này thông quamột biến môi trường Theo đó, một biến sẽ được thiết lập cho thư mục xây dựng.Cả hai đều có thể được đặt thành bất kỳ thư mục mà người dùng hiện tại cóquyền ghi Do đó Các thư mục trong thư mục chính của người dùng hiện tại đượcchọn trong hướng dẫn này.SOURCE_DIRBUILD_DIR

Chọn thư mục nguồn

export SOURCE_DIR=$HOME/sourcemkdir -p $SOURCE_DIR

Chọn một thư mục xây dựngexport BUILD_DIR=$HOME/buildmkdir -p $BUILD_DIR

Ngoài ra, một thư mục cài đặt sẽ được đặt làm biến môi trường Nó đượcsử dụng như một thư mục cài đặt tạm thời trước khi di chuyển tất cả các hiện vậtđã xây dựng đến đích cuối cùng.INSTALL_DIR

Chọn thư mục cài đặt tạm thờiexport INSTALL_DIR=$HOME/installmkdir -p $INSTALL_DIR

Các hệ thống xây dựng mới hơn có thể gắn bó với các thẻ git.

Nếu bạn là một nhà phát triển và đã rất quen thuộc với việc xây dựng từnguồn, bạn Cũng có thể thử sử dụng các nhánh phát hành Git Chúng có Ưu điểmlà chúng chứa các bản sửa lỗi mới nhất có thể chưa được bao gồm trong Pháthành tarballs hoặc thẻ git Như một nhược điểm, các nhánh phát hành có thể chỉchứa các sự cố được khắc phục một phần và cần được cập nhật thường xuyênhơn.

Hướng dẫn này sẽ sử dụng tarballs để xây dựng phần mềm.

1.1.2.7 Cài đặt Common Build Dependencies

Để tải xuống, cấu hình, xây dựng và cài đặt Cộng đồng Greenbone Cácthành phần phiên bản, một số công cụ và ứng dụng được yêu cầu Để cài đặt cáinày Yêu cầu Các lệnh sau có thể được sử dụng:

Cài đặt các phụ thuộc xây dựng phổ biếnsudo apt update

sudo apt install no-install-recommends assume-yes \ build-essential \

curl \ cmake \ pkg-config \ python3 \ python3-pip \ gnupg

1.1.2.8 Nhập khóa ký Greenbone

Để xác thực tính toàn vẹn của các tệp nguồn đã tải xuống, GnuPG được sửdụng Nó yêu cầu tải xuống Cộng đồng Greenbone Ký khóa công khai và nhậpnó vào khóa của người dùng hiện tại keychain.

Nhập khóa ký cộng đồng Greenbone

curl -f -L https://www.greenbone.net/GBCommunitySigningKey.asc -o/tmp/GBCommunitySigningKey.asc

gpg import /tmp/GBCommunitySigningKey.asc

Để hiểu đầu ra xác thực của công cụ gpg, tốt nhất là đánh dấu Khóa kýcộng đồng Greenbone là hoàn toàn đáng tin cậy.

Đặt mức độ tin cậy cho khóa Ký cộng đồng Greenbone

echo "8AE4BE429B60A59B311C2E739823FAA60ED1E580:6:" | gpg ownertrust

Đặt phiên bản gvm-libs để sử dụngexport GVM_LIBS_VERSION=22.6.3

Các phụ thuộc bắt buộc cho gvm-libssudo apt install -y \

libglib2.0-dev \ libgpgme-dev \ libgnutls28-dev \ uuid-dev \

libssh-gcrypt-dev \ libhiredis-dev \ libxml2-dev \ libpcap-dev \ libnet1-dev \ libpaho-mqtt-dev

Phụ thuộc tùy chọn cho gvm-libssudo apt install -y \

libldap2-dev \ libradcli-dev

Tải xuống các nguồn gvm-libs

https://github.com/greenbone/gvm-libs/archive/refs/tags/v$GVM_LIBS_VERSION.tar.gz -o $SOURCE_DIR/gvm-libs-$GVM_LIBS_VERSION.tar.gz

https://github.com/greenbone/gvm-libs/releases/download/v$GVM_LIBS_VERSION/gvm-libs-v$GVM_LIBS_VERSION.tar.gz.asc -o $SOURCE_DIR/gvm-libs-$GVM_LIBS_VERSION.tar.gz.asc

Xác minh tệp nguồn

gpg verify $SOURCE_DIR/gvm-libs-$GVM_LIBS_VERSION.tar.gz.asc$SOURCE_DIR/gvm-libs-$GVM_LIBS_VERSION.tar.gz

Đầu ra của lệnh cuối cùng phải tương tự như:

gpg: Signature made Fri Apr 16 08:31:02 2021 UTC

gpg: using RSA key 9823FAA60ED1E580

gpg: Good signature from "Greenbone Community Feed integrity key" [ultimate]Nếu chữ ký hợp lệ, tarball có thể được trích xuất.

-DSYSCONFDIR=/etc \ -DLOCALSTATEDIR=/varmake -j$(nproc)

Đặt phiên bản gvmd để sử dụngexport GVMD_VERSION=22.6.0

Required dependencies for gvmdsudo apt install -y \

libglib2.0-dev \ libgnutls28-dev \ libpq-dev \

postgresql-server-dev-14 \ libical-dev \

xsltproc \ rsync \ libbsd-dev \ libgpgme-dev

Optional dependencies for gvmd

sudo apt install -y no-install-recommends \ texlive-latex-extra \

texlive-fonts-recommended \ xmlstarlet \

zip \ rpm \ fakeroot \ dpkg \ nsis \ gnupg \ gpgsm \ wget \ sshpass \

openssh-client \ socat \

snmp \ python3 \

smbclient \ python3-lxml \ gnutls-bin \ xml-twig-tools

Tải xuống các nguồn gvmd

https://github.com/greenbone/gvmd/archive/refs/tags/v$GVMD_VERSION.tar.gz -o $SOURCE_DIR/gvmd-$GVMD_VERSION.tar.gz

https://github.com/greenbone/gvmd/releases/download/v$GVMD_VERSION/gvmd-$GVMD_VERSION.tar.gz.asc -o $SOURCE_DIR/gvmd-$GVMD_VERSION.tar.gz.asc

Xác minh tệp nguồn

gpg verify $SOURCE_DIR/gvmd-$GVMD_VERSION.tar.gz.asc$SOURCE_DIR/gvmd-$GVMD_VERSION.tar.gz

Đầu ra của lệnh cuối cùng phải tương tự như:

gpg: Signature made Fri Apr 16 08:31:02 2021 UTCgpg: using RSA key 9823FAA60ED1E580

gpg: Good signature from "Greenbone Community Feed integrity key" [ultimate]Nếu chữ ký hợp lệ, tarball có thể được trích xuất.

tar -C $SOURCE_DIR -xvzf $SOURCE_DIR/gvmd-$GVMD_VERSION.tar.gzDebian/Ubuntu

Xây dựng gvmd

mkdir -p $BUILD_DIR/gvmd && cd $BUILD_DIR/gvmdcmake $SOURCE_DIR/gvmd-$GVMD_VERSION \ -DCMAKE_INSTALL_PREFIX=$INSTALL_PREFIX \ -DCMAKE_BUILD_TYPE=Release \

-DLOCALSTATEDIR=/var \ -DSYSCONFDIR=/etc \

-DGVM_DATA_DIR=/var \

-DGVMD_RUN_DIR=/run/gvmd \

-DOPENVAS_DEFAULT_SOCKET=/run/ospd/ospd-openvas.sock \ -DGVM_FEED_LOCK_PATH=/var/lib/gvm/feed-update.lock \ -DSYSTEMD_SERVICE_DIR=/lib/systemd/system \

-DLOGROTATE_DIR=/etc/logrotate.dmake -j$(nproc)

Debian/UbuntuCài đặt gvmd

Đặt phiên bản pg-gvm để sử dụngexport PG_GVM_VERSION=22.5.1

Tải xuống các nguồn pg-gvm

curl -f -Lhttps://github.com/greenbone/pg-gvm/archive/refs/tags/v$PG_GVM_VERSION.tar.gz -o $SOURCE_DIR/pg-gvm-$PG_GVM_VERSION.tar.gz

https://github.com/greenbone/pg-gvm/releases/download/v$PG_GVM_VERSION/pg-gvm-$PG_GVM_VERSION.tar.gz.asc -o $SOURCE_DIR/pg-gvm-$PG_GVM_VERSION.tar.gz.asc

Xác minh tệp nguồn

gpg verify $SOURCE_DIR/pg-gvm-$PG_GVM_VERSION.tar.gz.asc$SOURCE_DIR/pg-gvm-$PG_GVM_VERSION.tar.gz

Đầu ra của lệnh cuối cùng phải tương tự như:

gpg: Signature made Fri Apr 16 08:31:02 2021 UTCgpg: using RSA key 9823FAA60ED1E580

gpg: Good signature from "Greenbone Community Feed integrity key" [ultimate]Nếu chữ ký hợp lệ, tarball có thể được trích xuất.

make -j$(nproc)Cài đặt pg-gvm

mkdir -p $INSTALL_DIR/pg-gvm

make DESTDIR=$INSTALL_DIR/pg-gvm install

sudo cp -rv $INSTALL_DIR/pg-gvm/* /Trợ lý bảo mật Greenbone

Các nguồn trợ lý bảo mật Greenbone (GSA) bao gồm hai phần:Máy chủ web gsad

Ứng dụng web GSA

Ứng dụng web được viết bằng JavaScript và sử dụng react framework Nóyêu cầu nodejs để xây dựng ứng dụng và sợi (hoặc npm) để duy trì các phụ thuộcJavaScript Bởi vì việc lắp đặt sợi Và phiên bản Nodejs cụ thể yêu cầu thiết lậpgói bên ngoài kho lưu trữ và thời gian xây dựng dài, các tệp có thể phân phốiđược tạo sẵn có sẵn và được sử dụng trong tài liệu này.

Cài đặt phiên bản GSA để sử dụngexport GSA_VERSION=22.5.1

Tải xuống các nguồn gsa

dist-$GSA_VERSION.tar.gz -o $SOURCE_DIR/gsa-$GSA_VERSION.tar.gz

dist-$GSA_VERSION.tar.gz.asc -o $SOURCE_DIR/gsa-$GSA_VERSION.tar.gz.asc

https://github.com/greenbone/gsa/releases/download/v$GSA_VERSION/gsa-Xác minh các tệp nguồn

gpg verify $SOURCE_DIR/gsa-$GSA_VERSION.tar.gz.asc $SOURCE_DIR/gsa-$GSA_VERSION.tar.gz

Đầu ra của cả hai lệnh phải tương tự như:

gpg: Signature made Fri Apr 16 08:31:02 2021 UTCgpg: using RSA key 9823FAA60ED1E580

gpg: Good signature from "Greenbone Community Feed integrity key" [ultimate]Nếu chữ ký hợp lệ, hai tarball có thể được trích xuất.

Đặt phiên bản GSAd để sử dụngexport GSAD_VERSION=22.5.1Debian/Ubuntu

Các phụ thuộc bắt buộc cho gsadsudo apt install -y \

libmicrohttpd-dev \ libxml2-dev \ libglib2.0-dev \ libgnutls28-dev

Tải xuống các nguồn gsad

https://github.com/greenbone/gsad/archive/refs/tags/v$GSAD_VERSION.tar.gz o $SOURCE_DIR/gsad-$GSAD_VERSION.tar.gz

https://github.com/greenbone/gsad/releases/download/v$GSAD_VERSION/gsad-$GSAD_VERSION.tar.gz.asc -o $SOURCE_DIR/gsad-$GSAD_VERSION.tar.gz.asc

Xác minh các tệp nguồn

gpg verify $SOURCE_DIR/gsad-$GSAD_VERSION.tar.gz.asc$SOURCE_DIR/gsad-$GSAD_VERSION.tar.gz

Đầu ra của cả hai lệnh phải tương tự như:

gpg: Signature made Fri Apr 16 08:31:02 2021 UTCgpg: using RSA key 9823FAA60ED1E580

gpg: Good signature from "Greenbone Community Feed integrity key" [ultimate]Nếu chữ ký hợp lệ, hai tarball có thể được trích xuất.

tar -C $SOURCE_DIR -xvzf $SOURCE_DIR/gsad-$GSAD_VERSION.tar.gzXây dựng gsad

mkdir -p $BUILD_DIR/gsad && cd $BUILD_DIR/gsadcmake $SOURCE_DIR/gsad-$GSAD_VERSION \

-DCMAKE_INSTALL_PREFIX=$INSTALL_PREFIX \ -DCMAKE_BUILD_TYPE=Release \

-DSYSCONFDIR=/etc \ -DLOCALSTATEDIR=/var \ -DGVMD_RUN_DIR=/run/gvmd \ -DGSAD_RUN_DIR=/run/gsad \ -DLOGROTATE_DIR=/etc/logrotate.dmake -j$(nproc)

OpenVAS-SMB là một mô-đun trợ giúp cho Openvas-Scanner Nó baogồm các thư viện (openvas-wmiclient/openvas-wincmd) để giao tiếp vớiMicrosoft Windows Systems thông qua API phương tiện quản lý Windows vàmột nhị phân winexe để thực hiện các quy trình từ xa trên hệ thống đó.

Nó là một phụ thuộc tùy chọn của openvas-scanner nhưng được yêu cầu để quétHệ thống dựa trên Windows.

Cảnh báo

openvas-smb hiện không hoạt động trên CentOS! Nó không phải là mộtyêu cầu khó.

Đặt phiên bản openvas-smb để sử dụngexport OPENVAS_SMB_VERSION=22.5.3Debian/Ubuntu

Các phụ thuộc bắt buộc cho openvas-smbsudo apt install -y \

gcc-mingw-w64 \ libgnutls28-dev \ libglib2.0-dev \ libpopt-dev \ libunistring-dev \ heimdal-dev \ perl-base

Tải xuống các nguồn openvas-smb