Khóa luận tốt nghiệp An toàn thông tin: Triển khai giải pháp SIEM-SOAR cho việc phân tích và phản hồi sự cố an toàn thông tin

Sau đó, kết hợp giải pháp bảo mật này với một giải pháp khác mà nó cung cấp khả năng tự động hóa quy trình phân tích, xử lý các sự kiện hay sự cố nhằm hỗ trợ người dùng giải quyết một lư

ĐẠI HỌC QUOC GIA TP HO CHÍ MINH

TRUONG DAI HOC CONG NGHE THONG TINKHOA MANG MAY TINH VA TRUYEN THONG

PHAM QUANG HUY - 19521633 DANG NGOC CHIEN - 19520424

KHOA LUAN TOT NGHIEP

TRIEN KHAI GIAI PHAP SIEM-SOAR CHO VIEC PHAN

TÍCH VA PHAN HOI SỰ CO AN TOAN THONG TIN

IMPLEMENT SIEM-SOAR SOLUTION FOR SECURITY

INCIDENTS ANALYSIS AND RESPONSE

KY SU NGANH AN TOAN THONG TIN

GIANG VIEN HUONG DAN

ThS Tran Thi Dung

TP HO CHi MINH, 2023

LỜI CẢM ƠN

Nhóm nghiên cứu Khóa Luận Tốt Nghiệp thuộc lớp ATCL2019 chúng em xin chân thành

cảm ơn cô Th.S Trần Thị Dung đồng thời là phó Khoa Mạng máy tính và Truyền thông vì

đã hỗ trợ nhóm em giải quyết một số van dé liên quan đến hướng nghiên cứu cũng như

truyền đạt các kinh nghiệm có ích trong quá trình phát triển Khóa Luận Tốt Nghiệp của ngành An toàn Thông tin Đồng thời, chúng em cũng xin dành sự biết ơn sâu sắc đến InSecLab (Phòng Thí Nghiệm An Toàn Thông Tin) vì đã hỗ trợ nhóm em hoàn thiện sản phẩm của mình.

MỤC LỤC

Chương 1 GIỚI THIỆU ĐỀ TÀI 2stttt2tttrtrirtererrrrerrre Chương 2 CƠ SỞ LÝ THUYẾT e2+ 22tr

2.1 SIEM — Security Information and Event Management

-2.1.1 Tổng quan về SIEM va các công nghệ phổ biến

2.1.2 SIEM-Wazuh

2.1.3 Các chức năng của Wazuh trong thực tIÊNn -cccc.v.seee

2.2 SOAR - Security Orchestration Automation and Response.

2.2.1 Téng quan về SOAR và các công nghệ phổ biến

2.2.2 SIRP - TheHive.

2.2.3 TIP e ố/7 6651.111

Chương 3 PHƯƠNG PHAP TRIEN KHAI CUA HỆ THỐNG

3.1 Phương pháp giám sát thiết bị

3.2 Phương pháp phân tích sự kiện bảo mật -:-:::++e+eee+eeee

3.2.1 Phân tích sự kiện bảo mật tại SIEM cccsvcceccccveeeeerry

3.2.1.1 Phương pháp thiết lập Rule (quy tắc) trong Wazuh-Server 3.2.1.2 Minh họa việc thiết lập Rule (quy tắc) trong Wazuh-Server

3.2.1.3 Các van đề liên quan đến thiết lập Rule (quy tắc) trong Server và hướng giảm thiểu dé xuất -.-.esteeereereereereerre

Wazuh-3.2.2 Phân tích sự kiện bao mật tại SIRP (TheHive)

3.2.3 Phương pháp tích hợp SIEM (Wazuh-Server) và SIRP (TheHive)

3.3 Phương pháp phản hồi và tự động hóa các tác

vụ - . 17

18

we 20 20 21 23

24

25

26 27

3.3.1 Phương pháp phản hồi thông tin -s2cscxesrrrre 3.3.2 Phương pháp phản hồi bằng cách gọi API REST Wazuh-Server

3.3.3 Phương pháp tự động hóa tác tác vụ -.-.-.-.-.ceeeekeeerer

3.4 Phương pháp tích hợp mô hình SIEM-SOAR <

Chương 4 TRIEN KHAI GIẢI PHÁP .s2t z+227:22 -272 2:.rr

4.1 Mô hình triển khai sscereeteriereetrerrtrrrrrrrrrirrrrrrrrrrre 4.2 Quy trình triển khai -ssseettetttrrtrerrerrerrrrertrertrrrerrrrre 4.2.1 Triển khai máy SIEM ecceeeeeererereerrrrreree 4.2.1.1 Triển khai Wazuh-Server, Wazuh-Indexer, Wazuh-Dashboard

in 2.1.2 Triển khai Wazuh-A gent trên UDUNU ssssssetesenetenenetetenee

4.2.2 Triển khai máy SOAR oedsssssssssessssssesssesstsastusstsessaseussssnessteusesssssntsees in

4.2.2.2 Triển khai TIP (Cortex) sesustsssssseeusmestiatienatatitusiesintstisnatassse

4.2.3.1 Tích hop SIRP (TheHive) va TIP (Cortex)

4.2.3.2 Tích hop SIRP (TheHive) va SIEM (Wazuh-Server)

4.3 Thực nghiệm sự vận hành SIEM-SOAR với các ngữ cảnh thực tế.

4.3.1 _ Phát hiện đăng nhập SSH vào máy WebServer Public

4.3.2 Phát hiện tấn công vét cạn SSH vào WebServer Public

(20.187.120.77)

4.3.3 Phát hiện đăng nhập SSH vào Router từ Kali Linux nội bộ

27 28 28 29 31

4.3.4 Phát hiện tấn công vét cạn Remote Desktop vào Windows từ Kali

Linux 60

4.3.5 Theo dõi tính toàn vẹn của tập tin trên Windows Ó 5

4.3.6 Phát hiện, chặn IP của tấn công khai thác lỗ hồng ShellShock trên

máy WebServer nội bộ (192 [Ó8 Í Ï.5) csevxvserseteeriiiiiiirrririii Z2)

4.3.7 Phát hiện va chặn IP của tan công SQL Injection vào máy

WebServer Public (20 [96.2 16.99) eeeeeeeeerrrrrrirrrrrrrrrrrrrrrroro OL

4.3.8 Phát hiện và xóa mã độc khỏi máy WebServer Public

(20.196.216.99) bằng cách tích hợp Virus Total - - OO 4.3.9 Vận dụng NIDS Snort dé phát hiện mối đe doa trong nội bộ 95

4.3.10 Tu động phân tích IP nguy hiểm từ bên ngoài vào máy WebServer

Public (20.196.216.99) và phản hồi thông tin về kết qua phân tích cho người

dùng trong t6 chức e-eetereeeetereeerrsretrrererrrrrrrrrrrrereeoeeee DT

Chương 5 Đánh giá chung và hướng phát triển LOZ

TÀI LIỆU THAM KHẢO 105

1 González-Granadillo, G., González-Zarzosa, S., & Diaz, R (2021) Security

information and event management (SIEM): analysis, trends, and usage in critical

infrastructures Sensors, 21(14), 4759 -eerrrrrruee LOD

2 de Oliveira, U R., Marins, F A S., Rocha, H M., & Salomon, V A P.

(2017) The ISO 31000 standard in supply chain risk management Journal of

Cleaner Production, 151, 616-633 csssssscsssesssescsssessseecsssessseecsseessseecsneeess 105

3 Oujezsky, V., Horvath, T., & Holik, M (2022) Security Incident Response

Automation for xPON Networks Journal of Communications Software and

Systems, 18(2), 144-152 eo LOD

4 Shahjee, D., & Ware, N (2022) Integrated network and security operation center: A systematic analysis IEEE Access, 10, 27881-27898 LOS

5 _ Ishiaku, A (2022) Using Wazuh and TheHive for threat protection and

incident response Wazuh threat-protection-and-1ncidenf-T€SDOTIS/, «sex 105

https://wazuh.com/blog/using-wazuh-and-thehive-for-6 Wazuh (n.d.) Getting Started - Components

https://documentation.wazuh.com/current/user-manual/capabilities/vulnerability-10 Gartner, Inc (n.d.) Reviews for Security Orchestration, Automation and

Response Solutions Reviews 2023 | Gartner Peer Insights Gartner

13 Bassey, C (2022) Detecting known bad actors with Wazuh and

AbuseIPDB Wazuh

https://wazuh.com/blog/detecting-known-bad-actors-with-wazuh-and-abuseipd/ «0 escesssesscesscessceesiessissiessiessiessiessiisssiessiessaiessiessaiessnessaessanenaaes 106

14 Apache Cassandra | Apache Cassandra Documentation (n.d.) Apache

Cassandra https://cassandra.apache.org/_ /download.html 106

15 StrangeBee - Docs (n.d.) TheHive 5 Documentation StrangeBee Docs.

https://docs.strangebee.com/thehive/setup/installation/step-by-step-guide/ 106

16 Wazuh (n.d.) Detecting and removing malware using VirusTotal

integration

https://documentation.wazuh.com/cutrent/proof-of-concept-guide/detect-remove-malware-virustofal.lfiml c-‹«eeccecrerkerrrrerrrree 106

17 Wazuh (2020, June 9) wazuh-ruleset/rules/0095-sshd_rules.xml at master

- wazuh/wazuh-ruleset GitHub

https://github.com/wazuh/wazuh-ruleset/blob/master/rules/0095-sshd_ ruÌes.Ximl s-s-s sec <sxsesseszsessrszses 106

18 Wazuh (2020, October 22) wazuh-ruleset/rules/0015-ossec_rules.xml at

master - wazuh/wazuh-ruleset GitHub

https://github.com/wazuh/wazuh-ruleset/blob/master/rules/0015-ossec_ ruÏe€S.XImÌ «-c-s<-ecscsxeecsxsxessrseses 106

19 Wazuh (2020, December 10) wazuh-ruleset/rules/0245-web_rules.xml atmaster - wazuh/wazuh-ruleset GitHub https://github.com/wazuh/wazuh-

ruleset/blob/master/rules/0245-Web_rules XM , «-‹c-s<secscsxeecsssxessrseses 107

20 Wazuh (2020, May 19) wazuh-ruleset/rules/0580-win-security_rules.xml

at master - wazuh/wazuh-ruleset GitHub

23 N8n-Io (n.d.) GitHub - n8n-io/n8n: Free and source-available fair-code

licensed workflow automation tool Easily automate tasks across different

services GitHub https://g1thub.com/n§n-1o/nổn.B1{ -. -«-c<ccessceereeeree 107

24 TheHive-Project (2022, July 7) CortexDocs/installation/install-guide.md

at master - TheHive-Project/CortexDocs GitHub

https://github.com/TheHive-ProJect/CortexDocs/blob/master/installation/install-guide.md 107

25 Cichonskl, P., Millar, T., Grance, T., & Scarfone, K (2012) Computer

security incident handling guide NIST Special Publication, 800(61), 1-147 107

26 Sornalakshmi, K (2017, June) Detection of DoS attack and zero day threatwith SIEM In 2017 International Conference on Intelligent Computing and

Control Systems (ICICCS) (pp 1-7) TEEE .cessesssessesseessesssesseesesssesteessesneeseeseenes 107

9 Tệp UpdateDB.jSOI « sét HH h1 111 trkrrrke 224

DANH MỤC HÌNH VẼ

Hình 2.1: Các thành phần của Wazuh -.-:+ccecccertirreeevvrrrrtrrrrverrrrrrrrrrrrrrrrrre 6

Hình 2.2: Cảnh báo được tạo ra trên The lHHive sccsccscesxesreserserserserserserree 13

Hình 2.3: Các đối tượng liên quan đến sự cô trong mục Observables của cảnh báo

trong THhelHHIVe s.szhLHHHHH.HHHHYHHY HH HẾ Hà HH THẾ HH HH HH HH1 01100110 13

Hình 3.4: Mô hình tổng quan của giải pháp -+:ceccccerrrreecverrrrrreererrrrrre 19 Hình 3.5: Wazuh-Agent truyền nhật ký sự kiện cho Wazuh-Server 19

Hình 3.6: Quy trình vận hành của SIEM -c-s<cerxerrrrrrrrkrtrrrrrrrerrrrrerrrke 21

Hình 3.7: Wazuh-Server xử lý và truyền cảnh báo cho TheHive 26 Hình 3.8: Phương pháp phản hỒi cccciieeecSvertrrreevvvErtrrrrrvrvrrrrrrrrrrrrrrre 27

Hình 3.9: N8N kết nối toàn bộ hệ thống - ceei+eecvttrreeertrreeerrrrrarerrrree 29

Hình 3.10: Node N8N kết nối với TheHive - -.-ceerieriererrrrirre 30 Hình 4.11: Mô hình trién khai thực TIgh1ỆH 5c5c<SvssrexxeEEteerertetrtrerrrrrrsrree 32

Hình 4.12: Giao diện chính của Wazuh «-c-c+sxccsecsxtersersreerrrrrrerrrrsrssrrrrsrree 34

Hình 4.13: Giao diện cài đặt Wazuh- A ø€nI c-cccsekieekrireiiriiiiiiriree 35Hình 4.14: Giao diện quản lý Wazuh-A gent trên WIindOWS cceeeerseeree 36

Hình 4.15: Giao diện đăng nhập của TheHlIve -cec-ccsecsrxrerrxererrsrrrrerrree 39

Hình 4.16: Trang hién thị của ElasticSearch -.-cse.eccesreeeerrreeerrrrerrre 41

Hình 4.17: Giao diện chính của N8ÌN -cccceccccerierietrririeritirrrrrrrrrkrrrrrree 44

Hình 4.18: Giao điện ban đầu của COrteX -:i-cccccevvvvEEErrtttrieeeevvrtrrrrrrrrrrreeeeee 45

Hình 4.19: Thiết lập trong tệp cấu hình TheHive tích hợp Cortex 45

Hình 4.20: Thông tin About của TheHive khi tích hợp Cortex thành công 46

Hình 4.21: Thiết lập kết nối TheHive với N8N eccrceccerrrrecerrrree 46 Hình 4.22: Thiết lập kết nối Cortex với N8N -ecceciccecerrreeeerrrrererrrree 47

Hình 4.23: Mô hình tự động hóa quy trình hoạt động của TheHive va Cortex 47

Hình 4.24: Tao Organisation và thêm các thành viÊn -s «+cscxeseresxeee 48

Hình 4.25: Đăng nhập SSH với username hợp lệ nhưng sai mật khẩu 51 Hình 4.26: Cảnh báo đăng nhập SSH đúng username nhưng sai mật khâu 51

Hình 4.27: Một số chỉ tiết trong cảnh báo - ++cccssrreeecvrrrervvrrrrererrrree 51

Hình 4.28: Đăng nhập SSH thành công vào máy Wazuh Sever Public 52

Hình 4.29: Cảnh báo về lần đăng nhập SSH thành COng ccsssssssssesssseseessssseseeesssssseeeeee 53 Hình 4.30: Một số chỉ tiết của cảnh báo đăng nhập SSH thành công vào máy

MS sao: 53

Hình 4.31: Máy Kali Linux thực hiện tấn công s -css.cceerrccerree 54 Hình 4.32: Cảnh báo khi có tấn công vét cạn với một user không hợp lệ 55 Hình 4.33: Một số chỉ tiết trong cảnh báo -eccceiiiceeevverrrrreevvrrrrrrrrrerrrrrre 55

Hình 4.34: Observable cho biết IP có liên quan đến tan công vét can SSH 55

Hình 4.35: Thực hiện dang nhập thành công SSH vào Router - 56

Hình 4.36: Cảnh báo về lần đăng nhập SSH thành công -:::- 57 Hình 4.37: Một số chỉ tiết trong cảnh báo -cccsi+ceeccccrrrrrecevvvrrrrrerrrrrrrrre 57

Hình 4.38: Dùng một username không hợp lệ đăng nhập SSH vào Ubuntu Public.58

Hình 4.39: Cảnh báo tương ứng của sự kiện xuất hiện -iccecceeeeeeeeeveevvvvrveevre 58 Hình 4.40: Một số chi tiết trong cảnh báo -ss+eessrrecerrreeerrrrerrrrrrrrre 58 Hình 4.41: Thực hiện đăng nhập SSH sai mật khẩu của user hợp lệ 59 Hình 4.42: Cảnh báo của sự kiện xuất hiện -ccccccccevevvvvvvvvvvvvvvvvrrrrvrrrrrrrrre 59 Hình 4.43: Một số chỉ tiết trong cảnh báo -csi++eeccvvrrtrrreczvvvrrrrrcrrrrrrrrre 60 Hình 4.44: Máy Windows là mục tiêu bị tấn công vét cạn RDP 61 Hình 4.45: Thực hiện tấn công RDP trên Kali Linux -«sc<ccesscee 62

Hình 4.46: Một loạt các cảnh báo về tan công vét cạn RDP xuắt hiện 62 Hình 4.47: Cảnh báo về tan công vét cạn RDP -22++cestrceetrrcrrrrre 63

Hình 4.48: Một số chi tiết của tan công vét cạn RDPP c-crs-xesexeerrrxree 63 Hình 4.49: Tạo một tệp với tên bat kì trong tập tin được cau hình giám sát 66

Hình 4.50: Cảnh báo khi một tệp tin GUQC {ạẠO ra scccccccekeereerretrerrerrkee 66

Hình 4.51: Một số chỉ tiết trong cảnh báo cs2++cecesrrrecerrrrerevrrrrererrrree 67

Hình 4.52: Cảnh báo khi một tệp tin bị XÓa I -c scsereerkrieriseirrirrree 68

Hình 4.53: Một số chỉ tiết trong cảnh báo -s2+ecsstrecetrrervrrrrrrrrrrerrre 69 Hình 4.54: Thêm nội dung bat kỳ vào tỆp -cccce:+:eecevcerrrrceevvrrrrrrerrerrrrrre 70

Hình 4.55: Cảnh báo xuất hiện -cccc22©SEE++2222211512122221211 414111211212 xe 71

Hình 4.56: Thông tin cảnh báo s<-+cxehh HH HH HH HH này 71

Hình 4.57: Môt số chỉ tiết trong cảnh báo eccceiireeeevverrrreeevvrrrrrrrrrerrrrrre 72 Hình 4.58: Thông tin về nội dung thay đổi -52-+ces+eeesrrceetrrrrerrre 72 Hình 4.59: Các cảnh báo của Active Response được cấu hình theo từng loại chương trình phản hồi Wazuh cung cấp -.-ess++ecsttrevvttrrvtrrerrrrrrrvrrrrrrrrrrrrrre 73

Hình 4.60: Kiểm thử kết nối đến máy nạn nhân bang ping ICMP 75

Hình 4.61: NIDS Snort được chạy trên ROUf€r -c-cccxcecxeerreereerrrereerree 75 Hình 4.62: Câu lệnh dùng thực hiện tấn l0 75

Hình 4.63: Snort lập tức nhận ngay cảnh báo và thay được IP kẻ tân công 76

Hình 4.64: Các cánh báo khác của toàn sự KIỆn ‹c-sccsccsceccseesrerseesrsersrsee 76 Hình 4.65: Log của Agent khi gặp tấn công khai thác lỗ hồng Shellshock 76

Hình 4.66: Một số chỉ tiết trong cảnh báo drop IP 192.168.1 1 77

Hình 4.67: Một số chỉ tiết trong cảnh báo drop IP 192.168 I 1.5 - 77

Hình 4.68: Khi có cảnh báo gỡ drop IP thì máy Kali ping ICMP được 78

Hình 4.69: Một số chỉ tiết trong cảnh báo ngưng drop IP -s 78 Hình 4.70: Một số chỉ tiết trong cảnh báo drop IP 192.168 I 1.5 - 79

Hình 4.71: Kiểm chứng cụ thé log trên máy WebServer nội bộ - 79

Hình 4.72: Một số chỉ tiết trong các cảnh báo khi mục tiêu là máy Public 80

Hình 4.73: Kali Linux ping ICMP đến mục tiêu thành công - 82

Hình 4.74: Cảnh báo về SQL Injection xuất hiện kèm theo cảnh báo drop IP 82

Hình 4.75: Kali Linux ping ICMP that bại -c22-eccssrreeerrrrrtrrrrerrre 83 Hình 4.76: Một số chỉ tiết trong cảnh báo tan công SQLi với payload 83

Hình 4.77: Một số chỉ tiết trong cảnh báo drop IP 113.161.67.85 84

Hình 4.78: Một số chỉ tiết trong cảnh báo drop IP 113.161.67.85 84

Hình 4.79: Cảnh báo ngưng drop IP xuất hiện +-cccsireeccerrrrecerrrree 85 Hình 4.80: Kali Linux ping ICMP máy mục tiêu thành công -«¿ 85

Hình 4.81: Một số chỉ tiết trong cảnh báo ngưng drop IP 113.161.67.85 86

Hình 4.82: Một số chỉ tiết trong cảnh báo ngưng drop IP 113.161.67.85 86

Hình 4.83:

Hình 4.84:

Hình 4.85:

Hình 4.86:

Hình 4.87:

Hình 4.88:

Hình 4.89:

Hình 4.90:

Hình 4.91:

Hình 4.92:

Hình 4.93:

Hình 4.94:

Hình 4.95:

Hình 4.96:

Hình 4.97:

Hình 4.98:

Hình 4.99:

Kiểm chứng cụ thé log trên máy WebServer Public 87

Cấu hình cho Agent thực thi việc xóa mã độc trên Wazuh Server 89

Tải tệp eicar.cor về WebSerVer -icecccccrrriereeerrrrrirrrrrrrrrrrsrrere 90 Các cảnh báo liên quan đến quá trình xử lý mã độc 90

Cảnh báo xuất hiện khi tệp mã độc được tải về -. - 91

Cảnh báo nghi ngờ mã độc từ phân tích của VirusTotal 91

Cảnh báo của VirusTotal trong cảnh báo có đính kèm - 92

Cảnh báo về tệp độc hại bị xóa ::ccecccciiireeeverrrirerserrrrrrrirererre 93 Cảnh báo xóa mã độc thành công khỏi Àøe -« ‹<-: 94 Không còn tệp eicar.com nữa trong thiết bị -.css.ccs+ 94 Cảnh báo từ NIDS SnOYE -5 5ssccreerrrxerrrrrrrrrkrrrrrerrrrirrrrrerrrrierrrrree 96 Một số thông tin chỉ tiết của NIDS Snort đã thu thập - 96

Khái quát ngữ cảnh phản hồi thông tin phân tích mối đe dọa 98

Một số chỉ tiết trong cảnh báo được trích xuất ra cụ th -.- 99 Mail cảnh báo được gửi đến người dùng - cccccecireecee 100

Một số thông tin của tập dữ liệu ccesceeeceerrreeverrrrrrsrre 100

Trang phân tích của AbuseIPIB, -‹ -seeseseeksrtkrrrrsrrkrrree 101

Hình 4.100: Các hành vi xấu trước đó của mối de doa c.ccccccccccccrerzee 101

DANH MỤC BANG

Bảng 1.1: Các công nghệ SIEÌMM -s cc tt re 5Bang 1.2: Các công nghệ SOAIR -cc-csccrrrrrrrirtrrriirrrriiirrrriiiiiirrrriirriree 12

Bang 2.3: Các vai trò của người dùng “TheHIve -5s<cseeretererkerrrierrrke 15

Bảng 2.4: Các Analyzer phố biến của Cortex -csseccesreeeerrreeerrrrerrre 16

Bang 2.5: Các Responder có thé được cấu hình cho Cortex - -s 17 Bảng 3.6: Các tag phố biến cho việc thiết lập quy tắc s sss e 22

Bảng 4.7: Thông tin các thiết bi dùng trong triển khai -: cccceerrree 31

DANH MỤC TỪ VIET TAT

SOC: Security Operation Center

XDR: Extended Detection and Response

HIDS: Host-based Intrusion Detection System

NIDS: Network-based Intrusion Detection System

IOC: Indicators Of Compromise

SIEM: Security Information and Event Management

SIM: Security Information Management

SEM: Security Event Management

SOAR: Security Orchestration Automation and Response

PCI DSS: Payment Card Industry Data Security Standard

HIPAA: Health Insurance Portability and Accountability Act NIST-800-53: National Institute of Standards and Technology GDPR: General Data Protection Regulation

GPG13: Good Practice Guide 13

TSC SOC: Trust Service Criteria SOC

CVE: Common Vulnerability and Exposures

NVD: National Vulnerability Databases

CTI: Cyber Threat Intelligence

MISP: Malware Information Sharing Platform

TIP: Threat Intelligence Platform

SIRP: Security Incident Response Platform

TÓM TẮT KHÓA LUẬN

Khóa luận này của nhóm sinh viên tập trung tìm hiểu và nghiên cứu cách thức mà các

sự kiện hay sự cố An toàn Thông tin được phát hiện, phân tích một cách rõ ràng Sau

đó, kết hợp giải pháp bảo mật này với một giải pháp khác mà nó cung cấp khả năng

tự động hóa quy trình phân tích, xử lý các sự kiện hay sự cố nhằm hỗ trợ người dùng giải quyết một lượng lớn các tác vụ diễn ra hay thậm chí tự động thực hiện các cơ chế phản hồi Khi ứng dụng trong thực tế, giải pháp này giúp cho tất cả các giám sát viên

hay các chuyên gia bảo mật có thẩm quyền đều nhận được những cập nhật mới nhất khi có các cảnh báo về các tấn công nguy hiểm và giảm đáng ké khối lượng công việc

của họ trong việc phản hồi thủ công các sự có.

Mô hình thực nghiệm giải pháp bảo mật của sinh viên là dựa theo hệ thống mạng của một doanh nghiệp Vận dụng các nghiên cứu, giải pháp mà nhóm sinh viên triển khai, các thực nghiệm được thực hiện nhăm kiểm tra khả năng hoạt động cũng như các tính năng bảo mật trong quá trình vận hành giải pháp Cuối cùng, kết quả mà nhóm nghiên

cứu đề tài nhận được là các cảnh báo được tạo ra cùng với khả năng phân tích và phản

ứng của hệ thông với các môi đe dọa bảo mật

Chương 1 GIỚI THIỆU ĐÈ TÀI

Lí do chọn đề tài: Cùng với sự phát triển không ngừng của Công nghệ Thông tin trong kỷ nguyên số hiện nay, các mối đe doa luôn là một trong những thách thức lớn với bất kỳ tô chức, doanh nghiệp lớn nhỏ trong và ngoài nước như ngân hàng, bệnh

viện, trường học, quân đội Hạ tầng mạng của một tô chức cần phải có sự quản lý, giám sát và phản hồi dựa trên các sự kiện bảo mật từ nhật ký của các thiết bị nhằm

đề ra những phương án xử lý nhanh nhất có thé Tuy nhiên, van dé là những cảnh báo cũng chính là sự kiện lưu trong nhật ký của các thiết bị lại không cùng một định dạng

do sự khác nhau về hệ điều hành, giao thức, ứng dụng, Ngoai ra, việc xử lý và phan hồi thủ công những sự cé từ những cảnh báo lại xuất hiện những hạn chế khi phải đối

diện với các tan công quy mô lớn, liên tục và gây ra rất nhiều khó khăn cho các nhà

phân tích và xử lý sự có.

Mục tiêu dé tài: Triển khai một bộ giải pháp hỗ trợ cho các chuyên viên an ninh, các chuyên gia xử lý sự cô An toàn Thông tin trong việc giám sát, phân tích sự kiện và phản hồi tự động các sự cố bảo mật.

Phạm vi đề tài: Đề tài này được thực hiện trong môi trường mô phỏng doanh nghiệp

cơ bản bao gồm máy chủ quản lý nhật ký và máy chủ điều phối, tự động hóa phản

ứng sự cố, máy khách Windows, máy chủ Web và Router có IDS hỗ trợ.

Đối tượng đề tài: Đề tài này hướng đến việc tập trung nghiên cứu và triển khai những đối tượng sau:

1) Hệ thống SIEM (Security Information and Event Management): Wazuh

2) Hệ thống SOAR (Security Orchestration Automation and Response): SIRP

(TheHive), TIP (Cortex), N8N

Phương pháp thực hiện đề tài:

1) Triển khai hệ thống mang cơ bản của đề tài gồm: Hai máy VM thuộc nên tảng

đám mây là may SIEM va SOAR, 1 máy Router có cài đặt NIDS Snort, 1 máy

Windows 10, 1 máy WebServer Local và 1 máy WebServer Public

2) Nghiên cứu và triển khai kết hop Wazuh, Cortex, TheHive va N8N dé tao ra

một hệ thống SIEM-SOAR có khả năng phân tích tự động và phản hồi các sự cố An

toàn thông tin

3) Nghiên cứu và triển khai các Agent trên các máy chủ và các máy khách trong

hệ thống của đề tài đề thu thập các log được tạo ra từ chúng khi có các bất

thường hay những mối đe dọa xuất hiện.

4) Nghiên cứu và triển khai các kịch bản thử nghiệm.

5) Đánh giá về mô hình giải pháp đã triển khai và định hướng phát triển chung.

Chương 2 CƠ SỞ LÝ THUYET

2.1 SIEM - Security Information and Event Management

2.1.1 Tổng quan về SIEM và các công nghệ phé biến

SIEM có tên đầy đủ là Security Information and Event Management Là một

giải pháp bảo mật kết hợp giữa SIM (Security Information Management) và SEM (Security Event Management) SIEM cung cấp khả năng thu thập, tổng

hợp, lưu trữ và tương quan các sự kiện được tạo ra trong hệ thống theo thời gian thực SIEM có thể lấy sự kiện từ các nguồn như Hệ thống tìm kiếm, phát

hiện xâm nhập, tường lửa, anti-virus, các thiệt bị diém cuôi và đưa vê máy chủ

trung tâm đề giúp cho việc theo dõi và phát hiện các sự kiện, hành vi hay các

sự cô mang tính tập trung.

Hiện nay có nhiều công nghệ SIEM phô biến Bảng sau đây sẽ cung cấp một góc nhìn khách quan về các công nghệ này [1]:

Hỗ trợ giao diện người dùng dé giám sát các sự kiện trong

thời gian thực, xem các báo cáo vi phạm, thông tin tài sản,

Nhược điểm: Các cảnh báo và báo cáo từ QRadar chỉ ở cấp

cơ bản và phải phụ thuộc nhiều vào công nghệ bên thứ ba dé

có thé phát hiện, phản hồi các mối đe doa hay giám sát tính

toàn vẹn các tệp tin quan trọng

McAfee

Ưu diém: Cung cap khả năng mở rộng cao, pháp chứng trong

thời gian thực, giám sát lưu lượng hay nội dung của cơ sở dt

liệu và ứng dụng toàn diện Phát hiện và phản hồi tự động

các sự cô theo mức độ rủi ro băng các quy tac Risk-basedCorrelation.

Nhược điểm: Để có khả năng phản hồi thì cần có giải pháp

McAfee Active Response tích hợp vào Khả năng phân tíchhành vi còn nhiêu hạn chê

Wazuh

Ưu điểm: Là một trong những ứng dụng mã nguồn mở mà cung cấp giao diện người dùng cụ thể, khả năng trực quan hóa tốt Có thể triển khai đa nền tảng, tích hợp tốt với nhiều

giải pháp như TheHive, VirusTotal,

Nhược điểm: Yêu cầu tài nguyên khá lớn, nhất là máy chủ

chính của Wazuh Nhiều module phức tạp đối với người dùng mới, đặc biệt là câu hình quy tắc (Rule) và các khả năng phản

hôi.

Splunk

Ưu diém: Khả năng trực quan hóa, lập chi mục các sự kiện bảo mật ở mức cao Cung cấp khả năng phân tích hành vi và

học máy không giám sát (Unsupervised Machine Learning)

Nhược điểm: Chỉ sử dụng các quy tắc tương quan cơ bản

được xác định trước dé theo dõi và ghi báo cáo Phan ứng cảnh báo email có chút hạn chế Yêu cầu tích hợp với các

ứng dụng bên thứ ba dé tự động hóa các tác vụ và quy trình

vận hành

LogRhythm

Ưu điểm: Cung cấp khả năng giám sát các điểm cuối, pháp

chứng mạng, phân tích người dùng và phản hồi Công nghệ nay có thé được triển khai dé dàng trong một appliance, phần mềm hay ảo hóa hỗ trợ kiến trúc phi tập trung (Decentralized

Architecture Support Virtualizrion)

Bảng 1.1: Các công nghệ SIEM

2.1.2 SIEM - Wazuh

OOC_

OOC_) OOC_

S noc

WAZUH-AGENT WAZUH-SERVER WAZUH-INDEXER WAZUH-DASHBOARD

Hình 2.1: Các thành phan của Wazuh Wazuh là một HIDS (Host-based Intrusion Detection System) cũng đồng thời

là sự kết hợp của XDR (Extended Detection and Response) với SIEM nhằm bảo vệ hệ thong trén da nén tang như on-premises, ảo hóa, container hay dam

mây Nó hỗ trợ bảo vệ tài sản dữ liệu cho những cá nhân, tô chức, doanh nghiệp

khỏi các thế lực đe dọa gây rò ri, thất thoát đữ liệu Wazuh cũng chính là công nghệ mà dé tài này sử dụng cho bộ giải pháp vi tính phổ biến và tích hợp được nhiều giải pháp bảo mật khác.

Wazuh được cấu thành từ bốn thành phần cực kỳ quan trọng theo như hình

2.1 Chúng bao gom Wazuh-Indexer, Wazuh-Server, Wazuh-Dashboard va

Wazuh-A gent [6]:

- Wazuh-Indexer: Dong vài trò công cụ phân tích có khả năng tìm kiếm toàn

văn bản, mở rộng cao, sẵn sàng cao Chức năng chính của bộ phận này là

lập chỉ mục và lưu trữ các cảnh báo, dữ liệu dạng JSON do Wazuh-Server

tạo ra và có thể được cấu hình đưới dạng cụm một nút hoặc nhiều nút.

Indexer có các dạng chỉ mục như sau khi được vận hành:

1 Alerts: Lưu trữ các cảnh báo được tạo từ Wazuh-Server mỗi khi có một

sự kiện kích hoạt quy tắc có độ ưu tiên đủ cao do người dùng tự thiết lập

2 Archives: Lưu trữ tat cả các sự kiện mà Wazuh-Server nhận được bat ké

chúng có vi phạm quy tắc hay không

3 Monitoring: Lưu trữ các dữ liệu liên quan đến trạng thái Wazuh-Agent

theo thời gian thực Wazuh-Dashboard có thé thé hiện được các trạng thái

này của Wazuh-Agent là đang, ngừng hoạt động hoặc chưa bao giờ được

kêt nôi với máy chủ Wazuh

4 Statistics: Lưu trữ các dữ liệu liên quan đến hiệu suất của Wazuh-Server.

Wazuh-Dashboard cũng có thé được dùng dé biểu diễn số liệu thống kê

về hiệu suât một cách tường minh, rõ ràng

Wazuh-Server: Chịu trách nhiệm xử lý, phân tích các dữ liệu nhận được từ

các Wazuh-Agent Wazuh-Server làm việc này bằng Bộ giải mã (Decoder)

và Bộ quy tắc (Rule) Nó có khả năng tìm kiếm các IOC (Indicators Of

Compromise) phô biến với cơ chế Threat-Intelligence Bộ phan này cung

câp một sô dịch vụ phục vụ cho quá trình tương tác, làm việc với Agent như sau:

Wazuh-1 Đăng ky Agent: Cung cấp và phân phối các khóa xác thực duy nhất cho

mỗi Agent Có hỗ trợ xác thực qua chứng chỉ TLS/SSL hoặc cung cấp mật khẩu có định.

Kết nối Agent: Sử dung các khóa được chia sẻ bởi dịch vụ đăng ký dé xác thực danh tính và mã hóa kênh giao tiếp giữa Server và Agent.

Trình phân tích dữ liệu: Decoder chịu trách nhiệm phân tích loại thông

tin được nhận từ Wazuh-A gent dé truy xuất ra các dữ liệu như IP nguồn,

IP đích, tên sự kiện và đưa chúng vào một biến dữ liệu tùy thuộc vào từng

Decoder Rule sẽ căn cứ vào các dữ liệu ma Decoder phân tích ra dé kích

hoạt cảnh báo tương ứng.

RESTful API (cũng có thể được gọi là REST API trong Wazuh): Cung cấp giao diện tương tác cơ sở hạ tầng Wazuh, nó trợ quản lý cấu hình Agent, Server, theo dõi trạng thái của hệ thống Wazuh, Wazuh-

Dashboard cũng sử dụng dich vụ này

Trình nền cụm: Hỗ trợ cho hệ thống có nhiều Wazuh-Server, giúp chúng giao tiếp và đồng bộ.

Filebeat: Gửi các sự kiện và cảnh báo đến Wazuh-Indexer Cung cấp khả

năng cân băng tải trong môi trường cum Indexer nhiêu nút

- Wazuh-Dashboard: Cung cap giao diện người dùng một cách trực quan.

Bao gồm:

1 Quản lý bảo mật thông tin (Giám sát toàn vẹn, nhật ký bảo mật)

2 Phát hiện và phản hồi mối de doa (Quét lỗ hồng, kết hợp VirusTotal)

3 Các chính sách giám sat (System Auditing, Policy Monitoring)

4 Tuan thu quy dinh (PCI DSS, NIST 800-53, HIPAA, )

5 Các quyền quan trị (Rules, Decoders, )

6 Trạng thái và Báo cáo (Nhật ký, thống kê, )

7 Công cụ cho các nhà phát triển

- Wazuh-Agent: Là tên thường gọi cho các thiết bị như máy tinh dé bàn,

laptop, máy ảo hay các máy chủ quan trọng Chúng cũng có thé được cài đặt trực tiếp trên Router Wazuh-Agent có thé chạy trên các hệ điều hành như Linux, Windows, macOS, Solaris, AIX, HP-UX Tùy theo từng hệ diéu hành mà có các cách thức cai đặt khác nhau nhưng chung quy chúng đều

cung cấp cho các thiết bị khả năng giám sát, truyền các sự kiện đến máy chủ

trung tâm hay phản ứng với sự cô khi gặp một lệnh gọi tương ứng, thường

là từ khả nang Active Response của Wazuh-Server

2.1.3 Các chức năng của Wazuh trong thực tiễn

Wazuh hỗ trợ người dùng nhiều khả năng cung cấp sự giám sát chặt chẽ [7]:

- Phân tích nhật ký: Wazuh cung cấp khả năng tự động hóa việc quản lý và phân tích nhật ký của các ứng dụng, hệ thống, thiết bị dé tăng tốc độ nhận

diện ra các mối đe dọa tiềm ân Decoder và Rule sẽ đảm nhận vai trò chính

trong việc xác định nguồn đe dọa và phân tích dữ liệu.

- Giám sát tính toàn ven của tập tin: Wazuh hỗ trợ người dùng trong việc

theo dõi những thay đổi trong một tập tin cụ thé tùy theo thiết lập Người dùng có thể nhận được các cảnh báo về những lần thêm, xóa, chỉnh sửa nội dung, quyên truy cập của các tệp tin bên trong các tập tin được giám sát.

- Phát hiện Rootkit: Các Wazuh-Agent được cài đặt trên các điểm cuối có thể

thực hiện quét để đò ra rootkit ở kernel space và user space.

- Phản ứng chủ động (Active Response): Cơ ché này cho phép các

Wazuh-Agent tự động hóa phản ứng với các mối đe doa bằng cách thực thi các hành

động cụ thé Active Response trong Wazuh thường được cấu hình bằng các script mà các chuyên gia bảo mật phát triển nên như PowerShell, Python, Bash, Exe Những script điển hình khi nhắc tới chức năng này là Wazuh- Agent có thể ngăn chặn kết nối mang hay xóa các tệp chứa mã độc ngay khi

chúng được phát hiện Wazuh-Server cần chỉ định các script thực thi nam

trên từng Agent kích hoạt ngay khi Wazuh-Server nhận diện được các mỗi

đe dọa có liên quan.

- Đánh giá cau hình bảo mật: Nguoi dùng cần đưa vào tệp cau hình Agent các chính sách liên quan dé quá trình đánh giá được áp dụng và quản

Wazuh-lý bởi Wazuh-Server Cơ chế này có thé giúp phát hiện ra các tiến trình an đang chạy trên Agent mà nó vi phạm chính sách bằng việc quét lặp đi lặp lại tùy theo cấu hình Kết quả đánh giá sẽ là Pass (thỏa chính sách) hoặc

Fail (vi phạm chính sách)

- Kiểm kê hệ thong: Wazuh-A gent có thé thu thập các thông tin cả phần cứng

và phần mềm Từ đó giúp người dùng có thé theo dõi, quan sát được tình trạng hiện tại của hệ thống như mức dùng bộ nhớ, dung lượng ô đĩa, thông

số CPU, Bản thân Wazuh-Agent cũng sử dụng cơ chế quét đề cập nhật các kết quả của hệ thống.

- Phát hiện lỗ hồng: Trong các Wazuh-Agent có thé có những lỗ hồng tiềm

an và nó sẽ quét và phát hiện ra được chúng Các lỗ hồng nay sau khi được

phát hiện thì các cảnh báo sẽ được Wazuh-Servver tạo ra Các lỗ hồng được

Wazuh đối chiếu với CVE hay NVD dé liên tục được cập nhật trong các lần quét tiếp theo.

- Bảo mật dam mây: Wazuh vượt trội trong việc theo dõi các dấu hiệu của

những môi đe doa bảo mật cũng như đảm bảo tuân thủ các cau hình giám

sát một cách liên tục cho multicloud và hybrid Có hai kiểu vận hành Wazuh

để giám sát hoạt động, dịch vụ đám mây là bằng Agent và bằng cách thu

thập, phân tích dữ liệu từ API của nhà cung cấp như Amazon AWS,

Microsoft, Azure, Google Cloud

- Bảo mật Container: Container cũng là một trong những đối tượng được Wazuh hỗ trợ đề đối phó với các mối đe doa bảo mật đồng thời đưa ra cảnh báo Wazuh có thé thực hiện việc này bằng cách tích hợp với Docker engine, APIs Kubernetes hay dùng chính Wazuh-Agent để cài đặt lên các host

Docker và nút Kubernetes

- Tuân thủ các quy định bảo mật: HIDS Waznh có thê ánh xạ các quy tắc của

chúng với các Tiêu chuẩn An toàn Thông tin Khi một cảnh báo được tạo ra khi gặp một sự kiện hay một hành vi bất thường, nó sẽ gán các cảnh báo ấy với các tiêu chuẩn này Hiện tại, Wazuh có hỗ trợ ánh xạ các cảnh báo với các Tiêu chuẩn như: PCI DSS, GDPR, NIST-800-53, GPG13, TSC SOC2,

HIPAA

2.2 SOAR — Security Orchestration Automation and Response

2.2.1 Tống quan về SOAR và các công nghệ phố biến

SOAR có tên day đủ là Security Orchestration Automation and Response Đây

là một thuật ngữ phô biến trong An ninh Mạng mô tả sự tích hợp hài hòa các công cụ, hệ thống, ứng dụng bảo mật Nó tự động hóa quy trình phân tích, ứng phó, phản hồi sự có nhằm bảo vệ hệ thống khỏi các mối đe dọa bao mật nguy hiểm Từ đó, SOAR xây dựng một lớp phòng thủ vững chắc cho cơ sở hạ tầng Công nghệ Thông Tin đi kèm với yếu té con người Mục đích chính của SOAR

là giảm tải khối lượng công việc và nâng cao hiệu quả các hoạt động bảo mật

của những chuyên viên, chuyên gia giám sát, ứng phó sự cố An toàn Thông

tin SOAR được cấu thành từ ba thành phan là Security Orchestration, Security

Automation va Security Response

10

- Security Orchestration: Dt liệu về những sự cố từ nội bộ hay bên ngoài đều được tổng hợp và tự động hóa các giải pháp bảo mật nhằm giảm bớt thời gian cho việc ứng phó sự cé của con người.

- Security Automation: Các hành động ứng phó sự cô thủ công như quét lỗ

hồng, phân tích nhật ký sự kiện sẽ được giảm thiêu vì SOAR hỗ trợ tự động

hóa

- Security Response: Cung cấp khả năng lập báo cáo những thông tin về mối

đe dọa cũng như các hoạt động bảo mật được thực thi sau khi mối đe dọa

được phát hiện.

SOAR hiện nay có một số nền tảng, công nghệ khác nhau trên trị trường và

hầu như chúng đều là các sản phẩm có trả phí như ServiceNow, Swimlane,

KnowBe4, TheHive Bảng đưới đây sẽ trình bày một số thông tin về các công

nghệ SOAR này [10]

Công nghệ k

Chỉ tiêt SOAR

Ưu điêm: Tốc độ thu thập các thông tin về lỗ hông và sự cô

là vượt trộiServiceNow ; ¬

Nhược điêm: Không có độ phô biên mạnh so với các công

nghệ tương đồng

Ưu điểm: Có đội ngũ hỗ trợ liên tục Dễ dàng tích hợp với

các hệ thống sẵn có Tốc độ phản hồi nhanh

Swimlane - „ ; ;

Nhược điêm: Giá thành cao Thiét lập ban dau phức tap nêu

không có chuyên gia và mat thời gian

Ưu điểm: Là công nghệ mã nguồn mở Có thé phân loại,

TheHive quản lý các cảnh báo hiệu quả từ các sự kiện, hành vi bất

thường

11

Nhược điểm: Phụ thuộc vào các giải pháp bảo mật khác dé tao thành một hệ thống phản ứng, ứng phó sự cô hoàn chỉnh

Uu điêm: Hỗ trợ khả năng phản hôi các sự cô liên quan dén

các mail chứa mã độc hay các môi đe dọa tiêm ânKnowBe4

Nhược điêm: Cân có môi trường với tài nguyên đủ lớn đê

triển khai

Bang 1.2: Các công nghệ SOAR

2.2.2 SLRP - TheHive

TheHive là một giải pháp SIRP (Security Incident Response Platform) được

TheHive Project phát triển, thường được áp dung trong SOC (Security

Operation Center), CSIRT (Computer Security Incident Response Team),

CERT (Computer Emergency Response Team) va hé tro chuyén vién An toan

Thong Tin điều tra và xử lí các sự cố bảo mật [3]

TheHive cung cấp luồng trực tiếp, toàn bộ thông tin thời gian thực có liên quan đến các trường hợp (Case), tác vụ (Task), quan sát (Observables) hay IOC (Incidents Of Compromise) mới hoặc hiện có có san cho tất cả thành viên trong nhóm tổ chức Đồng thời, các thành viên trong tô chức được cho phép xử lý

hoăc giao các Task mới và xem trước các sự kiện hay MISP (Malware

Information Sharinng Platform) mới từ nhiều nguồn như báo cáo qua E-mail, qua nhà cung cấp CTI (Cyber Threat Intelligence) và SIEM Chung quy lại, điểm mạnh của giải pháp TheHive góp phan làm cho việc quản lý các sự cố

hệ thống trở nên rõ ràng hơn bởi nó có thé nhóm các cảnh báo của SIEM tạo

ra thành Case cụ thé Từ đó, các chuyên viên bảo mật có thé dé ra các giải pháp xử lý phù hợp dé hạn chế tối đa những hậu quả nặng nề về sau.

12

Alert Preview

QB KUTNIIss}-Login failed using a non-existent user from IP Public.

iD: 286732296 PA Date: 07/06/23 11:31 @ Type: wazuh_alert lillReference:ac5e49 @ Source: wazuh

rule.groups [local’, “syslog’, 'sshd, ‘authentication_failed’, 'authentication_success]

Hinh 2.2: Canh bao duoc tao ra trén TheHive

Z# Observables @ = §& Similarcases @

List of observables (2 of 2) Sea | | Per page

Flags Type Data Date Added

` 113{,]161[.J67L.185 06/21/23 14:28

e ® ` ip 10(.]0[.]0[.]4 06/21/23 14:28

Hình 2.3: Các đối tượng liên quan đến sự có trong mục Observables của cảnh

báo trong TheHive

13

Khi sử dụng, TheHive cho phép người dùng trở thành các vai trò khác nhau,

mỗi vai trò sẽ có những quyền hạn riêng biệt dựa theo thông tin của bảng sau:

Vai trò Quyền hạn

- Liệt kê, thêm các mẫu phân tích.

- Quản lý Custom Fields!.

- Quản lý các dạng của observable (IOC).

Quản trị | - Thêm, xóa, sửa tổ chức vận hành.

viên a 1 apa ar š , ^ À- Quản lý thông tin người dùng băng các phân quyên,

hồ sơ quản trị viên và hồ sơ tô chức.

- Thêm, sử dụng mẫu MITRE ATT&CK.

- Quản lý phân loại dữ liệu và tag

- Liệt kê, tạo và sửa mâu

- Chỉnh sua tag

Người - Cau hình giao diện người dùng

quản lý - Tạo người dùng mới, liệt kê người dùng, đặt/ sửa mật

khẩu người dùng, tạo/gia hạn/ thu hồi/ xem khóa API

của người dùng, sửa thông tin người dùng, khóa ngườidùng, xóa người dùng

! Cho phép tùy chỉnh các trường thông tin theo chính sách của tổ chức

14

- Tạo cảnh báo

- Tạo, đóng, chia sẻ Case

- Quản lý nhiệm vụ của Case: liệt kê, tạo thông tin,

hành động của nhiệm vụ, thông tin cơ bản, mô tả côngNhà phân

các thực thể, đối tượng có liên quan (Observables) mà đã thu thập được trên

quy mô quy lớn và thay vì phải tích hợp nhiều công cụ khác nhau thì chỉ cần một công cụ duy nhất Bản thân Cortex chính là một TIP (Threat Intelligence

Trình phân tích (Analyzer) của Cortex cung cấp khả năng phân tích các sự có

bảo mật mạnh mẽ và toàn diện dựa trên nhiêu phương thức khác nhau vì sô

? : Tactics — Techniques - Procedures

15

lượng Analyzer trong Cortex là rất nhiều Bảng dưới đây sẽ đưa ra một số các Analyzer phổ biến của Cortex:

Tên Analyzer Chức năng chính

Phân tích IP có liên quan đến sự cố dựa trên cơ sở

Responder này:

Tên

Chức năng chínhResponder

; Tao, mô ta và phan hôi cụ thé các Case trong TheHive

Redmine ; ;

khi gặp một sự kiện nao đó

Chan kết nối của các IP có liên quan mà nam trong

Observable thực hiện các hành vi xâm phạm bao mật

Wazuh ,

¬-hay thông báo cụ thê các thông tin chi tiệt khi Wazuh

thực hiện cơ chế Active Response

3 Chặn, chuyên hướng truy cập DNS đến các IP không đảm bảo an toàn

16

Palo Alto | Gửi trực tiếp các Observable mà người dùng câu hình

Minemeld | đến Palo Alto Minemeld dé xử lý.

Bang 2.5: Các Responder có thé được cấu hình cho Cortex

2.2.4 N8N

N8N là công cu tự động hóa quy trình làm việc có tính mở rộng cao Mã nguồn

của N8N cho phép thêm các chức năng, logic và ứng dụng tùy theo ý của người

dùng Nói chung, N8N cho phép người sử dụng nó có khả năng kết nối mọi thứ liên quan đến các quy trình bảo mật của SOC, sự vận hành của Wazuh hay

kế cả TheHive, Cortex Nó sẽ tạo nên một quy trình công việc với khả năng tự động hóa góp phần giảm thiểu đáng ké khối lượng công việc của người dùng.

17

Chương 3 PHƯƠNG PHÁP TRIEN KHAI CUA HỆ THONG

Hình 3.4 là mô hình vận hành chung của hệ thống SIEM-SOAR mà nhóm nghiên cứu

xây dựng nên, mô hình này bao gôm:

- Agent: Đại diện cho các thiết bị điểm cuối hay các máy chủ, thiết bị quan trọng trong ha tang mang Chúng được cài đặt cơ chế Agent của công nghệ Wazuh dé

luôn được giám sát các sự kiện diễn ra trên chúng theo thời gian thực nên còn có

thê được gọi là Wazuh-Agent.

- SIEM: Sử dụng công nghệ Wazuh và đóng vai trò là một bộ phận thu thập, lưu trữ,

tương quan các sự kiện của các nhật ký từ các Wazuh-Agent Đồng thời, các cảnh báo mà SIEM gửi đến SIRP có thê hiểu là gửi từ Wazuh-Server đến TheHive.

- SOAR: Sử dụng 3 công nghệ là SIRP (TheHive), TIP (Cortex) và N8N

+ SIRP (TheHive) cung cấp khả năng phân tích các nhật ký được gửi đến từ SIEM (Wazuh-Server) dé tạo ra những cảnh báo có định dạng chi tiết hơn cùng các Observables chứa các IP độc hại có liên quan đến một sự cố bảo mật nhằm đưa chúng đến TIP (Cortex) dé được phân tích sâu.

+ TIP (Cortex) đóng vai trò là một bộ phận phân tích mạnh mẽ có khả năng tích

hợp các trình phân tích dé đưa ra các kết quả chính xác về các mối đe doa bảo mật Ngoài ra, khi có sự vận hành đi kèm của cơ chế tự độn ø hóa là N8N thì TIP (Cortex) còn có khả năng phản hồi thông tin phân tích của nó đến với người dùng (USER) hay trích gửi báo cáo lên SIRP (TheHive) để tạo Case và sau đó gọi API Wazuh dé

thực hiện quá trình phan ứng chủ động trên Wazuh-Agent như chặn IP, khởi động

lai Agent,

Ngoài ra, trong mô hình này còn có một số thành phụ như VirusTotal (công cụ kiểm

tra, phân tích mã độc) kết nối với SIEM (Wazuh-Server) hay AbuseIPDB (công cụ cho phép đối chiếu với một cơ sở dữ liệu của các IP có những dấu hiệu độc hại trừ

trước) từ TIP (Cortex) dé tăng cường làm giàu dữ liệu các phân tích.

18

D1 Virustotal AbuseIPDB

SOAR /

SIEM ~~ ;

a se \ aan Gửi cảnh báo Yêu cầu “Gửi thông tin

Đà Su Ly A |WAZUH-SERVER|_ + TheHive4py : phan tich - phan tích bGửi nhật ký | Decoder] oof n8n- roof? n8n—

” [kích hoạt BE) J - SIRP TIPích hoat \, ) `

phẳnhồi ` | Cảnh báo Yêu cầu | (THEHIVE) (CORTEX)

| dạng JSON phan hôi

WAZUH-INDEXER Ì | (sa) thôngtin „ |Phản hồi

Hinh 3.5: Wazuh-Agent truyén nhat ky su kién cho Wazuh-Server

Wazuh-Server là thành phan quan trọng nhất vì nó cung cap dich vụ đăng ký, kết noi Wazuh-Agent và nhận nhật ký từ chúng thong qua công mạng 1515/TCP Đối

với các Wazuh-Agent như hình 3.5, chúng sẽ được thiết lập trên các thiết bị, máy chủ cần được giám sát, bảo vệ bằng các chương trình được lập trình từ bộ phận phát triển Wazuh Các Agent này có nhiệm vụ chính là giám sát và truyền nhật ký

sự kiện đến máy chủ Wazuh bằng giao thức Syslog (System Logging Protocol) thông qua công mạng 1514/TCP [8].

19

3.2 Phương pháp phân tích sự kiện bảo mật

Giai đoạn phân tích là giai đoạn quan trọng nhất vì nó ảnh hưởng trực tiếp đến các kết quả phản ứng của giai đoạn sau Hai công nghệ thực hiện công việc này chính là SIEM và SIRP Chúng cũng có thé duoc tích hợp với nhau dé mang lại khả năng phân tích toàn diện các sự có và tích hợp được với cả các giải pháp bao mật liên quan đến ứng phó sự có khác.

3.2.1 Phân tích sự kiện bảo mật tại SIEM

Dựa vào mô hình 3.4, Wazuh-Server thu thập nhật ký của các sự kiện, sự cô hay hành vi diễn ra trên các Wazuh-Agent, Decoder sẽ thực hiện việc chuẩn

hóa các dữ liệu như IP nguồn, đích; port nguồn, đích; nội dung nhật ký, thời

gian diễn ra, từ các dạng nhật ký khác nhau va gán chúng vào các biến tương ứng tùy vào từng Decoder Sau đó, Rule sẽ ánh xạ các dữ liệu ấy với các quy tắc mặc định hay tùy chỉnh do người dùng tạo dé đưa ra các cảnh báo

tương ứng Tiếp đến, các cảnh báo JSON được tạo ra sẽ được Filebeat của

Wazuh-Server gán loại chỉ mục tương ứng và gửi đến Wazuh-Indexer Thành phần Indexer này có hai vai trò chính đó là lưu trữ và lập chỉ mục cho các cảnh

báo JSON theo 4 loại tương ứng là Alerts, Archives, Monitoring và Statistics

Cuối cùng, Wazuh-Dashboard có thé trực quan hóa các dữ liệu từ Indexer

thông qua cau hình chứng chi và các thiết lập cần thiết Hình 3.6 là chi tiết quá trình vận hành của khối SIEM trong hình 3.4.

Bên cạnh đó, Wazuh-Server còn có thé tích hợp được với VirusTotal như trong

hình 3.6 dé có thé hỗ trợ phân tích và làm giàu dit liệu cảnh báo Kịch bản thử nghiệm cho khả năng tích hợp này nằm ở mục 4.3.8 Ngoài ra, các cảnh báo

sẽ được định dạng lại thành JSON và được chuyền đến SIRP (TheHive) thông

qua bước tích hợp mục 3.2.3

20

Hinh 3.6: Quy trinh van hanh cua SIEM

3.2.1.1 Phương pháp thiết lập Rule (quy tắc) trong Wazuh-Server

Việc thiết lập quy tắc trong Wazuh-Server là vô cùng quan trọng vì nó sẽ quyết định đến các cảnh báo đầu ra của quá trình phân tích các sự kiện từ

Wazuh-Agent gửi đến trong hạ tang của một tô chức Khi một quy tắc được

tao ra với đầy đủ và chính xác các thành phan thì nó sẽ đem lại cho tô chức khả năng phân tích và đối chiếu đúng với sự kiện thực tế diễn ra Các quy tắc trong Wazuh-Server có một mã ID riêng và mức độ của quy tắc được

đánh dấu từ 0 đến 15 (16 mức).

Dé có thé thiết lập quy tac thì người dùng cần năm rõ được các tag Tag là

tên đại diện dé ám chỉ đến các tên cú pháp dùng dé khai báo các thành phan

của một Rule trong Wazuh-Server Bảng 3.6 bao gồm các tag thường hay

được sử dụng nhất [11]:

21

Tag Chức năng

Quy định các tham số của một quy tắc

<rule> ;

như id, level, frequency, timeframe

¬ Được gan với một ID của quy tac nào đây

<if_sid> , ¬ ,

đê làm điêu kiện kích hoạt cho quy tặc

Cũng giống như trường hợp của <if_sid>

<if_matched_sid> | nhưng sẽ phụ thuộc vào các yếu tô tan

suất kích hoạt

Được dùng đề đối chiếu dữ liệu trong

<match>

nhật ký sự kiện

Có hai khả năng là khai báo một nhóm

<group> các quy tắc cùng một loại sự kiện và khai

báo các tiêu chuẩn bảo mật có liên quan

Đối chiếu với nguôn IP của nguồn mỗi đe

<srcip> dọa hay quy định các quy tắc tương ứng

theo từng vùng mạng

Mô tả của cảnh báo, có thê kêt hợp với

<description> | các biên đê xuât ra các giá tri trong ứng

của sự kiện

Đôi chiêu với bộ Decoder đê tương quan

sự kiện nhăm giúp một quy tac xác định

trong đường dẫn /var/ossec/ruleset/rules cho phép người dùng tận dụng

các quy tac mặc định dé có thé nhanh chóng làm quen với mô hình hoạt

22

động của Wazuh Dé có thé tự do tương tác với các quy tắc thì người dùng

cần thiết lập chúng trong /var/ossec/etc/rules/ocal_rules.xml, đây là một

tệp dùng dé viết ra các quy tắc mới hay điều chỉnh các quy tắc sẵn có mà

không ảnh hưởng đến bộ quy tắc có sẵn của Wazuh-Server và đồng thời đảm bảo sự vận hành bình thường của hê thống.

Ngoài ra, khi tạo ra các quy tắc mới thì chúng nên có mã ID từ 100000 trở lên Nếu muốn dùng ID của quy tắc đã có thì bắt buộc phải thêm overwrite= “yes” trong tag <rule> dé có thê ghi dé quy tắc có sẵn.

3.2.1.2 Minh họa việc thiết lập Rule (quy tắc) trong Wazuh-Server

Ví dụ cho một quy tắc được tạo có dạng như sau [11][13]:

</rule>

</group>

Day là một quy tắc được tạo nên và nó hoàn toàn không phải là một quy tắc có sẵn Quy tắc này có tác dụng thông báo rằng có một kết nối SSH thành công từ một IP Public nào đó với hai điều kiện dé kích hoạt là IP kết nối đến Agent phải là IP Public và quy tắc 5715, 5700 [17] được kích hoạt trước Cụ thé như sau, quy tắc 5715 có tác dụng chính là nó sẽ đối chiếu

23

với các dữ liệu từ nhật ký sự kiện của SSH, nếu nó đọc được các chữ như

“Accepted” hay “authenticated” thì tức là phiên đăng nhập SSH đó đã

thành công Quá trình này sẽ đảm bảo được thực hiện nếu như quy tắc 5700

xác định log nhận được là log của cảnh báo SSH được phân tích thông qua

Decoder tương ứng từ dòng “<decoded_as>sshd</decoded_as>” của quy

tắc 5700 Ngoài ra, quy tắc 100003 có dùng øverwrife= “yes” Trong trường hợp này thì overwrife= “yes” không có tác dung do quy tắc được tạo ra có mã số không đụng độ với quy tắc mặc định nào nhưng có cho vào

quy tắc thì cũng không anh hưởng gì cả Diéu quan trọng nhất khi tạo ra mot quy tac đó là can hội tụ đủ các diéu kiện dé có thé kích hoạt sự kiện.

3.2.1.3 Các van đề liên quan đến thiết lập Rule (quy tắc) trong

Wazuh-Server và hướng giảm thiểu đề xuất

Khi các quy tắc được tạo ra, những van đề có thé xuất hiện khiến cho việc đưa ra cảnh báo của Wazuh-Server không có tinh đúng đắn cao[1 1] Những vấn đề dưới đây là thường hay gặp nhất:

- Hai hay nhiều quy tắc có các hành động đối nghịch nhau trong cùng một

ngữ cảnh sự kiện

- Hai quy tắc có mã số và mức độ quy tắc giống nhau

- Hai quy tắc có mã số và mức độ quy tắc khác nhau nhưng giống nhau về điều kiện kích hoạt và hành động.

Đề giảm thiểu những van đề này thì người dùng cần thực hiện các việc

sau khi tạo dựng quy tắc:

- Lập một danh sách các trường hợp cụ thê cho từng quy tắc.

- Tránh để hai quy tắc trùng nhau về mã số và mức độ quy tắc cùng lúc.

- Kiểm thử, cập nhật các quy tắc khi có sự thay đổi cần thiết của hạ tầng.

- Tránh dé trùng quy tắc tự tạo với quy tắc có sẵn.

24

- Thém overwrite=“yes” vào trong quy tắc như quy tac minh họa phần

3.2.1.2 dé dam bảo các quy tắc tạo ra không đụng độ với quy tắc có sẵn

dù đề trùng mã số và mức độ quy tắc.

3.2.2 Phân tích sự kiện bảo mật tại SIRP (TheHive)

Như hình 3.4 thì SIRP nhận được các cảnh báo từ SIEM gửi đến Các cảnh

báo bao gồm các trường dữ liệu được phân chia rõ ràng, chỉ tiết như:

- Tag: bao gồm thẻ của các đối tượng có liên quan trong sự kiện như tên, ID,

IP của Agent, ID Rule kích hoạt

- Time_stamp: Thời gian cụ thể của sự kiện khi nó được diễn ra

- Agent: Thông tin chỉ tiết về Agent liên quan đến sự cố

- Data: Thông tin nguồn mối đe dọa đối với các cuộc tắn công mạng

- Full log: Nhật ky về một sự kiện cụ thể được diễn ra

- Location: VỊ trí của nhật ky từ may Agent có liên quan

- Observableas: Các IP, URL, có liên quan đến sự cố

- Decoder: Bộ Decoder mà Wazuh sử dung dé chuẩn hóa nhật ký trước khi

anh xạ vào bộ Rule

Với Case thì nó đóng vai trò đại diện cho một loạt sự kiện nào đó có liên quan

hay một sư kiện cụ thể diễn ra nhiều lần liên tục nhằm phân loại các cảnh báo

truyền từ SIEM đến Bên cạnh đó, Task cũng là một thành phần quan trọng vì

nó quản lý công việc cho đội ngũ bảo mật trong việc phân tích hay kiểm tra cần thiết cho một sự cố nao đó và những kết quả cho ra sẽ được đưa đến cho

các quá trình phía sau

25

3.2.3 Phương pháp tích hợp SIEM (Wazuh-Server) và SIRP (TheHive)

Tại phần này, bài viết này sẽ trình bày phương pháp mà SIEM (Wazuh-Server) định dạng các cảnh báo và gửi đến SIRP (TheHive).

Gửi cảnh báo ( WAZUH-SERVER TheHive4py

_- 9000/TCP

SIRP(THEHIVE)

Hình 3.7: Wazuh-Server xử lý và truyền cảnh báo cho TheHive Đầu tiên, trên máy TheHive thì người triển khai cần tạo một Organisation va các thành viên có liên quan đến dự án Sau đó, mỗi thành viên trong tô chức

ay được gan nhãn vai tro riêng biệt, it nhất là nên có một admin và một analyst.

Việc làm này chủ yếu cho các thành viên có thâm quyền trực tiếp tham gia vào

quy trình giám sát, phân tích bảo mật của TheHive và trích xuất API Key của

TheHive cho việc tích hợp Tuy nhiên, việc tao API chỉ nên được thực hiện

với admin hay một người dùng nào đó ít sử dụng đến để đảm bảo rằng API sẽ

không bị phá hủy hay tạo mới do lỗi của con người.

Đến với thiết bị triển khai Wazuh-Server thì phức tạp hơn khi cần phải sử dụng đến một module là TheHive4py, day là một module của TheHiveProject cho phép Wazuh và TheHive phiên bản 4.0 có thê tích hợp với nhau băng cơ chế gọi API Đây chỉ là những điều kiện ban đầu vì các cảnh báo của Wazuh cần

có một cơ chế dé định dạng các dif liệu cũng như kiểm soát ngưỡng cảnh báo,

đó là một bộ mã python có tên “custom-w2thive” được phát triển bởi Awwal Ishiaku [5] Bộ mã này có một số chức năng chính như quy định ngưỡng cảnh

báo, nhận các tham số gồm đường dẫn đến tệp chứa các cảnh báo của Wazuh,

26