Khóa luận tốt nghiệp An toàn thông tin: Xây dựng và so sánh hệ thống giám sát quản lý thông tin sự kiện an toàn thông tin Splunk Enterprise và Wazuh

Nội dung của khóa luận sẽ tập trung xây dựng hệ thống SIEM dựa trên hai giải pháp là Splunk và Wazuh để đánh giá khả năng giám sát cơ sở hạ tầng công nghệthông tin song song hai nền tảng

ĐẠI HỌC QUỐC GIA TP HÒ CHÍ MINH

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

KHOA MẠNG MÁY TÍNH VÀ TRUYÈN THÔNG

NGUYÊN NHẬT QUANG

NGUYÊN DUY PHƯỚC

KHÓA LUẬN TÓT NGHIỆP

XÂY DUNG VA SO SANH HE THONG GIÁM SÁT QUAN

LY THONG TIN SU KIEN AN TOAN THONG TIN

SPLUNK ENTERPRISE VA WAZUH

Implementing and comparing SIEM systems Splunk Enterprise and

Wazuh

KỸ SƯ NGANH AN TOAN THONG TIN

ĐẠI HỌC QUOC GIA TP HO CHÍ MINH

TRUONG DAI HOC CONG NGHE THONG TIN

KHOA MANG MAY TINH VA TRUYEN THONG

NGUYEN NHẬT QUANG - 17520948

NGUYEN DUY PHƯỚC - 17520915

KHÓA LUẬN TÓT NGHIỆP

XÂY DỰNG VÀ SO SÁNH HỆ THÓNG GIÁM SÁT QUẢN

LÝ THÔNG TIN SỰ KIỆN AN TOÀN THÔNG TIN

SPLUNK ENTERPRISE VÀ WAZUH

Implementing and comparing SIEM systems Splunk Enterprise and

Wazuh

KỸ SƯ NGANH AN TOAN THONG TIN

GIANG VIEN HUONG DAN

TRAN THI DUNG

THONG TIN HOI DONG CHAM KHÓA LUẬN TOT NGHIỆP

Hội đồng cham khóa luận tốt nghiệp, thành lập theo Quyết định số 463/QD - DHCNTT

ngày 23 tháng 7 năm 2021 của Hiệu trưởng Trường Đại học Công nghệ Thông tin.

1 TS Pham Văn Hậu - Chủ tịch.

2 ThS Phan Thế Duy — Ủy viên

3 Ths Lê Đức Thịnh — Thư ký.

LOI CAM ON

Hoàn thành khóa luận tốt nghiệp này ngoài công sức va sự cố gắng của

nhóm tác giả thì còn có sự hỗ trợ và giúp đỡ của các thầy cô, bạn bè, và gia đình Nhóm tác giả xin bày tỏ long biết ơn đến mọi người.

Nhóm tác giả xin gửi lời cám ơn chân thành và lòng biết ơn sâu sắc đến các

thầy, cô trường Đại học Công nghệ Thông tin và các thầy cô Khoa Mạng máy tính và Truyền thông của trường đã tận tình hướng dẫn, truyền đạt kiến thức trong những năm học tập Với vốn kiến thức được tiếp thu trong quá trình học tập không chỉ là nền tảng trong quá trình hoàn thành khóa luận tốt nghiệp mà còn là hành trang quí báu đề sau này bước vào đời một cách vững

chắc và tự tin.

Đặc biệt, xin gửi lời đến Ths.Trần Thị Dung đã tạo mọi điều kiện, giúp đỡ

tận tình và nhiết tình hướng dẫn chúng tôi hoàn thành tốt khóa luận này.

Cuối cùng, chúng tôi xin cảm ơn đến gia đình, người thân và bạn bè đã tạo

tiền đề, điều kiện thuận lợi, cũng như khích lệ, động viên chúng tôi hoàn thành đề tài này.

Chúng tôi xin chân thành cam ơn!

Chương1 MỞ ĐẢU

In MU tu 2

1.2 Đối tượng nghiên cứu -¿-++++22E+++tEEEEE2+2222212227111.2277112 E21 2

1.3 Phạm vi nghiÊn CỨU - ¿+ tt SE kg ng ri 2

1.4 Phương pháp nghiên cứu

1.5 Cấu trúc khóa luận ¿-22++++22E++++2E2EE++2222311222211122222111 22221 3Chương2 KIEN THỨC NEN TẢNG

2.1 Hệ thống quản lý thông tin sự kiện an toàn thông tin - 5

2.2.3 Splunk App và Splunk Add-on -. ¿-5-+-++<5++c+x+ccss++ 5

2.3 Giải pháp Wazuh - «tt HHH HT HH Htưt 6

2.3.1 Giới thiệu Ăn 6

2.3.2 Các thành phần hệ thống -c++++t22cvvsccrerrrrrr 7

2.3.2.1 Wazuh agen(L - tt ưu 7

2.3.2.2 Wazuh S€TVT cà nh Hiên 20 2.3.2.3 Elastic staCK HH“ HH 22

2.3.3 Kiến trúc hệ thong ccccccsssesssssssesssssssessssssesessssusseessseescsssiescessseesesssees 23

2.3.3.1 Wazuh agent - Wazuh server communication - 25

2.3.3.2 Wazuh server - Elastic Stack

Chương 3 PHƯƠNG PHÁP THU THẬP DỮ LIỆU .- 31

3.1 Phương pháp thu thập dữ liệu với Splunk - «+ 5+55=s++ 31

3.1.1 Hệ thống nội bộ -:¿¿2222+++tSEEEEEtrSEEEtrrrrrrkkrrrrrrrvee 31

3.12 Hệ thống Azure 222-+cc2CEESztreEEEterrrrrkerrrrrrrce 333.13 HG thống AWS ăeccccecsecreeeeceerr 34

3.2 Phương pháp thu thập dữ liệu với Wazuh - -c55c+c+c .- 3Ó

3.2.1 Hệ thống nội bộ 22:++2222++tSEE++rrrerrktrrrrrrrrrrrrrrrree 363.2.2 Hệ thống AZure :2222+cc22CEvrrrtEEEtrrrrrrrrrrrrrrrvee 383.2.3 Hệthống AWS 2222222222 22221 E211 E1 cve 39

Chương 4 PHƯƠNG PHÁP PHAN TÍCH DU LIỆU 43

4.1 Giải pháp Splunk cccccccccccc2222212222EEEEtttrrrrrrrrrrrrrrrrie 43

4.1.1 — Xử lý đữliệu ceceEEriiiiiiiiriirrrirrrrre 43

4.1.1.1 Parsing c ThS HH hư 44

4.1.1.2 Indexing - c5 tt hư 45

4.2 Giải pháp Wazuh - cành HH” HH 50

4.2.1 _ Phân tích, giải mã và lưu trữ dữ liệu phân tích

4.2.1.1 Phân tích, giải mã 5.S+ S2 trseterererererrre 50 4.2.1.2 Lưu trữ dữ liệu phân tích

4.2.2 Lập index và trực quan hóa dữ liệu -‹ -+<<5<5<< 54

4.2.2.1 Vận chuyên vào Elastic stack

4.2.2.2 Lập Index - 5+ St tt 1211212121 rên 54

4.2.2.3 Trực quan hóa dữ liệu và Dashboard

Chương 5 TRIẾN KHAI HỆ THONG GIÁM SÁTT -.- 58

5.1 Hệ thống giám sát Splunk ¿ -c::¿222+++++2cvvrrvtvrrvrrerrrrrrrrrrree 585.1.1 Giám st hé thống nội bộ c-¿¿-5222cvcvcvetrrrrrrreerrrrrrer 59

5.1.1.1 Giám sát WindOWs ác càng 59

5.1.1.2 Giám sát LinuxX cà Sà set 6l

5.1.2 Giám sát hệ thống Cloud -cccc+2ccvvscccccz+-e 635.1.2.1 Hệ thống Azure c2c:c+22222222vrrrtrEEEEEErrrrrrrrrrrrrrrrcee 63

5.1.2.2 Hệ thống AWS c 22222 222211222211 reo 645.2 Hệ thống giám sát Wazuh -22:©2222+++22ES++ttEEEEvrrttrrkrrrrrrkrrrerrkei 675.2.1 Giám st hệ thống nội bộ .-c ¿-22cvcvrrrrrrrrrrreererrrre 67

5.2.1.1 Giám sát Linux sành nh 68

5.2.1.2 Giám sát WinOWS th ng nhện 71

5.2.2 Giám sát hệ thống Cloud -++z++22++zt+trrxserrrrrrcee 72

5.2.2.1 Hệ thống AZure 22222c22 2222222111222 ccrrtrrrrrer 735.2.2.2 Hệ thống AWS c 222 2221122221112 eerrrrer 74

Chương 6 PHÁT HIỆN VA PHAN HOI SỰ CÓ -ccccsse 76

6.1 Phát hiện mã đỘC ¿St Street 76

6.1.1 Splunk

6.1.1.1 Xác định nguồn dữ liệu .2¿-©2222+c2222+z+v2vESvcrerrvsrrerrr 766.1.1.2 Thiết lập rule tạo cảnh báo

6.1.2.4 Dashboard giám sắt 5-5: 55+ Sc2c+ccseceretererrrerrcee 87

6.2 Phát hiện vén cạn mật khẩu SSH cccccccscsssessssosseessessseessssseecesssseesssseeeesess 87

6.2.1 Splunf „ eM re MET Pessssahossensessessssessssensensessssesseeansense 87

6.2.1.1 Xác định nguồn dữ liệu -cc:z52222vvvccrrtrrccrvsecccee 876.2.1.2 Thiết lập rule cảnh Da0 o sssssssssssssssssessesscssssssneseeseccsssssseecesesssssenees 88

6.2.1.3 Tạo hành động phản hồi - 222¿2222vzceevvvvrrecrvsrresrr 89

§.2 Hướng phat triete cccccccccsccssssssecssssssecsssssesccssssseesssssssessssnscesssusseessseeseessseese 96

TÀI LIEU THAM KHAO wsscccccssssssssssssssssssssssessssssssssussessesssssssssscsssssssssesssssssssssees 97

50m 101

DANH MỤC HÌNH

Hình 2.1: Luỗng hoạt động cơ bản của SIEM [2] ¿- + c+scexexsrerrxev 6 Hình 2.2: Các nguồn dữ liệu của SIEM -¿:-2222z+222+++tvvcvvvrrerrrvrrrrrrs 8

Hình 2.3: Giao diện giám sát của Splunk ¿-¿-5- 55+ 5+ 5+2++x+ccxeczscxexer II

Hình 2.4: Kiến trúc tổng quát của Splunk Enterprise -: :+cssc2 14

Hình 2.5: Mô hình triển khai Splunk cho doanh nghiệp nhỏ - 15

Hình 2.6: Kho App va Add-on Splunk Base 6 5+ S+Sxsxstsvrvrererrrexee 16 Hình 2.7: Giao điện web của Wazuh [ 12] -¿- ¿5s + + sxstsvserrerrsererrrrrrrrrsvr 17 Hình 2.8: Các module của Wazuh agent [ 13] ¿+ 5+ 5cx+x+essrexsrerekexex 18 Hình 2.9: Các thành phan trong Wazuh server [14] - -c¿5c5scc++ccsscez 21 Hình 2.10: Kiến trúc triển khai phân tán của Wazuh [17] -:-sc+¿ 24 Hình 2.11: Kiến trúc triển khai All-in-one của Wazuh [18] - 25

Hình 2.12: Cấu trúc thư mục và tệp để lưu trự sự kiện trong Wazuh [16] 28

Hình 3.1: Phương pháp thu thập dữ liệu của Splunk — Nội bộ 3 Í Hình 3.2: Phương pháp thu thập dữ liệu của Splunk — Azure - Ö3 Hình 3.3: Phương pháp thu thập dữ liệu với Splunk — AWS - 34

Hình 3.4: Phương pháp thu thập dự liệu nội bộ của Wazuh - - + +++ 36

Hình 3.5: Phương pháp thu thập dữ liệu hệ thống Azure của Wazuh 38

Hình 3.6: Phương pháp thu thập dữ liệu AWS của Wazuh - 39

Hình 4.1: Phương pháp phân tích dữ liệu với Splunk -5- - +<e<++ 43 Hình 4.2: Sự thay đổi của các Splunk bucket - :: -¿2v+c++2cvvverscrxseee 46 Hình 4.3: Câu truy van đơn giản và kết quả trả về -c¿++22c+ccrccrxscee 49 Hình 4.4: Splunk Dashboard với một số pannel -c:++22cvvvecccez 49 Hình 4.5: Quá trình phân tích dữ liệu và trực quan hóa dữ liệu của Wazuh 50

Hình 4.6: Dữ liệu trích xuẤt từ giai đoạn Pre-decoing - - + s-s+s+c+ce 51

Hình 4.7: Xây dụng bộ giải mã cho sự KiỆn -¿- ¿c5 S*sstekeerrererree 52

Hình 4.8: Dữ liệu trích xuất từ giai đoạn Decoding -¿-©scz+ccvsccecrz 52

Hình 4.10: Kiểm tra lại bộ giải mã và bộ qui tắc vừa tạo -: -. + 53

Hình 4.11: Các index được lưu trữ trong Kibana 5-55 ss+cexexseex 55

Hình 4.12: Một số loại biểu đồ trực quan hóa dữ liệu của Kibana - 55Hình 4.13: Một số panel đã triển khai trong Kibana - :c5s+<+ 56

Hình 4.14: Một số dashboard có sẵn trong Wazuh -. ©2z+2222vzcrcczvscee 56

Hình 4.15: Custom dashboard metric AZUT€ ¿2555252 5+2*+++£e++>scxsse> 57

Hình 5.1: Mô hình hệ thống giám sát 2¿-22+¿22V2++++22E++++ttvrxvrrrrrkrcee 58

Hình 5.2: Dashboard Windows Overview - Ì che 59 Hình 5.3: Dashboard Windows Overview - 2 cccsssesseeeeseseseseseseeesesesssneeneseees 59

Hình 5.4: Dashboard Windows Process - | ccccccccsseeeeeseseseseeesseecsesesenessteeeeseees 60

Hình 5.5: Dashboard Windows Process - 2 «5S tư 60 Hình 5.6: Dashboard Windows Registry cccceceseseeseseseeseseseseseseesesesesssneseaeseeee 60

Hình 5.7: Dashboard WinEventLog - 1 „6l Hình 5.8: Dashnoard WinEventLog — 2.

Hình 5.9: Dashboard Linux Overview —

Hình 5.10: Dashboard Linux Overview — 2 62

Hình 5.11: Dashboard Linux Overview — 3 63

Hình 5.12: Dashboard Azure Activity eee Sky 63

Hình 5.13: Dashboard Azure Web App Health — 1 -+-+-c+-+<<-+ 64

Hình 5.14 Dashboard Azure Web App Health — 2 «5 + scserereeey 64 Hình 5.15: Dashboard AWS EC2 Overview - Ì «cty 65

Hình 5.16: Dashboard AWS EC2 Overview — 2 cách ưn 65 Hình 5.17: Dashboard AWS EBS = 1 o cceececee ee eeesesestesesesesesesseseseensneneseseeeenenes 66

Hình 5.18: Dashboard AWS EBS — 2 - St như 66

Hình 5.19: Dashboard AWS Billing - + + Sàn uy 67

Hình 5.20: Dashboard giám sát số lần truy cập -ccccccecccccvvee 69

Hình 5.21: Dashboard giám sát các sự kiện đăng nhập thành công 69

Hình 5.22: Chi tiết các sự kiện đăng nhập thành công - 69Hình 5.23: Dashboard đánh giá cấu hình Linux - ¿-z55sez+ 70

Hình 5.24: Dasboard chỉ tiết về đánh giá cấu hình Linux - -: -+ 70

Hình 5.25: Thông tin thu thập về network interface và port máy Linux 70

Hình 5.26: Thông tin về cấu hình network máy Linux -:¿c-x++ 71 Hình 5.27: Thông tin về các gói cài đặt trên máy Linux - 71

Hình 5.28: Thông tin về các process đang chạy trên máy Linux . 71

Hình 5.29: Dasboard tổng quan về giám sát tính toàn ven trên Windows 72

Hình 5.30: Thông tin chỉ tiết về cảnh báo tính toàn vẹn trên Windows 72

Hình 5.31: Dashboard Activity của Wazuh cty 73 Hình 5.32: Dashboard Metric Web app service của Wazuh -c+c+> 73 Hình 5.33: Thông tin về các sự kiện Activity AWS mà Wazuh thu thập 75

Hình 5.34: Thông tin về sự kiện SSH Login vào máy ảo EC2 - 75

Hình 5.35: Thông tin về sự kiện tắt máy ảo EC2 -ccczz+2cczsss+ 75 Hình 5.36: Dasboard tổng quan về Activity của Wazuh 75

Hình 6.1: Mô hình kịch ban phát hiện mã độc 76

Hình 6.2: ClamAV Crontab 277

Hinh 6.3: Thu thap log ClamAV

Hình 6.4: Phân tích log ClamAV 277

Hình 6.5: Add-on thu thập log ClamAL V - ¿52526 ‡EEkEkekEkekrEkrkekerrrek 78 Hình 6.6: Sự kiện ClamA V - c1 c3 t3 1313 1231315113111 xrkrrrrsrrr 78 Hình 6.7: Truy vấn tạo cảnh báo cho sự kiện ClamA V -¿ c+cscseeeeeexsee 79 Hình 6.8: Cài đặt cảnh báo phát hiện mã độc ¿- - - + + ++++x+£+xererrxerer 79 Hình 6.9: Tạo Alert Action nhằm xóa mã độc -©2¿2stEE2EE2EE2EE2EEeExrrr 80 Hình 6.10: Cấu hình Alert Action khi phát hiện mã độc - 80

Hình 6.11: Giám sát sự kiện ClamAV - + tS+ St St Svexeerrrerrsrrrrrrrrrrree 81 Hình 6.12: Sơ đồ phản hội sự cố khi phát hiện mã độc của Wazuh - 81

Hình 6.13: Thiệt lập module FÌM - ¿+ + 25+ 5++E+*+£££££ezkz++xexererereeesr 82 Hình 6.14: Cảnh báo số về sự kiện thay đổi checksum -¿2c+2 82 Hình 6.15: Cảnh báo số về sự kiện thêm một tệp đuôc thêm mới - 82

Hình 6.17:

Hình 6.18:

Hình 6.19:

Hình 6.20:

Hình 6.21:

Hình 6.22:

Hình 6.23:

Hình 6.24:

Hình 6.25:

Hình 6.26:

Hình 6.27:

Hình 6.28:

Hình 6.29:

Hình 6.30:

Hình 6.31:

Hình 6.32:

Hình 6.33:

Hình 6.34:

Hình 6.35:

Hình 6.36:

Hình 6.37:

Hình 6.38:

Hình 6.39:

Hình 6.40:

Hình 6.41:

Hình 6.43:

Hình 6.44:

Hình 6.45:

Xây dựng decoder cho Y AlA 5-5255 tre tre, 83

Trích xuất hai trường thông tin yara_rule và yara_path - 83

Trích xuất trường thông tin error_Imessage ::c2:z2c5++ 84 Trích xuất trường thông tin deleted_message .-: -+ 84

Tao mới bộ qui tắc cho YARA 5c 2c 2E 221k 84 Tạo mới bộ qui tắc về cảnh báo lỗi cho YARA - -+ 84

Tạo mới bộ qui tắc về phát hiện mã độc cho Y ARA 85

Tạo mới bộ qui tắc về sự kiện xóa tệp mã độc -: -+ 85

Kiểm tra lại bộ giải mã và bộ qui tắc vừa tạo bằng logtesi 85

Lệnh quét tệp với Y ARA eee cece ce 2k 2 HH HH key §6 Tạo ghi nhật ký Y ARA - << SH HH 1t rườ §6 Khai báo script thực thi -¿ - 5-55: 2+2*‡+‡rsrtezkekrrerrrrrrrrrrrrree §6 Cấu hình tự động phản hồi tích hợp YARA Cảnh báo về một số sự kiện của YARA

Quá trình phản hồi khi phát hiện vén cạn mật khâu SSH - Splunk 87

Thu thập thông tin đăng nhập 88

Su kién dang nhap 88

Cảnh báo phát hiện vét cạn mật khẩu SSH -+ccccccrrerree 89 Tạo hành động phản hồi chặn IP -cz222Sv2ccczz+tzx 89 Câu hình Alert Action chặn IP -¿-22v2c+z+2222vzvvvcrcerrr 90 Giám sát sự kiện đăng nhập ¿- - 5 St st‡xexexererkrkererrkrkrke 90 So đỗ phát hiện sự cố khi phát hiện tắn công vét can mật khẩu SSH 91

Câu trình thu thập sự kiện SSH ccccccce+ccccvvvecccrrre 91 Qui tắc dùng dé phát hiện tấn công vét cạn mật khẩu SSH 91

Qui tắc cảnh sự kiện báo block TP a cccsssssssssssssssssssssssensssssssssseeeeeceeceessee! 92 Câu hình tự động phản hồi block IP -.c: 22ssccccczc 92 Tự động unblock IP sau khoản thời gian timeOut ‹- «+ 93

Cảnh báo về sự kiện tự động block IP va unblock IP - 93

DANH MUC BANG

Danh sách các cổng và các dịch vụ của WazZuh cccccsscsscssssescessseescsssees 27Một số dịch vụ cơ bản của ÀZUF€ -sc- 5c 2 2 E2 E2EEEEEEEE.Errrrrrer 29

Một số dịch vụ cơ bản của AWS co tiiiiiiiiirree 30

Danh sách module và nguồn dữ liệu thu thập của Wazuh 37

Danh sách các dịch vụ AWS cho phép thu thập nhật ky từ AWS S3 41

MOt 86 tp Cu Minh mẽ 3+a1H)} 45

Bang thông tin các Splunk bucket 00 cece seeeeseseseneneeetesseeeseneeneneeee 48

Một số cú pháp truy vấn SQL so với SPLi ccssccssssssescssssesessseescessseescessees 48Thông tin thành phần hệ thống - Splunk -: :+c5+2 58

Các thành phan và trường hợp giám sát hệ thong nội bộ của Wazuh 68

Giám sát và nguồn thu thập nhật ký hệ thống cloud của Wazuh 73

Các metric cơ bản và ý nghĩa [29] ¿-¿- 5c 2 S+S++x+x‡£ekzrrkekererre 74 Bảng đánh giá Spunk và Wazuh ó- 5c sssrrerererrsrrrrrrrel 94

DANH MỤC TU VIET TAT

API Application Programming Interface

AWS Amazon Web Services

CIS Center for Internet Security

CRC Cyclic Redundacy Check

EBS Elastic Block Store

EC2 Elastic Compute Cloud

FIM File integrity monitoring

HEC HTTP Event Collector

IDS/IPS | Intrusion Detection Systems/ Intrusion

Detection Systems

IP Internet Protocol

83 Simple Cloud Storage

SCA Security Configuration Assessment

SDK Software Development Kit

SEM Security Event Management

SIEM Security Information Event Management

SIM Security Information Management

SPL Search Processing Language

SSH Secure Shell

TCP Transmission Control Protocol

TLS/SSL | Transport Layer Security/ Secure Sockets

Layer

UDP User Datagram Protocol

TÓM TÁT KHÓA LUẬNTrong thời điểm hiện nay, những thách thức với hệ thống SIEM ngày một tănglên do sự phổ biến của nhiều loại nền tảng, những nhu cầu thiết yếu trong việc triểnkhai, vận hành cũng như phản hồi trước các cảnh báo một cách nhanh chóng và hiệu

quả Nội dung của khóa luận sẽ tập trung xây dựng hệ thống SIEM dựa trên hai giải

pháp là Splunk và Wazuh để đánh giá khả năng giám sát cơ sở hạ tầng công nghệthông tin song song hai nền tảng đám mây và nội bộ thông qua các bước thu thập dữ

liệu, phân tích dữ liệu và xây dựng một số kịch bản phản hồi trước các cảnh báo Từ

đó đưa ra những nhận xét, đánh giá về khả năng giải quyết các nhu cầu về thu thập,

phân tích dữ liệu trên nhiều nền tảng cũng như khả năng phản hồi tự động trước cáccảnh báo sự cố an toàn thông tin

hệ thống vật lý tại cơ sở như thông thường Những hệ thống đa nền tảng sẽ cần những

công cụ khác nhau dé giám sát, quan lý các sự kiện an toàn thông tin khác nhau, gây

mat thời gian xử lý cũng như hạn chế khả năng phản ứng trước sự cô

Đề tài nghiên cứu có mục tiêu tìm hiểu triển khai và so sánh các tính năng của hainền tảng giám sát an toàn thông tin Splunk và Wazuh gồm giám sát tập trung các hệ

thống đồng thời xây dựng các tính năng phản hồi tự động, xử lý sau khi phát hiện sự

cố, giúp tiết kiệm thời gian phan ứng trước sự có và tăng khả năng kiểm soát hệ thông

công nghệ thông tin cho đội ngũ giám sát vận hành an toàn thông tin.

1.2 Đối tượng nghiên cứu

Đối tượng nghiên cứu: các nền tảng giám sát an toàn thông tin đang được sử dụng

hiện tại; dữ liệu phân tích từ các server tại cơ sở; dữ liệu phân từ các dịch vụ từ hệ

thống cloud; tính năng phản hồi trước sự cố

Đối tượng sử dụng: bộ phận, cá nhân đóng vai trò giám sát vận hành an toàn thông

tin tại các doanh nghiệp; nghiên cứu học tập.

1.3 Pham vi nghiên cứu

Thông tin, log, sự kiện liên quan đến vấn đề an toàn thông tin trên hệ thống tại cơ

sở như Servers (Linux, Windows) và hệ thống cloud có chạy các máy ảo với cách

dịch vụ cơ bản; các phương pháp xử lý, phản hồi trước sự có

1.4 Phương pháp nghiên cứu

Tìm hiểu về hai nền tảng giám sát sự kiện an toàn thông tin (SIEM) là Splunk

Enterprise và Wazuh.

Xây dựng 2 mô hình gồm các server nội bộ, cloud và sử dung hai nền tảng giám

sát là Splunk Enterprise và Wazuh.

Thu thập và xử lý các thông tin thu thập được ở hai nền tảng Tạo các use-casephản hồi trước các cảnh báo, sự có được phát hiện trên từng mô hình

So sánh kết quả thu thập được ở hai mô hình Từ đó đưa ra những nhận xét đánhgiá trên mỗi nền tảng SIEM đã triển khai

1.5 Cấu trúc khóa luận

Ngoài phần mục lục, danh mục các từ viết tắt, danh mục hình ảnh và tài liệu tham

khảo, khóa luận được bồ cục thành 8 chương như sau:

Chương 1 — Mở đầu

Trình bày lí do chọn đề tài, mục đích, đối tượng và phạm vi nghiên cứu

Chương 2 — Kiến thức nền tảng

Trình bày và giải thích các định nghĩa, nguyên tắc hoạt động, những thuận lợi và

khó khăn khi triển khai và vận hành hệ thông SIEM Giới thiệu về giải pháp Splunk,'Wazuh và các nền tảng điện toán đám mây

Chương 3 - Phương pháp thu thập dữ liệu

Trình bày về các mô hình và phương pháp thu thập dữ liệu của Splunk và Wazuhđối với hai hệ thống nội bộ va cloud, các nơi lưu trữ nhật ký của hai hệ thống, các kếtnối đề thu thập dữ liệu từ cloud thông qua API hoặc Socket, giới thiệu với các module

hoặc addon dùng dé thu thập dữ liệu từ hai hệ thống

Chương 4 - Phương pháp phân tích dữ liệu

Trình bày và giải thích quá trình phân tích dữ liệu và tạo cảnh báo của hai tén

nang Splunk và Wazuh Cách thức lưu trữ và trực quan hóa dit liệu.

Chương 5 — Triển khai hệ thống giám sát

Triển khai và cầu hình Splunk và Wazuh đề giám sát hai hệ thống cloud và local.Chương 6 — Phát hiện và phan hồi sự cố

Cài đặt và triển khai một số kịch bản áp dụng qui trình tự động phản hồi sự cố

trong hệ thống nội bộ với Splunk và Wazuh

Chương 7 — So sánh và đánh giá

Thông qua việc triển khai hai hệ thống giám sát và các kích ban phản hồi sự cốtiến hành so sánh, đánh gia ưu điểm và hạn chế giữa hai nên tảng Splunk và Wazuh

Chương 8 — Kết luận và hướng phát triển

Tổng kết các nội dung đã nghiên cứu và triển khai trong đề tài Từ đó đề xuất các

hướng phát triển của đề tài có thể tiếp tục thực hiện trong tương lai

Chương 2 KIÊN THUC NEN TANG

2.1 Hệ thống quản lý thông tin sự kiện an toàn thông tin

2.1.1 Giới thiệu

Security Information and Event Management hay SIEM tạm dịch là hệ thống quản

lý sự kiện và thông tin bảo mật là kết hợp giữa quản lý thông tin bảo mật (SIM) vàquản lý sự kiện bảo mật (SEM) Giải pháp SIEM đóng vai trò cung cấp một góc nhìn

toàn diện về những sự kiện đã và đang dién ra trong hệ thống công nghệ thông tin Điều

đó giúp cho bộ phận quản trị và vận hành hệ thống có thể kiêm soát được những thayđổi đáng ngờ trong hệ thống của mình, từ đó phản ứng nhanh hơn với các mối đe doa

an toàn thông tin [1]

Vi là giải pháp kết hợp giữa SEM — chịu trách nhiệm phân tích các sự kiện và dữliệu nhật kí từ các hệ thống trong thời gian thực, từ đó cung cấp sự tương quan giữacác sự kiện (event correlation), giám sát mối đe doạ (threat monitoring) và phan hồi sự

cố (incident response) — cùng với SIM - chịu trách nhiệm thu thập, phân tích các trường

log dữ liệu, từ đó sinh ra các bản báo cáo về thông tin hệ thống, SIEM bao gồm các ưuđiểm ủa cả hai giải pháp trên Đối với những doanh nghiệp hay tổ chức có nhu cầu

kiểm soát một cách toàn diện hệ thống công nghệ thông tin của mình, SIEM chính là

một lựa chọn hợp lý.

Hinh 2.1: Luỗng hoạt động cơ bản của SIEM [2]

Luỗng hoạt động của SIEM cơ bản gồm 4 bước sau:

- Bước 1: Thu thập đữ liệu từ các nguồn trong hệ thống Các nguồn dữ liệu thường

là các thiết bị quản lý tập trung, các thiết bị cần tính bảo mật cao như các server,

Domain Controler; hay các thiết bị mạng như Firewall, Switch và các sản phẩm

an toàn bảo mật thông tin như IDS/IPS, Endpoint Security,

- Bước 2: Phân tách các trường dữ liệu, biến những đữ liệu thô trở nên dé đọc, có

hơn những thông tin mình thu thập được ở SIEM, từ đó dé dàng truy van và liênkết các dữ liêu với nhau Thông thường cấu trúc của các dữ liệu sẽ được quyđịnh bởi hãng cung cắp sản pham nên việc phân tách nhìn chung không quá khókhăn Đối với các ứng dụng được phát triển bởi các bên mà cấu trúc dữ liệukhông được cung cấp rõ ràng, việc xác định cấu trúc sẽ gây ra một số khó khăn

cho người cấu hình SIEM

- _ Bước 3: Phân tích dữ liệu dé phát hiện các mối de doa trong hệ thống Day có

thé xem giai đoạn phức tạp nhất trong quá trình vận hành SIEM Dé phát hiệnnhững mối đe doa trong hệ thống, không chỉ dựa vào nguồn dữ liệu đầy đủ màcòn phụ thuộc nhiều vào kinh nghiệm và kỹ năng của người giám sát, phân tích,kết hợp với việc xây dụng các bộ luật, tiêu chí cho các trường hợp cụ thể

- Bude 4: Cảnh báo cung cấp thông tin dé phân tích, xử lý vấn dé bảo mật thông

tin phát hiện được Đây là một bước quan trọng phục vụ cho quá trình phản hồi

trước sự cố về sau Những vấn đề cần được cân nhắc có thể là cảnh báo sẽ đượcphân loại theo các mức độ như thế nào, cảnh báo sẽ được gửi đến ai thông quacác kênh kết nói nào, phương án xử lý gợi ý đối với một số trường hợp cụ thẻ

Những điều này đều cần được lên kế hoạch trước đề tối ưu thế manh của SIEM

va đem lại hiệu suất cao trong việc phát hiện, phản hồi sự cô [3]

Đối với bất kì doanh nghiệp hay tổ chức nào, bộ máy công nghệ thông tin đều là

một phần thiết yếu Và những van đề về an toàn thông tin bắt buộc phải được kiểm soátmột cách toàn diện dé ngăn chặn những tác động từ vô vàn những mối đe dọa từ bên

ngoài và ké cả nội bộ Thực tế đã có rất nhiều giải pháp cho những rủi ro cụ thé được

áp dụng phổ biến trong thực tế như hệ thống tường lửa (firewall) dé lọc những gói tin

độc hại từ bên ngoài internet; hệ thống phát hiện và ngăn ngừa xâm nhập (IDS/IPS)

cho những hành động bắt thường từ các tác nhân nội bộ mà firewall không kiểm soátđược hay các phần mềm chống mã độc (anti-malware) được cài đặt trực tiếp trên các

thiết bị đầu cuối (endpoint) để ngăn chặn sự xâm nhập từ những thiết bị này Và vớicàng nhiều những công nghệ độc lập như vậy được sử dụng, việc quản lý cũng như vận

hành thật sự là một thách thức đối với bộ phận công nghệ thông tin

Những năm gần đây, với sự chuyền dịch công nghệ mạnh mẽ, hệ thống thông tinnội bộ với các thiết bị tại cơ sở đang dần bộc lộ những điểm yếu về tính linh hoạt, tính

mở rộng, khả năng phục hồi sau thảm họa, Thay vào đó, các hệ thống ảo hóa, điệntoán đám mây được phối hợp vào hệ thống công nghệ thông tin, trở thành bài toán giảiquyết cho những vấn đề mà mô hình cũ không giải quyết được Những thuận lợi của

công nghệ mới cũng mang lại những rủi ro mới trên những hệ thống đám mây [4] hay

ảo hóa [Š].

2.1.2 Những thuận lợi

Trước những thử thách mà bộ phận công nghệ thông tin gặp phải trong việc quản

trị, vận hành và bào mật gặp phải trong bối cảnh hiện nay, giải pháp SIEM sẽ là chìakhóa để giải quyết những thách thức đó

Routers /Switches

) Firewall

Server \

Hình 2.2: Các nguồn dữ liệu của SIEM

Với SIEM, tat cả những thông tin, sự kiện từ các máy chủ, thiết bị mạng hay các

giải pháp bảo mật đề có thể được thu thập và phân tích, hỗ trợ rất nhiều cho nhân sự

đảm nhận các công việc quản trị, vận hành và bảo mật.

Các tính năng của SIEM có thể được trình bày chỉ tiết như sau [6]:

- Quản lý dé liệu tap trung: Thông tin và sự kiện từ các hệ thống máy chủ, thiết

gian tông hợp từ nhiều nguồn, hạn chế bỏ lỡ những thông tin quan trọng cũngnhư không cần quan tâm đến van đề lưu trữ dữ liệu nhật ký (log data) trên từngthiết bị gây hao tốn tài nguyên bộ nhớ.

-_ Tương quan dữ liệu: Vì có được thông tin, sự kiện từ nhiều nguồn, người dùng

có thể thông qua SIEM, tìm kiếm những thuộc tính chung, kiên kết các sự kiện

lại với nhau trở thành một tập có ý nghĩa nhất định trong một tình huống cụ thể

- Cảnh báo: Đối với các nền tang STEM, khi các sự kiện thu thập được vi phạm

một luật nào đó, cơ chế cảnh báo sẽ được kích hoạt Các cảnh báo này sẽ đượcthông tin đến người quản trị và giám sát vận hành theo nhiều hình thức khácnhau ví dụ như trực tiếp trên hệ thống SIEM hay qua các kênh email, chat

Các cảnh báo kip thời sẽ giúp bộ phan công nghệ thông tin xử lý kịp thời các sự

cố ngoài ý muốn liên quan đến an toàn thông tin

- Bảng điều khiển (Dashboard): Một công cụ hữu ích để biểu diễn những thông

tin, sự kiện mà người đùng khó hiểu thành các biểu đồ, số liệu trực quan nhằmcung cấp những thông tin cần thiết, hỗ trợ quá trình giám sát vận hành và theo

dõi hoạt động của hệ thống.

- Phát hiện và xử lý sự cố: Với khả năng lưu trữ và phân tích thông tin, sự kiện

tập trung, kết hợp với các tập luật, người giám sát vận hành bảo mật có thể dễdàng tiếp cận với nguồn thông tin ngay khi các sự có được phát hiện Quá trình

xử lý và xác định luồng sự cố cũng nhanh chóng và dé dàng, tối ưu hóa hiệuxuất trong việc phản ứng trước các sự cô cũng như tìm ra phương hướng khắc

phục hiệu quả.

Giải pháp SIEM cung cấp một bức tranh toàn cảnh về các sự kiện bảo mật trong hệ

thống công nghệ thông tin, hỗ trợ người dùng thu thập dữ liệu tập trung từ nhiều trong

hệ thống, phân tích và biễu diễn một cách trực quan hỗ trợ việc phát hiện các sự kiệnbảo mật Bên cạnh đó sử dụng các tập luật để kích hoạt các cảnh báo đến người dùng

trước những sự kiện vi phạm, giúp tăng khả năng phát hiện, truy vết, xử lý các sự cố

an toàn thông tin.

2.1.3 Những khó khăn

Vi có những tính năng giúp giải quyết những van đề trong an toàn thông tin và xử

lý sự cố, SIEM trở thành một công cụ vô cùng mạnh mẽ đối với các chuyên gia phântích phản hồi sự cố nói riêng và một tổ chức, doanh nghiệp nói chung Bên cạnh đó, hệ

thống này cũng mang lại một số khó khăn đáng lưu ý trong việc triển khai và sử dụng

[7]:

SIEM chỉ sử dung dữ liệu (log) được cung cấp dé phân tích: Điều nay có nghĩa

là những phân tích của SIEM chỉ thực sự mang lại nhiều giá trị nếu dữ liệu đầuvào được chất lọc kĩ lưỡng Bởi vì các thông tin được ghi lại, đối với các hệ

thống càng lớn thì sẽ càng không lồ, và rất nhiều trong số chúng là những thông

tin, sự kiện được xem là “bình thường” Và khi xử lý thông tin thì hệ thống

SIEM sẽ phải chi trả một lượng tài nguyên tương ứng Do đó việc xác định

nguồn dữ liệu, cũng như lọc bớt những dữ liệu thừa là một trong những mốiquan tâm hàng dau dé có thé sử dụng và vận hành hệ thống SIEM một cách hiệu

tin: Đội ngũ giám sát vận hành cần trang bị đầy đủ kiến thức va kỹ năng dé có

thể sử dụng một công cụ mạnh mẽ như SIEM Bên cạnh đó hiểu biết về các bộluật, các bộ tiêu chí cũng như hiểu rõ về các kỹ thuật tắn công, các phương pháp

che giấu thông tin là điều bắt buộc Kinh nghiệm trong lĩnh vực làm việc cũng

là một phan không thé thiếu dé có thé phát hiện những rủi ro tìm ân mà các bộ

2.2 Giải pháp Splunk Enterprise

2.2.1 Giới thiệu

Splunk Enterprise (gọi tắt là Splunk) là một trong những nền tảng được xây dựngbởi Splunk Inc, cung cấp khả năng tìm kiếm, phân tích và biéu diễn các dữ liệu thuthập được từ các thành phần trong hệ thống công nghệ thông tin của tổ chức, doanh

nghiệp Splunk Enterprise có thể thu thập thông tin được ghi lại từ các nguồn như cácmáy chủ, các ứng dụng, các thiết bị mạng hay các hệ thống nền tảng điện toán đám

mây thông qua nhiều phương thức đặc thù khác nhau, sau đó lưu trữ và phân tách

22,482 17 101 93

Các tính năng nồi bật của Splunk Enterprise có thé thể ké đến như:

- Indexing: Sau khi nhận thông tin từ các nguồn dữ liệu, Splunk lưu trữ và xử lý

các thông tin đó theo cách thức riêng đề tối ưu khả năng tìm kiếm dữ liệu

Dữ liệu trải qua quá trình Indexing sẽ được chia làm 2 loại là raw data (thường

dùng cho việc kiểm tra tính toàn vẹn dữ liệu) và index data (dữ liệu phi cấu trúc

dùng cho truy van) sau đó được lưu trữ xuống 6 đĩa trong các thư mục gọi làindex và cụ thể hơn tại các đường dẫn nhất định gọi là các buckets Đối với

Splunk, một bucket đóng vai trò như một tập hợp những dữ liệu có trường thời

gian theo một khoảng nhất định Khi mà giá trị mốc thời gian (timestamps) vượtquá một khoảng so với thực tế, ví dụ như 7 ngày, những buckets đang chứa dữ

liệu với mốc thời gian đó sẽ chuyền sang một trạng thái khác Việc phân chiatrạng thái của các buckets sẽ tối ưu hóa quá trình truy vấn dữ liệu tại các mốc

thời gian khác nhau.

- Search: Khả năng tìm kiếm là một trong những ưu điểm của Splunk so với các

nền tang SIEM khác Splunk có riêng cho mình một ngôn ngữ truy van dé kếthợp với quá trình Indexing giúp tối ưu hiệu suất tên là Search ProcessingLanguage (SPL) Những câu truy van chính là nền tảng tạo nên các bộ luật, các

dashboard, cảnh báo đối với Splunk Việc hiểu rõ các câu truy vấn sẽ giúp hệ

thống Splunk hoạt động tối ưu nhất trong việc tìm kiếm, phát hiện, phân tích và

cảnh báo các sự kiện bảo mật thông tin.

- Alerts: Cảnh báo sẽ được sinh ra khi kết quả truy van trong một khoảng thời

gian cụ thể (có thé là thời gian thực hoặc trong quá khứ) mang một số tính chất

phù hợp với một hoặc một vài điều kiện đã được thiết lập trước đó Splunk cũng

cho phép cài dat Trigger Action — một hành động kèm theo khi cảnh báo được

kích hoạt Các hành động này có thé là gửi email, gửi thông tin đến các kênhcảnh báo hoặc chạy một đoạn script bất kỳ được cấu hình sẵn

Ngoài ra Splunk còn giới thiệu một số tính năng như Dashboard, Pivot, Report

hỗ trợ cho việc biéu diễn dữ liệu, giám sát vào báo cáo [8]

2.2.2 Kiến trúc hệ thốngCác thành phan chính trong một kiến trúc hệ thống Splunk bao gồm Forwarder,

Indexer, Search head [9]:

- Splunk Forwarder: là thành phần được cài đặt xuống các máy chủ dé thu thập

dữ liệu từ máy chủ và gửi về Indexer Splunk Forwarder gồm 2 loại:

© Universal Forwarder: gửi dữ liệu thô mà không thông qua bat kì bước xử

lý nào Khi sử dụng loại Forwarder này, ưu diém là máy được cài sẽ tiêutốn ít hiệu năng, hau như không ảnh hưởng quá nhiều đến hiệu suất Bùlại Indexer sẽ phải làm tất cả công đoạn xử lý dữ liệu

o Heavy Forwarder: xử lý bóc tách các trường dữ liệu, indexing dữ liệu.

Heavy Forwarder chỉ gửi những dữ liệu đã được xử lý thành những sự

kiện có thể truy vấn được đến Indexer Ưu điểm sẽ tăng được hiệu suất

cho Indexer nhưng tiêu tốn tài nguyên máy chủ cài đặt

Splunk Indexer: là thành phần sẽ nhận dữ liệu từ các Forwarders; biến những

dữ liệu đó thành các sự kiện có thể phân tích, giám sát được; lưu trữ chúng tại

các index Các Indexer cũng sẽ làm nhiệm vụ truy vấn khi nhận được các yêucầu và gửi kết quả về cho Search head Đề đảm bảo tính sẵn sàng và ngăn chặn

thất thoát dữ liệu, ta có thể tạo nhiều Indexers và cấu hình chúng thành các cụm

gọi là các clusters.

Splunk Search head: Cung cấp giao diện web tương tác trực tiếp với người dùng

Là nơi biểu diễn dữ liệu một cách trực quan, thân thiện để người dùng thực hiện

các thao tác truy van, giám sát, câu hình xử lý một sé tính năng Thông thường

dé đảm bảo tính sẵn sàng, Search heads cũng được cấu hình cluster

Splunk CLI [spunk Web Interface Other interfaces

Splunk > Engine

Scheduli H =

Reporting a Knowledge

Distributed Distributed

Sanh Search CÀ, Search

Đối với quá trình triển khai Splunk, tùy vào quy mô của hệ thống mà các thànhphần được phân thành các tầng gọi là tier, một mô hình cơ bản sẽ bao gồm ba tier

đảm nhiệm ba chức năng chính, đó là:

- Data input tier: gồm các Forwarder

- Indexing tier: gồm các Indexer

- Search management: Gồm các Search head

Small Enterprise Deployment

& QQ Less than 100 users

-(Mô hình triển khai Splunk cơ bản cho doanh nghiệp nhỏ)

2.2.3 Splunk App và Splunk Add-on

Splunk Enterprise cung cấp một kho ứng dụng gọi là Splunk base Truy cập Splunk

base người dùng có thể tham khảo và sử dụng các App và Add-on nhằm đề hỗ trợ, mở

rộng các tính năng cho nền tảng Splunk Các App va Add-on có thé được cung cấpmiễn phí hoặc tính phí, bởi Splunk Inc, các hãng đối tác hay cộng đồng (phải được xét

duyệt bởi Splunk) [10]

cisco

AddOn+ tH AddOn+| ttt

ttt ttt

Splunk Add-on for Cisco Networks Add- Splunk Add-on for Splunk Add-on for Cisco Networks App _ InfoSec App for

Cisco ASA ‘on for Splunk Cisco FireSIGHT Cisco Identity for Splunk Enter Splunk

18126 installs 14440 nghe 9843 stalls 8467 rsa 4567 ists 4268 nstals 8

Splunk Built Apps see a 194 app

Splunk Add-on for ‘Splunk Add-on for Splunk Common Splunk Add-on for Python Upgrade Splunk Essentials for Unix and Linux Microsoft Wind Information Mo: Cisco ASA Readiness App Cloud and Ente

28060 nstals 29479 instal 20663 installs 12126 nso 16069 insta 14433 Ingols

Splunk Appinspect Passed Apps See all 843 apo

Lacework App _ —_ MeafesNgtwork CyGraph Splunk Vanguard Active Radhrare DefensePro.

Hình 2.66: Kho App và Add-on Splunk Base

App viết tắt của application là các chương trình chạy trên nền tang Splunk Các Appđược thiết kế dé hỗ trợ phân tích và biéu diễn các thông tin về một loại dữ liệu cụ thể

Một số App được sử dụng và tham khảo trong khóa luận này là Splunk App for AWS,Microsoft Azure App for Splunk, Thường các App cung cấp các Dashboard giám

sát, các Alert và Report cùng với các mẫu truy vấn

Add-on là các thành phần cung cấp khả năng thu thập, chuẩn hóa và phân tách dữ

liệu Một số on được sử dụng và tham khảo trong khóa luận này là Splunk

Add-on for Microsoft Cloud Services, Splunk Add-Add-on for AmazAdd-on Web Services, Splunk

Add-on for Unix and Linux, Splunk Add-on for Microsoft Windows,

2.3 Giai phap Wazuh

2.3.1 Giới thiệu

Wazuh là một nên tảng miễn phi và mã nguồn mở sử được sử dụng để phát hiện,

ngăn ngừa và phản hồi trước các mối đe dọa Wazuh sử dụng trong các môi trường

on-premises, ảo hóa, container va đám mây Wazuh được sử dụng rộng rãi ở hàng

nghìn tổ chức trên thé giới, từ các doanh nghiệp nhỏ tới các doanh nghiệp lớn [11]

Giải pháp wazuh bao gồm một endpoint security agent, triển khai ở hệ thống được

giám sát và một manager server với nhiệm vụ là thu thập và phân tích dữ liệu từ các

agent Bên cạnh đó Wazuh tích hợp Elastic Stack cung cấp công cụ tìm kiếm và trực

quan hóa dữ liệu cho phép người dùng theo dõi các sự kiện bảo mật [11]

= (4ê WAZUH⁄ mooduies | securtty events 3g wazuh

2.3.2.1 Wazuh agent

Wazuh agent có kiến trúc mô-đun, những thành phan khác nhau sẽ đảm nhiệm

các nhiệm vụ khác nhau như: giám sát file hệ thống, đọc nhật ký, thu thập inventory

data, quét cấu hình hệ thống, tìm kiếm phần mềm độc hại, User có thể bật tắt các

mô-đun này thông qua việc cấu hình, điều chỉnh các giải pháp theo từng trường hợp

cụ thể [13]

Sơ đồ bên dưới đại diện cho kiến trúc và các thành phan của agent.

a

ä ` cesar Engne A Powe St

i ee Modes rage Daserenpser

Fle integrity monitoring ‘Agent daemon =

‘nt ta Dat ow ant mote conaiaon nen

] ‘Sap raing prose esr srvens

Roots dteton

Hình 2.88: Các module cua Wazuh agent [13]

Tất cả các mô-đun điều có mục đích và cài đặt khác nhau Dưới day là mô tả ngắn

ngọn từng mô-đun [13]

- Log collector: Đọc và thu thập các tệp nhật ký hoặc các tệp sự kiện windows,

các tệp nhật ký của các ứng dụng.Ngoài ra còn có thể đọc các sự kiện dướidạng JSON với nhiều trường chứa metadata

- Command execution: Thực thi một lệnh nào đó theo chu kỳ, thu thập ouput từ

các lệnh đó và gởi lại cho Wazuh server dé phân tích Mô-đun này có thé sửdụng dé đáp ứng các mục đích khác nhau (ví dụ: chạy lệnh dé giám sát dung

lượng còn trống của 6 dia theo chu ki)

- File integrity monitoring (FIM): Mô đun giám sát tệp, báo cáo khi có các thao

tác thêm, xóa, sửa tới tệp Theo dõi file thuộc tính tệp, quyền, ownership, nội

dung.

- Security configuration assessment (SCA): Đánh giá cầu hình liên tục, sử dụng

kiểm tra tiêu chuẩn của Center for Internet Security (CIS) Người dùng cũng

có thé tạo kiểm tra SCA của riêng đề giám sát và thực thi các chính sách bảo

mật.

- System inventory: Mô-đun chạy theo định ky, thu tập các inventory data như

phiên bản hệ điều hành, network interface, các tiến trình đang chạy, các ứngdụng được cài đặt, và các công đang mở.Kết quả được lưu trong local SQLitedatabase và có thể được truy vấn đến từ xa

- Malware detection: Phát hiện phần mềm độc hại theo phương pháp

non-signature, phát hiện dựa trên sự bất thường Sự kiện bất thường có thể phát

hiện thông qua việc giám sát lời gọi hệ thống, quét các tiến trình ẩn, file ân,công an

- Active response: Mô-đun tự động thực hiện các hành động được thiết đặc sẵn

khi phát hiện được các mối đe doa Ví dụ như có thé chặn kết nối mạng, dừng

tiền trình đang chạy hoặc xóa tệp độc hại Người dùng cũng có thể tạo customresponse (ví dụ: chạy file binary trong sandbox, nắm bắt lưu lượng kết nối

mạng, quét tệp bằng phần mềm chồng vi-rút, v.v.)

- Containers security monitoring: Mô-đun tích hợp Docker Engine API dé giám

sát những thay đổi trong môi trường container Vi du như phát hiện nhửngthay đổi trong container images, network configuration, data volume Bên

cạnh đó nó còn cảnh báo những container đang chạy với privileged mode và users đang thực thi các lệnh đang chạy trong container.

- Cloud security monitoring: Mô-đun cho phép monitoring các cloud provider

nhu Amazon AWS, Microsoft Azure, théng qua viéc giao tiép với các API củanhà cung cấp cloud Nó có thé phát hiện nhửng thay đổi trong kiến trúc cloud

(ví dụ như user mới vừa được tao, security group bị thay đổi, cloud instance is

stopped, ) và thu thập logs từ các cloud service (ví dụ như AWS Cloudtrail,

AWS Macie, AWS GuardDuty, Azure Directory, ).

Wazuh agent giao tiếp với Wazuh server dé vận chuyền các dữ liệu đã thu thập

và những sự kiện bao mật Bên cạnh đó, agent còn gởi những operational data, báo

cáo về câu hình và trạng thái Một khi kết nối tới Wazuh server, agent có thể nângcấp, giám sát, và cầu hình từ xa bởi Wazuh server [13]

Wazuh agent có thé giao tiếp với server thông qua các secure chanel (TCP hoặcUDP), cung cap má hóa dữ kiệu và nén dữ liệu trong thời gian thực Mặc khác cungcấp kha năng kiểm soát luồn dé tránh tình trang flooding, queueing events khi cầnthiết để bảo vệ thông lượng mạng [13]

Để kết kết nối tới server, agent cần đăng ký với server Quá trình này cung cấp

cho agent một pre-shared key để sử dụng cho việc chứng thực và mã hóa [13]

2.3.2.2 Wazuh server

Wazuh server là thành phan phân tích các dữ liệu nhận được từ các agent, kíchhoạt các cảnh báo khi phát hiện threat hoặc có bất thường Server còn có thể sử dụng

để quản lý các cầu hình agent từ xa và giám sát trạng thái của các agent [14]

Wazuh server sử dung threate intelligence source đề cải thiện khả năng phát hiện

Nó cũng sử dụng các yêu cầu tuân thủ quy định (ví dụ: PCI DSS, HIPAA, NIST

800-53 ) và khuôn khổ Mitre ATT&CK đề làm phong phú dữ liệu cảnh báo [14]

Wazuh server có thể tích hợp với các external software như ticketing system

(Service Now, Jira, Pager Duty) và các instant message platform (slack) [14]

Wazuh server chạy các thành phân như bộ phân tích (Analysis engine), Wazuh

RESTful API, agents registration service, agents connection service, Wazuh cluster

daemon, và Filebeat Sơ đồ dưới đây đại diện cho kiến trúc và thành phan server [14]

Agentereglsraion service

Analysis engine Fiebast

vast ono, G0013 Custer service

Hình 2.99: Các thành phan trong Wazuh server [14]

- Agents registration service: được sử dung dé đăng ký một agent mới bằng cách

cung cấp và phân phối pre-share authenticationkey duy nhất cho mỗi agent.Quá trình này chạy như là một network service và hỗ trợ xác thực qua

TLS/SSL certificate hoặc bằng một mật khẩu có định

- Agents connection service: service dùng dé nhận các dữ liệu từ agent Sử dụng

pre-share key dé xác thực và nhận diện agent, mã hóa kết nối nữa agent và

Wazuh server Ngoài ra service này sử dụng dé quản trị tập trung, có thể đấy

các câu hình agent từ xa

- Analysis engine: tiến trình dùng cho việc phân tích và giải mã dữ liệu Sử dụng

các decoders (bộ giải mã) để xác định loại thông tin đang xử lý (ví dụ:Windows events, SSHD logs, web servers logs, ) và trích xuất thông tin từ

các tường dữ liệu (ví dụ như: source IP address, event ID, username, ) Tiếptheo, bằng cách sử dụng rules (bộ quy tắc), nó xác định cụ thể các mẫu trong

sự kiện được giải mã nếu trùng với một qui tắc nào đó sẽ thực hiện việc cảnh

báo và có thậm chí có thể gọi một số biện pháp đối phó tự động (ví dụ: cắm IP

thông qua firewall).

- Wazuh RESTful API: service cung cấp interface dé tương các với các thành

phan trong kiến trúc Wazuh Nó được sử dung dé quản lý các agents và việc

cấu hình server, giám sát trạng thái cơ sở hạ tầng, tình trạng tổng thể, dùng để

quản lý và thay đổi Wazuh decoders và rules, truy vẫn về trạng thái của các

endpoint được giám sát Nó còn được sử dụng cho giao diện web Wazuh, còn

được gọi là Kibana app.

- Wazuh cluster daemon: service hỗ trợ cho việc mở rộng wazuh, triển khai như

là một cluster Loại cấu hình này, kết hợp với cân bằng tải mạng, cung cấp độ

sẵn sàng cao.Wazuh cluster daemon là những gì máy chủ Wazuh sử dụng dégiao tiếp với nhau và dé đồng bộ hóa

- Filebeat: được sử dụng để vận chuyện các sự kiện và các cảnh báo tới

Elasticsearch Nó đọc những output từ Wazuh analysic engine và vận chuyểnnhững sự kiện đó realtime Nó cũng cung cấp cân bằng tải khi mà kết nối tới

mutli-node Elasticsearch cluster.

2.3.2.3 Elastic stack

Elastic Stack là một bộ thống nhất gồm các dự án mã nguồn mở phổ biến dé quản

lý nhật ký,gồm Elasticsearch, Kibana, Filebeat và các dự án khác Các dự án đặc biệtliên quan đến giải pháp Wazuh là: [15]

- Filebeat: Một trình vận chuyền dữ liệu gọn nhẹ, được sử dụng dé truyền tải nhật

ký qua mạng, thường là tới Elasticsearch Nó được sử dụng trên máy chủ Wazuh

để gửi các sự kiện và cảnh báo tới Elasticsearch Nó đọc đầu ra của Wazuh

analysis engine và gửi các sự kiện trong thời gian thực thông qua một kênh được

mã hóa Nó cũng cung cấp khả năng cân bằng tải khi được kết nối với một cụmElasticsearch nhiều nút

-_ Elasticsearch: Công cụ phân tích và tìm kiếm, có khả năng mở rộng cao nêu

được triển khai phân tán, có nghĩa là các data indices được chia thành các phân

đoạn và mỗi phân đoạn có thể có không hoặc nhiều bản sao Wazuh sử dụng

các indices khác nhau cho dữ liệu cảnh báo, sự kiện thô và thông tin giám sát

trạng thái.

- Kibana: Giao diện web linh hoạt và trực quan hóa dữ liệu Nó làm việc trên

tích hộp hoàn toàn trên Kibana dưới dạng một plugin Nó bao gồm cácdashboards có sẵn cho các security event, tuân thủ các quy định (ví dụ: PCI

DSS, GDPR, CIS, HIPAA, NIST 800-53) Phát hiện lỗ hồng ứng dụng, file

integrity monitoring data (dữ liệu giám sát tính toàn vẹn của tệp), configuration

assessment results (kết quả đánh giá cầu hình), cloud infrastructure monitoring

events (sự kiện giám sát cơ sở hạ tầng đám mây)

2.3.3 Kiến trúc hệ thống

Kiến trúc Wazuh dựa trên các agent chạy trên các endpoint được monitor, chuyển

tiếp các data security tới server Hơn nữa, các thiết bị không có agent (vi dụ : firewall,

switch, router, access point, ) được hỗ trợ và có thé chủ động gửi dữ liệu log thôngqua SSH, hoặc sử dung API của riêng chúng Server sẽ tiến hành giải mã và phân tích

thông tin gửi đến, đồng thời chuyền kết quả tới Elasticsearch đề lập index và lưu trữ

[16]

Một Elasticsearch cluster là một tap hợp một hoặc nhiều node giao tiếp với nhau déthực hiện hoạt động đọc và ghi trên các index Triển khai Wazuh với mức độ quy mô

nhỏ sẽ không yêu cầu xử lý lượng lớn dữ liệu, dễ dàng xử lý bởi 1 node Multi-mode

được khuyến nghị khi có một số lượng lớn các endpoint cần giám sát, khi dự kiến sẽ

truyền một khối lượng lớn dữ kiệu hoặc khi cần độ sẵn sàng cao [16]

Với môi trường production nên triển khai Wazuh server và Elasticsearch ở các hostkhác nhau Trong trường hợp này, Filebeat được sử dụng để vận chuyên Wazuh alert

hoặc archived event tới Elasticsearch cluster (Single-node hoặc multi-node) sử dụng

mã hóa TLS [16]

Sơ đồ bên dưới đại diện cho kiến trúc triển khai phân tán (Distributed) Nó cho thấycác thành phan giải pháp và cách mà Wazuh server và Elasticsearch có thé cấu hìnhnhư một cluster, cung cấp cân bằng tải và tính sẵn sàng cao [16]

Elasticsearch cluster

i,

'Wazuh users

Hình 2.1010: Kiến trúc triển khai phân tán của Wazuh [17]

Ngoài ra ta có thé triển khai Wazuh dưới dang All-in-one, Tất cả các thành phầnWazuh được cai đặt trong cùng một máy chủ Loại triển khai này phù hợp để thử

nghiệm và môi trường làm việc nhỏ [18]