DANH MỤC HÌNH ẢNH iii DANH MỤC BẢNG iv DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT v LỜI CẢM ƠN vii LỜI MỞ ĐẦU viii CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG GIÁM SÁT AN NINH MẠNG 1 1.1. Tình hình chung về hệ thống giám sát an ninh mạng 1 1.1.1. Các nguy cơ an ninh mạng 1 1.1.2. Tính cấp thiết về việc giám sát an ninh mạng tại Việt Nam 3 1.2. Các giải pháp giám sát an ninh mạng 4 1.2.1. Security Information Management 4 1.2.2. Security Event Managerment 5 1.2.3. Security Information and Event Management 5 1.3. Các dịch vụ của SIEM 5 1.4. Các thành phần của SIEM 8 1.4.1. Thiết bị nguồn 9 1.4.2. Thu thập Log 10 1.4.3. Phân tích, Chuẩn hóa Log 11 1.4.4. Kỹ thuật tương quan sự kiện 12 1.4.5. Lưu trữ Log 14 1.4.6. Theo dõi và giám sát 15 1.5. Kết luận 16 CHƯƠNG 2: THIẾT BỊ VÀ GIẢI PHÁP TRIỂN KHAI HỆ THỐNG QRADAR SIEM 17 2.1. Các thiết bị triển khai giám sát an ninh mạng 17 2.1.1. Chức năng của các thiết bị 18 2.1.2. Thông số kỹ thuật của các thiết bị chính 20 2.2. Các giải pháp triển khai 28 2.2.1. Giải pháp tập trung 28 2.2.2. Giải pháp phân tán 29 2.3. Cơ chế hoạt động chung của hệ thống 30 2.3.1. Event Collector Component 31 2.3.2. Event Processor Component 32 2.3.3. Magistrate 32 2.4. Kết luận 33 CHƯƠNG 3: QUY TRÌNH TRIỂN KHAI HỆ THỐNG QRADAR SIEM 34 3.1. Giải pháp triển khai 34 3.2. Quy trình triển khai hệ thống QRADAR SIEM 35 3.2.1. Cấu hình kết nối các thiết bị Qradar 42 3.2.2. Cấu hình thu thập Log 48 3.3. Giao diện quản trị 54 3.3.1. Trình duyệt được hỗ trợ 54 3.3.2. Giao diện thao tác chung 55 3.3.3. Giao diện các Tab chức năng 59 3.3.4. Quản lý cấu hình hệ thống 65 3.3.5. Quản lý người dùng 67 3.3.6. Quản lý tài sản 68 3.3.7. Quản lý Log Source 70 3.3.8. Quản lý Flows 71 3.4. Đánh giá kết quả triển khai 72 3.5. Kết luận 74 KẾT LUẬN 75 TÀI LIỆU THAM KHẢO 76
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTT Ngành: Công nghệ thông tin Chuyên ngành: An toàn thông tin Mã số: 52.48.02.01 Hà Nội, 2016 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU, TRIỂN KHAI CÔNG NGHỆ QRADAR CHO VIỆC GIÁM SÁT AN NINH MẠNG CNTT Ngành: Công nghệ thông tin Chuyên ngành: An toàn thông tin Mã số: 52.48.02.01 Hà Nội, 2016 MỤC LỤC DANH MỤC HÌNH ẢNH DANH MỤC BẢNG DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT CDIR CNTT CPU DBA DDoS DHCP DNS DoS EC ECS EP EPS FC FPM FP FTP GSANM HA HIPAA IDS IIS IPS IPSEC JDBC NIC OPSEC PC PCI DSS RAID SDEE SFP SIM SEM SNMP SOX UDP VNISA WMI Classless Inter-Domain Routing Công nghệ thông tin Central Processing Unit DataBase Administrator Distributed Denial of Service Dynamic Host Control Protocol Domain Name Server Denial of Service Event Collector Event Correlation Service Event Processor Event Per Second Flow Collector Flow Per Minute Flow Processor File Transfer Protocol Giám sát an ninh mạng High Availability Health Insurance Portability and Accountability Act Integrated Directory Service Internet Information Services Intrusion Prevention System Internet Protocol Security Java Database Connectivity Network Interface Card Operations Security Personal Computer Payment Card Industry Data Security Standard Redundant Array of Independent Disks Security Device Event Exchange Small Form-Factor Pluggable Security Information Management Security Events Management Simple Network Management Protocol Sarbanes-Oxley Act User Datagram Protocol Vietnam Information Security Association Windows Management Instrumentation LỜI CẢM ƠN Trên thực tế thành công mà không gắn liền với giúp đỡ dù hay nhiều, dù trực tiếp gián tiếp Trong suốt thời gian từ bắt đầu học tập Học viện kỹ thuật Mật Mã em nhận nhiều quan tâm, giúp đỡ Thầy Cô, gia đình bạn bè Để hoàn thành đồ án tốt nghiệp em xin chân thành cảm ơn sâu sắc tới hai người TS Trần Đức Sự KS Võ Văn Hoàng tạo điều kiện giúp đỡ em tận tình chu đáo thời gian làm đồ án tốt nghiệp vừa qua Mặc dù có nhiều cố gắng thực đề tài cách hoàn thiện Song hạn chế kiến thức kinh nghiệm nên không tránh khỏi thiếu sót định mà thân chưa thấy Vì mong góp ý quý Thầy, Cô giáo để đề tài hoàn thiện Em xin trân thành cảm ơn! SINH VIÊN THỰC HIỆN ĐỒ ÁN Hoàng Văn Thái LỜI MỞ ĐẦU Với phát triển mạnh mẽ Internet World Rộng Web đặt nhiệm vụ đảm bảo an toàn thông tin cho hệ thống mạng quan, tổ chức nhằm tránh khỏi hiểm họa an toàn thông tin trước công mạng xảy Để làm việc quan, tổ chức cần có hệ thống giám sát an ninh mạng đủ mạnh nhằm kiểm soát, thu thập toàn lưu lượng liệu vào cho hệ thống mạng đưa cảnh báo xác tới người quản trị hệ thống có công xảy Việc giám sát an ninh mạng quốc gia giới vô quan tâm có vai trò sống cho an ninh quốc gia Trong đó, Mỹ quốc gia tiên phong cho lĩnh vực giám sát an ninh mạng toàn cầu Ngoài ra, quốc gia láng giềng bên cạnh nước ta Hàn Quốc, Trung Quốc xem nhiệm vụ tối mật cho quốc phòng an ninh Tại Việt Nam, năm gần giám sát an ninh mạng xem nhiệm vụ trọng yếu quan cấp bộ, ban, ngành vô quan tâm thực công việc cách tích cực Tuy nhiên, để thực tốt nhiệm vụ đòi hỏi phải có sách giám sát an ninh mạng chiều rộng lẫn chiều sâu cộng với thiết bị giám sát an ninh mạng đại Một hệ thống giám sát an ninh mạng tốt cần phải thu thập tất nhật ký vào hệ thống, sau thực phân tích liệu này, dựa dấu hiệu tập luật sẵn có để đưa cảnh bảo tới người quản trị hệ thống Trên thực tế có nhiều giải pháp giám sát an ninh mạng sử dụng Nhiều sản phẩm thương mại xuất thị trường, sản phẩm có ưu điểm yếu điểm khác Nhưng nhìn chung, sản phẩm sử dụng dựa công nghệ SIEM chủ yếu Trong đồ án em nghiên cứu, tìm hiểu việc triển khải giải pháp giám sát an ninh mạng IBM Qradar Một giải pháp triển khai số quan, doanh nghiệp nước Qua đó, nghiên cứu trình bày về: chế, thành phần, chức năng, giải pháp triển khai, dịch vụ cung cấp việc triển khai hệ thống giám sát an ninh mạng nói chúng hệ thống giám sát an ninh mạng Qradar nói riêng CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG GIÁM SÁT AN NINH MẠNG 1.1 Tình hình chung hệ thống giám sát an ninh mạng Thuật ngữ “Giám sát an ninh mạng” (GSANM) có lẽ xa lạ chưa nhiều người biết đến Trong thập niên trở lại đây, công nghệ thông tin phát triển cách nhanh chóng, song song với sáng tạo công nghệ nhằm giúp người phát triển tồn nhiều mặt trái Các vấn đề tồn hiểm họa cắp thông tin quan trọng liên quan đến danh tiếng, tiền bạc, với mục đích giải trí,… kẻ công thực thông qua môi trường Internet Theo báo cáo thường niên hàng năm hiểm họa an toàn Internet hãng Symantec năm 2013-2014 thống kê dựa liệu địa lý dạng công thông qua môi trường Internet liên quan đến mã độc, Spam zombie, Phishing host, máy tính nhiễm Botnet, nguồn gốc công mạng, nguồn gốc công Web cho biết: Mỹ quốc gia đứng đầu với 20.7 % hoạt động công liên quan đến mã độc Tiếp sau Trung Quốc, Ấn Độ, Việt Nam đứng thứ bảng xếp hạng với 2.4% Cũng theo thống kê công liên quan đến Spam zombie Việt Nam quốc gia xếp với 10.1%, tiếp sau nước Hà Lan, Iran, Nga, Đức,… Liên quan đến công Phishing host Mỹ quốc gia xếp thứ với 46.6%, Trung Quốc quốc gia đứng với 16.5% máy tính nhiễm Botnet Ngoài Mỹ nước đứng đầu với 21.1% công Web Trung Quốc lại nước đứng đầu với liên quan tới công mạng với 28.7%[7] 1.1.1 Các nguy an ninh mạng Khi hoạt động kinh tế, giáo dục, trị, quân toàn giới dựa vào hệ thống mạng kết nối Internet nguy dẫn đến chiến tranh liên quan đến không gian mạng quốc gia dần kích hoạt Nhận thấy hiểm họa tiềm ẩn xuất phát từ Internet mà quốc gia giới thành lập lực lượng phản ứng phòng chống tác chiến mạng Trong Mỹ quốc gia tập trung vào lĩnh vực an ninh mạng từ năm 1990 Chịu trách nhiệm cho lĩnh vực gồm có Bộ An ninh nội địa (Department of Homeland Security), Cục điều tra liên bang FBI (Federal Bureau of Investigation), Bộ Quốc phòng Mỹ (Department of Defense) US Cyber Command Bộ An ninh nội địa có trách nhiệm việc bảo đảm an ninh nước Đơn vị National Cyber Security Division Bộ An ninh Nội địa giao nhiệm vụ “hợp tác làm việc với quan nhà nước, tư nhân quốc tế để đảm bảo không gian mạng quyền lợi không gian mạng nước Mỹ” Đơn vị có số chương trình để bảo vệ sở hạ tầng mạng chống lại công Đơn vị National Cyber Response Coordination Group thuộc đơn vị National Cyber Security Division bao gồm 13 quan liên bang có trách nhiệm phối hợp phản ứng liên bang cố không gian mạng mang tầm cỡ quốc gia Cyber Command, đơn vị nằm quản lý Cơ quan huy chiến lược Hoa Kỳ (US Strategic Command) có trách nhiệm đối phó với mối đe dọa liên quan đến sở hạ tầng mạng quân Các đơn vị thành viên Cyber Command bao gồm lực lượng Army Forces Cyber Command, Air Force 24, Hạm đội Cyber Command, Marine Cyber Command Tại Anh lực lượng đặc biệt thành lập đầu năm 2011 với tên gọi Cyber Security Operations Centre chịu trách nhiệm khả công phòng thủ không gian mạng Trung tâm thực nhiệm vụ giám sát phát triển tình trạng hệ thống IT phủ Anh, phân tích xu hướng nâng cao phản ứng lại có cố mạng xảy Tại Trung Quốc sách trắng Quốc phòng năm 2004 nêu rõ Quân ủy Trung ương Trung Quốc (PLA) xác định PLA Air Force chịu trách nhiệm cho hoạt động liên quan đến thông tin hoạt động phản động liên quan đến thông tin Cục Tổng cục nhân viên PLA chịu trách nhiệm hoạt động phản động liên quan đến điện tử nghiên cứu phát triển công nghệ chiến tranh thông tin, chịu trách nhiệm khả không gian mạng cho quân đội Cục chịu trách nhiệm cho tín hiệu thông minh tập trung vào việc thu thập, phân tích, khai thác thông tin điện tử Cục tiến hành nghiên cứu công nghệ tiên tiến bảo mật thông tin Sách trắng Bộ quốc phòng Hàn Quốc năm 2008 xác định an ninh mạng thành phần thiết yếu quốc phòng Năm 2010 sách vạch công mạng hiểm họa an toàn phi truyền thống Các đội ứng cứu khẩn cấp thành lập mức quân đoàn để giám sát hệ thống thông tin quốc phòng Trung tâm chiến tranh mạng (Cyber War Center) Bộ quốc phòng thành lập năm 2010 Mục đích trung tâm tăng tính bảo mật cho hệ thống mạng phủ thông tin tài Bộ quốc phòng tuyên bố tạo đơn vị Cyber Warfare Command độc lập chịu 10 Hiển thị tất hành vi vi phạm chung mạng Hiển thị hành vi vi phạm nhóm lại theo cấp Hiển thị hành vi vi phạm nhóm lại theo địa nguồn có liên quan đến hành vi Hiển thị hành vi vi phạm nhóm lại theo địa đích có liên quan đến hành vi Hiển thị hành vi vi phạm nhóm lại theo mạng có liên quan đến hành vi Cung cấp truy cập, hiển thị quy tắc phép All Offenses By Category By Source IP By Destination IP By Network Rules Bảng 3.: Chức điều hướng Tab Offenses Sử dụng Tab Tab Offenses có thể: o Điều tra tội phạm IP nguồn địa đích, hành vi mạng bất • o thường mạng Tương quan kiện lấy từ nhiều mạng có địa o đích Điều hướng trang khác để điều tra thông tin chi tiết o kiện luồng Xác định kiện gây vi phạm Tab Log Activity Hình 3.: Giao diện Tab Log Activity 71 Là nơi hiển thị thông tin nhật ký hệ thống thu thập từ Event Collector cho hệ thống mạng giám sát Các nhật ký hệ thống thu thập lưu trữ Event Processor Flow Processor, sau gửi lên CONSOLE hiển thị qua giao diện web Log Activity Tại đây, người quản trị theo dõi dòng liệu nhật ký hệ thống theo thời gian thực, giúp cho người quản trị phát công xảy kẻ công bắt đầu thực dò quét tìm kiếm thông tin Sử dụng Tab Log Activity có thể: o Điều tra kiện liệu • o Điều tra ghi kiện gửi tới Qradar SIEM thời o gian thực Tìm kiếm kiện o Giám sát hoạt động đăng nhập cách sử dụng biểu đồ o chuỗi thời gian cấu hình Xác định bảo cáo giả để điều chỉnh lại hệ thống Tab Network Activity Hình 3.: Giao diện Tab Network Activity Tương tự Log Activity, Network Activity nơi hiển thị luồng liệu gửi từ Flow Processor luồng liệu phân tích kiểm tra Cũng giống với Log Activity, Network Activity hiển thị luồng liệu theo 72 thời gian giúp tăng khả phát sớm công vào hệ thống mạng giám sát So với việc phân tích nhật ký hệ thống việc phân tích luồng liệu vất vả nhiều, việc định dạng giao thức xử lý chúng không đơn việc xử lý nhật ký hệ thống gửi Sử dụng Tab Network Activity có thể: o Điều tra luồng gửi đến Qradar SIEM thời gian • o thực Tìm kiếm luồng o Giám sát hoạt động cách sử dụng biểu đồ chuỗi thời gian cấu hình Tab Assets Hình 3.: Giao diện Tab Assets Là nơi liệt kê, cập nhật thiết bị có hệ thống mạng giám sát, giúp cho việc xác định phân loại thiết bị mạng để tránh nhầm lẫn tạo tập luật, đưa cảnh báo sai Sử dụng Tab Network Activity có thể: o Tìm kiếm tài sản o Xem tất tài sản có o Xem thông tin tài sản o Điều chỉnh báo cáo giả 73 Tab Report Là nơi cảnh báo tạo dạng file pdf, doc hay html, tùy theo mục đích tạo báo cáo người quản trị hệ thống Ngoài ra, Report có chức thống kê liệu hay tổng hợp số liệu theo thời gian mong muốn Người quản trị có nhiều tùy chọn khác để tạo báo cáo, tạo báo cáo theo phương pháp thủ công, theo định kỳ báo cáo gửi định kỳ qua email cho tổ chức có hệ thống mạng giám sát Nguồn liệu cung cấp để tạo báo cáo tổng hợp từ Log Activity, Offenses hay Network Activity tùy vào mục đích báo cáo • Hình 3.: Giao diện Tab Report Báo cáo bao gồm số yếu tố liệu, đại diện cho liệu mạng an ninh cách khác nhau, chẳng hạn bảng, biểu đồ đường, biểu đồ hình tròn biểu đồ cột Sử dụng Tab Report có thể: o Tạo, phân phối quản lý báo cáo cho liệu Qradar SIEM o Tạo báo cáo tùy chỉnh để sử dụng hoạt động điều hành o Kết hợp an ninh thông tin mạng thành báo cáo o Chỉnh sửa sử dụng mẫu báo cáo có sẵn o Xuất báo cáo định dạng khác o Thiết lập lịch trình để tạo báo cáo 74 o Tạo biểu tượng cho việc phân phối báo cáo đối tượng khác • Tab Admin Ngoài ra, việc phân quyền cho hệ thống GSANM tab Admin chức cần thiết giúp cho việc hiển thị nhật ký hệ thống luồng liệu hệ thống mạng riêng biệt Tab Admin nơi tập trung hiển thị quản lý thông số cho hệ thống mạng Hình 3.: Giao diện Tab Admin 3.3.4 Quản lý cấu hình hệ thống Ở modul người quản trị quản lý hệ thống cách cấu hình chi tiết cho thành phần Hình 3.: Giao diện cấu hình hệ thống 75 Trong Modul System Configuration gồm có cửa sổ: Tùy chọn Chức Người quản trị cập nhật tay tự động để đảm bảo File cấu hình chứa thông tin an ninh mạng Ở cửa sổ thấy được: Auto Update - Mô tả cập nhật - Xem cập nhật chờ - Lập kế hoạch cập nhật - Kiểm tra cập nhật Back up and Recovery Sao lưu phụ hồi lại hệ thống Các tính quản lý Index cho phép người quản trị kiểm soát sở liệu mục Index Management tính chất kiện luồng liệu, cho phép tối ưu hóa tìm kiếm Phân cấp mạng Khi phát triển phân cấp mạng, người quản trị xem xét hiểu cho hoạt động mạng Phân cấp không cần phải Network Hierachy giống với triển khai vật lý mà nhiều biến khác như: văn phòng ban, địa lý, kinh doanh,… Khi hệ thống Qradar cài đặt, có giấy phép mặc định cung cấp cho phép truy cập giao diện người dùng tuần Trước giấy phép mặc định hết hạn, người dùng phải nhập khóa hệ thống cửa sổ người quản trị nhìn System and License tổng quan vể hệ tống quản lý cấp phép sử dụng gồm: - Kiểm tra theo danh sách - Cấp phát giấy phép - Xem chi tiết giấy phép - Xuất giấy phép Ở cửa sổ người quản trị nắm tình System Health trạng hệ thống như: CPU, FPS, EPS, sử dụng nhớ,… System Setting Cửa sổ đề thiết lập hệ thống Asset Profile Configuration Quản lý cấu hình hồ sơ tài sản Quản lý tùy chỉnh lý đóng hành vi vi Custom offenses Close Reasons phạm Routing Rules Quy tắc định tuyến Domain Management Quản lý miền Phân đoạn mạng vào miền khác giúp đảm bảo thông tin liên 76 quan dành cho người cần dùng Bảng 3.: Chi tiết chức số chức cấu hình hệ thống 3.3.5 Quản lý người dùng Hình 3.: Giao diện quản lý người dùng Khi cấu hình QRadar, người quản trị phải tạo tài khoản người dùng cho tất người dùng yêu cầu truy cập QRadar Sau cấu hình ban đầu, người quản trị đổi tài khoản người dùng để đảm bảo thông tin người dùng Người quản trị thêm xóa tài khoản người dùng theo yêu cầu Một tài khoản người dùng xác định tên người dùng, mật địa email cho người sử dụng Trong Tab Amin modul User Management cho phép người quản trị quản lý tài khoản người dùng Trong có số các chức như: Tùy chọn User User Roles Security Profiles Chức Cửa sổ cung cấp thông tin quản lý người dùng Người quản trị tạo xóa tài khoản Trước tạo tài khoản người dùng, người quản trị phải đảm bảo User Roles Security Profile tạo Xác định đặc quyền mà người sử dụng cấp cho truy cập vào chức thông tin QRadar Hai vai trò người dùng mặc định định nghĩa: Admin All Trước thêm tài khoản người dùng, phải tạo vai trò người sử dụng để đáp ứng điều khoản yêu cầu cụ thể người dùng Sử dụng cửa sổ Roles User người quản trị tạo, sửa, xóa quản lý vai trò người dùng Hồ sơ an ninh xác định mạng, nguồn đăng nhập miền mà người dùng truy cập QRadar bao gồm hồ sơ an 77 Authentications Authorized Service ninh mặc định cho người dùng quản trị Người quản trị xem, tạo, cập nhật xóa hồ sơ an ninh Quản lý xác thực IBM Security Qradar hỗ trợ loại xác thực sau: - Xác thực hệ thống - Xác thực RADIUS - Xác thực TACACS - Microsoft Active Directory - LDAP Ủy quyền xác định cấp quyền cho người sử dụng Bảng 3.: Chi tiết chức số chức cấu hình quản lý người dùng 3.3.6 Quản lý tài sản Tài sản hồ sơ tài sản tạo máy chủ máy mạng, cung cấp thông tin quan trọng để hỗ trợ người quản trị giải vấn đề an ninh Sử dụng liệu tài sản, người quản trị kích hoạt hành vi vi phạm hệ thống Khi xem hồ sơ tài sản, số trường để trống Các trường trống tồn hệ thống không nhận thông tin cập nhật tài sản, thông tin vượt thời gian lưu giữ tài sản Thời gian lưu giữ mặc định 120 ngày Một địa IP xuất 0.0.0.0 tài sản không chứa thông tin địa IP Dữ liệu tài sản thường đến từ nguồn liệu tài sản sau: Event Khối liệu kiện, chẳng hạn tài sản tạo DHCP chứng thực máy chủ, thường chứa thông tin đăng nhập người dùng, địa IP, tên máy chủ địa MAC, thông tin tài sản khác Những thông tin cung cấp cho sở liệu tài sản để cập nhật, xác định áp dụng Flow Khối luồng liệu nguồn chứa thông tin liên lạc địa IP, cổng giao thức thu thập khoảng thời gian thường xuyên Khi kết thúc khoảng thời gian đó, liệu cung cấp cho sở liệu tài sản Dữ liệu tài sản từ luồng liệu ghép nối với tài sản dựa định danh nhất, địa IP Vulnerability scanners 78 Qradar tích hợp máy quét lỗ hổng cung cấp bên thứ ba mà cung cấp tài sản hệ điều hành, phần mềm cài đặt, thông tin vá Như tài sản mới, cổng thông tin, lỗ hổng phát hiện, liệu đưa vào hồ sơ tài sản dựa dãy CIDR xác định trình quét User interface Người sử dụng có vai trò tài sản nhập cung cấp thông tin tài sản trực tiếp đến sở liệu tài sản Domain-aware asset data Khi nguồn liệu tài sản cấu hình với thông tin tên miền, tất liệu tài sản mà đến từ nguồn liệu tự động gắn thẻ với tên miền Vì liệu mô hình tài sản miền nhận thức, thông tin tên miền áp dụng cho tất thành phần QRadar, bao gồm nhận dạng, tội phạm, hồ sơ tài sản, phát máy chủ 3.3.7 Quản lý Log Source Hình 3.: Giao diện quản lý Log Source Ở modul người quản trị quản lý ghi từ thiết bị nguồn Tính đến phiên 7.2.6 Qradar hỗ trợ 315 Log Source, 174 số hỗ trợ chức tự động phân tích lưu lượng[13] Hiện có 52 giao thức Log Source có sẵn cho quản trị viên Qradar Về có loại giao thức Qradar: Listening Protocols gồm có giao thức: SyssLog, TLS SysLog, TCP Multiline SysLog, UDP Multiline SysLog, SysLog Redirect… Polling Protocols gồm có giao thức: JDBC, Log File, SMB Tail… Specialty Protocols gồm có giao thức: REST API Protocols, Amazon AWS, Microsoft Office 365, Subcription Protocols… Một số chức Modul quản lý Log Source là: 79 Tùy chọn Chức Nơi người quản trị có nhìn tổng thể kiện nguồn triển khai Cấu hình nguồn đăng nhập cụ thể Thực thao tác như: Thêm, xóa, kích hoạt hay vô hiệu hóa ghi Log Sources WinCollect Là agent thu thập kiện Windowsbased hệ thống Windows-based truy cập từ xa gửi tất kiện cho QRadar Log Sources Extensions Tiện ích ghi nguồn Log Sources Group Cho phép nhóm ghi từ nguồn vào nhóm cụ thể Cho phép kiểm soát cấu hình ghi nguồn Event Rentention Duy trì ghi kiện Custom Event Properties Tùy chỉnh thuộc tính ghi kiện Bảng 3.: Chi tiết chức số chức cấu hình quản lý Log Source 3.3.8 Quản lý Flows Hình 3.: Giao diện quản lý Flows Sử dụng cửa sổ để quản lý nguồn luồng liệu triển khai Người dùng thêm, chỉnh sửa, kích hoạt, vô hiệu hóa xóa luồng liệu Qradar thu thập số luồng liệu như: QFlow, NetFlow, SFlow, JFlow Packeteer Và chia thành luồng liệu khác nhau: • Luồng liệu nguồn cục bộ: 80 Bao gồm tất phần cứng cài đặt máy chủ quản lý, chẳng hạn card giao diện mạng (NIC) Tùy vào cấu hình phần cứng máy chủ quản lý, luồng liệu nội là: Napatech interface, Network interface card [10] • Luồng liệu bên ngoài: Bao gồm tất luồng liệu bên gửi tới QRadar QFlow Collector Mỗi luồng liệu thu thập QRadar QFlow Collector có tên riêng biệt giúp phân biệt luồng liệu nguồn bên từ nới khác [10] Luồng liệu nguồn bên nguồn sau: NetFlow, IPFIX, SFlow, J-Flow, FlowLog File (Tầng mạng tầng giao vận), QFlow, Packeteer (Tầng ứng dụng) Một số chức có Modul Flows: Tùy chọn Flow Source Flow Source Aliases Custom Flow Properties Flow Retention Chức Nơi người quản trị có nhìn tổng thể luồng liệu nguồn triển khai Thực thao tác như: Thêm, xóa, kích hoạt hay vô hiệu hóa luồng liệu Cửa sổ giúp cấu hình tên ảo, bí danh cho luồng liệu nguồn Người quản trị xác định nhiều nguồn gửi đến lúc IP nguồn tên ảo Với cửa sổ QRadar QFlow Collector xác định xử lý liệu nguồn gửi đến cổng Thực thao tác như; thêm, xóa Tùy chỉnh thuộc tính luồng Duy trì luồng liệu Bảng 3.: Chi tiết chức số chức cấu hình quản lý Flows 3.4 Đánh giá kết triển khai Việc triển khai hệ thống giám sát mang lại nhiều lợi ích cho hệ thống mạng Qua trình cài đặt triển khai thấy số lợi ích giám sát an ninh mạng mang lại sau: • Hệ thống quản trị tập trung 81 • • o Rất nhiều tổ chức triển khai SIEM với mục đích nhất: tập o hợp liệu thông qua giải pháp quản lý tập trung Mỗi thiết bị đầu cuối cần có hệ thống ghi lại kiện an ninh thường xuyên truyền liệu Log máy chủ SIEM Một máy chủ SIEM nhận liệu nhật ký từ nhiều thiết bị khác sau thực thống kê, phân tích, báo cáo để tạo báo cáo cho thấy tương quan kiện an ninh thiết bị Hỗ trợ sẵn mẫu báo cáo phù hợp với chuẩn quốc tế o HIPAA, PCI DSS SOX Tiết kiệm đáng kể thời gian, nguồn lực để đạt đủ yều cầu báo cáo an ninh định kỳ Cung cấp nhìn trực quan o Thông qua biểu đồ, đồ thị giúp người quản trị theo dõi rõ ràng hơn, hỗ trợ cho việc xác định kiện, hoạt động không phù hợp cách nhanh chóng Giám sát an toàn mạng o Giám sát an ninh mạng cho thấy tương quan kiện o • thống chặn, cách ly thiết bị tương tác vs thiết bị khác nhằm ngăn ngừa công từ thiết bị Cải thiện hoạt động sử lý cố hiệu o Cung một giao diện đơn giản để xem xét tất liệu nhật ký o • thiết bị Giảm thiểu báo động giả Khi phát hành vi vi phạm thiết bị đầu cuối Hệ an ninh từ nhiều thiết bị đầu cuối Từ nhanh chóng xác định thiết bị đầu cuối bị xâm hại… Ứng dụng có ý nghĩa quan trọng với hoạt động thường ngày Nhưng gây lỗ hổng an ninh mới.Hệ thống cung cấp công cụ đánh giá lỗ hổng thiết bị hệ thống, hay có vá, cập nhật cho lỗ hổng Quản lý liệu cách thông minh o Cho phép người quản trị định dự liệu cần lưu trữ lưu trữ Những liệu quan trọng nhạy 82 • • cảm loại bỏ sớm để kéo dài thời gian lưu trữ liệu quan trọng[15] Con người o Các tổ chức cần phải kiểm soát nhân viên truy cập vào thông tin Truy cập trái phép nhân viên vào sở liệu thông tin khách hàng quan trọng đẩy công ty vào tình rủi ro trước công an ninh hoạt động kiểm toán[14] Cơ sở hạ tầng o Hiện tổ chức gặp nhiều khó khăn việc quản lý bảo vệ hàng nghìn thiết bị vật lý máy tính, điện thoại di động Do hệ thống giám sát đảm bảo nhân viên tuân thủ chuẩn mực an ninh mạng việc sử dụng thiết bị cá nhân[14] 3.5 Kết luận Trong chương này, đồ án giới thiệu quy trình bước cài đặt triển khai hệ thống giám sát an ninh mạng Qradar bước thu thập xử lý kiện Qua đó, trình bày chức hệ thống thành phần quản trị hệ thống giám sát an ninh mạng Qradar 83 KẾT LUẬN Đồ án tìm hiểu, nghiên cứu vấn đề việc triển khai giải pháp giám sát an ninh mạng IBM Qradar sau: • Tổng quan tình hình giám sát an ninh mạng nước nước nay; • Tìm hiểu, nghiên cứu phân tích giải pháp giám sát an ninh mạng đặc biệt giải pháp SIEM; • Tìm hiểu mô hình giải pháp triển khai cho hệ thống giám sát an ninh mạng IBM Qradar; • Tìm hiểu, nghiên cứu thành phần, chế hoạt động hệ thống giám sát an ninh mạng IBM Qradar; • Triển khai, thử nghiệm hệ thống giám sát IBM Qradar Hạn chế đề tài: • Chưa tìm hiểu chuyên sâu thuật toán tương quan hệ thống giám sát an ninh mạng Hướng nghiên cứu tiếp theo: • Nghiên cứu việc nâng cao hiệu việc giám sát an ninh mạng; 84 TÀI LIỆU THAM KHẢO [1] David R Miller, Shon Harris, Allen A Harper, Stephen VanDyke, Chris Blask, (2011), Security Information and Event Management (SIEM) Implementation, The McGraw-Hill Companies [2] 2015), IBM Corp, QRadar 7.2.6 Administration and Deployment, Course: TXNNNG ERC: X.N [3] 2015), IBM Corp, QRadar 7.2.6 Getting Started Guide, Course: TXNNNG ERC: X.N [4] (2015), IBM Corp, QRadar 7.2.6 Users Guide, Course: TXNNNG ERC: X.N [5] (2015), IBM Corp, QRadar 7.2.6 Installation Guide, Course: TXNNNG ERC: X.N [6] (2015), IBM Corp, QRadar 7.2.6 Admin Guide, Course: TXNNNG ERC: X.N [7] Symantec, ISTR 20 Internet Security Threat Report Appendices, Symantec, 2015 [8] James A Lewis, Katrina Timlin, “Cybersecurity and Cyberwarfare”, Center for Strategic and International Studies, 2011 [9] (2014), QRadar Open Mic Webcast #1 [10] (2014), QRadar Open Mic Webcast #2 [11] (2014), QRadar Open Mic Webcast #3 [12] (2015), QRadar Open Mic Webcast #7 [13] (2016), QRadar Open Mic Webcast #13 [14] Mạnh Vỹ, QRadar - Công cụ phòng vệ từ xa (Phần 1), http://www.tapchibcvt.gov.vn/qradar-cong-cu-phong-ve-tu-xa-phan-1 2298bcvt.htm [15] Mạnh Vỹ, QRadar - Công cụ phòng vệ từ xa (Phần 2), http://tapchibcvt.gov.vn/qradar-cong-cu-phong-ve-tu-xa-phan-2 2299-bcvt.htm 85