MỤC LỤC LỜI CẢM ƠN iii DANH MỤC TỪ VIẾT TẮT iv DANH MỤC HÌNH VẼ v DANH MỤC BẢNG vi LỜI NÓI ĐẦU vii Chương 1: Tổng quan về giám sát an ninh mạng 9 1.1. Giới thiệu 9 1.2. Hệ thống giám sát an ninh mạng 10 1.3. Lợi ích của một hệ thống giám sát an toàn mạng – SIEM 11 1.3.1. Quản lý tập trung 11 1.3.2. Giám sát an toàn mạng 12 1.3.3. Cải thiện hoạt động xử lý sự cố hiệu quả 14 1.4. Một số sản phẩm giám sát an ninh mạng 14 1.4.1. Công cụ SPlunk 14 1.4.2. Loggly 17 1.4.3. SyslogNg 19 1.4.4. Logzilla (Php SyslogNg) 20 1.4.5. HP ArcSight Logger 22 1.4.6. Nagios 22 Chương 2: Tìm hiểu công cụ giám sát an ninh mạng SPLUNK 25 2.1. Tổng quan Splunk 25 2.1.1. Giới thiệu SPlunk 25 2.2. Sức mạnh của Splunk trong giám sát an ninh mạng 28 2.2.1 Quản lý các ứng dụng: 28 2.2.2 Quản lý hoạt động IT 29 2.2.3 An ninh trong lĩnh vực IT 34 2.3. Các thành phần của splunk 36 2.3.1. Thành phần thu thập log 36 2.3.2 Thành phần xử lý dữ liệu đầu vào 40 2.3.3 Thành phần đánh chỉ mục và lưu trữ 50 2.3.4 Thành phần cảnh báo 63 Chương 3: Xây dựng ứng dụng giám sát website dựa trên Splunk 67 3.1. Giới thiệu 67 3.2 Thiết kế giao diện và chức năng 67 3.2.1. Thiết kế giao diện 67 3.2.2. Thiết kế chức năng 68 3.3 Xây dựng thủ tục phát hiện tấn công 71 3.4 Thử nghiệm hệ thống 72 3.4.1 Mô hình thử nghiệm 72 3.4.2 Kết quả thử nghiệm 74 KẾT LUẬN 75 TÀI LIỆU THAM KHẢO 76 LỜI CẢM ƠN Qua hơn 3 tháng làm việc hết mình tôi đã hoàn thành đồ án tốt nghiệp của mình. Tôi xin được gửi lời cảm ơn sâu sắc đến TS. Lương Thế Dũng đã tận tình chỉ bảo, giúp đỡ tôi trong quá trình làm đồ án. Trong quá trình học tập tại trường tôi xin cảm ơn thầy cô và bạn bè cùng khóa đã tạo điều kiện để tôi có thể hoàn thành tốt chương trình học. Tôi cũng xin cám ơn gia đình và bạn bè đã luôn bên tôi, quan tâm, động viên giúp đỡ tôi trong mọi hoàn cảnh khó khăn. Đồ án được hoàn thành trong thời gian ngắn, chắc sẽ còn nhiều thiếu sót. kính mong thầy cô và các bạn có những đóng góp tích cực để tôi có thể hoàn thiện và phát triển hơn nữa đề tài của mình. Tôi xin chân thành cảm ơn DANH MỤC TỪ VIẾT TẮT Từ viết tắt Từ đầy đủ DDOS Distributed Denial of Service SPL Search Processing Language NSM Network Security Monitoring JSON JavaScript Object Notation SNMP Simple Network Management Protocol SIEM Security Information and Event Management IDXP Intrusion Detection Exchange Protocol
HỌC VIỆN KỸ THUẬT MẬT Mà KHOA AN TOÀN THÔNG TIN ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP Đề tài: PHÁT TRIỂN MỘT SỐ TIỆN ÍCH GIÁM SÁT AN NINH MẠNG DỰA TRÊN CÔNG NGHỆ Mà NGUỒN MỞ Hà Nội, 6/2016 Đồ án tốt nghiệp Khoa an toàn thông tin MỤC LỤC Phạm Hữu Thiết SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin LỜI CẢM ƠN Qua tháng làm việc hoàn thành đồ án tốt nghiệp Tôi xin gửi lời cảm ơn sâu sắc đến TS Lương Thế Dũng tận tình bảo, giúp đỡ trình làm đồ án Trong trình học tập trường xin cảm ơn thầy cô bạn bè khóa tạo điều kiện để hoàn thành tốt chương trình học Tôi xin cám ơn gia đình bạn bè bên tôi, quan tâm, động viên giúp đỡ hoàn cảnh khó khăn Đồ án hoàn thành thời gian ngắn, nhiều thiếu sót kính mong thầy cô bạn có đóng góp tích cực để hoàn thiện phát triển đề tài Tôi xin chân thành cảm ơn! Phạm Hữu Thiết SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin DANH MỤC TỪ VIẾT TẮT Từ viết tắt Từ đầy đủ DDOS Distributed Denial of Service SPL Search Processing Language NSM Network Security Monitoring JSON JavaScript Object Notation SNMP Simple Network Management Protocol SIEM Security Information and Event Management IDXP Intrusion Detection Exchange Protocol Phạm Hữu Thiết SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin DANH MỤC HÌNH VẼ Phạm Hữu Thiết SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin DANH MỤC BẢNG Phạm Hữu Thiết SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin LỜI NÓI ĐẦU Đảm bảo an toàn cho hệ thống thông tin việc làm quan trọng doanh nghiệp, công nghệ công việc giải dễ dàng qua hệ thống máy tính Lưu trữ, truy xuất liệu tiện lợi hầu hết liệu công ty lưu trữ máy tính Chính mà ngày nhiều hành vi xâm phạm đến hệ thống máy tính để đánh cắp thông tin, phá hoại hệ thống làm ngưng trệ hoạt động, hay hoạt động vô tình gây tổn hại đến hệ thống Những hành động bên hay nhân viên công ty điều cần thiết phải có thành phần ghi lại dấu vết hành vi hệ thống để kiểm tra người truy cập, hành động diễn làm chứng pháp lí sau Hệ thống giám sát an ninh mạng đời giúp giải vấn đề liên quan đến việc lưu trữ xử lí kiện hệ thống, dịch vụ, thiết bị , đặc biệt việc quản lí tập trung mang lại nhiều tiện ích cho người quản trị kiểm soát thông tin hệ thống máy, cho sơ đồ trực quan để dễ dàng so sánh hành động… Trong thời gian làm đồ án em tìm hiểu vấn đề hệ thống giám sát an ninh mạng xây dựng ứng dụng giám sát website dựa hệ thống giám sát an ninh mạng cụ thể Mục đích nghiên cứu Tìm hiểu hệ thống giám sát an ninh mạng nói chung nghiên cứu sâu công nghệ tảng phục vụ cho giám sát an ninh mạng Splunk nói riêng, từ xây dựng ứng dụng giám sát website dựa tảng Spunk Đối tượng nghiên cứu - Hệ thống giám sát an ninh mạng - Công cụ giám sát an ninh mạng Splunk -Ứng dụng Splunk vào giám sát website Phương pháp nghiên cứu - Thu thập thông tin từ báo có phân tích, tổng hợp từ chuyên gian an ninh vấn đề an ninh mạng giới Việt Nam Phạm Hữu Thiết SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin -Tìm hiểu thông tin qua tài liệu nguy an toàn hệ thống thông tin - Nghiên cứu tài liệu từ trang document Splunk để hiểu trình vận hành hệ thống thu thập log tiến hành cài đặt vận hành thử nghiệm Ý nghĩa khoa học thực tiễn đồ án Về mặt lý thuyết: - Có nhìn khái quát hệ thống giám sát an ninh mạng - Tìm hiểu số hệ thống giám sát an ninh mạng - Nắm trình hoạt động , thành phần công cụ giám sát Splunk Về mặt thực tiễn: - Xây dựng hệ thống giám sát an ninh mạng qua xây dựng ứng dụng giám sát website tập trung Bố cục đồ án Chương 1: Tổng quan hệ thống giám sát an ninh mạng Chương 2: Công cụ giám sát an ninh mạng Splunk Chương 3: Xây dựng ứng dụng giám sát an ninh mạng dựa Splunk Phạm Hữu Thiết SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin Chương 1: Tổng quan giám sát an ninh mạng 1.1 Giới thiệu Hiện không khỏi bỡ ngỡ trước độ phức tạp hệ thống mạng thiết bị router, switch, hub kết nối vô số máy đến dịch vụ mạng chủ Internet Thêm vào nhiều tiện ích bảo mật truyền thông cài đặt bao gồm tường lửa, mạng riêng ảo, dịch vụ chống spam thư virus Sự hiểu biết cấu trúc hệ thống có khả cảnh báo hệ thống yếu tố quan trọng việc trì hiệu suất tính toàn vẹn hệ thống Có hàng ngàn khả xảy hệ thống quản trị viên phải đảm bảo nguy xảy thông báo cách kịp thời xác Một hệ thống mạng thường có người dung bên bên , bao gồm nhân viên, khách hàng, đối tác bên liên quan Tối ưu hiệu suất mạng ảnh hưởng đến tổ chức theo cách khác Ví dụ, nhân viên truy cập ứng dụng thông tin mà họ cần dùng để làm việc sẻ ảnh hưởng đến suất công việc Hoặc khách hàng hoàn thành giao dịch trực tuyến, điều có nghĩa doanh thu có ảnh hưởng tới uy tín tổ chức Ngay bên liên quan nhà đầu tư tìm kiếm, xem xét thông tin tổ chức gây ảnh hưởng tới tổ chức Đối với hệ thống mạng, điều quan trọng có thông tin xác vào thời điểm Tầm quan trọng nắm bắt thông tin trạng thái thiết bị vào thời điểm tại, biết thông tin dịch vụ, ứng dụng hệ thống Khi có cố xảy ra, ta cần phải cảnh báo lập tức, thông qua cảnh báo âm thanh, qua hình hiển thị, qua email tự động tạo chương trình giám sát Ta biết sớm diễn có nhiều thông tin đầy đủ cảnh báo sớm khắc phục cố Phạm Hữu Thiết SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin Để hiểu hệ thống, ta cần giải pháp giám sát để cung cấp thông tin quan trọng thời gian thực đâu thời điểm 1.2 Hệ thống giám sát an ninh mạng Giám sát an ninh mạng (Network Security Monitoring – NSM) việc thu thập thông tin thành phần hệ thống, phân tích thông tin, dấu hiệu nhằm đánh giá đưa cảnh báo cho người quản trị hệ thống Hệ thống giám sát anh ninh mạng đóng vai trò quan trọng, thiếu hạ tầng công nghệ thông tin(CNTT) quan, đợn vị, tổ chức Hệ thống cho phép thu thập, chuẩn hóa, lưu trữ phân tích tương quan toàn kiện mạng sinh hệ thống CNTT tổ chức Ngoài ra, hệ thống giám sát an ninh mạng phát kịp thời công mạng, điểm yếu , lỗi hổng bảo mật thiết bị, ứng dụng dịch vụ hệ thống Phát kịp thời bùng nổ virus hệ thống mạng, máy tính bị nhiễm mã độc, máy tính bị nghi ngờ thành viên mạng máy tính ma(botnet) Để công tác giám sát an ninh mạng đạt hiệu cần phải xác định yếu tố cốt lõi, giám sát như: Xác định đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát Xác định trang thiết bị, giải pháp phần mềm thương mại phục vụ giám sát Xác định phần mềm nội phần mềm nguồn mở phục vụ giám sát Xác định thiết bị, công cụ, giải pháp hỗ trợ phân tích kết giám sát Hệ thống giám sát an ninh mạng xây dựng theo ba giải pháp sau: Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, lưu trữ biểu diễn nhật ký Giải pháp quản lý kiện an ninh: tập trung vào việc phân tích xử lý nhật ký thu thập để đưa cảnh báo cho người dùng Phạm Hữu Thiết 10 SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin lần Để giảm bớt số lần cảnh báo trường hợp cần phải cấu hình điều chỉnh cho cảnh báo sau: Bước 1: Từ trang tìm kiếm nhập vào thông tin sau: index=_internal log_level=ERROR Bước 2: Chọn Save As > Alert Bước 3: Trong Result Type, chọn Real Time để cấu hình loại per result alert Bước 4: Chọn Next Bước 5: Chọn hành động muốn kích hoạt Bước 6: Chọn Throttle Bước 7: Chập log_level để giới hạn cảnh báo cho trường log_level Bạn cấu hình điều chỉnh để giới hạn nhiều trường Bước 8: Nhập hour thời gian giới hạn việc kích hoạt cảnh báo Bước 9: Nhấp vào Save Đối với việc tìm kiếm theo lịch trình chạy thường xuyên, ta không muốn thông báo xảy cho lần chạy, cấu hình điều chỉnh để kiểm soát cảnh báo khung thời gian dài Đối với việc tìm kiếm theo thời gian thực, cấu hình cảnh báo lần cho điều điện kích hoạt, ta không cần phải cấu hình điều chỉnh Khi bạn cấu hình điều chỉnh cho việc tìm kiếm theo thời gian thực, bắt đầu đặt khoảng thời gian đưa cảnh báo phù hợp, sau mở rộng khoảng thời gian cần thiết Việc giúp ngăn chặn nhiều thông báo cho hành động Phạm Hữu Thiết 66 SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin Chương 3: Xây dựng ứng dụng giám sát website dựa Splunk 3.1 Giới thiệu Như trình bày chương 2, Splunk công nghệ nên tảng để thu thập, đánh mục cho việc tìm kiếm quản lý log nhằm hỗ trợ tốt trình giám sát an ninh mạng Ngoài Splunk hỗ trợ công cụ lập trình tảng để phát triển ứng dụng giám sát an ninh chuyên dụng cho ứng dụng cụ thể Vì vậy, mục tiêu chương nhằm thiết kế xây dựng dụng giám sát website để minh họa khả tảng Splunk giám sát an ninh mạng Ứng dụng giám sát website thiết kế nhằm đưa nhìn tổng quan hệ thống website , đưa thông kê trực quan giúp người quản trị biết tình hình hoạt động website cách dễ dàng Ứng dụng thiết kế để phát công Sql injection truy nhập trái phép vào hệ thống website 3.2 Thiết kế chức Thống kê tình hình hoạt động website realtime theo thời gian thực, phát thông báo đến người quản trị có công Sql injection vào hệ thống websie Hình 3.1 Giao diện trang quản trị Phạm Hữu Thiết 67 SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin Hình 3.2 Giao diện trang quản trị - Giám sát trạng thái website Hệ thống đưa thống kê status website khoảng thời gian realtime mà người quản trị cài đặt Nó giúp người quản trị biết tình hình hoạt động webstie Hình 3.3 Tính hiển thị trạng thái Status - Chức hiển thị pageviews: chức thống kê cho lượng truy cập vào webstie đưa biểu đồ trực quan giúp người quản trị biết lượng truy cập bất thường vào hệ thống giám sát hiệu hoạt động hệ thống Phạm Hữu Thiết 68 SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin Hình 3.4 Tính hiển thị pageviews - Top Client : Thống kê số lượng truy cập ip đến website Hình 3.5 Tính hiển thị top clientip - Top location Thống kê vị trị người dùng truy cập vào website Phạm Hữu Thiết 69 SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin Hình 3.6 Tính hiển thị vị trí truy nhập - Phát công Sql injection thông báo đến cho người quản trị qua email Khi attacker tiêm câu lệnh sql vào để công vào hệ thống website hệ thống thông báo đến người quản trị thông qua email định nghĩ trước Hình 3.7 Email cảnh báo có công Sql injection Phạm Hữu Thiết 70 SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin Hình 3.8 Hiển thị thông báo có công Splunk - Phát truy cập trái phép vào trang quản trị hệ thống website Trong hệ thống mặc định có số người dùng số máy có quyền truy cập vào để quản trị hệ thống website Chức phát đăng nhập thiết kế để giúp người quản trị giám sát truy nhập vào hệ thống quản trị cách chặt chẻ Khi có truy nhập trái phép gửi email đến cho người quản trị Hình 3.9 Email cảnh báo có đăng nhập trái phép Phạm Hữu Thiết 71 SPLUNK Đồ án tốt nghiệp 3.3 Xây dựng thủ tục phát công Khoa an toàn thông tin 3.3.1 Thủ tục phát công Sql Injection - Phương thức công vào hệ thống website Trong toán ta sử dụng ta sử dụng phương pháp công sql injection sử dụng câu lệnh SELECT UNION Các bước công • Kiểm tra xem trang web có lỗi Sql injection hay không Ta tiêm ký tự “ ’ ” vào 192.168.1.3/demosplunk/?frame=product_detail&id=289’ • Tìm số cột mà câu truy vấn tạo 192.168.1.3/demosplunk/?frame=product_detail&id=-289 • Tìm cột chứa thông tin khai thác 192.168.1.3/demosplunk/?frame=product_detail&id=-289 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15— • Khai thác số thông tin version(),database() 192.168.1.3/demosplunk/?frame=product_detail&id=-289 UNION SELECT 1,2,version(),4,5,6,7,8,9,10,11,12,13,14,15— 192.168.1.3/demosplunk/?frame=product_detail&id=-289 UNION SELECT 1,2,database(),4,5,6,7,8,9,10,11,12,13,14,15— • Xác định tên bảng chứa thông tin người quản trị 192.168.1.3/demosplunk/?frame=product_detail&id=-289 UNION SELECT1,2,unhex(hex(group_concat(table_name))),4,5,6,7,8,9,10,11,12,13,1 4,15 from information_schema.tables where table_schema=database()-• Xác định cột bảng chứa thông tin người quản trị 192.168.159.138/demosplunk/?frame=product_detail&id=-289 UNION SELECT1,2,unhex(hex(group_concat(column_name))),4,5,6,7,8,9,10,11,12,1 Phạm Hữu Thiết 72 SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin 3,14,15 from information_schema.columns where table_name=CHAR(116, 98, 108, 95, 117, 115, 101, 114)-• Tìm user pass người quản trị 192.168.159.138/demosplunk/?frame=product_detail&id=-289 UNION SELECT1,2,unhex(hex(group_concat(id,0x3a,uid,0x3a,pwd))),4,5,6,7,8,9,10, 11,12,13,14,15 from tbl_user— - Thủ tục phát công Sau Atacker sử dụng câu lên sql injection tiêm vào hệ thống website hệ thống website ghi lại log splunk đẩy log Moniter-server xử lý Hình 3.10 Log có chứa công SQL injection Để phát sql injection ta có phương thức: - Tính chiều dài trung bình tất chuỗi truy vấn URI sau so sánh chiều dài chuổi URI so với chiều dài trung bình thầy chiều dài URI lớn so với 2,5 lần độ lệch chuẩn cộng với chiều dài trung bình ta đưa thông báo - Sử dụng mẫu có sẵn để phát công Các từ khóa câu lệnh thường sử dụng để tiêm vào database • “UNION” • “SELECT” • “ORDER BY” • “PASSWD” • “ ” • “0X3A” • “GROUP_CONCAT” • “DROP” Phạm Hữu Thiết 73 SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin 3.3.2 Thủ tục phát công từ chối dịch vụ - Phương thực công Sử dụng công cụ DosHTTP thực gửi liên tục request vào website Ta thấy lượng log truy nhập vào website tăng cao bất thường hệ thống - Thủ tục phát công từ chối dịch vụ Tính ngưỡng trung bình truy cập vào website theo khoảng thời gian Nếu số lượng truy cập vào webstie với ngưỡng truy cập cao đưa cảnh báo cho người quản trị biết Phạm Hữu Thiết 74 SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin Số lượng log có công từ chối dịch vụ xảy 3.4 Thử nghiệm hệ thống 3.4.1 Mô hình thử nghiệm Phạm Hữu Thiết 75 SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin Hình 3.11 Mô hình thử nghiệm Trong mô hình sử dụng server để quản lý giám sát hoạt động webserver Thông tin thành phần mô hình - Máy chủ web: • Địa 192.168.1.3 • Hệ điều hành winserver2008 • Máy chủ web : Apache • Cài đặt Splunk forwarder để đẩy log máy chủ giám sát - Máy chủ giám sát • Địa 192.168.1.2 • Hệ điều hành winserver2008 • Cài đặt Splunk indexer để phân tích tính toán log gửi từ máy chủ web • Phần mềm giám sát website hoạt động - Attacker • Địa 192.168.1.4 • Sử dụng hệ điều hành xp Phạm Hữu Thiết 76 SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin • Thực công Sql injection, từ chối dịch vụ vào máy chủ webserver - Admin • Địa 192.168.1.5 • Sử dụng hệ điều hành win 8.1 • Thực quản trị máy chủ giám sát - User • Địa 192.168.1.0/24 Là người dùng hợp pháp truy cập vào webserver Tại máy webserver cài đặt apache chạy website Hình 3.12 Giao diện trang chủ website cần giám sát Toàn log webserver đẩy server-moniter theo mô hình Phạm Hữu Thiết 77 SPLUNK Đồ án tốt nghiệp Hình 3.13 Khoa an toàn thông tin Mô hình đẩy log giửa webserver moniter - Cài đặt phần mềm giám sát webstie lên server-moniter - Thực giám sát website - Từ máy attacker thực công sql injection vào webserver 3.4.2 Kết thử nghiệm Giám sát tình hình hoạt động website Có thể phát công sql injection, công từ chối dịch vụ, truy nhập trái phép vào hệ thống webstie thông báo email đến người dùng Phạm Hữu Thiết 78 SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin KẾT LUẬN Đồ án tìm hiểu vấn đề hệ thống giám sát an ninh mạng số công cụ giám sát an ninh mạng phổ biến Tầm quan trọng hệ thống giám sát an ninh mạng hệ thống tình hình an ninh mạng phức tạp Đi sâu tìm hiểu công cụ giám sát an ninh mạng Spunk Tìm hiểu sức mạng Spunk giám sát an ninh mạng Hiểu sâu sắc thành phần Splunk qua xây dựng ứng dụng giám sát website dựa tảng Splunk giúp người quản trị có nhìn tổng quan hệ thống website đặc biệt giúp người quản trị phát công Sql injection, công từ chối dịch vụ theo thời gian thực thông báo đến người quản trị cách kịp thời để xử lý Do thời gian ngắn nên đồ án nhiều hạn chế chức Hướng phát triển đồ án cập nhật thêm phương thức phát công Sql injection phát triển thêm chức phát công loại công khác Phạm Hữu Thiết 79 SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin TÀI LIỆU THAM KHẢO Tiếng Anh [1] [2] [3] [4] [5] [6] [7] [8] Document Splunk: Splunk-6.2.0-Admin Document Splunk: Splunk-6.2.0-AdvancedDev Document Splunk: Splunk-6.2.0-Forwarding Document Splunk: Splunk-6.2.0-Indexer Document Splunk: Splunk-6.2.0-Overview Document Splunk: Splunk-6.2.0-Installation Document Splunk: Splunk-6.2.0-SearchReference Implementing Splunk Tiếng Việt [9] http://antoanthongtin.vn/Detail.aspx?CatID=afad3c1b-8ab0-41b39364-fe76366f1531&NewsID=738aa8aa-5a16-44a7-aec1-b2f7bc49a831 [10] http://securitydaily.net/mot-so-san-pham-giam-sat-an-ninh-mang/ [11] http://www.tqdat.info/2014/09/splunk-gioi-thieu-ve-splunk-phan-1.html [12] http://antoanthongtin.vn/Detail.aspx?CatID=c251d538-7a3c-4fc7-81df44a2de35883f&NewsID=361343a3-56fa-42d6-bc7c-d0f11de1b57d Phạm Hữu Thiết 80 SPLUNK [...]... dữ liệu này 1.4 Một số sản phẩm giám sát an ninh mạng 1.4.1 Công cụ SPlunk Hình 1.2 Công cụ Splunk Phạm Hữu Thiết 14 SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin Splunk là một phần mềm giám sát mạng dựa trên sức mạnh của việc phân tích Log Splunk thực hiện các công việc tìm kiếm, giám sát và phân tích các dữ liệu lớn được sinh ra từ các ứng dụng, các hệ thống và các thiết bị hạ tầng mạng Nó có thể... nghiệp Khoa an toàn thông tin Giải pháp quản lý và phân tích sự kiện an ninh: là sự kết hợp của cả hai giải pháp trên nhằm khắc phục những hạn chế vốn có Hệ thống giám sát mạng có thể giám sát các mạng có kích thước lớn, nhỏ, trung bình Một số loại mạng như là : Wireless or wired, Lan, VPN, WAN Thị trường kinh doanh luôn đòi hỏi các chức năng trang web mới để sử dụng nội bộ và bên ngoài Giám sát cho phép... - Xác định liên kết mạng diện rộng yếu và thắt cổ chai - Xác định độ trể truyền tải dữ liệu - Tìm bất thường trong mạng nội bộ có thể cho biết một mối đe dọa an ninh Đối tượng của giám sát an ninh mạng là tất cả các thành phần, thiết bị trong hệ thống mạng - Các máy trạm - Cơ sở dữ liệu - Các ứng dụng - Các server - Các thiết bị mạng 1.3 Lợi ích của một hệ thống giám sát an toàn mạng – SIEM 1.3.1 Quản... ngũ an ninh nhỏ hoặc một trung tâm hoạt động bảo mật Bảng điều khiển an ninh cung cấp một cách xem hoàn toàn tùy biến với các từ khóa bảo mật quan trọng trong lĩnh vực an ninh domain Ứng dụng an ninh Splunk chứa 1 thư viện dựng sẵn các số liệu an ninh để hỗ trợ người dùng nhận diện được các tình huống và giám sát liên tục các nguy cơ bảo mật trên domain Và tất cả thông tin đó đều được thể hiện rõ trên. .. Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS) và Sarbanes-Oxley Act (SOX) Nhờ SIEM, một tổ chức có thể tiết kiệm đáng kể thời gian, nguồn lực để đạt được đủ các yều cầu về báo cáo an ninh định kỳ 1.3.2 Giám sát an toàn mạng Lí do chính cho việc triển khai SIEM là hệ thống này có thể phát hiện ra các sự cố mà các thiết bị thông thường không phát. .. mục tiêu đó đã bị nhiễm mã độc, hay tấn công thành công hay chưa, từ đó có thể thực hiện cách li chúng ra một mạng riêng và xử lí cuộc tấn công Cần hiểu rằng SIEM không thay thế các sản phẩm kiểm soát an ninh phát hiện tấn công như hệ thống ngăn chặn xâm nhập IPS, công nghệ tường lửa và phần mềm diệt virus Một SIEM độc lập không có tác dụng gì ngoài theo dõi các sự kiện an ninh đang diễn ra SIEM được... chúng ta có thể sử dụng số liệu thống kê trên bất kỳ dữ liệu nào để tìm kiếm các mối đe dọa tiềm ẩn, trong khi vẫn có thể giám sát liên tục các mối đe dọa đa4 bị phát hiện bởi những sản phẩm an ninh truyền thống Phạm Hữu Thiết 35 SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin Ứng dụng an ninh Splunk chạy ở phía trên Splunk Enterprise và cung cấp công cụ để giám sát, cảnh báo và phân tích cần thiết để xác... Security(ES) - Server triển khai Hệ thống nay có thể được tích hợp với các dịch vụ Splunk khác, hoặc triển khai độc lập Nếu muốn triển khai hệ thống lớn, một hệ thống độc lập là rất quan trọng Phạm Hữu Thiết 28 SPLUNK Đồ án tốt nghiệp Khoa an toàn thông tin 2.2 Sức mạnh của Splunk trong giám sát an ninh mạng 2.2.1 Quản lý các ứng dụng: Giải quyết vấn đề nhanh hơn, giảm thời gian bị downtime: -Troublesshoot... các cơ quan nhà nước, ngân hàng, các doanh nghiệp tài chính, các tập đoàn công nghệ - Sản phẩm SIEM cho phép tổ chức có được bức tranh toàn cảnh về các sự kiện an ninh xảy ra Bằng cách tập hợp các dữ liệu nhật ký an ninh từ các trạm kiểm soát an ninh, hệ điều hành của thiết bị đầu cuối, ứng dụng và các phần mềm khác, SIEM có thể phân tích một lượng lớn dữ liệu nhằm xác định các cuộc tấn công và xâm... LogZilla cung cấp một giao diện tìm kiêm theo từ khóa và theo một số thuộc tính khá trực quan và thông minh Tuy không được đánh giá cao như SPLUNK nhưng LogZilla cũng được các nhà quản trị mạng đánh giá khá cao về chức năng tìm kiếm các thông tin trong Log - Cảnh báo và giám sát mạng: LogZilla hỗ trợ việc phát hiện các sự kiện một cách nhanh chóng trong thời gian thực Có thể nhanh chóng phát hiện các điểm