TÌM HIỂU SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM) và THỰC NGHIỆM TRÊN MÃ NGUỒN MỞ

TÌM HIỂU SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM) và THỰC NGHIỆM TRÊN MÃ NGUỒN MỞSIEM (Security Infomation and Event Management Hệ thống bảo mật thông tin và quản lý sự kiện an ninh) là hệ thống các phần mềm và dịch vụ được kết hợp từ SIM (Security information management) và SEM (Security event management). SIEM cung cấp dịch vụ phân tích thời gian thực và cảnh báo bảo mật được tạo từ dữ liệu thu thập từ các ứng dụng và phần cứng mạng.SIEM thu thập các dữ liệu về các sự kiện an ninh từ nhiều thiết bị khác nhau trong hệ thống để phân tích, tương quan và đưa ra cảnh báo bảo mật cho người quản trị về những nguy cơ đang xảy ra với hệ thống. SIEM còn cung cấp giải pháp ứng phó với các sự cố an ninh mạng, chuẩn hóa, lưu trữ và quản lý dữ liệu an ninh và dữ liệu đăng nhập.

TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP HỒ CHÍ MINH

KHOA CÔNG NGHỆ THÔNG TIN

 ❖ 

BÀI BÁO CÁO

TIỂU LUẬN CHUYÊN NGÀNH

ĐỀ TÀI:

TÌM HIỂU SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM) VÀ THỰC

NGHIỆM TRÊN MÃ NGUỒN MỞ

Giảng viên hướng dẫn : ThS Nguyễn Thị Thanh Vân

Sinh viên thực hiện : 14110054 Nguyễn Trường Hận

TP HỒ CHÍ MINH, THÁNG 1 NĂM 2018

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

Tp Hồ Chí Minh, ngày… tháng … năm ……

Giảng viên hướng dẫn

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN

Tp Hồ Chí Minh, ngày… tháng … năm ……

Giảng viên phản biện

LỜI CẢM ƠN

Trên thực tế không có sự thành công nào mà không gắn liền với những sự hỗ trợ,

giúp đỡ dù ít hay nhiều, dù trực tiếp hay gián tiếp của người khác Trong suốt thời gian

từ khi bắt đầu thực hiện đề tài đến nay, chúng em đã nhận được rất nhiều sự quan tâm,

giúp đỡ và hướng dẫn của cô giảng viên hướn dẫn Chúng em xin chân thành cảm ơn cô

Nguyễn Thị Thanh Vân giảng viên khoa Công nghệ thông tin đã tận tâm hướng dẫn

chúng em qua từng buổi báo cáo trên lớp cũng như những buổi nói chuyện, thảo luận về

lĩnh vực sáng tạo trong báo cáo tiểu luận chuyên ngành Nếu không có những lời hướng

dẫn, dạy bảo của cô thì bài báo cáo này của chúng em rất khó có thể hoàn thiện được

Một lần nữa, em xin chân thành cảm ơn cô Bài báo cáo được thực hiện trong khoảng

thời gian hơn 4 tháng Bước đầu đi vào thực tế, tìm hiểu về lĩnh vực sáng tạo trong

nghiên cứu khoa học, kiến thức của chúng em còn hạn chế và còn nhiều bỡ ngỡ

Trong quá trình làm bài báo cáo tiểu luận chuyên ngành , khó tránh khỏi sai sót,

rất mong cô và hội đồng bỏ qua Đồng thời do trình độ cũng như kinh nghiệm thực tiễn

còn hạn chế nên bài báo cáo không thể tránh khỏi những thiếu sót, chúng em rất mong

nhận được ý kiến đóng góp cô và hội đồng để chúng em học thêm được nhiều kinh

nghiệm và sẽ hoàn thành tốt hơn bài báo cáo tốt nghiệp sắp tới

Sau cùng, em xin kính chúc quý thầy cô thật dồi dào sức khỏe, niềm tin để tiếp tục

thực hiện sứ mệnh cao đẹp của mình là truyền đạt kiến thức cho thế hệ mai sau

TP Hồ Chí Minh, ngày 6 tháng 1 năm 2018

Sinh viên thực hiện

Trần Đình Thi Nguyễn Trường Hận

DANH MỤC TỪ VIẾT TẮT

PC: Personal Computer (Máy tính cá nhân)

OS: Operating system (Hệ điều hành)

DNS: Domain Name System (Hệ thống phân giải tên miền)

DHCP: Dynamic Host Configuration Protocol (Hệ thống cấp phát địa chỉ Ip động) IDS: Intrucsion Detection System (Hệ thống phát hiện xâm nhập)

FTP: File Transfer Protocol (Phương thức chuyển tập tin)

SIEM: Security Infomation and Event Management (Hệ thống bảo mật thông tin

và quản lý sự kiện an ninh)

SEM: Security event management

SIM: Security information management

UDP: User Datagram Protocol (Giao thức cốt lõi của giao thức TCP/IP)

SNMP: Simple Network Management Protocol (Tập hợp các giao thức mạng) OPSEC: Open Platform for Security

SFTP: Secure File Transfer Protocol

NAS: Network Attached Storage (Hệ thống lưu trữ dữ liệu)

SAN: Storage Area Networks

OpenVAS: Open Vulnerability Assessment System (Phần mền rò quét điểm yếu

hệ thống)

P0f: Passive OS fingerprinting

OSSEC: Open Source Host-based Intrusion Detection System

GPL: GNU General Public License

DANH MỤC HÌNH ẢNH

Hình 1: Các tính năng của hệ thống SIEM 13

Hình 2: Thành phần của hệ thống SIEM 18

Hình 3: Các nguồn dữ liệu SIEM thu thập 22

Hình 4: Các dạng hiển thị dữ liệu của SIEM 25

Hình 5: Giao diện Splunk Enterprise 28

Hình 6: Sơ đồ thu thập dữ liệu của Splunk Enterprise 28

Hình 7: Công cụ tích hợp với Splunk Enterprise 30

Hình 8: Giao diện web OSSIM 31

Hình 9: Mô hình mạng thực nghiệm 35

Hình 10: Giao diện Splunk Enterprise 37

Hình 11: Upload dữ liệu lên server 37

Hình 12: Danh sách file logs 38

Hình 13: Mở file cấu hình bằng quyền administrator 38

Hình 14: Cấu hình file inputs.conf 39

Hình 15: Khởi động Splunk forwader 40

Hình 16: Cấu hình port trên server nhận dữ liệu 40

Hình 17: : Cấu hình port trên server nhận dữ liệu 40

Hình 18: Kiểm tra server đã nhận host chưa 41

Hình 19: Danh sách file logs sau khi nhận log từ host 41

Hình 20: Download universal forwader cho linux 41

Hình 21: Cài đặt universal forwader trên client linux 42

Hình 22: Cài đặt universal forwader trên client linux 42

Hình 23: Khởi động universal forwader trên client linux 43

Hình 24: Cấu hình nhận server trên client linux 43

Hình 25: Xem danh sách server 43

Hình 26: Kiểm tra cấu hình đã được ghi lại trong file outputs.config hay chưa 43

Hình 27: Cấu hình thêm data file inputs.config 44

Hình 28: Chạy cấu hình trong file input.config 44

Hình 29: Kiểm tra server đã nhận host chưa 44

Hình 30: Danh sách file log khi nhận host 45

Hình 31: Tạo báo cáo cho dịch vụ SSH 45

Hình 32: Tạo báo cáo cho dịch vụ NTP 45

Hình 33: Tạo một báo cáo cho dịch vụ web 46

Hình 34: Tạo báo cáo cho dịch vụ Telnet và login 46

Hình 35: Tạo báo cáo cho dịch vụ FTP 46

Hình 36: Danh sách báo cáo 47

Hình 37: Cấu hình email dùng để gửi cảnh báo 47

Hình 38: Cài đặt bảo mật cho mail dùng để gửi cảnh cáo tới mail quản trị viên nhận cảnh báo 48

Hình 39: Tạo cảnh báo cho FTP khi kết nối thất bại 48

Hình 40: Tạo cảnh báo cho dịch vụ SSH khi kết nối thất bại 49

Hình 41: Đã thiết đặt email thành công 49

Hình 42: Xem dữ liệu của hệ thống 50

Hình 43: Nội dung file text lưu trữ nội dung các file log tronng khoảng thời gian nhất định 50

Hình 44: Dashboard cho dịch vụ SSH 51

Hình 45: Dashboard cho dịch vụ FTP 51

Hình 46: Thư mục lưu log cảnh báo của hệ thống OSSEC 52

Hình 47: Tải thư mục chứa các file logs cảnh báo của hệ thống OSSEC vào Splunk server 52

Hình 48: Danh sách file logs cảnh bảo cảu hệ thống OSSEC gửi lên Splunk server 53

Hình 49: Giao diện công cụ DVWA 53

Hình 50: Tấn công SQL injection vào website trên server 54

Hình 51: Các file log nhận được khi tấn công website 54

Hình 52: Tạo cảnh cáo khi website bị tấn công 54

Hình 53: Cảnh báo được gửi tới mail của quản trị viên 55

DANH MỤC BẢNG BIỂU

Bảng 1: Hệ thống mạng thực nghiệm 35

MỤC LỤC

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN 1

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN 2

LỜI CẢM ƠN 3

DANH MỤC TỪ VIẾT TẮT 4

DANH MỤC HÌNH ẢNH 5

DANH MỤC BẢNG BIỂU 7

MỤC LỤC 8

PHẦN MỞ ĐẦU 11

1 Lý do chọn đề tài 11

2 Mục tiêu đề tài 11

3 Đối tượng của đề tài 12

4 Nội dung của đề tài 12

5 Ý nghĩa của đề tài 12

PHẦN NỘI DUNG 13

Chương 1: TÌM HIỂU HỆ THỐNG SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM) 13

1.1 Tổng quan về SIEM 13

1.2 Các tính năng của hệ thống SIEM 14

Thu thập dữ liệu, quản lí tập trung, tương quan sự kiện an ninh 14 Báo cáo, cảnh báo tới quản trị viên hệ thống, hiển thị tình trạng hệ thống 15

Kiểm soát truy cập, giám sát, đảm bảo an toàn hệ thống 15

Cung cấp các giải pháp xử lý sự cố 16

1.3 Lợi ích, ưu điểm của SIEM 16

1.4 Các thành phần của hệ thống SIEM 17

Thiết bị nguồn và các dịch vụ 18

Các dạng bản ghi log 20

1.5 Cơ chế hoạt động của hệ thống SIEM 21

Thu thập thông tin từ các thiết bị 21

Phân tích, chuẩn hóa bản ghi log, tương quan các sự kiện an ninh

23

Theo dõi và giám sát hệ thống 25

Báo cáo, cảnh báo, lưu trữ dữ liệu 25

Chương 2: CÁC CÔNG CỤ TRIỂN KHAI HỆ THỐNG SIEM 27

2.1 Splunk Enterprise 27

Cơ chế Splunk Enterprise thu thập thông tin 28

Splunk Enterprise giám sát hệ thống 29

Splunk Enterprise lưu trữ dữ liệu 29

Splunk Enterprise ứng phó với sự cố 29

Mở rộng 29

2.2 AlienVault OSSIM 30

Phương pháp thu thập thông tin của OSSIM 31

Tương quan sự kiện an ninh trong OSSIM 31

Các hành động ứng phó sự cố an ninh trong OSSIM 33

Một số công cụ mã nguồn mở tích hợp trong OSSIM 33

Chương 3: THỰC NGHIỆM 35

3.1 Mô tả 35

3.2 Sơ đồ mạng 35

3.3 Kịch bản 36

3.4 Công cụ 36

3.5 Triển khai 36

Upload dữ liệu từ thư mục var/logs ở máy server 37

Cài đặt để client windows gửi log về server 38

Cấu hình Universal forwarder trên máy client Ubuntu để gửi log cho server 41

Tạo báo cáo cho các dịch vụ 45

Tạo cảnh báo khi các dịch vụ kết nối thất bại và gửi cảnh báo đến mail

của quản trị viên 47

Xem dữ liệu được lưu ở dạng chỉ mục 49

Tạo Dashboard về các dịch vụ 50

Kết hợp Splunk Enterprise với hệ thống phát hiện chống xâm nhập OSSEC 51

Tạo cảnh cáo khi website tại server bị tấn công 53

PHẦN KẾT LUẬN 56

1 Kết quả đạt được 56

2 Chưa đạt được 56

3 Khó khăn 56

TÀI LIỆU THAM KHẢO 57

Sản phẩm SIEM đã xuất hiện nhiều năm nay, nhưng tiền thân của sản phẩm này nhắm đến các tổ chức lớn với khả năng và đội ngũ phân tích an ninh chuyên biệt SIEM đang dần trở nên nổi bật, phù hợp cả với nhu cầu của các tổ chức vừa và nhỏ Kiến trúc SIEM ngày nay bao gồm phầm mềm SIEM cài đặt trên một máy chủ cục bộ, một phần cứng cục bộ hoặc một thiết bị ảo dành riêng cho SIEM, kèm theo đó là một dịch vụ đám mây SIEM

SIEM là một giải pháp hoàn chính, đầy đủ cho phép các tổ chức thực hiện việc giám sát các sự kiện an toàn thông tin cho một hệ thống, đảm bảo an ninh thông tin và quản lí các sự kiện an ninh của hệ thống một cách khoa học và hợp lý, giúp quản trị viên

có cái nhìn tổng quan và chính xác về tình trạng của hệ thống, ngoài ra còn giúp quản trị viên đưa ra phương án xử lí thích hợp khi xảy sự cố Với những lợi ích thiết thực của mình, hệ thống SIEM ngày càng phát triển và trở nên phổ biến, vì vậy với vai trò là những kỹ sư công nghệ thông tin tương lai, chúng em thực hiện đề tài này với mong mỏi phát triển tri thức, tìm hiểu và thực nghiệm hệ thống này nhằm phục vụ công việc sau này và phát triển hơn về sau

2 Mục tiêu đề tài

Tìm hiểu về cơ chế hoạt động, tính năng và ứng dụng của hệ thống giám sát an toàn mạng và quản lí sự kiện SIEM

Thực nghiệm triển khai hệ thống SIEM trên mã nguồn mở với mô hình mạng nhỏ, thực hiện một số tính năng nổi biệt của SIEM

3 Đối tượng của đề tài

Hệ thống giám sát an toàn mạng và quản lí sự kiện security information and event management (SIEM)

4 Nội dung của đề tài

✓ Khái niệm hệ thống SIEM

✓ Các tính năng của hệ thống SIEM

✓ Lợi ích của một hệ thống SIEM

✓ Thành phần và cách hoạt động của hệ thống SIEM

✓ Các công cụ triển khai SIEM và tính năng nổi bật

✓ Triển khai hệ thống trên mã nguồn mở

5 Ý nghĩa của đề tài

Việc thực hiện đề tài giúp người thực hiện có thêm tri thức về hệ thống giám sát

an toàn mạng và quản lí sự kiện an ninh mà trong thời buổi công nghệ thông tin và mạng internet ngày càng phát triển mạnh mẽ, đi kèm với đó là những nguy cơ, rủi ro về vấn

đề bảo mật thông tin, an toàn mạng cục bộ và toàn cầu Để một phần nào đó giải quyết những vấn đề trên, hệ thống SIEM được ra đời và ngày càng hoàn thiện giúp quản trị viên hệ thống mạng dễ dàng hơn trong việc quản lí các sự kiện an ninh diễn ra trong hệ thống, giám sát an toàn hệ thống mạng một cách khoa học và hiệu quả… Đề tài sẽ mang tới cho người đọc, người nghiên cứu một nguồn tri thức khoa học về vấn đề của đề tài,

là nền tảng để phát triển đề tài về sau

PHẦN NỘI DUNG

Chương 1: TÌM HIỂU HỆ THỐNG SECURITY INFORMATION

AND EVENT MANAGEMENT (SIEM)

1.1 Tổng quan về SIEM

SIEM (Security Infomation and Event Management - Hệ thống bảo mật thông tin

và quản lý sự kiện an ninh) là hệ thống các phần mềm và dịch vụ được kết hợp từ SIM (Security information management) và SEM (Security event management) SIEM cung cấp dịch vụ phân tích thời gian thực và cảnh báo bảo mật được tạo từ dữ liệu thu thập

Hình 1: Các tính năng của hệ thống SIEM

SIEM cung cấp các tính năng như:

✓ Thu thập file log

✓ Phân tích file log

✓ Tương quan sự kiện an ninh

✓ Đảm bảo tuân thủ tiêu chuẩn công nghệ thông tin

✓ Quản lý, giám sát đăng nhập và xác thực

✓ Kiểm soát truy cập ứng dụng

✓ Kiểm soát hoạt động của người dùng

✓ Báo cáo, cảnh báo, thống kê tình trạng hệ thống

✓ Đảm bảo sự toàn vẹn dữ liệu

✓ Giám sát hệ thống, đảm bảo an ninh các thiết bị đầu cuối

✓ Cảnh báo thời gian thực

✓ Tạo biểu đồ thể hiện tình trạng hệ thống một cách trực quan

✓ Phát hiện lỗ hổng, nguy cơ và cung cấp giải pháp xử lý, khắc phục sự cố

✓ Lưu trữ dữ liệu, đánh chỉ mục dữ liệu đảm bảo cho việc tìm kiếm về sau

SIEM là một giải pháp hoàn chính, đầy đủ cho phép các tổ chức thực hiện việc giám sát các sự kiện an toàn thông tin cho một hệ thống mạng

1.2 Các tính năng của hệ thống SIEM

Thu thập dữ liệu, quản lí tập trung, tương quan sự kiện an ninh

SIEM thu thập và quản lý các bản ghi nhật ký (log), bản ghi sự kiện an ninh từ các thiết bị trong hệ thống, chuẩn hóa chúng về một dạng nhất định và lưu trữ chúng trong

cơ sở dữ liệu tập trung, sau đó sẽ thực hiện thống kê, phân tích, báo cáo để tạo ra một báo cáo duy nhất cho thấy sự tương quan giữa các sự kiện an ninh của các thiết bị đánh chỉ mục dữ liệu giúp cho việc tìm kiếm dữ liệu sau này dễ dàng hơn

SIEM đưa dữ liệu thu thập được vào bộ nhớ và lưu trữ một cách hợp lý dựa trên

sự phân loại chúng theo nhiều tiêu chí về mức độ quan trọng cũng như nội dung của file log, dạng file log, nguồn file log …

SIEM so sánh, phân tích, liên kết các bản ghi sự kiện an ninh để đưa ra kết luận về tình trạng và nguy cơ của hệ thống, thể hiện qua các dạng báo cáo, biểu đồ nhằm cung cấp cho người quản trị một cái nhìn tổng quan và chính xác

Báo cáo, cảnh báo tới quản trị viên hệ thống, hiển thị tình trạng hệ thống

SIEM cung cấp đa dạng các loại báo cáo, hỗ trợ sẵn các mẫu báo cáo phù hợp với các chuẩn quốc tế như Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS) và Sarbanes-Oxley Act (SOX) Nhờ SIEM, một tổ chức có thể tiết kiệm đáng kể thời gian, nguồn lực để đạt được đủ các yều cầu về báo cáo an ninh định kỳ

SIEM cung cấp nhiều dạng cảnh báo tới quản trị viên qua nhiều phương tiện, hình thức như qua email, tin nhắn sms, cuộc gọi, … cùng với các hoạt động ứng phó với sự kiện diễn ra

Các báo cáo, cảnh báo được định dạng theo thời gian thực, hỗ trợ người quản trị kịp thời nhìn nhận các vấn đề của hệ thống Kịp thời theo dõi và có biện pháp phòng chống, xử lí, giảm thiểu thiệt hại cho hệ thống, đảm bảo toàn vẹn dữ liệu

SIEM cung cấp tương tác qua giao diện web trực quan, thể hiện tình trạng hệ thống qua nhiều hình thức như bảng, biểu đồ, sơ đồ, …

Kiểm soát truy cập, giám sát, đảm bảo an toàn hệ thống

SIEM dựa trên phân tích các bản ghi sự kiện an ninh, bản ghi log để giám sát toàn

bộ các thiết bị đầu cuối, các thiết bị mạng, máy chủ, ứng dụng, các thiết bị bảo mật mạng, phát hiện sự cố, nguy cơ đối với hệ thống SIEM cung cấp việc quản lý cũng như đánh giá tài sản, các thiết bị Bên cạnh là việc dò quét lỗ hổng và cập nhật các bản vá Nhiều hệ thống SIEM có thể theo dõi các thiết bị như PC, server, Firewall Một số

hệ thống SIEM thậm chí có thể quản lý an ninh cho thiết bị đầu cuối, có sự điều chỉnh

và hoàn thiện hơn đối với thiết bị an ninh đó trên hệ thống như cấu hình Firewall, cập nhật và theo dõi Anti Virus, chống spyware, chống spam email

SIEM có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện khi các cuộc tấn công đang diễn ra SIEM không tự mình trực tiếp ngăn chặn các cuộc tấn công, thay vào đó nó kết nối vào hệ thống an ninh khác như tường lửa và chuyển chúng đến phần

Bằng cách thu thập sự kiện của toàn tổ chức, SIEM có thể thấy được nhiều phần khác nhau của các cuộc tấn công thông qua nhiều thiết bị và sau đó tái cấu trúc lại chuỗi

sự kiện và xác định cuộc tấn công ban đầu là gì và nó đã thành công hay chưa Nói theo cách khác, trong khi một giải pháp ngăn chặn xâm nhập IPS có thể thấy được một phần của một cuộc tấn công và hệ điều hành của máy chủ mục tiêu cũng cho thấy được một phần khác của cuộc tấn công đó, một SIEM có thể kiểm tra dữ liệu nhật ký của tất cả sự kiện này và xác định máy chủ mục tiêu đó đã bị nhiễm mã độc, hay tấn công thành công hay chưa, từ đó có thể thực hiện cách li chúng ra một mạng riêng và xử lí cuộc tấn công SIEM còn gia tăng đáng kể hiệu quả việc xử lý sự cố, tiết kiệm đáng kể thời gian

và nguồn lực đối cho các nhân viên xử lý sự cố SIEM cải thiện điều này bằng cách cung một một giao diện đơn giản để xem xét tất cả dữ liệu nhật ký an ninh từ nhiều thiết bị đầu cuối

✓ Cho phép nhân viên xử lý sự cố nhanh chóng phát hiện một mũi của cuộc tấn công vào hệ thống

✓ Cho phép xác định nhanh chóng tất cả thiết bị đầu cuối bị ảnh hưởng bởi cuộc tấn công

✓ Cung cấp cơ chế tự động nhằm ngăn chặn các cuộc tấn công đang diễn ra và cách

ly các thiết bị đầu cuối đã bị xâm hại

1.3 Lợi ích, ưu điểm của SIEM

SIEM là hệ thống có thể phát hiện ra các sự cố mà các thiết bị thông thường không phát hiện được Rất nhiều thiết bị đầu cuối có phần mềm ghi lại sự kiện an ninh nhưng không tích hợp khả năng phát hiện sự cố Dù có thể quan sát các sự kiện và tạo ra các

nó đã thành công hay chưa

Nếu SIEM phát hiện bất cứ hành vi độc hại nào đã biết liên quan đến thiết bị đầu cuối, nó sẽ phản ứng ngăn chặn các kết nối hoặc làm gián đoạn, cách ly thiết bị đang tương tác với thiết bị khác nhằm ngăn ngừa cuộc tấn công từ điểm đầu tiên

SIEM cho phép tổ chức có được bức tranh toàn cảnh về các sự kiện an ninh xảy

ra Bằng cách tập hợp các dữ liệu nhật ký an ninh từ các thiết bị an ninh, hệ điều hành của thiết bị đầu cuối, ứng dụng và các phần mềm khác, SIEM có thể phân tích một lượng lớn dữ liệu nhằm xác định các cuộc tấn công và xâm hại ẩn dấu đằng sau các dữ liệu này

SIEM cung cấp cái nhìn trực quan thông qua các biểu đồ, đồ thị giúp theo dõi rõ ràng hơn Công cụ thể hiện dữ liệu sự kiện và có thể hiện thành biểu đồ thông tin để hỗ trợ cho thấy mô hình và xác định hoạt động không phù hợp

1.4 Các thành phần của hệ thống SIEM

SIEM bao gồm nhiều phần, mỗi phần làm một công việc riêng biệt Mỗi thành phần trong hệ thống này có thể hoạt động độc lập với các thành phần khác nhưng nếu tất cả không cùng hoạt động cùng một lúc thì chúng ta sẽ không có một SIEM hiệu quả Tùy thuộc vào hệ thống đang sử dụng nhưng mỗi SIEM sẽ luôn luôn có hai thành phần cơ bản được mô tả dưới đây

kể và giảm sự phức tạp trong triển khai

1.4.1.1 Hệ điều hành

Microsoft Windows và các biến thể của Linux và UNIX, AIX, Mac OS là những

hệ điều hành thường hay được sử dụng Hầu hết các hệ điều hành về cơ bản công nghệ khác nhau và thực hiện chuyên một nhiệm vụ nào đó nhưng một trong những điều mà tất cả đều có điểm chung là chúng tạo ra các bản ghi log Các bản ghi log sẽ cho thấy hệ thống của bạn đã làm gì: Ai là người đăng nhập, làm những gì trên hệ thống ? Các bản ghi log được tạo ra bởi một hệ điều hành về hệ thống và người sử dụng hoạt động sẽ rất hữu ích khi tiến hành ứng phó sự cố an ninh hoặc chẩn đoán vấnđề hay chỉ là việc cấu hình sai

1.4.1.2 Thiết bị, phần cứng

Hầu hết các thiết bị là các hộp đen, các quản trị hệ thống không có quyền truy cập trực tiếp vào hệ thống để thực hiện một số việc quản lý cơ bản Nhưng có thể quản lý các thiết bị thông qua một giao diện Giao diện này có thể dựa trên web, dòng lệnh hoặc chạy qua một ứng dụng được tải về máy trạm của quản trị viên Hệ điều hành các thiết

bị mạng chạy có thể là một hệ điều hành thông thường, chẳng hạn như Microsoft Windows hoặc phiên bản của Linux, nhưng nó cũng có thể được cấu hình theo cách mà

hệ điều hành thông thường Một ví dụ như một router hoặc switch Nó không phụ thuộc vào nhà cung cấp, chúng ta không bao giờ có thể truy cập trực tiếp vào hệ thống điều hành cơ bản của nó mà chỉ có thẻ truy cập vào thông qua dòng lệnh hoặc giao diện web được sử dụng để quản lý Các thiết bị lưu trữ các bản ghi log của chúng trên hệ thống hoặc thường có thể được cấu hình để gửi các bản ghi ra thông qua syslog hoặc FTP

1.4.1.3 Ứng dụng, dịch vụ hệ thống

Chạy trên các hệ điều hành là những ứng dụng được sử dụng cho một loạt các chức năng Trong một hệ thống chúng ta có thể có hệ thống tên miền (DNS), dịch vụ cấp phát địa chỉ động (DHCP), máy chủ web, hệ thống thư điện tử và vô số cácứng dụng khác Các bản ghi ứng dụng chứa thông tin chi tiết về tình trạng của ứng dụng, ví dụ như thống

kê, sai sót, hoặc thông tin tin nhắn Một số ứng dụng sinh ra bản ghi log sẽ có ích cho chúng ta? Chúng ta được yêu cầu để duy trì, lưu trữ các bản ghi log theo sự tuân thủ của pháp luật

1.4.1.4 Bản ghi nhật ký (log)

Sau khi xác định các thiết bị nguồn trong hệ thống, chúng ta cần xem xét việc thu thập các bản ghi log từ các thiết bị nào là cần thiết và quan trọng cho SIEM Một số điểm cần chú ý trong việc thu thập các bản ghi log như sau:

✓ Thiết bị nguồn nào được ưu tiên? Dữ liệu nào là quan trọng mà chúng ta cần phải thu thập?

✓ Kích thước các bản ghi log sinh ra trong khoảng thời gian nhất định là bao nhiêu? Những thông tin này dùng để xác định SIEM cần bao nhiêu tài nguyên cho chúng, đặc biệt là không gian lưu trữ

✓ Tốc độ các thiết bị nguồn này sinh ra các bản ghi log là bao lâu? Thông tin này cùng với kích thước bản ghi log để lựa chọn việc sử dụng đường truyền mạng khi thu thập các bản ghi

✓ Cách thức liên kết giữa các thiết bị nguồn với SIEM?

✓ Có cần các bản ghi log theo thời gian thực hay thiết lập quá trình thực hiện tại một thời điểm cụ thể trong ngày?

Các thông tin trên rất có ích trong việc xác định nguồn thiết bị cần thiết cho SIEM của chúng ta

Các dạng bản ghi log

1.4.2.1 Push log

Các bản ghi log sẽ được các thiết bị nguồn gửi về SIEM

Phương pháp này dễ dàng cài đặt và cấu hình Thông thường, chúng ta chỉ cần thiết lập một bộ tiếp nhận và sau đó kết nối thiết bị nguồn đến bộ phận tiếp nhận này Khi cấu hình thiết bị nguồn sử dụng syslog, chúng ta có thể thiết lập địa chỉ IP hoặc DNS tên của một máy chủ syslog trên mạng và thiết bị sẽ tự động gửi các bản ghi của nó thông qua syslog Tuy nhiên phương pháp nay cũng còn một số nhược điểm Ví dụ, sử dụng syslog trong môi trường UDP Bản chất vốn của việc sử dụng syslog trong môi trường UDP có nghĩa là không bao giờ có thể đảm bảo rằng các gói tin đến đích, vì UDP

là một giao thức không hướng kết nối Nếu một tình huống xảy ra trên mạng chẳng hạn như khi một loại virus mạnh trên mạng, chúng ta có thể không nhận được gói tin syslog Một vấn đề có thể phát sinh là nếu không đặt quyền điều khiển truy cập thích hợp trên máy thu nhận các bản ghi log thì khi cấu hình sai hoặc có phần mềm độc hại có thể làm tràn ngập các thông tin sai lệch Điều đó làm cho các sự kiện an ninh khó được phát hiện Nếu là một cuộc tấn công có chủ ý nhằm chống lại SIEM thì một kẻ xấu có thể làm sai lệch các thông tin và và thêm các dữ liệu rác vào SIEM

Do vậy sự hiểu biết về các thiết bị gửi các bản ghi log cho SIEM là điều rất quan trọng

1.4.2.2 Pull log

Các bản ghi log sẽ được SIEM đi tới và lấy về

Không giống như phương pháp push log, trong đó thiết bị nguồn gửi các bản ghi log cho SIEM mà không cần bất kỳ sự tương tác từ SIEM Pull log đòi hỏi SIEM bắt đầu kết nối với các thiết bị nguồn và chủ động lấy các bản ghi từ các thiết bị nguồn đó

Ví dụ : Nếu các bản ghi log được lưu trữ trong tập tin văn bản chia sẻ trên một mạng,

có thể là vài giây hoặc theo giờ Khoảng thời gian này chúng ta có thể cấu hình theo tùychọn hoặc để cấu hình mặc định cho SIEM

Custom Log Collection: Với các thiết bị khác nhau trong mạng có thể có một số nguồn bản ghi log không có phương pháp thu thập log chuẩn cung cấp sẵn bởi SIEM Chúng ta cần có phương thức để lấy các bản ghi log từ một nguồn bằng việc xây dựng phương pháp riêng để thu thập các bản ghi log Việc xây dựng phương thức riêng để lấy bản ghi log và phân tích có thể tốn nhiều công sức và thời gian, nhưng nếu được thực hiện đúng cách, nó sẽ có nghĩa là các bản ghi sẽ được kéo trực tiếp từ các thiết bị vào SIEM Một lợi ích khác của việc xây dựng phương pháp thu tập riêng là chúng ta có thể kiểm soát tất cả các quá trình phân tích và tìm kiếm

1.5 Cơ chế hoạt động của hệ thống SIEM

SIEM lấy các thông tin dữ liệu từ các thiết bị, sau đó sẽ phân tích các dữ liệu trên, chuyển các dữ liệu trên sang một định dạng mà SIEM có thể hiểu được (chuẩn hóa) SIEM tìm ra các dữ liệu liên quan đến nhau rồi liên kết chúng với nhau (tương quan) Qua đó, SIEM sẽ cảnh báo nếu có điều gì bất thường sắp xảy ra hoặc báo cáo dữ liệu một cách trực quan đến quản trị viên Cuối cùng, SIEM sẽ lưu trữ lại các dữ liệu không còn cần thiết tới nơi khác

Thu thập thông tin từ các thiết bị

Mục đích việc thu thập thông tin là để nắm bắt và chuẩn hóa các thông tin từ các thiết bị an ninh khác nhau và cung cấp nó cho các máy chủ để phân tích tiếp Chức năng này là rất quan trọng vì các dữ liệu có định dạng khác nhau từ các thiết bị và nhà cungcấp khác nhau Sau khi dữ liệu đã được thu thập và chuẩn hóa có thể được sử dụng kết hợp với các dữ liệu khác từ các nguồn khác Khi đã cùng một định dạng thì việc phát hiện

sự kiện an ninh có khả năng độc hại được nâng cao và chính xác hơn

Hình 3: Các nguồn dữ liệu SIEM thu thập

SIEM thu thập các bản ghi Log từ rất nhiều các thiết bị khác nhau như syslog/ agent, , việc truyền các bản ghi log từ các thiết bị nguồn tới SIEM cần được giữ bí mật, xác thực và tin cậy bằng việc sử dụng syslog hoặc các giao thức SNMP, OPSEC, SFTP, IDXP Sau đó các bản ghi log chuẩn hóa đưa về cùng một định dạng Nếu các thiết bị không hỗ trợ syslog hay các giao thức này chúng ta cần phải sử dụng các Agent Đó là một điều cần thực hiện để thực hiện việc lấy các bản ghi log có định dạng mà SIEM có thể hiểu được Việc cài đặt các Agent có thể kéo dài quá trình triển khai SIEM nhưng chúng ta sẽ có những bản ghi log theo dạng chuẩn mong muốn

Có hai cách để SIEM thu thập bản ghi log từ các thiết bị nguồn:

1.5.1.2 Push log

Các thiết bị nguồn tự đẩy các bản ghi log về cho SIEM Điều này cần tính toán về chu kỳ thời gian đẩy các bản ghi về SIEM vì nếu không sẽ dẫn tới việc tràn và bận của SIEM khi quá nhiều các thiết bị nguồn cùng gửi bản ghi log về

Dữ liệu định dạng gốc được lấy từ các thiết bị an ninh Việc này được thực hiện bằng SNMP hoặc SYSLOG và không thay đổi được các phần mềm chạy trên các thiết

bị an ninh Kỹ thuật này thường dùng cho các thiết bị mà khó có thể cài đặt thêm phần mềm vào

Khi các sự kiện an ninh đến máy chủ, mức độ ưu tiên sẽ được định dạng theo chuẩn

từ 0 đến 5 Người quản trị có thể điều chỉnh các giá trị mặc định thông qua một bảng tiêu chuẩn và chính sách ưu tiên Chính sách thu thập thông tin: Có thể thiết lập một chính sách ưu tiên và thu thập ở các bộ cảm biến để lọc và củng cố các thông tin sự kiện

an ninh trước khi gửi chúng đến máy chủ Kỹ thuật này cho phép người quản trị để điều tiết sự kiện an ninh và quản lý những thông tin, nếu không sẽ rất nhiều các sự kiện an ninh trong hệ thống mạng làm cho chúng ta lúng túng không biết bắt đầu từ đâu

SIEM sử dụng một số kỹ thuật để thu thập log từ các thiết bị kết nối Theo lí thuyết, thu thập log có thể từ bất kỳ thiết bị gì, như firewall, router, server …, những thiết bị này sẽ định tuyến log dữ liệu đến Collector, Logger và SIEM application Nhưng đây là cách khá bất khả thi Vì thế, SIEM sử dụng các Agents - các process chạy trên các thiết

bị, các process này sẽ thu thập log từ nhiều nguồn thiết bị, server sau đó gửi qua đường an toàn đến Collector Ngoài ra, SIEM còn thu thập log không thông qua Agent Với cách này, Collector sẽ thu thập log từ các thiết bị thông qua một mạng chia sẻ, từ một drive hoặc một nguồn được bảo vệ khác Cách này chỉ sử dụng khi không có agent thích hợp cho các thiết bị đặc biệt hoặc khi thiết bị đang chạy với công suất tối đa

Phân tích, chuẩn hóa bản ghi log, tương quan các sự kiện an ninh

Mỗi dữ liệu bản ghi log có mỗi kiểu định dạng khác nhau Trong môi trường doanh nghiệp có thể có hàng trăm hệ thống từ đó thu thập và phân tích các bản ghi log Mỗi hệ thống có mục đích riêng và sự kiện có thể có những thông tin khác nhau Giả sử chúng

ta bắt đầu thu thập các sự kiện và sự cố xảy ra Làm thế nào chúng ta có thể tìm thấy các

sự kiện liên quan đến sự cố đó? Chuẩn hóa cung cấp khả năng ánh xạ các sự kiện từ bất

kỳ nguồn log nào vào chương trình Mỗi loại nguồn log có thể có định dạng và nội dung riêng Các bản ghi proxy của Web chứa URL địa chỉ IP nguồn, mã trạng thái, tên và

phiên bản trình duyệt Các bản ghi tường lửa chứa các địa chỉ IP nguồn và đích và các cổng, giao thức … Chuẩn hóa đưa các log trên về một định dạng riêng mà nó có thể hiểu được Khi các dữ liệu được chuẩn hóa thì một số thông số quan cần được lưu ý là : Date – Time, Username, Source IP, Destination IP, Protocol, Request URL …

Quá trình tương quan sự kiện an ninh là từ các bản ghi sự kiện an ninh khác nhau được liên kết lại với nhau nhằm đưa ra kết luận có hay không một tấn công vào hệ thống Quá trình đòi hỏi việc xử lý tập trung và chuyên sâu vì chúng phải hiểu được một tấn công diễn ra như thế nào? Mà thông thường sẽ sử dụng các thông tin dữ liệu trong cơ sở

dữ liệu sẵn có và liên kết với các thông tin về bối cảnh trong môi trường mạng của hệ thống Các thông tin này có thể như các thư mục người dùng, các thiết bị và vị trí của chúng Điều tuyệt vời là SIEM có thể học được từ những sự kiện an ninh mới mà dữ liệu gửi về và cập nhật các thông tin về bối cảnh

Tương quan là việc liên kết nhiều sự kiện lại với nhau để phát hiện hành vi lạ Nó

là sự kết hợp của các sự kiện khác nhau nhưng liên quan đến một sự cố duy nhất trong

hệ thống Thông thường có hai kiểu tương quan là dựa trên các quy tắc kiến thức đã biết (Rule- based) và dựa trên phương pháp thống kê (statistical-based)

✓ Rule -based: Là phương pháp tương quan sự kiện dựa trên các quy tắc và kiến thức

đã biết về các cuộc tấn công Các kiến thức đã biết về các cuộc tấn công được sử dụng để liên kết các sự kiện lại với nhau và phân tích chúng trong một bối cảnh chung, các quy tắc được xây dựng vào các mẫu xác định và do các nhà cung cấp phát triển hoặc chúng ta có thể tự xây dựng, phát triển và bổ sung vào hệ thống theo thời gian và kinh nghiệm tích lũy

✓ Statistical -based: Phương thức tương quan không sử dụng bất kỳ kiến thức của các hoạt động cho là nguy hiểm đã biết trước đó Nhưng thay vì dựa vào những kiến thức của các hoạt động bình thường đã được công nhận và tích lũy theo thời gian Các sự kiện đang diễn ra được đánh giá bởi một thuật toán và có thể được so sánh với mẫu bình thường để phân biệt hành vi bình thường và hành vi bất thường Hệ thống phân tích các sự kiện an ninh trong một khoảng thời gian và sử dụng trọng số

để đánh giá tài sản, hệ thống Các giá trị trọng này sau đó được phân tích để xác định nguy cơ kiểu tấn công này xảy ra Các hệ thống này cũng thiết lập mức độ hoạt động mạng bình thường và tìm kiếm sai lệch so với những mẫu có hành vi bình thường có thể chỉ ra một cuộc tấn công

SIEM cung cấp cho quản trị viên cái nhìn trực quan về tình hình hệ thống qua nhiều hinh thức như bảng, biểu đồ, sơ đồ, …

Hình 4: Các dạng hiển thị dữ liệu của SIEM

Theo dõi và giám sát hệ thống

Khi đã có tất cả các bản ghi log trong SIEM và các sự kiện an ninh đã được xử lý, điều cần làm tiếp theo như thế nào để sử dụng hữu ích với các thông tin từ các bản ghi log khác nhau SIEM có một giao diện điều khiển dựa trên web hoặc ứng dụng tải về máy trạm Cả hai giao diện sẽ cho phép tương tác với các dữ liệu được lưu trữ trong SIEM Giao diện điều khiển này cũng được sử dụng để quản lý SIEM

Giao diện ứng dụng này cho phép xử lý sự cố hoặc cung cấp cái nhìn tổng quan về môi trường của chúng ta Nó có thể xử lý tại một nơi duy nhất, phân tích tất cả các bản ghi log khác nhau dễ dàng bởi vì SIEM đã chuẩn hóa các thông tin dữ liệu đó Trong quản lý và giám sát giao diện điều khiển của SIEM, chúng ta có thể phát triển nội dung

và quy định được sử dụng để tìm ra thông tin từ các sự kiện an ninh được xử lý Giao diện điều khiển này là một cách để giao tiếp với các dữ liệu được lưu trữ trong SIEM

Báo cáo, cảnh báo, lưu trữ dữ liệu

SIEM cung cấp ba cách để thông báo tới các quản trị viên một cuộc tấn công hay một hành vi bất thường đang xảy ra :

✓ SIEM có thể đưa ra một cảnh báo ngay khi chúng nhận ra rằng có điều gì bất thường

✓ SIEM sẽ gửi một thông báo vào một thời điểm được xác định trước của cuộc tấn công

✓ Các quản trị viên theo dõi giám sát SIEM theo thời gian thực thông qua một giao diện web

Các IDS thông thường đưa ra nhiều cảnh báo giả nhưng với SIEM nó tạo ra một

tỷ lệ nhỏ các thông báo giả như vậy Tuy nhiên tất cả những thông báo có thể là cần thiết

để thực hiện một hành động hay đơn giản là bỏ qua nó còn tùy thuộc vào mức độ của sự kiện an ninh

Một số sản phẩm của SIEM có thể thực hiện các hành động ứng phó như xóa các phần mềm độc hại, đóng một số cổng nào đó thông qua việc kết nối tới các thiết bị

đó Báo cáo được lập lịch để đưa ra các báo cáo thường xuyên Các báo này được thể hiện theo chuẩn quốc tế và có thể thể hiện qua những biểu đồ trực quan về những số liệu Những báo cáo này cung cấp nhanh chóng cái nhìn tổng quan cho các quản trị viên

và nhà quản lý

Khi phân tích thì các dữ liệu được lưu trữ trực tuyến và khi không còn cần thiết thì chúng sẽ được chuyển tới nơi khác để lưu trữ dài hạn Dữ liệu có thể được lưu trữ dưới dạng đã chuẩn hóa nhằm đẩy nhanh tốc độ tìm kiếm sử dụng sau này Bên cạnh đó chúng cũng được lưu trữ dưới dạng gốc ban đầu nhằm phục vụ nhu cầu bằng chứng và điều tra pháp y sau này SIEM cung cấp khả năng lưu trữ đến hàng trăm triệu TB sự kiện an ninh khác nhau Có 3 cách để lưu trữ các bản ghi trong SIEM

là :

• Lưu trữ dưới dạng cơ sở dữ liệu

• Lưu trữ dưới dạng file Text

• Lưu trữ dưới dạng file nhị phân

Chương 2: CÁC CÔNG CỤ TRIỂN KHAI HỆ THỐNG SIEM

2.1 Splunk Enterprise

Splunk là một tập đoàn đa quốc gia của Mỹ có trụ sở tại San Francisco, California,

là phần mềm để thu thập Log, tìm kiếm, theo dõi và phân tích dữ liệu lớn (big data) do máy tạo ra, thông qua một giao diện web nhằm giải quyết nhiều bài toán khác nhau của các tổ chức, doanh nghiệp như trong việc giám sát, vận hành hệ thống, điều tra sự cố.v.v

Phần mềm Splunk thu thập, đánh chỉ mục dữ liệu, tìm kiếm trong thời gian thực trong một kho lưu trữ dữ liệu có thể tìm kiếm, từ đó nó tạo ra các đồ thị, báo cáo, cảnh báo, biểu đồ

Splunk có sứ mệnh làm cho dữ liệu máy có thể truy cập được trong một tổ chức bằng cách xác định mô hình dữ liệu, cung cấp số liệu, chẩn đoán vấn đề và cung cấp thông tin cho các hoạt động kinh doanh Splunk được sử dụng để quản lý ứng dụng, bảo mật và tuân thủ theo chính sách tổ chức, cũng như kinh doanh và phân tích web Tính đến đầu năm 2016, Splunk có hơn 10.000 khách hàng trên toàn thế giới

Splunk là một phần mềm giám sát mạng dựa trên sức mạnh của việc phân tích log Splunk thực hiện các công việc tìm kiếm, giám sát và phân tích dữ liệu logs lớn được sinh ra từ các ứng dụng, các hệ thống và các thiết bị hạ tầng mạng Nó có thể thao tác tốt với nhiều loại dịnh dạng dữ liệu khác nhau (Syslog, csv, apache-log, access_combine

…) Splunk được xây dựng dựa trên nền tảng Lucene and MongoDB với một giao diện web rất trực quan

Hình 5: Giao diện Splunk Enterprise

Cơ chế Splunk Enterprise thu thập thông tin

Hình 6: Sơ đồ thu thập dữ liệu của Splunk Enterprise

Splunk hỗ trợ hầu như tất cả các loại log của hệ thống, thiết bị hạ tầng mạng, phần mềm, Firewall, IDS/IPS, Log Event, Register của các máy trạm ….Splunk có thể thực hiện việc thu thập log từ rất nhiều nguồn khác nhau Từ một file hoặc thư mục (kể cả file nén) trên server, qua các kết nối UDP, TCP từ các Splunk Server khác trong mô