Đang tải... (xem toàn văn)
Trong thời đại công nghệ đang ngày càng phát triển cả về phần cứng lẫn phần mềm. Nhu cầu sử dụng ngày một tăng, kéo theo đó là ucác dịch vụ cũng sẽ tăng theo. Khi cả cung và cầu đều tăng như vậy dẫn đến nhiều vấn đề phát sinh. Về phía cung cấp dịch vụ cần đảm bảo an toàn thông tin cho người sử dụng, có sự quản lý chặt chẽ, phát hiện và khắc phục các sự cố một cách nhanh chóng. Từ trước đó log được ra đời để giúp quản lý các luồng dữ liệu, hành vi trong các máy chủ, thiết bị cả về vật lý phần cứng và phần mềm nằm trong hệ thống. Nhưng một công ty không chỉ có một máy chủ mà gồm tập hợp rất nhiều máy chủ để tạo thành một hệ thống. Hệ thống càng lớn lượng dữ liệu cần phải quản lý càng nhiều và bị phân tán ở nhiều nơi. Dẫn đến nhu cầu quản lý log một cách hiệu quả cho cả một hệ thống. Có thể nói rằng, cuộc đua giữa an ninh, an toàn mạng và kẻ tấn công là cuộc chiến đầy phức tạp và không có hồi kết. Các tổ chức thuộc mọi quy mô đang chiến đấu trong cùng một cuộc chiến an ninh mạng trong khi các kẻ tấn công luôn luôn thay đổi cục diện của các mối đe dọa bằng cách phát triển các công cụ mới và nhằm mục tiêu vào các điểm yếu của nạn nhân. Các mối đe dọa liên tục tìm kiếm các cuộc tấn công có thể vượt qua các hệ thống an ninh và để bắt được các cuộc tấn công này trong khi chúng vẫn ở trong giai đoạn tiến hành. Các đội phòng thủ đang thích nghi với cách tiếp cận này thay vì chờ đợi vào cảnh báo đã bị vi phạm thường xuất hiện sau sự cố. Mục tiêu của bài đồ án này em sẽ tìm hiểu về log, tầm quan trọng của log cũng như công việc thu thập, lưu trữ và phân tích log. Tìm hiểu về Sigma và Elastalert áp dụng các luật vào bài toán thực tế liên quan đến dữ liệu có được từ quá trình ghi log. Xây dựng ứng dụng có thể cảnh báo cho quản trị viên hệ thống về việc truy cập bất thường vào hệ thống từ chính những thông tin được cung cấp từ logfile.
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP Phân tích liệu lớn với ELK ứng dụng phát chuỗi cơng APT theo mơ hình MITRE’s ATT&CK Ngành: An tồn thông tin Mã số: Sinh viên thực hiện: Nguyễn Quỳnh Châu Lớp: AT12B Người hướng dẫn: ThS Trần Anh Tú Khoa An tồn thơng tin – Học viện Kỹ thuật Mật mã Hà Nội, 2020 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP Phân tích liệu lớn với ELK ứng dụng phát chuỗi cơng APT theo mơ hình MITRE’s ATT&CK Ngành: An tồn thơng tin Mã số: Sinh viên thực hiện: Nguyễn Quỳnh Châu Lớp: AT12B Người hướng dẫn: ThS Trần Anh Tú Khoa An tồn thơng tin – Học viện Kỹ thuật Mật mã Hà Nội, 2020 MỤC LỤC Mục lục i Danh mục kí hiệu viết tắt .iii Danh mục hình vẽ iv Danh mục bảng .vi Lời cảm ơn vii Lời nói đầu viii Chương TỔNG QUAN VỀ MƠ HÌNH PHÁT HIỆN CHUỖI TẤN CÔNG APT THEO MITRE’S ATT&CK 1.1 Tổng quan APT .1 1.1.1 Khái niệm .1 1.1.2 Tiến trình cuốc cơng APT 1.1.3 Đánh giá công APT 1.2 MITRE’s ATT&CK 1.2.1 Khái niệm MITRE’s ATT&CK .5 1.2.2 Mô hình phát vịng đời cơng Mitre’s ATT&CK 1.3 Kết luận chương 16 Chương TRIỂN KHAI HỆ THỐNG ELK 18 2.1 Tổng quan log 18 2.1.1 Định nghĩa Logs 18 2.1.2 Ý nghĩa việc quản lý logs 18 2.2 Hệ thống ELK Stack .20 2.2.1 Giới thiệu tổng quan ELK Stack 20 2.2.2 Mơ hình hoạt động .23 2.2.3 Các thành phần hệ thống ELK Stack 24 2.3 Tích hợp cơng cụ vào hệ thống ELK 40 2.3.1 ElastAlert 40 2.3.2 Sigma 45 2.4 Kết luận chương 46 Chương XÂY DỰNG THỰC NGHIỆM PHÁT HIỆN TẤN CƠNG APT THEO MƠ HÌNH ATT&CK .47 3.1 Mơ tả tốn 47 3.2 Xây dựng môi trường 48 3.2.1 Triển khai mơ hình ELK Server Ubutu .48 3.2.2 Triển khai lấy log máy window server 2012 52 3.2.3 Triển khai Server công tảng Kali 56 3.3 Thực cơng phân tích hành động 57 3.4 Cảnh báo 67 3.5 Đánh giá 70 3.6 Các vấn đề tồn 71 3.6.1 Vấn đề liệu không quán 71 3.6.2 Vấn đề thu thập liệu 71 3.7 Kết luận chương 71 Kết luận 73 Tài liệu tham khảo .75 DANH MỤC KÍ HIỆU VÀ VIẾT TẮT APT ATT&CK CRUD DDOS ELK ES-HADOOP HTTP IDPS IDS / IPS IOC JSON MSSQL MySQL NoSQL PDF PHP RAM REST RFI TTPs UDP URL VPN XSS Advanced Persistent Threat Adversarial Tactics, Techniques & Common knowledge Create, read, update, delete Distributed Denial of Service Elasticsearch, Logstash, Kibana Elasticsearch-Hadoop HyperText Transfer Protocol Intrusion Detection Prevention Systems Intrusion Detection Systems / Intrusion Prevention Systems Inversion Of Control JavaScript Object Notation Microsoft Structured Query Language Server My Structured Query Language Non Structured Query Language Portable Docunment Format Hypertext Preprocessor Random Access Memory REpresentational State Transfer Remote File Inclusion Tactics, Techniques, Procedures User Datagram Protocol Uniform Resource Locator Virtual Private network Cross-site scripting Danh mục hình vẽ Hình 1-1 Giới thiệu APT Hình 1-2 Mơ hình giao đoạn cơng APT .2 Hình 1-3 Các phương pháp kỹ thuật công Hình 1-4 Ma trận doanh nghiệp ATT&CK .7 Hình 1-5 Ví dụ mô tả kỹ thuật Mitre ATT&CK .8 Hình 1-6 Vịng đời cơng Mand Mandiant (Hastings, 2014) Hình 1-7 Ví dụ câu lệnh chạy Windows 11 Hình 1-8 Năm nguyên tắc bảo mật dựa mối đe dọa MITRE 11 Hình 1-9 Khung MITRE ATT&CK 13 Hình 1-10 Các loại chiến thuật ATT&CK 14 Hình 1-11 Một phần ma trận MITRE ATT&CK 14 Hình 1-12 Kỹ thuật dịch vụ MITER (MITER, 2017) 15 Hình 2-1 Các phần mềm mã nguồn mở Elastic Stack 20 Hình 2-2 Các thành phần ELK Stack 22 Hình 2-3 Các phần mềm ELK Stack .22 Hình 2-4 Mơ hình hoạt động ELK Stack .23 Hình 2-5 Beats nguyên lý hoạt động .23 Hình 2-6 Mơ hình Beats Plastform .24 Hình 2-7 Ví dụ cấu trúc Filebeat 25 Hình 2-8 Cơng cụ Elasticsearch 26 Hình 2-9 So sánh thành phần Elasticsearch với sở liệu quan hệ 28 Hình 2-10 Tiến trình phân tích từ tố ElasticSearch .33 Hình 2-11 Cơng cụ Logstash ngun lý hoạt động 34 Hình 2-12 Quá trình xử lý Logstash 34 Hình 2-13 Mơ tả q trình Input Logstash 36 Hình 2-14 Mơ tả q trình Filter Logstash 37 Hình 2-15 Mơ tả q trình Output Logstash 37 Hình 2-16 Cơng cụ Kibana 38 Hình 2-17 Biểu đồ hiển thị Kibana .38 Hình 3-1 Mơ hình triển khai 48 Hình 3-2 Mơ hình cấu trúc thu thập log tập trung 49 Hình 3-3 Cài đặt Sysmon .54 Hình 3-4 Cài đặt cấu hình Sysmon .54 Hình 3-5 PowerShell cài đặt Winlogbeat .55 Hình 3-6 Đầu file cầu hình Winlogbeat 55 Hình 3-7 File cấu hình Winlogbeat 56 Hình 3-8 Start dịch vụ winlogbeat .57 Hình 3-9 Khởi chạy metasploit 58 Hình 3-10 Bên bị công nhận mail 58 Hình 3-11 Tài liệu Word .59 Hình 3-12 Người dùng khởi chạy tài liệu Word 59 Hình 3-13 Người dùng mở mail 59 Hình 3-14 Trình duyệt web khởi động URL độc hại 59 Hình 3-15 Tài liệu Word tải xuống 60 Hình 3-16 Tài liệu Word khởi chạy .60 Hình 3-17 Lệnh PowerShell chạy 60 Hình 3-18 Thực kết nối thành công 61 Hình 3-19 Khai thác với Mimikatz lấy User/password 62 Hình 3-20 Lấy User/password .62 Hình 3-21 Phát ứng dụng khởi chạy Mimikatz.exe 62 Hình 3-22 Thơng tin user .63 Hình 3-23 Lệnh Remote chạy 63 Hình 3-24 Danh sách mạng chia sẻ 64 Hình 3-25 Kiểm tra thơng tin mạng .64 Hình 3-26 Kiểm tra chia sẻ mạng 64 Hình 3-27 Attacker tạo thư mục baitap 65 Hình 3-28 Attacker copy liệu file hopdong.txt 65 Hình 3-29 Thư mục baitap tạo .66 Hình 3-30 Chuyển file vào thư mục thành công 66 Hình 3-31 Sồ đồ chiến thuật dùng q trình cơng .67 Hình 3-32 BotAlert cảnh báo .70 Hình 3-33 Ví dụ liệu không quán 72 DANH MỤC BẢNG Bảng 1-1 So sánh chiến thuật ATT&CK .9 Bảng 1-2 Công cụ đánh cắp mật 10 Bảng 2-1 Tham số cấu hình Elasticsearch .43 Bảng 2-2 Loại cảnh báo Elasticsearch hỗ trợ .44 Bảng 2-3 Bảng thông số quy tắc cài đặt .45 Bảng 2-4 Định dạng mục tiêu đầu Sigma 47 Bảng 3-1 MITRE: Các số truy cập thực thi ban đầu 61 Bảng 3-2 MITER: Các số bền bỉ 61 Bảng 3-3 MITER: Truy cập thông tin xác thực, Nâng cao đặc quyền, Mở rộng khai thác 63 Bảng 3-4 MITER: Các số khám phá 65 Bảng 3-5 MITER: Các số trích xuất liệu 66 Bảng 3-6 Tóm tắt yêu cầu 71 LỜI CẢM ƠN Trong trình thực nghiên cứu phát triển đồ án này, em nhận bảo, giúp đỡ tận tình giảng viên hướng dẫn thầy ThS Trần Anh Tú – Giảng viên Khoa an tồn thơng tin – Học viện Kỹ thuật Mật mã Những lời nói động viên, hành động giúp đỡ hỗ trợ từ người thân, bạn bè xung quanh Xin cảm ơn tất người tạo điều kiện tốt để em hoàn thành đồ án tốt nghiệp này! SINH VIÊN THỰC HIỆN ĐỒ ÁN Nguyễn Quỳnh Châu Các chiến thuật ATT&CK sử dụng phát trình cơng sau: Chiến thuật Duy trì truy cập ID Kỹ thuật Miêu tả Dịch vụ T1050 Windows Registry, giám sát quy trình, tham số dịng lệnh xử lý Nhiệm vụ định kỳ T1053 Giám sát tệp, tham số dịng lệnh quy trình, giám sát quy trình, Windows nhật ký kiện Bảng 3-8 MITER: Các số bền bỉ Giai đoạn 3: Đặc quyền Attacker kết nối với hệ thống thông qua PowerShell thực chạy cơng cụ Mimikatz để lấy User/Passsword Hình 3-48 Khai thác với Mimikatz lấy User/password Thông tin đánh cắp Hình 3-49 Lấy User/password Phát công cụ Mimikatz.exe khởi chạy ghi nhận log đẩy Hình 3-50 Phát ứng dụng khởi chạy Mimikatz.exe Hình 3-51 Thơng tin user Hình 3-52 Lệnh Remote chạy Các chiến thuật ATT&CK sử dụng phát q trình cơng sau: Chiến thuật Truy cập thông tin xác thực Bán phá giá ID Kỹ thuật Miêu tả T1003 Quy trình tham số dịng lệnh, Giám sát quy trình, Nhật ký PowerShell Nâng cao đặc quyền Khai thác để nâng cao đặc quyền Hooking Mở rộng khai thác Khai thác dịch vụ từ xa T1068 T1179 T1210 Báo cáo lỗi Windows, giám sát trình, Nhật ký ứng dụng Giám sát DLL, DLL tải, Giám sát quy trình, Nhật ký kiện Windows Báo cáo lỗi Windows, theo dõi q trình Bảng 3-9 MITER: Truy cập thơng tin xác thực, Nâng cao đặc quyền, Mở rộng khai thác Giai đoạn 4: Trinh sát Sau thu thập thông tin nội môi trường nạn nhận Tại thời điểm này, kẻ công khám phá hệ thống thông qua PowerShell thiết lập bên Tìn tất chia sẻ mạng hoạt động Hình 3-53 Danh sách mạng chia sẻ Dưới ghi hiển thị dịng lệnh chạy hệ thống từ xa: Hình 3-54 Kiểm tra thơng tin mạng Hình 3-55 Kiểm tra chia sẻ mạng Các chiến thuật ATT&CK sử dụng phát q trình cơng sau: Chiến thuật Phát Khám phá tài khoản ID Kỹ thuật T1087 Miêu tả Quy trình tham số dịng lệnh, giám sát quy trình Khám phá cửa sổ ứng T1010 Quy trình tham số dịng lệnh, dụng Giám sát quy trình Khám phá mạng chia T1135 Giám sát quy trình, quy trình sẻ tham số dịng lệnh, quy trình sử dụng mạng Khám phá trình T1057 Quy trình tham số dịng lệnh, giám sát quy trình Bảng 3-10 MITER: Các số khám phá Giai đoạn 5: Hoàn thành nhiệm vụ - Thực thi liệu Đây giai đoạn cuối Bên Attacker thực lấy liệu máy tạo thư mục mới, đọc file,… bên máy Victim Như trình cơng hồn thành Hình 3-56 Attacker tạo thư mục baitap Hình 3-57 Attacker copy liệu file hopdong.txt Các kiện ghi lại Attacker thực máy nạn nhận Hình 3-58 Thư mục baitap tạo Hình 3-59 Chuyển file vào thư mục thành công Các chiến thuật ATT&CK sử dụng sau: Chiến thuật Trích xuất liệu Thực tự động Dữ liệu mã hóa ID Kỹ thuật T1022 Miêu tả Giám sát tập tin, giám sát trình, trình sử dụng mạng T1022 Giám sát tệp, siêu liệu tệp nhị phân, trình tham số dịng lệnh, giám sát q trình Chuyển giao theo lịch T1029 Quy trình sử dụng mạng, quy trình trình giám sát Bảng 3-11 MITER: Các số trích xuất liệu Như vây sơ đồ chiến thuật dùng q trình cơng tổng kết hình 3-32 Kết việc thực công APT mô chống lại hệ thống nạn nhân, phương pháp phát ATT&CK MITRE dựa ghi nhật ký Màu xanh hành động ghi lại thành công có sẵn để tìm kiếm mơi trường ELK Màu cam không phát không kiểm tra với việc phát nhà phân tích Màu Vàng: số chiến thuật Hình 3-60 Sồ đồ chiến thuật dùng trình công 3.4 Cảnh báo Sau thực tự cơng vào hệ thống, tìm hiểu cách hoạt động Trojan/malware, tiến hành chọn rules có sẵn rule Sigma, viết thêm cho phù hợp để phát hành động cơng Theo nội dung phân tích trên, thấy kẻ công sử dụng powershell để thực hành vi cơng, đọc liệu,… Từ ta chọn rule Powershell rule Sigma sau: sigma/rules/windows/process_creation/win_non_interactive_powershell.yml title: Non Interactive PowerShell id: f4bbd493-b796-416e-bbf2-121235348529 description: Detects non-interactive PowerShell activity by looking at powershell.exe with not explorer.exe as a parent status: experimental date: 2019/09/12 modified: 2019/11/10 author: Roberto Rodriguez @Cyb3rWard0g (rule), oscd.community (improvements) references: -https://github.com/Cyb3rWard0g/ThreatHunterPlaybook/tree/master/playbooks/windows/02_execution/T1086_powershell/basic_ powershell_execution.md tags: - attack.execution - attack.t1086 logsource: category: process_creation product: windows detection: selection: Image|endswith: '\powershell.exe' filter: ParentImage|endswith: '\explorer.exe' condition: selection and not filter falsepositives: - Legitimate programs executing PowerShell scripts level: medium Để sử Elastalert sử dụng rule Sigma cần phải convert sang định dạng mà Elastalert hiểu Câu lệnh convert sau: tools/Sigmac -t elastalert -c winlogbeat rules/windows/malware/av_password_dumper.yml tools/Sigmac -t [ứng dụng sử dụng rule sau convert] -c [loại log hỗ trợ] [vị trí rules] Trong đó: -t : Định dạng đầu -c: Cấu hình với tên trường ánh xạ mục thư mục Sau convert output nội dung rule mà Elastalert hiểu được, copy nội dung vào file.yaml tạo thư mục /run_rules Folder Elastalert vim run_rules/[Tên_rule].yaml win_non_interactive_powershell.yaml: alert: - "telegram" telegram_bot_token: 872XXXXXX:AXXXXXXXXXXXX6SK38z0 telegram_room_id: "38XXXX433" description: Detects non-interactive PowerShell activity by looking at powershell.exe with not explorer.exe as a parent filter: - query: query_string: query: (winlog.event_data.Image.keyword:*\\powershell.exe AND (NOT (winlog.event_data.ParentImage.keyword:*\\explorer.exe))) index: winlogbeat-* name: powershell priority: realert: minutes: type: any Để gửi cảnh báo đến Telegram cần sửa lại phần Alert rule sau: alert: - “telegram” telegram_bot_token: 872XXXXXX:AXXXXXXXXXXXX6SK38z0 telegram_room_id: "38XXXX433" Tại thư mục elastalert: Câu lệnh chạy tất rule mà convert elastalert start NOW verbose verbose: in log hình debug: in thơng tin chi tiết hình BotAlert App Telegram Sau hồn thành q trình add rule, convert rule vào hệ thống ELK để chạy phát cảnh báo từ hệ thống gửi vào BotAlert Dưới hình ảnh cho thấy kẻ công (Attacker) sử dụng PowerShell để kết nối thành công với máy nạn nhân (Victim) với địa IP: 192.168.1.101, Port: 443,… Như vậy, việc cảnh báo giúp cho quản trị viên dễ dàng phát ngăn chặn có q trình bất thường xảy đưa giải pháp ứng cứu kịp thời Hình 3-61 BotAlert cảnh báo 3.5 Đánh giá Sau thực cấu hình thử nghiệm dựa mơ hình thử nghiệm trình bày trên, mục tiêu ban đầu cho dự án phát triển giải pháp nội cung cấp cho công ty nhân viên an ninh khả phát bất thường tìm kiếm thơng qua lượng lớn liệu đề cập tất chương - (người, gì, đâu, sao,…) liên quan đến điều tra bảo mật tích cực cách sử dụng ELK Với phát cung cấp chương 1, cách tiếp cận định tính với ban đầu u cầu tìm cách đo lường thành cơng việc triển khai ngăn xếp Elaticsearch tổng hợp tóm tắt đây: u cầu Trung bình Khá Tốt ✔ Thu thập liệu theo tỷ lệ ✔ Nhiều loại liệu ✔ Ease sử dụng ✔ Chức mở rộng ✔ Áp dụng cho công ✔ Tối ưu hóa sai tích cực ✔ Dữ liệu nhanh xác ✔ Hiệu cao Bảng 3-12 Tóm tắt u cầu Trong q trình sử dụng ngăn xếp Elasticsearch, kết thu thập liệu log nhận tính theo giây Giao diện Web Kibana dễ sử dụng giúp việc giám sát, tìm kiếm cách dễ dàng, thiết lập, tùy chỉnh cho phép theo dõi cảnh báo hệ thống Logstash cung cấp nhiều hàm dựng sẵn tận dụng, bổ sung thêm thông tin mối đe dọa cấp dộ phân tích cú pháp.ELK Stack điều chỉnh theo phương pháp cơng Có thể thấy ngăn xếp ELK cung cấp giá trị cho tổ chức tập trung tận dụng phương pháp săn lùng mối đe dọa, tận dụng kỹ năng, Chiến thuật phân tích mơ hình ATT&CK sử dụng phân tích liệu để phát bất thường môi trường họ Ngoài ra, phương pháp săn đe dọa trình bày trước điều chỉnh cho công cụ khác liệu cần thiết ghi lại có sẵn 3.6 Các vấn đề tồn Qua trình thử nghiệm giải pháp trên, em nhận thấy cịn tồn số vấn đề mơ hình kiến trúc giải pháp trình bày sau: 3.6.1 Vấn đề liệu không quán Trong trình phân tích log, nhận thấy nhiều liệu quan trọng cho phép nhà phân tích phát manh mối liệu ghi nhận Khi chạy liệu qua rule để cảnh báo, có trường khác khơng thể phân tích họ khơng có thơng tin liên quan đến lĩnh vực Một ví dụ điều Nhật ký bảo mật điều khiển miền địa IP thường hiển thị dạng: :: ffff: theo sau theo địa IP (ví dụ: 192.168.1.125) Các trường có vấn đề khác trường giá trị băm chứa SHA256 hàng đầu = HASHVALUE Đăng nhập, nhật ký cơng cụ phân tích cú pháp chứa nhiều hàm hữu ích để phân tích liệu hàm MUTATE sử dụng để xóa ký tự không cần thiết chia liệu thành trường có ý nghĩ Hình 3-62 Ví dụ liệu không quán 3.6.2 Vấn đề thu thập liệu Trong trình thực nghiệm việc cấu hình filebeat, winlogbeat thu thập log từ máy Windows, linux,… gửi đến máy quản lý log tập chung chưa đầy đủ Do đó, liệu log lấy khơng đầy đủ Đây rủi ro cần kiểm sốt để đảm bảo hệ thống giám sát bắt hết log từ máy cần thu thập 3.7 Kết luận chương Trong Chương III, đồ án trình bày chi tiết cơng việc triển khai thử nghiệm hệ thống ELK Stack, công APT giải pháp phát công Mitre ATT&CK dựa vào chiến thuật, kỹ thuật giúp người quản trị hệ thống phát cơng tiếp nhận cảnh báo hệ thống từ liệu log cách tức thời thông qua việc gửi tin nhắn cảnh báo tự động qua Telegram, từ người quản trị hệ thống khắc phục lỗi kịp thời trước hệ thống gặp cố, gây gián đoạn dịch vụ Từ nguồn liệu log tổng hợp tập trung vào hệ truy hồi thông tin mạnh mẽ ElasticSearch nguồn liệu phục vụ để chúng tơi xây dựng hình giám sát hệ thống, phân tích liệu log để phân tích hành vi người dùng, vấn đề liên quan đến an ninh bảo mật hệ thống KẾT LUẬN Quản lý tốt liệu log có chế cảnh báo tự động giúp cán quản trị hệ thống sớm biết vấn đề xảy với hệ thống theo thời gian thực để thực biện pháp khắc phục kịp thời trước cố hệ thống thực xảy Đồ án có số đóng góp sau: Thứ nhất: Thực công APT đưa mơ hình phát cơng theo Mitre ATT&CK cho phép người phân tích hành động mà kẻ cơng thực q trình hoạt động mạng Thứ hai: Đã phân tích, thiết kế đưa vào thử nghiệm giải pháp quản lý liệu log sử dụng công nghệ ELK giúp giải vấn đề phân tích trên, kết đạt hỗ trợ phát sớm vấn đề phát sinh bên hệ thống giúp cán quản trị khắc phục kịp thời lỗi gây xảy cố cho hệ thống, giải pháp ELK giúp: Quản lý liệu log tập trung hệ truy hồi thông tin ElasticSearch Thu thập phân tích liệu log thời gian thực với Logstash Gửi Telegram cảnh báo thời gian thực log ghi nhận vấn đề Xây dựng hình thống kê, giám sát thời gian thực với Kibana giúp cán theo dõi trạng hoạt động hệ thống Giải phóng nguồn nhân lực thu thập tìm kiếm mã lỗi, kiểm tra hệ thống thủ công trước Vấn đề tồn Bên cạnh kết đạt số hạn chế cần khắc phục thiết kế giải pháp như: - Vấn đề Logstash sử dụng tốn dung lượng nhớ máy chủ, ảnh hưởng đến hiệu ứng dụng - Vấn đề thu thập liệu log xảy cịn thiếu q trình cấu hình - Vấn đề bảo mật với Kibana, giao diện Kibana mã nguồn mở không hỗ trợ phân quyền người dùng đăng nhập hệ thống Đây vấn đề liên quan đến bảo mật liệu log hệ thống cần giải Hướng phát triển Với hạn chế phân tích trên, tơi tiếp tục thực nghiên cứu hồn thiện mơ hình giải pháp, bước đầu chúng tơi tìm hiểu giải pháp sử dụng để khắc phục vấn đề tồn tại: Vấn đề bảo mật với Kibana: Sử dụng Ngnix làm lớp phân quyền người dùng đăng nhập vào hệ thống Xây dựng thêm mơ hình server Mail để thực cảnh bảo TÀI LIỆU THAM KHẢO [1] Sự nguy hiểm APT - Tiến trình cơng APT attack – TG Khoi Nguyen, Online, https://anninhmang.edu.vn/su-nguy-hiem-cua-tien-trinhtan-cong-apt-attack/ [2] DELGADO-THESIS-2018.pdf, Online: https://uh-ir.tdl.org/bitstream/handle/10657/3108/DELGADO-THESIS2018.pdf?sequence=1&isAllowed=y [3] Luận văn: Nghiên cứu giải pháp phát cố hệ thống dựa cơng nghệ ELK- Trần Hồi Linh Online: https://bom.to/SlnaK6 [4] The MITRE Corporantion 2018, Online: https://attack.mitre.org/matrices/enterprise/ [5] Tài liệu giới thiệu tổng quan ELK, Online: https://blog.cloud365.vn/logging/ELK-part1-tong-quan-ve-elk-stack/ [6] Đường dẫn download sysmon, Online: https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon [7] Hướng dẫn thực công Metasploit,Unicorn, Online: https://www.offensive-security.com/metasploit-unleashed/vbscriptinfection-methods/ https://github.com/trustedsec/unicorn [8] Hướng dẫn viết rule Sigma, Online: URL: https://www.nextron-systems.com/2018/02/10/write-sigma-rules/ [9] Bài báo Phương pháp tìm kiếm mối đe dọa an tồn thơng tin mạng dựa phân tích Mitre ATT&CK, Online: http://antoanthongtin.vn/gp-atm/phuong-phap-tim-kiem-cac-moi-de-doaan-toan-thong-tin-mang-dua-tren-cac-phan-tich-mitre-attck-106125 ... ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP Phân tích liệu lớn với ELK ứng dụng phát chuỗi cơng APT theo mơ hình MITRE’s ATT&CK Ngành: An tồn thông tin Mã số: Sinh viên thực hiện: Nguyễn Quỳnh Châu Lớp: AT12B... thầy để đồ án hoàn thiện Em xin chân thành cảm ơn! SINH VIÊN THỰC HIỆN ĐỒ ÁN Nguyễn Quỳnh Châu TỔNG QUAN VỀ MƠ HÌNH PHÁT HIỆN CHUỖI TẤN CÔNG APT THEO MITRE’S ATT&CK 1.1 Tổng quan APT 1.1.1 Khái niệm... input plugin tương ứng với nhiều nguồn liệu khác nhau, input plugin làm nhiệm vụ kết xuất (extract) liệu từ liệu nguồn Công việc tương ứng với công đoạn Extract công nghệ tích hợp liệu ETL Sau tìm