HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN Học phần: Chuyên đề an ninh mạng Bài báo cáo: Ứng dụng hệ thống IDS Security Onion vào giám sát môi trường mạng doanh nghiệp Giảng viên hướng dẫn: TS Nguyễn Ngọc Điệp Sinh viên thực hiện: Đồn Cơng Hồng Nguyễn Thành Nam Đồng Văn Quang Vũ Tiến Quốc Phạm Hải Sơn HÀ NỘI, 2020 B16DCAT064 B16DCAT111 B16DCAT128 B16DCAT132 B16DCAT140 Mục lục CHƯƠNG Tổng quan hệ thống phát xâm nhập 1.1.Tổng quan xâm nhập .1 1.2 Hệ thống phát xâm nhập 1.2.1.Hệ thống phát xâm nhập cho mạng 1.2.2.Hệ thống phát xâm nhập cho host 1.3 Kỹ thuật phát xâm nhập .4 1.3.1.Phát xâm nhập dựa chữ ký 1.3.2.Phát xâm nhập dựa bất thường (Anomaly intrusion detection) CHƯƠNG Giới thiệu Security Onion .7 2.1 Giới thiệu 2.2 Các chức 2.2.1 Bắt tất gói tin (Full Packet Capture): 2.2.2.Phát mạng điểm cuối: 2.2.3.Các cơng cụ phân tích 12 2.2.4 Các công cụ NIDS 19 2.2.5 Các cơng cụ hỗ trợ phân tích điểm cuối (Host Visibility) 20 CHƯƠNG Cách thức hoạt động Security Onion 21 3.1 Kiến trúc .21 3.1.1.Import .22 3.1.2.Evaluation 22 3.1.3.Standalone 23 3.1.4.Distributed .23 3.1.5.Các loại nodes 25 3.2.Cách thức hoạt động 25 3.2.1 IDS 26 3.2.2 IPS 26 3.3.Cài đặt 26 3.3.1.Yêu cầu phần cứng Security Onion 26 3.3.2 Môi trường cài đặt 27 3.3.3.Các tác vụ cần thực sau cài đặt xong: 28 CHƯƠNG Luật Security Onion 30 4.1 Rule Header .31 4.1.1 Rule Action 31 4.1.2 Protocol 31 4.1.3 IP Address .32 4.1.4 Port 32 4.1.5 Điều hướng 32 4.2 Rule Option 33 4.2.1 General 33 4.2.2 Payload 35 4.2.3 Non-Payload 38 4.3: Add Local Rules 44 4.3.1.Giới thiệu .44 4.3.2.Chính sách IPS .44 4.3.3.Các bước thực 45 CHƯƠNG Ứng dụng Security Onion giám sát môi trường mạng doanh nghiệp 48 5.1 Các công cụ sử dụng 48 5.1.1 Sguil 48 5.1.2 Wazuh 51 5.2 Sơ đồ môi trường demo giám sát/phát xâm nhập 76 5.3 Các bước cài đặt Security Onion để thực giám sát server theo mơ hình mơi trường demo 76 5.4 Thực công phát công từ mạng, đưa cảnh báo/phân tích Sguil 92 5.4.1 Phát công rà quét lỗ hổng .92 5.4.2 Phát công DOS 93 5.5 Các bước cài đặt Wazuh để thực giám sát điểm cuối mạng theo môi trường demo Ubuntu 98 5.5.1 Cài đặt Wazuh Server .98 5.5.2 Cài đặt Wazuh Agent 105 5.6 Demo Wazuh giám sát tính tồn vẹn file (file integrity) 105 5.6.1 Tổng quan .105 5.6.2 Mơ hình triển khai .106 5.6.3 Hướng dẫn cấu hình .107 Danh mục hình ảnh Ảnh 1.1 Vị trí hệ thống IDS sơ đồ mạng .2 Ảnh 1.2 Các NIDS bố trí để giám sát phát xâm nhập cổng vào cho phân đoạn mạng Ảnh 1.3 Sử dụng kết hợp NIDS HIDS để giám sát lưu lượng mạng host Ảnh 1.4 Lưu đồ giám sát phát công, xâm nhập dựa chữ ký Ảnh 1.5 Biểu đồ tín hiệu entropy theo thời gian .6 Ảnh 2.1 Sơ đồ hoạt động SO môi trường mạng doanh nghiệp truyền thống Ảnh 2.2 Minh họa phát công sở hệ thống mạng (NIDS) Ảnh 2.3 Minh họa phát công dựa sở hệ thống máy chủ/đầu cuối (HIDS) 11 Ảnh 2.4 Giao diện SOC 12 Ảnh 2.5 Giao diện Hunt 12 Ảnh 2.6 Giao diện bắt thu hồi gói tin SOC 13 Ảnh 2.7 Giao diện Kibana .14 Ảnh 2.8 Giao diện Cyberchef 15 Ảnh 2.9 Giao diện CapME .16 Ảnh 2.10 Giao diện Squert .17 Ảnh 2.11 Giao diện Sguil .18 Ảnh 2.12 Giao diện Wireshark 18 Ảnh 3.1 Kiến trúc hoạt động tổng thể Security Onion 21 Ảnh 3.2 Kiến trúc Evaluation 22 Ảnh 3.3 Kiến trúc Standalone 23 Ảnh 3.4 Kiến trúc Distributed 24 Ảnh 4.1 Cấu trúc luật Suricata .30 Ảnh 4.2 Ví dụ luật Suricata 30 Ảnh 4.3 Thông tin phân loại lớp quy tắc .35 Ảnh 4.4 Một số tuỳ chọn Ipopts 38 Ảnh 4.5 Bảng Type ICMP Header 42 Ảnh 4.6 Kiểm tra sguil để biết cảnh báo tương ứng .46 Ảnh 4.7 Xác minh payload 47 Ảnh 5.1 Giao diện Sguil 0.9.0 .48 Ảnh 5.2 Barnyard nhận cảnh báo từ Snort IDS, sử lý lưu vào database 49 Ảnh 5.3 Tổng quan kiến trúc Sguil 50 Ảnh 5.4 Tổng quan kiến trúc Sguil (2) 51 Ảnh 5.5 Kiến trúc Single-node deployment Wazuh .54 Ảnh 5.6 Kiến trúc Multi-node deployment Wazuh 54 Ảnh 5.7 Sơ đồ giao tiếp agent server 55 Ảnh 5.8 Các file rule /var/ ossec/ruleset/rules .56 Ảnh 5.9 Rule liên quan đến ssh hệ thống 0095-sshd_rules.xml 57 Ảnh 5.10 Cảnh báo hành vi đăng nhập sử dụng non-existent user .57 Ảnh 5.11 Dữ liệu hiển thị Kibana dạng Table .58 Ảnh 5.12 Dữ liệu hiển thị Kibana dạng JSON 59 Ảnh 5.13 Các mức độ cảnh báo OSSEC .60 Ảnh 5.14 Luật OSSEC 61 Ảnh 5.15 Thông tin file rule Wazuh .62 Ảnh 5.16 Các file rule Windows .62 Ảnh 5.17 Các file Rules Linux 63 Ảnh 5.18 Sơ đồ cấu trúc node Manager 64 Ảnh 5.19 Tạo decoder file local_decoder.xml 66 Ảnh 5.20 Thêm thông tin cho rule vào đường dẫn 67 Ảnh 5.21 Kiểm tra rule 68 Ảnh 5.22 Sao chép decoders.xml 69 Ảnh 5.23 Loại bỏ decoders.xml thẻ .69 Ảnh 5.24 Rule có id 5710 70 Ảnh 5.25 Dán đoạn code rule id 5710 vào đường dẫn 71 Ảnh 5.26 Test rule vừa sửa đổi .72 Ảnh 5.27 Các tham số thẻ 72 Ảnh 5.28 Rule id 5710 cũ 73 Ảnh 5.29 Các cảnh báo lặp lại .73 Ảnh 5.30 Thêm tham số ignore 74 Ảnh 5.31 Kết thêm tham số ignore vào rule 74 Ảnh 5.32 Rule id 5710 sử dụng noalert 74 Ảnh 5.33 Kết sau thay đổi 75 Ảnh 5.34 Sơ đồ demo giám sát phát công/xâm nhập 76 Ảnh 5.35 Cấu hình cài đặt máy ảo Security Onion máy server .77 Ảnh 5.36 Cài đặt Promiscuous Mode 78 Ảnh 5.37 Rà quét lỗ hổng máy server sử dụng công cụ Zenmap 92 Ảnh 5.38 Kết giám sát .93 Ảnh 5.39 Lệnh sửa file local.rules thông qua cửa sổ terminal 93 Ảnh 5.40 Thêm luật vào file local.rules 94 Ảnh 5.41 Thực lệnh rule-update để cập nhật IDS ruleset .95 Ảnh 5.42 Thực công DOS máy Kali 96 Ảnh 5.43 Trạng thái website sau bị công DOS 96 Ảnh 5.44 Giao diện Sguil cảnh báo công DOS thời gian thực thông tin liên quan .97 Ảnh 5.45 Cài đặt Wazuh-manager thành công 99 Ảnh 5.46 Thông báo cài đặt thành công Elasticsearch 101 Ảnh 5.47 Cài đặt thành công Filebeat 103 Ảnh 5.48 Giao diện quản trị Kibana Wazuh-server 104 Ảnh 5.49 Sơ đồ cách thức hoạt động FIM 106 Ảnh 5.50 Sơ đồ triển khai Wazuh manager/agent 107 Ảnh 5.51 Kiểm tra cấu hình giám sát FIM 108 Ảnh 5.52 File txt để thực giám sát (1) 108 Ảnh 5.53 File txt để thực giám sát (2) 108 Ảnh 5.54 Giao diện quản trị Wazuh-manager .109 Ảnh 5.55 Integrity monitoring Wazuh-manager .109 Ảnh 5.56 Kiểm tra tính tốn vẹn file txt (1) 110 Ảnh 5.57 Kiểm tra tính toán vẹn file txt (2) 110 Danh mục từ viết tắt Từ/cụm từ viết tắt AF-PACKET East-west traffic CSV CIS CAT DOS FIM GUI GPL HIDS IDS IP IPS ISO image JSON NIDS NSM NIC North-south traffic OSSEC OVAL PPA SANCP SCA SOC SPAN Salt Ý nghĩa Một socket hệ điều hành nhân Linux, cho phép ứng dụng gửi nhận gói tin Lưu lượng truy cập hệ thống trung tâm liệu Comma-seperated value Center for Internet Security Configuration Assessment Tool Denial-of-service File integrity monitoring Graphical User Interface GNU General Public License Host-based intrusion detection systems Intrusion Detection System Internet Protocol Intrusion Prevention System optical disc file system JavaScript Object Notation Network-based intrusion detection system Network Security Monitoring Network Interface Controller Lưu lượng truy cập từ bên đến trung tâm liệu (và ngược lại) Open Source HIDS SECurity Open Vulnerability and Assessment Language Personal Package Archives (software repository thiết kế cho người dùng Ubuntu) Security Analyst Network Connection Profiler Security Configuration Assessment Security Onion Control Switch Port Analyzer (SaltStack) phần mềm Python mã nguồn mở, dử dụng tác vụ IT chủ động hướng kiện (event-driven IT automation), thi hành tác vụ điều khiển từ xa (remote task execution), quản lý cài đặt/cấu hình (configuration management) Cung cấp cách tiếp cận code-based với sở hạ tầng, hệ thống sở liệu hệ thống triển khai/quản lý, cài đặt/cấu hình tự động, SecOps, cảnh báo rủi ro, công nghệ đám mây SSH Tcl TCP TCP/IP TLS Tk TAP UPS WNIC XCCDF Secure Shell Ngơn ngữ lập trình Tcl (phát âm “tickle”)[2] Transmission Control Protocol Internet protocol suite (Transmission Control Protocol + Internet Potocol) Transport Layer Security Một công cụ thư viện mã nguồn mở đa tảng, cung cấp thành phần GUI cho nhiều ngôn ngữ lập trình khác [3] Terminal Access Point Uninterruptible power supply Wireless Network Interface Controller Extensible Configuration Checklist Description Format CHƯƠNG Tổng quan hệ thống phát xâm nhập 1.1.Tổng quan xâm nhập Xâm nhập tập hành động nhằm thỏa hiệp với mục tiêu an toàn (tính bảo mật, tính tồn vẹn tính sẵn dùng) tài nguyên mạng máy tính Các hệ thống phát công, xâm nhập (IDS) lớp phòng vệ quan trọng lớp giải pháp đảm bảo an tồn cho hệ thống thơng tin mạng theo mơ hình phịng thủ có chiều sâu (defence in depth) Hệ thống phát công, xâm nhập IDS có nhiệm vụ là: - Giám sát lưu lượng mạng hành vi hệ thống để nhận dạng dấu hiệu công, xâm nhập Khi phát hành vi công, xâm nhập, ghi logs hành vi cho phân tích bổ sung sau Gửi thông báo cho người quản trị các hành vi công, xâm nhập phát Thông thường hệ thống IDS thường kết nối vào định tuyến, switch, card mạng chủ yếu làm nhiệm vụ giám sát cảnh bảo, khơng có khả chủ động ngăn chặn cơng, xâm nhập Ảnh 1.1 Vị trí hệ thống IDS sơ đồ mạng 1.2 Hệ thống phát xâm nhập Hệ thống phát xâm nhập IDS chia thành hai loại là: Hệ thống phát xâm nhập cho mạng hệ thống phát xâm nhập cho host 1.2.1.Hệ thống phát xâm nhập cho mạng NIDS (Host-based IDS) phân tích lưu lượng mạng để phát công, xâm nhập cho mạng phần mạng Trong sơ đồ mạng, NIDS thường bố trí để giám sát phát xâm nhập cổng vào cho phân đoạn mạng Ảnh 1.2 Các NIDS bố trí để giám sát phát xâm nhập cổng vào cho phân đoạn mạng 1.2.2.Hệ thống phát xâm nhập cho host HIDS (Host-based IDS) phân tích kiện xảy hệ thống/dịch vụ để phát công, xâm nhập cho hệ thống Trong sơ đồ mạng NIDS thường sử dụng để giám sát lưu lượng cổng mạng HIDS để giám sát host thông qua IDS agent Một trạm quản lý (Management station) đƣợc thiết lập để thu nhập thông tin từ NIDS HIDS để xử lý đưa định cuối CHƯƠNG Ứng dụng Security Onion giám sát môi trường mạng doanh nghiệp 5.1 Các công cụ sử dụng 5.1.1 Sguil 5.1.1.1 Tổng quan [4] Sguil phần mềm mã nguồn mở NSM (Network Security Monitoring) viết Bamm Visscher Sguil sử dụng để giám sát an tồn mạng phân tích kiện dựa cảnh báo IDS Sguil client viết ngơn ngữ Tcl/Tk hoạt động hệ điều hành hỗ trợ ngôn ngữ Sguil phát hành với chứng GPL 3.0 Ảnh 5.29 Giao diện Sguil 0.9.0 5.1.1.2 Thành phần cấu thành Sguil  Các thành phần Sguil tóm gọi sau: 49 o GUI (Console): Giao diện người dùng trực quan, hiển thị đầy đủ thành phần quan trọng giúp người dùng dễ dàng việc quản trị mạng, quản lý rủi ro mạng o Hệ sở liệu sử dụng MySQL: lưu trữ cảnh báo IDS, liệu phiên, thống kê, chữ ký, thời gian, mức độ cảnh báo (bình thường/nghi ngờ/độc hại, ), số lần xuất cảnh báo, nguồn gốc/đích cảnh báo, o Server: nhận cảnh báo liệu thời gian thực từ sensor đưa chúng lên cửa sổ GUI o Sensor: network interface cài đặt để giám sát hệ thống mạng (sniffing interface) o IDS (Rule engine): sử dụng Snort Suricata, Sguil dựa vào rule engine để đưa cảnh báo (chủ yếu cảnh báo IDS)  Chi tiết hơn, công cụ cấu thành Sguil bao gồm [4]: o Hệ thống sở liệu truy vấn sử đụng MySQL 4.x 5.x o Snort/Suricata: sinh cảnh báo xâm nhập, phát xâm nhập, bắt đầy đủ gói tin, o Barnyard: decode cảnh báo IDS từ Snort gửi cho Sguil Ảnh 5.30 Barnyard nhận cảnh báo từ Snort IDS, sử lý lưu vào database o SANCP: ghi TCP/IP o Tcpflow: đưa mã ASCII phiên TCP 50 o p0f: giúp định danh hệ thống (có thể hiểu điểm cuối – end point) hoạt động mạng (hoạt động hiểu việc gửi nhận lưu lượng mạng hệ thống mạng từ đến điểm đến định mạng)[5] o tcpdump: phân tích phiên từ ghi gói tin bắt o Wireshark: cơng cụ phân tích gói tin mạnh mẽ 5.1.1.3 Kiến trúc Ảnh 5.31 Tổng quan kiến trúc Sguil 51 Ảnh 5.32 Tổng quan kiến trúc Sguil (2)  Các sensors đặt điểm hệ thống mạng thực bắt gói pcap, gói tin, phiên, xảy hệ thống mạng gửi Sguil server  Server dựa vào IDS (rule engine) thực sàng lọc đưa cảnh báo cho client (mặc định thông qua port 7734), đồng thời lưu liệu liên quan vào hệ quản trị sở liệu MySQL  Tại client, người quản trị thực phân tích đánh giá rủi ro thơng qua cảnh báo đưa lên giao diện GUI 5.1.2 Wazuh 5.1.2.1 Giới thiệu a Tổng quan Wazuh dự án mã nguồn mở phát bảo mật Nó sinh từ nhánh OSSEC HIDS, sau tích hợp với Elastic Stack OpenSCAP  OSSEC HIDS Hệ thống phát xâm nhập dựa máy chủ (HIDS) sử dụng để phát bảo mật 52 OpenSCAP trình thơng dịch OVAL XCCDF sử dụng để kiểm tra cấu hình hệ thống để phát ứng dụng dễ bị công  Elastic Stack phần mềm (Filebeat, Elasticsearch, Kibana) sử dụng để thu thập, phân tích, lập mục, lưu trữ, tìm kiếm trình bày liệu nhật ký b Thành phần   Wazuh Agent: chạy trên: Windows, Linux, Solaris, BSD MAC OS Được dùng để thu thập dạng liệu khác hệ thống ứng dụng Dữ liệu sau chuyển tới Wazuh server thơng qua kênh mã hóa xác thực  Wazuh Server: chịu trách nhiệm phân tích liệu nhận từ Wazuh Agent kích hoạt cảnh báo kiện phù hợp với quy tắc (ví dụ: phát xâm nhập, thay đổi tệp, cấu hình khơng tn thủ sách, rootkit có thể, v.v.)  Elastic Stack: Wazuh tích hợp với Elastic stack để cung cấp log message giải mã đánh index Elasticsearch, web console real-time cho việc cảnh báo phân tích log Wazuh web interface (chạy Kibana) dùng để quản lý giám sát hạ tầng Wazuh c Các tính Giám sát Agentless:cho phép ta giám sát thiết bị hệ thống khơng có agent thơng qua SSH, chẳng hạn định tuyến, tường lửa, thiết bị chuyển mạch hệ thống linux bsd Điều cho phép người dùng với hạn chế cài đặt phần mềm để đáp ứng yêu cầu bảo mật tuân thủ  Giám sát toàn vẹn tệp: Hệ thống giám sát toàn vẹn tệp (FIM) Wazuh xem tệp chọn kích hoạt cảnh báo tệp sửa đổi Thành phần chịu trách nhiệm cho nhiệm vụ gọi syscheck  Auditing who-data: Thành phần chứa thông tin người dùng thực thay đổi tệp theo dõi tên chương trình quy trình sử dụng để thực chúng  Giám sát sách bảo mật: trình xác minh tất hệ thống tuân thủ tập hợp quy tắc xác định trước liên quan đến cài đặt cấu hình sử dụng ứng dụng phê duyệt Wazuh sử dụng ba thành phần để thực nhiệm vụ này: Rootcheck, OpenSCAP CIS-CAT  Log data collection: cho phép Wazuh thu thập, phân tích thị log server, thiết bị theo thời gian thực  Đánh giá cấu hình bảo mật: Wazuh có nhiều tích hợp để thực quét đánh giá cấu hình bao gồm OpenSCAP CIS-CAT gần Đánh giá cấu hình bảo mật (SCA)  53             Phát bất thường phần mềm độc hại: tìm kiếm patterns hệ thống không khớp với hành vi dự kiến Khi phần mềm độc hại (ví dụ: rootkit) cài đặt hệ thống, sửa đổi hệ thống để ẩn khỏi người dùng Để phát hành động bất thường Wazuh sử dụng broad spectrum approach để tìm patterns dị thường kẻ xâm nhập Thành phần chịu trách nhiệm cho nhiệm vụ rootcheck, nhiên, Syscheck đóng vai trò quan trọng Monitoring system calls: Linux Audit system cung cấp cách để theo dõi thông tin liên quan đến bảo mật hệ thống Dựa quy tắc định cấu hình trước, Audit tạo mục nhật ký để ghi lại nhiều thông tin kiện xảy hệ thống tốt Giám sát Command: Đôi ta muốn theo dõi thứ khơng có nhật ký Để giải vấn đề này, Wazuh kết hợp khả giám sát đầu lệnh cụ thể xử lý đầu thể nội dung tệp nhật ký Active response: Wazuh phản ứng lại với active biện pháp đối phó khác để giải mối đe dọa, ví dụ chặn truy cập từ agent đến mối đe dọa Cơ chế Anti-flooding: thiết kế để ngăn chặn công lớn flood, ddos Trên agent gây ảnh hưởng tiêu cực đến mạng người quản lý Agent labels: Tính cho phép người quản trị tùy chỉnh thêm thông tin cảnh báo từ agent System inventory: Wazuh agents thu thập thơng tin hệ thống lưu trữ vào sở liệu SQLite manager Osquery: cho phép công cụ quản lý Osquery từ Wazuh agents, đặt cấu hình Osquery thu thập thơng tin Osquery tạo để gửi cho người quản lý, tạo cảnh báo tương ứng cần Fluentd forwarder: cho phép Wazuh chuyển tiếp messages đến máy chủ Fluentd Fluentd phần mềm mã nguồn mở dùng để thu thập nhật ký kèm với plugin tuyệt vời để xây dựng logging layer riêng bạn Phát lỗ hổng: Wazuh phát lỗ hổng ứng dụng cài đặt agents cách sử dụng module Phát lỗ hổng Tích hợp VirusTotal: Wazuh quét tệp theo dõi để tìm nội dung độc hại tệp giám sát Agent key polling: cho phép truy xuất thông tin tác nhân từ sở liệu bên ngoài, MySQL công cụ sở liệu nào, để đăng ký vào client.keys 54 5.1.2.2 - Kiến trúc Mơ hình Single-node deployment: Trong mơ hình nhỏ, Wazuh Elasticsearch triển khai máy single server Ảnh 5.33 Kiến trúc Single-node deployment Wazuh  Mơ hình Multi-node deployment: Khi Wazuh server Elasticsearch cluster chạy host khác nhau, Filebeat dùng để truyền cách an toàn alerts, archived event tới Elasticsearch server sử dụng TLS để mã hóa Ảnh 5.34 Kiến trúc Multi-node deployment Wazuh 5.1.2.3 Hoạt động 55 Ảnh 5.35 Sơ đồ giao tiếp agent server a Agent-server communication Wazuh agent sử dụng OSSEC message protocol để gửi event thu thập tới Wazuh server thông qua port 1514 (UDP/ TCP) Wazuh server giải mã thực rulecheck với event nhận với cơng cụ phân tích Các event ứng với rule bổ sung liệu cảnh báo rule-id rule-name Sự kiện lưu vào hai tệp sau, tùy thuộc vào việc quy tắc có bị chặn hay khơng: - Tệp /var/ossec/logs/archives/archives.json chứa tất kiện cho dù chúng có vi phạm quy tắc hay không - Tệp /var/ossec/logs/alerts/alerts.json chứa kiện vi phạm quy tắc b Wazuh-Elastic communication - Wazuh Server sử dụng Filebeat để gửi liệu cảnh báo kiện đến Elasticsearch Server cách sử dụng mã hóa TLS - Filebeat định dạng liệu đến tùy chọn nâng cao thông tin GeoIP trước gửi đến Elasticsearch (cổng 9200/ TCP) Khi liệu lập mục vào Elasticsearch, Kibana (cổng 5601/ TCP) sử dụng để khai thác trực quan hóa thơng tin - Ứng dụng Wazuh chạy bên Kibana mà liên tục truy vấn API RESTful (cổng 55000/ TCP Wazuh manager) để hiển thị thơng tin liên quan đến cấu hình trạng thái Server Agents, khởi động lại Agents muốn Giao dịch mã hóa TLS xác thực tên người dùng mật 5.1.2.4 Tìm hiểu luật a Tổng quan rule wazuh 56 Trong Wazuh sử dụng nhiều loại rules khác kể đến Rules Description sshd sshd (SSH Daemon) chương trình daemon cho ssh symantec-av Symantec antivirus -một chương trình chống vi-rút symantec-ws Symantec Web Security – bảo mật web b Cấu trúc thành phần rules Cấu trúc thư mục chứa rules wazuh: /var/ossec/ ├─ etc/ │ ├─ decoders/ | | └─ local_decoder.xml │ └─ rules/ | └─ local_rules.xml └─ ruleset/ ├─ decoders/ └─ rules/ Wazuh sử dụng rules quy định theo tiêu chuẩn Ossec, sau cài đặt wazuh thành công ta xem rules cài đặt mặc định đường dẫn: cd /var/ossec/ruleset/rules Ảnh 5.36 Các file rule /var/ ossec/ruleset/rules Xem chi tiết loại loại rules Ví dụ: rules liên quan đến ssh hệ thống 0095-sshd_rules.xml 57 Ảnh 5.37 Rule liên quan đến ssh hệ thống 0095-sshd_rules.xml Tất rules wazuh lưu dạng file *.xml wazuh kết hợp giải mã tích hợp cho nhật ký JSON cho phép trích xuất liệu từ nguồn ví dụ: rules ssh hệ thống 0095-sshd_rules.xml có rule.id = 5710 rule có chức cảnh báo hành động đăng nhập vào hệ thống sử dụng người dùng không tồn qua ssh Ảnh 5.38 Cảnh báo hành vi đăng nhập sử dụng non-existent user Dữ liệu thị Kibana tồn dạng: Table Json Dạng Table: 58 Ảnh 5.39 Dữ liệu hiển thị Kibana dạng Table Dạng JSON 59 Ảnh 5.40 Dữ liệu hiển thị Kibana dạng JSON Giải thích thêm rules 0095-sshd_rules.xml có rule.id = 5710 ta có 5700 illegal user|invalid user sshd: Attempt to login using a non-existent user T1110 invalid_login,authentication_failed,pci_dss_10.2.4,pci_dss_10.2.5,pci _dss_10.6.1,gpg13_7.1,gdpr_IV_35.7.d,gdpr_IV_32.2,hipaa_164.312.b,nist_8 00_53_AU.14,nist_800_53_AC.7,nist_800_53_AU.6,tsc_CC6.1,tsc_CC6.8,ts c_CC7.2,tsc_CC7.3, Giải thích số thông tin quan trọng: 5700 60 Trong wazuh rules chia thành 16 level tương đương với mức độ cảnh báo khác xếp theo thứ tự tăng dần từ đến 15 Ảnh 5.41 Các mức độ cảnh báo OSSEC Rule id tham số định nghĩa ứng với id có thơng báo, cảnh báo lỗi khác Tải FULL (file word 123 trang): bit.ly/2Ywib4t Dự phòng: fb.com/KhoTaiLieuAZ 61 Ảnh 5.42 Luật OSSEC Tiếp theo phần thông báo, cảnh báo lỗi illegal user|invalid user sshd: Attempt to login using a non-existent user Có chức đưa thông báo, cảnh báo cho người quản trị biết xử lý Sau phần phân loại nhóm cảnh báo để dễ dàng theo dõi lý Tải FULL (file word 123 trang): bit.ly/2Ywib4t T1110 Dự phòng: fb.com/KhoTaiLieuAZ invalid_login,authentication_failed,pci_dss_10.2.4,pci_dss_10.2.5, pci_dss_10.6.1,gpg13_7.1,gdpr_IV_35.7.d,gdpr_IV_32.2,hipaa_164.312.b, nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AU.6,tsc_CC6.1,tsc_ CC6.8,tsc_CC7.2,tsc_CC7.3, c Phân loại rules theo hệ điều hành 62 Trong thực tế giám sát log ta dùng hết rules wazuh cài đặt sử dụng rules nhiều dẫn đến tình trạng người quản trị viên khơng thể phân tích hết cảnh báo lỗi rules gửi dẫn đến việc bỏ sót thơng báo lỗi quan trọng, để hạn chế việc ta cần phân loại rules cần thiết để sử dụng cách hợp lý  Rules Windown Các kiện Windows tập hợp chuyển tiếp đến người quản lý, nơi chúng xử lý cảnh báo chúng phù hợp với quy tắc Có hai định dạng để thu thập nhật ký Windows:  Eventlog (được hỗ trợ phiên Windows)  Eventchannel (dành cho Windows Vista phiên hơn) Lưu ý: phiên Wazuh >= 3.9.0 Wazuh < 3.9.0 có cách lưu rule Ảnh 5.43 Thơng tin file rule Wazuh Ví dụ ta tạo folder để chứa riêng rules windown sau Ảnh 5.44 Các file rule Windows Ngồi ta cịn thêm số rule quan trọng khác cho windown Rules Description 63 7270802 ... any any → 19 2 .16 8 .1. 0/24 1: 1024 Alert UDP any any → 19 2 .16 8 .1. 0/24 :6000 => port tới dãy port từ - 10 24 => port tới dãy port nhỏ 6000 33 Alert UDP any any → 19 2 .16 8 .1. 0/24 !6000:6 010 => port... có nghĩa netmask /24 lớp mạng lớp mạng C, /16 lớp mạng B /32 máy đơn Ví dụ: địa c hỉ 19 2 .16 8 .1. 0/24 có nghĩa dải máy có địa IP từ 19 2 .16 8 .1. 1 -19 2 .16 8 .1. 255 Trong hai địa IP luật Suricata có địa... Onion 30 4 .1 Rule Header . 31 4 .1. 1 Rule Action 31 4 .1. 2 Protocol 31 4 .1. 3 IP Address .32 4 .1. 4 Port 32 4 .1. 5 Điều hướng