Hệ thống SIEM trong doanh nghiệp: Tìm hiểu và ứng dụng

AN TOÀN THÔNG TIN DOANH NGHIỆP VÀ HỆ THỐNG SIEM

• Tổng quan an toàn thông tin
• Tổng quan về SIEM
• Các thành phần của SIEM
• Lợi ích và hạn chế của SIEM
• Hệ thống SIEM trong doanh nghiệp 1 Hệ thống trong doanh nghiệp

Để phòng tránh nguy cơ này, các ứng dụng tương tác với người dùng, dữ liệu cần phải giấu đi những thông tin quan trọng (nếu có thể) như phiên bản, loại ứng dụng, các thành phần kèm theo… Sử dụng các phần mềm phát hiện truy cập trái phép, rà soát hệ thống thường xuyên xem có phần mềm lạ không, cấu hình tường lửa hợp lý, chính sách truy cập của từng nhóm người dùng, quản lý truy cập…. - Sự cố bảo mật là sự cố xảy ra thực sự hoặc có khả năng gây nguy hiểm cho tính bảo mật, tính toàn vẹn hoặc tính khả dụng (CIA) của hệ thống thông tin hoặc thông tin mà hệ thống xử lý, lưu trữ, truyền hoặc tạo thành vi phạm hoặc nguy cơ vi phạm chính sách bảo mật sắp xảy ra, các thủ tục bảo mật, hoặc các chính sách sử dụng được chấp nhận. - Để có thể đánh giá khái quát về bức tranh an toàn, an ninh thông tin của một cơ quan, tổ chức, thì việc thu thập, phân tích và lưu trữ các sự kiện an toàn thông tin (ATTT) từ các thiết bị, dịch vụ và ứng dụng như: Router, Switch, Firewall, IDS/IPS, Mail Security, Web Security, Anti-Virus, ứng dụng Mail, Web, cơ sở dữ liệu, hệ điều hành… là hết sức cần thiết.

CÁC CÔNG CỤ SIEM PHỔ BIẾN

• Các công cụ SIEM phổ biến

Một số bộ API điển hình như Splunk SDK (cung cấp các SDK trên nền tảng Python, Java, JS, PHP), Shep (Splunk Hadoop Intergration - đây là sự kết hợp giữa Splunk và Hadoop), Shuttl (là một sản phẩm hỗ trợ việc sao lưu dữ liệu trong Splunk), Splunkgit (Giúp bạn hình dung dữ liệu tốt hơn), Splunk power shell resource Kit (Bộ công cụ hỗ trợ việc mở rộng và quản lý hệ thống). IBM Qradar là hệ thống có thể cài đặt và triển khai đơn giản, dễ dàng với giao diện trực quan được chia thành các module riêng biệt, sẽ giúp bộ phận IT nhanh chóng xác định và khắc phục các cuộc tấn công mạng dựa trên mức độ ưu tiên, tính tuân thủ nhờ hệ thống cảnh bảo các hoạt động bất thường, đảm bảo tối đa an toàn cho hệ thống từ bên trong lẫn bên ngoài. QRadar SIEM được thiết kế để tự động phân tích và tương quan hoạt động trên nhiều nguồn dữ liệu bao gồm nhật ký, sự kiện, luồng mạng, hoạt động của người dùng, thông tin về lỗ hổng và thông tin về mối đe dọa để xác định các mối đe dọa đã biết và chưa biết.

Thay vào đó, các tổ chức cũng phải có khả năng phát hiện những thay đổi nhỏ trong hành vi của mạng, người dùng hoặc hệ thống có thể chỉ ra các mối đe dọa không xác định, chẳng hạn như người trong cuộc độc hại, thông tin bị xâm phạm hoặc fileless malware. Bằng cách tương quan thông tin này với hoạt động mạng, nhật ký và người dùng khác, các nhà phân tích bảo mật có thể phát hiện ra hoạt động mạng bất thường có thể là dấu hiệu của máy chủ bị xâm nhập, người dùng bị xâm phạm hoặc nỗ lực đánh cắp dữ liệu. Trong khi QRadar mang tới nhiều quy tắc phát hiện hành vi và dị thường như cài đặt mặc định, các nhóm bảo mật cũng có thể tạo quy tắc riêng, cài đặt phát hiện bất thường và tải xuống 160 ứng dụng được xây dựng trước từ IBM Security App Exchange để tăng cường triển khai.

Đối với các tổ chức đang tìm kiếm bảo vệ và phục hồi dữ liệu, các giải pháp khắc phục thảm họa QRadar có thể chuyển tiếp dữ liệu trực tiếp, chẳng hạn như các luồng và sự kiện, từ hệ thống QRadar chính sang hệ thống song song thứ cấp được đặt tại một cơ sở riêng biệt. Nhật ký hệ thống sau khi được EC và FC thu thập sẽ được nén, mã hóa và gửi về cho EP và FP tương ứng thông qua giao thức SSH cổng 22, các nhật ký hệ thống này được xử lý tại EP và FP và gửi lên CONSOLE những cảnh báo cần thiết, CONSOLE sẽ hiển thị chúng lên giao diện web thông qua cổng 443.

THỰC NGHIỆM SIEM

• Sơ đồ thực nghiệm 1. Hình ảnh
• Triển khai các kịch bản

 Có 1 server firewall có IP 103.143.209.63 cài firewall pfsense trên firewall có cài thêm squid proxy(clamav) để thực hiện gửi giữ liệu của firewall, antivirus qua cho Splunk để quản lý log, dữ liệu và thống kê.  Có 1 server firewall có IP 103.143.209.119 cài firewall pfsense trên firewall có cài thêm Snort(IDS) để thực hiện gửi giữ liệu của firewall, snort qua cho Splunk để quản lý log, dữ liệu, thống kê và tạo cảnh báo khi có tấn công snort. Đầu tiên chúng ta dùng lệnh sau để có thể vào file input để chỉnh cấu hình đẩy log lên hệ thống cd splunk/etc/apps/Splunk_TA_nix/default và sau đó bấm ls để show ra nhưng file nằm trong lệnh trên.

* Chúng ta sẽ sử dụng câu lệnh sau trên hệ thống splunk là index=linux thì sẽ hiện ra những cấu hình đã thực hiện để splunk nhận log được từ hệ điều hành. Đây là dữ liệu Splunk nhận được khi có một cuộc tấn công snort, đây là cuộc tấn công snort về IP TCP từ một ip khác đến ip 103.143.209.119 được truyền dữ liệu từ firewall qua hệ thống splunk để nhận biết được cuộc tấn công. Splunk nhận được cảnh báo tấn công snort như hình ở dưới là đang có cuộc tấn công snort TCP được gửi log từ pfsense đến Splunk để cảnh báo, sẽ được thông báo lại trên hệ thống spunk và hiện ra các cuộc tấn công của snort.

Thực hiện cấu hình Dashboard là thống kê những lần đăng nhập sai khi vào hệ điều hành hoặc có thể là bị scan port vào sai mật khẩu, chọn mốc thời gian để hiện log và kiểm tra truyền về trong thời gian qua về mức độ sử dụng, thời gian đăng nhập sai ào khi nào như nào. Thực hiện cấu hình Dashboard là thống kê những lần hết session khi đăng nhập vào hệ thống Splunk trên hệ điều hành, chọn mốc thời gian để hiện log truyền về trong thời gian qua về mức độ sử dụng như nào. Thực hiện cấu hình Dashboard là thống kê dữ liệu của snort ở trên firewall khi nào mở tấn công khi nào tắt tấn công và các sửa đổi trên snort, chọn mốc thời gian để hiện log truyền về trong thời gian qua về mức độ sử dụng như nào.

Thực hiện cấu hình Dashboard là thống kê dữ liệu về các cuộc tấn công của snort, chọn mốc thời gian để hiện log truyền về trong thời gian qua về các cuộc tấn công của snort như nào.