55 quản lý và hiện thị log cho người dùng thông qua giao diện web. OSSEC Server tập hợp log từ nhiều nguồn, đặc biệt là phía các OSSEC agent sau đó phân tích,
xử lý và gửi đến Logstash và Elasticsearch để xửlý và lưu trữvà sau đó báo cáo
56
CHƯƠNG 4.XÂY DỰNG THỬ NGHIỆM HỆ THỐNG SIEM MÃ NGUỒN
MỞ NHỎ GỌN
4.1 Các tiêu chí đánh giá khi xây dựng một hệ thống SIEM
Các hệ thống SIEM có khảnăng thu thập, phân tích và báo cáo dữ liệu nhật ký bảo mật từ một số lượng lớn các giải pháp kiểm soát bảo mật của doanh nghiệp, hệđiều hành chủ, ứng dụng của doanh nghiệp và phần mềm khác được tổ
chức sử dụng. Một số khác còn có khả năng ngăn chặn các cuộc tấn công đang
diễn ra mà chúng phát hiện được, có khảnăng ngăn chặn các thỏa hiệp hoặc hạn chế thiệt hại mà các thỏa hiệp thành công có thể gây ra.
Ngày nay, có rất nhiều hệ thống SIEM (như đã trình bày tại chương III), Việc lựa chọn và đánh giá mức độ phù hợp của sản phẩm đói với doanh nghiệp là một thách thức, chứ chưa nói đến việc chọn sản phẩm tốt nhất cho một tổ chức
đó. Một phần của quá trình đánh giá bao gồm việc tạo danh sách các tiêu chí
đánh giá SIEM mà doanh nghiệp có thể sử dụng để làm nổi bật các khả năng
quan trọng. Các tiêu chí được xây dựng bằng việc trả lời các câu hỏi sau:
4.1.1 Mức độ hỗ trợ của SIEM đối với các nguồn nhật ký
Giá trị của SIEM bị giảm đi nếu nó không thể nhận và hiểu dữ liệu nhật ký từ tất cả các nguồn tạo nhật ký trong tổ chức. Ví dụnhư các giải pháp kiểm soát bảo mật doanh nghiệp của tổ chức như tường lửa, mạng riêng ảo, hệ thống ngăn
chặn xâm nhập, cổng bảo mật email và web cũng như các sản phẩm chống phần mềm độc hại.
Ngoài ra, SIEM phải cung cấp hỗ trợ riêng cho các tệp nhật ký từ hệ điều hành của tổ chức. Có thể ngoại trừ hệ điều hành thiết bị di động, thường không cung cấp bất kỳ khảnăng ghi nhật ký bảo mật nào.
SIEM cũng phải hỗ trợđầy đủ các nền tảng cơ sở dữ liệu chính của tổ chức,
cũng như bất kỳứng dụng doanh nghiệp nào cho phép người dùng tương tác với dữ liệu nhạy cảm.
Nếu SIEM không hỗ trợ nguồn nhật ký, thì tổ chức có thể phát triển bằng các công cụ tùy chỉnh để cung cấp hỗ trợ cần thiết.
4.1.2 Khả năng ghi nhật ký bổ sung của SIEM
57 ghi nhật ký. Một số hệ thống và dịch vụ SIEM có thể bổ sung những điều này bằng cách thực hiện giám sát riêng của chúng bên cạnh công việc quản lý nhật ký
thường xuyên của chúng. Về bản chất, điều này mở rộng SIEM từ việc hoàn toàn là một công cụ thu thập, phân tích và báo cáo nhật ký tập trung sang việc tạo dữ
liệu nhật ký thô thay mặt cho các máy chủ khác.
4.1.3 Khả năng sử dụng hiệu quả các thông tin tình báo của hệ thống SIEM SIEM
Hầu hết các SIEM đều có khả năng sử dụng nguồn cấp dữ liệu thông tin tình báo về các mối đe dọa. Các nguồn cấp dữ liệu này, thường được lấy từ các nguồn đăng ký riêng biệt, chứa thông tin cập nhật về hoạt động của mối đe dọa
được quan sát trên toàn thế giới, bao gồm cả những máy chủ nào đang được sử
dụng để phân chia hoặc khởi động các cuộc tấn công và đặc điểm của các cuộc tấn công này là gì. Giá trị lớn nhất của việc sử dụng các nguồn cấp dữ liệu này là
cho phép SIEM xác định các cuộc tấn công chính xác hơn và đưa ra các quyết
định sáng suốt hơn, thường là tựđộng, về các cuộc tấn công nào cần phải loại bỏ
và ngân chặn cũng như phương pháp tốt nhất là đểngăn chặn chúng.
Tất nhiên, chất lượng của thông tin về mối đe dọa khác nhau giữa các nhà cung cấp. Các yếu tố cần xem xét khi đánh giá thông tin tình báo về mối đe dọa nên bao gồm tần suất cập nhật thông tin tình báo về mối đe dọa và cách nhà cung cấp thông tin tình báo về mối đe dọa thể hiện sự tin tưởng của họ vào bản chất
độc hại của từng mối đe dọa.
4.1.4 Khả năng điều tra số của hệ thống SIEM
Năng lực điều tra số cũng là một tiêu chí đánh giá SIEM. Theo truyền thống, SIEM chỉ thu thập dữ liệu do các nguồn nhật ký khác cung cấp.
Tuy nhiên, gần đây một số hệ thống SIEM đã bổ sung các khảnăng điều tra số khác nhau có thể thu thập dữ liệu của riêng họ liên quan đến hoạt động đáng
ngờ. Một ví dụ phổ biến là khả năng thực hiện chụp toàn bộ gói tin cho một kết nối mạng có liên quan đến hoạt động độc hại. Giả sử rằng các gói tin này không
được mã hóa, nhà phân tích SIEM sau đó có thể xem xét nội dung của chúng kỹ hơn để hiểu rõ hơn về bản chất của các gói tin.
Một khía cạnh khác của điều tra số là ghi nhật ký hoạt động của máy chủ; sản phẩm SIEM có thể thực hiện ghi nhật ký như vậy mọi lúc hoặc ghi nhật ký có
58 thểđược kích hoạt khi công cụ SIEM nghi ngờ hoạt động đáng ngờliên quan đến một máy chủ cụ thể.
4.1.5 Những tính năng hỗ trợ thực hiện phân tích dữ liệu của hệ
thống SIEM
Các sản phẩm SIEM được sử dụng để phát hiện và xử lý sự cố phải cung cấp các tính năng giúp người dùng tự xem xét và phân tích dữ liệu nhật ký, cũng như các cảnh báo của riêng SIEM và các phát hiện khác. Một lý do cho điều này là ngay cả một SIEM có độchính xác cao đôi khi cũng sẽ hiểu sai các sự kiện và tạo ra kết quả cảnh báo giả, vì vậy mọi người cần phải có một cách để xác thực kết quả của SIEM.
Một lý do khác cho điều này là người dùng liên quan đến phân tích bảo mật cần các giao diện hữu ích để tạo điều kiện thuận lợi cho việc điều tra của họ. Ví dụ về các giao diện như vậy bao gồm khả năng tìm kiếm phức tạp và khả năng
trực quan hóa dữ liệu.
4.1.6 Khả năng phản hồi tự động của SIEM
Một tiêu chí đánh giá khác của SIEM là khảnăng phản hồi tựđộng của sản phẩm. Đây thường là nỗ lực của tổ chức cụ thể vì nó phụ thuộc nhiều vào kiến trúc mạng của tổ chức, các biện pháp kiểm soát an ninh mạng và các khía cạnh khác của quản lý bảo mật.
Ví dụ: một sản phẩm SIEM cụ thể có thể không có khảnăng chỉ đạo tường lửa của tổ chức hoặc các biện pháp kiểm soát an ninh mạng khác để chấm dứt kết nối độc hại.
Bên cạnh việc đảm bảo sản phẩm SIEM có thể thông báo nhu cầu của mình với các biện pháp kiểm soát an ninh chính khác của tổ chức, điều quan trọng là phải xem xét các đặc điểm sau:
- SIEM mất bao lâu để phát hiện một cuộc tấn công và chỉ đạo các biện pháp kiểm soát an ninh thích hợp đểngăn chặn nó?
- Thông tin liên lạc giữa SIEM và các biện pháp kiểm soát bảo mật khác
được bảo vệnhư thếnào đểngăn chặn việc nghe trộm và thay đổi?
- Sản phẩm SIEM có hiệu quả như thế nào trong việc ngăn chặn các cuộc tấn công trước khi xảy ra thiệt hại?
59
4.1.7 Khả năng xây dựng báo cáo của hệ thống SIEM
Hầu hết các SIEM đều cung cấp khả năng báo cáo có thể tùy chỉnh cao. Nhiều sản phẩm trong số này cũng cung cấp hỗ trợ tích hợp để tạo báo cáo đáp ứng các yêu cầu của các sáng kiến tuân thủ bảo mật khác nhau. Mỗi tổ chức nên
xác định những sáng kiến nào có thể áp dụng và sau đó đảm bảo rằng sản phẩm SIEM hỗ trợ nhiều sáng kiến này nhất có thể. Đối với bất kỳ sáng kiến nào mà SIEM không hỗ trợ, hãy đảm bảo rằng sản phẩm SIEM hỗ trợ các tùy chọn báo cáo có thể tùy chỉnh phù hợp đểđáp ứng yêu cầu của bạn.
4.2 Xây dựng bài toán thử nghiệm
Trong khuôn khổ của luận văn này, tác giả sẽ thử nghiệm khảnăng thu thập và phân tích dữ liệu nhật ký hoạt động theo thời gian thực. Để làm được điều đó,
cần xây dựng một hệ thống thử nghiệm như sau.
Triển khai cài đặt ELK Stack trên server Ubuntu. Đồng thời trên máy chủ
Ubuntu cài thêm Snort để giám sát dải mạng 192.168.39.0/24. Tiến hành tấn công vào các máy client trong dải mạng và thực hiện việc phát hiện thông qua các rule gửi về ELK Stack