Chương 2 Giới thiệu về giải pháp giám sát an toàn mạng Wazuh
2.4. Thiết kế hệ thống giám sát tệp tin và quản lý log
2.4.1. Hệ thống log tập trung
Trong mơ hình doanh nghiệp rất nhiều có rất nhiều nguồn log chúng ta cần xử lý, log nằm trên nhiều máy chủ trong phạm vi bao trùm tổ chức cho nên việc quản lý log địi hỏi cần thực hiện trên tồn bộ tổ chức, hơn nữa một nguồn log có thể sinh ra nhiều log. Để quản lý log một cách tốt hơn, xu thế hiện nay sẽ sử dụng log tập trung.
Hình 2.21 Mơ hình hệ thống có sử dụng log tập trung
Log tập trung là q trình tập trung, thu thập, phân tích... các log cần thiết từ nhiều nguồn khác nhau về một nơi an tồn để thuận lợi cho việc phân tích, theo dõi hệ thống.
Ưu điểm:
- Do có nhiều nguồn sinh log: Có nhiều nguồn sinh ra log, log nằm trên nhiều máy chủ khác nhau nên khó quản lý. Nội dung log khơng đồng nhất ( Giả sử log từ nguồn thứ nhất có ghi thơng tin về ip mà khơng ghi thơng tin về user name đăng nhập mà log từ nguồn thứ 2 lại có ) dẫn đến khó khăn trong việc kết hợp các log với nhau để xử lý vấn đề gặp phải. Định dạng log cũng khơng đồng nhất dẫn đến khó khăn trong việc chuẩn hóa.
- Đảm bảo tính tồn vẹn, bí mật, sẵn sàng của log: Do có nhiều các rootkit được thiết kế để xóa bỏ logs. Do log mới được ghi đè lên log cũ cho nên log phải được lưu trữ ở một nơi an tồn và phải có kênh truyền đủ đảm bảo tính an tồn và sẵn sàng sử dụng để phân tích hệ thống. Mọi hoạt động của hệ thống được ghi lại và lưu trữ ở một nơi an toàn ( log server ) giúp đảm bảo tính tồn vẹn phục vụ cho q trình phân tích điều tra các cuộc tấn công vào hệ thống
- Giúp quản trị viên có cái nhìn chi tiết về hệ thống từ đó có định hướng tốt hơn về hướng giải quyết.
- Nguy cơ quá tải máy chủ log tập trung: với cấu trúc này, hệ thông đang đẩy các bản ghi đến một máy chủ từ xa. Hậu quả là, nếu một máy bị tấn công và bắt đầu gửi hàng ngàn log messages, có nguy cơ làm quá tải máy chủ log.
- Nếu máy chủ nhật ký của bị sự cố, nguy cơ sẽ mất khả năng xem tất cả các nhật ký được gửi bởi khách hàng cũng như hệ thống đang hoạt động. Hơn nữa, nếu máy chủ ngừng hoạt động, máy khách sẽ bắt đầu lưu trữ thư cục bộ cho đến khi máy chủ khả dụng trở lại, do đó khơng gian ổ cứng ở phía máy khách sẽ dần bị đầy.
2.4.2. Hệ thống giám sát an toàn Wazuh và hệ thống log tập trung EFK
Ứng dụng Wazuh cho Kibana cho phép người dùng hình dung và phân tích các cảnh báo Wazuh được lưu trữ trong Elaticsearch. Người quản trị có thể lấy số liệu thống kê cho mỗi tác nhân, cảnh báo. Wazuh app cho Kibana cung cấp giao diện người dùng đơn giản, dễ dàng sử dụng qua giao điện để thực hiện các thao tác với API của Wazuh server.
Các tính năng của ứng dụng Wazuh app cho hệ thống log tập trung EFK bao gồm.
Hình 2.23 Giao diện quản trị danh sách các agent
Hình 2.24 Giao diện tim kiếm log
- Overview: Cung cấp cho người quản trị một giao diện hiện thị bao gồm các
thông tin như danh sách các agent, truy vấn tìm kiếm các cảnh báo, giao diện thực hiện thao tác với API của Wazuh.
Hình 2.25 Giao diện quản lý rule của Wazuh App
- Ruleset: Các quy tắc là một phần quan trọng của Wazuh. Được người quản
lý sử dụng để phát hiện các cuộc tấn công, xâm nhập, sự cố cấu hình, lỗi ứng dụng, phần mềm độc hại, rootkit, bất thường hệ thống hoặc vi phạm chính sách bảo mật. Wazuh app cung cấp giao diện cho phép người quản trị có thế tìm kiếm các rule và tương tác trực tiếp thông qua giao diện
- Một số tính năng khác: Chỉnh sửa cấu hình của cluster Wazuh, tải về các biểu đồ báo cáo,…