Chương này tập trung vào việc mô tả và đặt ra hướng giải quyết bài toán xây
dựng một hệ thong Diéu phối, Tự động hóa và Phản hồi An ninh (SOAR) tích hợp từ
ba công cụ chính là Shuffle, TheHive va Wazuh. Mục tiêu là nghiên cứu và phát triển một giải pháp tổng thể, linh hoạt và hiệu quả cho việc quản lý và tự động ứng phó mối
đe dọa an ninh mạng trong môi trường ngày càng phức tạp. Ngoài ra, nội dung
chương cũng sẽ dé cập tới quá trình tích hợp, cấu hình mỗi công cụ để tạo ra được hệ thông SOAR có thể vận hành hiệu quả.
3.1. Mô tả bài toán va hướng giải quyết:
3.1.1. Mô tả bài toán:
Hiện nay, cùng với sự phát triển của khoa học và kỹ thuật là các nguy cơ mat an toàn thông tin mà các tô chức lớn phải đối mặt. Các công ty lớn không chỉ phải đối mặt với các ký thuật tấn công mạng mà còn phải đối mặt với các dạng tấn công nhắm vào các Endpoint trong tổ chức. Không những vậy, đối với các doanh nghiệp có sự gia tăng về nhân sự lớn kèm theo đó sẽ là sự gia tăng về các Endpoint cần quản lý và giám sát. Vì vậy, số lượng các cảnh báo liên quan đến Endpoint cần xác minh trong một ngày rất lớn và có thê gây quá tải cho nhân sự giám sát SOC.
Trong bối cảnh đó, việc nghiên cứu phát triển giải pháp điều phối, tự động hoá và phản hồi an ninh (SOAR) là rất cần thiết. Hệ thống này có thé giúp giảm tải các công việc mà các nhân sự an toàn thông tin cần phải giải quyết bằng cách tự động hoá các quy trình xác minh và xử lý các sự cô. Bài toán đặt ra yêu cầu xây dựng hệ thống điều phối, tự động hoá và phản hồi an ninh (SOAR) bằng các phần mềm Open Source, kết quả cần có là một hệ thống có thể tự động hoặc bán tự động xử lý các cảnh báo.
3.1.2. Hướng giải quyết:
Xây dựng một hệ thống bao gồm các thành phần như sau:
- Thanh phan thu thập log từ Endpoint và phát cảnh báo khi phát hiện tan công.
- Thanh phan tạo case về tấn công và tạo môi trường cho nhóm an toàn thông tin phân tích sự có.
- Thanh phan kết nối các thành phần trên lại bằng việc tạo các playbook, quản lý các playbook và liên kết với các API của bên thứ 3.
Mô hình của bài toán:
Nguyễn Đức Sơn - B19DCAT153 35
Đồ án tốt nghiệp đại học Chương 3: Xây dựng SOAR
Thanh phan tạo các Thanh phan tao case về tan playbook, quan ly céng va cung cap môi trường
playbook va quản lý các dé nhỏm an toản thông tin
App lảm việc
Thanh phan thuthập log
va phat hiện tan công _ £———>‡
trên các Endpoint
Bên thử 3
Hình 3-21. Mô hình giải quyết bài toán Cụ thê:
- _ Sử dụng Wazuh dé thu thập log và phát hiện tan công.
- Su dụng The Hive để tao case và cung cấp môi trường cho nhóm bảo mật làm
việc.
- Su dụng Shuffle dé tao, quan lý playbook và quản lý các App tích hợp với bên
thứ 3.
- Cac node trong từng playbook sẽ được tạo ra bang cách sử dụng các API đã
được giới thiệu ở Chương 1 và Chương 2.
Cấu hình:
- AWS Ec2: 4 core CPU, 16GB RAM cai đặt Wazuh Server va Shuffle.
- AWS Ec2: 4core CPU, 8GB RAM cai đặt TheHive va Cortex - Elastic IP: Dich vu IP tĩnh của AWS
- 1 máy ảo VMware Windows 10 Pro, có cai Wazuh Agent, Sysmon
- 1 máy ảo VMware Ubuntu 22.04 LTS, có cai Metasploit Framework dé thực hiện tan công
- | máy ảo VMware Ubuntu Server 20.04 cài dịch vụ ssh và Wazuh Agent
Sơ đồ cài đặt:
Nguyễn Đức Sơn - B19DCAT153 36
Đồ án tốt nghiệp đại học Chương 3: Xây dựng SOAR
Availability Zone
Security group Security group
' '
h hị
' '
' '
h '' h
h '' '
h h' '
h h' '
' h
' Shuffle + Wazuh The Hive + Cortex '
h h
h h ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' 4A... ... HH... ... ... '
¥
¥
> 4—————
— “HN”
Internet
.
Windows 10 Ubuntu Server Ubuntu Attacker
Hình 3-22. Sơ đồ cài đặt
3.2. Tiến hành xây dựng hệ thống điều phối, tự động hoá và phan hồi an ninh
(SOAR):
3.2.1. Cài đặt Wazuh [3]:
- Tai xuống và chỉnh sửa file cau hình:
Nguyễn Đức Sơn - B19DCAT153 37
sonnd@ubuntu: ~
GNU nano 4.8 config.vmL odes:
indexer:
- name: node-1
ip: 192.168.145.144
server:
- name: wazuh-1
ip: 192.168.145.144
ae Get Help j8 Write Out @]) Where Is (i cut Text li Justify me Cur Pos
^XI Exit laa} Read File BẠN Replace Me) Paste Textiọf To Spell BÃI Go To Line
Hình 3-23. File cấu hình Wazuh
fl root@ubuntu: /home/sonnd
sonnd@ubuntu:~$ sudo su
root@ubuntu: /home/sonnd# bash wazuh-install.sh --generate-config-files
02/10/2023 20:27:09 INFO: Starting Wazuh installation assistant. Wazuh version:
4.5.2
02/10/2023 20:27:09 INFO: Verbose Logging redirected to /var/Log/wazuh-t+nstaLL.L
og02/10/2023 20:27:20 INFO: --- Dependencies ---- 02/10/2023 20:27:20 INFO: Installing gawk.
02/10/2023 20:27:31 INFO: --- Configuration files ---
02/10/2023 20:27:31 INFO: Generating configuration files.
02/10/2023 20:27:33 INFO: Created wazuh-install-files.tar. It contains the Wazuh cluster key, certificates, and passwords necessary for installation.
root@ubuntu: /home/sonnd# Ls
wazuh-install.sh root@ubuntu: /home/sonnd# tar -xvf wazuh-install-files.tar wazuh-install-files/
wazuh-install-files/node-1-key.pem wazuh-install-files/wazuh-1-key.pem wazuh-install-files/wazuh-1.pem
wazuh-install-files/admin-key.pem wazuh-install-files/root-ca.pem wazuh-install-files/node-1.pem
. Tạo các file can thiết - Cai đặt Wazuh Indexer:
__———
Nguyễn Đức Sơn — B19DCAT153
Đồ án tốt nghiệ
i+ root@ubuntu: /home/sonnd
root@ubuntu: /home/sonnd#
wazuh-tnstaLL.sh
root@ubuntu: /home/sonnd# bash wazuh-install.sh --wazuh-indexer node-1
02/10/2023 20:30:28 INFO: Starting Wazuh installation assistant. Wazuh version:
4.5.2
62/10/2023 20:30:28 INFO: Verbose Logging redirected to /var/Log/wazuh-tnstaLL.L
og
02/10/2023 20:30:46 INFO: --- Dependencies ----
02/10/2023 20:30:46 INFO: Installing apt-transport-https.
02/10/2023 20:31:04 INFO: Wazuh repository added.
02/10/2023 20:31:05 INFO: --- Wazuh indexer ---
02/10/2023 20:31:05 INFO: Starting Wazuh indexer installation.
02/10/2023 20:34:06 INFO: Wazuh indexer installation finished.
02/10/2023 20:34:06 INFO: Wazuh indexer post-install configuration finished.
62/10/2023 20:34:06 INFO: Starting service wazuh-indexer.
02/10/2023 20:34:41 INFO: wazuh-indexer service started.
62/10/2023 20:34:41 INFO: Initializing Wazuh indexer cluster security settings.
02/10/2023 20:34:45 INFO: Wazuh indexer cluster initialized.
02/10/2023 20:34:45 INFO: Installation finished.
root@ubuntu: /home/sonnd# I
Hình 3-25. Cài đặt Wazuh Indexer
- Kiém tra Wazuh Indexer:
eal root@ubuntu: /home/sonnd Q =
02/10/2023 20:36:19 INFO: Wazuh indexer cluster started.
root@ubuntu: /home/sonnd# grep -P "\'admin\'" -A 1 /home/sonnd/wazuh-install-file s/wazuh-passwords.txt
indexer_username:
indexer_password: '1ECfyAQEL3ZKIJEIRkPoQ.AejjCdPhTIB'
root@ubuntu: /home/sonnd# curl -k -u admin: 1ECfyAOEL3ZKIEIRkPoQ.AejjCdPhTIB https
://192.168.145.144:9208
{ "name" : "node-1",
"cluster_name" : "wazuh-indexer-cluster",
"cluster_uuid" : "U2bcHqRuSpyoAspozQsVUg",
"version" : {
"number" : "7.10.2",
"build_type" : "rpm",
"build_hash" : "7203a5af21a8a009aece1474446b437a3c674db6",
"build_date" : "2023-02-24T18:57:04.388618985Z",
"build_snapshot" : false,
"Lucene_version"” : "9.5.0",
"minimum_wire_compatibility_version"” : "7.10.0",
"minimum_index_compatibility_version" : "7.0.0"
};"tagline" : "The OpenSearch Project: https://opensearch.org/"
}root@ubuntu: /home/sonnd# |
Hinh 3-26. Kiém tra Wazuh Indexer
- Cai dat Wazuh Server:
Nguyễn Đức Son — B19DCAT153
root@ubuntu: /home/sonnd Q
bash wazuh-install.sh --wazuh-server wazuh-1
Starting Wazuh installation assistant. Wazuh version:
20:40:01 INFO: Verbose Logging redirected to /var/log/wazuh-install.1
20:40:29 INFO: Wazuh repository added.
20:40:30 INFO: --- Wazuh server ---
20:40:30 INFO: Starting the Wazuh manager installation.
20:44:01 INFO: Wazuh manager installation finished.
20:44:02 INFO: Starting service wazuh-manager.
20:44:24 INFO: wazuh-manager service started.
20:44:24 INFO: Starting Filebeat installation.
20:44:59 INFO: Filebeat installation finished.
20:45:01 INFO: Filebeat post-install configuration finished.
20:45:13 INFO: Starting service filebeat.
20:45:16 INFO: filebeat service started.
20:45:17 INFO: Installation finished.
root@ubuntu: /home/sonnd# §
Hinh 3-27. Cai dat Wazuh Server
- Cai dat Wazuh Dashboard:
fl root@ubuntu: /home/sonnd Q = _ Oo
root@ubuntu: /home/sonnd# bash wazuh-install.sh --wazuh-dashboard dashboard
02/10/2023 20:46:44 INFO: Starting Wazuh installation assistant. Wazuh version:
4.5.2
@2/10/2023 20:46:44 INFO: Verbose Logging redirected to /var/log/wazuh-install.1l og02/10/2023 20:47:04 INFO: Wazuh web interface port will be 443.
02/10/2023 20:47:16 INFO: Wazuh repository added.
dashboard
62/16/2023 20:47:17 INFO: --- Wazuh dashboard ----
02/10/2023 20:47:17 INFO: Starting Wazuh dashboard installation.
02/10/2023 20:49:39 INFO: Wazuh dashboard installation finished.
02/10/2023 20:49:39 INFO: Wazuh dashboard post-install configuration finished.
02/10/2023 20:49:39 INFO: Starting service wazuh-dashboard.
02/10/2023 20:49:41 INFO: wazuh-dashboard service started.
02/10/2023 20:50:20 INFO: Initializing Wazuh dashboard web application.
02/10/2023 20:50:22 INFO: Wazuh dashboard web application initialized.
02/10/2023 20:50:22 INFO: --- Summary ---
02/10/2023 20:50:22 INFO: You can access the web interface https://192.168.145.1
44:443
User: admin
Password: 1ECfyAQEL3ZKIJEIRKPoQ.AejjCdPhTIB 02/10/2023 20:50:22 INFO: Installation finished.
root@ubuntu: /home/sonnd#
Hinh 3-28. Cai dat Wazuh Dashboard - Cai đặt thành công Wazuh:
Nguyễn Đức Son — B19DCAT153
‹ ỡ Sa 192.168.145.144 iY me:(From : : # ứaủ = ÔÊ WOZUH. ~ ' Medias ®
| A, No agents were added to this manager. Add agent
SECURITY INFORMATION MANAGEMENT AUDITING AND POLICY MONITORING
PAE secuny ovens [E) act montaring JL, ote montaring GP system austng
according ta
Alerts r
‘THREAT DETECTION AND RESPONSE REGULATORY COMPLIANCE
SO MITRE attack = pcioss TC Nist 800-53
đã = Ỷ
rye ess, store N tú
Hình 3-29. Giao diện Wazuh Dashboard
- Trién khai Agent trên các Endpoints:
® installing the wazuhd:: x EM XU . =5
oa 192.168.145.144, a h Ẹ m ))ó_ a=(colu ( ù % ea
= Q wazuh. Agents @o
lefresh
Deploy a new agent GR
@ choose the operating system
> show more
@ choose the version
© choose the architecture
© wazun server address
This is the address the agent uses to communicate with the Wazuh server. It can be an IP address or a fully qualified domain name (FQDN)
e Optional settings
Hinh 3-30. Trién khai Agent trén Endpoint
Nguyễn Đức Son— B19DCAT153 41
Đồ án tốt nghiệp đại học Chương 3: Xây dựng SOAR
> mstexec.exe /1 wazuh-agent-4.5.2-1.m: /q WAZUH_MANAGER= 192.168.145.144" WAZUH_REGISTRATION_SERVER= PP WAZUH_AGENT_GROUP="default" WAZUH_AGE! NAME="DC"
azuh-agent> dir
Directory: azuh-agent
LastWriteTime Length Name
\wazuh-agent> msiexec.exe /1 wazuh-agent-4.5.2-1.ms1 /q WAZUH_MANAGER='192.168.145.144" WAZUH_REGISTRATION_SERVER="
H_AGENT_ GRI ='default" WAZUH_AGENT_NAME="DC"
> NET START Wazuh V arting.
he Wazuh service w tarted successfully.
PS C:\wazuh-agent>
Hinh 3-31. Trién khai Agent trén Windows
3.2.2. Cai dit Shuffle [8]:
- Tai xuống Shuffle:
git clone https://github.com/Shuffle/Shuffle Shuffle
Hình 3-32. Tai xuống Shuffle - Tao va phan quyén database:
mkdir shuffle-database C sudo chown -R 1088:1008 shuffle-database IF
Hình 3-33. Tạo va phân quyên Database
- _ Sử dụng Docker-Compose dé cài đặt Shuffle và thu được kết qua:
Nguyễn Đức Sơn - B19DCAT153 4
Đồ án tốt nghiệp đại học Chương 3: Xây dựng SOAR
& pep auTHentication B ries 2 = @ scheouies 4.4...
User management aaa, edit, block or change passwords. | carn more
Username API key Role Active Type MFA, Actions sonnd113 ry OrgAdmin ~ True Normal Inactive 7
Hình 3-34. Cai đặt thành công Shuffle 3.2.3. Cài đặt TheHive [9]:
- Dung Docker Compose dé cài đặt các thành phần của TheHive:
gP ubuntu@ip-172-31-25-103: ~ — oO x Ì
- Tao Organization mới va user mới:
Nguyễn Đức Son— B19DCAT153 43
Đồ án tốt nghiệp đại học Chương 3: Xây dựng SOAR
€ © OD A Không bảo mật | 18,142.231.13:9000/administration “mer O@:
NAME * CREATED BY CREATED DATE
a =2 sdmin heHive system use 8/11/2025 0955
SOAR Proj Default 1
X
Hình 3-36. Tao Organization mới - Cai đặt thành công TheHive và Cortex:
6. ưm #w &@ fe =
ENGLISH (UK) SON NGUYEN @ g
> default Ý Quick Filters © D> Export list &)
STATUS SEVERITY) #NUMBER TITLE i DETAILS i ASSIGNEES DATES S.) Cv Ul:
=
lew - 27/10/2023
. [ #2- Testcase1 ° S. 27/10/20 s ˆ @3days Q None ° C.27/10/2 9:55
# None TPs ° Linked Alert °
ˆ
®
526 1e1) 0-10f1 Show 30
Hinh 3-37. Giao dién Thehive
- _ Cấu hình kết nối tới Cortex:
Nguyễn Đức Sơn - B19DCAT153 44
Đồ án tốt nghiệp đại học Chương 3: Xây dựng SOAR
General settings
Server name
+ Server url
httpi/17231.25.103:9001
+ API Key
Proxy
““—_ | abd
SSL Settings
Check Certificate Authority
©
Certificate Authorities Add a certificate
No custom Certificate Authorities. Add a certificate ®
Dicable hostname Verification
Advanced settings
Hình 3-38. Cấu hình Cortex - _ Cấu hình các Analyzer cần thiết:
XÃ JobsHistory GỀAnalyres Ph Responders Ei Orga CC) SOAR Project/Son Nguyen
Users PAnalyzersConfig _@BAnalyzers Responders Config jResponders
Available analyzers (217)
Q | Virus
Analyzer Max TLP MaxPAP = Rate Limit Cache
VirusTotal_DownloadSample_3_1
Version: 3.1 Author: LOO-CERT License: AGPLV3 Type: Docker + Enable
Use VirusTotal to download the original file for an hash.
VirusTotal_GetReport_3_1
Version: 3.1 Author: CERT-BDF, StrangeBee License: AGPLV3 Type: Docker None edit ỉ Disable
Get the latest VirusTotal report fora file, hash, domain or an IP address.
VirusTotal_Rescan_3_1
Version: 3.1. Author: CERT:LDO License: AGPLV3. Type: Docker None eat disabie
Use VirusTotal to run new analysis on hash.
VirusTotal_Scan_3_1
Version: 3.1. Author: CERT-ODF,StrangeBee License: AGPLVS Type: Docker None ỉ tỏt Disable
Use VirusTotal to scana file or URL.
Virusshare_2_0
Version: 2.0 Author: Nils Kuhnert, CERT-Bund License: AGPLV3_Type: Docker + Enable Search for MDS hashes in Virusshare.com hash ist
“TheHive Project 2016-2021, AGPLV3 Version: 3.17-1
Hinh 3-39. Cau hinh Analyzer cho Cortex 3.3. Kết chương 3:
Như vậy, Chương 3 đã trình bay về bai toán đặt ra và hướng giải quyết bài toán đó.
Ngoài ra, chương này cũng đề cập tới các bước để xây dựng hệ thống điều phối, tự động hoá và phản hồi an ninh (SOAR) từ 3 công cụ mã nguồn mở đó là Shuffle,
TheHive và Wazuh.
Nguyễn Đức Sơn - B19DCAT153 45
Đồ án tốt nghiệp đại học Chương 4: Xây dựng Playbook thử nghiệm