Tải bản đầy đủ

XÂY DỰNG HỆ THỐNG GIÁM SÁT AN NINH MẠNG VÀ ỨNG PHÓ SỰ CỐ TẬP TRUNG SỬ DỤNG SPLUNK VÀ FALCON ORCHESTRATOR

BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

ĐỒ ÁN TỐT NGHIỆP

XÂY DỰNG HỆ THỐNG GIÁM SÁT
AN NINH MẠNG VÀ ỨNG PHÓ SỰ CỐ TẬP TRUNG
SỬ DỤNG SPLUNK VÀ FALCON ORCHESTRATOR

Ngành: Công nghệ thông tin
Chuyên ngành: An toàn thông tin
Mã số: 52.48.02.01

Hà Nội, 2017


BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯


ĐỒ ÁN TỐT NGHIỆP

XÂY DỰNG HỆ THỐNG GIÁM SÁT
AN NINH MẠNG VÀ ỨNG PHÓ SỰ CỐ TẬP TRUNG
SỬ DỤNG SPLUNK VÀ FALCON ORCHESTRATOR
Ngành: Công nghệ thông tin
Chuyên ngành: An toàn thông tin
Mã số: 52.48.02.01

Sinh viên thực hiện:
Ngô Văn Thỉnh
Lớp: AT9A
Người hướng dẫn 1:
ThS. Nguyễn Đức Ngân
Khoa An toàn thông tin – Học viện Kỹ thuật mật mã
Người hướng dẫn 2:
KS. Nguyễn Mạnh Thắng
Khoa An toàn thông tin – Học viện Kỹ thuật mật mã

Hà Nội, 2017


MỤC LỤC

3


DANH MỤC KÍ HIỆU VÀ VIẾT TẮT
DDOS

Distributed Denial of Service

LAN

Local Area Network

WAN

wide Area Network


VPN

Virtual Private Network

IDXP

Intrusion Detection Exchange Protocol

JSON

JavaScript Object Notation

NSM

Network Security Monitoring

SEM

Sercurity Event Management

SIM

Sercurity Information Management

SIEM

Security Information and Event Management

SNMP

Simple Network Management Protocol

SPL

Search Processing Language

FTP

File Tranfer Protocol

DNS

Domain Name Server

DHCP

Dynamic Host Configuration Protocol

IDS

Intrusion Detection System

ETL

Extract, Transform, Load

4


DANH MỤC HÌNH VẼ

5


6


LỜI NÓI ĐẦU
Ngày nay, đối với một hệ thống mạng, để có thể duy trì mạng hoạt động tốt
thì có rất nhiều thứ phải quản trị như là hiệu năng mạng, lưu lượng mạng, các ứng
dụng chạy trên mạng, người sử dụng mạng, an ninh mạng. Security Information
Event Management (SIEM) là một giải pháp hoàn chỉnh, đầy đủ cho phép các tổ
chức thực hiện việc giám sát các sự kiện an toàn thông tin cho một hệ thống. Đây
là công nghệ được các chuyên gia bảo mật rất quan tâm trong thời gian gần đây. Hệ
thống quản lý sự kiện và giám sát an ninh mạng giúp người quản trị quản lý các
thiết bị, dò quét các lổ hổng trong hệ thống, thu thập các dữ liệu từ các thiết bị và
các ứng dụng khác nhau, dữ liệu sau đó được chuẩn hóa sang một định dạng chuẩn
riêng, phân tích tương quan các thông tin sự kiện an ninh với nhau theo ngữ cảnh
và cảnh báo cho các quản trị viên cảnh báo trong trường hợp bị tấn công. Bên cạnh
đó hệ thống quản lý sự kiện và giám sát an ninh mạng đáp ứng các tuân thủ về hoạt
động công nghệ thông tin và cung cấp sẵn các báo cáo theo đúng chuẩn quốc tế
quy định về an toàn thông tin. Bên cạnh đó vấn đề giải quyết và khắc phục sự cố
an ninh mạng cũng đang là vấn đề cấp bách cần triển khai tại các tổ chức doanh
nghiệp vừa và lớn. Hệ thống ứng phó sự cố (Incident Response) tập trung có thể
giải quyết nhanh chóng vấn đề an ninh giảm thiểu hậu quả của vụ tấn công diễn ra
mà không làm ảnh hưởng đến dây truyền làm việc của hệ thống, đảm bảo giảm
thiểu tối đa rủi ro. Hệ thống có thể can thiệp từ xa tới các máy trạm nhằm ngăn
chặn các tấn công đang diễn ra, dựa trên các phân tích từ các chuyên viên an ninh
mạng. Việc kết hợp hệ thống giám sát và hệ thống ứng phó sự cố tập trung là mô
hình đang được đặc biệt quan tâm hiện nay.
Đồ án này đề cập đến việc sử dụng kết hợp hai công cụ Splunk và Falcon
Orchestrator để xây dựng một hệ thống giám sát an ninh mạng và ứng phó sự cố
tập trung. Nội dung đề tài được truyền tải xuyên suốt qua 3 chương chính xoay
quanh việc triển khai một hệ thống giám sát và ứng phó tập trung về cả con người
lẫn công nghệ:
Chương 1: Tổng quan về giám sát sự kiện an ninh mạng tập trung
(SIEM). Trong chương này sẽ trình bày tổng quan hệ thống giám sát an ninh mạng
nói chung, tiếp đến là chi tiết về kiến trúc hoạt động của SIEM.

7


Chương 2: Công cụ giám sát an ninh mạng Splunk. Trong chương này sẽ
đi sâu vào hệ thống giám sát Splunk từ đó triển khai ứng dụng vào việc giám sát hệ
thống.
Chương 3: Công cụ Falcon Orchestrator. Trình bày tổng quan về Incident
response từ con người đến công cụ, sau cùng là chức năng và kiến trúc của Falcon
Orchestrator. Từ đó áp dụng triển khai kết hợp với Splunk để tạo ra hệ thống tập
trung như đã đề ra.
Qua hơn 3 tháng nghiên cứu và tìm hiểu hết mình với các tài liệu trên mạng
và sự tận tình chỉ bảo của giáo viên hướng dẫn, em đã hoàn thành nội dung và các
yêu cầu của đồ án đề ra. Em xin được gửi lời cảm ơn sâu sắc đến ThS. Nguyễn
Đức Ngân và KS. Nguyễn Mạnh Thắng đã tận tình chỉ bảo, giúp đỡ em trong quá
trình làm đồ án.
Đồ án được hoàn thành trong thời gian ngắn, không thể tránh khỏi những sai
sót mong được các thầy, cô đóng góp ý kiến và chỉ bảo để đồ án được hoàn thiện
hơn.
Em xin chân thành cảm ơn!
SINH VIÊN THỰC HIỆN ĐỒ ÁN

Ngô Văn Thỉnh

8


CHƯƠNG 1. TỔNG
QUAN VỀ GIÁM SÁT
SỰ KIỆN AN NINH
MẠNG TẬP TRUNG
(SIEM)
1.1. Hệ thống giám sát an ninh mạng
Giám sát an ninh mạng (Network Security Monitoring – NSM) là việc thu
thập các thông tin trên các thành phần của hệ thống, phân tích các thông tin, dấu
hiệu nhằm đánh giá và đưa ra các cảnh báo cho người quản trị hệ thống. Hệ thống
giám sát anh ninh mạng đóng vai trò quan trọng, không thể thiếu trong hạ tầng
công nghệ thông tin (CNTT) của các cơ quan, đơn vị, tổ chức. Hệ thống này cho
phép thu thập, chuẩn hóa, lưu trữ và phân tích sự kiện tương quan toàn bộ các sự
kiện mạng được sinh ra trong hệ thống CNTT của tổ chức. Ngoài ra, hệ thống giám
sát an ninh mạng phát hiện kịp thời các tấn công mạng, các điểm yếu, lỗ hổng bảo
mật của các thiết bị, ứng dụng và dịch vụ trong hệ thống. Phát hiện kịp thời sự
bùng nổ virus trong hệ thống mạng, các máy tính bị nhiễm mã độc, các máy tính bị
nghi ngờ là thành viên của mạng máy tính ma (botnet). Để công tác giám sát an
ninh mạng đạt hiệu quả cần phải xác định được các yếu tố cốt lõi, cơ bản nhất của
giám sát như:
- Xác định các đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát.
- Xác định trang thiết bị, giải pháp phần mềm thương mại phục vụ giám
sát.
- Xác định phần mềm nội bộ và phần mềm nguồn mở phục vụ giám sát.
- Xác định các thiết bị, công cụ, giải pháp hỗ trợ phân tích kết quả giám
sát.
Hệ thống giám sát an ninh mạng có thể được xây dựng theo một trong ba
giải pháp sau:
- Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, lưu
trữ và biểu diễn nhật ký.
- Giải pháp quản lý sự kiện an ninh: tập trung vào việc phân tích và xử
lý các nhật ký đã được thu thập để đưa ra cảnh báo cho người dùng.
- Giải pháp quản lý và phân tích sự kiện an ninh: là sự kết hợp của cả
hai giải pháp trên nhằm khắc phục những hạn chế vốn có.

9


Hệ thống giám sát mạng có thể giám sát các mạng có kích thước lớn, nhỏ,
trung bình. Một số loại mạng như là: Wireless or wired, LAN, VPN, WAN.
Thị trường kinh doanh luôn đòi hỏi các chức năng trang web mới để sử dụng
nội bộ và bên ngoài. Giám sát cho phép các nhà quản lý phân bổ nguồn lực để duy
trì tính sẵn sàng của hệ thống.
Một hệ thống giám sát trong môi trường phức tạp sẽ giúp định hướng, đưa ra
các cảnh báo, người quản lý có thể sử dụng các báo cáo này để:
- Xác nhận việc tuân thủ quy định và chính sách.
- Tiết kiệm chi phí tiềm lực bằng cách tìm nguồn dữ liệu dư thừa.
- Giải quyết việc bị lấy cắp thông tin.
- Trợ giúp xác định năng suất của nhân viên.
- Xác định liên kết mạng diện rộng yếu và thắt cổ chai
- Xác định độ trễ truyền tải dữ liệu
- Tìm bất thường trong mạng nội bộ có thể cho biết một mối đe dọa an
ninh.
Đối tượng của giám sát an ninh mạng là tất cả các thành phần, thiết bị trong
hệ thống mạng.
- Các máy trạm
- Cơ sở dữ liệu
- Các ứng dụng
- Các server
- Các thiết bị mạng
Các bước cần thực hiện của một hệ thống NSM:
Thu thập dữ liệu
Việc thu thập dữ liệu ở đây chính là việc lấy các thông tin liên quan đến tình
trạng hoạt động của các thiết bị trong hệ thống mạng. Tuy nhiên, trong những hệ
thống mạng lớn thì các dịch vụ không đặt hết trên một máy hay các thiết bị đặt tại
một địa điểm mà nằm trên các máy chủ, các hệ thống con riêng biệt nhau. Các
thành phần hệ thống cũng hoạt động trên những nền tảng hoàn toàn khác nhau. Mô
hình log tập trung được đưa ra để giải quyết vấn đề này. Cụ thể, là tất cả log sẽ
được chuyển về một trung tâm để phân tích và xử lý.
Với mỗi thiết bị có những đặc điểm riêng và các loại log cũng khác nhau.
Như log của các thiết bị mạng như: Router, Swich, log của các thiết bị phát hiện
xâm nhập: IDS, IPS, Snort… Log của các Web Server, Application Server, Log
Event, Log Registry của các Server Windows, Unix/Linux.
Phân tích dữ liệu
10


Khi đã thu thập được những thông tin về hệ thống thì công việc tiếp theo là
phân tích thông tin, cụ thể là việc thực hiện chỉ mục hóa dữ liệu, phát hiện những
điền bất thường, những mối đe dọa của hệ thống. Dựa trên những thông tin về lưu
lượng truy cập, trạng thái truy cập, định dạng request….
Cảnh báo
Sau khi đã thực hiện việc phân tích dữ liệu từ các thông tin thu thập được
việc tiếp theo là thực hiện đánh giá, đưa thông tin cảnh báo tới người quản trị và
thực hiện những công tác nhằm chống lại những mối đe dọa, khắc phục các sự cố
có thể xảy ra. Cảnh báo có thể thông qua email, SMS, hoặc thực thi các mã script
nhằm hạn chế hậu quả của sự cố. Khi xảy ra sự cố, hệ thống sẽ tự động gửi email,
sms cho người quản trị và cũng có thể chạy script để thêm một địa chỉ IP có biểu
hiện tấn công và vào danh sách đen của Firewall.
1.2. Tổng quan về hệ thống SIEM
Sercurity information event management (SIEM) là một giải pháp hoàn
chỉnh cho phép các tổ chức thực hiện việc giám sát các sự kiện an toàn thông tin
cho một hệ thống. SIEM là sự kết hợp một số tính năng của quản lí thông tin an
ninh (SIM) và quản lí sự kiện an ninh (SEM). Trong đó hệ thống SIEM có thể
được tách làm hai chức năng:
Sercurity event management (SEM): Thu thập các event log data do các
thành phần (thiết bị, ứng dụng) trong hệ thống tạo ra. Sau đó tập trung hóa việc lưu
trữ và xử lý, phân tích các sự kiện rồi lập báo cáo, đưa ra thông báo, cảnh báo liên
quan đến an ninh của hệ thống.
Sercurity information management (SIM): Thông tin được lưu trữ từ SIM,
được sử dụng để báo cáo dữ liệu log cho bất kì thời gian nhất định.
SIM và SEM thường bị nhầm lẫn với nhau nhưng thực ra giữa chúng tồn tại
những điểm giống và khác nhau cơ bản sau:
SEM giám sát hệ thống và phân tích các event gần như trong thời gian thực
để giúp phát hiện các mối đe dọa an ninh, các dấu hiện bất thường nhanh nhất có
thể nhưng cũng chính vì thế mà lượng dữ liệu sự kiện đổ về nó rất nhiều và nó
không cung cấp khả năng lưu trữ lâu dài cho các dữ liệu log.
Ngược lại, SIM tuy không có khả năng thu thập và xử lý các sự kiện trong
thơi gian thực nhưng lại mạnh về quản lý log và có thể lưu trữ một lượng lớn dữ
liệu log trong một thời gian dài.
11


Security Information and Event Management (SIEM) là sự kết hợp của SEM
và SIM lại với nhau nhằm khắc phục những hạn chế của chúng.
- Thu thập log: Thu thập dữ liệu từ nhiều nguồn, bao gồm cả mạng, bảo
mật, máy chủ, cơ sở dữ liệu, ứng dụng…cung cấp khả năng hợp nhất
dữ liệu được giám sát tránh để mất các sự kiện quan trọng.
- Tương quan giữa các sự kiện: Tìm kiếm các thuộc tính chung và liên
kết các sự kiện với nhau.
- Nhóm các sự kiện giống nhau.
- Phân tích và luồng thông tin.
- Lưu trữ log và các sự kiện lâu dài phục vụ cho mục đích điều tra về
sau.
1.3. Hoạt động của hệ thống quản lý sự kiện và giám sát an ninh mạng SIEM
SIEM có thể được so sánh với một máy tính phức tạp trong đó SIEM có một
số bộ phận chuyên biệt, thực hiện một công việc cụ thể và cần phải hoạt động cùng
nhau đúng cách nếu không toàn bộ hệ thống sẽ bị lỗi. Có những khác biệt về tiêu
chuẩn của SIEM, với các bộ phận cụ thể bổ sung, nhưng một SIEM đơn giản có
thể được chia thành sáu phần và mỗi phần làm một công việc riêng biệt. Mỗi thành
phần trong hệ thống này có thể hoạt động độc lập với các thành phần khác nhưng
nếu tất cả không cùng hoạt động cùng lúc thì người quản trị sẽ không có một hệ
thống SIEM hoạt động hiệu quả. Bằng sự hiểu biết từng phần của SIEM và cách
thức hoạt động, người quản trị có thể quản lý một cách hiệu quả và khắc phục sự
cố các vấn đề khi phát sinh.
Kiến trúc của SIEM bao gồm các thành phần [1]:
• Thiết bị nguồn
• Thu thập log
• Phân tích, chuẩn hóa log
• Kỹ thuật tương quan sự kiện
• Lưu trữ log
• Giám sát

12


1.3.1. Thiết bị nguồn

Hình 1-1: Thành phần thiết bị nguồn trong kiến trúc SIEM
Thành phần đầu tiên của SIEM là các thiết bị đầu vào cung cấp dữ liệu cho
SIEM nằm ở vị trí đấu tiên trong kiến trúc của SIEM được biểu thị trên Hình 1-1.
Thiết bị nguồn có thể là một thiết bị thực tế trong hệ thống mạng như Router,
Switch hoặc một số loại máy chủ và cũng có thể là các bản ghi nhật ký từ một ứng
dụng hoặc chỉ là bất kỳ dữ liệu nào khác. Việc biết về những gì mình có trong hệ
thống là rất quan trọng trong việc triển khai SIEM. Hiểu rõ những nguồn mà người
quản trị muốn lấy các bản ghi nhật ký trong giai đoạn đầu sẽ giúp họ tiết kiệm
được công sức, số tiền đáng kể và giảm sự phức tạp trong triển khai.
Hệ điều hành
Microsoft Windows và các biến thể của Linux và UNIX, AIX, Mac OS là
những hệ điều hành thường hay được sử dụng. Hầu hết các hệ điều hành vê cơ bản
công nghệ khác nhau và thực hiện chuyên một nhiệm vụ nào đó nhưng một trong
những điều mà tất cả đều có điểm chung là chúng tạo ra các bản ghi nhật ký. Các
bản ghi nhật ký sẽ cho thấy hệ thống của người quản trị đã làm gì: Ai là người
đăng nhập, làm những gì trên hệ thống?... Các bản ghi nhật ký được tạo ra bởi một
hệ điều hành về hệ thống và người sử dụng hoạt động sẽ rất hữu ích khi tiến hành
ứng phó sự cố an ninh hoặc chẩn đoán vấn đề hay chỉ là việc cấu hình sai.
Thiết bị
Hầu hết các thiết bị là các hộp đen, các quản trị hệ thống không có quyền
truy cập trực tiếp vào hệ thống để thực hiện một số việc quản lý cơ bản. Nhưng có
thể quản lý các thiết bị thông qua một giao diện. Giao diện này có thể dựa trên
web, dòng lệnh hoặc chạy qua một ứng dụng được tải về máy trạm của quản trị
viên. Hệ điều hành các thiết bị mạng chạy có thể là một hệ điều hành thông
thường, chẳng hạn như Microsoft Windows hoặc phiên bản của Linux, nhưng nó
cũng có thể được cấu hình theo cách mà hệ điều hành thông thường. Một ví dụ như
một router hoặc switch. Nó không phụ thuộc vào nhà cung cấp, người quản trị
13


không bao giờ có thể truy cập trực tiếp vào hệ thống điều hành cơ bản của nó mà
chỉ có thể truy cập vào thông qua dòng lệnh hoặc giao diện web được sử dụng để
quản lý. Các thiết bị lưu trữ các bản ghi nhật ký của chúng trên hệ thống hoặc
thường có thể được cấu hình để gửi các bản ghi ra thông qua syslog hoặc FTP.
Ứng dụng
Chạy trên các hệ điều hành là những ứng dụng được sử dụng cho một loạt
các chức năng. Trong một hệ thống người quản trị có thể có hệ thống tên miền
(DNS), dịch vụ cấp phát địa chỉ động (DHCP), máy chủ web, hệ thống thư điện tử
và vô số các ứng dụng khác. Các bản ghi ứng dụng chứa thông tin chi tiết về tình
trạng của ứng dụng, ví dụ như thống kê, sai sót, hoặc thông tin tin nhắn. Một số
ứng dụng sinh ra bản ghi nhật ký sẽ có ích cho người quản trị? Người quản trị
được yêu cầu để duy trì, lưu trữ các bản ghi nhật ký theo sự tuân thủ của pháp luật.
Xác định bản ghi nhật ký cần thiết
Sau khi xác định các thiết bị nguồn trong hệ thống, người quản trị cần xem
xét việc thu thập các bản ghi nhật ký từ các thiết bị nào là cần thiết và quan trọng
cho SIEM. Người quản trị muốn chắc chắn để lấy các bản ghi từ các nguồn có thể
cung cấp các thông tin quan trọng để bảo đảm tốt hơn cho hệ thống và có thể hỗ trợ
chuẩn đoán các vấn đề phát sinh xảy ra trên hệ thống mạng. Một số điểm cần chú ý
trong việc thu thập các bản ghi nhật ký như sau:
• Thiết bị nguồn nào được ưu tiên? Dữ liệu nào là quan trọng mà người
quản trị cần phải thu thập?
• Kích thước các bản ghi nhật ký sinh ra trong khoảng thời gian nhất
định là bao nhiêu? Những thông tin này dùng để xác định SIEM cần
bao nhiêu tài nguyên cho chúng, đặc biệt là không gian lưu trữ.
• Tốc độ các thiết bị nguồn này sinh ra các bản ghi nhật ký là bao lâu?
Thông tin này cùng với kích thước bản ghi nhật ký để lựa chọn việc
sử dụng đường truyền mạng khi thu thập các bản ghi.
• Cách thức liên kết giữa các thiết bị nguồn với SIEM?
• Có cần các bản ghi nhật ký theo thời gian thực hay thiết lập quá trình
thực hiện tại một thời điểm cụ thể trong ngày?
Các thông tin trên rất có ích trong việc xác định nguồn thiết bị cần thiết cho
SIEM của người quản trị. Chúng có quá nhiều nhưng nó là cần thiết để xác định
chính xác hơn điều gì là cần thiết cho SIEM. Số lượng người sử dụng, lịch bảo trì
hệ thống và nhiều yếu tố khác có thể tác động đáng kể đến số lượng các bản ghi
nhật ký được tạo ra mỗi ngày.
14


1.3.2. Thu thập log

Hình 1-2: Thành phần thu thập log trong kiến trúc SIEM
Bước tiếp theo trong thiết bị hoặc ứng dụng là bằng cách nào đó để thu thập
được nhật ký từ các thiết bị khác nhau, nó nằm tại bước thứ hai trong kiến trúc của
hệ thống quản lý sự kiện và giám sát an ninh mạng được biểu thị như Hình 1-2. Cơ
chế thu thập các bản ghi nhật ký phụ thuộc vào từng thiết bị nhưng cơ bản nhất có
hai phương thức chính như sau: Đẩy nhật ký (Pull log) và tự lấy nhất ký (Push
log), ngoài ra còn có xây dựng nhật ký để thu thập (Prebuilt Log collection), tự tạo
nhật ký thu thập (Custom Log Collection), kết hợp nhiều cách thu thập nhật ký
(Mixed Environments) [1].
Đẩy nhật ký
Push log: Các bản ghi nhật ký sẽ được các thiết bị nguồn gửi về SIEM.
Phương pháp này có lợi ích: Dễ dàng cài đặt và cấu hình. Thông thường,
người quản trị chỉ cần thiết lập một bộ tiếp nhận và sau đó kết nối thiết bị nguồn
đến bộ phận tiếp nhận này. Ví dụ như syslog. Khi cấu hình thiết bị nguồn sử dụng
syslog, người quản trị có thể thiết lập địa chỉ IP hoặc DNS tên của một máy chủ
syslog trên mạng và thiết bị sẽ tự động gửi các bản ghi của nó thông qua syslog.
Tuy nhiên phương pháp này cũng còn một số nhược điểm. Ví dụ, sử dụng syslog
trong môi trường UDP. Bản chất vốn có của việc sử dụng syslog trong môi trường
UDP có nghĩa là không bao giờ có thể đảm bảo rằng các gói tin đến đích, vì UDP
là một giao thức không hướng kết nối. Nếu một tình huống xảy ra trên mạng chẳng
hạn như khi một loại virus mạnh trên mạng, người quản trị có thể không nhận được
gói tin syslog. Một vấn đề có thể phát sinh là nếu không đặt quyền điều khiển truy
cập thích hợp trên máy thu nhận các bản ghi nhật ký thì khi cấu hình sai hoặc có
phần mềm độc hại có thể làm tràn ngập các thông tin sai lệch. Điều đó làm cho các
sự kiện an ninh khó được phát hiện. Nếu là một cuộc tấn công có chủ ý nhằm
chống lại SIEM thì kẻ tấn công có thể làm sai lệch các thông tin và thêm các dữ
15


liệu rác vào SIEM. Do vậy sự hiểu biết về các thiết bị gửi các bản ghi nhật ký cho
SIEM là điều rất quan trọng.
Lấy nhật ký
Pull log: Các bản ghi nhật ký sẽ được SIEM đi tới và lấy về.
Không giống như phương pháp Push log, trong đó thiết bị nguồn gửi các bản
ghi nhật ký cho SIEM mà không cần bất kỳ sự tương tác từ SIEM. Pull log đòi hỏi
SIEM bắt đầu kết nối với các thiết bị nguồn và chủ động lấy các bản ghi từ các
thiết bị nguồn đó. Một ví dụ nếu các bản ghi nhật ký được lưu trữ trong tập tin văn
bản chia sẻ trên một mạng. SIEM sẽ thiết lập một kết nối lấy các thông tin được
lưu trữ và đọc các file bản ghi từ các thiết bị nguồn.
Đối với phương pháp Push Log, các bản ghi nhật ký của thiết bị nguồn
thường gửi các bản ghi đến SIEM ngay sau khi nó được tạo ra. Nhưng với phương
pháp Pull Log thì một kết nối sẽ được tạo ra để SIEM tiếp cận với các thiết bị
nguồn và kéo các bản ghi nhật từ các thiết bị nguồn về. Chu kỳ của việc kết nối để
lấy các bản ghi nhật của Pull Log có thể là vài giây hoặc theo giờ. Khoảng thời
gian này người quản trị có thể cấu hình theo tùy chọn hoặc để cấu hình mặc định
cho SIEM.
Xây dựng sẵn nhật ký để thu thập
Tùy thuộc vào SIEM, thường có các phương pháp được xây dựng sẵn có để
lấy được các bản ghi từ các thiết bị hoặc các ứng dụng. Ví dụ, người quản trị có thể
cho một máy chủ SIEM chạy cơ sở dữ liệu Oracle cung cấp cho các thông tin cơ sở
dữ liệu SIEM. SIEM sẽ có những phương pháp xác thực và quy tắc (logic) được
xây dựng để lấy thông tin từ cơ sở dữ liệu Oracle.
Ví dụ này làm cho việc lấy các bản ghi từ các thiết bị nguồn được dễ dàng
hơn. Nhưng đối với một ứng dụng nào đó mà người quản trị muốn lấy những bản
ghi nhật ký nhưng không có phương pháp hay quy tắc logic nào được xác định
trước đó thì hơi khó. Trong trường hợp này, cần thay đổi các bản ghi từ các định
dạng tập tin gốc thành một cái gì đó mà SIEM có thể hiểu được. Một ví dụ là nếu
người quản trị đang chạy một ứng dụng trên một máy chủ và ứng dụng lưu trữ các
bản ghi của nó trong một định dạng tập tin trên máy chủ. Người quản trị có thể sử
dụng một ứng dụng khác để đọc tập tin này và gửi các bản ghi thông qua syslog.
Trong trường hợp máy chủ Windows, một cách khác để làm việc với các bản ghi
không chuẩn sẽ được để viết nhật ký để Windows Event Log và kéo Windows
Event Log vào SIEM.
16


Tự thu thập nhật ký
Với các thiết bị khác nhau trong mạng có thể có một số nguồn bản ghi nhật
ký không có phương pháp thu thập nhật ký chuẩn cung cấp sẵn bởi SIEM. Người
quản trị cần có phương thức để lấy các bản ghi nhật ký từ một nguồn bằng việc xây
dựng phương pháp riêng để thu thập các bản ghi nhật ký. Việc xây dựng phương
thức riêng để lấy bản ghi nhật kỳ và phân tích có thể tốn nhiều công sức và thời
gian, nhưng nếu được thực hiện đúng cách, nó sẽ có nghĩa là các bản ghi sẽ được
kéo trực tiếp từ các thiết bị vào SIEM. Một lợi ích khác của việc xây dựng phương
pháp thu thập riêng là người quản trị có thể kiểm soát tất cả các quá trình phân tích
và tìm kiếm.
Kết hợp nhiều cách để thu thập
Hầu hết các môi trường mạng sẽ có nhiều thiết bị, có nghĩa là người quản trị
sẽ cần nhiều phương pháp thu thập nhật ký. Ví dụ như Cisco ASA sẽ lưu trữ các
bản ghi log trong nội bộ, do đó ta có thể sử dụng syslog để gửi các bản ghi nhật ký
tới hệ thống khác. Snort IDS có thể lưu trữ các bản ghi log của mình bằng cơ sở dữ
liệu MySQL trong khi các máy chủ RedHat lưu các bản ghi log trong một tập tin
trên chính máy chủ. Sau đó Windows Server lưu trữ các bản ghi log trong các nhật
ký sự kiện trên máy chủ nội bộ. Bốn loại khác nhau của các nhật ký có thể yêu cầu
bốn phương pháp khác nhau để đẩy nhật ký về SIEM.
Đối với Cisco ASA và máy chủ Linux, người quản trị có thể có các thiết bị
nguồn gửi nhật ký thông qua syslog đến SIEM. Ta sẽ cần phải cấu hình truy cập
vào cơ sỡ dữ liệu MySQL để lấy các bản ghi Snort IDS. Cuối cùng ta sẽ kéo các sự
kiện của Windows Server. Trong ví dụ này ta đã sử dụng kết hợp 3 phương pháp
khác nhau để thu thập nhật ký từ các thiết bị. Ta có thể kết hợp các thiết bị sử dụng
để giảm thiểu các phương pháp thu thập nhật ký.
1.3.3. Phân tích và chuẩn hóa log

Hình 1-3: Thành phần phân tích, chuẩn hóa log trong SIEM
17


Vô số các bản ghi nhật ký được gửi từ các thiết bị và ứng dụng trong môi
trường đến SIEM, điều gì sẽ xảy ra tiếp theo? Tại thời điểm này, tất cả các bản ghi
đang ở định dạng gốc ban đầu, do đó người quản trị không thực hiện được bất cứ
điều gì ngoại trừ lưu nó vào một nơi nào đó. Nhưng để các bản ghi nhật ký hữu ích
trong SIEM người quản trị cần định dạng lại chúng sang một định dạng chuẩn duy
nhất. Việc thay đổi tất cả các loại bản ghi nhật ký khác nhau thành các bản ghi có
cùng một định dạng duy nhất được gọi là chuẩn hóa. Việc chuẩn hóa các bản ghi
nhật ký giúp cho SIEM có thể thống nhất các bản ghi nhật ký, nhanh chóng phân
tích cũng như tương quan sự kiện an ninh sau nay. Đó là bước thứ ba trong kiến
trúc của hệ thống quản lý sự kiện và giám sát an ninh mạng được hiển thị như
trong Hình 1-3.
Đối với các hệ thống khác nhau thì sẽ có các bản ghi nhật ký là khác nhau,
như một là Windows Event Log (Hình 1-4) và một là nhật ký đăng nhập trên ASA
(Hình 1-5), cả hai cho thấy một người dùng đăng nhập vào thiết bị. Cách đăng
nhập hệ thống là khác nhau nhưng hành động tương tự. Tuy nhiên ban đầu nhật ký
của chúng là hai định dạng khác nhau.

Hình 1-4: Log trên hệ thống windows

Hình 1-5: Log đăng nhập trên ASA syslog
18


Hình 1-6: Chuẩn hóa log
Có thể thấy, hai bản ghi từ các thiết bị khác nhau bây giờ đã có khả năng đọc
các định dạng tương tự. Đây là kết quả cuối cùng cho tất cả các bản ghi khác nhau
khi được đẩy lên SIEM. Chuẩn hóa các sự kiện chỉ làm cho đơn giản hóa việc đọc
các bản ghi và giúp người quản trị xem nó một cách dễ dàng hơn.
1.3.4. Kỹ thuật tương quan sự kiện

Hình 1-7: Thành phần tương quan sự kiện trong SIEM
Kỹ thuật tương quan sự kiện được biểu thị như Hình 1-7 nằm trong bước thứ
bốn của kiến trúc của SIEM. Các quy luật cho phép mở rộng việc chuẩn hóa các
bản ghi các sự kiện an ninh từ các nguồn khác nhau trong việc kích hoạt cảnh báo
trong SIEM. Cách viết các quy luật trong SIEM bắt đầu thường khá đơn giản,
nhưng có thể trở nên cực kỳ phức tạp. Người quản trị thường viết các quy tắc sử
dụng một biểu thức Boolean logic để xác định điều kiện cụ thể được đáp ứng và
kiểm tra xem có phù hợp trong các dữ liệu.

19


Hình 1-8: Quá trình đăng nhập tài khoản quản trị
Khi kích hoạt một thông báo tắt khi có bất kỳ ai đăng nhập vào hệ thống,
tương tự như Hình 1-8. Nếu ta có một loạt các máy chủ khác hệ điều hành trong
môi trường, ta sẽ phải tìm các yếu tố khác nhau trong các bản ghi và nó phụ thuộc
vào từng loại hệ điều hành. Đối với máy chủ Windows, cần tìm kiếm tài khoản
"Administrator” và trên máy chủ Linux cần tìm kiếm với tên đăng nhập "root" để
chỉ ra tài khoản đã đăng nhập vào hệ thống. Với SIEM, thay vì có nhiều quy tắc
kích hoạt cho từng loại khác nhau của thông tin đăng nhập quản trị, ta có thể viết
một luật duy nhất bằng cách sử dụng các hàm của SIEM để kích hoạt một quy tắc
dựa trên các giá trị.
Sự tương quan là một tập hợp các quy tắc. Tương quan sự kiện an ninh giúp
liên kết các sự kiện an ninh từ các nguồn khác nhau thành một sự kiện an ninh
chính xác. Tương quan các sự kiện an ninh được thực hiện nhằm đơn giản hóa các
thủ tục ứng phó sự cố cho cho hệ thống, bằng việc thể hiện một sự cố duy nhất
được liên hệ từ nhiều sự kiện an ninh đến từ các thiết bị nguồn khác nhau.

20


Hình 1-9: Sự kiện cơ bản trong SIEM
Nếu nhìn vào ví dụ trong Hình 1-9, nó cho thấy nhiều sự kiện an ninh đăng
nhập vào SIEM trong khoảng thời gian 10 giây. Nhìn vào điều này có thể nhìn thấy
sự thất bại đăng nhập và đăng nhập thành công từ nhiều địa chỉ đến từ một số địa
chỉ đích. Nếu nhìn kỹ, có thể thấy một địa chỉ nguồn duy nhất đăng nhập nhiều lần
vào một địa chỉ đích, và sau đó đột ngột thấy một đăng nhập thành công. Điều này
có thể là một cuộc tấn công brute-force tới máy chủ. Nhưng trừ khi người quản trị
có một trí nhớ rất tốt mới nhận ra điều đó. Thường là họ có thể đã quên các sự kiện
an ninh đầu tiên xảy ra.
Mở rộng theo ví dụ này và thay vì chỉ 10 sự kiện an ninh trong một khoảng
thời gian 10 giây mà là có 1000 sự kiện an ninh trong 10 giây. Hãy chọn ra những
sự kiện an ninh từ trong hệ thống có thể hiển thị một sự kiện an ninh nguy cơ nguy
hại là điều cực kỳ khó khăn. Người quản trị cần một cách để loại bỏ tất cả các
thông tin sự kiện an ninh không liên quan trong các bản ghi nhật ký và chỉ cần theo
dõi các thông tin sự kiện an ninh mà có thể chỉ ra một nguy hại qua nhiều sự kiện
an ninh.

21


Hình 1-10: Ví dụ về tương quan sự kiện
Nói về các sự kiện trong Hình 1-10, người quản trị sẽ cần phải viết một quy
tắc kích hoạt từ các sự kiện đã tạo nên các hoạt động đăng nhập/ đăng xuất. Diễn tả
cho quy tắc tương quan này có thế giống như đoạn mã trình bày bên dưới, tùy
thuộc vào hệ thống SIEM tổ chức của người quản trị sử dụng.
If [(failed logins >= 3) and then (Successful Login)] from the
same source within 20 seconds = Possible Brute Force Compromise

1.3.5. Lưu trữ log

Hình 1-11: Thành phần lưu trữ log trong SIEM

22


Để làm việc với khối lượng lớn các bản ghi khi đi vào SIEM, người quản trị
cần lưu trữ chúng để cho các mục đích duy trì và truy vấn lịch sử, nó nằm ở vị trí
thứ 5 trong kiến trúc của hệ thống SIEM được biểu thị như Hình 1-11 có ba cách
mà SIEM có thể lưu trữ các bản ghi của nó: Lưu trữ trong cơ sở dữ liệu, lưu trữ
trong tập tin văn bản hoặc trong một tập tin nhị phân.
Lưu trữ bằng hệ quản trị cơ sở dữ liệu
Lưu trữ các bản ghi nhật ký trong cơ sở dữ liệu là cách lưu trữ các bản ghi
nhật ký hay được dùng nhất trong SIEM. Cơ sở dữ liệu thường là một nền tảng cơ
sở dữ liệu chuẩn như Oracle, MySQL, Microsoft SQL hoặc một trong các ứng
dụng cơ sở dữ liệu lớn khác đang được sử dụng trong doanh nghiệp. Phương pháp
này cho phép khá dễ dàng tương tác với dữ liệu vì các truy vấn cơ sở dữ liệu là một
phần của ứng dụng cơ sở dữ liệu. Hiệu suất cũng khá tốt khi truy cập vào các bản
ghi nhật ký trong cơ sở dữ liệu, phụ thuộc vào phần cứng cơ sở dữ liệu đang chạy,
nhưng các ứng dụng cơ sở dữ liệu phải được tối ưu hóa để chạy với SIEM. Sử
dụng cơ sở dữ liệu là một giải pháp tốt cho việc lưu trữ nhật ký, nhưng một số vấn
đề có thể phát sinh tùy thuộc vào cách SIEM triển khai cơ sở dữ liệu tương ứng với
nó.
Lưu trữ dưới dạng tập tin văn bản
Một tập tin văn bản chuẩn để lưu trữ các thông tin trong một định dạng có
thể đọc được. Các thông tin cần phải có một ranh giới phân cách có thể là dấu
phẩy, tab hoặc một số kí hiệu khác. Vì vậy thông tin có thể được phân tích và đọc
đúng. Phương pháp lưu trữ này không được sử dụng thường xuyên. Hành động viết
và đọc từ tập tin văn bản dường như chậm hơn so với các phương pháp khác. Thật
sự không có nhiều lợi ích khi sử dụng một tập tin văn bản để lưu trữ dữ liệu, nhưng
nó dễ dàng cho các ứng dụng bên ngoài để truy cập dữ liệu này. Nếu các bản ghi
nhật ký được lưu trữ trong một tập tin văn bản, thì sẽ không khó khăn khi viết một
mã riêng để mở các tập tin và lấy thông tin để cung cấp cho cho một ứng dụng
khác. Một lợi ích khác là khi lưu dưới dạng tập tin văn bản, con người có thể đọc
được và dễ dàng để nhà phân tích tìm kiếm và hiểu nó. Người quản trị có thể mở
các tập tin và sử dụng lệnh “grep” hoặc một số công cụ tìm kiếm tập tin văn bản
khác để tìm ra thông tin tìm kiếm mà không cần mở một giao diện điều khiển.
Lưu trữ dưới dạng tập tin nhị phân

23


Định dạng tập tin nhị phân là sử dụng một tập tin với định dạng tùy chỉnh để
lưu trữ thông tin duới dạng nhị phân. SIEM biết làm thế nào để đọc và ghi vào
những tập tin này.
1.3.6. Giám sát

Hình 1-12: Thành phần giám sát trong SIEM
Khi đã có tất cả các bản ghi nhật ký trong SIEM và các sự kiện an ninh đã
được xử lý, điều cần làm tiếp theo như thế nào để sử dụng hữu ích với các thông
tin từ các bản ghi nhật ký khác nhau. SIEM có một giao diện điều khiển dựa trên
web hoặc ứng dụng tải về máy trạm. Cả hai giao diện sẽ cho phép tương tác với
các dữ liệu được lưu trữ trong SIEM. Giao diện điều khiển này cũng được sử dụng
để quản lý, giám sát SIEM. Quá trình giám sát sự kiện nằm ở vị trí thứ 6 trong kiến
trúc của SIEM được biểu thị như Hình 1-12.
Giao diện ứng dụng này cho phép xử lý sự cố hoặc cung cấp cái nhìn tổng
quan về môi trường của người quản trị. Bình thường khi muốn xem các thông tin
hoặc xử lý sự cố các kỹ sư sẽ phải đi đến các thiết bị khác nhau và xem các bản ghi
nhật ký trong định dạng gốc của nó. Nhưng với SIEM sẽ đơn giản và tiện lợi hơn
nhiều. Nó có thể xử lý tại một nơi duy nhất, phân tích tất cả các bản ghi nhật ký
khác nhau dễ dàng bởi vì SIEM đã chuẩn hóa các thông tin dữ liệu đó. Trong quản
lý và giám sát giao diện điều khiển của SIEM, người quản trị có thể phát triển nội
dung và quy định được sử dụng để tìm ra thông tin từ các sự kiện an ninh được xử
lý. Giao diện điều khiển này là một cách để giao tiếp với các dữ liệu được lưu trữ
trong SIEM.
1.4. Kết luận chương 1
Phần đầu của chương đã trình bày khái quát về một hệ thống giám sát an
ninh mạng nói chung (NSM). Từ những nhu cầu cần thiết của một hệ thống giám
sát an ninh mạng đến quy trình chung của hệ thống. Nhưng các hệ thống giám sát
nói chung còn khá rời rạc chưa có sự liên kết thống nhất với nhau. Việc áp dụng
24


một hệ thống giám sát tập trung SIEM là nhu cầu cấp thiết hiện nay. Mô hình giải
pháp của SIEM gồm 03 thành phần chính: thu thập nhật ký ATTT; phân tích và lưu
trữ; quản trị tập trung. Ngoài ra, nó còn có các thành phần khác như: thành phần
cảnh báo, hệ thống DashBoard theo dõi thông tin, các báo cáo phong phú đáp ứng
các tiêu chuẩn quản lý, thành phần lưu trữ có khả năng lưu trữ dữ liệu lâu dài. Có
thể thấy các hoạt động của SIEM khá là phức tạp gồm các hoạt động chuyên biệt
cụ thể và chúng cần hoạt động cùng nhau đúng cách. Trong chương tiếp theo sẽ
trình bày việc triển khai và áp dụng SIEM sử dụng Splunk.

25


Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×