BÀI BÁO CÁO TIỂU LUẬN CHUYÊN NGÀNH ĐỀ TÀI TÌM HIỂU SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM) VÀ THỰC NGHIỆM TRÊN MÃ NGUỒN MỞ

TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP. HỒ CHÍ MINH KHOA CÔNG NGHỆ THÔNG TIN BÀI BÁO CÁO TIỂU LUẬN CHUYÊN NGÀNH ĐỀ TÀI: TÌM HIỂU SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM) VÀ THỰC NGHIỆM TRÊN MÃ NGUỒN MỞ Giảng viên hướng dẫn : ThS. Nguyễn Thị Thanh Vân Sinh viên thực hiện : Phan Văn Hưng – 15110224 Trương Trọng Ân -16110280 TP. HỒ CHÍ MINH – 10/2019 1 Mục Lục PHẦN MỞ ĐẦU...........................................................................................................4 1. Lý do chọn đề tài................................................................................................ 4 2. Mục tiêu đề tài.................................................................................................... 5 3. Đối tượng của đề tài........................................................................................... 5 4. Nội dung của đề tài............................................................................................ 5 5. Ý nghĩa của đề tài............................................................................................... 5 PHẦN NỘI DUNG.......................................................................................................7 Chương 1: HỆ THỐNG SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM).............................................................................................7 1.1. Tổng quan về SIEM........................................................................................7 1.2. Các tính năng của hệ thống SIEM................................................................16 1.2.1. Thu thập dữ liệu, quản lí tập trung, tương quan sự kiện an ninh...............16 1.2.2. Báo cáo, cảnh báo tới quản trị viên hệ thống, hiển thị tình trạng hệ thống17 1.2.3. Kiểm soát truy cập, giám sát, đảm bảo an toàn hệ thống..........................17 1.2.4. Cung cấp các giải pháp xử lý sự cố...........................................................18 1.3. Lợi ích, ưu điểm của SIEM..........................................................................19 1.4. Các thành phần của hệ thống SIEM..............................................................20 1.4.1. Thiết bị nguồn và các dịch vụ...................................................................21 1.4.2. Các dạng bản ghi log.................................................................................23 1.5. Cơ chế hoạt động của hệ thống SIEM..........................................................24 1.5.1. 1.5.2. 1.5.3. 1.5.4. Thu thập thông tin từ các thiết bị..............................................................24 Phân tích, chuẩn hóa bản ghi log, tương quan các sự kiện an ninh...........27 Theo dõi và giám sát hệ thống..................................................................29 Báo cáo, cảnh báo, lưu trữ dữ liệu............................................................30 SIEM TOOLS...........................................................................................32 Chương 2: 2.1. Splunk Enterprise.........................................................................................32 2 2.1.1. Cơ chế Splunk Enterprise thu thập thông tin.............................................33 2.1.2. Splunk Enterprise giám sát hệ thống.........................................................35 2.1.3. Splunk Enterprise lưu trữ dữ liệu..............................................................35 2.1.4. Splunk Enterprise ứng phó với sự cố........................................................35 2.1.5 Triển khai Splunk Enterprise.......................................................................35 2.1.6 Mở rộng....................................................................................................36 2.2. AlienVault OSSIM.......................................................................................37 2.2.1. 2.2.2. 2.2.3. 2.2.4. Phương pháp thu thập thông tin của OSSIM.............................................38 Tương quan sự kiện an ninh trong OSSIM...............................................38 Các hành động ứng phó sự cố an ninh trong OSSIM................................39 Một số công cụ mã nguồn mở tích hợp trong OSSIM...............................40 THỰC NGHIỆM......................................................................................42 Chương 3: 3.1. Mô tả............................................................................................................42 3.2 Kịch bản tấn công..............................................................................................42 3 PHẦN MỞ ĐẦU 1. Lý do chọn đề tài Ngày nay, sự bùng nổ và phát triển của công nghệ thông tin và mạng internet trên toàn thế giới thúc đẩy sự tăng trưởng mọi mặt của nền kinh tế, công nghệ và đời sống...Đi kèm với sự phát triển nhanh chóng ấy là những nguy cơ như mất an toàn thông tin, dữ liệu, với yêu cầu bảo mật những dữ liệu, thông tin quan trọng thì vấn đề đảm bảo an ninh mạng là vấn đề mà các tổ chức, cơ quan, doanh ngiệp luôn đặt lên hàng đầu. Đó cũng là lý do mà hệ thống giám sát an toàn mạng và quản lí sự kiện ra đời (SIEM) ra đời, nhằm thu thập thông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối và lưu trữ dữ liệu một cách tập trung. Theo đó, các sản phẩm SIEM cho phép phân tích tập trung và báo cáo về các sự kiện an toàn mạng của hệ thống. Kết quả phân tích này có thể được dùng để phát hiện ra các cuộc tấn công mà không thể phát hiện được theo phương pháp thông thường. Một số sản phẩm SIEM còn có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện được. Sản phẩm SIEM đã xuất hiện nhiều năm nay, nhưng tiền thân của sản phẩm này nhắm đến các tổ chức lớn với khả năng và đội ngũ phân tích an ninh chuyên biệt. SIEM đang dần trở nên nổi bật, phù hợp cả với nhu cầu của các tổ chức vừa và nhỏ. Kiến trúc SIEM ngày nay bao gồm phầm mềm SIEM cài đặt trên một máy chủ cục bộ, một phần cứng cục bộ hoặc một thiết bị ảo dành riêng cho SIEM, kèm theo đó là một dịch vụ đám mây SIEM. SIEM là một giải pháp hoàn chính, đầy đủ cho phép các tổ chức thực hiện việc giám sát các sự kiện an toàn thông tin cho một hệ thống, đảm bảo an ninh thông tin và quản lí các sự kiện an ninh của hệ thống một cách khoa học và hợp lý, giúp quản trị viên có cái nhìn tổng quan và chính xác về tình trạng của hệ thống, ngoài ra còn giúp quản trị viên đưa ra phương án xử lí thích hợp khi xảy sự cố. 4 Với những lợi ích thiết thực của mình, hệ thống SIEM ngày càng phát triển và trở nên phổ biến, vì vậy với vai trò là những kỹ sư công nghệ thông tin tương lai, chúng em thực hiện đề tài này với mong mỏi phát triển tri thức, tìm hiểu và thực nghiệm hệ thống này nhằm phục vụ công việc sau này và phát triển hơn về sau. 2. Mục tiêu đề tài Tìm hiểu về cơ chế hoạt động, tính năng và ứng dụng của hệ thống giám sát an toàn mạng và quản lí sự kiện SIEM Thực nghiệm triển khai hệ thống SIEM trên mã nguồn mở với mô hình mạng nhỏ, thực hiện một số tính năng nổi biệt của SIEM 3. Đối tượng của đề tài Hệ thống giám sát an toàn mạng và quản lí sự kiện security information and event management (SIEM).

Lýdochọn đềtài

Ngày nay, sự bùng nổ và phát triển của công nghệ thông tin và mạng internettrêntoànthếgiớithúcđẩysựtăngtrưởngmọimặtcủanềnkinhtế,côngn ghệvà đời sống Đi kèm với sự phát triển nhanh chóng ấy là những nguy cơ nhưmất an toàn thông tin, dữ liệu, với yêu cầu bảo mật những dữ liệu, thông tinquan trọng thì vấn đề đảm bảo an ninh mạng là vấn đề mà các tổ chức, cơ quan,doanh ngiệp luôn đặt lên hàng đầu Đó cũng là lý do mà hệ thống giám sát antoàn mạng và quản lí sự kiện ra đời (SIEM) ra đời, nhằm thu thập thông tin nhậtký các sự kiện an ninh từ các thiết bị đầu cuối và lưu trữ dữ liệu một cách tậptrung Theo đó, các sản phẩm SIEM cho phép phân tích tập trung và báo cáo vềcác sự kiện an toàn mạng của hệ thống Kết quả phân tích này có thể được dùngđể phát hiện ra các cuộc tấn công mà không thể phát hiện được theo phươngphápt h ô n g t h ư ờ n g M ộ t s ố s ả n p h ẩ m S I E M c ò n c ó k h ả n ă n g n g ă n c h ặ n c á c cuộc tấncôngmàchúngphát hiệnđược.

Sản phẩm SIEM đã xuất hiện nhiều năm nay, nhưng tiền thân của sản phẩm nàynhắm đến các tổ chức lớn với khả năng và đội ngũ phân tích an ninh chuyênbiệt SIEM đang dần trở nên nổi bật, phù hợp cả với nhu cầu củac á c t ổ c h ứ c vừa và nhỏ Kiến trúc SIEM ngày nay bao gồm phầm mềm SIEM cài đặt trênmột máy chủ cục bộ, một phần cứng cục bộ hoặc một thiết bị ảo dành riêng choSIEM, kèm theo đó làmộtdịchvụ đám mâySIEM.

SIEM là một giải pháp hoàn chính, đầy đủ cho phép các tổ chức thực hiện việcgiám sát các sự kiện an toàn thông tin cho một hệ thống, đảm bảo an ninh thôngtin và quản lí các sự kiện an ninh của hệ thống một cách khoa học và hợp lý,giúp quản trị viên có cái nhìn tổng quan và chính xác về tình trạng của hệ thống,ngoàiracòngiúpquảntrịviênđưaraphươngánxửlíthíchhợpkhixảysựcố.

Với những lợi ích thiết thực của mình, hệ thống SIEM ngày càng phát triển vàtrởnênphổbiến,vìvậyvớivaitròlànhữngkỹsưcôngnghệthôngtintươngla i, chúng em thực hiện đề tài này với mong mỏi phát triển tri thức, tìm hiểu vàthực nghiệm hệ thống này nhằm phục vụ công việc sau này và phát triển hơn vềsau.

Mụctiêuđề tài

Tìmhiểuvềcơchếhoạtđộng,tínhnăngvàứngdụngcủahệthốnggiámsátantoànmạng vàquản lí sự kiệnSIEM

ThựcnghiệmtriểnkhaihệthốngSIEMtrênmãnguồnmởvớimô hìnhmạngnh ỏ,thựchiệnmột sốtính năng nổi biệtcủaSIEM

Đốitượngcủađề tài

Nộidungcủađềtài

Ýnghĩacủa đềtài

Việc thực hiện đề tài giúp người thực hiện có thêm tri thức về hệ thống giám sátan toàn mạng và quản lí sự kiện an ninh mà trong thời buổi công nghệ thông tinvà mạng internet ngày càng phát triển mạnh mẽ, đi kèm với đó là những nguycơ, rủi rovề vấn đềbảo mậtthôngtin, antoàn mạng cụcbộ và toàncầu Đểmột phầnnàođógiảiquyếtnhữngvấnđềtrên,hệthốngSIEMđượcrađờivàngày cànghoànthiệngiúpquảntrịviênhệthốngmạngdễdànghơntrongviệcquảnlí các sự kiện an ninh diễn ra trong hệ thống, giám sát an toàn hệ thống mạngmột cách khoa học và hiệu quả… Đề tài sẽ mang tới cho người đọc, ngườinghiêncứumộtnguồn trithứckh oa họcvềv ấn đềcủ ađ ề tài,lànềntản gđ ểpháttriểnđề tài về sau.

THỐNG SECURITY INFORMATION AND EVENTMANAGEMENT(SIEM)

Tổngquanvề SIEM

SIEM (Security Infomation and Event Management - Hệ thống bảo mật thôngtin và quản lý sự kiện an ninh) là hệ thống các phần mềm và dịch vụ được kếthợptừSIM(Securityinformationmanagement)vàSEM(Securityeventmanagem ent) SIEM cung cấp dịch vụ phân tích thời gian thực và cảnh báo bảomậtđượctạotừ dữ liệuthu thậptừ cácứngdụng và phần cứng mạng.

SIEM thu thập các dữ liệu về các sự kiện an ninh từ nhiều thiết bị khácnhau trong hệ thống để phân tích, tương quan và đưa ra cảnh báo bảo mật chongười quản trị về những nguy cơ đang xảy ra với hệ thống SIEM còn cung cấpgiải pháp ứng phó với các sự cố an ninh mạng, chuẩn hóa, lưu trữ và quản lý dữliệuanninh vàdữ liệuđăngnhập.

 Quản lý,giám sátđăngnhập và xácthực

 Pháthiệnlỗhổng,nguycơvà cungcấpgiảipháp xửlý,khắcphục sự cố

SIEM là một giải pháp hoàn chính, đầy đủ cho phép các tổ chức thực hiện việcgiámsátcácsự kiệnantoànthông tin chomột hệ thốngmạng.

SIEM có thể được so sánh với một máy phức tạp trong đó SIEM có một sốbộ phận chuyểnđộng, mỗi bộ phận thực hiện một công việc cụ thể, cầnphảihoạtđộngđúngvớinhaunếukhôngtoànbộhệthốngsẽthấtbại.Cócá cbiếnthể trên SIEM tiêu chuẩn với các bộ phận cụ thể bổ sung nhưng một SIEM đơngiản cóthểđược chia thành sáuphần riêngbiệt.Nhữngmảnh riêng lẻ nàyl à thiết bị nguồn, bộ sưu tập nhật ký,phân tích cú pháp / chuẩn hóa nhật ký, côngcụ quy tắc, lưu trữ nhật ký và giám sát sự kiện và thu hồi Mỗi bộ phận này cóthể hoạt động độc lập với các bộ phận khác, nhưng không có tất cả chúng hoạtđộngcùngnhau,toàn bộ SIEMsẽkhônghoạt động đúng.

Hầu hết mọi người không nhận ra khối lượng lớn các bản ghi được tạo ramỗingàythôngquahoạtđộnghàngngàycủahọ.Họ tạoranhật kýtừvôs ốthiết bị khác nhau: người dùng máy tính, cùng với các bộ định tuyến, chuyểnmạch và tường lửa khác nhau mà người dùng sẽ phải truy cập để truy cập trangweb và sau đó chính trang web chứa tất cả các hộp thư đến email của ngườidùng, tất cả đều tạo ra các bản ghi hiển thị chính xác những gì người dùng đãlàmvànơingườidùngđãđi.Tùythuộcvàonhữnggìbạnđangtìmkiếm,mộtsố thôngtinnàykhôngphảilàrấthữuích,vàmộtsốthôngtinrấthữuích.Phần đầu tiên của SIEM là thiết bị nguồn cung cấp thông tin vào SIEM Thiết bịnguồn là thiết bị ứng dụng hoặc một số loại dữ liệu khác mà bạn muốn lấy nhậtký từ đó sau đó bạn lưu trữ và xử lý trong SIEM của bạn Thiết bị nguồn có thểlà một thiết bị thực tế trên mạng của bạn, chẳng hạn như bộ định tuyến, bộchuyển mạch hoặc một số loại máy chủ, nhưng nó cũng có thể là nhật ký từ mộtứngdụnghoặcbấtkỳdữliệunàokhácmàbạncóthểcóđược,thuđược.Thiếtbị nguồn không phải là một phần thực tế của SIEM, khi nhìn vào SIEM như mộtứng dụng bạn mua, nhưng nó là một phần quan trọng của quy trình SIEM tổngthể Tất cả các hệ thống trên mạng của bạn có mặt để xử lý một số loại thông tinchobạnvàngườidùngcủabạn.Cácmáychủdịchvụweb,emailvàthưmụcc ủa bạn đều xử lý thông tin được tạo bởi người dùng của bạn Không có thiết bịnguồn và thông tin mà thiết bị tạo ra, SIEM của bạn chỉ là một ứng dụng đẹp màkhông cógì.

LogCollection:Bướctiếptheotrongluồngnhậtkýcủathiếtbịhoặcứngdụnglà bằng cách nào đó có được tất cả những điều này nhật ký khác nhau từ cácthiết bị gốc của họ đến SIEM Các cơ chế thực tế như thế nào nhật ký được truyxuất khác nhau tùy thuộc vào SIEM cụ thể mà bạn đang sử dụng, nhưng tại đócơ bản nhất, các quy trình thu thập nhật ký có thể được chia thành hai cơ bảnphương thức thu thập: Thiết bị nguồn gửi nhật ký của nó đến SIEM, đó là đượcgọi là phương thức đẩy hoặc SIEM tiếp cận và lấy các bản ghi từ nguồn thiết bị,được gọi là phương pháp kéo Mỗi phương pháp đều có mặt tích cực và tiêu cựckhi được sử dụng trong môi trường của bạn, nhưng cả hai đều thành công trongviệc cóđượcdữ liệutừ thiếtbị nguồn vàoSIEM.

Parsing/Normalization of Log: Giờ đây, nhật ký từ vô số thiết bị và ứng dụngtrong môi trường của bạn đang được chuyển tiếp đến SIEM, điều gì xảy ra tiếptheo? Tại thời điểm này, tất cả các bản ghi vẫn còn ở định dạng gốc của chúngđể bạnkhôngthựcsự đạt được bất cứthứgì,ngoàitậptrung kho lưutrữ nhật ký của bạn Điều gì cần xảy ra để làm cho các bản ghi này hữu ích trong SIEM làđịnh dạng lại chúng thành một định dạng tiêu chuẩn duy nhất có thể sử dụngđược bởi SIEM Các hành động thay đổi tất cả các loại nhật ký khác nhau thànhmột định dạng được gọi là chuẩn hóa Mỗi loại SIEM sẽ xử lý hành động chuẩnhóa theo các cách khác nhau, nhưng kết thúc kết quả là có tất cả các bản ghi, bấtkể loại thiết bị hoặc nhà sản xuất, nhìn tương tự trong SIEM.Cách các hệ thốngkhác nhau đăng nhập tương tự hành động phụ thuộc vào nhà cung cấp Như đãnóitrướcđây,bạncầnhiểucácđịnhdạngvàchitiếtcótrongsựkiệnnày.Đâylànơi ghi nhậtký SIEM bình thườnghóathựcsựcóích.

Rule Engine/Correlation Engine:Công cụ quy tắc mở rộng khi chuẩn hóa cácsự kiện từ các nguồn khác nhau để kích hoạt cảnh báo trong SIEM do các điềukiện cụ thể trong các nhật ký này Các phương pháp viết các quy tắc SIEMthường bắt đầu khá đơn giản, nhưng có thể trở thành vô cùng phức tạp. Bạnthường viết các quy tắc bằng cách sử dụng một dạng logic Boolean để xác địnhxemcácđiềukiệncụthểcóđượcđápứnghaykhôngvàkiểmtrasựphùhợ pcủamẫutrongtrườngdữliệu.Bạnmuốncómộttrìnhkíchhoạtcảnhbáocủa bấtkỳaiđăngnhậpvàomáychủvớithôngtinxácthựccấpquảntrịviêncụcbộ, như trong Hình 2 Nếu bạn có nhiều của các hệ điều hành máy chủ khácnhau trong môi trường của bạn, bạn sẽ cần tìm kiếm các hệ điều hành khác nhaukích hoạt trong nhật ký phụ thuộc vào hệ điều hành báo hiệu khi tài khoản quảntrị viên cục bộ đã được sử dụng để đăng nhập cục bộ Đối với Windows Server,bạn sẽ muốn tìm kiếm tên người dùng quản trị viên tên lửa và trên máy chủLinux, bạn sẽ tìm tên người dùng root để chỉ ra rằng một quản trị viên cục bộđãđăngnhậpvàomáychủ.VớiSIEM,thay vìcónhiềuquytắckíchhoạtc hocácl o ạ i đ ă n g n h ậ p q u ả n t r ị v i ê n k h á c n h a u , b ạ n c ó t h ể v i ế t m ộ t q u y t ắ c b ằ n g cách sửdụnglogicbêntrongSIEMđểkích hoạtquy tắcdựatrênnhiềubiến.

Công cụ tương quan:Công cụ tương quan là một tập hợp con của công cụ quytắc Công cụ tương quan là để khớp nhiều sự kiện tiêu chuẩn từ các nguồn khácnhau thành một mối tương quan duy nhất Sự tương quan của các sự kiện tiêuchuẩn thành một sự kiện tương quan được thực hiện để đơn giản hóa các quytrình ứng phó sự cố cho môi trường của bạn, bằng cách hiển thị một sự kiệnđượckíchhoạttừnhiềusựkin đếntừ cácthiết bịnguồn khác nhau.

Bạn cần một cách để loại bỏ tất cả thông tin không liên quan trong nhật ký củabạn và chỉ theo dõi các sự kiện cụ thể có thể chỉ ra một sự kiện độc hại lan rộngtrên nhiều sự kiện Đối với sự thỏa hiệp về sức mạnh vũ phu có thể, bạn sẽ cầnphải khớp một cách hợp lý một số sự kiện đăng nhập thất bại với cùng một địachỉ nguồn đến cùng một đích địa chỉ và sau đó đăng nhập thành công vào máychủ đích từ nguồn ban đầu trên một khung thời gian cụ thể Vì vậy, thay vì phảitìm kiếm nhật ký của bạn để tìm kiếm các sự kiện riêng lẻ và mối quan hệ giữacác sự kiện đó, bạn có thể sử dụng logic dựng sẵn SIEM để tập hợp các sự kiệnmạngcủabạn thành một sự kiệntươngquan.

Log Storage:Để làm việc với khối lượng nhật ký đi vào SIEM, bạn cần mộtcáchđểlưutrữchúngchomụcđíchduytrìvàtruyvấnlịchsử.Thôngthường có ba cách SIEM có thể lưu trữ nhật ký của nó: trong cơ sở dữ liệu, tệp văn bảnphẳnghoặctệpnhị phân.

Cơ sở dữ liệu:Lưu trữ nhật ký trong cơ sở dữ liệu là cách mà hầu hết các

SIEMlưu trữ nhật ký của họ Cơ sở dữ liệu thường là một nền tảng cơ sở dữ liệu tiêuchuẩn như Oracle, MySQL, Microsoft SQL hoặc các ứng dụng cơ sở dữ liệu lớnkhác đang được sử dụng trong doanh nghiệp Phương pháp này cho phép tươngtácvàtruyxuấtdữliệuđượclưutrữkhádễdàngvìcơsởdữliệucáccuộcgọilàm ột phần của ứng dụng cơsởdữ liệu.Hiệusuấtcũngkhátốt.

Khi truy cập nhật ký trong cơ sở dữ liệu, tùy thuộc vào phần cứng của cơ sở dữliệu đang chạy, nhưng ứng dụng cơ sở dữ liệu nên được tối ưu hóa để chạy vớiSIEM.Sử dụng cơ sở dữ liệu là một giải pháp tốt để lưu trữ nhật ký, nhưng mộtsố vấn đề có thể phát sinh tùy thuộc vào cách SIEM thực hiện cơ sở dữ liệu củanó Nếu SIEM của bạn là một thiết bị ,thông thường bạn sẽ không có nhiềutươngtácvớicơsởdữliệu cơbản,vì vậycungcấpvàbảotrìthườngkh ôngphải là một vấn đề Nhưng nếu SIEM đang chạy trên phần cứng của riêng bạn,bạn có thể cần phải tự quản trị cơ sở dữ liệu Cái này có thể trở nên thách thứcnếubạnkhôngcóDBAđủđiềukiện trong môi trườngcủamình.

Tệp văn bản:Một tệp văn bản phẳng chỉ là một tệp văn bản tiêu chuẩn lưu trữthông tin ở định dạng khá dễ đọc Tệp cần phải là một số loại tệp được phânđịnh, có thể làdấu phẩy, tab hoặcmột sốký tự khác,v ì v ậ y t h ô n g t i n c ó t h ể được phântíchcú pháp và đọc đúng Bộl ư u t r ữ n à y p h ư ơ n g p h á p k h ô n g đ ư ợ c sử dụng rất thường xuyên, vì nó không được thiết kế để mở rộng ra các môitrường lớn.Vấn đề khác bạn sẽ gặp phải là hiệu suất Hành động viết và đọctừtệp văn bản sẽ chậm hơn các phương thức khác.Bạn không thực sự nhận đượcnhiều tích cực khi sử dụng tệp văn bản phẳng để lưu trữ dữ liệu của bạn,nhưngnó giúp các ứng dụng bên ngoài dễ dàng truy cập dữ liệu này Nếu nhật ký củabạnlàđượclưutrữtrongmộttệpvănbản,khôngkhóđểviếtmãcủariêngbạn đểmởtệpvàtruyxuấtLưutrữnhậtkýBộsưutậpnhậtkýthiếtbịnguồnCôngcụ quy tắcTương quanĐộng cơLưu trữ nhật ký phân tích cú phápBình thườnghóaGiám sát Giai đoạn cuối cùng trong giải phẫu của SIEM là phương pháptương tác với cácbản ghiđược lưu trữ trong SIEM của bạn.K h i b ạ n c ó t ấ t c ả các bản ghi trong SIEM và các sự kiện đã đượcđã xử lý, bạn cần một cách đểlàm một cái gì đó hữu ích với thông tin khác nếunhật ký chỉ trong SIEM chomục đích lưu trữ Một SIEM sẽ có bảng điều khiển giao diện,sẽ dựa trên webhoặc dựatrênứngdụng và đượctảitrênmáytrạm củabạn.

Cả hai giao diện sẽ cho phép bạn tương tác với dữ liệu được lưu trữ trong SIEMcủa bạn Điều nàybảng điều khiển, có thể dựa trên web hoặc dựa trên ứng dụng,cũng sẽ được sử dụng để quản lý SIEM của bạn.Giao diện này vào ứng dụngSIEM thực tế sẽ cho phép xử lý sự cố của bạn hoặckỹ sư hệ thống một cái nhìnđộc đáo vào môi trường của bạn Thông thường, để xemthông tin mà SIEM tậphợp, xử lý sự cố hoặc kỹ sư sẽ phải truy cậpcác thiết bị khác nhau và xem nhậtký ở định dạng gốc của chúng SIEM giúp xemvà phân tích tất cả các nhật kýkhác nhau này dễ dàng hơn nhiều vì SIEM bình thường hóa dữ liệu.Trong bảngđiều khiển giám sát và quản lý SIEM, bạn sẽ có thể phát triểnnội dung và quytắc sẽ được sử dụng để lấy thông tin từ các sự kiệnxử lý Bảng điều khiển này sẽlà cách chính để bạn giao tiếp với dữ liệuđược lưu trữ trong SIEM của bạn Hãynghĩ về nó như giao diện vào cơ sở dữ liệu, nơi bạn có thể sử dụngNgôn ngữ nộibộ SIEMiến để truy vấn dữ liệu được lưu trữ ở đó.thông tin sẽ được sử dụngtrong một ứng dụng khác Một lợi ích khác là từ văn bảntập tin ở dạng người cóthể đọc được, nó giúp người phân tích dễ dàng tìm kiếm thông quatập tin Bạncó thể mở tệp và sử dụng GREP hoặc một số công cụ tìm kiếm tệp văn bản khácđể lấy ra thông tin bạn đang tìm kiếm mà không cần mở bảng điều khiển quảnlý.

Tập tin nhị phân:Định dạng tệp nhị phân là một tệp sử dụng định dạng tùychỉnh để lưu trữ thôngtin nhị phân chỉđược sử dụngbởi SIEM cụthể đểlưu trữ thôngt i n S I E M l à ứ n g d ụ n g d u y n h ấ t b i ế t c á c h đ ọ c v à g h i v à o t ậ p t i n đ ộ c quyềncaonày.

CáctínhnăngcủahệthốngSIEM

SIEM thu thập và quản lý các bản ghi nhật ký (log), bản ghi sự kiện an ninh từcác thiết bị trong hệ thống, chuẩn hóa chúng về một dạng nhất định và lưu trữchúngtrong cơ sởdữ liệutậptrung, sauđó sẽ thực hiệnthốngkê,phân tích, báo cáo để tạo ra một báo cáo duy nhất cho thấy sự tương quan giữa các sự kiện anninh của các thiết bị đánh chỉ mục dữ liệu giúp cho việc tìm kiếm dữ liệu saunày dễdàng hơn.

SIEM đưa dữ liệu thu thập được vào bộ nhớ và lưu trữ một cách hợp lý dựa trênsự phân loại chúng theo nhiều tiêu chí về mức độ quan trọng cũng như nội dungcủa filelog, dạng filelog, nguồn filelog …

SIEM so sánh, phân tích, liên kết các bản ghi sự kiện an ninh để đưa ra kết luậnvề tình trạng và nguy cơ của hệ thống, thể hiện qua các dạng báo cáo, biểu đồnhằmcung cấpchongười quảntrị mộtcáinhìn tổngquanvàchính xác.

1.2.2 Báo cáo, cảnh báo tới quản trị viên hệ thống, hiển thị tình trạnghệthống

SIEM cung cấp đa dạng các loại báo cáo, hỗ trợ sẵn các mẫu báo cáo phù hợpvới các chuẩn quốc tế như Health Insurance Portability and Accountability Act(HIPAA),PaymentCardIndustryDataSecurityStandard(PCIDSS)vàSarbanes- Oxley Act (SOX) Nhờ SIEM, một tổ chức có thể tiết kiệm đáng kểthờigian,nguồnlựcđểđạt đượcđủcácyềucầuvề báocáoanninh định kỳ.

SIEM cung cấp nhiều dạng cảnh báo tới quản trị viên qua nhiều phương tiện,hình thức như qua email, tin nhắn sms, cuộc gọi, … cùng với các hoạt động ứngphóvới sựkiệndiễnra.

Các báo cáo, cảnh báo được định dạng theo thời gian thực, hỗ trợ người quản trịkịp thời nhìn nhận các vấn đề của hệ thống Kịp thời theo dõi và có biện phápphòngchống,xửlí,giảmthiểuthiệthạichohệthống,đảmbảotoànvẹndữliệu.

SIEM cung cấp tương tác qua giao diện web trực quan, thể hiện tình trạng hệthốngqua nhiềuhình thứcnhư bảng, biểuđồ, sơđồ, …

SIEM dựa trên phân tích các bản ghi sự kiện an ninh, bản ghi log để giám sáttoàn bộ các thiết bị đầu cuối, các thiết bị mạng, máy chủ, ứng dụng, các thiết bịbảo mật mạng, phát hiện sự cố, nguy cơ đối với hệ thống SIEM cung cấp việcquản lý cũng như đánh giá tài sản, các thiết bị Bên cạnh là việc dò quét lỗ hổngvàcậpnhật cácbảnvá.

Nhiều hệ thống SIEM có thể theo dõi các thiết bị như PC, server, Firewall. Mộtsố hệ thống SIEM thậm chí có thể quản lý an ninh cho thiết bị đầu cuối, có sựđiều chỉnh và hoàn thiện hơn đối với thiết bị an ninh đó trên hệ thống như cấuhình Firewall, cập nhật và theo dõi Anti Virus, chống spyware, chống spamemail.

SIEM có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện khi cáccuộc tấn công đang diễn ra SIEM không tự mình trực tiếp ngăn chặn các cuộctấn công, thay vào đó nó kết nối vào hệ thống an ninh khác như tường lửa vàchuyển chúng đến phần cấu hình để ngăn chặn hành vi độc hại Điều này chophép SIEM ngăn chặn các cuộc tấn công không nhận biết được bởi các thànhphần an ninh khác.

SIEM còn có khả năng kiểm soát truy cập nội bộ và từ bên ngoài, giám sát truycập củangười dùng trong hệ thống.

Người quản trị có thể cấu hình cho SIEM thực hiện các hoạt động xử lý, giảmthiểuthiệthạigâyrabởisựcốdựatrênnhữngquytắc,bộlọcvàdữliệut huthậpđượctừ cácthiết bị.

Bằng cách thu thập sự kiện của toàn tổ chức, SIEM có thể thấy được nhiều phầnkhác nhau của các cuộc tấn công thông qua nhiều thiết bị và sau đó tái cấu trúclại chuỗi sự kiện và xác định cuộc tấn công ban đầu là gì và nó đã thành cônghaychưa.Nóitheocáchkhác,trongkhimộtgiảiphápngănchặnxâmnhậpIPS cóthểthấyđượcmộtphầncủamộtcuộctấncôngvàhệđiềuhànhcủamáychủ mụctiêucũngchothấyđượcmộtphầnkháccủacuộctấncôngđó,mộtSIEMcó thể kiểm tra dữ liệu nhật ký của tất cả sự kiện này và xác định máy chủ mụctiêuđ ó đ ã b ị n h i ễ m m ã đ ộ c , h a y t ấ n c ô n g t h à n h c ô n g h a y c h ư a , t ừ đ ó c ó t h ể thựchiệ ncáchlichúngramộtmạng riêngvàxửlí cuộctấn công.

SIEMcòngiatăngđángkểhiệuquảviệc xửlýsựcố,tiếtkiệmđángkểthờigi an và nguồn lực đối cho các nhân viên xử lý sự cố SIEM cải thiện điều nàybằng cách cung một một giao diện đơn giản để xem xét tất cả dữ liệu nhật ký anninhtừ nhiềuthiết bị đầu cuối.

 Cungcấp cơ chếtự động nhằmngănchặn các cuộctấn công đang diễnra vàcách ly cácthiết bị đầu cuối đãbị xâm hại.

Lợiích,ưuđiểmcủa SIEM

SIEM là hệ thống có thể phát hiện ra các sự cố mà các thiết bị thông thườngkhông phát hiện được Rất nhiều thiết bị đầu cuối có phần mềm ghi lại sự kiệnan ninh nhưng không tích hợp khả năng phát hiện sự cố Dù có thể quan sát cácsự kiện và tạo ra các nhật ký, chúng luôn thiếu khả năng phân tích để xác địnhcác dấu hiệucủahànhvi độchại.

SIEM cho thấy sự tương quan liên kết sự kiện giữa các thiết bị, bằng cách nàySIEM có thể thấy được nhiều phần khác nhau của các cuộc tấn công thông quanhiềuthiếtbị,sauđótáicấutrúclạichuỗisựkiệnvàxácđịnhcuộctấncô ngbanđầulàgì và nó đã thành cônghaychưa.

NếuSIEMpháthiệnbấtcứhànhviđộchạinàođãbiếtliênquanđếnthiếtbịđầ uc u ố i , n ó sẽp h ả n ứ n g ngănc h ặ n c á c k ế t nối h o ặ c l à m giánđ o ạ n , c ác h l y thiết bị đang tương tác với thiết bị khác nhằm ngăn ngừa cuộc tấn công từ điểmđầutiên.

SIEM cho phép tổ chức có được bức tranh toàn cảnh về các sự kiện an ninh xảyra Bằng cách tập hợp các dữ liệu nhật ký an ninh từ các thiết bị an ninh, hệ điềuhành của thiết bị đầu cuối, ứng dụng và các phần mềm khác, SIEM có thể phântích một lượng lớn dữ liệu nhằm xác định các cuộc tấn công và xâm hại ẩn dấuđằngsaucácdữ liệunày.

SIEM cung cấp cái nhìn trực quan thông qua các biểu đồ, đồ thị giúp theo dõi rõrànghơn.Côngcụthểhiệndữliệusựkiệnvàcóthểhiệnthànhbiểuđồthôngtinđể hỗ trợchothấy mô hình và xác định hoạt động không phù hợp.

CácthànhphầncủahệthốngSIEM

SIEM bao gồm nhiều phần, mỗi phần làm một công việc riêng biệt Mỗi thànhphần trong hệ thống này có thể hoạt động độc lập với các thành phần khácnhưng nếu tất cả không cùng hoạt động cùng một lúc thì chúng ta sẽ không cómộtSIEM hiệuquả.

Tùy thuộc vào hệ thống đang sử dụng nhưng mỗi SIEM sẽ luôn luôn có haithànhphầncơbản đượcmô tảdưới đây.

Thành phần đầu tiên của SIEM là các thiết bị nguồn cung cấp dữ liệu choSIEM.Thiết bị nguồn có thể là một thiết bị thực tế trong hệ thống mạng nhưRouter, Switch hoặc một số loại máy chủ và cũng có thể là các bản ghi log từmộtứngdụnghoặcchỉlàbấtkỳdữliệunàokhác.Việcbiếtvềnhữnggìmìnhcó trong hệ thống là rất quan trọng trong việc triển khai SIEM Hiểu rõ nhữngnguồn mà chúng ta muốn lấy các bản ghi log trong giai đoạn đầu sẽ giúp chúngtatiếtkiệmđượccông sức,số tiền đángkểvàgiảmsự phức tạptrongtriểnkhai.

MicrosoftW i n d o w s v à c á c b i ế n t h ể c ủ a L i n u x v à U N I X , A I X , M a c O S l à những hệ điều hành thường hay được sử dụng Hầu hết các hệ điều hành về cơbản công nghệ khác nhau và thực hiện chuyên một nhiệm vụ nào đó nhưng mộttrongnhữngđiềumàtấtcảđềucóđiểmchunglàchúngtạoracácbảnghilog.

Các bản ghi log sẽ cho thấy hệ thống của bạn đã làm gì: Ai là người đăng nhập,làmn h ữ n g g ì t r ê n h ệ t h ố n g ? C á c b ả n g h i l o g đ ư ợ c t ạ o r a b ở i m ộ t h ệ đ i ề u hành về hệ thống và người sử dụng hoạt động sẽ rất hữu ích khi tiến hành ứngphósựcốanninh hoặcchẩnđoánvấnđề hay chỉlàviệccấuhình sai.

Hầu hết các thiết bị là các hộp đen, các quản trị hệ thống không có quyền truycập trực tiếp vào hệ thống để thực hiện một số việc quản lý cơ bản Nhưng cóthể quản lý các thiết bị thông qua một giao diện Giao diện này có thể dựa trênweb, dòng lệnh hoặc chạy qua một ứng dụng được tải về máy trạm của quản trịviên Hệ điều hành các thiết bị mạng chạy có thể là một hệ điều hành thôngthường, chẳng hạnnhưMicrosoft Windows hoặcp h i ê n b ả n c ủ a

L i n u x , n h ư n g nó cũng có thể được cấu hình theo cách mà hệ điều hành thông thường Một vídụ như một router hoặc switch Nó không phụ thuộc vào nhà cung cấp, chúng takhông bao giờ cóthểtruy cập trực tiếp vào hệ thống điều hànhc ơ b ả n c ủ a n ó mà chỉ có thẻ truy cập vào thông qua dòng lệnh hoặc giao diện web được sửdụng để quản lý Các thiết bị lưu trữ các bản ghi log của chúng trên hệ thốnghoặc thường có thể được cấu hình để gửi các bản ghi ra thông qua syslog hoặcFTP. Ứngdụng,dịchvụhệthống

Chạy trên các hệ điều hành là những ứng dụng được sử dụng cho một loạt cácchức năng Trong một hệ thống chúng ta có thể có hệ thống tên miền (DNS),dịch vụ cấp phát địa chỉ động (DHCP), máy chủ web, hệ thống thư điện tử và vôsố cácứng dụng khác Các bản ghi ứng dụng chứa thông tin chi tiết về tình trạngcủa ứng dụng, ví dụ như thống kê, sai sót, hoặc thông tin tin nhắn Một số ứngdụng sinh ra bản ghi log sẽ có ích cho chúng ta? Chúng ta được yêu cầu để duytrì,lưu trữ cácbảnghilog theosự tuân thủ củapháp luật.

Sau khi xác định các thiết bị nguồn trong hệ thống, chúng ta cần xem xét việcthu thập các bản ghi log từ các thiết bị nào là cần thiết và quan trọng cho SIEM.Mộtsố điểmcầnchúý trongviệcthu thậpcácbảnghi lognhư sau:

 Thiết bị nguồn nào được ưu tiên? Dữ liệu nào là quan trọng mà chúng ta cầnphải thu thập?

 Kích thước các bản ghi log sinh ra trong khoảng thời gian nhất định là baonhiêu? Nhữngt h ô n g t i n n à y d ù n g đ ể x á c đ ị n h S I E M c ầ n b a o n h i ê u tàinguyên chochúng,đặcbiệtlàkhông gianlưu trữ.

 Tốc độ các thiết bị nguồn này sinh ra các bản ghi log là bao lâu? Thông tinnày cùng với kích thước bản ghi log để lựa chọn việc sử dụng đường truyềnmạngkhi thu thập cácbản ghi.

 Cócầncácbảnghilogtheothờigianthựchaythiếtlậpquátrìnhthựchiệntạimột thời điểm cụthể trong ngày?

Phương pháp này dễ dàng cài đặt và cấu hình Thông thường, chúng ta chỉ cầnthiết lập một bộ tiếp nhận và sau đó kết nối thiết bị nguồn đến bộ phận tiếp nhậnnày Khi cấu hình thiết bị nguồn sử dụng syslog, chúng ta có thể thiết lập địa chỉIP hoặc DNS tên của một máy chủ syslog trên mạng và thiết bị sẽ tự động gửicácbảnghicủanóthôngquasyslog.Tuynhiênphươngphápnaycũngcònmột số nhược điểm Ví dụ, sử dụng syslog trong môi trường UDP Bản chất vốn củaviệc sử dụng syslog trong môi trường UDP có nghĩa là không bao giờ có thểđảm bảo rằng các gói tin đến đích, vì UDP là một giao thức không hướng kếtnối Nếu một tình huống xảy ra trên mạng chẳng hạn như khi một loại virusmạnh trên mạng, chúng ta có thể không nhận được gói tin syslog Một vấn đề cóthể phát sinh là nếu không đặt quyền điều khiển truy cập thích hợp trên máy thunhận các bản ghi log thì khi cấu hình sai hoặc có phần mềm độc hại có thể làmtràn ngập các thông tin sai lệch Điều đó làm cho các sự kiện an ninh khó đượcphát hiện Nếu là một cuộc tấn công có chủ ý nhằm chống lại SIEM thì một kẻxấucó thểlàm sailệch cácthôngtinvàvà thêmcác dữ liệu rácvào SIEM.

Do vậysự hiểu biết về cácthiết bị gửi cácbản ghi log cho SIEM làđiềur ấ t quan trọng.

Các bảnghi logsẽ đượcSIEMđitới vàlấyvề.

Khônggiốngnhưphương pháppushl og ,trongđóthiếtbịnguồn gửicácbả nghi log cho SIEM mà không cần bất kỳ sự tương tác từ SIEM Pull log đòi hỏiSIEM bắt đầu kết nối với các thiết bị nguồn và chủ động lấy các bản ghi từ cácthiết bị nguồn đó Ví dụ : Nếu các bản ghi log được lưu trữ trong tập tin văn bảnchia sẻ trên một mạng, SIEM sẽ thiết lập một kết nối lấy các thông tin được lưutrữvà đọc cácfilebản ghi từcácthiết bị nguồn. Đối với phương pháp push Log, các bản ghi log của thiết bị nguồn thường gửicácbảnghi đếnSIEMngaysau kh i nóđượctạora.Nhưngvớiphươngp hápPull Log thì một kết nối sẽ được tạo ra để SIEM tiếp cận với các thiết bị nguồnvà kéo các bản ghi log từ các thiết bị nguồn về Chu kỳ của việc kết nối để lấycác bản ghi log của Pull Log có thể là vài giây hoặc theo giờ Khoảng thời giannàyc h ú n g t a c ó t h ể c ấ u h ì n h t h e o t ù y c h ọ n h o ặ c đ ể c ấ u h ì n h m ặ c đ ị n h c h o SIEM.

Custom Log Collection: Với các thiết bị khác nhau trong mạng có thể có một sốnguồn bản ghi log không có phương pháp thu thập log chuẩn cung cấp sẵn bởiSIEM Chúng ta cần có phương thức để lấy các bản ghi log từ một nguồn bằngviệc xây dựng phương pháp riêng để thu thập các bản ghi log Việc xây dựngphương thức riêng để lấy bản ghi log và phân tích có thể tốn nhiều công sức vàthời gian, nhưng nếu được thực hiện đúng cách, nó sẽ có nghĩa là các bản ghi sẽđược kéo trực tiếp từ các thiết bị vào SIEM.Một lợi ích khác của việc xây dựngphương pháp thu tập riêng là chúng ta có thể kiểm soát tất cả các quá trình phântíchvà tìm kiếm.

Cơchếhoạtđộngcủa hệthốngSIEM

SIEM lấy các thông tin dữ liệu từ các thiết bị, sau đó sẽ phân tích các dữ liệutrên, chuyển các dữ liệu trên sang một định dạng mà SIEM có thể hiểu được(chuẩn hóa) SIEM tìm ra các dữ liệu liên quan đến nhau rồi liên kết chúng vớinhau(tươngquan).Quađó,SIEMsẽcảnhbáo nếucóđiềugìbấtthường sắpxảy ra hoặc báo cáo dữ liệu một cách trực quan đến quản trị viên Cuối cùng,SIEMsẽlưutrữ lại cácdữ liệukhông còncần thiết tớinơi khác.

Mụcđíchviệcthuthậpthôngtinlàđểnắmbắtvàchuẩnhóacácthôngtintừcác thiếtbịanninhkhácnhauvàcungcấpnó chocácmáy chủđểphântích tiếp.Chức năng này là rất quan trọng vì các dữ liệu có định dạng khác nhau từcác thiết bị và nhà cungcấp khác nhau Sau khi dữ liệu đã được thu thập vàchuẩn hóa có thể được sử dụng kết hợp với các dữ liệu khác từ các nguồn khác.Khi đã cùng một định dạng thì việc phát hiện sự kiện an ninh có khả năng độchạiđượcnângcaovà chính xáchơn.

SIEM thu thập các bản ghi Log từ rất nhiều các thiết bị khác nhau như syslog/agent, , việc truyền các bản ghi log từ các thiết bị nguồn tới SIEM cần được giữbí mật, xác thực và tin cậy bằng việc sử dụng syslog hoặc các giao thức SNMP,OPSEC, SFTP, IDXP Sau đó các bản ghi log chuẩn hóa đưa về cùng một địnhdạng Nếu các thiết bị không hỗ trợ syslog hay các giao thức này chúng ta cầnphải sử dụng các Agent Đó là một điều cần thực hiện để thực hiện việc lấy cácbản ghi log có định dạng mà SIEM có thể hiểu được Việc cài đặt các Agent cóthể kéo dài quá trình triển khai SIEM nhưng chúng ta sẽ có những bản ghi logtheodạngchuẩnmong muốn.

SIEM sẽ truy xuất tới các thiết bị nguồn và lấy các bản ghi log về Thời gian đểtruyxuất tới cácthiếtbị SIEMcóthể tùychọn.

Mộtphầnmềmđượccàiđặttrêncácthiếtbịanninhvàsửdụngđểlấydữliệutừ các thiết bị bằng cảm biến hoặc máy chủ Các thiết bị an ninh sử dụng pluginđể phân tích thông tin từ một định dạng cụ thể tùy thuộc vào thiết bị hoặc nhàcung cấp Kỹ thuật này thường sử dụng trên các máy chủ và máy trạm vì nó rấtdễdàngđể cài đặt thêm phần mềm vào.

Các thiết bị nguồn tự đẩy các bản ghi log về cho SIEM Điều này cần tính toánvề chu kỳ thời gian đẩy các bản ghi về SIEM vì nếu không sẽ dẫn tới việc trànvàbậncủaSIEMkhiquá nhiều cácthiết bịnguồn cùnggửi bảnghi log về.

Dữ liệu định dạng gốc được lấy từ các thiết bị an ninh Việc này được thực hiệnbằngSNMPhoặcSYSLOGvàkhôngthayđổiđượccácphầnmềmchạy trêncácthiết bị an ninh Kỹ thuật này thường dùng cho các thiết bị mà khó cót h ể càiđặt thêm phần mềm vào.

Khi các sự kiện an ninh đến máy chủ, mức độ ưu tiên sẽ được định dạng theochuẩn từ 0 đến 5 Người quản trị có thể điều chỉnh các giá trị mặc định thôngqua một bảng tiêu chuẩn và chính sách ưu tiên Chính sách thu thập thông tin:Có thể thiết lập một chính sách ưu tiên và thu thập ở các bộ cảm biến để lọc vàcủngc ố c á c t h ô n g t i n s ự k i ệ n a n n i n h t r ư ớ c k h i g ử i c h ú n g đ ế n m á y c h ủ

K ỹ thuật này cho phép người quản trị để điều tiết sự kiện an ninh và quản lý nhữngthông tin, nếu không sẽ rất nhiều các sự kiện an ninh trong hệ thống mạng làmchochúngtalúng túng không biếtbắt đầu từ đâu.

SIEM sử dụng một số kỹ thuật để thu thập log từ các thiết bị kết nối Theo líthuyết, thu thập log có thể từ bất kỳ thiết bị gì, như firewall, router, server

…,những thiết bị này sẽ định tuyến log dữ liệu đến Collector, Logger vàSIEMapplication Nhưng đây là cách khá bất khả thi Vì thế, SIEM sử dụng cácAgents - các process chạy trên các thiết bị, các process này sẽ thu thập log từnhiềun g u ồ n t h i ế t b ị , s e r v e r s a u đ ó g ử i q u a đ ư ờ n g a n t o à n đ ế n C o l l e c t o r

Ngoàira,SIEMcònthuthậplogkhôngthôngquaAgent.Vớicáchnày,Collector sẽthu thập log từ các thiết bị thông qua một mạng chia sẻ,t ừ m ộ t drive hoặc một nguồn được bảo vệ khác Cách này chỉ sử dụng khi không cóagent thích hợp cho các thiết bị đặc biệt hoặc khi thiết bị đang chạy với côngsuấttốiđa.

Mỗi dữ liệu bản ghi log có mỗi kiểu định dạng khác nhau Trong môi trườngdoanh nghiệp có thể có hàng trăm hệ thống từ đó thu thập và phân tích các bảnghi log Mỗi hệ thống có mục đích riêng và sự kiện có thể có những thông tinkhácnhau.Giảsửchúngtabắtđầuthuthậpcácsựkiệnvàsựcốxảyra.Làmthế nào chúng ta có thể tìm thấy các sự kiện liên quan đến sự cố đó? Chuẩn hóacung cấp khả năng ánh xạ các sự kiện từ bất kỳ nguồn log nào vào chương trình.Mỗi loại nguồn log có thể có định dạng và nội dung riêng Các bản ghi proxycủaW e b c h ứ a U R L đ ị a c h ỉ I P n g u ồ n , m ã t r ạ n g t h á i , t ê n v à p h i ê n b ả n t r ì n h duyệt Các bản ghi tường lửa chứa các địa chỉ IP nguồn và đích và các cổng,giao thức … Chuẩn hóa đưa các log trên về một định dạng riêng mà nó có thểhiểu được Khi các dữ liệu được chuẩn hóa thì một số thông số quan cần đượclưu ý là : Date – Time, Username, Source IP, Destination IP, Protocol, RequestURL…

Quá trình tương quan sự kiện an ninh là từ các bản ghi sự kiện an ninh khácnhau được liên kết lại với nhau nhằm đưa ra kết luận có hay không một tấn côngvào hệ thống Quá trình đòi hỏi việc xử lý tập trung và chuyên sâu vì chúng phảihiểu được một tấn công diễn ra như thế nào?

Mà thông thường sẽ sử dụng cácthông tin dữ liệu trong cơ sở dữ liệu sẵn có và liên kết với các thông tin về bốicảnh trong môi trường mạng của hệ thống Các thông tin này có thể như các thưmụcngườidùng,cácthiếtbịvàvịtrícủachúng.ĐiềutuyệtvờilàSIEMcóthể học được từ những sự kiện an ninh mới mà dữ liệu gửi về và cập nhật các thôngtinvề bối cảnh.

Tương quan là việc liên kết nhiều sự kiện lại với nhau để phát hiện hành vi lạ.Nó là sự kết hợp của các sự kiện khác nhau nhưng liên quan đến một sự cố duynhất trong hệ thống Thông thường có hai kiểu tương quan là dựa trên các quytắc kiếnthứcđã biết.

(Rule-based)vàdựatrênphươngphápthốngkê(statistical-based).

SplunkEnterprise

MỹcótrụsởtạiSanFrancisco,California,làphầnm ềm đểth uthậpLo g, tìmkiế m,theodõivàphântíchdữliệu lớn (big data) do máy tạo ra, thông qua một giao diện web nhằm giải quyếtnhiềubài toánkhácnhaucủa cáctổ chức,doanh nghiệpnhư trongviệc giám sát, vận hành hệ thống, điềutrasự cố.v.v

Phần mềm Splunk thu thập, đánh chỉ mục dữ liệu, tìm kiếm trong thời gian thựctrong một kho lưu trữ dữ liệu có thể tìm kiếm, từ đó nó tạo ra các đồ thị, báocáo, cảnhbáo, biểuđồ.

Splunk có sứ mệnh làm cho dữ liệu máy có thể truy cập được trong một tổ chứcbằng cách xác định mô hình dữ liệu, cung cấp số liệu, chẩn đoán vấn đề và cungcấp thông tin cho các hoạt động kinh doanh Splunk được sử dụng để quản lýứng dụng, bảo mật và tuân thủ theo chính sách tổ chức, cũng như kinh doanh vàphân tích web Tính đến đầu năm 2016, Splunk có hơn 10.000 khách hàng trêntoàn thếgiới.

Sản phẩm trả phí: Có tất cả các chức năng của Splunk, không hạn chế kíchthước dữ liệu.Sản phẩm miễn phí: Hạn chế một số chức năng, hạn chế khốilượng dữ liệu mỗi ngày là 500MB Bao gồm các chức năng: Đánh chỉ mục dữliệu,tìm kiếm trongthời gianthực,thống kếvàkết xuất báocáo.

 Định dạng Log: Hỗ trợ hầu như tất cả các loại log của hệ thống, thiết bịhạtầngmạng,phầnmềm,Firewall,IDS/IPS,LogEvent,Registercủacácmáytr ạm ….

 Các hình thức thu thập dữ liệu: Splunk có thể thực hiện việc thu thập logtừ rất nhiều nguồn khác nhau Từ một file hoặc thư mục (kể cả file nén)trênserver,quacác kếtnốiUDP,TCPtừcác SplunkServerkháctrong mô hình Splunk phân tán, từ các Event Logs, Registry của Windows … Splunkkết hợp rất tốtvới cáccôngcụthu thập log khác.

 Cập nhật dữ liệu: Splunk cập nhật dữ liệu liên tục khi có thay đổi trongthờigianthực.Giúpchoviệc pháthiệnvàcảnhbáo trongthờigianthực.

 Đánh chỉ mục dữ liệu: Splunk có thể đánh chỉ mục dữ liệu với một khốilượng dữ liệu rất lớn trong một khoảng thời gian ngắn Giúp việc tìmkiếmdiễnranhanh chóngvàthuậntiện.

 Tìm kiếm thông tin: Splunk làm việc rất tốt với dữ liệu lớn và cập nhậtliên tục Nó cung cấp cơ chế tìm kiếm với một “Splunk Language” cựckỳ thông minh bao gồm các từ khóa, các hàm và cấu trúc tìm kiếm giúpngười sử dụng có thể truy xuất mọi thứ, theo rất nhiều tiêu chí từ tập dữliệurấtlớn.Nhữngnhàquảntrịmạngcaocấpvàchuyênnghiệpthườnggọi Splunk với cái tên “Splunk toàn năng” hay “Splunk as Google forLogfiles”để nói lênsứcmạnhcủaSplunk.

 Giámsát vàcảnhbáo: Splunkcungcấpchongườidùngmộtcơchếcảnhbáo dựa trên việc tìm kiếm các thông tin do chính người sử dụng đặt ra.Khi có vấn đề liên quan tới hệ thống phù hợp với các tiêu chí mà ngườidùng đã đặt ra thì hệ thống sẽ cảnh báo ngay tới người dùng (cảnh bảotrựctiếpqua giaodiện,giử Email).

 Khắcphụcsựcố:Splunkcòncungcâp mộtcơchếtựđộngkhắcphụcvớicác vấn đề xảy ra bằng việc tự động chạy các file Script mà người dùngtựtạo(Vídụ như:ChặnIP,đóngPort…) khicó cáccảnhbáo xảyra.

 Hiểnthịthôngtin:Splunkcungcấpmộtcơchế hiển thịrấttrựcquangiúpngườisửdụngcó thểdễdànghìnhdungvềtìnhtrạng củahệthống,đưara các đánh giá về hệ thống Splunk còn từ động kết xuất ra các báo cáovớinhiềuloạiđịnh dạng mộtcáchrất chuyên nghiệp.

Splunk của người dùng Một số bộ API điển hình như Splunk SDK

(CungcấpcácSDKtrênnềntảngPython,Java,JS,PHP),Shep(SplunkHadoop

Intergration – Đây là sự kết hợp giữa Splunk và Hadoop), Shuttl (Là mộtsản phẩm hỗ trợ việc sao lưu dữ liệu trong Splunk), Splunkgit (Giúp bạnhình dung dữ liệu tốt hơn), Splunk power shell resource Kit (Bộ công cụhỗtrợviệcmởrộng và quản lý hệ thống).

Splunk là một phần mềm giám sát mạng dựa trên sức mạnh của việc phân tíchlog Splunk thực hiện các công việc tìm kiếm, giám sát và phân tích dữ liệu logslớn được sinh ra từ các ứng dụng, các hệ thống và các thiết bị hạ tầng mạng Nócó thể thao tác tốt với nhiều loại dịnh dạng dữ liệu khác nhau (Syslog, csv,apache-log,access_combine…). Splunkđược xâydựng dựatrênnềntảngLuceneandMongoDB vớimột giaodiệnweb rấttrựcquan.

Splunk hỗ trợ hầu như tất cả các loại log của hệ thống, thiết bị hạ tầng mạng,phần mềm, Firewall, IDS/IPS, Log Event, Register của các máy trạm

….Splunkcót h ể t h ự c h i ệ n v i ệ c t hu t h ậ p lo gt ừ r ất nhiều n g u ồ n k há c n h a u

T ừ m ộ t fi le hoặc thư mục (kể cả file nén) trên server, qua các kết nối UDP, TCP từ cácSplunk Server khác trong mô hình Splunk phân tán, từ các Event Logs, Registrycủa Windows… Splunkkết hợprất tốt vớicáccôngcụthuthập log khác.

Splunk cập nhật dữ liệu liên tục khi có thay đổi trong thời gian thực Giúp choviệc phát hiệnvà cảnhbáo trong thờigianthực.

Splunk làm việc rất tốt với dữ liệu lớn và cập nhật liên tục Nó cung cấp cơ chếtìm kiếm với một “Splunk Language” cực kỳ thông minh bao gồm các từ khóa,các hàm và cấu trúc tìm kiếm giúp người sử dụng có thể truy xuất mọi thứ, theorất nhiều tiêu chí từ tập dữ liệu rất lớn Những nhà quản trị mạng cao cấp vàchuyênnghiệpthườnggọiSplunkvớicáitên“Splunktoànnăng”hay“Splu nkasGoogleforLog files”đểnói lênsức mạnhcủaSplunk.

Splunk cung cấp cho người dùng một cơ chế cảnh báo dựa trên việc tìm kiếmcác thông tin do chính người sử dụng đặt ra Khi có vấn đề liên quan tới hệthống phù hợp với các tiêu chí mà người dùng đã đặt ra thì hệ thống sẽ cảnh báongaytới ngườidùng (cảnhbảotrựctiếpquagiaodiện,giửEmail).

Splunk cung cấp một cơ chế hiển thị rất trực quan giúp người sử dụng có thể dễdàng hình dung về tình trạng của hệ thống, đưa ra các đánh giá về hệ thống.Splunkcòntừđộngkếtxuấtracácbáocáovớinhiềuloạiđịnhdạngmộtcá chrấtchuyênnghiệp.

Splunkcóthểđánhchỉmụcdữ liệuvớimột khốilượng dữliệurấtlớntrong một khoảng thời gian ngắn Giúp việc tìm kiếm diễn ra nhanh chóng và thuậntiện.

AlienVaultOSSIM

OSSIM là một cách tiếp cận hấp dẫn đối với SIEM OSSIM là mã nguồn mở dođó có thể tải về miễn phí, cài đặt và chỉnh sửa phù hợp với hoạt động riêng chotừng hệ thống OSSIM được phát triển bởi AlienVault, gồm hai phiên bản miễnphí và tính phí Phiên bản miễn phí có một số hạn chế liên quan đến hiệu suất,lưu trữ và việc hỗ trợ Tuy nhiên khi chúng ta dùng các phiên bản cao hơn phiênbảnmiễnphíthì nócóthể đáp ứng rấtnhiềunhucầucủachúngta.

Mộtt í n h n ă n g q u a n t r ọ n g A l i e n V a u l t O S S I M là Lo g g e r N ó l à m ộ t c ơsở d ữ liệubổ sung cho mục đích Logger cho phép lưu trữ các bản ghi số lượng lớntrongthờigianlâudài.ChúngsửdụngchủyếulàhệthốnglưutrữNAS/SAN.

OSSIM phát triển dựa trên cộng đồng và khả năng tùy chỉnh giống như với bấtkỳphần mềm mãnguồn mởkhác.

OSSIM có thể được sử dụng bởi các tổ chức nhỏ nhưng hiệu quả nhất khi đượcsử dụng bởi các tổ chức lớn, nơi có nhiều thiết bị mạng như Firewall, IDS/ IPS,Anti-Virus và các máy chủ web, OSSIM đã được tích hợp với các công cụ bảomật mã nguồn mở khác nhưng không giới hạn Snort, ntop, OpenVAS, P0f,PADs, arpwatch,OSSEC,

Osiris, Nagios, OCS, và Kismet Có công cụ mã nguồn mở nổi tiếng như là mộtphầncủa nềntảnglàm chocác chuyêngiaanninhdễdàng làm việc vớinó.

 Cácứng dụng chuyển với AlienVault tạo ra sựk i ệ n a n n i n h ( A l i e n V a u l t cảmbiến)

 Các AlienVault Server đánh giá rủi ro, tương quan và lưu trữ các sự kiện anninhtrong một cơsởdữ liệuSQL.

 Các máy chủ lưu trữ AlienVault các sự kiện an ninh trong một hệ thống lưutrữ,thườngNASchobảnmãnguồnmởhoặcSANchobản thươngmại.

 Mộtg i a o d i ệ n w e b c h o p h é p v à c u n g c ấ p m ộ t h ệ t h ố n g s ố l i ệ u , b á o c á o , bảngđiều khiển, hệ thống, báo cáo lỗ hổng, hệ thống quản lý và thông tinthờigianthựccủamạng.

Có nhiều cách để thu thập các bản ghi từ máy chủ sử dụng các Agent nhưOSSEC và Snare Lựa chọn thay thế để cài đặt các Agent cho các hệ thốngLinuxchỉđơngiảnlàcấuhìnhrsysloghoặcthiếtlậpsnmptrapd.Cáchtốtn hất đểchuyển tiếpcácbảnghitừmộthệthốngWindowslàsửdụngSnare.

Sự tương quan liên kết sự kiện an ninh là một trong những tính năng cốt lõi củaOSSIM phân biệt nó với IDS/IPS Nó giúp giảm các cảnh báo giả bằng cáchtương quan liên kết nhiều sự kiện an ninh khác nhau và báo động cho các quảntrị viên biết và chú ý đến các sự kiện an ninh Tính năng tương quan bao gồmtương quan chéo và tương quan hợp lý (tương quan Chỉ thị) Chéo tương quanchỉ làm việc với các sự kiện an ninh đã được xác định IP đích đến bởi vì nó đãkiểm tra các máy chủ đích để xác định xem nó có bất kỳ lỗ hổng không có trongcơ sở dữ liệu và thay đổi giá trị độ tin cậy của sự kiện an ninh phù hợp Giá trịđộ tin cậy của sự kiện an ninh là một trong những số liệu được sử dụng để tínhtoánrủi ro trong OSSIM.

 Đánhgiárủiro Đánh giá rủi ro là việc làm quan trọng nhằm xác định cái gì là quan trọng cái gìlà không? Việc đánh giá rủi ro được coi như là một trợ lý của quá trình ra quyếtđịnh OSSIM tính toán rủi ro cho từng sự kiện an ninh Việc tính toán này dựatrênba thông sốsau:

 Giátrịtàisản (Mấtbao nhiêugiá trịnếubịxâm nhập?)

Bảnghi log được cung cấp từ cácnguồn dữ liệuk h á c n h a u đ ế n m á y c h ủ OSSIM Các bản ghi log chuẩn hóa và hiển thị trong giao diện quản lý web nhưcác sự kiện an ninh Tickets được tự mở hoặc tự động tạo ra trong OSSIM Đểxử lý sựcố, OSSIM sẽ được xem xét báođộng, tạo ra một ticket vềs ự c ố c ó liên quan và gán nó cho thành phần thích hợp Báo động xảy ra khi giá trị rủi rocủa sự kiện an ninh bằng hoặc lớn hơn một giá trị nào đó Rủi ro được tính toántheocôngthứcsau:

[ASSET VALUE(0-5)*PRIORITY(0-5)*RELIABILITY(0-10)] /25 = RISKOFTHEEVENT(0-10)

Các tài sản trong OSSIM có giá trị tài sản từ 0-5 Số càng cao là càng có giá trịtài sản Tài sản có thể là một nhóm máy chủ, các nhóm máy chủ, mạng và nhómmạng Căn cứ vào độ tin cậy có thể để nhận thấy xác suất của một cuộc tấncông.Vídụ,mộtgiátrịcao(9hoặc 10)cónghĩalàcáccuộc tấncônglàcóthật.

OSSIM có khả năng ứng phó tự động với các sự kiện an ninh nhất định hoặcthiết lập các ứng phó cho các sự kiện an ninh Ứng phó bao gồm việc gửi mộtemail tới quản trị viên, đưa ra cảnh báo trên giao diện quản lý hoặc thực hiệnmột hành động nào đó nhằm ngăn chặn các hành vi vi phạm an ninh Điều nàyrất có ích nhưng cũng nguy hiểm bởi chúng ta cấu hình không tốt sẽ gây ranhữngcảnhbáo giảhayđưaracáchànhđộng không tốt chohệ thống.

 Snort: là công cụ mã nguồn mở hàng đầu về IDS ngày nay Một phiên bảnvới những tùy chọn được tích hợp vào OSSIM Nó cung cấp các cảnh báoliênquan đếncáccuộctấncôngmạng.

 OpenVAS: được cấp phép (GPL) của phiên bản Nessus Một công cụ mãnguồn mở quétlỗ hổngphổ biến Côngcụ nàyđược sửdụng nhằmcung cấp các thông tin về các lỗ hổng quét trong mạng và thêm các thông tin có giá trịchocơsởdữ liệuOSSIM.

 Ntop là một công cụ mã nguồn mở giám sát lưu lượng mạng phổ biến. Côngcụ này cung cấp những thông tin về lưu lượng truy cập trên mạng, có thểđược sử dụng đểphát hiện một cách chủ động những vấn đề bất thường hayđộc hại.

 Nagios là một công cụ phần mềm mã nguồn mở giám sát thiết bị mạng phổbiến Công cụ này được sử dụng để giám sát các thiết bị mạng, các dịch vụtheothờigianvàcung cấpcáccảnh báotrong trườnghợpngừnghoạtđộng

 PADs: Passive Asset Detection System là hệ thống phát hiện thụ động tàisản là một công cụ duy nhất Công cụ lặng lẽ theo dõi lưu lượng mạng, cácbản ghi log và dịch vụ Dữ liệu này được theo dõi bởi OSSIM khi có sự bấtthườngtrong dịchvụ mạng.

 P0f: được sử dụng thu thập thông tin về hệ điều hành Công cụ này theo dõilưu lượng truy cậpmạng và xác định hệ điềuh à n h T h ô n g t i n n à y r ấ t h ữ u íchtrong quá trình suyluận tươngquan.

 OCS-NG: Open Computer and Software Inventory Next Generation là phầnmềm giám sát, thống kê các thiết bị, tài sản của hệ thống Công cụ này thựchiện một cách tự động theo dõi những tài sản và cung cấp các phân tíchthôngtin anninh cầnthiết.

 OSSEC: là một công cụ mã nguồn mở phát hiện xâm nhập trên host. Côngcụ này cung cấp nền tảng phân tích log, kiểm tra tính toàn vẹn của tập tin,pháthiệnrootkit,giám sátchínhsách,thờigianthựcvàđưaracảnh báo.

Môtả

Sử dụng công cụ Splunk Enterprise để triển khai hệ thống SIEM giám sát antoànhệthống mạnggồm 2máynhư sau:

Splunkserver Ubuntu16.0464bit SSH,FTP,web

Windows 1064bit SSH,FTP,web