Với yêu cầu như vậy , hệ thống thông tin của tổ chức cần một giải pháp thu thập , quản lý và phân tích các sự kiện an ninh thông tin , một Hệ thống giám sát an toàn thông tin SIEM Securi
Giới thiệu SIEM
Ngày nay, tấn công mạng, lừa đảo trực tuyến và bùng phát mã độc đang trở thành những vấn đề nghiêm trọng đối với các tổ chức Để đối phó với những mối đe dọa này, các tổ chức cần đầu tư vào các giải pháp an ninh đa lớp và bảo vệ sâu Một xu hướng phổ biến là các giải pháp này thường là những sản phẩm hàng đầu trên thị trường, nhưng lại đến từ nhiều nhà cung cấp khác nhau, gây ra nhiều thách thức cho đội ngũ vận hành an ninh.
Các hệ thống như Firewall, IPS, OS và Database tạo ra hàng triệu nhật ký, khiến cho việc phân tích toàn bộ trở nên khó khăn Đội ngũ làm việc của các tổ chức không thể hoàn thành việc phân tích này bằng các công cụ thủ công.
Số lượng thông báo giả trong hàng triệu sự kiện rất lớn, với nhiều thông báo không chính xác và không quan trọng Việc bảo vệ riêng lẻ và thiếu khả năng bao quát dẫn đến tình trạng mỗi hệ thống chỉ có một hoặc vài người quản trị, thường chỉ làm việc trong chuyên môn của họ Khi cần phân tích hoặc điều tra vấn đề, họ mất nhiều thời gian để tìm hiểu các hệ thống liên quan hoặc phối hợp với các bộ phận khác, làm cho thời gian thực hiện kéo dài và dễ bỏ qua các sự kiện tưởng chừng không nguy hiểm Điều này xảy ra vì người quản trị không thể quan sát toàn bộ các vấn đề an ninh đang diễn ra trong hệ thống.
Mỗi hệ thống có một định dạng nhật ký khác nhau : Điều này gây khó khăn trong việc đồng bộ và phân tích
Hệ thống thông tin của tổ chức cần một giải pháp hiệu quả để thu thập, quản lý và phân tích các sự kiện an ninh thông tin Hệ thống giám sát an toàn thông tin SIEM (Security Information and Event Management) được thiết kế để thu thập thông tin nhật ký từ các thiết bị đầu cuối và lưu trữ dữ liệu một cách tập trung SIEM phải thu thập nhật ký từ tất cả các hệ thống quan trọng, đồng thời cung cấp các công cụ đa dạng và linh hoạt cho việc tìm kiếm, phân tích và theo dõi các sự kiện an ninh theo thời gian thực trên một giao diện duy nhất Tính năng phân tích sự tương quan giữa các sự kiện là một yếu tố quan trọng trong việc nâng cao khả năng bảo mật.
Hệ thống giúp xác định các vấn đề lớn về an ninh mà tổ chức đang gặp phải, từ đó cho phép hạn chế rủi ro và tiết kiệm thời gian cũng như nhân lực.
Hình 1.1.Tổng quan về hệ thống SIEM
Các thành phần của hệ thống SIEM
Hệ thống SIEM bao gồm nhiều thành phần, mỗi phần đảm nhiệm một nhiệm vụ riêng biệt Mặc dù các thành phần này có thể hoạt động độc lập, nhưng để đạt được hiệu quả tối ưu, tất cả cần phải hoạt động đồng bộ cùng nhau.
Mỗi hệ thống SIEM có những thành phần cơ bản khác nhau, tùy thuộc vào loại hình sử dụng Hiểu rõ từng phần và cách thức hoạt động của SIEM giúp người quản trị quản lý hiệu quả và khắc phục sự cố khi cần thiết.
Thành phần đầu tiên của SIEM là các thiết bị đầu vào cung cấp dữ liệu, bao gồm Router, Switch, máy chủ và các bản ghi Log từ ứng dụng Việc xác định các nguồn dữ liệu trong hệ thống là rất quan trọng trong quá trình triển khai SIEM, giúp tiết kiệm công sức, chi phí và giảm sự phức tạp.
Hệ điều hành phổ biến bao gồm Microsoft Windows, các biến thể của Linux và UNIX, AIK, và Mac OS Mỗi hệ điều hành này có công nghệ khác nhau và được thiết kế để thực hiện các nhiệm vụ cụ thể.
Tất cả các hệ thống đều tạo ra các bản ghi Log, cho thấy hoạt động của hệ thống như ai đã đăng nhập và thực hiện những gì Các bản ghi Log, được tạo ra bởi hệ điều hành, rất hữu ích trong việc ứng phó sự cố an ninh, chẩn đoán vấn đề hoặc phát hiện cấu hình sai.
Các quản trị viên hệ thống thường không có quyền truy cập từ xa vào các thiết bị như router, switch, firewall và server để thực hiện các công việc quản lý cơ bản Tuy nhiên, họ có thể quản lý các thiết bị này thông qua một cổng giao diện đặc biệt, có thể là giao diện web, dòng lệnh hoặc ứng dụng tải về máy trạm Hệ điều hành của các thiết bị mạng có thể là Microsoft Windows hoặc một phiên bản tùy biến dựa trên mã nguồn mở như Linux, nhưng được cấu hình tương tự như hệ điều hành thông thường Các thiết bị router và switch không cho phép truy cập trực tiếp vào hệ điều hành cơ bản, mà chỉ có thể quản lý qua dòng lệnh hoặc giao diện web Ngoài ra, các thiết bị này lưu trữ các bản ghi Log và có thể được cấu hình để gửi các bản ghi qua SysLog hoặc FTP.
Ứng dụng chạy trên các hệ điều hành phục vụ nhiều chức năng khác nhau, bao gồm hệ thống tên miền (DNS), dịch vụ cấp phát địa chỉ động (DHCP), máy chủ web, và hệ thống thư điện tử Các bản ghi ứng dụng cung cấp thông tin chi tiết về tình trạng của ứng dụng, như thống kê, lỗi, và thông tin tin nhắn Một số ứng dụng tạo ra bản ghi Log hữu ích cho quản trị viên trong việc duy trì và lưu trữ các bản ghi Log theo yêu cầu tuân thủ pháp luật.
Hình 1.2.Các thành phần hệ thống SIEM
Xác định các bản ghi Log cần thiết là bước quan trọng sau khi nhận diện các thiết bị cung cấp dữ liệu trong hệ thống Người quản trị cần xem xét kỹ lưỡng việc thu thập các bản ghi Log từ những thiết bị quan trọng cho hệ thống SIEM Một số điểm cần lưu ý trong quá trình thu thập các bản ghi Log bao gồm tính cần thiết và mức độ quan trọng của từng thiết bị.
Khi xác định thiết bị nguồn ưu tiên, cần xem xét dữ liệu quan trọng cần thu thập và kích thước bản ghi Log trong khoảng thời gian nhất định Những thông tin này giúp xác định lượng tài nguyên cần thiết cho SIEM, đặc biệt là không gian lưu trữ.
Tốc độ sinh ra bản ghi Log của các thiết bị nguồn và kích thước của bản ghi Log là yếu tố quan trọng để xác định việc sử dụng đường truyền mạng trong quá trình thu thập các bản ghi này.
Cách thức liên kết giữa các thiết bị nguồn với SIEM ?
Có cần các bàn ghi Log theo thời gian thực hay thiết lập quá trình thực hiện tại một thời điểm cụ thể trong ngày
Thông tin trên rất hữu ích trong việc xác định nguồn thiết bị cần thiết cho SIEM Mặc dù có nhiều yếu tố cần xem xét, việc xác định chính xác yêu cầu cho SIEM là rất quan trọng Số lượng người sử dụng, lịch bảo trì hệ thống và các yếu tố khác có thể ảnh hưởng đáng kể đến số lượng bản ghi Log được tạo ra hàng ngày.
Cơ chế thu thập thông tin của SIEM
Thu thập bản ghi Log
Cơ chế thu thập các bản ghi Log phụ thuộc vào từng thiết bị nhưng cơ bản có hai phương thức như sau : Push Log và Pull Log
Hình 1.3.Cơ chế thu thập thông tin của SIEM
a)Push Log : Các bản ghi Log sẽ được các thiết bị nguồn đấy về SIEM
Phương pháp sử dụng SysLog mang lại lợi ích dễ dàng cài đặt và cấu hình, chỉ cần thiết lập một bộ tiếp nhận và kết nối thiết bị nguồn Khi cấu hình thiết bị nguồn với SysLog, quản trị viên có thể chỉ định địa chỉ IP hoặc tên DNS của máy chủ SysLog, cho phép thiết bị tự động gửi các bản ghi Tuy nhiên, phương pháp này cũng có nhược điểm, đặc biệt khi sử dụng trong môi trường UDP, nơi không đảm bảo rằng các gói tin sẽ đến đích do UDP là giao thức không hướng kết nối Trong trường hợp xảy ra sự cố mạng, như virus mạnh, quản trị viên có thể không nhận được gói tin SysLog Ngoài ra, nếu không thiết lập quyền truy cập thích hợp trên máy thu nhận bản ghi, việc cấu hình sai hoặc phần mềm độc hại có thể dẫn đến thông tin sai lệch, làm khó khăn trong việc phát hiện các sự kiện an ninh Trong trường hợp tấn công có chủ ý nhằm vào SIEM, kẻ xấu có thể làm sai lệch thông tin và thêm các dữ liệu không chính xác.
6 dữ liệu rác vào SIEM Do vậy sự hiểu biết về các thiết bị gửi các bản ghi Log cho SIEM là điều rất quan trọng
b)Pull Log : Các bản ghi Log sẽ được SIEM lấy về
Khác với phương pháp Push Log, trong đó thiết bị nguồn tự động gửi bản ghi log đến SIEM mà không cần sự can thiệp, phương pháp Pull Log yêu cầu SIEM chủ động kết nối với các thiết bị nguồn để lấy bản ghi Điều này được thực hiện thông qua phần mềm cài đặt trên các thiết bị an ninh.
Trong một mạng, khi các bản ghi Log được lưu trữ trong tập tin văn bản, SIEM thiết lập kết nối để lấy thông tin và đọc các file bản ghi từ thiết bị nguồn Phương pháp Push Log cho phép thiết bị nguồn gửi các bản ghi đến SIEM ngay khi chúng được tạo ra, trong khi phương pháp Pull Log yêu cầu SIEM tạo kết nối để kéo các bản ghi từ thiết bị nguồn Chu kỳ kết nối để lấy các bản ghi Log trong phương pháp Pull Log có thể được cấu hình từ vài giây đến theo giờ, và cần được tính toán cẩn thận để tránh tình trạng tràn và nghẽn hệ thống SIEM khi nhiều thiết bị nguồn cùng lúc gửi bản ghi.
Chính sách thu thập thông tin giúp thiết lập quy trình ưu tiên và lọc các sự kiện an ninh trước khi gửi đến hệ thống Kỹ thuật này cho phép người quản trị điều tiết và quản lý thông tin hiệu quả, tránh tình trạng quá tải với nhiều sự kiện an ninh, giúp họ dễ dàng xác định điểm bắt đầu trong công tác quản lý.
Hình 1.3.Sơ đồ tổng quát phương pháp Pull Log
Phân tích, chuẩn hóa Log
Hệ thống SIEM nhận vô số bản ghi Log từ các thiết bị và ứng dụng trong môi trường, nhưng tại thời điểm này, các bản ghi vẫn ở định dạng gốc, khiến người quản trị chỉ có thể lưu trữ chúng Để đảm bảo tính bảo mật, xác thực và tin cậy trong việc truyền tải các bản ghi log từ nhiều nguồn khác nhau đến SIEM, cần sử dụng các giao thức như Syslog, SNMP, OPSEC và SFTP.
Để các bản ghi Log trở nên hữu ích trong SIEM, cần phải định dạng lại chúng thành một chuẩn duy nhất, quá trình này được gọi là chuẩn hóa Nếu các thiết bị không hỗ trợ các giao thức cần thiết, việc sử dụng các Agent là cần thiết để thu thập các bản ghi log với định dạng mà SIEM có thể hiểu Mặc dù việc cài đặt các Agent có thể kéo dài thời gian triển khai SIEM, nhưng người quản trị sẽ nhận được các bản ghi log theo dạng chuẩn mong muốn.
Kiến trúc hoạt động của SIEM
Kiến trúc SIEM tập trung vào việc quản lý thay đổi cấu hình hệ thống và dịch vụ thư mục, đồng thời kiểm tra nhật ký và quyền truy cập của người dùng Việc cập nhật thường xuyên các ứng dụng Quản lý danh tính và truy cập (IAM) là cần thiết để nâng cao bảo mật và ngăn chặn các mối đe dọa bên ngoài Hơn nữa, SIEM cần cung cấp khả năng hiển thị, phân tích và thu thập thông tin từ các thiết bị mạng và bảo mật, cùng với các tính năng phát hiện bất thường và khả năng hiển thị.
Phát hiện mã đa hình và lỗ hổng zero-day, cùng với phân tích cú pháp tự động và chuẩn hóa nhật ký, có thể tạo ra các mẫu thu thập thông qua việc trực quan hóa SIEM dựa trên các sự kiện bảo mật.
Khía cạnh kiến trúc của SIEM về cơ bản liên quan đến quá trình xây dựng hệ thống SIEM và các thành phần cốt lõi của nó
Hình 1.4.Kiến trúc hoạt động của SIEM Tóm lại, kiến trúc SIEM bao gồm các thành phần sau:
Quản lý nhật ký liên quan đến việc thu thập, quản lý và lưu trữ dữ liệu Hệ thống SIEM thu thập cả dữ liệu sự kiện và dữ liệu theo ngữ cảnh, như đã được trình bày trong hình ảnh trước đó Kiến trúc này đóng vai trò quan trọng trong việc đảm bảo an ninh thông tin.
SIEM thu thập dữ liệu sự kiện từ các hệ thống tổ chức, bao gồm thiết bị mạng, giao thức mạng, giao thức lưu trữ (Syslog) và các giao thức truyền phát.
Quản lý dữ liệu liên quan đến chính sách lưu trữ và giữ dữ liệu Các hệ thống SIEM hiện đại sử dụng công nghệ lưu trữ không giới hạn như Hadoop hoặc Amazon S3, cho phép lưu trữ dữ liệu trong khoảng bảy năm Dữ liệu này có giá trị cho các mục đích pháp lý và kiểm toán.
Chuẩn hóa Nhật ký là quá trình quan trọng trong việc chuyển đổi dữ liệu sự kiện và ngữ cảnh thành thông tin bảo mật có giá trị Việc này giúp loại bỏ dữ liệu không liên quan thông qua quy trình lọc, từ đó tạo ra những thông tin chuyên sâu hơn về bảo mật.
Nhật ký được thu thập từ các ứng dụng mạng, hệ thống bảo mật và hệ thống đám mây, đóng vai trò quan trọng trong quy trình đưa nhật ký vào SIEM của các tổ chức.
Lựa chọn lưu trữ cho SIEM: Có sẵn các mô hình khác nhau để lưu trữ SIEM Chúng bao gồm Self-Host, Cloud-Host hoặc Hybrid-Host
Báo cáo SIEM: Dựa trên nhật ký có sẵn, SIEM xác định và báo cáo các hoạt động đáng ngờ
SIEM cho phép giám sát cơ sở hạ tầng của tổ chức theo thời gian thực, giúp phát hiện mối đe dọa và phản ứng nhanh chóng với các vi phạm dữ liệu tiềm ẩn.
Kiến trúc SIEM truyền thống đã từng là một ứng dụng nguyên khối và tốn kém Ngược lại, SIEM thế hệ tiếp theo hiện nay có giá cả phải chăng hơn, đồng thời cung cấp những lợi thế công nghệ vượt trội nhờ vào phần mềm tinh vi và công nghệ đám mây, giúp quản lý sự kiện bảo mật một cách hiệu quả.
Kỹ thuật xác định quy luật quản trị SIEM
1.5.1.Kỹ thuật tương quan sự kiện
Các quy luật trong SIEM cho phép mở rộng việc chuẩn hóa các bản ghi sự kiện an ninh từ nhiều nguồn khác nhau để kích hoạt cảnh báo Việc viết các quy luật này thường bắt đầu đơn giản nhưng có thể trở nên phức tạp Người quản trị sử dụng biểu thức Logic Boolean để xác định các điều kiện cụ thể và kiểm tra tính phù hợp trong dữ liệu.
Tương quan sự kiện an ninh là tập hợp các quy tắc giúp liên kết các sự kiện an ninh từ nhiều nguồn khác nhau thành một sự kiện chính xác Việc tương quan này nhằm đơn giản hóa quy trình ứng phó sự cố cho hệ thống, thể hiện một sự cố duy nhất liên quan đến nhiều sự kiện an ninh từ các thiết bị khác nhau.
Có hai kiểu tương quan sự kiện chính: một là dựa trên các quy tắc kiến thức đã biết (Rule-based), và hai là dựa trên phương pháp thống kê (Statistical-based).
Phương pháp tương quan sự kiện dựa trên quy tắc và kiến thức về các cuộc tấn công cho phép liên kết và phân tích các sự kiện trong một bối cảnh chung Kiến thức này được sử dụng để xây dựng các quy tắc xác định, có thể do các nhà cung cấp phát triển hoặc do người quản trị tự xây dựng và bổ sung theo thời gian và kinh nghiệm tích lũy.
Phương thức tương quan không dựa vào kiến thức về các hoạt động nguy hiểm đã biết, mà thay vào đó, nó sử dụng thuật toán để đánh giá các sự kiện hiện tại và so sánh với mẫu hành vi bình thường Hệ thống phân tích các sự kiện an ninh trong một khoảng thời gian nhất định, sử dụng trọng số để đánh giá tài sản và hệ thống Các giá trị trọng số này được phân tích để xác định nguy cơ của các kiểu tấn công Đồng thời, các hệ thống này cũng thiết lập mức độ hoạt động mạng bình thường và tìm kiếm các sai lệch so với mẫu hành vi bình thường, nhằm phát hiện các cuộc tấn công tiềm ẩn.
Trong khoảng thời gian 10 giây, nhiều sự kiện an ninh đã được ghi nhận vào SIEM, bao gồm cả các trường hợp đăng nhập thất bại và thành công từ nhiều địa chỉ khác nhau đến một số địa chỉ đích Đặc biệt, có một địa chỉ nguồn duy nhất thực hiện nhiều lần đăng nhập vào nhiều địa chỉ đích, và sau đó đột ngột có một lần đăng nhập thành công Điều này có thể chỉ ra một cuộc tấn công Brute-Force nhằm vào máy chủ.
Hệ thống có khả năng xử lý 1000 sự kiện an ninh trong 10 giây, thay vì chỉ 10 sự kiện như trước Để xác định các sự kiện an ninh có nguy cơ cao, cần thiết phải loại bỏ thông tin không liên quan trong các bản ghi Log Việc này giúp tập trung vào những sự kiện an ninh có thể chỉ ra nguy hại qua nhiều sự kiện khác nhau, từ đó nâng cao hiệu quả giám sát an ninh.
1.5.4.Cơ sở dữ liệu (Configuration Management Database)
Lưu trữ bản ghi Log trong cơ sở dữ liệu là phương pháp phổ biến nhất trong hệ thống SIEM Các bản ghi này thường được lưu trữ trên các nền tảng cơ sở dữ liệu tiêu chuẩn như Oracle, MySQL, Microsoft SQL, hoặc các ứng dụng cơ sở dữ liệu lớn khác đang được doanh nghiệp sử dụng.
Phương pháp này giúp tương tác dễ dàng với dữ liệu nhờ vào việc các truy vấn cơ sở dữ liệu được tích hợp trong ứng dụng Hiệu suất truy cập các bản ghi Log trong cơ sở dữ liệu khá tốt, tuy nhiên, nó phụ thuộc vào phần cứng mà cơ sở dữ liệu đang sử dụng Để đạt hiệu quả tối ưu, các ứng dụng cơ sở dữ liệu cần được tối ưu hóa cho SIEM.
Sử dụng cơ sở dữ liệu để lưu trữ nhật ký là một giải pháp hiệu quả, nhưng có thể phát sinh một số vấn đề tùy thuộc vào cách triển khai của SIEM Nếu SIEM không tương tác nhiều với cơ sở dữ liệu, việc bảo trì thường không gặp khó khăn Tuy nhiên, khi SIEM hoạt động trên phần cứng riêng, việc quản lý cơ sở dữ liệu trở thành thách thức lớn, đặc biệt nếu không có một DBA hỗ trợ.
1.5.5.Theo dõi và giám sát
Giai đoạn cuối cùng trong quy trình là tương tác với các bản ghi lưu trữ trong SIEM Sau khi xử lý tất cả các sự kiện an ninh, bước tiếp theo là khai thác thông tin từ các bản ghi Log khác nhau Hệ thống SIEM cung cấp giao diện điều khiển dựa trên web hoặc ứng dụng tải về máy trạm, cho phép người dùng tương tác với dữ liệu lưu trữ Giao diện này cũng được sử dụng để quản lý hệ thống SIEM.
SIEM cung cấp ba phương thức thông báo cho quản trị viên về các cuộc tấn công hoặc hành vi bất thường Đầu tiên, SIEM có khả năng phát hiện và cảnh báo ngay lập tức khi nhận diện điều gì đó bất thường Thứ hai, SIEM sẽ gửi thông báo vào thời điểm đã được xác định trước trong quá trình tấn công Cuối cùng, các quản trị viên có thể theo dõi và giám sát SIEM theo thời gian thực thông qua giao diện web.
Giao diện ứng dụng SIEM cho phép xử lý sự cố và cung cấp cái nhìn tổng quan về môi trường hệ thống một cách đơn giản và tiện lợi Thay vì phải kiểm tra từng thiết bị và xem các bản ghi Log trong định dạng gốc, các kỹ sư giờ đây có thể xử lý tất cả thông tin tại một nơi duy nhất SIEM đã chuẩn hóa dữ liệu, giúp phân tích các bản ghi Log dễ dàng hơn.
Trong quản lý và giám sát giao diện điều khiển của SIEM, người quản trị có thể phát triển nội dung và quy định để trích xuất thông tin từ các sự kiện an ninh đã được xử lý Giao diện điều khiển này cho phép giao tiếp hiệu quả với dữ liệu lưu trữ trong SIEM, ví dụ như việc tập hợp các event log về cùng một điểm cuối.
Hình 1.5 Sơ đồ các nhật ký sự kiện đưa về một điểm cuối
GIỚI THIỆU HỆ THỐNG SIEM TRÊN FORTISIEM
Giới thiệu Fortisiem
FortiSiem là phần mềm thuộc hệ sinh thái của Fortinet, một công ty chuyên cung cấp giải pháp an ninh mạng Fortinet phát triển nhiều sản phẩm bảo mật, bao gồm tường lửa vật lý, phần mềm bảo vệ chống vi-rút, hệ thống ngăn chặn xâm nhập và các dịch vụ bảo mật cho điểm cuối.
FortiSIEM mở rộng khả năng của hệ thống an ninh Fortinet với hàng trăm tích hợp từ các nhà cung cấp bảo mật hàng đầu Sự phức tạp trong quản lý mạng và bảo mật dẫn đến gia tăng vi phạm trên toàn cầu, với thời gian phát hiện và khắc phục sự cố lên đến hàng trăm ngày Để bảo vệ tài sản mạng hiệu quả, các tổ chức cần một đội ngũ an ninh mạng giỏi và công nghệ tiên tiến FortiSIEM cung cấp giải pháp toàn diện và khả năng mở rộng cho việc quản lý an toàn, hiệu suất và tuân thủ, từ IoT đến đám mây, phục vụ cho các tổ chức mọi quy mô.
Hình 2.1.Minh họa về chức năng của Fortisiem
Các giải pháp của FortiSiem
2.2.1.An toàn và tuân thủ
Vi phạm có thể khiến khách hàng chuyển sang đối thủ, gây ra thiệt hại tài sản và tổn thất cho tổ chức Việc thu hút khách hàng mới tốn kém gấp bảy lần so với việc giữ chân khách hàng hiện tại Các tổ chức hoạt động công khai thường phải đối mặt với những tác động tiêu cực kéo dài, điều này thúc đẩy nhu cầu về các giải pháp an ninh FortiSIEM cung cấp một hệ thống toàn diện và khả năng mở rộng, từ IoT đến Cloud, với các phân tích được cấp bằng sáng chế nhằm quản lý an ninh mạng, hiệu suất và tuân thủ tiêu chuẩn, tất cả được triển khai từ một góc nhìn tổ chức.
Hình 2.2.Sơ đồ hoạt động làm việc của Fortisiem đối với khách hàng
2.2.2.Hỗ trợ NOC và SOC ( Security Operation Center & Network
Fortinet đã phát triển một kiến trúc cho phép phân tích thống nhất từ nhiều nguồn thông tin khác nhau như bản ghi, chỉ số hiệu suất, bẫy SNMP, cảnh báo bảo mật và thay đổi cấu hình FortiSIEM kết hợp các phân tích truyền thống từ SOC và NOC, mang lại cái nhìn toàn diện về dữ liệu mối đe dọa trong tổ chức Mỗi thông tin được chuyển đổi thành sự kiện, sau đó được phân tích cú pháp và xử lý qua công cụ phân tích dựa trên sự kiện để thực hiện tìm kiếm, quy tắc, bảng điều khiển và truy vấn ngẫu nhiên.
FortiGuard cung cấp sự thông minh về mối đe dọa và các chỉ số về sự thỏa hiệp (IOC), kết hợp với nguồn tin đe dọa từ các nguồn cấp dữ liệu tình báo, thương mại và dữ liệu tùy chỉnh Việc tích hợp các nguồn dữ liệu đa dạng này vào khuôn khổ FortiSIEM giúp tổ chức nhanh chóng tạo bảng tổng hợp và báo cáo toàn diện, từ đó xác định nguyên nhân gây ra mối đe dọa và thực hiện các biện pháp khắc phục, ngăn chặn hiệu quả trong tương lai.
Hình 2.3.Sơ đồ hoạt động khi có sự cố trong hệ thống(Incidents)
2.2.3.Phân phối các sự kiện trên thời gian thực
Phân phối sự kiện tương quan là một thách thức lớn, khi nhiều nút cần chia sẻ các tiểu bang của họ trong thời gian thực để kích hoạt quy tắc Trong khi nhiều nhà cung cấp SIEM chỉ cung cấp khả năng tìm kiếm và thu thập dữ liệu, Fortinet nổi bật với khả năng tương quan thời gian thực Các mẫu lỗi phức tạp có thể được phát hiện ngay lập tức nhờ vào thuật toán được cấp bằng sáng chế, cho phép FortiSIEM xử lý một lượng lớn quy tắc trong thời gian thực với tỷ lệ sự kiện cao, từ đó tăng cường thời gian phát hiện.
2.2.4.Kiến trúc cơ sở dữ liệu lai ghép – Sử dụng các nguồn cấp dữ liệu có cấu trúc và phi cấu trúc
FortiSIEM kết hợp hai loại thông tin: dữ liệu có cấu trúc, phù hợp với cơ sở dữ liệu quan hệ truyền thống, và dữ liệu phi cấu trúc như bản ghi và chỉ số hiệu năng, yêu cầu một cơ sở dữ liệu kiểu khác.
Fortinet đã phát triển một phương pháp tiếp cận lai trong việc lưu trữ dữ liệu, nơi dữ liệu được tổ chức trong các cơ sở dữ liệu NoSQL được tối ưu hóa Phương pháp này cung cấp một lớp trừu tượng cơ sở dữ liệu toàn diện, cho phép người dùng tìm kiếm các sự kiện thông qua các đối tượng CMDB.
17 một cơ sở dữ liệu quan hệ) Cách tiếp cận này khai thác sức mạnh và lợi ích của cả hai cơ sở dữ liệu
Hình 2.5.Mẫu kiến trúc cơ sở dữ liệu NoSQL
Thành phần kiến trúc trong FORTISIEM
Giải pháp thiết bị ảo FortiSIEM hoạt động như một ứng dụng lưu trữ trong các trình giám sát phổ biến, với tùy chọn sử dụng NFS hoặc bộ nhớ cục bộ Quá trình triển khai linh hoạt, hỗ trợ nhiều loại hệ thống đám mây và phân tán khác nhau Thiết bị ảo FortiSIEM được đặt trên một lớp mạng để thu thập dữ liệu hoạt động và thiết lập các phiên với cơ sở hạ tầng Các trang web từ xa có thể sử dụng ứng dụng khách FortiSIEM để kết nối và quản lý.
Collector để khám phá cục bộ, thu thập, nén và truyền dữ liệu hoạt động trở lại thiết bị ảo FortiSIEM một cách an toàn
Kiến trúc mở rộng quy mô của FortiSIEM cho phép phân cụm các thiết bị ảo, nâng cao khả năng xử lý và tính khả dụng Việc thêm các thiết bị ảo bổ sung có thể thực hiện ngay lập tức với cấu hình định nghĩa, giúp tự động phân phối khối lượng công việc giữa các thiết bị.
18 thành viên cụm để mở rộng thông lượng phân tích sự kiện và giảm thời gian phản hồi truy vấn
Hình 2.4.Kiến trúc triển khai All-in-One và kiến trúc triển khai phân cụm nhỏ
Kiến trúc của FortiSIEM là một giải pháp máy chủ duy nhất, khép kín và dễ triển khai, phù hợp cho quy mô nhỏ Hệ thống này sử dụng đĩa cục bộ trên thiết bị ảo hoặc bộ lưu trữ phần cứng tích hợp để lưu trữ sự kiện Tuy nhiên, nó có hạn chế về khả năng mở rộng do lưu trữ cục bộ và không hỗ trợ Để đáp ứng các yêu cầu về hiệu suất và dung lượng hiện tại hoặc tương lai, các mã hóa cần khả năng mở rộng bổ sung và nên sử dụng giải pháp phân tán với bộ nhớ dùng chung.
Các tính năng trong FORTISIEM
2.4.1.Tích hợp công nghệ bên ngoài
+ Tích hợp với bất kỳ trang web bên ngoài nào để tra cứu địa chỉ IP
+ Tích hợp dựa trên API cho các nguồn thông tin tình báo về mối đe dọa bên ngoài
+ Tích hợp hai chiều dựa trên API với hệ thống bàn trợ giúp, bao gồm hỗ trợ liền mạch, ngay lập tức cho ServiceNow, ConnectWise
+ Tích hợp hai chiều dựa trên API với CMDB bên ngoài, bao gồm hỗ trợ ngoại vi cho ServiceNow, ConnectWise, Jira và Salesforce
+ Hỗ trợ Kafka để tích hợp với báo cáo Analytics nâng cao
+ API để tích hợp dễ dàng với hệ thống cung cấp
+ API để thêm tổ chức, tạo thông tin xác thực, kích hoạt khám phá, sửa đổi các sự kiện giám sát
2.4.2.Quản lý thông báo và sự cố
+ Khung thông báo sự cố dựa trên chính sách
+ Khả năng kích hoạt tập lệnh khắc phục khi một sự cố cụ thể xảy ra
+ Tích hợp dựa trên API vào các hệ thống bán vé bên ngoài, bao gồm ServiceNow, ConnectWise và Remedy
+ Báo cáo sự cố có thể được cấu trúc để cung cấp mức ưu tiên cao nhất cho các dịch vụ và ứng dụng kinh doanh quan trọng
+ Kích hoạt các mẫu sự kiện phức tạp trong thời gian thực
Trình khám phá sự cố giúp liên kết động các sự cố với máy chủ, địa chỉ IP và người dùng, từ đó cho phép người dùng nhanh chóng hiểu rõ tất cả các vấn đề liên quan.
VD: tính năng kiểm tra sự cố (Incidents):
2.4.3.Giám sát thay đổi cấu hình trong thời gian thực
+ Thu thập các tệp cấu hình mạng, được lưu trữ trong một kho lưu trữ có phiên bản
+ Thu thập các phiên bản phần mềm đã cài đặt, được lưu trữ trong một kho lưu trữ có phiên bản
+ Tự động phát hiện các thay đổi trong cấu hình mạng và phần mềm đã cài đặt
+ Tự động phát hiện các thay đổi tệp / thư mục, bao gồm Windows và Linux, ai và chi tiết nào
+ Tự động phát hiện các thay đổi từ tệp cấu hình đã được phê duyệt
+ Tự động phát hiện các thay đổi sổ đăng ký cửa sổ thông qua FortiSIEM Windows Agent
+ Theo dõi hệ thống cơ bản / các chỉ số thông thường
+ Cấp hệ thống thông qua SNMP, WMI, PowerShell
+ Cấp ứng dụng qua JMX, WMI, PowerShell
+ Giám sát ảo hóa cho VMware, HyperV — khách, máy chủ, nhóm tài nguyên và cấp độ cụm
+ Sử dụng bộ nhớ, giám sát hiệu suất cho các môi trường EMC, NetApp, Isilon,
+ Giám sát hiệu suất ứng dụng chuyên biệt
+ Microsoft Active Directory và Exchange qua WMI và PowerShell
+ Cơ sở dữ liệu — Oracle, MS SQL, MySQL qua JDBC
+ Cơ sở hạ tầng VoIP qua IPSLA, SNMP, CDR / CMR
+ Phân tích luồng và hiệu suất ứng dụng cho các môi trường NetFlow, S-Flow, Cisco AVC, NBAR, IPFix
+ Khả năng thêm số liệu tùy chỉnh
+ Các chỉ số cơ bản và phát hiện các sai lệch đáng kể
VD: Giám sát real-time bằng cấu hình trong phần Resource
2.4.5.Tích hợp thông minh về mối đe dọa bên ngoài
+ Các API để tích hợp nguồn cấp dữ liệu thông minh về mối đe dọa bên ngoài, miền phần mềm độc hại, IP, URL, mã băm, nút Tor
+ Tích hợp sẵn cho các nguồn thông tin tình báo về mối đe dọa phổ biến, bao gồm Threat-Stream, CyberArk, SANS, Zeus, ThreatConnect
Công nghệ xử lý nguồn cấp dữ liệu đe dọa lớn đang gia tăng khả năng tải xuống và chia sẻ trong cụm, đồng thời khớp mẫu thời gian thực với mạng Tất cả các nguồn cấp STIX và TAXII đều được hỗ trợ.
GIỚI THIỆU HỆ THỐNG SPLUNK
Giới thiệu SPLUNK
Splunk là hệ thống mạnh mẽ cho phép thu thập và phân tích dữ liệu thời gian thực, từ đó tạo ra đồ thị, báo cáo và cảnh báo Mục tiêu của Splunk là đơn giản hóa việc xác định mô hình dữ liệu và thu thập thông tin máy trên toàn hệ thống, cung cấp số liệu và chẩn đoán vấn đề để hỗ trợ hoạt động kinh doanh Hệ thống này có khả năng tìm kiếm các sự kiện đã xảy ra và đang diễn ra, đồng thời báo cáo và phân tích thống kê kết quả Splunk có thể nhập dữ liệu dưới dạng có cấu trúc hoặc không cấu trúc, và sử dụng ngôn ngữ SPL (Search Processing Language) để quản lý Big Data Với nền tảng phát triển từ Unix Piping và SQL, Splunk cho phép tìm kiếm, lọc, sửa đổi, chèn và xóa dữ liệu một cách hiệu quả.
Vai trò splunk trong cơ sở hạ tầng mạng
+ Máy chủ: Với Splunk, chúng ta có thể
- Chủ động giám sát các máy chủ và hiểu biết sâu hơn về hiệu suất, cấu hình, truy cập và các lỗi phát sinh
Tối ưu hóa hiệu suất máy chủ là rất quan trọng để phát hiện và khắc phục các lỗi, đồng thời phân tích dữ liệu sự kiện liên quan đến người dùng Việc áp dụng công nghệ ảo hóa và các ứng dụng thành phần giúp ngăn ngừa sự cố và cải thiện trải nghiệm người dùng.
- Phân tích và tối ưu hóa chi phí cho việc theo dõi dung lượng máy chủ, báo cáo an ninh trong thời gian thực
+ Hệ thống lưu trữ: Với Splunk, chúng ta có thể
Tương quan giữa log, hiệu suất và các sự kiện từ hệ thống lưu trữ với máy chủ, mạng và dữ liệu ứng dụng giúp giải quyết vấn đề và nâng cao sự hài lòng của khách hàng.
- Sử dụng công cụ phân tích mạnh mẽ để khắc phục sự cố trong thời gian thực và phân tích hiệu suất hệ thống lưu trữ của chúng ta
- Giảm thời gian phát triển và cắt giảm chi phí bằng việc dễ dàng tích hợp với các nhà cung cấp dịch vụ lưu trữ, như NetApp và EMC
+ Hệ thống mạng: Với Splunk, chúng ta có thể:
Giám sát và theo dõi dữ liệu mạng từ các thiết bị không dây, switch, router, firewall và các thiết bị khác là rất quan trọng Việc sử dụng các giao thức như SNMP, Netflow, syslog và PCAP giúp thu thập và phân tích thông tin mạng hiệu quả.
Chủ động nhận diện và phân tích các vấn đề an ninh mạng là rất quan trọng Việc tương quan dữ liệu mạng với các ứng dụng, hệ thống lưu trữ và máy chủ giúp đảm bảo mạng luôn an toàn và hoạt động liên tục.
Để đạt được chỉ số ROI tối đa, chúng ta cần tối ưu hóa dung lượng mạng lưới, xác định độ trễ, quản lý băng thông, và nhận diện 10 tài nguyên mạng thường được sử dụng cùng với mô hình sử dụng của chúng.
Hình 3.1.Sơ đồ Splunk trong cơ sơ hạ tầng mạng
Sơ đồ Splunk phổ biến triển khai trong doanh nghiệp
Hình 3.2.Sơ đồ triển khai Splunk phổ biến trong doanh nghiệp
Mô hình trên bao gồm các thành phần như:
+ Nhiều thiết bị Forwarders trung gian phục vụ cho quá trình load, tính sẵn sang cao, và cải thiện tốc độ xử lý các event sắp tới
Một Indexer kết nối với nhiều hệ thống và nhiều search-peer (indexer) giúp cải thiện hiệu suất của quá trình nhập dữ liệu và tìm kiếm Điều này không chỉ giảm thời gian tìm kiếm mà còn cung cấp tính dự phòng cao.
Nhiều đầu tìm kiếm được sử dụng để phân phối yêu cầu tìm kiếm trên các search-peer đã được cấu hình, nhằm nâng cao hiệu suất tìm kiếm.
+ Đầu tìm kiếm riêng biệt được thể hiện ở đây để hỗ trợ ứng dụng Splunk’s Enterprise Security(ES)
Hệ thống server triển khai có khả năng tích hợp với các dịch vụ khác của Splunk hoặc hoạt động độc lập Đối với việc triển khai một hệ thống lớn, việc sử dụng một hệ thống độc lập là rất quan trọng.
Dữ liệu thu thập trên Splunk
Splunk thu thập dữ liệu hệ thống từ máy móc, bao gồm các bản ghi về hoạt động và hành vi của khách hàng, giao dịch của người dùng, cũng như hành vi của hệ thống.
Các Event Splunk hỗ trợ
Tính năng của Splunk
Splunk cung cấp một giao diện thống nhất cho tất cả dữ liệu IT, cho phép người dùng tìm kiếm dữ liệu, nhận cảnh báo, tạo báo cáo và chia sẻ thông tin với người khác.
Splunk cung cấp giải pháp tìm kiếm tối ưu, giúp người dùng tìm kiếm các dữ liệu liên quan một cách hiệu quả Điều này không chỉ thu hẹp phạm vi tìm kiếm mà còn tiết kiệm thời gian, nâng cao hiệu quả trong công tác quản trị mạng.
THỰC NGHIỆM XÂY DỰNG SIEM SỬ DỤNG SPLUNK
Thiết lập môi trường thực nghiệm
4.1.1.Hướng dẫn cài đặt Splunk
Link hướng dẫn : (3) Install Universal Forwarder to send logs to main Splunk -
Cài đặt splunk trên máy win 10 , IP máy server Splunk: 192.168.0.112 (tự cài trên máy thật)
Tạo 2 máy ảo để send các log về sử dụng Splunk Fowarder
- Máy win 10 Chọn các event muốn gửi từ máy Fowarder về máy server như
Application Log, Security Log, System Log …
Hình 4.1.Thiết lập các event để gửi về log
Do thực hiện ở local nên bỏ qua phần deloyment server
Hình 4.2.Thiết lập deployment server Đặt địa chỉ Indexer (máy server Splunk) và port (mặc định Windows chưa cấp quyền mở port cần tự thủ công mở port)
Hình 4.3.Thiết lập IP Indexer (Máy server Splunk)
27 Đặt ip là máy local (192.168.0.112) và port 9997
Hình 4.4.Mở FireWall cho port 9997 Tạo index mới tương ứng với PC win 10 vừa mới thêm vào ở splunk server
Tạo port lắng nghe sự kiện gửi về máy server
Hình 4.6.Tạo port lắng nghe event Quay lại máy Forwarder để cấu hình các tệp config
Hình 4.7.Cấu hình tệp config
Có thể xem setting máy forwarder đang trỏ về server nào bằng file
Hình 4.8.Setting máy forwarder đang trỏ về Lưu ý sau khi thay đổi bất kì config nào phải restart lại services Splunk
Hình 4.9.Restart services Splunk Phần cài đặt Máy win server 2016: (làm tương tự như phần win 10)
4.1.2.Sơ đồ giám sát cơ bản
Hình 4.10.Sơ đồ giám sát cơ bản Chọn search and reporting
Hình 4.11.Trang chủ của Splunk Chọn data summary sẽ thấy được các host nào đang connect tới server splunk
Ta đã thấy các máy Forwarder
Hình 4.13.Hiển thị các máy Forwarder Phần source là các event mà splunk đang theo dõi
Hình 4.14.Các event mà Splunk theo dõi
Do phần index đã tạo pc2(máy win 10) và pcserver(máy win server) nên sẽ thấy 2 index mới
Hình 4.15.Hiển thị 2 Index mới
VD : Chọn máy Win 10 để hiện thông tin
Hình 4.16 cho thấy cách chọn máy Win 10 để hiển thị thông tin Phần này hiển thị các thông số dưới dạng giá trị của các trường đã cài đặt trong phần Splunk Forwarder, ví dụ như:
Hình 4.17.Hiện thị các thông số dưới dạng value
Ta xem trên máy win server
Hình 4.18.Xem thông tin máy Win Server Để xem chi tiết hơn chọn vào 1 record nào đó show all
Hình 4.19.Xem chi tiết record
Sẽ bao gồm các thông số process,các key và message từ windows gửi về
VD : Chọn source CPU Load
Hình 4.20.Xem thông số CPU Load Check bên máy win 10
Hình 4.21.Kiểm tra thông số CPU bên máy Win 10
Và kiểm tra thông báo (sẽ có chênh lệch do CPU thay đổi liên tục)
Hình 4.22.Thông tin thông số CPU Load
Thực hành các kịch bản tấn công Splunk
4.2.1.Kịch bản 1 DOS vào client (máy windows server)
Hình 4.23.Sơ đồ kịch bản tấn công Splunk
Sử dụng Nmap để check port máy client
Hình 4.24.Sử dụng Nmap check port
Sử dụng hping3 để dos vào port 135
Hình 4.25.Sử dụng Hping 3 để dos Thiết lập rule cho snort để bắt sự kiện dos alert tcp any any -> 192.168.203.0/24 any (msg: "PHAT HIEN SYN FLOOD
ATTACK"; flags: S; flow: stateless; detection_filter: track by_dst, count 10, seconds 3; sid:10000004; rev:1)
Hình 4.26.Thiết lập rule cho Snort Khi đó snort ở firewall sẽ phát hiện tấn công dos
Hình 4.27.Snort phát hiện tấn công dos
Check log ở máy splunk server nhận các gói log từ snort gửi về (địa chỉ firewall
Các log ở firewall snort gửi về server
Hình 4.28.Các log ở FireWall Snort gửi về server Thiết lập alert và gửi mail
Chọn keyword: source="udp:514" host = 192.168.1.200 PHAT HIEN SYN FLOOD ATTACK {TCP} 192.168.203.128
192.168.203.128 (địa chỉ của máy client server)
Thiết lập nếu có hơn 50 kết quả trong 1 phút thì sẽ chạy trigger
Hình 4.29.Thiết lập thông báo và gửi mail Kiểm tra trigger và mail
Hình 4.30.Kiểm tra trigger và mail
Xem thông tin chi tiết thông báo ta thấy được thông tin về cuộc tấn công Dos
Hình 4.31.Xem thông tin chi tiết về cuộc tấn công Dos
4.2.2.Kịch bản 2 Tấn công SSH (TCP SYN FLOOD)
Hình 4.32.Sơ đồ kịch bản tấn công SSH (TCP SYN FLOOD) Máy win 10 forwarder (đã cài đặt service ssh server)
Hình 4.33.Xem IP máy Win 10 Tấn công máy win 10 forwarder
In Figure 4.34, a Windows 10 machine is targeted in a Snort firewall attack The rule is configured to detect SSH brute-force attacks by monitoring the number of SSH packets sent to the IP range 192.168.203.0/24 on port 22 The alert is triggered when 10 packets are detected within 3 seconds, indicating potential malicious activity This rule is classified under "trojan-activity" with a unique identifier of 1000281 and a revision number of 2.
Hình 4.35.Kiểm tra alert ở Snort Kiểm tra log gửi về từ firewall ở snort
Hình 4.36.Kiểm tra log gửi về từ Firewall Chọn keyword để tạo alert
Hình 4.37.Chọn keyword đê tạo alert Tạo alert khi số lần login lớn 5(5 lần truy cập thấp bại giống fortisiem)
Hình 4.38.Cấu hình alert khi số log lớn
Kiểm tra kết quả ở trigger alert
Hình 4.39.Kiểm tra kết quả ở trigger alert Kiểm tra thông tin về cuộc tấn công ở mail
Hình 4.40.Kiểm tra thông tin về cuộc tấn công ở mail
4.4.3.Kịch bản 3 tấn công bằng malware
Hình 4.41.Sơ đồ tấn công kịch bản tấn công bằng malware Cài đặt môi trường IDS snort trên pfSense
Ta mở giao diện cài đặt pfSense từ trình duyệt sau đó đăng nhập
Ta vào system và chọn package manager
Hình 4.43.Chọn package manager Trong cửa sổ package manager ta chọn vào available packages
Trong mục tìm kiếm ta gõ từ khóa tìm kiếm Snort
Hình 4.45.Tìm kiếm gõ Snort
Tiếp theo ta bấm install và chờ pfsense cài đặt, sau khi cài xong ta chọn giao thức Snort
Hình 4.46.Chọn giao thức Snort
Ta chọn vào global setting
Ta tích chọn các options như sau
Hình 4.48.Tích vào các option
Trong mục Snort Oinkmaster Code ta copy paste dòng sau: b105d65f5cf7d8cb752d1998dd00756f54338b8d
Tiếp theo ta vào update rồi ấn update rules rồi chờ download
Hình 4.49.Update rule và chờ downloa
Ta vào Snort interfaces rồi add
Hình 4.50.Add interface vào Snort Tiếp theo ta tích chọn các option
Sau đó save.Tiếp ta vào WAN rules sau đó trong mục Category Selection và chọn custom.rules
Ta thiết lập rules như sau
50 alert tcp any any -> 192.168.23.0/24 any (msg: "PHAT HIEN SYN FLOOD
The article discusses the detection of SSH brute-force attacks within a specified IP range It highlights the use of a detection filter that tracks attempts by destination, allowing for alerts when there are 10 connection attempts within 3 seconds The rules are identified by unique IDs, with the first rule focusing on general attack detection and the second specifically targeting SSH brute-force activities classified as trojan activity.
Hình 4.53.Cấu hình chi tiết rule Tiếp theo sau đó vào lại Snort interfaces và start interface WAN
Sau khi WAN interfaces running như hình dưới thì thực hiện tcp syn flood attack và ssh brute foces attack
Tiếp theo trên kali linux ta tấn công tcp syn flood bằng lệnh sau
Hình 4.55.Thực hiện tấn công bằng Hping3
Khi đó ta thu được kết quả trong mục Alert của service Snort
Hình 4.56.Xem thông tin alert của cuộc tấn công Tiếp theo ta tấn công SSH
Dịch vụ ssh-server đã active
Hình 4.57.Thông tin dịch vụ SSH đã active
Trên kali linux sử dụng tool hydra để brute force hydra -l a -P passlist.txt 192.168.23.142 -t 4 ssh a: là user trong victim
Hình 4.58.Sử dụng Hydra để active Kết quả thu được trong alert của Snort
Với thông tin của cuộc tấn công như sau :
Source ip2.168.23.129 là ip của kali linux attacker
Destination ip2.168.23.138 là ip của victim
Hình 4.59.Kết quả alert của cuộc tấn công
Ta vào system log như ảnh dưới
Sau đó ta vào setting để cấu hình
Hình 4.61.Vào setting để cấu hình Trong mục Remote Syslog Contents thì tích chọn System Event rồi save
Sau đó vào spunk server tìm kiếm với source=”udp:514” sẽ thấy alert của snort đã được gửi về
Link giả website puty: Download PuTTY: latest release (0.78) (tinnhat.github.io)
Thiết lập nhận log từ Windows Defender của máy client,ở máy splunk server check source
Hình 4.63.Thiết lập nhận log từ Window Defender Ở máy client sẽ xảy ra 2 trường hợp:
TH1:Nếu máy nạn nhân đã tắt các trình diệt virus có thể sử dụng công cụ metasploit để tấn công điều khiển máy nạn nhân
Hình 4.64.Sử dụng công cụ Metasploit để tấn công
TH2: Nếu máy nạn nhân chưa tắt các trình diệt virus sẽ có thông báo không khởi chạy được phần mềm
Máy client truy cập vào web giả mạo và tải về
Hình 4.65.Truy cập vào trang web giả mạo và tải về Giải nén và chạy file setup Puty đã đính kèm mã độc
Hình 4.66.Giải nén và chạy file Putty
Hình 4.67.Khởi chạy file Putty Kiểm tra loại virus trong Windows Security
Hình 4.68.Kiểm tra loại virus trong Window Security
Kiểm tra log ở splunk server
Hình 4.69.Kiểm tra log ở Splunk Server
Chọn key word để tạo alert: source="C:\\Windows\\System32\\winevt\\Logs\\Microsoft-Windows-Windows
Defender%4Operational.evtx" AND Category: Trojan
Tạo trigger và email tương tự như 2 kịch bản trên và Kiểm tra kết quả thông tin của cuộc tấn công
Hình 4.70.Kiểm tra ở mail kết quả cuộc tấn công malware
4.4.4.Kịch bản 4 sử dụng Iptables để gửi log
Hình 4.71.Sơ đồ kịch bản 4 sử dụng Iptables để gửi log Xem IP của máy máy Splunk server
Hình 4.72.Xem ip của máy Splunk Server
Xem IP của máy client forwarder(Centos 7)
Hình 4.73.Xem IP máy client
Tiến hành cài đặt các dịch vụ cần thiết trên máy client (firewalld,iptables,iptables- service,sshd) yum install -y openssh openssh-server openssh-clients openssl-libs iptables iptables- service
Cấu hình file nhận log thông qua dịch vụ Kern ở thư mục /etc mở file rsyslog.conf với quyền root và thay đổi dòng kern
Hình 4.74.Cấu hình file nhận log của dịch vụ Kern Vào folder file config của iptables để thay đổi
Hình 4.75.Cấu hình file config của Iptables Truy cập vào config của sshd để thay đổi (bỏ dấu #)
Restart lại dịch vụ sshd
Hình 4.76.Restart lại dịch vụ SSHD
Ta tạo key gen trên centos và máy splunk
Hình 4.77.Tạo keygen trên centos Thêm các dòng lệnh để config dịch vụ ssh và iptables
/sbin/iptables -A LOGDROP -j DROP iptables -I INPUT -p tcp dport 22 -i ens33 -m state state NEW -m recent set iptables -I INPUT -p tcp dport 22 -i ens33 -m state - -state NEW -m recent update seconds 60 hitcount 4 -j LOGDROP
Khi dịch vụ sshd được thực hiện sái 4 lần trong 60 giây sẽ có log được firewall(iptables) gửi về
Iptables-save để lưu lại cấu hình và restart lại dịch vụ iptable
Bật dịch vụ rsyslog để nhận gói tin log: systemctl start rsyslog
(khúc này add cái cài đặt splunk forwader của centos hồi trước bỏ vô dùm t)
Từ máy splunk server thử ssh tới máy client
Hình 4.78.Sử dụng ssh truy cập tới máy client Kiểm tra thư mục kern ở máy client forwarder sử dụng lệnh sau
=>Ta đã thấy xuất hiện các log của dịch vụ ssh từ máy server tới forwader
Hình 4.79.Thông tin log của dịch vụ SSH
Kết quả: ta kiểm tra log gửi về ở máy splunk server
Hình 4.80.Kiểm tra log ở Splunk Server Xem các log
Hình 4.81.Xem thông số log từ Splunk
Các tính năng mở rộng
4.3.1.Tính năng Dashboard Để thuận tiện cho việc theo dõi các event thay vì chọn keyword search,chúng ta có thể tạo luôn một dashboard riêng
VD : Chọn máy client để tạo dashboard theo dõi
Hình 4.82.Chọn máy client để tạo dashboard
Ta tiến hành search Host cần tạo
Hình 4.83.Tiến hành searchh Host cần tạo Tiếp theo ta cấu hình Dashboard
Hình 4 84.Cấu hình Dashboard Tạo thành công và kiểm tra kết quả ở mục dashboard
Splunk hỗ trợ export các thông tin ở Dashboard thành file pdf
Hình 4.86.Hỗ trợ export thông tin Dashborad
Có thể xem các sự kiện dưới dạng sơ đồ
Hình 4.87.Xem sự kiện dưới dạng sơ đồ Tùy chọn các event ở filter để splunk phác họa thành các biểu đồ
Vd:ở event Splunk hỗ trợ là realtime search data chọn drop_count và mean_preview_period
Hình 4.88.Tùy chọn các event
Tạo report từ các keyword search
VD tạo report cho máy client
Hình 4.89.Tạo report cho máy client Đặt tên cho report
Hình 4.90.Đặt tên cho report Xem kết quả ở phần report
Hình 4.91.Xem kết quả ở phần report
Có thể chọn add thêm vào Dashboard hoặc xuất report
Hình 4.92.Add thêm vào Dashborad hoặc xuất report
Splunk hỗ trợ nhiều dạng file export
Hình 4.93.Hỗ trợ nhiều dạng file Export Xuất export dưới dạng 100 record file pdf
Hình 4.94.Xuất export dưới dạng file PDF
Ta mở file PDF để kiểm tra
THỰC NGHIỆM XÂY DỰNG SIEM SỬ DỤNG FORTISIEM
Thực nghiệm chức năng CMDB
Cung cấp các chức năng thêm, xóa, chỉnh sửa danh sách các thiết bị , ứng dụng, người dùng …
Hình 5.2.Giao diện chính chức năng CMDB Trạng thái ở máy vừa thêm vào thì ta thấy pending
Hình 5.3 Xem trạng thái máy vừa thêm vào
Thực nghiệm chức năng Incidents
Đây là giao diện chính phần Incidents gồm các cảnh báo như Security, Performancem Availablity, Change …
Hình 5.4 Giao diện chính chức năng Incidents Thông báo gồm các thiết bị hiện đang theo dõi,các nguy cơ đang tồn tại trên hệ thống
Hình 5.5.Xem thông báo các thiết bị đang theo dõi Hiển thị nhật ký theo thời gian
Hình 5.6.Hiển thị nhật ký theo thời gian Chọn xem theo thiết bị (theo địa chỉ ip)
Hình 4.96.Chọn xem thiết bị theo IP
Thực nghiệm chức năng giám sát theo thời gian thực
VD: Chọn Fortigate 100E để giám sát các log gửi về
Truy cập Firewall Fortigate 100E và setup kết nối giao thức SMNP
Hình 5.7 Cấu hình giao thức SNMP
Chọn các events để nhận thông tin từ giao thức SNMP như : CPU usage too high, Available memory is low,Interface IP address changed, VPN tunnel is up …
Truy cập Firewall ở Fortigate 100E, cấu hình kết nối từ Firewall tới
Fortimanager(xem các sự kiên đã được lưu log)
Hình 5.9.Cấu hình kết nối Firewall
Truy cập vào Fortimanager, ở phần IP address nhập địa chỉ của máy
Fortimanager (lưu ý có cài thêm fortianalyzer)
Xem các sự kiện log (bao gồm các thao tác trên thiết bị đã cài đặt gửi log về
Hình 5.11.Xem các sự kiện Log Cấu hình log để gửi về IP các local device
Hình 5.12.Cấu hình log để gửi về IP
Thực nghiệm chức năng Resource
Cung cấp các phần chức năng chính như : reports, rules, network, watchlist, protocols Các lớp mạng có trong hệ thống (có thể add thêm vào) :
Hình 5 13.Giao diện chính của chức năng Resource Watchlist gồm các địa chỉ ip của các thiết bị đã được thêm vào
Hình 5.14.Thông tin các địa chỉ IP được thêm vào
VD: Lựa chọn địa chỉ ip máy tin-computer và add vào watchlist
Hình 5.15.Add máy vào watch list
Có thể chọn các tác vụ muốn siem theo dõi như : Devices under attack ,
DNS/Mail Violators, Host Scanner, Policy Violators, Port Scanners, Malware Like
Hình 5 16.Chọn các dịch vụ muốn theo dõi
81 Ở phần admin có thể kiểm tra các kết nối theo các giao thức tùy chọn(SNMP,PING,SSH,HTTP,…)
Hình 5.17.Kiểm tra các kết nối của các giao thức Cấu hình các credentials:
VD1: Cấu hình giao thức HTTPS với port 443
Hình 5.18.Cấu hình giao thức HTTPS
VD1: Cấu hình giao thức SNMP với port 161
Hình 5.19.Cấu hình giao thức SNMP
Tiếp theo lựa chọn các phương thức kiểm tra kết nối (kiểm tra kết nối có ping hoặc không ping)
Hình 5.20.Kiểm tra kết nối ping Kết quả (quá trình này có thể mất vài phút)
Ta đã thấy kết nối thành công
Hình 5 21.Kiểm tra kết nối Qua bên CMDB kiểm tra máy ta vừa connect thành công
Hình 5.22.Kiểm tra máy vừa thêm vào
Thực nghiệm kiểm tra log
Bây giờ ta sẽ thử đăng nhập account sai 5 lần thì thấy nó đã báo log
Hình 5.23.Thông tin log khi đăng nhập account sai quá 5 lần
Ta sẽ thử trường hợp khi tắt server thì nó báo log
Hình 5 24.Thông tin khi log khi tắt server