TÌM HIỂU và TRIỂN KHAI CÔNG NGHỆ QUẢNLÝ THÔNG TIN và sự KIỆN AN NINH

SIEM là một giải mới cung cấp cái nhìn tổng thể về hệ thống, quét các lỗ hổng, đánh giá tổn thương, thu thập dữ liệu sau đó phân tích liên kết các sự kiện an ninh đưa ra cảnh báo và báo

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

TÌM HIỂU VÀ TRIỂN KHAI CÔNG NGHỆ QUẢN

LÝ THÔNG TIN VÀ SỰ KIỆN AN NINH

KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành: Công Nghệ Thông Tin

HÀ NỘI - 2013

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

TÌM HIỂU VÀ TRIỂN KHAI CÔNG NGHỆ QUẢN

LÝ THÔNG TIN VÀ SỰ KIỆN AN NINH

KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành: Công Nghệ Thông Tin

Cán bộ hướng dẫn:

HÀ NỘI - 2013

VIETNAM NATIONAL UNIVERSITY, HANOI UNIVERSITY OF ENGINEERING AND TECHNOLOGY

<THESIS TITLE>

(Upper case, bold, 18pt, centered)

Major: FACULTY OF INFORMATION TECHNOLOGY

Supervisor:DOAN MINH PHUONG

HA NOI - 2013

iv

TÓM TẮT

Tóm tắt: Cùng với sự phát triển của xã hội, việc ứng dụng Công nghệ thông tin vào đời

sống và làm việc ngày càng được phát triển và nâng cao hiệu quả Vấn đề An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được quan tâm không chỉ ở Việt Nam mà trên toàn thế giới

Trong lĩnh vực an ninh mạng, phát hiện và phòng chống tấn công xâm nhập cho các mạng máy tính là một đề tài hay, thu hút được sự chú ý của nhiều nhà nghiên cứu với nhiều hướng nghiên cứu trong và ngoài nước khác nhau Chính vì vậy em đã lựa chọn đề tài “Tìm hiểu và triển khai giải pháp Quản lý thông tin và sự kiện an ninh” được viết tắt là SIEM (Security Information and Event Management) SIEM là một giải mới cung cấp cái nhìn tổng thể về hệ thống, quét các lỗ hổng, đánh giá tổn thương, thu thập

dữ liệu sau đó phân tích liên kết các sự kiện an ninh đưa ra cảnh báo và báo cáo đáp ứng với chuẩn quốc tế Với mong muốn tìm hiểu cũng như triển khai trên thực tế một giải pháp công nghệ mới đang là xu thế ứng dụng đảm bảo an ninh cho hệ thống mạng trên thế giới Trong quá trình tìm hiểu, nghiên cứu và triển khai, khóa luận đã chứng minh được vai trò, cũng như ưu điểm của SIEM trong việc đảm bảo an ninh cho hệ thống

Từ khóa: SIEM, Security information and event management

SUPERVISOR’S APPROVAL

“I hereby approve that the thesis in its current form is ready for committee examination

as a requirement for the Bachelor of Information Systems degree at the University of Engineering and Technology.”

Signature:………

MỤC LỤC

TÓM TẮT iv

ABSTRACT v

MỤC LỤC ii

LỜI CẢM ƠN iv

DANH MỤC CÁC HÌNH v

DANH MỤC CÁC BẢNG vi

DANH MỤC CÁC TỪ VIẾT TẮT i

MỞ ĐẦU 1

TỔNG QUAN VỀ SIEM 2

1.1 Tổng quan về SIEM 2

1.1.1 Quản lý nhật ký sự kiện an ninh 4

1.1.2 Tuân thủ các quy định về CNTT 4

1.1.3 Tương quan liên kết các sự kiện an ninh 4

1.1.4 Cung cấp các hoạt động ứng phó 5

1.1.5 Đảm bảo an ninh thiết bị đầu cuối 6

1.2 Ưu điểm của SIEM 7

THÀNH PHẦN CỦA SIEM 9

2.1 Thiết bị nguồn 10

2.2 Thu thập Log 12

2.2.1 Push Log 12

2.2.2 Pull Log 12

2.3 Phân tích, chuẩn hóa Log 14

2.4 Kỹ thuật tương quan sự kiện an ninh 15

2.5 Lưu trữ Log 16

2.6 Theo dõi và giám sát 18

iii

HOẠT ĐỘNG CỦA SIEM 19

3.1 Thu thập thông tin 20

3.2 Chuẩn hóa và tổng hợp sự kiện an ninh 22

3.3 Tương quan sự kiện an ninh 23

3.4 Cảnh báo và báo cáo 25

3.5 Lưu trữ 26

THỰC NGHIỆM, KẾT QUẢ 27

4.1 Một số công cụ triển khai SIEM 28

4.1.1 AlienVault OSSIM 28

4.1.2 Q1 Labs Qradar 29

4.1.3 MARS 30

4.2 Triển khai SIEM với AlienVault OSSIM 31

4.2.1 Phương pháp thu thập thông tin 31

4.2.2 Một số công cụ mã nguồn mở trong AlienVault OSSIM 31

4.2.3 Tương quan sự kiện an ninh trong AlienVault OSSIM 33

4.2.4 Đánh giá rủi ro 33

4.2.5 Các hành động ứng phó sự cố an ninh 34

4.2.6 Báo cáo trong AlienVault OSSIM 35

4.3 Thực nghiệm kết quả với AlienVault OSSIM 36

4.3.1 Lab 1 36

4.3.2 Lab 2 36

4.3.3 Lab 3 36

KẾT LUẬN 37

TÀI LIỆU THAM KHẢO 38

Phụ lục A 40

iv

LỜI CẢM ƠN

Lời đầu tiên em xin chân thành cảm ơn đến thầy cô trường Đại học Công ĐHQGHN đã tận tình chỉ bảo và truyền đạt kiến thức cho chúng em trong suốt các năm học qua Đặc biệt là các thầy trong bộ môn đã hết lòng trực tiếp hướng dẫn, quan tâm và dạy dỗ, truyền đạt nhiều kinh nghiệm cũng như cho em nhiều ý kiến, kiến thức quý báu trong suốt quá trình chuẩn bị, thực hiện và hoàn thành khóa luận tốt nghiệp này

Nghệ-Tôi xin cảm ơn các bạn sinh viên K55 trường Đại học Công Nghệ - Đại học Quốc Gia Hà Nội, đặc biệt là các bạn sinh viên lớp K55C-CLC và K55CB đã đoàn kết, giúp đỡ cùng tôi tham gia theo học các môn học bổ ích và thú vị trong chương trình đại học

Với kiến thức còn hạn hẹp, khả năng áp dụng kiến thức vào thực tiễn chưa được tốt Do đó trong quá trình xây dựng bài khóa luận không tránh khỏi những sai sót và những hạn chế Em rất mong nhận được những đóng góp, ý kiến của quý thầy

cô để em hoàn chỉnh kiến thức của mình

Cuối cùng em xin chúc quý Thầy Cô và toàn thể cán bộ trong trường Đại học Công Nghệ - ĐHQGHN dồi dào sức khỏe và thành công trong công việc

Em xin chân thành cảm ơn!

Hà Nội, tháng 05 năm 2013

v

DANH MỤC CÁC HÌNH

Figure 2-1 – UET Logo Error! Bookmark not defined.

Figure 2-2 – University of Engineering and Technology: (a) Logo of UET (b) Front view

of UET Headquater Error! Bookmark not defined.

DANH MỤC CÁC BẢNG

Table 2.1 – Average day of a UET graduate student.Error! Bookmark not defined

DANH MỤC CÁC TỪ VIẾT TẮT

Guidelines:

Put them in alphabetical order Note that in the main text of the thesis, the first time you introduce an abbreviation, it must be given in full For example:

Fast Fourier transform (FFT) was developed by Cooley and Tuckey in 1965

And even an abbreviation has been introduced earlier, you still need to re-provide the full text when you give a definition about it

1

MỞ ĐẦU

An toàn an ninh mạng cho một hệ thống đang là một nhu cầu cần thiết cho các tổ chức Các cuộc tấn công ngày càng trở lên phức tạp tinh vi hơn Một hệ thống mạng hàng ngày tạo ra một lượng lớn dữ liệu bản ghi log từ các thiết bị và ứng dụng khác nhau Việc thu thập phân tích các bản ghi log ngày càng trở lên phức tạp và khó khăn hơn Đã có nhiều đề tài nghiên cứu và các giải pháp nhằm phát hiện, ngăn chặn và đưa

ra cảnh báo về các sự kiện an ninh trong hệ thống như các thiết bị IDS, IPS Mỗi thiết

bị đều có những ưu điểm và lợi ích riêng giúp chúng ta đảm bảo phần nào nhu cầu an ninh cho hệ thống Song hầu hết các thiết bị này hoạt động một cách riêng lẻ, việc quản

lý tập trung, xử lý các dữ liệu, phân tích các thông tin và quản lý sự kiện an ninh trong

hệ thống là không có SIEM là một giải pháp có thể giúp các tổ chức giải quyết các vấn

đề trên và làm giảm nguy cơ hệ thống bị tấn công xâm nhập SIEM giúp chúng ta quản

lý các thiết bị, dò quét các lổ hổng trong hệ thống, thu thập các dữ liệu từ các thiết bị và các ứng dụng khác nhau, dữ liệu sau đó được chuẩn hóa sang một định dạng chuẩn riêng, phân tích tương quan các thông tin sự kiện an ninh với nhau theo ngữ cảnh và cảnh báo cho các quản trị viên cảnh báo trong trường hợp bị tấn công Bên cạnh đó SIEM đáp ứng các tuân thủ về hoạt động công nghệ thông tin và cung cấp sẵn các báo cáo theo đúng chuẩn quốc tế quy định về an toàn thông tin

Phần tiếp theo của khóa luận được tổ chức như sau:

Chương 1: Tổng quan về SIEM Trong chương này sẽ giới thiệu một cách tổng quan về SIEM Nhằm cung cấp cái nhìn sơ lược về SIEM và những ưu điểm của SIEM Chương 2: Thành phần của SIEM Chương này cung cấp thông tin về thành phần của SIEM

Chương 3: Hoạt động của SIEM Sau khi đã biết về thành phần của SIEM gồm những thành phần nào ở chương trước thì chương này cung cấp các thông tin về cách

mà SIEM hoạt động Giúp hiểu thêm về công nghệ SIEM

Chương 4: Thực nghiệm kết quả Trong chương này, em tiến hành tìm hiểu một số công cụ triển khai SIEM và lựa chọn một công cụ triển khai thực tế nhằm thể hiện rõ hơn lợi ích của công nghệ SIEM

Chương 5: Kết luận Chương này tổng…………

tế Chính vì vậy SIEM (Security information and event management – Công nghệ quản

lý thông tin và sự kiện an ninh) ra đời một cách khách quan và theo xu hướng phát triển của thế giới SIEM giải quyết được các vấn đề nêu trên đảm bảo cho hệ thống của chúng

ta an toàn và hiệu quả hơn

Giải pháp quản lý thông tin và sự kiện an ninh (SIEM) là một giải pháp bảo mật

an ninh cung cấp cái nhìn tổng thể về hệ thống công nghệ thông tin của một tổ chức SIEM là sự kết hợp giữa quản lý thông tin an ninh (SIM - Security Information Management) và quản lý sự kiện an ninh (SEM - Security Event Management)

Nguyên lý cơ bản của SIEM là thu các dữ liệu về các sự kiện an ninh từ nhiều thiết

bị khác nhau ở các vị trí khác nhau trong hệ thống và chúng ta có thể dễ dàng phân tích, theo dõi tất cả các dữ liệu ở tại một vị trí duy nhất để phát hiện xu hướng và theo dõi các dấu hiệu bất thường

SIEM thu thập Log và các tài liệu liên quan đến an ninh khác để phân tích, tương quan liên kết SIEM làm việc thu thập Log và các sự kiện an ninh thông qua các Agent

Từ người dùng đầu cuối, các máy chủ, các thiết bị mạng và thậm chí là các thiết bị an

3

ninh chuyên nghiệp như Firewall, Anti Virus hoặc các hệ thống phòng chống xâm nhập Các thiết bị thu thập thông tin chuyển tiếp thông tin tới trung tâm nhằm chuẩn hóa, quản

lý tập trung, phân tích, tương quan các sự kiện an ninh Tiếp sau đó có thể xác định các

sự kiện bất thường và thông báo tới quản trị viên

< sach imple>

Các chuyên gia bảo mật và các nhà phân tích sử dụng SIEM nhằm theo dõi, xác định, quản lý hệ thống tài sản và ứng phó với các sự cố an ninh Một số sự kiện an ninh như tấn công từ chối dịch vụ (DoS), tấn công có chủ ý, tấn công mã độc hại và phát virus SIEM cũng có thể xác định mà không dễ phát hiện bằng các thiết bị khác Nhiều

sự kiện khó phát hiện hoặc bị che khuất bởi hàng ngàn các sự kiện an ninh khác trong mỗi giây Bên cạnh đó SIEM có thể phát hiện những sự kiện an ninh khó phát hiện hơn như các hành vi vi phạm chính sách, cố gắng truy cập trái phép và phương thức tấn công của những kẻ tấn công có trình độ cao xâm nhập vào hệ thống CNTT

Một mục tiêu quan trọng cho các nhà phân tích an ninh sử dụng SIEM là giảm số lượng cảnh báo giả Hệ thống an ninh được cho là yếu kém, chẳng hạn như hệ thống phát hiện xâm nhập (IDS) thường có những cảnh báo về nhiều sự kiện giả Nhiều cảnh báo này gây lãng phí thời gian, công sức của các nhà phân tích an ninh và thường tập trung chú ý vào các cảnh báo đó Điều đó làm cho các nhà phân tích lại bỏ qua các cảnh báo đúng đắn và quan trọng hơn Với hệ thống SIEM, việc giảm các cảnh báo giả được thực hiện một cách cẩn thận bởi các bộ lọc và các quy tắc tương quan liên kết giữa các thông tin sự kiện an ninh với nhau Điều đó xác định và cảnh báo chính xác khi có sự kiện an ninh bất chấp số lượng lớn những sự kiện an ninh lớn và nhiều

SIEM cung cấp các dịch vụ sau:

- Quản lý nhật lý sự kiện an ninh (Log management)

- Tuân thủ các quy định về CNTT (IT regulatory compliance)

- Tương quan liên kết các sự kiện an ninh (Event correlation)

- Cung cấp các hoạt động ứng phó (Active response)

- Đảm bảo an ninh thiết bị đầu cuối (Endpoint security)

4

1.1.1 Quản lý nhật ký sự kiện an ninh

SIEM quản lý Log từ các thiết bị trong hệ thống Bắt đầu với việc cấu hình các vị trí quan trọng trong hệ thống để gửi các sự kiện an ninh vào một cơ sở dữ liệu tập trung SIEM sẽ chuẩn hóa các Log này về một định dạng duy nhất để phân tích, tương quan liên kết Sau đó, SIEM lưu trữ các file Log, tổ chức, tìm kiếm và các dịch vụ khác để đáp ứng nhu cầu quản lý mà các tổ chức yêu cầu Phần quản lý dữ liệu này cũng sử dụng

để phân tích về thời gian thực, trình trạng khai thác dữ liệu và an ninh của tất cả hệ thống CNTT

1.1.2 Tuân thủ các quy định về CNTT

Tất cả các sự kiện từ các hệ thống quan trọng đang được sử dụng truy nhập, chúng

ta có thể xây dựng các bộ lọc hoặc các thiết lập các luật và tính toán thời gian để kiểm tra và xác thực việc tuân thủ của họ hoặc để xác định hành vi vi phạm các yêu cầu tuân thủ đã đặt ra của tổ chức Các luật đó được đối chiếu với log được đưa vào hệ thống Có thể giám sát số lần thay đổi mật khẩu, xác định hệ điều hành hoặc các bản vá lỗi ứng dụng, kiểm tra chống virus, phần mềm gián điệp và cập nhật Chúng ta có thể xây dựng tập luật riêng của mình cho các bộ lọc hoặc các luật để hỗ trợ trong việc tuân thủ các quy định đã đề ra Nhiều nhà cung cấp SIEM có các tập đóng gói sẵn các quy tắc được thiết kế đặc biệt để đáp ứng các yêu cầu về pháp luật và các quy định khác nhau mà các doanh nghiệp cần phải tuân thủ Chúng được đóng gói và cung cấp bởi các nhà cung cấp một cách miễn phí hoặc mất một khoản chi phí

1.1.3 Tương quan liên kết các sự kiện an ninh

Sự tương quan liên kết giữa các sự kiện an ninh mang đem lại thông báo tốt hơn cho hệ thống Chúng ta không chỉ qua một sự kiện duy nhất để quyết định cách ứng phó hay không ứng phó với nó Với tương quan liên kết giữa các sự kiện an ninh, chúng ta xem xét điều kiện khác nhau trước khi kích hoạt báo động Ví dụ, một máy chủ có CPU

sử dụng 100% có thể được gây ra bởi nhiều nguyên nhân khác nhau Nó có thể do một vấn đề xảy ra hoặc có thể không Cũng có thể là một dấu hiệu cho thấy hệ thống bị quá tải với các hoạt động và yêu cầu một hoặc nhiều dịch vụ hoặc các ứng dụng cần được

5

chia sẻ trên các máy chủ khác Và cũng có thể là máy chủ đạt đến hết công suất do một một tấn công từ chối dịch vụ (DoS) vào hệ thống Hoặc nó có thể là ngừng trệ tạm thời một cách tự nhiên của máy chủ

Các công cụ tương quan trên một SIEM có thể kiểm tra và xem xét (tương quan) các sự kiện khác không phải liên quan đến việc sử dụng CPU Có thể cung cấp một bức tranh đầy đủ hơn về tình trạng của máy chủ để loại trừ giả thuyết về nguyên nhân của vấn đề Ví dụ, trong trường hợp sử dụng CPU 100%, SIEM có thể được cấu hình để xem xét một số nguyên nhân sau đây:

- Phần mềm chống virus xác định có phần mềm độc hại trên máy chủ hay không?

- Bất kỳ máy chủ nào có CPU sử dụng 100%? Cần xem xét có hay không sự tồn tại của virus?

- Một ứng dụng hoặc nhiều ứng dụng, dịch vụ ngừng hoạt động?

- Sự gia tăng lưu lượng mạng do nhu cầu chính đáng của người dùng nhưng vượt quá sự cung cấp dịch vụ của máy chủ

- Sự gia tăng lưu lượng mạng nhưng không do nhu cầu chính đáng của người dùng vượt quá sự cung cấp dịch vụ của máy chủ như một cuộc tấn công DoS? Từ các nguồn khác nhau? Có thể là một từ chối dịch vụ phân tán (DDoS)?

Đó là sự tương quan các sự kiện an ninh Cảnh báo của SIEM giúp chúng ta đưa

ra cách ứng phó tùy thuộc vào các điều kiện

1.1.4 Cung cấp các hoạt động ứng phó

Tất cả các thiết bị cung cấp đầu vào cho SIEM, các quy tắc và bộ lọc sẽ xác định

và phân tích mối quan hệ giữa các thông tin đầu vào đó Chúng ta có thể cấu hình các hành động và thực hiện các phản ứng ứng phó cho tất cả các sự kiện an ninh hoặc có thể cấu hình riêng biệt cho từng loại sự kiện khác nhau

Lợi ích việc thực hiện các hoạt động ứng phó là rất tốt, nhưng bên cạnh đó nó cũng

có điều bất lợi Nếu chúng ta không cấu hình cẩn thận và chính xác thì nó có thể đưa ra các hành động ứng phó không cần thiết Hoạt động ứng phó tự động này dễ dàng trở thành con dao hai lưỡi cho chúng ta

6

1.1.5 Đảm bảo an ninh thiết bị đầu cuối

Hầu hết các hệ SIEM có thể giám sát an ninh cho các thiết bị đầu cuối để thông báo sự an toàn của hệ thống SIEM cung cấp việc quản lý cũng như đánh giá tài sản các thiết bị Bên cạnh là việc dò quét lỗ hổng và cập nhật các bản vá Nhiều hệ thống SIEM

có thể theo dõi các thiết bị như PC, server, Firewall Một số hệ thống SIEM thậm chí có thể quản lý an ninh cho thiết bị đầu cuối, có sự điều chỉnh và hoàn thiện hơn đối với thiết bị an ninh đó trên hệ thống Như cấu hình Firewall, cập nhật và theo dõi Anti-Virus, chống spyware, chống spam email

7

1.2 Ưu điểm của SIEM

Với sự phát triển của hệ thống mạng thì ngày càng nhiều các thiết bị gia tăng và việc quản lý nó trở lên phức tạp hơn rất nhiều Do vậy SIEM là một giải pháp giúp chúng

ta quản lý chúng tốt hơn

Log từ các thiết bị tạo ra ngày càng nhiều (Có thể hàng trăm triệu bản ghi log trong một ngày) thì các quản trị viên hay các công cụ trước đó khó có thể phân tích một cách nhanh chóng, chính xác được SIEM cung cấp việc tích hợp dữ liệu quản lý file log từ nhiều nguồn, bao gồm cả mạng, máy chủ, cơ sở dữ liệu, ứng dụng, cung cấp khả năng hợp nhất dữ liệu để tránh mất các sự kiện quan trọng

Việc đánh giá giá trị tài sản của các thiết bị trong hệ thống là không có với các hệ thống an ninh trước đó SIEM cung cấp việc đánh giá giá trị của các thiết bị hay ứng dụng trong hệ thống (Giá trị tăng dần từ 0-5) và sắp xếp theo sự ưu tiên cảnh báo và bảo

vệ chúng

SIEM cung cấp sự tương quan liên kết giữa các sự kiện an ninh lại với nhau rồi sau đó đưa ra kết luận có hay không một cuộc tấn công Ví dụ như tấn công Brute Force Nếu nhận thấy có hành vi quét cổng, bên cạnh đó là thấy số lần đăng nhập sai tên đăng nhập hoặc mật khẩu quá một giá trị nào đó và từ một IP nguồn trong một thời gian thì SIEM liên kết các sự kiện này với nhau và khẳng chắc rằng có một tấn công Brute Force đang xảy ra với hệ thống Với các hệ thống an ninh trước đó các sự kiện an ninh này không được liên kết lại với nhau Chúng chỉ có thể đưa ra cảnh báo rằng có những hành

vi như quét cổng, đăng nhập sai hay gì đó… Với SIEM nếu có một trong các sự kiện an ninh nói trên thì chúng đưa ra cảnh báo mức trung bình và nếu cùng với đó xảy ra các

sự kiện an ninh tiếp theo xảy ra thì nâng mức cảnh báo cao hơn và báo cho quản trị viên biết để ứng phó

SIEM cung cấp công cụ đánh giá lỗ hổng của các thiết bị trong hệ thống xem chúng

có những lỗ hổng anh ninh nào? Hoặc có những bản vá cập nhật cho những lỗ hổng đó cần được cập nhật

SIEM cung cấp cái nhìn trực quan thông qua các biểu đồ, đồ thị giúp theo dõi rõ ràng hơn Công cụ có thể hiện dữ liệu sự kiện và có thể thể hiện thành biểu đồ thông tin

để hỗ trợ cho thấy mô hình hoặc xác định hoạt động không phù hợp

SIEM cung cấp các khuôn mẫu báo cáo chuẩn theo các tiêu chuẩn về an ninh quốc

tế nhau như HIPAA, ISO27001 để các quản trị viên bảo mật có thể tập trung vào các hoạt động tăng cường an ninh mạng

8

Cung cấp việc lưu trữ các bản ghi log trong một thời gian lâu dài phục vụ cho nhu cầu điều tra tổng hợp sau này và tuân thủ các quy định trong hoạt động CNTT

cơ bản cơ bản được mô tả trong chương này Bằng sự hiểu biết từng phần của SIEM và cách thức hoạt động, chúng ta có thể quản lý một cách hiệu quả và khắc phục sự cố các vấn đề khi phát sinh

sự phức tạp trong triển khai

 Hệ điều hành: Microsoft Windows và các biến thể của Linux và UNIX, AIX, Mac OS là những hệ điều hành thường hay được sử dụng Hầu hết các hệ điều hành vê

cơ bản công nghệ khác nhau và thực hiện chuyên một nhiệm vụ nào đó nhưng một trong những điều mà tất cả đều có điểm chung là chúng tạo ra các bản ghi log Các bản ghi log sẽ cho thấy hệ thống của bạn đã làm gì: Ai là người đăng nhập, làm những gì trên

hệ thống? Các bản ghi log được tạo ra bởi một hệ điều hành về hệ thống và người sử dụng hoạt động sẽ rất hữu ích khi tiến hành ứng phó sự cố an ninh hoặc chẩn đoán vấn

đề hay chỉ là việc cấu hình sai

 Thiết bị: Hầu hết các thiết bị là các hộp đen, các quản trị hệ thống không có quyền truy cập trực tiếp vào hệ thống để thực hiện một số việc quản lý cơ bản Nhưng

có thể quản lý các thiết bị thông qua một giao diện Giao diện này có thể dựa trên web, dòng lệnh hoặc chạy qua một ứng dụng được tải về máy trạm của quản trị viên Hệ điều hành các thiết bị mạng chạy có thể là một hệ điều hành thông thường, chẳng hạn như Microsoft Windows hoặc phiên bản của Linux, nhưng nó cũng có thể được cấu hình theo cách mà hệ điều hành thông thường Một ví dụ như một router hoặc switch Nó không phụ thuộc vào nhà cung cấp, chúng ta không bao giờ có thể truy cập trực tiếp vào

hệ thống điều hành cơ bản của nó mà chỉ có thẻ truy cập vào thông qua dòng lệnh hoặc

11

giao diện web được sử dụng để quản lý Các thiết bị lưu trữ các bản ghi log của chúng trên hệ thống hoặc thường có thể được cấu hình để gửi các bản ghi ra thông qua syslog hoặc FTP

 Ứng dụng: Chạy trên các hệ điều hành là những ứng dụng được sử dụng cho một loạt các chức năng Trong một hệ thống chúng ta có thể có hệ thống tên miền (DNS), dịch vụ cấp phát địa chỉ động (DHCP), máy chủ web, hệ thống thư điện tử và vô số các ứng dụng khác Các bản ghi ứng dụng chứa thông tin chi tiết về tình trạng của ứng dụng,

ví dụ như thống kê, sai sót, hoặc thông tin tin nhắn Một số ứng dụng sinh ra bản ghi log

sẽ có ích cho chúng ta? Chúng ta được yêu cầu để duy trì, lưu trữ các bản ghi log theo

sự tuân thủ của pháp luật

 Xác định bản ghi log cần thiết: Sau khi xác định các thiết bị nguồn trong hệ thống, chúng ta cần xem xét việc thu thập các bản ghi log từ các thiết bị nào là cần thiết

và quan trọng cho SIEM Một số điểm cần chú ý trong việc thu thập các bản ghi log như sau:

- Thiết bị nguồn nào được ưu tiên? Dữ liệu nào là quan trọng mà chúng ta cần phải thu thập?

- Kích thước các bản ghi log sinh ra trong khoảng thời gian nhất định là bao nhiêu? Những thông tin này dùng để xác định SIEM cần bao nhiêu tài nguyên cho chúng, đặc biệt là không gian lưu trữ

- Tốc độ các thiết bị nguồn này sinh ra các bản ghi log là bao lâu? Thông tin này cùng với kích thước bản ghi log để lựa chọn việc sử dụng đường truyền mạng khi thu thập các bản ghi

- Cách thức liên kết giữa các thiết bị nguồn với SIEM?

- Có cần các bản ghi log theo thời gian thực hay thiết lập quá trình thực hiện tại một thời điểm cụ thể trong ngày?

Các thông tin trên rất có ích trong việc xác định nguồn thiết bị cần thiết cho SIEM của chúng ta Chúng có quá nhiều nhưng nó là cần thiết để xác định chính xác hơn điều

gì là cần thiết cho SIEM Số lượng người sử dụng, lịch bảo trì hệ thống và nhiều yếu tố khác có thể tác động đáng kể đến số lượng các bản ghi log được tạo ra mỗi ngày

12

2.2 Thu thập Log

Bước tiếp theo trong sơ đồ là làm thế nào để thu thập các bản ghi log từ các thiết

bị khác nhau Cơ chế thu thập các bản ghi log phụ thuộc vào từng thiết bị nhưng cơ bản nhất có hai phương thức như sau: Pull log và Push log

2.2.1 Push Log

Push log: Các bản ghi log sẽ được các thiết bị nguồn gửi về SIEM

Phương pháp này có lợi ích: Dễ dàng cài đặt và cấu hình Thông thường, chúng ta chỉ cần thiết lập một bộ tiếp nhận và sau đó kết nối thiết bị nguồn đến bộ phận tiếp nhận này Ví dụ như syslog Khi cấu hình thiết bị nguồn sử dụng syslog, chúng ta có thể thiết lập địa chỉ IP hoặc DNS tên của một máy chủ syslog trên mạng và thiết bị sẽ tự động gửi các bản ghi của nó thông qua syslog Tuy nhiên phương pháp nay cũng còn một số nhược điểm Ví dụ, sử dụng syslog trong môi trường UDP Bản chất vốn của việc sử dụng syslog trong môi trường UDP có nghĩa là không bao giờ có thể đảm bảo rằng các gói tin đến đích, vì UDP là một giao thức không hướng kết nối Nếu một tình huống xảy

ra trên mạng chẳng hạn như khi một loại virus mạnh trên mạng, chúng ta có thể không nhận được gói tin syslog Một vấn đề có thể phát sinh là nếu không đặt quyền điều khiển truy cập thích hợp trên máy thu nhận các bản ghi log thì khi cấu hình sai hoặc có phần mềm độc hại có thể làm tràn ngập các thông tin sai lệch Điều đó làm cho các sự kiện

an ninh khó được phát hiện Nếu là một cuộc tấn công có chủ ý nhằm chống lại SIEM thì một kẻ xấu có thể làm sai lệch các thông tin và và thêm các dữ liệu rác vào SIEM

Do vậy sự hiểu biết về các thiết bị gửi các bản ghi log cho SIEM là điều rất quan trọng

2.2.2 Pull Log

Pull log: Các bản ghi log sẽ được SIEM đi tới và lấy về

Không giống như phương pháp Push log, trong đó thiết bị nguồn gửi các bản ghi log cho SIEM mà không cần bất kỳ sự tương tác từ SIEM Pull log đòi hỏi SIEM bắt đầu kết nối với các thiết bị nguồn và chủ động lấy các bản ghi từ các thiết bị nguồn đó Một ví dụ nếu các bản ghi log được lưu trữ trong tập tin văn bản chia sẻ trên một mạng SIEM sẽ thiết lập một kết nối lấy các thông tin được lưu trữ và đọc các file bản ghi từ các thiết bị nguồn

13

Đối với phương pháp Push Log, các bản ghi log của thiết bị nguồn thường gửi các bản ghi đến SIEM ngay sau khi nó được tạo ra Nhưng với phương pháp Pull Log thì một kết nối sẽ được tạo ra để SIEM tiếp cận với các thiết bị nguồn và kéo các bản ghi log từ các thiết bị nguồn về Chu kỳ của việc kết nối để lấy các bản ghi log của Pull Log

có thể là vài giây hoặc theo giờ Khoảng thời gian này chúng ta có thể cấu hình theo tùy chọn hoặc để cấu hình mặc định cho SIEM

- Prebuilt Log collection: Tùy thuộc vào SIEM, thường có các phương pháp được xây dựng sẵn có sẵn để lấy được các bản ghi từ các thiết bị hoặc các ứng dụng Ví dụ, chúng ta có thể trỏ một máy chủ SIEM chạy cơ sở dữ liệu Oracle cung cấp cho các thông tin cơ sở dữ liệu SIEM SIEM sẽ có những phương pháp xác thực và quy tắc (logic) được xây dựng để lấy thông tin từ cơ sở dữ liệu Oracle

Ví dụ này làm cho việc lấy các bản ghi từ các thiết bị nguồn được dễ dàng hơn Nhưng đối với một ứng dụng nào đó mà chúng ta muốn lấy những bản ghi log nhưng không có phương pháp hay quy tắc logic nào được xác định trước đó thì hơi khó Trong trường hợp này, cần thay đổi các bản ghi từ các định dạng file gốc thành một cái gì đó

mà SIEM có thể hiểu được Một ví dụ là nếu chúng ta đang chạy một ứng dụng trên một máy chủ và ứng dụng lưu trữ các bản ghi của nó trong một định dạng tập tin trên máy chủ Chúng ta có thể sử dụng một ứng dụng khác để đọc tập tin này và gửi các bản ghi thông qua syslog Trong trường hợp máy chủ Windows, một cách khác để làm việc với các bản ghi không chuẩn sẽ được để viết nhật ký để Windows Event Log và kéo Windows Event Log vào SIEM

- Custom Log Collection: Với các thiết bị khác nhau trong mạng có thể có một số nguồn bản ghi log không có phương pháp thu thập log chuẩn cung cấp sẵn bởi SIEM Chúng ta cần có phương thức để lấy các bản ghi log từ một nguồn bằng việc xây dựng phương pháp riêng để thu thập các bản ghi log Việc xây dựng phương thức riêng để lấy bản ghi log và phân tích có thể tốn nhiều công sức và thời gian, nhưng nếu được thực hiện đúng cách, nó sẽ có nghĩa là các bản ghi sẽ được kéo trực tiếp từ các thiết bị vào SIEM Một lợi ích khác của việc xây dựng phương pháp thu tập riêng là chúng ta có thể kiểm soát tất cả các quá trình phân tích và tìm kiếm

14

2.3 Phân tích, chuẩn hóa Log

Vô số các bản ghi log được gửi từ các thiết bị và ứng dụng trong môi trường đến SIEM, điều gì sẽ xảy ra tiếp theo? Tại thời điểm này, tất cả các bản ghi đang ở định dạng gốc ban đầu, do đó chúng ta không thực hiện được bất cứ điều gì ngoại trừ lưu nó vào một nơi nào đó Nhưng để các bản ghi log hữu ích trong SIEM chúng ta cần định dạng lại chúng sang một định dạng chuẩn duy nhất Việc thay đổi tất cả các loại bản ghi log khác nhau thành các bản ghi có cùng một định dạng duy nhất được gọi là chuẩn hóa Việc chuẩn hóa các bản ghi log giúp cho SIEM có thể thống nhất các bản ghi log, nhanh chóng phân tích cũng như tương quan sự kiện an ninh sau nay