0

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP. HỒ CHÍ MINH

BÁO CÁO
KIỂM THỬ VÀ GIÁM SÁT AN TỒN MẠNG

Giám sát an ninh mạng sử dụng cơng nghệ QRADAR

GVHD:
SVTH:

TP.Hồ Chí Minh, 2021


1

LỜI CẢM ƠN
Chúng em xin bày tỏ lịng kính trọng và biết ơn đến thầy x đã tận tình giúp đỡ và
hướng dẫn chúng em hoàn thành bài báo cáo này. Nhờ sự giúp đỡ nhiệt lòng của thầy mà
báo cáo đã hoàn thành đúng tiến độ đề ra.
Trong quá trình thực hiện, nhóm chúng em rất cố gắng. Nhưng cũng khó tránh
khỏi những sai sót, kính mong q thầy cơ và các bạn góp ý thêm. Xin chân thành cảm
ơn!


2

Mục lục
Chương 1: TỔNG QUAN.......................................................................3

1: Tổng quan về đồ án............................................................................................3
2: Nhiệm vụ của đồ án............................................................................................3
3: Cấu trúc đồ án....................................................................................................3

Chương 2: CƠ SỞ LÝ THUYẾT................................................................4
1. Giới thiệu về QRADAR.....................................................................................4
2: Các chức năng chính..........................................................................................5
3: Phát hiện hoạt động của mạng, người dùng và ứng dụng bất thường................7
4: Dễ dàng mở rộng quy mô với nhu cầu thay đổi.................................................8

Chương 3: KẾT QUẢ THỰC NGHIỆM.....................................................9
Chương 4: TỔNG KẾT.........................................................................20
1. Kết luận............................................................................................................20


3

Chương 1: TỔNG QUAN
1: Tổng quan về đồ án
Giới thiệu cho chúng ta biết đến phần mềm giám sát an ninh mạng sử dụng cơng
nghệ QRadar
Nhiệm vụ của QRadar
Các tình năng chính

2: Nhiệm vụ của đồ án
Giúp người dùng hiểu rõ hơn về QRadar
Cấu hình và triển khai QRadar

3: Cấu trúc đồ án
Đồ án gồm có 4 chương:

- Chương 1: Tổng quan
Phần này giới thiệu tổng quan, nhiệm vụ của đồ án, giúp chúng ta hiểu nội dung
căn bản của đồ án
- Chương 2: Cơ sở lý thuyết
Phần này sẽ giới thiệu cụ thể về khái niệm QRadar, nhu cầu của ứng dụng này
trong hiện tại, vấn đề bảo mật, những ưu và nhược điểm của QRadar, kiến trúc xử lý và
phân tích giá trị từng thành của mỗi quá trình.
- Chương 3: Kết quả thực nghiệm
Phần này sẽ cho chúng ta thấy mơ hình mục tiêu úng dụng, giới thiệu các cơng cụ
để thực hiện và phân tích
- Chương 4: Kết luận và hướng phát triển của đồ án
Phần này sẽ rút ra những lưu ý và lời khuyên và đưa ra hướng phát triển để giao
thức hoàn thiện hơn.


4


5

Chương 2: CƠ SỞ LÝ THUYẾT
1. Giới thiệu về QRadar
QRadar SIEM được thiết kế để tự động phân tích và tương quan hoạt động trên
nhiều nguồn dữ liệu bao gồm nhật ký, sự kiện, luồng mạng, hoạt động của người dùng,
thông tin về lỗ hổng và thông tin về mối đe dọa để xác định các mối đe dọa đã biết và
chưa biết
QRadar chạy hệ điều hành CentOS 7.
QRadar SIEM tương quan và phân tích thơng minh nhiều loại thơng tin, bao gồm
các hoạt động sau:
 Sự kiện bảo mật: Từ tường lửa (Firewall) , mạng riêng ảo (VPN), hệ thống phát

hiện xâm nhập (IDS), hệ thống ngăn chặn xâm nhập (IPS), cơ sở dữ liệu và nhiều
hơn nữa.
 Sự kiện mạng: Từ thiết bị chuyển mạch (switch), bộ định tuyến (router), máy chủ
(server) , máy chủ (host)và nhiều hơn nữa.
 Bối cảnh hoạt động mạng: Bối cảnh ứng dụng lớp 7 (Layer 7 application) từ lưu
lượng mạng và ứng dụng
 Hoạt động trên đám mây: Từ các môi trường SaaS và Cơ sở hạ tầng dưới dạng
Dịch vụ (IaaS), như Office365, SalesForce.com, Amazon Web Services (AWS),
Azure và Google Cloud.
 Bối cảnh người dùng và tài sản: Dữ liệu theo ngữ cảnh từ các sản phẩm quản lý
truy cập và nhận dạng (identity and access management) và phần mềm do quét lỗ
hổng.
 Sự kiện điểm cuối: Từ event log của Windows, giải pháp Sysmon, EDR và hơn thế
nữa.
 Nhật ký ứng dụng: Từ các giải pháp hoạch định nguồn lực doanh nghiệp (ERP),
cơ sở dữ liệu ứng dụng, ứng dụng SaaS và hơn thế nữa


6

 Thông tin mối đe doạ (Threat intelligence): Từ các nguồn như IBM X-Force®
IBM QRadar SIEM cho phép bạn giảm thiểu khoảng cách thời gian giữa thời điểm
một hoạt động đáng ngờ xảy ra và khi bạn phát hiện ra nó. Các cuộc tấn cơng và vi phạm
chính sách để lại dấu vết trong các sự kiện nhật ký và luồng mạng của hệ thống CNTT
của bạn. QRadar SIEM kết nối các dấu chấm và cung cấp cho bạn thông tin chi tiết bằng
cách thực hiện các tác vụ sau:
 Cảnh báo về các cuộc tấn công bị nghi ngờ và vi phạm chính sách trong mơi
trường CNTT
 Cung cấp khả năng hiển thị sâu vào hoạt động mạng, người dùng và ứng dụng
 Đặt dữ liệu liên quan đến bảo mật từ nhiều nguồn khác nhau theo ngữ cảnh của

nhau
 Cung cấp các mẫu báo cáo để đáp ứng các yêu cầu về hoạt động và tuân thủ
 Cung cấp lưu trữ nhật ký đáng tin cậy, chống giả mạo để điều tra pháp y và sử
dụng bằng chứng

2: Các chức năng chính
- Ghi nhật ký hoạt động
 Điều tra Điều tra dữ liệu sự kiện.
 Điều tra nhật ký sự kiện được gửi đến QRadar trong thời gian thực.
 Tìm kiếm sự kiện.
 Giám sát hoạt động nhật ký bằng cách sử dụng biểu đồ chuỗi thời gian có thể định
cấu hình.


7

 Xác định báo động giả để điều chỉnh QRadar
- Hoạt động mạng


Điều tra các luồng được gửi đến QRadar trong thời gian thực.

 Các luồng mạng tìm kiếm.
 Giám sát hoạt động mạng bằng cách sử dụng biểu đồ chuỗi thời gian có thể định
cấu hình.
- Assets
 Tìm kiếm Assets.
 Xem tất cả các Assets.
 Điều chỉnh các lỗ hổng báo động giả.
- Vi phạm

 Điều tra các hành vi vi phạm, địa chỉ IP nguồn và đích, các hành vi mạng và các
điểm bất thường trên mạng của bạn.
 Tương quan các sự kiện và luồng được lấy từ nhiều mạng đến cùng một địa chỉ IP
đích.
 Đi tới các trang khác nhau của tab Vi phạm để điều tra chi tiết sự kiện và quy
trình.
 Xác định các sự kiện duy nhất đã gây ra một hành vi phạm tội.
- Báo cáo
 Tạo, phân phối và quản lý báo cáo cho dữ liệu QRadar .


8

 Tạo các báo cáo tùy chỉnh để sử dụng trong hoạt động và điều hành.
 Kết hợp thông tin mạng và bảo mật vào một báo cáo duy nhất.
 Sử dụng hoặc chỉnh sửa các mẫu báo cáo được cài đặt sẵn.
 Xây dựng thương hiệu cho các báo cáo của bạn bằng các biểu trưng tùy
chỉnh. Thương hiệu có lợi cho việc phân phối báo cáo cho các đối tượng khác
nhau.
 Đặt lịch để tạo cả báo cáo tùy chỉnh và mặc định.
 Xuất bản báo cáo ở nhiều định dạng khác nhau.

3: Phát hiện hoạt động của mạng, người dùng và ứng dụng bất thường
QRadar bao gồm hàng trăm trường hợp sử dụng bảo mật được xây dựng trước,
thuật toán phát hiện bất thường, quy tắc và chính sách tương quan thời gian thực để phát
hiện các mối đe dọa đã biết và chưa biết. Khi các mối đe dọa được phát hiện, giải pháp
tổng hợp các sự kiện bảo mật liên quan thành các cảnh báo đơn lẻ, được ưu tiên được gọi
là các vi phạm (offenses). Hành vi phạm tội được tự động ưu tiên dựa trên cả mức độ
nghiêm trọng của mối đe dọa và mức độ nghiêm trọng của các tài sản liên quan.
Trong mỗi hành vi phạm tội, các nhà phân tích bảo mật có thể thấy tồn bộ chuỗi

hoạt động đe dọa từ một màn hình duy nhất. Từ đây, các nhà phân tích có thể dễ dàng đi
sâu vào các sự kiện hoặc luồng mạng cụ thể để bắt đầu một cuộc điều tra, chỉ định hành
vi phạm tội cho một nhà phân tích cụ thể hoặc đóng nó. Hành vi phạm tội được tự động
cập nhật khi có hoạt động liên quan mới xảy ra để các nhà phân tích có thể xem thơng tin
cập nhật nhất tại bất kỳ thời điểm nào. Cách tiếp cận độc đáo này giúp các nhà phân tích
bảo mật dễ dàng hiểu được các mối đe dọa quan trọng nhất trong môi trường bằng cách
cung cấp cái nhìn sâu sắc từ đầu đến cuối về từng sự cố tiềm ẩn đồng thời giảm tổng âm
lượng cảnh báo.


9

Khi những kẻ tấn công trở nên tinh vi hơn trong các kỹ thuật của chúng, việc phát
hiện mối đe dọa đã biết khơng cịn là đủ. Thay vào đó, các tổ chức cũng phải có khả năng
phát hiện những thay đổi nhỏ trong hành vi của mạng, người dùng hoặc hệ thống có thể
chỉ ra các mối đe dọa không xác định, chẳng hạn như người trong cuộc độc hại, thông tin
bị xâm phạm hoặc fileless malware. QRadar chứa nhiều khả năng phát hiện bất thường để
xác định những thay đổi trong hành vi có thể là chỉ số của một mối đe dọa chưa biết. Và
khả năng độc đáo của QRadar để giám sát và phân tích lưu lượng ứng dụng Lớp 7 cho
phép nó xác định chính xác hơn các bất thường mà các giải pháp khác có thể bỏ lỡ
Bằng cách tùy chọn sử dụng QRadar Network Insights như một phần của việc
triển khai SIEM, các tổ chức có thể hiểu rõ hơn về các hệ thống giao tiếp với nhau, ứng
dụng nào có liên quan và thơng tin nào được trao đổi trong các gói. Bằng cách tương
quan thông tin này với hoạt động mạng, nhật ký và người dùng khác, các nhà phân tích
bảo mật có thể phát hiện ra hoạt động mạng bất thường có thể là dấu hiệu của máy chủ bị
xâm nhập, người dùng bị xâm phạm hoặc nỗ lực đánh cắp dữ liệu.
Trong khi QRadar mang tới nhiều quy tắc phát hiện hành vi và dị thường như cài
đặt mặc định, các nhóm bảo mật cũng có thể tạo quy tắc riêng, cài đặt phát hiện bất
thường và tải xuống 160 ứng dụng được xây dựng trước từ IBM Security App Exchange
để tăng cường triển khai.


4: Dễ dàng mở rộng quy mô với nhu cầu thay đổi
Kiến trúc linh hoạt, có thể mở rộng của QRadar được thiết kế để hỗ trợ cả các tổ
chức lớn và nhỏ với nhiều nhu cầu khác nhau. Các tổ chức nhỏ hơn có thể bắt đầu với
một giải pháp tất cả trong một có thể dễ dàng nâng cấp thành triển khai phân tán khi nhu
cầu phát triển. Các tổ chức doanh nghiệp lớn hơn có thể triển khai các thành phần chuyên
dụng để hỗ trợ các mạng phân tán, toàn cầu với khối lượng dữ liệu cao. Giải pháp
QRadar SIEM bao gồm các thành phần sau: bộ thu sự kiện, bộ xử lý sự kiện, bộ thu lưu
lượng, bộ xử lý luồng, nút dữ liệu (để lưu trữ chi phí thấp và tăng hiệu suất) và bảng điều
khiển trung tâm. Tất cả các thành phần có sẵn như phần cứng, phần mềm hoặc thiết bị ảo.


10

Tùy chọn phần mềm và thiết bị ảo có thể được triển khai tại chỗ, trong môi trường IaaS
hoặc phân phối trên các mơi trường lai.
Bất kể mơ hình triển khai, các tổ chức có thể tùy chọn thêm tính sẵn sàng cao và
bảo vệ khắc phục thảm họa ở đâu và khi cần để giúp đảm bảo hoạt động liên tục. Đối với
các tổ chức tìm kiếm khả năng phục hồi kinh doanh, QRadar cung cấp chuyển đổi dự
phòng tự động tích hợp và đồng bộ hóa tồn bộ đĩa giữa các hệ thống mà không cần thêm
các sản phẩm quản lý lỗi của bên thứ ba. Đối với các tổ chức đang tìm kiếm bảo vệ và
phục hồi dữ liệu, các giải pháp khắc phục thảm họa QRadar có thể chuyển tiếp dữ liệu
trực tiếp, chẳng hạn như các luồng và sự kiện, từ hệ thống QRadar chính sang hệ thống
song song thứ cấp được đặt tại một cơ sở riêng biệt.

Chương 3: KẾT QUẢ THỰC NGHIỆM
Mơ hình triển khai

Tải và cài đặt QRadar tại: />Bước 1: Tải và cài đặt Qradar chạy HĐH Centos 7 trên VMware Workstation
Memory : 8GB

Processors: 4


11

Hard Disk: 250GB
Network Adapter: Bridged

Khởi động để bắt đầu cấu hình
Ta sẽ sử dụng PuTTY SSH qua Qradar để cấu hình dễ dàng hơn


12

Tiếp đến ta sẽ chạy file setup
./setup

Quá trình này sẽ mất khoảng 30p
Sau khi setup xong ta sẽ đặt pass cho admin dùng để đăng nhập truy cập web


13

Kiểm tra xem hệ thống đã khởi động hay chưa bằng dịng lệnh
systemctl status tomcat

Bây giờ ta có thể truy cập web bằng đường dẫn và đăng nhập bằng tài khoản admin
https://ip



14

Giao diện trang chủ của Qradar

Tiếp đến chúng ta Mount IOS Qradar
sudo mount -o loop /opt/ibm/cloud/iso/QradarCE2019.14.0.20191031163225.GA.iso
/media/cdrom


15

Vào đường dẫn
cd /mdia/cdrom/post/dsmrpms/
Và cài gói DSM
yum -y install DSM-MicrosoftWindows-7.3-20170803132814.noarch.rpm

Tiếp đến ta tải file Qradar_wincollectupdate và dùng WinSCP để truyền file vào Qradar
vào đường dẫn:
/mdia/cdrom/post/dsmrpms/storetmp


16


17

mount file Qradar_wincollectupdate và chạy installer

Ta tiếp tục tạo uỷ quyền để giám sát được Window 10
Qradar -> Admin -> Authorized Services



18

Add Authorized Service

Ta sẽ nhận được Authentication Token


19

Tiếp theo ta sẽ vào Wincollect

Add WinCollect


20

Ta chuyển sang Window 10 và cài đặt WinCollect
Dùng token đã tạo và ip của Qradar

Sau khi cài đặt xong ta khởi động lại WinCollect


21

Quay trở lại Qradar vào Collect -> Agents
Ta sẽ thấy được máy window 10 ở đây

Ở tab Log Activity ta sẽ thấy được các luồng dữ liệu của window 10



22

Chương 4: TỔNG KẾT
1. Kết luận
Trong chương này, đồ án đã giới thiệu quy trình và các bước cài đặt và triển khai
hệ thống giám sát an ninh mạng QRadar cũng như các bước thu thập và xử lý các sự kiện.
Qua đó, đã trình bày cơ bản về các chức năng trên hệ thống và các thành phần quản trị hệ
thống giám sát an ninh mạng QRadar.
Đồ án đã tìm hiểu, nghiên cứu về các vấn đề trong việc triển khai giải pháp
giám sát an ninh mạng IBM QRadar sau như:
• Tổng quan về tình hình giám sát an ninh mạng trong nước và ngồi nước hiện
nay
• Tìm hiểu, nghiên cứu và phân tích các giải pháp giám sát an ninh mạng hiện nay
đặc biệt là giải pháp SIEM;
• Tìm hiểu các mơ hình và giải pháp triển khai cho hệ thống giám sát an
ninh mạng IBM QRadar;
• Tìm hiểu, nghiên cứu thành phần, cơ chế hoạt động của hệ thống giám
sát an ninh mạng IBM QRadar;
• Triển khai, thử nghiệm hệ thống giám sát IBM QRadar.
Lợi ích:
• QRadar giảm chi phí nhân viên
• Qradar quản lý rất tốt trong việc giám sát mạng nội bộ
• Dễ dàng mở rộng quy mơ tuỳ với nhu cầu của người dùng
• Với giao diện dễ dàng tuỳ chỉnh phù hợp mọi doanh nghiệp
• Có khả năng tốt trong việc giúp người dùng phát hiện chính xác các cuộc tấn
cơng thực tế



23

• Cung cấp cái nhìn trực quan giúp người dùng theo dõi rõ ràng
• Giám sát an ninh mạng cho thấy sự tương quan sự kiện giữa các thiết bị, giảm
thiểu các báo động giả
Hạn chế đề tài:
• Chưa tìm hiểu chuyên sâu về các thuật toán tương quan và hệ thống
giám sát an ninh mạng
Hướng nghiên cứu tiếp theo:
• Nghiên cứu về việc nâng cao hiệu quả trong việc giám sát an ninh
mạng;