Tải bản đầy đủ (.docx) (33 trang)

Hệ thống giám sát sử dụng SolarWinds Security Event Manager

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.08 MB, 33 trang )

1

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP. HỒ CHÍ MINH

BÁO CÁO
MƠN AN TỒN HĐH VÀ HỢP NGỮ

Hệ thống giám sát An tồn thơng tin sử dụng SolarWinds
Security Event Manager (SEM)

Ngành:

CƠNG NGHỆ THƠNG TIN

Chun Ngành:

AN TỒN THƠNG TIN

GVHD: ThS.Dương Minh Chiến
SVTH: x
x
x

MSSV: x
MSSV: x
MSSV: x
Lớp:

1


x


2

TP.Hồ Chí Minh, 2021
LỜI CẢM ƠN
Chúng em xin bày tỏ lịng kính trọng và biết ơn sâu sắc đến Thầy x đã tận tình
giúp đỡ và hướng dẫn chúng em hoàn thành bài báo cáo này. Nhờ sự giúp đỡ nhiệt lịng
của thầy mà báo cáo đã hồn thành trong 2 tuần, đúng tiến độ đề ra.

2


3

NỘI DUNG ĐỀ TÀI
Hệ thống giám sát An tồn thơng tin sử dụng SolarWinds Security Event Manager
(SEM)
- Tự động tìm kiếm log
- Tự động phát hiện những bất thường trong hệ thống
- Phân tích lịch sử
- Hệ thống cảnh báo

3


4

MỤC LỤC

Contents

4


5

Chương 1: TỔNG QUAN
1.1 Cấu trúc bài báo cáo
Báo cáo gồm có 3 chương:
- Chương 1: Giới thiệu tổng quan, nhiệm vụ của đồ án, giúp chúng ta hiểu nội
dung căn bản của đồ án.
- Chương 2: Triển khai mô hình, hướng dẫn cách thực hiện.
- Chương 3: Rút ra kết luận, ưu nhược điểm, hướng phát triển để hoàn thiện hơn.

1.2 Giới thiệu
Phần mềm Solarwinds Log & Event Manager thu thập thông tin từ các thiết bị
khác nhau, tập trung tất cả vào một file log duy nhất và liên kết các dữ liệu này nhằm đưa
ra các chi tiết quan trọng như tên sự kiện, ngày xảy ra và mức độ nghiêm trọng.
Tính năng nổi bật của phần mềm này là nó khơng chỉ phân tích các file log, mà
cịn tìm hiểu từ các sự kiện trong q khứ để cảnh báo người dùng trước khi điều tương
tự xảy ra. Cách tiếp cận chủ động như vậy chắc chắn sẽ lưu trữ được nhiều thông tin về
các hành vi vi phạm dữ liệu.
Để giúp bảo vệ dữ liệu nhạy cảm và làm giảm nguy cơ mất dữ liệu, người dùng
được khuyên nên sử dụng công nghệ Security Information and Event Management
(SIEM), cụ thể như SolarWinds Log & Event Manager. Log & Event Manager (LEM) là
một sản phẩm SIEM tồn diện, được đóng gói trong một thiết bị ảo rất dễ sử dụng, một
ứng dụng có tất cả trong một. Với chức năng out-of-the-box, bất cứ ai cũng có thể sử
dụng và chạy nó mà khơng cần phải là một chuyên gia bảo mật! Quan trọng nhất, nó bao
gồm tính năng phát triển chun mơn để giúp phịng chống mất mát dữ liệu


5


6

1.3: Một số tính năng nổi bật
Tính năng 1: Phát hiện giao tiếp với Command và Control Servers

Các cuộc tấn công DDoS được thực hiện bởi các mạng botnet, chúng xâm nhập
vào các hệ thống trên khắp thế giới. Một mạng botnet của một vài máy chủ tương đối vô
hại, nhưng một mạng botnet bao gồm hàng nghìn máy đại diện cho một lực lượng rất
mạnh có khả năng đánh sập các tổ chức được nhắm mục tiêu.
SolarWinds Security Event Manager (SEM) được xây dựng để tận dụng danh sách
các tác nhân xấu đã biết có nguồn gốc từ cộng đồng để dễ dàng xác định các tương tác
với các máy chủ điều khiển và chỉ huy tiềm năng. Điều này được thực hiện bằng cách
hợp nhất, chuẩn hóa và xem xét nhật ký từ nhiều nguồn, bao gồm IDS / IPS, tường lửa ,
máy chủ, dịch vụ xác thực và máy trạm.
Tính năng 2: Phản hồi trong thời gian thực với rule-based event correlation
Botnet hoạt động bằng cách lấn át các dịch vụ trực tuyến hợp pháp đến mức dịch
vụ trực tuyến không thể xử lý khối lượng hoạt động và ngoại tuyến một cách hiệu quả
trong suốt thời gian xảy ra cuộc tấn cơng. Một mạng botnet có thể nằm im cho đến khi nó
nhận được hướng dẫn từ các máy chủ điều khiển và chỉ huy.
SEM được thiết kế với các phản hồi tự động có thể bao gồm từ gửi cảnh báo, chặn
IP, đến thực sự đóng tài khoản. Các tùy chọn này có thể dễ dàng định cấu hình bằng cách
sử dụng các hộp kiểm và không yêu cầu các tập lệnh tùy chỉnh mở rộng, giúp đảm bảo
hoạt động đáng ngờ của hệ thống không bị chú ý.

6



7

Tính năng 3: Điều tra lỗ hỏng bằng các cơng cụ forensics
Nhật ký và sự kiện được SolarWinds SEM ghi lại được xây dựng để mã hóa, nén
và ghi lại ở định dạng chỉ đọc không thể thay đổi. Kho lưu trữ nhật ký này đại diện cho
một nguồn sự thật duy nhất có thể được tận dụng trong các cuộc điều tra sau vi phạm và
giảm thiểu DDoS.
Tìm kiếm trong SEM được thiết kế để dễ dàng tùy chỉnh để lọc các khung thời
gian cụ thể, tài khoản hoặc IP cụ thể hoặc kết hợp các tham số. Với giao diện người dùng
kéo và thả đơn giản tận dụng logic Boolean đơn giản, bạn có thể dễ dàng xây dựng các
truy vấn để tìm kiếm trong SEM mà khơng cần sử dụng grep hoặc regex.

7


8

Chương 2: TRIỀN KHAI MƠ HÌNH
Cài đặt SolarWinds Security Event Manager (SEM) trên nền tản máy ảo ESXI( vphere)
Truy cập trình duyệt bằng địa chỉ IP của ESXI

Đăng nhập quyền root và mật khẩu khi tạo ESXI

8


9

Chọn Create VM để tạo máy ảo


Chọn tệp OVA của Sem dể add vào máy chủ

9


10

Chọn Next -> finish
Powon để bật máy chủ Solarwinds:

10


11

Giao diện của SEM chỉ dùng các dòng lệnh để thực thi

Trước tiên chọn set timezone để đổi mốc thời gian
11


12

SEM sẽ yêu cầu tài khoản và mật khẩu, nếu như lần đầu đăng nhập
Tài khoản sẽ là cmc và mật khẩu sẽ là password

12



13

Set timezone theo khu vực mà bạn muốn
Để việc cấu hình dễ dàng hơn chúng ta có thể sử dụng nền tảng Putty để tao tác cấu hình

Host NAME: chúng ta sẽ điền vào địa chỉ IP của SEM, port sẽ là 22 và connection type là
SSH

13


14

Chọn Accept để tiếp tục

Đăng nhập tài khoản SEM vào putty

14


15

Chúng ta có thể thấy giao diện của SEM
Trước tiên cài đặt cho phép SEM ra net
Vào manager  togglehttp
Sau đó SEM sẽ hỏi chúng ta có muốn bật cổng port 80 hay không
Chúng ta chọn “y”

Thông báo đã bật cổng port lên
Từ đây chúng ta có thể cấu hình SEM ở giao diện WEB


15


16

Truy cập Solarwinds với địa chỉ IP mà SEM đã nhận

16


17

Mật khẩu và tài khoản đã được mặc định sẵn cho lần đầu truy cập chỉ cần nhấp Login để
đăng nhập và cấu hình:
Tích vào ơ: “I accept the terms of license agreement”
Bấm next.

17


18

Ở đây chúng ta thay đổi mật khẩu cho tài khoản admin của SEM
Mật khẩu yêu cầu có số chữ, một ký tự đặc biệt hoặc 1 chữ in hoa

Thêm email để SEM liên lạc

Đây là giao diện của SEM trên web
18



19

Ở tab Live Events chúng ta có thể nhìn thấy các thao tác chúng ta vừa làm ở SEM

Ở Historical Event chúng ta sẽ được thống kê các cột mốc SEM ghi lại trước đó

19


20

Rule: chúng ta dùng để cấu hình các quy tắc mà Sem ghi lại:
ví dụ: Login, cảnh báo, lưu lượng vv

Ở NODES chúng ta có thể thêm các máy để giám sát
20


21

Trước tiên chúng ta sẽ thêm tường lửa cho SEM:
Chọn Configure -> Manager connectors

Ở ơ tìm kiếm nhập tìm firewall mà mình muốn cài

Sau đó nhấn ADD conector

21



22

Chọn ADD để thêm firewall

Ở ô Configured Connectors chọn firewall vừa add và chọn start để bật fire wall
***

22


23

Giờ chúng ta sẽ dùng 1 máy ảo để giám sát:
Để thêm được máy vào, chúng ta phải đăng nhập giao diện này ở máy cần thêm và cài đặt
NODE AGENT
Giờ chúng ta sẽ sử dụng máy SV-12 để làm ví dụ

23


24

Đăng nhập SEM bằng máy ảo

Vào NODEs chọn add NODE

24



25

Chọn Nền tảng phù hợp với máy
Ở đây chúng ta sử dụng Window nên tải phần Windows Agent Installer về

Giải nén file vừa tải và cài đặt NODE Agent
Chọn next ở tab License Agreement và tích vào ơ I accept the terms of license
agreement
Sau đó chọn next
25


×