Tải bản đầy đủ (.pdf) (57 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Bctttn nguyen manh thin

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.36 MB, 57 trang )

BỘ THÔNG TIN VÀ TRUYỀN THÔNG
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG
-------------------------------

BÁO CÁO THỰC TẬP
TỐT NGHIỆP ĐẠI HỌC
Đề tài:
Nghiên cứu giải pháp SIEM dựa trên Mozilla
Defense Platform
Người hướng dẫn
Sinh viên thực hiện
Mã số sinh viên
Lớp
Khóa
Hệ

: ThS. NGUYỄN HỒNG THÀNH
: NGUYỄN MẠNH THÌN
: N18DCAT085
: D18CQAT01-N
: 2018 – 2023
: ĐẠI HỌC CHÍNH QUY

TP.HCM, THÁNG 4 NĂM 2023


BỘ THÔNG TIN VÀ TRUYỀN THÔNG
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG
-------------------------------

BÁO CÁO THỰC TẬP


TỐT NGHIỆP ĐẠI HỌC
Đề tài:
Nghiên cứu giải pháp SIEM dựa trên Mozilla
Defense Platform
Người hướng dẫn
Sinh viên thực hiện
Mã số sinh viên
Lớp
Khóa
Hệ

: ThS. NGUYỄN HỒNG THÀNH
: NGUYỄN MẠNH THÌN
: N18DCAT085
: D18CQAT01-N
: 2018 – 2023
: ĐẠI HỌC CHÍNH QUY

TP.HCM, THÁNG 4 NĂM 2023


MỞ ĐẦU
Sự phát triển của cuộc cách mạng công nghiệp 4.0 khiến cho thông tin trở thành
một trong những thứ giá trị nhất. Việc bảo mật thông tin cũng như quản lý hệ thống đã
là một phần không thể thiếu trong thời đại hiện nay. Các doanh nghiêp, tổ chức đều có
nhu cầu quản lý mạng nội bộ và giữ cho thông tin được bảo vệ một cách chặt chẽ để
tránh cho thơng tin bị rị rỉ hay bị tin tặc tấn công. Thông qua việc sử dụng biện pháp
phát hiện, ngăn chặn càng sớm thì sự an tồn của tổ chức càng được củng cố.
Thông qua đề tài “Nghiên cứu giải pháp SIEM dựa trên Mozilla Defense
Platform” của bản thân. Em mong muốn tìm hiểu chuyên sâu và triển khai kiến trúc

MozDef này áp dụng cho việc học tập, nghiên cứu và áp dụng vào thực tế. Từ đó nâng
cao trình độ cũng như kiến thức của bản thân, khơng những thế cịn là nguồn tài liệu để
mang lại giá trị cho các thế hệ kế cận có nhu cầu tìm hiểu về những kiến thức có trong
đề tài này.
Tuy nhiên, vì thời gian và kiến thức cịn hạn chế nên trong q trình làm đề tài
em khơng thể tránh khỏi những thiếu xót, kính mong nhận được những thời nhận xét và
góp ý của q thầy cơ.
1. Mục tiêu:
-

Tìm hiểu về Mozilla Defense Platform

-

Nắm được ý nghĩa và cách áp dụng.

-

Tìm hiểu được cách triển khai hệ thống và thử nghiệm trường hợp mẫu.

2. Phương pháp nghiên cứu:
-

Về mặt lý thuyết: Thu thập, tìm hiểu các tài liệu mẫu, mã nguồn mở có liên quan đến
đề tài. Tham khảo các nguồn nghiên cứu, triển khai được thực hiện trước đó, ứng
dụng để phát triển hệ thống thử nghiệm.

-

Về mặt thử nghiệm: Thực hiện cài đặt dịch vụ trên máy ảo CentOS, xây dựng mơ

hình triển khai, áp dụng kịch bản để thử nghiệm hệ thống.

i


LỜI CẢM ƠN
Lời đầu tiên, em xin phép gửi lời tri ân sâu sắc đến các thầy cô trường Học Viện
Cơng Nghệ Bưu Chính Viễn Thơng cơ sở tại thành phố Hồ Chí Minh đã tận tình dẫn
dắt và truyền đạt cho em rất nhiều kiến thức quý báu trong trong những năm học vừa
qua.
Đặc biệt, em xin gửi lời cảm ơn chân thành nhất tới Thạc sĩ Nguyễn Hoàng
Thành. Thầy đã truyền đạt kiến thức, hướng dẫn em nghiên cứu và thực hành trong
suốt quá trình thực hiện đề tài. Em không chỉ tiếp thu thêm được nhiều kiến thức mới
mà còn học được tinh thần và thái độ làm việc nghiêm túc từ thầy. Đó sẽ là những
hành trang cần thiết cho quá trình làm việc trong tương lai.
Em xin chân thành cảm ơn ban lãnh đạo đã chấp nhận cho em có cơ hội thực
tập và tạo điều kiện cho em tham gia học hỏi, áp dụng những kiến thức vào thực tế mà
em đã được học được tại trường, tận tình chỉ dạy em trong quá trình thực tập tại q
cơng ty.
Em cũng hết lịng biết ơn sự quan tâm và ủng hộ của gia đình và bạn bè. Đó
chính là nguồn động viên tinh thần rất lớn để theo đuổi và hoàn thành báo cáo này.
Vì lần đầu em được tiếp xúc với mơi trường làm việc thực tế tại công ty nên
cách thức làm việc và thực hiện của em sẽ không tránh khỏi những thiếu sót. Em rất
mong nhận được sự thơng cảm và đóng góp ý kiến của q thầy cơ nhà trường, các
anh/chị quản lý, đồng nghiệp phía cơng ty.
Sau cùng, em xin chúc Quý thầy cô khoa Công nghệ thông tin 2 và đặc biệt là
thầy Nguyễn Hoàng Thành thật dồi dào sức khỏe để tiếp tục truyền đạt kiến thức cho
thế hệ mai sau.

ii



MỤC LỤC
MỞ ĐẦU

.................................................................................................................... i

LỜI CẢM ƠN ................................................................................................................ii
MỤC LỤC ................................................................................................................. iii
DANH MỤC CÁC KÝ HIỆU VIẾT TẮT, TIẾNG ANH .......................................... v
DANH MỤC CÁC BẢNG VẼ ....................................................................................vii
DANH MỤC CÁC HÌNH VẼ .....................................................................................vii
CHƯƠNG 1 GIỚI THIỆU TỔNG QUAN HỆ THỐNG SIEM ................................ 9
1.1

Giới thiệu .......................................................................................................... 9

1.2

Lịch sử phát triển ............................................................................................. 9

1.3

Mục đích và tính năng ................................................................................... 10

1.4

Các thành phần cơ bản của một hệ thống SIEM ........................................ 11

1.5


Một số hệ thống SIEM phổ biến ................................................................... 12

1.5.1

Splunk........................................................................................................12

1.5.2

IBM QRADAR .........................................................................................13

1.5.3

SolarWinds ................................................................................................ 13

1.5.4

McAfee ......................................................................................................14

1.5.5

Sophos .......................................................................................................15

1.5.6

Mozdef ......................................................................................................15

CHƯƠNG 2 TỔNG QUAN VỀ MOZDEF................................................................ 17
2.1


Giới thiệu và lịch sử phát triển. .................................................................... 17

2.2

Các thành phần cơ bản của MozDef ............................................................ 18

2.3

Kiến trúc hoạt động ....................................................................................... 21

2.3.1

Thu thập sự kiện ........................................................................................21

2.3.2

Xử lý và lưu trữ .........................................................................................22

2.3.3

Phân tích và phát hiện các sự cố bảo mật..................................................23

2.3.4

Cảnh báo sự cố ..........................................................................................25

2.3.5

Phản ứng sự cố ..........................................................................................26


CHƯƠNG 3 THỬ NGHIỆM VÀ ĐÁNH GIÁ .......................................................... 27
3.1

Cài đặt MozDef trên CentOS ........................................................................ 27

3.2

Thử nghiệm các kịch bản và cảnh báo ......................................................... 47

3.2.1

Ghi nhận thông tin khi gửi tệp định dạng JSON vào hệ thống loginput: ..47

3.2.2

Tấn công bạo lực vào máy chủ Secure Shell. ...........................................49

CHƯƠNG 4 TỔNG KẾT ............................................................................................ 53
iii


4.1

Kết luận ........................................................................................................... 53

4.2

Đánh giá và hướng phát triển ....................................................................... 53

TÀI LIỆU THAM KHẢO........................................................................................... 54


iv


DANH MỤC CÁC KÝ HIỆU VIẾT TẮT, TIẾNG ANH
Ký hiệu

Tên tiếng Anh đầy đủ

Ý nghĩa tiếng Việt

AMQP

Advanced Message Queue Protocol

API

Application Programming Interface

D3

Data-Driven Documents

DDoS

Distributed Denial of Services

Giao thức hàng đợi thông
điệp nâng cao
Phương thức trung gian

kết nối
Thư viện Javascript thao
tác document dựa trên dữ
liệu
Từ chối dịch vụ phân tán

ELK

Elaticsearch, Logstash và Kibana

GDPR

General Data Protection Regulation

HIPAA

Federal Health Insurance
Portability and Accountability Act,

Bộ quy tắc bảo mật thông
tin sức khỏe

HTTP/HTTPS

Giao thức truyền tải siêu
văn bản an toàn

ICMP

HyperText Transfer Protocol/

HyperText Transfer Protocol
Secure
Internet Control Message Protocol

IP

Internet Protocol

JSON

JavaScript Object Notation

MozDef

Mozilla Defense Platform

kiểu định dạng dữ liệu của
Javascript
Nền tảng bảo mật Mozilla

OSI

Open Systems Interconnection
Reference Model

Mơ hình tham chiếu kết
nối các hệ thống mở

PCI


Payment Card Industry Data
Security Standard

Tiêu chuẩn bảo mật dữ
liệu ngành thẻ thanh toán

RPM

Red Hat Package Manager

RPM

Red Hat Package Manager

Hệ thống lệnh quản lý
package trên Linux/Unix
Trình quản lý gói

v

Bộ 3 cơng cụ quản lý log
phổ biến
Quy định chung về bảo
mật thông tin.

Giao thức tin nhắn điều
khiển Internet
Giao thức Internet



SQS

Security Information and Event
Management
Simple Queue Service

Quản lý log và sự kiện tập
trung
Hàng đợi quản lý dịch vụ

SSH

Secure Shell

SSL

Secure Sockets Layer

Giao thức điều khiển từ xa
qua mạng.
Lớp cổng bảo mật

TCP

Transmission Control Protocol

UDP

User Datagram Protocol


URL

Uniform Resource Locator

VERIS

Vocabulary for Event Recording
and Incident Sharing
Web Server Gateway Interface

SIEM

WSGI

vi

Giao thức điều khiển
truyền tải
Giao thức dữ liệu người
dùng
Trình định vị tài ngun
thống nhất
Từ khóa ghi sự kiện và
chia sẻ sự cố
Giao diện kết nối cổng
máy chủ Web


DANH MỤC CÁC BẢNG VẼ
Bảng

Bảng
Bảng
Bảng

1 Bảng mô tả những loại sự kiện, thông tin cần thiết để ghi nhật ký. ...............23
2 Các trường bắt buộc phải có trong nhật ký. ....................................................25
3 Danh sách chi tiết trường thông tin chi tiết. ....................................................25
4 Các dịch vụ của MozDef cung cấp và các thành phần cần thiết để sử dụng. .37

DANH MỤC CÁC HÌNH
Chương 1:
Hình 1. 1 Cấu trúc một hệ thống SIEM và vai trị của nó. ..............................................9
Hình 1. 2 Mơ tả giải pháp splunk trong hệ thống .........................................................12
Hình 1. 3 Mơ tả các lợi ích của hệ thống Qradar. ........................................................13
Hình 1. 4 Mô tả các thành phần của hệ thống SIEM của McAfee. ............................... 15
Chương 2:
Hình 2. 1 Mơ tả vai trị Nginx trong hệ thống web-server[12]. ....................................19
Hình 2. 2 Mơ tả chức năng của RabbitMQ trong hệ thống[13]. ..................................19
Hình 2. 3 Mô tả uWSGI trong hệ thống thao tác với Nginx[14]. ..................................20
Hình 2. 4 Vai trị đồng bộ thời gian thực của Meteor trong hệ thống[16]. ..................20
Hình 2. 5 Hình mô tả sự kết hợp giữa Elasticsearch và MongoDB trong quản lý dữ
liệu thời gian thực[15]. .................................................................................................21
Hình 2. 6 Chu trình quản lý dữ liệu trên một hệ thống căn bản. ..................................22
Chương 3:
Hình 3. 1 User mozdef được tạo và đã được liệt kê trong danh sách user. ..................28
Hình 3. 2 Trạng thái hệ thống syslog. ...........................................................................29
Hình 3. 3 Cấu hình repo rpm cho elasticsearch............................................................29
Hình 3. 4 Gói elasticsearch được tải về thành cơng. ....................................................30
Hình 3. 5 Một số nhật ký của dịch vụ elasticsearch. .....................................................30
Hình 3. 6 Truy cập web interface của elasticsearch. ....................................................30

Hình 3. 7 Tải xuống kibana thành cơng. .......................................................................31
Hình 3. 8 Tệp cấu hình kibana và một số dịng cấu hình. .............................................31
Hình 3. 9 Tích hợp kibana và elasticsearch vào MozDef..............................................32
Hình 3. 10 Giao diện web trang chủ kibana. ................................................................ 32
Hình 3. 11 Cấu hình repo rpm cho RabbitMQ. ............................................................. 33
Hình 3. 12 Cấu hình hostname ban đầu. .......................................................................34
Hình 3. 13 Cấu hình lại hostname. ................................................................................34
Hình 3. 14 Trạng thái của RabbitMQ sau khi khởi động. .............................................35
Hình 3. 15 Truy cập giao diện quản lý của RabbitMQ tại cổng 15672. .......................35
Hình 3. 16 Giao diện quản lý sau khi đăng nhập. .........................................................35
Hình 3. 17 Tải xuống MongoDB. ..................................................................................36
Hình 3. 18 Khởi động để cập nhật cấu hình và cho phép khởi động với hệ thống. ......36
Hình 3. 19 Khởi động Nginx để cập nhật cấu hình. ......................................................37
Hình 3. 20 Trạng thái mozdefapi được thể hiện hoạt động thành cơng. .......................38
Hình 3. 21 Phản hồi restapi đã hoạt động thành cơng. ................................................38
Hình 3. 22 Trạng thái mozdefalert được thể hiện hoạt động thành công. ....................39

vii


Hình 3. 23 Màn hình thể hiện các nhật ký cảnh báo. ....................................................39
Hình 3. 24 Màn hình thể hiện các nhật ký hành động cảnh báo. ..................................40
Hình 3. 25 Cấu hình mozdef bot giao tiếp với Slack. ....................................................41
Hình 3. 26 Trạng thái mozdef bot được thể hiện hoạt động thành cơng.......................41
Hình 3. 27 Màn hình thể hiện các nhật ký mozdef bot. .................................................41
Hình 3. 28 Màn hình thể hiện trạng thái của loginput. .................................................42
Hình 3. 29 Lệnh kiểm tra trả về tệp JSON báo hoạt động thành cơng. ........................42
Hình 3. 30 Trạng thái đang hoạt động của mworker-eventask. ....................................43
Hình 3. 31 Các yêu cầu cài đặt để thực hiện cấu hình thời gian thực. .........................43
Hình 3. 32 Các dịng lệnh javascript cấu hình Meteor. ................................................44

Hình 3. 33 File node_modules dư thừa trong cấu hình nodejs meteor. ........................45
Hình 3. 34 Thực hiện cài đặt meteor. ............................................................................45
Hình 3. 35 Trạng thái dịch vụ Meteor sau khi khởi động. ............................................46
Hình 3. 36 Giao diện trang chủ meteor. ........................................................................46
Hình 3. 37 Giao diện trang chủ sau khi đăng nhập. .....................................................46
Hình 3. 38 Nội dung tệp simple_alert.py .......................................................................47
Hình 3. 39 Cấu hình thêm python alert mới vào tệp config.py. ....................................47
Hình 3. 40 Danh sách các luật alert trên Meteor. ........................................................48
Hình 3. 41 Hình thể hiện các sự kiện mà syslog nhận được. ........................................48
Hình 3. 42 Các events được thêm category tương ứng simple_alert. ...........................48
Hình 3. 43 Sơ đồ mạng thử nghiệm tấn cơng. ............................................................... 49
Hình 3. 44 Chi tiết luật được cấu hình. .........................................................................49
Hình 3. 45 Thêm luật vào cấu hình bộ luật chung của MozDef. ...................................50
Hình 3. 46 Một số bộ luật được phát triển sẵn trong MozDef. .....................................50
Hình 3. 47 Khởi động lại dịch vụ và các bộ luật mới được hiển thị. ............................ 51
Hình 3. 48 Thực hiện bruteforce vào hệ thống ssh của mozdef. ...................................51
Hình 3. 49 Các nhật ký được duyệt qua phép lọc để kiểm soát truy cập vào SSH. ......52
Hình 3. 50 Chi tiết một gói tin trong bộ lọc kiểm soát SSH. .........................................52

viii


Báo cáo TTTN Đại học CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN HỆ THỐNG SIEM
CHƯƠNG 1 GIỚI THIỆU TỔNG QUAN HỆ THỐNG SIEM
Giới thiệu
Hệ thống giám sát an toàn mạng - Security Information and Event Management
viết tắt là SIEM là hệ thống giải pháp phần mềm được thiết kế nhằm thu thập thông tin
nhật ký các sự kiện an ninh từ các thiết bị đầu cuối, lưu trữ dữ liệu một cách tập trung.

1.1


Hình 1. 1 Cấu trúc một hệ thống SIEM và vai trò trong hệ thống bảo vệ.[4]
SIEM giúp các tổ chức phát hiện, phân tích và ứng phó với các mối đe dọa bảo
mật trước khi chúng ảnh hưởng đến hoạt động kinh doanh. Kết hợp cả quản lý thông
tin bảo mật (SIM) và quản lý sự kiện bảo mật (SEM) vào một hệ thống quản lý bảo
mật. Công nghệ SIEM thu thập dữ liệu nhật ký sự kiện từ nhiều nguồn, xác định hoạt
động sai lệch so với quy chuẩn bằng việc phân tích theo thời gian thực và thực hiện
hành động thích hợp. Giúp cho tổ chức khả năng quan sát hoạt động trong mạng của
họ để họ có thể ứng phó nhanh chóng với các cuộc tấn công qua mạng tiềm ẩn và đáp
ứng các yêu cầu bảo mật cần tuân thủ.
Lịch sử phát triển.
Cấu trúc SIEM bắt đầu định nghĩa từ những năm 1990, khi các công nghệ giám
sát an ninh mạng ban đầu được giới thiệu. Tuy nhiên, cấu trúc SIEM trở nên phổ biến
vào cuối những năm 2000 và đầu những năm 2010, khi các cuộc tấn công mạng trở nên
1.2

phổ biến hơn và các tổ chức cần các giải pháp bảo mật tồn diện hơn để bảo vệ mạng
của mình.
Các cơng nghệ SIEM ban đầu được phát triển để giám sát và phân tích các sự kiện an
ninh mạng trên các hệ thống và mạng. Các sự kiện này bao gồm những gì mà hệ thống
ghi nhận được như các cuộc tấn cơng từ bên ngồi, các cố gắng đăng nhập trái phép và
các hoạt động khơng bình thường trên các thiết bị và ứng dụng mạng.

9


Báo cáo TTTN Đại học CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN HỆ THỐNG SIEM
Tuy nhiên, chỉ có việc giám sát các sự kiện không đủ để bảo vệ mạng của một tổ chức.
Vì vậy, các nhà cung cấp giải pháp SIEM đã phát triển các cơng nghệ phân tích thơng
minh để giúp tổ chức xác định các hành động đáng ngờ và đưa ra cảnh báo. Các công

nghệ này bao gồm sự phân tích hành vi và phân tích dữ liệu lớn (big data analytics).
Trong những năm gần đây, SIEM cũng đã tiếp tục phát triển với các tính năng mới như
tích hợp với các cơng nghệ bảo mật khác như quản lý lỗ hổng và giám sát mối đe dọa
tiên tiến hơn. Vì vậy, SIEM trở thành một phần không thể thiếu trong cơ sở hạ tầng bảo
mật của nhiều tổ chức và doanh nghiệp trên toàn thế giới.
1.3

Mục đích và tính năng.

Mục đích chung của hệ thống là giúp tổ chức giám sát và quản lý các sự kiện an ninh
trên mạng của họ. Các hệ thống SIEM giúp tổ chức phát hiện và phản ứng nhanh
chóng đối với các mối đe dọa an ninh bằng cách tự động giám sát, thu thập và phân
tích các sự kiện an ninh từ nhiều nguồn khác nhau trên hệ thống.
Các hệ thống SIEM cũng giúp tổ chức đáp ứng các yêu cầu về tuân thủ và bảo vệ dữ
liệu bằng cách cung cấp các cơng cụ phân tích và báo cáo chi tiết về các sự kiện an ninh,
giúp cho tổ chức có thể tìm hiểu và điều tra các vụ vi phạm an ninh.
Ngoài ra, các hệ thống SIEM cịn giúp tổ chức tối ưu hóa quản lý bảo mật bằng cách
cung cấp thơng tin phân tích và báo cáo để giúp cho các nhân viên bảo mật có thể xác
định các vấn đề và triển khai các biện pháp bảo vệ an ninh hiệu quả hơn.
Các tính năng chính của hệ thống SIEM bao gồm:
-

-

-

Giám sát: giám sát các hoạt động trên hệ thống mạng và các thiết bị an ninh để phát
hiện các mối đe dọa an ninh.
Thu thập: thu thập và lưu trữ các thông tin liên quan đến các sự kiện an ninh, bao
gồm cả thông tin từ các thiết bị an ninh, các ứng dụng, hệ điều hành, các máy chủ,

các thiết bị lưu trữ và các thiết bị mạng.
Phân tích: phân tích các thông tin thu thập được để đánh giá mức độ nghiêm trọng
của các sự kiện an ninh và xác định liệu chúng có đại diện cho các mối đe dọa thực
sự hay không.
Báo cáo: cung cấp các báo cáo và thông tin chi tiết về các sự kiện an ninh, giúp cho
tổ chức có thể tìm hiểu và điều tra các vụ vi phạm an ninh.
Phản ứng: cung cấp các giải pháp để giảm thiểu thiệt hại và ngăn chặn các cuộc tấn
công bằng cách cung cấp các khả năng phản ứng tự động hoặc thông báo cho các
nhân viên bảo mật để họ có thể phản ứng kịp thời.

10


Báo cáo TTTN Đại học CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN HỆ THỐNG SIEM
1.4

Các thành phần cơ bản của một hệ thống SIEM

Ở cấp độ cơ bản nhất, tất cả các giải pháp SIEM đều thực hiện một số chức năng tổng
hợp, hợp nhất và sắp xếp dữ liệu ở một mức độ nào đó để xác định các mối đe dọa và
tuân thủ các yêu cầu tuân thủ dữ liệu. Mặc dù một số giải pháp khác nhau về khả năng,
nhưng hầu hết đều cung cấp cùng một bộ chức năng cốt lõi bao gồm 3 bộ phận chính đó
là bộ phận thu thập nhật ký, phân tích và lưu trữ, quản trị tập trung.
- Thu thập nhật ký: chức năng thu thập nhật ký từ các thiết bị hoạt động. Sau khi dữ
liệu được tập hợp sẽ được gửi tồn bộ về bộ phận phân tích và lưu trữ.
- Phân tích và lưu trữ: nhiệm vụ tiếp nhận, tổng hợp, phân tích và lưu trữ dữ liệu. Sử
dụng các thuật tốn so sánh sau q trình phân tích sẽ đưa ra cảnh báo (nếu có).
- Quản trị tập trung: cung cấp giao diện quản lý tập trung cho toàn bộ hệ thống giám
sát an ninh. Các mẫu báo cáo được tập hợp sẵn có thể sử dụng được ngay trong mọi
trường hợp.

Mỗi bộ phận đều có chức năng và nhiệm vụ riêng biệt. Khi kết hợp hoạt động cùng lúc
sẽ tạo nên giải pháp SIEM hoàn chỉnh, làm việc hiệu quả.
Để chi tiết hơn ta có thể xác định các thành phần của một hệ thống SIEM thông qua các
chức năng của từng thành phần cụ thể như sau:
- Collector: Thành phần đầu tiên của hệ thống SIEM, dùng để thu thập dữ liệu từ các
thiết bị an ninh và các hệ thống khác nhau trong mạng, bao gồm các thiết bị mạng,
máy chủ, ứng dụng, hệ điều hành, thiết bị lưu trữ và các thiết bị an ninh khác.
- Log management: Thành phần này nhận và lưu trữ dữ liệu từ Collector. Đảm nhiệm
việc quản lý dữ liệu, giúp cho việc tìm kiếm và truy xuất dữ liệu trở nên dễ dàng
hơn.
- Correlation engine: Là thành phần chịu trách nhiệm phân tích các sự kiện an ninh
và các thông tin thu thập từ các thiết bị khác nhau để phát hiện các hành vi khơng
bình thường và các mối đe dọa an ninh.
- Alerting: Thành phần này có nhiệm vụ thơng báo cho người quản trị về các mối đe
dọa an ninh thông qua các cảnh báo và thông điệp cảnh báo.
- Reporting: Thành phần này tạo các báo cáo và biểu đồ để giúp người quản trị có cái
nhìn tổng quan về tình trạng an ninh của hệ thống mạng.
- User interface: Giúp hiển thị các thông tin liên quan đến an ninh mạng trên một giao
diện đồ họa, giúp người quản trị dễ dàng theo dõi các sự kiện an ninh trên hệ thống
mạng.
- Response: Thành phần này cung cấp các giải pháp để giảm thiểu thiệt hại và ngăn
chặn các cuộc tấn công bằng cách cung cấp các khả năng phản ứng tự động hoặc
thông báo cho các nhân viên bảo mật để họ có thể phản ứng kịp thời.

11


Báo cáo TTTN Đại học CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN HỆ THỐNG SIEM
1.5


Một số hệ thống SIEM phổ biến

1.5.1 Splunk
Splunk là một giải pháp SIEM mạnh mẽ được cung cấp bởi Splunk, một cơng ty chun
về phân tích dữ liệu và bảo mật. Splunk SIEM cho phép người dùng thu thập, phân tích
và báo cáo các dữ liệu liên quan đến bảo mật từ nhiều nguồn khác nhau trên mạng của
họ.
Splunk cung cấp khả năng phát hiện và phản ứng kịp thời với các mối đe dọa bảo mật
trên mạng của người dùng. Cho phép người dùng tìm kiếm và phân tích dữ liệu để xác
định nguyên nhân và phạm vi của các sự cố bảo mật, giúp người dùng tìm ra cách giải
quyết các vấn đề nhanh chóng và hiệu quả hơn.
Bên cạnh đó, Splunk cịn cung cấp một giao diện người dùng thân thiện và linh hoạt,
cho phép người dùng tùy chỉnh và điều chỉnh các báo cáo, cảnh báo và hành động phản
ứng để phù hợp với nhu cầu của họ. Tích hợp với các cơng cụ bảo mật khác như Firewall,
IDS/IPS và Anti-Virus để cung cấp khả năng phát hiện và phản ứng nhanh hơn với các
mối đe dọa bảo mật.
Đặc biệt, Splunk SIEM có khả năng xử lý các lượng dữ liệu lớn với tốc độ nhanh, cho
phép người dùng thu thập và phân tích các dữ liệu liên quan đến bảo mật từ nhiều nguồn
khác nhau và tạo ra các báo cáo và cảnh báo trong thời gian thực.

Hình 1. 2 Mơ tả giải pháp splunk trong hệ thống
Tóm lại, Splunk SIEM là một giải pháp SIEM mạnh mẽ, linh hoạt và hiệu quả, giúp
người dùng phát hiện và phản ứng kịp thời với các mối đe dọa bảo mật trên mạng của
họ.

12


Báo cáo TTTN Đại học CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN HỆ THỐNG SIEM
1.5.2 IBM QRADAR

IBM QRadar là một nền tảng an ninh mạng toàn diện được phát triển bởi IBM, sử dụng
cơng nghệ SIEM để tổng hợp, phân tích và hiển thị các thông tin và sự kiện an ninh từ
nhiều nguồn khác nhau trong hệ thống mạng.

Hình 1. 3 Mơ tả các lợi ích của hệ thống Qradar.
Nền tảng này giúp các tổ chức nhận biết, phát hiện và ngăn chặn các mối đe dọa an ninh
một cách nhanh chóng và hiệu quả.
QRadar cung cấp các tính năng bao gồm quản lý nhật ký, phát hiện xâm nhập, quản lý
rủi ro và bảo mật hệ thống, giúp cho các chuyên gia an ninh có thể tăng cường khả năng
phát hiện và ứng phó với các mối đe dọa an ninh một cách nhanh chóng và hiệu quả
hơn. Nền tảng này sử dụng các cơng cụ phân tích thơng minh để tìm kiếm các mẫu đáng
ngờ trong dữ liệu an ninh và cung cấp các cảnh báo để giúp các chuyên gia an ninh đưa
ra quyết định và hành động phù hợp.
Ngồi ra Qradar cịn cung cấp các tính năng khác như:
- Tích hợp với nhiều nguồn dữ liệu an ninh khác nhau để cung cấp một bức tranh tồn
diện về tình trạng an ninh của hệ thống mạng.
- Cung cấp các báo cáo và thông tin thống kê để giúp các chuyên gia an ninh hiểu rõ
hơn về tình trạng an ninh của hệ thống mạng.
- Hỗ trợ tích hợp với các cơng cụ bảo mật khác để tăng cường khả năng phát hiện và
ứng phó với các mối đe dọa an ninh.
- QRadar là một nền tảng an ninh mạng hàng đầu trên thị trường và được sử dụng rộng
rãi bởi các tổ chức trên toàn thế giới để bảo vệ hệ thống mạng của mình.
1.5.3 SolarWinds
Là một sản phẩm an ninh mạng toàn diện được cung cấp bởi công ty SolarWinds.
SolarWinds SIEM giúp các tổ chức phát hiện và ngăn chặn các mối đe dọa an ninh một
cách nhanh chóng và hiệu quả.
Với SolarWinds SIEM, người dùng có thể tổng hợp các dữ liệu từ nhiều nguồn khác
nhau như nhật ký hệ thống, dữ liệu mạng, các trang web độc hại và hơn thế nữa. Sau đó,
SolarWinds SIEM sử dụng các cơng nghệ phân tích thơng minh để tìm kiếm các mẫu
13



Báo cáo TTTN Đại học CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN HỆ THỐNG SIEM
đáng ngờ và phát hiện các hoạt động bất thường trong hệ thống mạng. Cung cấp các
cảnh báo cho người dùng để đưa ra các hành động phù hợp và bảo vệ hệ thống mạng
của họ khỏi các mối đe dọa an ninh.
SolarWinds có tính năng tự động hóa và cải thiện khả năng phát hiện, phân tích và giám
sát các mối đe dọa an ninh. Cung cấp cho người dùng các báo cáo và thông tin thống kê
để giúp các chuyên gia an ninh hiểu rõ hơn về tình trạng an ninh của hệ thống mạng của
mình. SolarWinds cũng được tích hợp với các sản phẩm và giải pháp khác của
SolarWinds như Firewall Security Manager, Log and Event Manager và Network
Performance Monitor để tăng cường khả năng quản lý và an ninh của hệ thống mạng.
Có thể nói rằng SolarWinds là một giải pháp an ninh mạng đầy đủ và mạnh mẽ, được
thiết kế để giúp các tổ chức phát hiện, phân tích và ngăn chặn các mối đe dọa an ninh
một cách hiệu quả.
1.5.4 McAfee
McAfee là một giải pháp bảo mật toàn diện, được thiết kế để giám sát, phát hiện và
bảo vệ các hệ thống và mạng của tổ chức. McAfee cung cấp khả năng thu thập và phân
tích dữ liệu từ nhiều nguồn khác nhau, bao gồm các thiết bị mạng, ứng dụng và hệ
thống.
McAfee cung cấp khả năng xử lý lưu lượng mạng lớn để phát hiện các mối đe dọa bảo
mật, giúp ngăn chặn các cuộc tấn công và các hành vi bất thường trong hệ thống. Sử
dụng các quy tắc, chính sách và thuật tốn phân tích thơng minh để xác định các hành
động đáng ngờ và đưa ra cảnh báo cho các nhân viên an ninh mạng của tổ chức.
McAfee cũng cung cấp khả năng tạo báo cáo và phân tích cho các nhân viên an ninh
mạng của tổ chức để giúp họ hiểu được các mối đe dọa bảo mật và tăng cường khả
năng phòng ngừa và ứng phó. Đặc biệt, McAfee hỗ trợ việc tuân thủ các quy định bảo
mật và pháp luật như HIPAA, PCI và GDPR.
Với khả năng tích hợp dễ dàng với các sản phẩm bảo mật khác của McAfee sẽ cung
cấp một giải pháp bảo mật toàn diện cho các tổ chức để bảo vệ các hệ thống và mạng

của họ.

14


Báo cáo TTTN Đại học CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN HỆ THỐNG SIEM

Hình 1. 4 Mơ tả các thành phần của hệ thống SIEM của McAfee.
1.5.5 Sophos
Sophos là một giải pháp bảo mật toàn diện, được thiết kế để giám sát, phát hiện và bảo
vệ các hệ thống và mạng của tổ chức. Sophos cung cấp khả năng thu thập và phân tích
dữ liệu từ nhiều nguồn khác nhau, bao gồm các thiết bị mạng, ứng dụng và hệ thống.
Bên cạnh đó cịn giúp ngăn chặn các cuộc tấn công bằng cách giám sát các mối đe dọa
bảo mật và cảnh báo các hành động đáng ngờ. Sử dụng các quy tắc, chính sách và
thuật tốn phân tích thơng minh để xác định các hành động đáng ngờ và đưa ra cảnh
báo cho các nhân viên an ninh mạng của tổ chức. Ngồi ra, Sophos cịn cung cấp khả
năng tự động phản ứng đến các mối đe dọa và giúp ngăn chặn các cuộc tấn công trước
khi chúng gây hại.
Sophos cũng cung cấp khả năng tạo báo cáo và phân tích cho các nhân viên an ninh
mạng của tổ chức để giúp họ hiểu được các mối đe dọa bảo mật và tăng cường khả
năng phòng ngừa và ứng phó. Hỗ trợ việc tuân thủ các quy định bảo mật và pháp luật
như HIPAA, PCI và GDPR.
Với khả năng tích hợp dễ dàng với các sản phẩm bảo mật khác vào Sophos sẽ cung
cấp một giải pháp bảo mật toàn diện cho các tổ chức để bảo vệ các hệ thống và mạng.
1.5.6 Mozdef
MozDef là một nền tảng mã nguồn mở SIEM được phát triển bởi Mozilla. Được thiết
kế để giám sát và phát hiện các mối đe dọa bảo mật trên các hệ thống và mạng của tổ
chức.
Cung cấp khả năng tự động thu thập và phân tích dữ liệu từ nhiều nguồn khác nhau,
bao gồm các thiết bị mạng, ứng dụng và hệ thống. Sử dụng các cơng nghệ phân tích

thơng minh và máy học để xác định các hành động đáng ngờ và đưa ra cảnh báo cho
các nhân viên an ninh mạng của tổ chức.

15


Báo cáo TTTN Đại học CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN HỆ THỐNG SIEM
MozDef cũng cung cấp khả năng phân tích và báo cáo cho các nhân viên an ninh mạng
của tổ chức để giúp họ hiểu được các mối đe dọa bảo mật và tăng cường khả năng
phòng ngừa và ứng phó. MozDef cũng hỗ trợ việc tuân thủ các quy định bảo mật và
pháp luật như GDPR, HIPAA và PCI.
MozDef là một giải pháp SIEM tuyệt vời cho các tổ chức muốn sử dụng một giải pháp
mã nguồn mở để giám sát và phát hiện các mối đe dọa bảo mật. Tích hợp tốt với các
cơng cụ bảo mật khác như các công cụ quản lý lỗ hổng và các giải pháp điều tra và
phản ứng.

16


Báo cáo TTTN Đại học

CHƯƠNG 2. TỔNG QUAN VỀ MOZDEF

CHƯƠNG 2 TỔNG QUAN VỀ MOZDEF
Giới thiệu và lịch sử phát triển.
Mozilla Defense Platform gọi tắt là MozDef là một hệ thống phân tích và phản
ứng sự cố bảo mật được phát triển bởi Mozilla Foundation. MozDef được phát triển
nhằm mục đích giúp các tổ chức bảo mật phát hiện và xử lý các sự cố bảo mật một cách
hiệu quả và nhanh chóng.
2.1


MozDef được phát triển từ năm 2014 bởi nhóm Mozilla Security Automation Team.
Ban đầu, MozDef được phát triển để phục vụ cho nhu cầu phân tích và phản ứng sự cố
bảo mật trong nội bộ Mozilla. Sau đó, MozDef đã được giới thiệu và phát triển thành
một dự án mã nguồn mở, cho phép các tổ chức bảo mật sử dụng và tùy chỉnh theo nhu
cầu của mình. Đến năm 2016, MozDef đã được Mozilla phát hành với giấy phép mã
nguồn mở Apache License 2.0, giúp cho những ai muốn sử dụng, tùy chỉnh và phát triển
MozDef có thể làm được một cách dễ dàng. Từ 2016 đến 2018, MozDef đã được phát
triển và nâng cấp liên tục để đáp ứng nhu cầu của người dùng. Thời điểm đó, MozDef
được sử dụng rộng rãi trong các tổ chức bảo mật và được coi là một trong những hệ
thống phân tích và phản ứng sự cố bảo mật hàng đầu. Có đến khoảng 300 triệu sự kiện
được ghi lại mỗi ngày. Đến tháng 11/2021 là lần cập nhật gần nhất của mã nguồn mở
này. Việc này cho thấy sự quan tâm và phát triển của Mozilla Foundation dành cho
MozDef bị chững lại. Dẫu vậy, MozDef vẫn cho thấy đó là một mã nguồn mở đáng quan
tâm và là một lựa chọn tốt khi xây dựng một hệ thống giám sát máy chủ.
MozDef là một hệ thống phân tích và phản ứng sự cố bảo mật, được thiết kế để giúp các
tổ chức bảo mật phát hiện, phân tích và phản ứng các sự cố bảo mật một cách nhanh
chóng và hiệu quả. Mục đích chính của MozDef là giúp các tổ chức bảo mật có thể quản
lý, phân tích và phản ứng sự cố bảo mật một cách dễ dàng, đồng thời cung cấp cho họ
các công cụ và tính năng mạnh mẽ để cải thiện khả năng phát hiện và phản ứng các mối
đe dọa bảo mật.
Các tính năng của MozDef bao gồm:
- Phát hiện sự cố bảo mật: MozDef cung cấp các công cụ và kỹ thuật để phát hiện
các sự cố bảo mật, bao gồm các cơng cụ tự động hóa phát hiện và báo cáo các sự cố
bảo mật.
- Phân tích sự cố bảo mật: MozDef cho phép các chuyên gia bảo mật phân tích các
sự cố bảo mật bằng cách sử dụng các công cụ phân tích mối đe dọa, xem thơng tin
chi tiết về các sự cố và các bước để khắc phục chúng.
- Phản ứng sự cố bảo mật: MozDef cung cấp các công cụ để phản ứng các sự cố bảo
mật, bao gồm việc cắt kết nối, khóa tài khoản và phân tích các dữ liệu được thu thập

để giải quyết vấn đề.

17


Báo cáo TTTN Đại học

CHƯƠNG 2. TỔNG QUAN VỀ MOZDEF

Tích hợp dữ liệu: MozDef có khả năng tích hợp dữ liệu từ nhiều nguồn khác nhau,
bao gồm các bản ghi hệ thống, bản ghi mạng và bản ghi bảo mật.
- Tùy chỉnh: MozDef cho phép người dùng tùy chỉnh để phù hợp với nhu cầu của
mình, bao gồm việc thêm mới các cơng cụ và tính năng phân tích và phản ứng sự cố
bảo mật.
Với những tính năng trên, MozDef là một giải pháp toàn diện giúp các tổ chức bảo mật
phát hiện, phân tích và phản ứng các sự cố bảo mật một cách hiệu quả và nhanh chóng.
-

2.2

Các thành phần cơ bản của MozDef

MozDef về cơ bản là cấu tạo của 5 thành phần sau:
- Sensor: là một phần mềm được cài đặt trên các thiết bị mạng để thu thập thông tin
từ hệ thống và mạng, bao gồm các thông tin liên quan đến an ninh. Sensor có thể thu
thập dữ liệu từ nhiều nguồn khác nhau như syslog, netflow, các dữ liệu từ IDS/IPS
hoặc các phần mềm endpoint.
- Collector: là một phần mềm trung gian để thu thập dữ liệu từ các Sensor và gửi
chúng đến hệ thống MozDef. Collector cũng có khả năng lọc, chuyển đổi và chuẩn
hóa dữ liệu để đảm bảo tính thống nhất của dữ liệu được gửi đến hệ thống.

- Pipeline: Pipeline là nơi dữ liệu được tiếp nhận và xử lý trong hệ thống MozDef.
Pipeline cho phép người dùng xác định các luật và quy tắc để phân tích dữ liệu và
phát hiện các mối đe dọa an ninh. Pipeline cũng có thể kết hợp các cơng cụ phân tích
mạng và phân tích dữ liệu để tạo ra các báo cáo và cảnh báo.
- Storage: Storage là nơi lưu trữ các dữ liệu liên quan đến an ninh mạng được thu thập
bởi MozDef. Dữ liệu được lưu trữ trong các cơ sở dữ liệu như Elasticsearch,
PostgreSQL hoặc Cassandra để cho phép người dùng truy xuất và tìm kiếm các thơng
tin liên quan đến an ninh mạng.
- User Interface: User Interface là giao diện người dùng của MozDef. Cho phép
người dùng xem các báo cáo và cảnh báo được tạo ra bởi hệ thống và thực hiện các
tác vụ quản trị hệ thống. Giao diện người dùng có thể được truy cập thơng qua trình
duyệt web hoặc các ứng dụng di động.
Một mơ hình các mã nguồn mở tích hợp được Mozilla Foundation hướng dẫn cấu hình
bao gồm các thành phần Nginx, RabbitMQ, uWSGI, bottle.py, Meteor, Elasticsearch,
D3, VERIS, MongoDB được mô tả chi tiết như sau:
Nginx: giao diện Web thu thập các nhật ký đầu vào - loginput. Được biết đến là một
trong những Reverse Proxy được sử dụng nhiều nhất khi thao tác cấu hình Web được
MozDef sử dụng với cấu hình Micro Services để thao tác giữa các thành phần với nhau.

18


Báo cáo TTTN Đại học

CHƯƠNG 2. TỔNG QUAN VỀ MOZDEF

Hình 2. 1 Mơ tả vai trị Nginx trong hệ thống web-server[12].
Trong hệ thống Web, Reverse Proxy đóng vai trị như một trung gian giữa máy chủ và
client. Trong kiến trúc mạng, Reverse Proxy được sử dụng để đảm bảo an ninh, tăng
cường hiệu suất và cải thiện khả năng mở rộng của hệ thống.

Ngồi ra, Reverse Proxy cịn có thể cung cấp các tính năng như cân bằng tải, SSL
offloading và giám sát mạng để giúp quản trị viên mạng quản lý hệ thống mạng hiệu
quả hơn.
RabbitMQ: hàng đợi xử lý tuần tự trong Micro Services. Được sử dụng với vai trị xử
lý và truyền tải thơng điệp giữa các ứng dụng và dịch vụ khác nhau trong hệ thống như:
quản lý hàng đợi xử lý thông tin đến và đi, điều phối thông điệp giữa các ứng dụng, bảo
mật thông tin truyền tải và thực thi bất đồng bộ để tăng hiệu suất xử lý.

Hình 2. 2 Mơ tả chức năng của RabbitMQ trong hệ thống[13].
uWSGI: kiểm soát cấp cao các worker được xây dựng bằng python. uWSGI là một mã
nguồn mở rộng lớn với nhiều thành phần được triển khai dựa trên WSGI. uWSGI bản
chất là một máy chủ Web mạnh mẽ được sử dụng để chạy các ứng dụng của MozDef.
Cho phép điều chỉnh số lượng tiến trình, đảm bảo ứng dụng Web chạy ổn định và không

19


Báo cáo TTTN Đại học

CHƯƠNG 2. TỔNG QUAN VỀ MOZDEF

bị gián đoạn. Ngồi ra cịn thực hiện tối ưu hiệu suất ứng dụng Web, tăng tốc độ phản
hồi, giảm thời gian u cầu.

Hình 2. 3 Mơ tả uWSGI trong hệ thống thao tác với Nginx[14].
bottle.py : Framework phát triển Web bằng Python. Là một micro-framework nhanh và
đơn giản dành cho các ứng dụng Web nhỏ. Cung cấp gửi yêu cầu (routes) với hỗ trợ
tham số URL, mẫu (templates), máy chủ HTTP tích hợp và bộ điều hợp cho nhiều cơng
cụ mẫu và máy chủ WSGI/HTTP của bên thứ ba. Tất cả trong một tệp duy nhất và khơng
có phần phụ thuộc nào khác ngoài thư viện chuẩn Python.

Meteor: Đảm bảo việc đồng bộ thông tin giữa cơ sở dữ liệu của ứng dụng và giao diện
người dùng. Cung cấp chức năng quản lý dữ liệu, làm việc theo phiên và đặc biệt là có
thể thao tác trên nhiều thiết bị.

Hình 2. 4 Vai trò đồng bộ thời gian thực của Meteor trong hệ thống[16].
Elasticsearch: mở rộng chỉ mục và tìm kiếm tài liệu JSON. Thành phần quan trọng
trong hệ thống MozDef đóng vai trị như một nền tảng lưu trữ, tìm kiếm và phân tích dữ
liệu trong thời gian thực thể hiện qua các biểu đồ hoặc báo cáo chi tiết.
MongoDB: Đóng vai trị quan trọng trong hệ thống MozDef để lưu trữ và quản lý dữ
liệu từ nhiều nguồn khác nhau. Cung cấp tính năng truy vấn và xử lý dữ liệu, sao lưu và
phục hồi dữ liệu, điều phối các hoạt động dữ liệu giữa các nút trong cụm MongoDB.
Thao tác với nguồn dữ liệu lớn một cách dễ dàng, nhẹ nhàng và kết hợp chặt chẽ với
Meteor.

20


Báo cáo TTTN Đại học

CHƯƠNG 2. TỔNG QUAN VỀ MOZDEF

Hình 2. 5 Hình mơ tả sự kết hợp giữa Elasticsearch và MongoDB trong quản lý dữ
liệu thời gian thực[15].
VERIS: Là một mã nguồn mở được phát triển bởi Verizon, được sử dụng để định nghĩa
các loại sự cố bảo mật và phân loại chúng theo mức độ nghiêm trọng và tác hại bảo mật
có thể gây ra. MozDef có thể định hình và phân tích các mối đe dọa và rủi ro bảo mật
để có thể đưa ra các biện pháp phòng ngừa và phát hiện sớm các sự cố bảo mật trong
tương lai.
D3 - Data-Driven Documents: Một thư viện JavaScript cho phép MozDef hiển thị dữ
liệu dưới dạng biểu đồ, biểu đồ tương tác và các loại hình ảnh khác. D3 là một công cụ

mạnh mẽ giúp MozDef hiển thị dữ liệu một cách trực quan và có thể tùy chỉnh theo u
cầu cụ thể.
Firefox: Trình duyệt mà chính MozDef sinh ra để phục vụ yêu cầu bảo mật liên quan
đến search-engine này. Dùng để thao tác với các giao diện Web mà các mã nguồn mở
trên cấu hình trên.
2.3

Kiến trúc hoạt động

2.3.1 Thu thập sự kiện
Tính năng thu thập thông tin bảo mật trong MozDef là khả năng thu thập thông tin liên
quan đến bảo mật từ các nguồn khác nhau trên hệ thống và lưu trữ chúng trong một kho
lưu trữ tập trung.
MozDef cung cấp một số công cụ để thu thập thông tin bảo mật, bao gồm:
- Tập lệnh MozDef Collectors: Đây là một tập lệnh dịng lệnh cho phép thu thập
thơng tin bảo mật từ các thiết bị và hệ thống khác nhau. Các lệnh này được sử dụng
để lấy thông tin về các tệp tin, ứng dụng, danh sách quyền truy cập, cài đặt bảo mật,
thông tin phiên, và nhiều hơn nữa.
- MozDef Agent: Đây là một ứng dụng được cài đặt trên các hệ thống được giám sát
để thu thập thông tin bảo mật. MozDef Agent thu thập thông tin về hệ thống, tệp tin,
quá trình và các sự kiện hệ thống khác.
- Các dịch vụ giám sát: MozDef cũng có khả năng tích hợp với các dịch vụ giám sát
khác nhau như Nagios, Zabbix, và Snort để thu thập thông tin bảo mật từ các nguồn
khác nhau.
21


Báo cáo TTTN Đại học

CHƯƠNG 2. TỔNG QUAN VỀ MOZDEF


Các thông tin thu thập được sẽ được lưu trữ trong một kho dữ liệu tập trung, giúp cho
người dùng có thể xem và quản lý các thông tin này một cách tồn diện. Các thơng tin
này có thể được sử dụng để phân tích, phát hiện và giải quyết các vấn đề bảo mật trên
hệ thống.
2.3.2 Xử lý và lưu trữ
Mozdef sử dụng Elasticsearch để quản lý sự kiện thông qua các hoạt động như:
- Lưu trữ sự kiện.
- Thu thập nhật ký.
- Đánh dấu chỉ mục.
- Tìm kiếm thơng tin.
MozDef có thể lưu trữ hàng triệu các chỉ mục sự kiện và tìm kiếm thơng qua việc thao
tác với Kibana. Để so với với các giải pháp quản lý sự kiện khác, MozDef bằng cách sử
dụng Elasticsearch nhưng không cho phép người quản lý thao tác trực tiếp với log của
Elasticsearch.
Cung cấp chức năng nâng cao như sự kiện tương quan, tổng hợp và máy học, MozDef
tự chèn vào một miếng đệm giữa các hệ thống nhật ký (rsyslog, syslog-ng, beaver, nxlog,
heka, logstash) và Elasticsearch. Điều này có nghĩa là hệ thống gửi nhật ký tương tác
trực tiếp với MozDef và MozDef xử lý, biên dịch các sự kiện của họ khi họ đến với
Elasticsearch.

Hình 2. 6 Chu trình quản lý dữ liệu trên một hệ thống căn bản.
Từ nguồn gửi các log có thể là logstash, nxlog, hải ly, heka, rsyslog, ... bằng định dạng
JSON được gửi qua HTTP/HTTPS. MozDef sử dụng Nginx để cung cấp điểm đến qua
HTTP/HTTPS và cho phép định dạng này được gửi đi. Tuy nhiên cần chắt lọc thơng
tin, khơng thể gửi tồn bộ các sự kiện hoặc không gửi sự kiện nào. Vì vậy cần ưu tiên
những thơng tin cần lưu trữ nhật ký.

22



Báo cáo TTTN Đại học

CHƯƠNG 2. TỔNG QUAN VỀ MOZDEF

MozDef gợi ý những thông tin cần thiết để lưu trữ nhật ký sau:
Sự kiện
Hoạt động xác thực

Ví dụ
Các hoạt động đăng nhập thành công, thất bại.

Hoạt động phân quyền

Người dùng cố gắng thực hiện các thao tác vượt quá quyền
hạn.

Vòng đời tài khoản

Hoạt động tạo mới, chỉnh sửa, xóa.

Thao tác tài khoản

Chỉnh sửa mật khẩu, thời gian hết hạn tài khoản, tái khởi tạo
tài khoản…

Tài khoản

Khóa, bỏ khóa, vơ hiệu hóa tài khoản.


Ngoại lệ ứng dụng

Các đầu vào khơng hợp lệ, lỗi…

Bảng 1 Bảng mô tả những loại sự kiện, thơng tin cần thiết để ghi nhật ký.
Sau đó, giao diện người dùng chứa hàng đợi tin nhắn máy chủ RabbitMQ chấp nhận
sự kiện và gửi đến để xử lý thêm. Sau đó chạy một loạt câu lệnh python worker host
do uWSGI lưu trữ để thực hiện các yêu cầu nhằm:
- Chuẩn hóa sự kiện.
- Khai thác sâu sự kiện - event enrichment.
- Cảnh báo dựa trên biểu thức chính quy – simple regex-based alerting.
- Máy học dựa trên luồng sự kiện theo thời gian thực.
2.3.3 Phân tích và phát hiện các sự cố bảo mật
MozDef có khả năng phân tích và đánh giá các sự cố bảo mật xảy ra trên hệ thống một
cách chi tiết và nhanh chóng.
Khi sự cố bảo mật được ghi nhận, MozDef sẽ tự động bắt đầu q trình phân tích để
cung cấp thơng tin chi tiết về sự cố, bao gồm:
- Hồ sơ sự cố: MozDef sẽ tạo một hồ sơ chi tiết về sự cố bao gồm thông tin về thời
gian, địa chỉ IP, tên người dùng, tệp tin và quá trình liên quan đến sự cố.
- Đánh giá mức độ nghiêm trọng: MozDef sẽ tự động đánh giá mức độ nghiêm trọng
của sự cố bảo mật và cung cấp cho người dùng thơng tin về mức độ đó.
- Phân tích chi tiết: MozDef sử dụng các cơng cụ phân tích để phân tích các thơng
tin liên quan đến sự cố, bao gồm phân tích mã độc, phân tích nội dung tệp tin và các
quá trình hệ thống liên quan đến sự cố.
- Cảnh báo: Nếu sự cố được xác định là nghiêm trọng, MozDef sẽ cảnh báo người
dùng thông qua các kênh cảnh báo, bao gồm email, tin nhắn văn bản hoặc thông báo
trực tiếp trên giao diện người dùng.

23



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×