<span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">

Đào Hải Đăng

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

Giới thiệu tổng quan

</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">

Wazuh là dự án mã nguồn mở có chức năng phát hiện lỗ hổng bảo mật, tăng cường khả năng quan sát và giám sát tuân thủ các quy định an ninh thơng tin. Nó tự động thu thập và tổng hợp dữ liệu bảo mật từ nhiều hệ điều hành như Linux, Windows, macOS, Solaris, và AIX, tạo nên một giải pháp SIEM toàn diện.

Giới thiệu tổng quan

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

Khả năng của Wazuh

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

Wazuh ban đầu được phát triển dựa trên OSSEC HIDS và sau đó được tích hợp thêm Elastic Stack cùng với OpenSCAP để trở thành một giải pháp an ninh toàn diện

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

WAZUH SERVER

Các thành phần chính

WAZUH AGENT

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

WAZUH SERVER

Là thành phần chính , có trách nhiệm phân tích dữ liệu từ các agent và gửi cảnh báo khi phát hiện các sự kiện an ninh

• Có thể được cài đặt trên một máy chủ vật lý hoặc máy ảo riêng biệt

• Có thể được cài đặt trên một máy trên đám mây • Có thể chạy các agent để tự giám sát chính nó.

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

WAZUH AGENT

Thu thập dữ liệu từ hệ thống và ứng dụng, sau đó gửi đến Wazuh Server qua kênh truyền được mã hóa và xác thực

Wazuh agent có thể được cài đặt trên các hệ điều hành Windows, Linux, Solaris, BSD, và Mac

Giám sát máy chủ vật lý, máy ảo, các instance trên đám mây. Các gói cài đặt agent hiện có cho Linux, HP-UX, AIX, Solaris, Windows và Darwin (Mac OS X).

</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">

Kiến trúc của WAZUH

</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">

Giao tiếp Agent – Server

Wazuh Agent liên tục gửi các sự kiện đến máy chủ Wazuh Server để phân tích và phát hiện mối đe dọa

để bắt đầu vận chuyển, Agent thiết lập kết nối với dịch vụ Server thơng qua cổng 1514, mặc định

nhưng có thể được cấu hình

máy chủ Wazuh giải mã và kiểm tra các sự kiện đã nhận, phân tích. Các sự kiện liên quan đến các quy tắc được bổ sung thông tin cảnh báo

</div><span class="text_page_counter">Trang 15</span><div class="page_container" data-page="15">

Giao tiếp Agent – Server

Các sự kiện liên quan đến quy tắc được bổ sung thông tin cảnh báo. Được lưu vào một hoặc cả hai

sử dụng cả hai tệp để tạo cảnh báo có thể dẫn đến việc cảnh báo bị lặp lại. Cả hai tệp đều chứa dữ liệu đã được giải mã và sử dụng mã hóa Blowfish 192-bit hoặc AES 128-bit.

</div><span class="text_page_counter">Trang 16</span><div class="page_container" data-page="16">

Filebeat gửi dữ liệu định dạng đến Elasticsearch (port 9200/TCP) và Kibana hiển thị dữ liệu (port 5601/TCP).

Giao tiếp WAZUH – Elastic

Wazuh App trên Kibana sử dụng RESTful API (port 55000/TCP) trên Wazuh manager để truy vấn và quản lý agent, với mã hóa TLS và xác thực username/password.

</div><span class="text_page_counter">Trang 17</span><div class="page_container" data-page="17">

Một số dịch vụ được sử dụng để liên lạc với các thành phần của Wazuh. Bên đây là danh sách các cổng mặc định được sử dụng bởi các dịch vụ này.

Required ports & Archival data

Cảnh báo và sự kiện không cảnh báo được lưu trữ trong các tệp trên máy chủ Wazuh. Có thể ở định dạng JSON hoặc văn bản thuần túy, được nén và ký bằng tổng kiểm MD5, SHA1 và SHA256 hàng ngày.

</div><span class="text_page_counter">Trang 18</span><div class="page_container" data-page="18">

Cài Đặt Wazuh

Wazuh Server

</div><span class="text_page_counter">Trang 19</span><div class="page_container" data-page="19">

Cài Đặt Wazuh

Wazuh Agent

</div><span class="text_page_counter">Trang 20</span><div class="page_container" data-page="20">

CẤU HÌNH ,TẠO LUẬTWAZUH

</div><span class="text_page_counter">Trang 21</span><div class="page_container" data-page="21">

1.WAZUH AGENT

Cấu hình agent đúng cách là điều cần thiết để đảm bảo Wazuh hoạt động hiệu quả.

</div><span class="text_page_counter">Trang 22</span><div class="page_container" data-page="22">

<small>• Mở file cấu hình agent (/etc/wazuh/agent.conf trên Linux).</small>

<small>• Chỉnh sửa các cài đặt sau:</small>

<small>⚬ Wazuh server IP: Địa chỉ IP của Wazuh server.</small>

<small>⚬ Wazuh server port: Cổng giao tiếp với Wazuh server.</small>

<small>⚬ Pre-shared key: Khóa bí mật được chia sẻ giữa agent và Wazuh server.</small>

Cấu hình Wazuh agent

</div><span class="text_page_counter">Trang 23</span><div class="page_container" data-page="23">

2.CẤU HÌNH WAZUH SERVER

Cấu hình Wazuh Server đúng cách giúp đảm bảo hiệu quả hoạt động và khả năng mở rộng của hệ thống.

</div><span class="text_page_counter">Trang 24</span><div class="page_container" data-page="24">

Sửa file cấu hình: /etc/wazuh/ossec.conf • Cấu hình giao diện mạng:

⚬ bind_address: Địa chỉ IP của server ⚬ port: Cổng của server

• Cấu hình agent:

⚬ active-response: Kích hoạt chức năng phản hồi chủ động ⚬ disabled_rules: Danh sách các quy tắc bị vơ hiệu hóa

Cấu hình Wazuh server

</div><span class="text_page_counter">Trang 25</span><div class="page_container" data-page="25">

3. CẤU HÌNH WAZUH INDEXER

Cấu hình Wazuh Indexer (hay còn gọi là Wazuh-ELK) là bước quan trọng để thiết lập hệ thống giám sát bảo mật hiệu quả với Wazuh.

</div><span class="text_page_counter">Trang 26</span><div class="page_container" data-page="26">

Sửa file cấu hình: /etc/wazuh-indexer.conf

• kibana.url: Địa chỉ IP của Kibana • kibana.port: Cổng của Kibana

Cấu hình Wazuh indexer

</div><span class="text_page_counter">Trang 27</span><div class="page_container" data-page="27">

4.CẤU HÌNH WAZUH DASHBOARD

Cấu hình Wazuh Dashboard đúng cách giúp bạn dễ dàng theo dõi tình trạng bảo mật, nhận cảnh báo và thực hiện các hành động khắc phục sự cố.

</div><span class="text_page_counter">Trang 28</span><div class="page_container" data-page="28">

Wazuh dashboard bao gồm một tập tin cấu hình nằm ở /usr/share/wazuh-dashboard/data/wazuh/config/wazuh. yml,

nơi có thể định nghĩa các giá trị tùy chỉnh cho một số tùy chọn^{Đây là một ví dụ về cấu hình nhiều}_{máy chủ:}

Cấu hình Wazuh dashboard

</div><span class="text_page_counter">Trang 29</span><div class="page_container" data-page="29">

4.2 TẠO LUẬT

Tạo luật của wazuh bao gồm những quy tắc. Các quy tắc này được hệ thống sử dụng để phát hiện tấn công, xâm nhập, sử dụng sai phần mềm, vấn đề cấu hình, lỗi ứng dụng, phần mềm độc hại

</div><span class="text_page_counter">Trang 30</span><div class="page_container" data-page="30">

Cấu trúc cây thư mục tạo luật

Tạo luật Wazuh

</div><span class="text_page_counter">Trang 31</span><div class="page_container" data-page="31">

Để thêm mới hoặc thay đổi các quy tắc và bộ giải mã thì cần sửa file .local_decoder.xml và

</div><span class="text_page_counter">Trang 32</span><div class="page_container" data-page="32">

Ta có thể thêm quy tắc mới vào /var/ossec/etc/rules/local_rules.xml

Luật được sử dụng để theo dõi hoạt động đăng nhập của người dùng cho chương trình "example"

Tạo luật Wazuh

</div><span class="text_page_counter">Trang 33</span><div class="page_container" data-page="33">

Có thể thay đổi quy tắc Wazuh mặc định trong thư

</div><span class="text_page_counter">Trang 34</span><div class="page_container" data-page="34">

VÍ DỤ CẤU HÌNH PHỊNG CHỐNG TẤN CƠNG SQL INJECTION:

</div><span class="text_page_counter">Trang 35</span><div class="page_container" data-page="35">

Bước 1: Ở máy agent ubuntu cập nhật các gói cục bộ:

sudo apt update sudo apt install apache2

Bước 2: Cài đặt máy chủ web Apache:

sudo systemctl status apache2 Bước 3: Sử dụng curl lệnh hoặc mở

http://<UBUNTU_IP> trong trình duyệt để xem trang đích Apache và xác minh cài đặt:

</div><span class="text_page_counter">Trang 36</span><div class="page_container" data-page="36">

Bước 4: Thêm các dịng sau vào tệp cấu hình

/var/ossec/etc/ossec.conf của Wazuh agent. Điều này cho

phép Wazuh agent giám sát các nhật ký truy cập của máy chủ

</div>