<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">

<i>TRƯỜNG ĐẠI H C BÁCH KHOA HÀ N I ỌỘTRƯỜNG ĐIỆN- ĐIỆ</i>N T <i>Ử</i>

<b>Đề tài: Security Monitoring </b>

<i>Hà Nội, 1 - 2024 </i>

<i>Nhóm sinh viên thực hiện: </i>

Lê Duy Chung 2020368

</div><span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">

CÁC CỤM TỪ VIẾT TẮT SỬ DỤNG ... 4

MỞ ĐẦU ... 5

CHƯƠNG 1 GIỚI THIỆU CHUNG ĐỀ TÀI ... 7

1.1 Giới thiệu đề tài ... 7

1.2 Tính cấp thiết của đề tài ... 9

1.3 Mục tiêu nghiên cứu ... 10

1.4 Nội dung nghiên cứu... 10

1.5 Phạm vi nghiên cứu ... 11

CHƯƠNG 2 KIẾN TRÚC GIẢI PHÁP SIEM ... 12

2.1 Mơ hình kiến trúc hệ thống SOC... 12

2.1.1 Giới thiệu cơ bản về hệ thống SOC ... 12

2.1.2 Mơ hình triển khai của một hệ thống SOC ... 14

2.2 Mơ hình kiến trúc hệ thống SIEM SIEM Netwitness ... 16

2.2.1 Tổng quan về NetWitness ... 16

2.2.2 Tổng quan về kiến trúc hệ thống SIEM SIEM Netwitness ... 17

2.2.3 Ưu và nhược điểm của giải pháp SIEM Netwitness ... 17

2.3 Thiết kế hệ thống SIEM ... 19

2.3.1 Kiến trúc tổng thể của hệ thống ... 19

2.3.2 Mơ hình logic, luồng dữ liệu hệ thống ... 20

2.3.3 Các thành phần trong hệ thống SIEM ... 21

2.3.4 Yêu cầu phần cứng máy chủ. ... 22

2.4 Sơ đồ luồng dữ liệu và yêu cầu kết nối... 24

2.4.1 Yêu cầu kết nối từ SIEM server đến các thành phần khác ... 24

2.4.2 Yêu cầu kết nối từ Broker đến các thành phần khác: ... 26

2.4.3 Yêu cầu kết nối từ Concentrator đến các thành phần khác: ... 26

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

2.5.2 Cấu hình lấy log các máy chủ Linux ... 37

CHƯƠNG 3 VM (Vulnability management) ... 38

3.1 Vulnerability Management là gì? ... 38

3.1.1 Vì sao phải quan tâm đến Vulnerability? ... 39

3.1.2 Nguyên nhân dẫn đến Vulnerability ... 40

3.2 Vulnerability Management platform ... 40

3.3 Quy trình quản lý lỗ hổng bảo mật (vulnerability management) ... 40

3.4 Architechtur ... 44

Yêu cầu hệ thống ... 46

1.1. Phầncứn ... 46g 1.2 Hệ điềuhành.<small> ... </small>46

CHƯƠNG 4 Threat intelligence... 49

4.1 Threat Intelligence là gì? ... 49

4.2 Sự cần thiết của Threat Intelligence ... 50

4.3 Các tiêu chí để phát hiện khi bị Compromise ... 52

</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">

Response

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

MỞ ĐẦU

An ninh m ng ngày càng tr nên quan trạ ở ọng đối với các doanh nghiệp và tổ chức trong b i c nh thố ả ế giới ngày càng ph thu c vào công ngh thông tin. Các mụ ộ ệ ối đe dọa này có thể bao gồm các cu c t n công m ng t hacker, tin t c, ho c các t ộ ấ ạ ừ ặ ặ ổchức t i phạm mạng; các l h ng bảo mật trong phần mềm và các thiết b kết n i ộ ỗ ổ ị ốm ng; ho c c nhạ ặ ả ững hành động l i c a nhân viên trong tỗ ủ ổ chức.

Nếu khơng được đối phó kịp thời và hiệu quả, các mối đe dọa này có thể gây ra nh ng thi t h i nghiêm tr ng cho các tữ ệ ạ ọ ổ chức và doanh nghiệp, như mất thông tin quan tr ng, ti n b c, hoọ ề ạ ặc ảnh hưởng đến danh ti ng và uy tín c a tế ủ ổ chức.

Để đố i phó với các cu c tấn cơng mạng, m t số doanh nghi p và tộ ộ ệ ổ chức đã đầu tư vào hệ th ng Security Operation Center (SOC) và Security Information and ốEvent Management (SIEM). SOC là m t trung tâm qu n lý an ninh m ng, cung cộ ả ạ ấp các gi i pháp b o m t tích hả ả ậ ợp để giảm thi u r i ro và giám sát các cu c t n công ể ủ ộ ấmạng. Trong khi đó, SIEM là m t ph n mộ ầ ềm qu n lý s ả ự kiện an ninh mạng, cho phép các tổ chức giám sát và phân tích các thơng tin liên quan đến an ninh m ng. ạ

Trong b i c nh này, vi c tri n khai SOC và SIEM tr nên c c kố ả ệ ể ở ự ỳ quan tr ng ọđối với các doanh nghiệp và t chức để bảo vệ thông tin và dổ ữ liệu c a mình. H ủ ệthống SOC và SIEM giúp định vị và phân tích các cuộc tấn công mạng, giúp các chuyên gia b o m t có th phát hiả ậ ể ện và ngăn chặn các hành vi tấn công mạng trước khi chúng gây h i cho hạ ệ thống.

Trong đồ án tốt nghiệp này, em xin thực hiện đề tài: “Nghiên cứu Security Monitoring”. Điều này giúp doanh nghi p và tệ ổ chức có th n m bể ắ ắt được tình hình an ninh m ng c a mình mạ ủ ột cách chính xác và k p thời, t đó tăng cườị ừ ng khả năng phát hi n và ph n ệ ả ứng đố ới v i các mối đe dọa an ninh mạng. Đồng th i, nghiên cờ ứu này cũng giúp cho các doanh nghi p và t ệ ổ chức hiểu rõ hơn về tầm quan tr ng c a an ọ ủ

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

ninh mạng và cách để bảo vệ hệ thống thông tin c a mình. R t mong nhủ ấ ận được s ựnh n xét, góp ý c a thậ ủ ầy cơ để kiến th c cứ ủa em được hồn thiện hơn.

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

<b>CHƯƠNG 1 </b>

<b>GIỚI THIỆU CHUNG ĐỀ TÀI </b>

1.1 Giới thiệu đề tài

Việc tăng cường an ninh mạng là cần thiết để bảo vệ thông tin quan trọng của các tổ chức và qu c gia. Tuy nhiên, việc phịng ngố ừa và đối phó với các cu c tấn cơng mạng cần ộđịi hỏi sự chuyên môn cao và kh ả năng cập nhật công ngh và nhi u bi n pháp b o mệ ề ệ ả ật đểđảm bảo an toàn cho d liệu và thông tin cá nhân cữ ủa người dùng.

Hình 1.1: Mơ hình Defense in Depth

Trên đây là mơ hình phịng thủ theo chiều sâu (Defense- -Depth). Phịng th có chiin ủ ều sâu giúp chúng ta b o v h ả ệ ệ thống m ng c a mình b t ch p m t ho c nhi u l p b o v bên ạ ủ ấ ấ ộ ặ ề ớ ả ệngoài b xâm h i. M t hị ạ ộ ệ thống phòng thủ chỉ an toàn khi nào càng đi sâu vào bên trong, k t n công càng gẻ ấ ặp ph i nhiả ều khó khăn, tốn nhi u cơng s c và d b phát hiề ứ ễ ị ện hơn. Phần dữ liệu quan tr ng mà các tin t c nhọ ặ ắm đến là mục tiêu cần bảo vệ, hệ th ng phòng th ố ủl p trong cùng s là data security (password, encryption, access control list), lớ ẽ ần lượt các layer sau s là: application security (tùy ng d ng mà có cách cẽ ứ ụ ấu hình đảm b o an tồn ả

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

riêng), endpoint security (anti-virus, update management, OS hardening), network security (network-based IDS/IPS, VLAN-based network segmentation), perimeter network (firewall, router, VPN), physical (camera, lock, guard), policy/procedure/awareness (security policy, disaster recovery plan, security training)

Tuy nhiên không có b t kì l p b o vấ ớ ả ệ nào đủ ứ s c ch ng l i m i lo i t n công. Trong ố ạ ọ ạ ấcác cu c t n công, ph n l n các hacker phát tri n và ti n hành các cu c t n công theo mộ ấ ầ ớ ể ế ộ ấ ột chuỗi các logic được gọi là Cyber Kill Chain.

Hình 1.2: Mơ hình Cyber Kill Chain.

Vì vậy nên ta có thêm 2 y u t r t quan tr ng là Prevention (C&A, Penetration Testing, ế ố ấ ọRisk Management…) và Monitor& Response (NOC, SOC, SIEM…) để gia tăng khả năng phòng ngừa cũng như phát hiện kịp thời nh m b gãy chu i xâm nh p c a các attacker tính ằ ẻ ỗ ậ ủtừ giai đoạn thu thập thông tin (reconnaissance) cho đến khi thực hiện đánh cắp dữ liệu (Actions on Objectives).

Một trong nh ng hữ ệ thống quan trong nh t trong chu i b o m t trên chính là hấ ỗ ả ậ ệ thống Security Operations Center (SOC). SOC là trung tâm điều hành bảo mật cho m t tộ ổ chức,

</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">

có nhi m v giám sát và phát hi n các hoệ ụ ệ ạt động đáng ngờ, các mối đe dọa bảo mật và các cuộc tấn cơng mạng.

1.2 Tính cấp thiết của đề tài

Trong những năm gần đây, tình hình an ninh mạng trên tồn cầu đang diễn ra vơ cùng ph c t p và nghiêm tr ng. Các cu c t n công mứ ạ ọ ộ ấ ạng ngày càng tinh vi hơn, gây thiệt hại không ch vỉ ề mặt tài chính mà cịn v danh tiếng và uy tín c a các tề ủ ổ chức và qu c gia. ốMột trong nh ng cu c t n công mữ ộ ấ ạng l n nh t trong l ch s là cu c t n công WannaCry ớ ấ ị ử ộ ấvào năm 2017, khi mã độc WannaCry đã lan nhanh trên toàn cầu, tấn cơng hệ thống máy tính của hàng trăm nghìn t ổ chức tại hơn 150 quốc gia. Cu c tộ ấn công này đã làm cho nhiều công ty l n, b nh vi n và t ớ ệ ệ ổ chức chính ph ph i ng ng hoủ ả ừ ạt động và gây thi t h i tài chính ệ ạl n. ớ

Một cu c t n công m ng gộ ấ ạ ần đây khác là cuộ ấn công vào Facebook vào năm 2021, c tkhi thông tin cá nhân của hơn 533 triệu người dùng đã bị đánh cắp và phổ biến trên mạng. Điều này đã gây ra lo ngại lớn về bảo mật thông tin cá nhân và đặt ra câu hỏi về khả năng b o v dả ệ ữ liệu c a các công ty công ngh l n. ủ ệ ớ

Ở Việt Nam, vào tháng 7 năm 2020, cuộc tấn công mạng vào Viettel Telecom đã gây ra sự chú ý đáng kể. Các hacker đã tấn công vào hệ thống quản lý tài kho n c a Viettel, ả ủlấy đi thông tin cá nhân của hơn 7 triệu khách hàng và đưa lên một trang web bán hàng trực tuyến. Đây là một trong nh ng cu c t n công m ng l n nh t và nguy hi m nh t tữ ộ ấ ạ ớ ấ ể ấ ại Việt Nam trong năm 2020.

Với sự gia tăng không ngừng của các cuộc tấn công mạng, các tổ chức c n có m t h ầ ộ ệthống bảo mật toàn diện để giảm thi u thi t hể ệ ại và đảm bảo an toàn cho dữ liệu và thông tin c a h . Hủ ọ ệ thống SOC-SIEM được xem là m t gi i pháp hi u quộ ả ệ ả để đáp ứng nhu cầu b o mả ật thông tin c a các tủ ổ chức, đặc biệt là các tổ chức có quy mô l n và phớ ải đối mặt v i nhi u mớ ề ối đe dọa b o mả ật.

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

Hệ thống SIEM thu th p d ậ ữ liệu t nhi u ngu n khác nhau trên h ừ ề ồ ệ thống m ng và phân ạtích các sự kiện b o m t. Khi hả ậ ệ thống SIEM phát hi n m t mệ ộ ối đe dọa b o m t, nó s t o ả ậ ẽ ạra m t c nh báo và gộ ả ửi thông tin đến hệ thống SOC để ử x lý. Hệ thống SOC sẽ tiếp nhận cảnh báo này và th c hiự ện các bước đối phó, bao g m giám sát, phân tích và kh c ph c s ồ ắ ụ ựcố.

Mối liên hệ giữa hệ thống SOC và SIEM giúp cung c p cho tấ ổ chức m t hộ ệ thống b o ảm t toàn di n, giúp tậ ệ ổ chức phát hi n, phòng ngệ ừa và đối phó v i các mớ ối đe dọa b o mả ật m t cách nhanh chóng và hi u quộ ệ ả. Nó cũng giúp giảm thiểu thi t h i do các cu c t n công ệ ạ ộ ấmạng và đảm bảo an toàn cho hệ thống mạng c a tủ ổ chức. Nh n th y t m quan tr ng cậ ấ ầ ọ ủa SIEM trong vi c giám sát an ninh mệ ạng nên em đã quyết định chọn đề tài: “Nghiên cứu Security Monitoring” để làm.

1.3 Mục tiêu nghiên cứu

Từ nh ng phân tích trên, M c tiêu cữ ở ụ ần đạt được của Đề tài là: Nắm được mô hình ki n trúc c a SIEM s d ng SIEM ế ủ ử ụ Netwitness. Xây d ng m t hự ộ ệ thống SIEM SIEM Netwitness hoàn chỉnh. Thu th p dậ ữ liệu t các ngu n c n giám sát (log source). ừ ồ ầ Tích h p hợ ệ thống SIEM v hề ệ thống SOC để giám sát.

Ngoài ra, m c tiêu quan tr ng cụ ọ ần đạt được là ph i hoàn thiả ện Báo cáo Đồ án tốt nghiệp theo đúng thời gian, đầy đủ ội dung và trình bày theo quy đị n nh.

1.4 Nội dung nghiên cứu

Trên cơ sở mục tiêu đã đặt ra, để có thể hồn thiện được những mục tiêu đó, em sẽ tập trung vào các n i dung nghiên c u sau: ộ ứ

Nghiên c u mơ hình ki n trúc c a SIEM s d ng SIEM ứ ế ủ ử ụ Netwitness Nghiên c u xây d ng và v n hành hứ ự ậ ệ thống

Đưa ra được sizing, yêu cầu ươc tính của hệ thống, và c u hình storage. ấ

</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">

Thu th p các nh t kí sậ ậ ự kiện (event log) t các log source ừ

Khảo sát toàn b hộ ệ thống để tìm ra lo i log c n thu thạ ầ ập để giám sát Tìm hi u cách c u hình l y log c a Windows Server ể ấ ấ ủ

Tìm hi u cách c u hình l y log c a Linux ể ấ ấ ủ

Tìm hi u cách c u hình l y log c a các thi t b b o m t, thi t b an tồn thơng ể ấ ấ ủ ế ị ả ậ ế ịtin

Làm việc trên mơi trường o hóa l n vả ẫ ật lí

Nắm được cách vận hành của một hệ th ng Domain Controler ố

Nắm được mơ hình kết nối mạng site to site để tích hợp về hệ thống SOC giám sát.

1.5 Phạm vi nghiên cứu

Các kiến thức và tài liệu được cung cấp bởi hãng SIEM Netwitness Nghiên cứu các kiến thức theo chứng chỉ: MCSA, LPI 1, LPI 2 Nghiên cứu cấu trúc mạng, đường truyền (network)

Khi đi vào dự án thực tiễn trong môi trường Product, khảo sát hệ thống khách hàng, các phòng ban, các site.

</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">

<b>CHƯƠNG 2 </b>

<b>KIẾN TRÚC GIẢI PHÁP SIEM </b>

2.1 Mô hình kiến trúc hệ thống SOC 2.1.1 Giới thiệu cơ bản về hệ thống SOC

- SOC là hệ thống cần thiết, hỗ trợ tích cực cho đơn vị trong việc giám sát và nâng cao trạng thái an ninh mạng, an tồn thơng tin cho tồn bộ hệ thống mạng nghiệp vụ, sẵn sàng ứng phó với các sự cố có thể xảy ra

Hình 2-1: Mơ tả các chức năng hệ thống SOC

- Xây dựng hệ thống SOC là tổng hợp của 3 thành phần: Công nghệ, quy trình, con người.

<small>Phát triểnnộidung (rule, playbook)Ứngphó sựcố</small>

<small>Giám sát, phát hiệnsựcốThu thậpthông tin, sựkiệnbảo</small>

<small>mật</small>

</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">

Red Team: Nhóm chun sâu về tấn cơng mạng

Blue Team: Nhóm chun sâu về phịng thủ, giám sát và điều tra số Purple Team: Nhóm nghiên cứu, phát triển, tinh chỉnh các tập luật nhằm phát

hiện các hành vi bất thường, các kỹ thuật tấn cơng mạng Malware Team: Nhóm chun sâu về phân tích mã độc

Threat Intelligence Team: Nhóm phân tích, “săn” các mối đe dọa an ninh mạng mới

System Team: Nhóm triển khai, quản trị, vận hành hệ thống.

Hình 2-2: Thành phần các Team tham gia vào xây dựng hệ thống SOC

2. Về quy trình

Hệ thống SOC xây d ng quy trình x lý cơng viự ử ệc được theo t ng l p sau: ừ ớ Tier 1: Giám sát, theo dõi cảnh báo. Tạo tickets và loại bỏ cảnh báo sai. Tier 2: Tiến hành điều tra sâu về vự cố

Tier 3: Điều tra ứng phó sự cố, phân tích mã độc và điều tra số chuyên sâu. Tier 4: Quản lý, điều phối chung các Tier (Soc Manager)

</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">

Hình 2-3: Quy trình điều hành hệ thống SOC

3. Về công nghệ

Căn cứ quyết định số 1356/QĐ-BTTT quy định tiêu chí về cơng ngh và tùy theo ệhi n tr ng h t ng b o mệ ạ ạ ầ ả ật c a t ng doanh nghi p, các thành phủ ừ ệ ần cơ bản và nâng cao trong hệ thống SOC bao gồm:

SIEM: sản phẩm quản lý và phân tích sự kiện an tồn thơng tin SOAR: sản phẩm điều phối, tự động hóa và phản ứng an tồn thơng tin Anti-Virus-sản phẩm phòng chống mã độc

WAF: tường lửa ứng dụng web

Threat Intelligence Platcform: nền tảng tri thức mối đe dọa an tồn thơng tin VM (Vulnerability Management): quản lý lỗ hổng bảo mật

2.1.2 Mô hình triển khai của một hệ thống SOC

Mơ hình Distributed Model và Centralized Model là hai ki u t ể ổ chức hoạt động của m t d ch vộ ị ụ SOC (Security Operations Center), đây là hai cách tiếp c n khác nhau trong ậviệc tổ chức và qu n lý các hoả ạt động b o m t thông tin c a m t tả ậ ủ ộ ổ chức.

</div><span class="text_page_counter">Trang 15</span><div class="page_container" data-page="15">

1. Mô hình Distributed Model

Hình 2-4: Mơ hình Distributed Model

Trong mơ hình này, các chức năng của SOC được phân tán và phát tri n t i các v ể ạ ịtrí địa lý khác nhau trong tổ chức. Các đội SOC có thể được đặ ại các văn phòng hoặc t ttrung tâm dữ liệu c a tủ ừng địa điểm ho c chi nhánh c a tặ ủ ổ chức. Các đội SOC này có th ểđảm nhiệm vai trò giám sát, phát hi n, phân tích và gi i quy t các s c b o m t c c bệ ả ế ự ố ả ậ ụ ộ. Các dữ liệu và thông tin liên quan đến an ninh từ các địa điểm phân tán này có thể được t ng h p và phân tích t i mổ ợ ạ ột trung tâm SOC trung tâm hoặc trung tâm điều hành t ng th ổ ể.

Mơ hình này s ẽ thường được áp dụng trong các đối tượng là t ổ chức nhiều văn phòng hoặc địa điểm địa lý khác nhau, thường ph ổ biến trong các t ổ chức đa quốc gia hoặc đa văn phịng. Ho c tặ ổ chức có mơ hình phân tán hoặc đa nguồn dữ liệu: Trong các tổ chứ ớn c lv i nhi u ngu n d ớ ề ồ ữ liệu khác nhau, ch ng h n t các thi t b mẳ ạ ừ ế ị ạng, h ệ thống máy chủ, ứng d ng, d ch vụ ị ụ đám mây, thiế ị di đột b ng, etc.

Trong mộ ố ổt s t ch c, việc duy trì và vận hành m t SOC trung tâm hồn ch nh có ứ ộ ỉthể khơng kh thi v m t tài nguyên. V i vai trò là m t tả ề ặ ớ ộ ổ chức chuyên cung c p d ch v ấ ị ụSOC, mơ hình này có thể giải quyết được vấn đề về ngu n l c và tài nguyên c a tồ ự ủ ổ chức cần triển khai SOC.

</div><span class="text_page_counter">Trang 16</span><div class="page_container" data-page="16">

2. Mơ hình Centralized Model

Hình 2-5: Mơ hình Centralized Model

Trong mơ hình này, t t cấ ả các chức năng của SOC đượ ậc t p trung và hoạt động tại m t trung tâm SOC duy nh t. Các hoộ ấ ạt động giám sát, phát hi n, phân tích và gi i quyệ ả ết s c b o mự ố ả ật đều được th c hi n t i trung tâm SOC này. Các dự ệ ạ ữ liệu và thông tin an ninh t các nguừ ồn khác nhau đượ ổc t ng h p và phân tích t i trung tâm SOC, và các hoợ ạ ạt động ph n ả ứng cũng được th c hi n tự ệ ừ đó.

Đối tượng giám sát ch y u là m t hủ ế ộ ệ thống duy nh t. Trong m t sấ ộ ố trường h p, t ợ ổchức có nhu cầu giám sát và bảo vệ chủ yếu cho một hệ thống hoặc ứng dụng đặc biệt chẳng h n hạ ệ thống thanh toán tr c tuyự ến hay cơ sở ữ liệ d u khách hàng, thay vì tồn b ộm ng ho c hạ ặ ệ thống thông tin c a tủ ổ chức.

2.2 Mơ hình kiến trúc hệ thống SIEM SIEM Netwitness 2.2.1 Tổng quan về NetWitness

NetWitness là một b phát hi n mộ ệ ối đe dọa m nh mạ ẽ cho phép các Trung tâm vận hành b o mả ật (SOC) nhanh chóng xác định vị trí, ưu tiên và loại b các mỏ ối đe dọa. NetWitness giúp cô lập và kh c ph c các mắ ụ ối đe dọa đã biết cũng như những mối đe dọa

</div>