BÀI TIỂU LUẬN Hệ thống theo dõi giám sát Splunk

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (721.63 KB, 22 trang )

Trang 1<div class="page_container" data-page="1">

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA CÔNG NGHỆ THÔNG TIN

--- ---

BÀI TIỂU LUẬN

Hệ thống theo dõi giám sát Splunk

Giảng viên: Đinh Trường Duy Nhóm: D2002G15

Thành viên:

Viên Ngọc Kỳ

Nguyễn Như Quỳnh Nguyễn Quang Khánh Trần Hoàng Sơn

Năm học: 2023

</div>Trang 2<div class="page_container" data-page="2">

Thành viên Nhiệm vụ Tự đánh giá Nhóm trưởng đánh giá

Nguyễn Như Quỳnh Làm slide, tham gia viết báo cáo, tham gia tìm kịch bản

Nguyễn Quang Khánh

Thuyết trình, tham gia hỗ trợ tìm kiếm nội dung

Tổng hợp,hỗ trợ, theo dõi tiến độ từng thành viên

</div>Trang 3<div class="page_container" data-page="3">

MỤC LỤC

I. Giới thiệu... 4

1. Mục đích của báo cáo ... 4

2. Khái qt về Splunk và vai trị của nó trong việc giám sát hệ thống ... 4

II. Kiến trúc của Splunk ... 4

1. Tổng quan về kiến trúc của Splunk ... 4

2. Các thành phần chính của Splunk ... 7

3. Các tính năng của Splunk ... 7

4. Hướng dẫn cài đặt và cấu hình Splunk ... 8

4.1. Cài đặt ... 8

4.2. Cấu hình Splunk ... 9

III. Các giải thuật trong Splunk ... 10

1. Các giải thuật phân tích dữ liệu trong Splunk ... 10

2. Các giải thuật phát hiện tấn công trong Splunk ... 12

2.1. Giải thuật phát hiện tấn công mạng: ... 12

2.2. Giải thuật phát hiện tấn công hệ thống: ... 12

2.3. Giải thuật phát hiện tấn công cơ sở dữ liệu: ... 12

2.4. Giải thuật phát hiện tấn công ứng dụng: ... 12

IV. Các điểm yếu của splunk và các dạng tấn công: ... 16

1. Các điểm yếu của Splunk: ... 16

2. Các dạng tấn công vào Splunk và cách đối phó với chúng ... 18

2.1. Tấn cơng từ chối dịch vụ (DoS) ... 18

2.2. Tấn công từ chối dịch vụ phân tán (DDoS) ... 18

2.8. Tấn công thư rác (Spam) ... 19

V. Các kịch bản giám sát và phát hiện tấn công: ... 20

1. Kịch bản giám sát lưu lượng mạng: ... 20

</div>Trang 4<div class="page_container" data-page="4">

I. Giới thiệu

1. Mục đích của báo cáo

Báo cáo này nhằm tìm hiểu về hệ thống theo dõi giám sát Splunk, bao gồm kiến trúc, giải thuật, các điểm yếu, các dạng tấn cơng và ứng dụng của nó. Bên cạnh đó, báo cáo cũng đưa ra các kịch bản giám sát và phát hiện tấn công thông qua Splunk.

2. Khái qt về Splunk và vai trị của nó trong việc giám sát hệ thống

Splunk là một nền tảng phân tích dữ liệu và giám sát hệ thống, cho phép người dùng thu thập và phân tích các tập tin log từ nhiều nguồn khác nhau. Splunk có thể giám sát các hệ thống, các ứng dụng, các tập tin log, các trang web và nhiều hơn nữa. Các dữ liệu này sẽ được lưu trữ trong Splunk, cho phép người dùng phân tích chúng và đưa ra các báo cáo chi tiết về hoạt động trong hệ thống.

Vai trò của Splunk trong việc giám sát hệ thống là đảm bảo hiệu suất và bảo mật của hệ thống. Splunk giúp người dùng phát hiện các vấn đề liên quan đến hiệu suất của hệ thống, như tình trạng tải cao, tình trạng bị treo, tình trạng ứng dụng bị lỗi. Ngồi ra, Splunk cũng giúp người dùng phát hiện các hành vi đáng ngờ hoặc tấn công vào hệ thống, giúp tăng cường bảo mật cho hệ thống.

II. Kiến trúc của Splunk

1. Tổng quan về kiến trúc của Splunk

Kiến trúc của Splunk bao gồm nhiều thành phần khác nhau, đảm bảo hoạt động hiệu quả và chính xác của nền tảng này. Kiến trúc của Splunk bao gồm

các thành phần sau:

 Indexer: Lưu trữ và quản lý dữ liệu được thu thập từ Forwarder. Indexer được phân tán trên nhiều máy chủ để đảm bảo khả năng mở rộng và tăng hiệu suất.

</div>Trang 5<div class="page_container" data-page="5">

 Forwarder: Chịu trách nhiệm thu thập dữ liệu từ các nguồn khác nhau và gửi chúng đến Splunk. Forwarder được cài đặt trên các máy chủ hoặc các ứng dụng

 Search Head: Quản lý và hiển thị các kết quả tìm kiếm cho người dùng. Search Head có thể được cài đặt trên một máy chủ riêng biệt hoặc chia sẻ với Indexer.

 Deployment Server: Được sử dụng để cấu hình và quản lý các Forwarder và các thành phần khác của Splunk.

 Universal Forwarder: Phiên bản nhỏ gọn của Forwarder được sử dụng để thu thập dữ liệu từ các thiết bị di động hoặc các ứng dụng nhỏ.

 Heavy Forwarder: Phiên bản Forwarder có thêm tính năng xử lý và phân tích dữ liệu, được sử dụng để giải quyết các trường hợp cần xử lý dữ liệu trước khi gửi đến Indexer.

Sơ đồ miêu tả kiến trúc của hệ thống giám sát Splunk, bao gồm các thành phần chính của nó và cách chúng tương tác với nhau.

</div>Trang 6<div class="page_container" data-page="6">

Các thành phần chính của hệ thống bao gồm:

1. Data Producers: Đây là các máy chủ hoặc thiết bị tạo ra dữ liệu cần giám sát. Chúng gửi các sự kiện hoặc bản ghi đến các máy chủ Forwarder để tiếp nhận.

2. Universal Forwarder: Forwarder là thành phần trung gian, nhận dữ liệu từ các data producers và chuyển đến Indexers hoặc các Heavy Forwarder để tiếp tục xử lý. Universal Forwarder là một loại forwarder nhỏ hơn, được sử dụng cho các ứng dụng nhỏ và tài nguyên hạn chế.

3. Heavy Forwarder: Đây là một phiên bản của Forwarder có nhiều tính năng hơn. Chúng có thể thực hiện nhiều chức năng xử lý dữ liệu, như lọc dữ liệu, sử dụng giải thuật phân tích để tìm kiếm tấn cơng và chuyển dữ liệu đến các Indexers hoặc Search Heads.

4. Indexers: Đây là nơi lưu trữ dữ liệu của hệ thống. Indexers sử dụng dữ liệu nhận được từ Forwarders để tạo ra các bảng chỉ mục, là nơi các Search Heads sẽ tìm kiếm các sự kiện và dữ liệu liên quan.

5. Search Head: Đây là giao diện người dùng cuối cùng của hệ thống, cho phép người dùng truy cập dữ liệu và thực hiện các tìm kiếm hoặc truy vấn đến dữ liệu. Search Head thực hiện các tìm kiếm và truy vấn bằng cách tìm kiếm các chỉ mục đã tạo trên Indexers.

6. Development Server: Đây là một máy chủ được sử dụng cho mục đích phát triển và kiểm tra. Nó có thể được sử dụng để phát triển các ứng dụng Splunk hoặc các giải thuật phân tích dữ liệu.

Các mũi tên trong sơ đồ mô tả các thông điệp và luồng dữ liệu giữa các thành phần của hệ thống. Ví dụ, Data Producers gửi dữ liệu đến Universal Forwarders thông qua các giao thức như syslog hoặc agent-based. Universal Forwarders sau đó chuyển dữ liệu đến các Indexers hoặc các Heavy Forwarder. Các Indexers tạo các chỉ mục và chuyển chúng đến Search Heads để thực hiện các truy vấn và tìm kiếm dữ liệu.

</div>Trang 7<div class="page_container" data-page="7">

 Phân tích và tìm kiếm dữ liệu: Splunk cung cấp các cơng cụ phân tích và tìm kiếm dữ liệu mạnh mẽ, cho phép người dùng xác định các xu hướng, tìm kiếm thơng tin cụ thể và phát hiện các sự cố trong hệ thống.

 Thơng báo và cảnh báo: Splunk có khả năng tạo ra các cảnh báo và thông báo cho người dùng khi có các tình huống đáng ngờ xảy ra trong hệ thống.

 Quản lý sự kiện: Splunk có khả năng quản lý các sự kiện trong hệ thống, giúp người dùng hiểu rõ hơn về các hoạt động và sự kiện trong hệ thống.

 Bảo mật và tuân thủ: Splunk cung cấp các tính năng bảo mật và tuân thủ cho phép người dùng giám sát và đảm bảo sự an toàn của hệ thống.

3. Các tính năng của Splunk

 Thu thập dữ liệu: Splunk cho phép thu thập dữ liệu từ nhiều nguồn khác nhau như các file log, các ứng dụng, các thiết bị di động, các thiết bị IoT, các máy chủ,…

</div>Trang 8<div class="page_container" data-page="8">

 Thông báo và cảnh báo: Splunk có khả năng tạo ra các cảnh báo và thông báo cho người dùng khi có các tình huống đáng ngờ xảy ra trong hệ thống.

 Quản lý sự kiện: Splunk có khả năng quản lý các sự kiện trong hệ thống, giúp người dùng hiểu rõ hơn về các hoạt động và sự kiện trong hệ thống.

 Bảo mật và tuân thủ: Splunk cung cấp các tính năng bảo mật và tuân thủ cho phép người dùng giám sát và đảm bảo sự an toàn của hệ thống.

4. Hướng dẫn cài đặt và cấu hình Splunk 4.1. Cài đặt

B1: Dowload tại trang chủ: Install

 Click vào Check this box to accept the license agreement.

 Rồi Customize options.

B3: Chọn đường dẫn đến Splunk rồi Next.

</div>Trang 9<div class="page_container" data-page="9">

B4: Chọn chế độ phù hợp cho mục đích sử dụng, ở đây ta dùng chế độ cá nhân nên chọn local, nếu dùng cho công ty hoặc doanh nghiệp ta chọn Doman  Next

B5: Tạo tài khoản đăng nhập splunk. Rồi Next  Install. Rồi đợi cài đặt xong. B6: Vậy là đã cài đặt xong nhấp Finish.

B7: Bây giờ chúng ta vô bằng ip với port 8000. http://ip:8000

</div>Trang 10<div class="page_container" data-page="10">

 Cấu hình Search Head: Người dùng cần cấu hình Search Head để có thể tìm kiếm và hiển thị kết quả tìm kiếm cho người dùng.

 Cấu hình Deployment Server: Người dùng cần cấu hình Deployment Server để có thể cấu hình và quản lý các thành phần khác của Splunk.

III. Các giải thuật trong Splunk

1. Các giải thuật phân tích dữ liệu trong Splunk

 Keyword Search: Giải thuật tìm kiếm từ khóa cơ bản trong các tập tin nhật ký. Người dùng có thể sử dụng các biểu thức chính quy để mở rộng phạm vi tìm kiếm.

 Field Extraction: Giải thuật trích xuất các trường dữ liệu từ các sự kiện trong tập tin nhật ký. Splunk sử dụng các biểu thức chính quy để xác định các trường dữ liệu trong tập tin nhật ký.

 Lookup: Giải thuật cho phép người dùng tra cứu các thông tin bổ sung từ một tập tin hoặc cơ sở dữ liệu bên ngoài và tích hợp chúng vào kết quả tìm kiếm.

 Report: Giải thuật tạo báo cáo về các dữ liệu trong tập tin nhật ký. Người dùng có thể tạo các báo cáo tự động và định kỳ dựa trên các tiêu chí cụ thể.

 Giải thuật tìm kiếm: giúp tìm kiếm các log, sự kiện, dữ liệu từ nhiều nguồn dữ liệu khác nhau và đưa ra kết quả tìm kiếm chính xác.

 Giải thuật lọc dữ liệu: giúp lọc ra dữ liệu quan trọng và loại bỏ dữ liệu khơng cần thiết.

 Giải thuật phân tích đường dẫn: giúp tìm ra các đường dẫn tới các tập tin, ứng dụng và các kết nối giữa chúng.

 Giải thuật phân tích dữ liệu tương đồng: giúp phân tích các mẫu dữ liệu tương đồng và liên kết chúng lại với nhau.

 Giải thuật phân tích chuỗi: giúp phân tích các chuỗi dữ liệu và xác định các mẫu trong chúng.

</div>Trang 11<div class="page_container" data-page="11">

 Giải thuật phân tích dữ liệu hợp tác: giúp phân tích các mẫu dữ liệu được tạo ra bởi các thành phần hệ thống khác nhau và liên kết chúng lại với nhau.

 Giải thuật phân tích cú pháp (Parsing Algorithm): Giải thuật này cho phép Splunk phân tích các tập tin log, tài liệu hoặc bất kỳ định dạng dữ liệu nào khác để trích xuất các trường và giá trị từ chúng. Các trường và giá trị này sau đó có thể được sử dụng để tìm kiếm, phân tích và trình bày dữ liệu trong Splunk. Ví dụ, khi phân tích tập tin log Apache, Splunk sử dụng giải thuật parsing để phân tích và trích xuất các thơng tin như địa chỉ IP, ngày giờ, phương thức truy cập và trang web được yêu cầu.

 Giải thuật phân tích sự kiện (Event Analysis Algorithm): Giải thuật này cho phép Splunk phân tích các sự kiện và dịng log để phát hiện các mẫu và xu hướng trong dữ liệu. Các mẫu này có thể được sử dụng để phát hiện các tấn công, như các cuộc tấn công từ chối dịch vụ (DoS) hoặc các cuộc tấn cơng tìm kiếm lỗ hổng. Ví dụ, giải thuật phân tích sự kiện có thể phát hiện khi một địa chỉ IP cố gắng truy cập quá nhiều lần vào một trang web nhất định trong một khoảng thời gian ngắn.

 Giải thuật phân tích lưu lượng mạng (Network Traffic Analysis Algorithm): Giải thuật này cho phép Splunk phân tích lưu lượng mạng để phát hiện các hành vi đáng ngờ và các cuộc tấn cơng mạng. Ví dụ, giải thuật phân tích lưu lượng mạng có thể phát hiện khi một địa chỉ IP cố gắng truy cập một số lượng lớn các cổng mạng không hợp lệ hoặc khi có lưu lượng truy cập lạ vào mạng.

 Giải thuật phân tích nội dung (Content Analysis Algorithm): Giải thuật này cho phép Splunk phân tích nội dung của các tập tin và dữ liệu để phát hiện các tấn công, như các cuộc tấn công SQL Injection hoặc XSS. Ví dụ, giải thuật phân tích nội dung có thể phát hiện khi một trang web có chứa mã độc

</div>Trang 12<div class="page_container" data-page="12">

2. Các giải thuật phát hiện tấn công trong Splunk 2.1. Giải thuật phát hiện tấn công mạng:

 Phát hiện tấn công từ chối dịch vụ (DoS) hoặc tấn công phân tán từ chối dịch vụ (DDoS)

 Phát hiện quét cổng (Port scanning) hoặc quét mạng (Network scanning)

 Phát hiện tấn công giả mạo địa chỉ IP (IP Spoofing)

 Phát hiện tấn cơng bẻ khóa (Brute force attacks)

 Phát hiện tấn công mã độc (Malware attacks)

 Phát hiện tấn cơng tình trạng hỗn loạn (Chaos engineering attacks)

2.2. Giải thuật phát hiện tấn công hệ thống:

 Phát hiện tấn công tràn bộ đệm (Buffer overflow attacks)

 Phát hiện tấn công chèn mã (Code injection attacks)

 Phát hiện tấn công dựa trên lỗ hổng phần mềm (Software vulnerability attacks)

 Phát hiện tấn công mạng lan tràn (LAN flooding attacks)

 Phát hiện tấn công tấn công thời gian thực (Real-time attacks)

 Phát hiện tấn công tương tác với người dùng (User interaction attacks)

2.3. Giải thuật phát hiện tấn công cơ sở dữ liệu:

 Phát hiện tấn công tràn bộ nhớ đệm (Buffer overflow attacks)

 Phát hiện tấn công đánh cắp dữ liệu (Data theft attacks)

 Phát hiện tấn công tương tác với người dùng (User interaction attacks)

 Phát hiện tấn công mã độc (Malware attacks)

 Phát hiện tấn công sử dụng lỗ hổng SQL (SQL injection attacks)

 Phát hiện tấn công từ chối dịch vụ (DoS)

2.4. Giải thuật phát hiện tấn công ứng dụng:

 Phát hiện tấn công mã độc (Malware attacks)

 Phát hiện tấn công dựa trên lỗ hổng phần mềm (Software vulnerability attacks)

</div>Trang 13<div class="page_container" data-page="13">

 Tấn công xâm nhập ứng dụng(Application Security Attack

Trong đó:

 Giải thuật phát hiện xâm nhập: giúp phát hiện các hành vi độc hại trong hệ thống, như các cuộc tấn công mạng, phát hiện dữ liệu và sử dụng các lỗ hổng bảo mật.

 Giải thuật phát hiện tấn công từ chối dịch vụ (DoS): giúp phát hiện các cuộc tấn công từ chối dịch vụ nhằm làm chậm hệ thống hoặc làm hỏng các dịch vụ của hệ thống.

 Giải thuật phát hiện tấn công thư rác: giúp phát hiện các cuộc tấn công thư rác nhằm gửi hàng loạt thư rác tới nhiều người dùng khác nhau.

 Giải thuật phát hiện tấn công mã độc: giúp phát hiện các mã độc và phần mềm độc hại được triển khai trên hệ thống.

 Giải thuật phát hiện tấn công đánh cắp thông tin: giúp phát hiện các hành vi đánh cắp dữ liệu từ hệ thống, bao gồm các tấn công trộm cắp thông tin đăng nhập, tấn công phần mềm độc hại để trộm dữ liệu, tấn cơng tìm kiếm lỗ hổng bảo mật để truy cập vào hệ thống.

 Giải thuật phát hiện tấn công phần mềm độc hại trên thiết bị đầu cuối: giúp phát hiện các phần mềm độc hại được triển khai trên thiết bị đầu cuối như máy tính, điện thoại di động, máy tính bảng.

 Giải thuật phát hiện tấn công từ bên trong (Insider Threat): giúp phát hiện các cuộc tấn công được thực hiện bởi nhân viên hay người dùng trong tổ chức, hoặc các tấn công do sai phạm, lỗi trong quản lý phân quyền và kiểm soát truy cập.

 Giải thuật phát hiện tấn công phân tán, sử dụng các kỹ thuật như phân tích tương tự và phân tích dựa trên quy tắc để phát hiện các hành vi phân tán của tấn công

 Giải thuật phát hiện tấn công tràn bộ đệm, sử dụng các kỹ thuật như phân tích tương tự và phân tích dựa trên quy tắc để phát hiện các hành vi tràn bộ đệm của tấn công.

</div>Trang 14<div class="page_container" data-page="14">

 Giải thuật phân tích luồng ứng dụng, sử dụng các kỹ thuật như phân tích dựa trên quy tắc, phân tích tương tự và phân tích dựa trên hành vi để phát hiện các hành vi tấn công trong luồng ứng dụng.

 Giải thuật phát hiện tấn công trên hệ thống điện toán đám mây, sử dụng các kỹ thuật như phân tích tương tự và phân tích dựa trên các quy tắc. Giải thuật này giúp phát hiện các hành vi độc hại trên các hệ thống điện toán đám mây, bao gồm các cuộc tấn công DDoS, tấn công vào các ứng dụng web, tấn công vào các tài khoản và chứng chỉ xác thực, và các cuộc tấn công khai thác lỗ hổng bảo mật của hệ thống điện toán đám mây. Khi phát hiện các hành vi độc hại, giải thuật sẽ cảnh báo cho người quản trị để có thể xử lý kịp thời và bảo vệ hệ thống an toàn.

 Qualitative analysis Algorithms sử dụng các kỹ thuật như phân tích dựa trên quy tắc, phân tích tương tự và phân tích dựa trên hành vi để phát hiện các hành vi tấn công không xác định trong hệ thống.

 Giải thuật phát hiện tấn công trên hệ thống điện toán đám mây, sử dụng các kỹ thuật như phân tích tương tự và phân tích dựa trên các quy tắc. Giải thuật này giúp phát hiện các hành vi độc hại trên các hệ thống điện toán đám mây, bao gồm các cuộc tấn công DDoS, tấn công vào các ứng dụng web, tấn công vào các tài khoản và chứng chỉ xác thực, và các cuộc tấn công khai thác lỗ hổng bảo mật của hệ thống điện toán đám mây. Khi phát hiện các hành vi độc hại giải thuật sẽ cảnh báo cho người quản trị để có thể xử lý kịp thời và bảo vệ hệ thống an tồn.

Giải thuật phát hiện tấn cơng bằng kỹ thuật Rule-Based Detection. Giải thuật này là phương pháp sử dụng các quy tắc và điều kiện để xác định các hoạt động bất thường trong hệ thống. Các quy tắc được định nghĩa dựa trên kiến thức và kinh nghiệm của các chuyên gia bảo mật, và được áp dụng để phát hiện các hành vi tấn cơng đã biết trước đó.

 Khi sử dụng giải thuật này, người dùng có thể định nghĩa các quy tắc và điều kiện dựa trên các thông tin như IP nguồn, IP đích, cổng đích, nội

</div>

BÀI TIỂU LUẬN Hệ thống theo dõi giám sát Splunk

<b>BÀI TIỂU LUẬN </b>

<b>Hệ thống theo dõi giám sát Splunk </b>

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về