I.

Bố cục
Ngoài những phần mở đầu và kết luận, bài báo cáo được chia thành 2 chương
Chương I: Giới thiệu vê CSMars
Chương II: Thực hành Lab

MỤC LỤC
LỜI CẢM ƠN
NHẬN XÉT CỦA ĐƠN VỊ THỰC TẬP
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
DẪN NHẬP.........................................................................................................................v
I. Lí do chọn đề tài……………………………………………………………….……v
II. Nội dung nghiên cứu…………………………………………………………….... vi
III.Mục tiêu nghiên cứu…………………………………………………………….... vi
IV. Phạm vi nghiên cứu…………………………………………………………….... vi
V. Phương pháp nghiên cứu…………………………………………………………. vi
VI. Bố cục………….………………………………………………………………...vii

CHƯƠNG I: GIỚI THIỆU VỀ CSMARS
Giới thiệu……………………………………………………………………….....1
1. Phần mở đầu…………………………………………………………………….......1
2. Quy trình lưu lượng của CSMARS……………………………………………........2
3. Lựa chọn các thiết bị để giám sát……………………………………………….......3
4. Thông tin liên lạc CSMARS……………………………………………………......5
5. Các tính măng và lợi ích của CSMARS…………………………………………....5
6. CSMARS triển khai các tùy chọn………………………………………………......6
II. Rules…………………………………………………………………………….. . .7
1. Khái niệm……………………………………………………………………….....7
2. Các loại Rules…………………………………………………………………......7
2.1. Inspection Rules……………………………………………………………....7

2.1.1 System Rules………………………………………………………......8
2.1.2 User Define Rules…………………………………………….…….....8
2.2. Drop Rules…………………………………………………………………....8
2.2.1. Liên kết False Positive………………………………………………. .8
2.2.2. Thủ công……………………………………………………………...9
3. Active và Inactive Rules………………………………………………………... .11
4. Complex và Behavioral Rule Creation…………………………………………. .12
III. Incident…………………………………………………………………………. .13
1. Khái quát Incident………………………………………………………..……....13
2. Sử dụng Incident để quan sát dữ liệu………………………………………….....16
I.


IV. Queries…………………………………………………………………………...16
1. Khái niệm………………………………………………………………………..16
2. Các loại Query…………………………………………………………………. .17
2.1 Query Type………………………………………………………………......17
2.2 Instant Query………………………………………………………………....18
2.3 On-Demand Queries và Manual Queries………………………………….....20
V.Report……………………………………………………………………………...21
1. Khái niệm………………………………………………………………………..22
2. Các lọai Report…………………………………………………………………. 22
2.1 Report có sẵn……………………………………………………………..…..22
2.1.1 Sử dụng tab report……………………………………………………......23
2.1.2 Lấy report theo yêu cầu…………………………………………………..24
2.2 Tạo riêng một Report…………………………………………………….…...24
2.3 Cách nhận Report………………………………………………………..…...26
VI. Netflow……………………………………………………………………….…. .28
1.
Khái niệm.............................................................................................................28

2.
Netfow trong CSMars..........................................................................................28
3.
Cấu hình Netflow................................................................................................29
Cấu hình Netflow trên CSMars..........................................................................................32
Router.................................................................................................................................33
3.2.1 Cấu hình SNMP...................................................................................33
3.2.2 Cấu hình Netflow trên Router Cisco....................................................34
3.2.3 Cấu hình file Log trên Router Cisco....................................................34
3.3. Switch.............................................................................................................35
3.3.1 Cấu hình switch để kích hoạt L2 Discovery........................................35
3.3.2 Cisco IOS 12.2 Switches kích hoạt L2 Discovery SNMP…...............35
3.3.3 IOS Switches kích hoạt Syslog............................................................36
3.3.4 IOS Switches kích hoạt NetFlow………………………………….....36
3.4 Cấu hình tường lửa……………………………………………………….......36
3.4.1 Cấu hình Telnet trên thiết bị tường lửa Cisco………………….... ....36
3.4.2 Cấu hình SSH trên thiết bị tường lửa Cisco…………………….…....37
3.4.3 Cấu hình SNMP trên thiết bị tường lửa Cisco………………….........37
3.4.4 Nhận một thiết bị Firewall của Cisco vào CSMARS ……….……....37
3.5 Nhận thiết bị Cisco IPS vào CSMARS……………………………………....39

CHƯƠNG II: THỰC HÀNH LAB
I. MÔ HÌNH VÀ CẤU HÌNH THIẾT BỊ……………………………………..…......42
1. Mô hình………………………………………………………………………......42
2. Cấu hình thiết bị……………………………………………………………….....43
.Router…………………………………………………………………..…......................43
.ASA…………………………………………………………………..….........................44
.Switch……………………………………………………………….……......................45
.IDS………………………………………………………………………........................46


2


Cấu hình IDS VLAN Pair……………………………………………..…........................46
3. Xem File Log trên IDS……………………………………………………….....47
II. NHẬN BIẾT THIẾT BỊ TRÊN CSMARS VÀ TÌNH TRẠNG HOẠT ĐỘNG CỦA
HỆ THỐNG MẠNG TRÊN CSMARS………………………………..………...............50
1. Nhận biết thiết bị………………………………………………………..…….....50
1.1 .Nhận kết nối giữa RouterGW với CSMars bằng SNMP……………………50
1.2 .Nhận kết nối firewallASA với CSMars bằng TELNET………………….… 51
1.3 .Kết nối IDSsensor…………………………………………………………. 51
1.4 .Cấu hình Netflow trên CSMars……………………………………………..52
2. Tình trạng hoạt động của hệ thống mạng trên CSMars…………………………. 53
2.1 .Summary………………………………………………………....…………. 53
2.2 .Incident…………………………………………………………………….. .61
2.3 .Event……………………………………………………………………….. .62
2.4. Queries………………………………………………………………..……. .63
2.5 .Rule và Report…………………………………………………….………...64
.
KẾT LUẬN……………………………………………………………………………....65
TÀI LIỆU THAM KHẢO.................................................................................................67

CHƯƠNG I:
GIỚI THIỆU VỀ CSMARS

3


I. Giới thiệu về CSMars
1. Phần mở đầu

Trong mạng lưới môi trường an ninh mạng ngày nay, có một loại bệnh đang tồn
tại. Nhiều công ty hiểu rằng họ cần các thiết bị an ninh để bảo vệ chúng từ mạng lưới dựa
trên các cuộc tấn công. Vấn đề là vì các thiết bị an ninh đã được triển khai, tập đoàn đặt
niềm tin mù quáng vào những gì mà họ đang làm và cho rằng mối đe dọa đang được
ngừng lại. Đây là sai lầm lớn nhất trong mạng lưới an ninh thế giới ngày hôm nay. Tin
tặc, tất nhiên, biết được điều này và thiết kế để tấn công phá hoại những dụng cụ bảo mật
hiện có bằng cách sử dụng các giao thức và các gói tin hợp lệ.
Doanh nghiệp và các tập đoàn nhận thấy là ngay bây giờ để thực sự cung cấp một
cách hiệu quả việc bảo vệ mạng lưới của họ, họ cần phải thực hiện bước tiếp theo và
kiểm tra chặt chẽ mạng lưới cơ sở hạ tầng, máy chủ, ứng dụng, và các sự kiện an ninh để
xác định xem liệu có một cuộc tấn công khai thác các thiết bị của họ trên mạng.
Giám sát an ninh của Cisco, phân tích, và đáp ứng hệ thống (Cisco Security
Monitoring, Analysis, and Response System-CSMARS) là một thiết bị mạng mà an
ninh được triển khai chặt chẽ hơn và cung cấp các hệ thống tự động nhận biết và giảm
thiểu mối đe dọa đến an ninh hiện có và triển khai mạng lưới. Trong gần như tất cả các
trường hợp, các doanh nghiệp sẽ nhận thức được việc tiết kiệm chi phí đáng kể và sự thay
đổi mạnh mẽ hiệu quả của an ninh bằng việc triển khai CS-Mars.
 Thuật ngữ: CSMARS phân biệt các event, session and incident.
o

Event: những thông điệp còn sơ sài (ví dụ: IDS, firewalls logs) gửi đến
thiết bị bởi các thiết bị báo cáo

o

Session: hàng loạt các event mà chia sẻ những thông tin thông thường
end-to-end (IPđích, cổng đích, IP nguồn, cổng nguồn và giao thức)

o


Incident: hàng loạt các session mà phù hợp với một rule được xác định

 Công nghệ: có ba công nghệ chính:
o Correlation: hiệu suất cao trong việc thống nhất giữa hai giai đoạn tương
quan và những rule linh hoạt cho các phân tích incident và giảm thiểu:
-Hồ sơ của mạng lưới giao thông (lưu lượng net) và phát hiện những gì bất
thường
-Tương quan các event với session
-Áp dụng các tương quan của rule vào session để xác định incident
o

Phân tích Vector: thực hiện các loại hình phân tích:

1


-Phân tích các incident để xác định các mối đe dọa hợp lệ
-Phân tích đường dẫn
-Phân tích tính nguy hiểm cho các máy bị nghi ngờ
-Quét những tương quan có tính chất nguy hiểm
o Giảm thiểu: thực hiện và xây dựng chuyên môn để nhận ra và đề nghị
giảm thiểu cho các cuộc tấn công trước khi chúng có thể phá hủy toàn bộ
mạng lưới:
- Khám phá tối ưu "choke point" (ví dụ: gần nhất lớp 2 switchport).Đề
nghị các lệnh giảm thiểu và đẩy mạnh việc xác nhận bởi người sử dụng
-Thông báo cho người sử dụng về việc thay đổi cấu hình
2. Quy trình lưu lượng của CSMARS

Thiết bị CSMARS dùng để giảm thiểu việc tràn ngập các sự kiện còn sơ sài,từ đó
giảm thiểu được sự tấn công.Quy trình có thể được mô tả như sau:


2


-

Bước 1: Thiết bị này này phải bắt đầu với nhận thức đầy đủ về mô hình
của mạng lưới. Nó dùng thông tin cấu hình đã hoàn tất từ router và switch,
máy chủ và các máy vi tính khác, cùng với các thông tin từ các thiết bị an
ninh để xây dựng một hình ảnh đầy đủ của mạng lưới.

-

Bước 2: Không chỉ các thiết bị an ninh (tường lửa và IDS) mà các thiết bị
mạng (router và switch) và hệ thống cuối (server) gửi logging và mạng
lưới thông tin. Thiết bị MARS cũng có thể thu thập dữ liệu của Cisco IOS
NetFlow từ router và switch, làm cho hiệu suất mạng và tính toán các dữ
liệu sẵn có để hội nhập với các sự kiện dữ liệu. Dữ liệu NetFlow có thể
xác định các mạng lưới giao thông bất thường - đột ngột thay đổi trong
mức độ lưu lượng.

-

Bước 3: Sessionization dùng các nhận thức về mô hình của mạng lưới để
kết hợp nhiều sự kiện vào end to end session.

-

Bước 4: Session-Based Active Correlation, sử dụng bằng cách gắn liền
các rule do người sử dụng xác định, tương quan thông tin những session

với dữ liệu NetFlow để xác định các ứng viên có tiềm năng cho việc hoàn
thành mạng lưới tấn công, gọi tắt là incident

-

Bước 5: CSMARS appliance performs automatic vulnerability
assessment, which uses information about end system to identify false
positive, building rules to reduce future analysis and processing of
candidate incidents. Thiết bị CSMARS tự động thực hiện các hành động
được đánh giá mang tính chất nguy hiểm, nó sử dụng các thông tin về kết
thúc hệ thống để xác định false-positive, xây dựng các rule để giảm bớt
quá trình phân tích trong tương lai các ứng viên của incident.

-

Bước 6: Thông báo cho các nhà điều hành về những incident thực tế và
các hướng dẫn để giảm thiểu.

-

Bước 7: Xác định xem chúng có thực sự là incident hay là false-positive.
Với một quyết định, người dùng có thể phân loại false-positive và nhanh
chóng giảm số lượng các báo cáo incident.

3. Lựa chọn các thiết bị để giám sát
Tất cả các chiến lược giám sát bao hàm việc lựa chọn các loại thiết bị theo dõi giám
sát và có bao nhiêu dữ liệu để cung cấp thiết bị MARS. Tất cả các thiết bị trên mạng
lưới của bạn là máy, gateway, thiết bị an ninh, hoặc máy chủ, cung cấp một số cấp độ
dữ liệu mà Mars có thể sử dụng để nâng cao tính chính xác của nhận dạng an ninh về
incident. Tuy nhiên, cân nhắc cẩn thận về những dữ liệu để cung cấp có thể cải thiện

việc xác định thời gian phản hồi của sự tấn công bằng cách đảm bảo rằng Mars không
thực hiện việc phân tích tương quan sự kiện là cần thiết hay dư thừa. Đăng nhập không
cần thiết và báo cáo bởi thiết bị báo cáo cũng có thể làm giảm hiệu quả của mạng lưới.

3


Bảng xác nhận thiết bị loại, mô tả những thông tin nào chúng có thể cung cấp, và đề
xuất cấu hình như thế nào cho các thiết bị trong mạng của bạn.
Loại thiết bị
Router

Switch

Dữ liệu sẵn có
Các thiết bị khám phá giao thức được
dùng cho việc truy cập của quản trị
viên/giảm.
Những dữ liệu sau được lấy từ router:
• hostname
• static routes
• ACL rules
• static NAT rules
• traffic flows
• SNMP RO Community strings
• NetFlow data
• Tình trạng thiết bị và nguồn sử dụng,
như bộ nhớ, CPU, và giao diện/cổng số
liệu thống kê.
• Bảng ARP cache. Được dùng để sắp

xếp địa chỉ IP với địa chỉ MAC.
SNMP RO Community strings
Bảng forwarding, được dùng để sắp xếp
địa chỉ IP với địa chỉ MAC.
Tình trạng thiết bị và nguồn sử dụng,
như bộ nhớ, CPU, và giao diện/cổng số
liệu thống kê.
NetFlow data

4

Cấu hình khuyên dùng
Khởi động:
• SNMP RO community
strings
• Syslog traffic
• Nhận thiết bị qua SSH
hay Telnet access

Khởi động:
• SNMP RO community
strings
• Syslog traffic
• Nhận thiết bị qua SSH
hay Telnet access
• Khởi động NetFlow data
• Quyền truy cập cho quản
trị viên cho việc đẩy mạnh
giảm thiểu



Firewall

Network
IDS/IPS

Cấu hình giao diện. Được sử dụng để
xem mô hình và xác định tuyến đường
dự kiến, giúp lọc lưu lượng truy cập qua
các tường lửa
NAT và PAT mappings. Được sử dụng
để xác định nguồn gốc của bên tấn công
và các mục tiêu và theo dõi chúng
Điều khoản Firewall. Khi nhận ASA,
PIX, và FWSM, MARS phân tích ACLs
và các cáp điện (chỉ dùng với PIX).
Firewall logs. Nhận và từ chối sessions
logs được sử dụng để xác định các false
positive và xác định xem tiềm năng tấn
công đã được chặn trước khi đến các
mục tiêu.
Tình trạng thiết bị và việc sử dụng
nguồn thông tin. Được sử dụng để xác
định hoạt động mạng bất thường dựa
trên bộ nhớ, CPU, cổng giao diện và các
số liệu thống kê.
Thông báo Fired signature. Identifies
attacks and threats, which helps
determine mitigation response, identify
potential false positive information, and

target vulnerability assessment probes
conducted by MARS. Fired chữ ký của
các thông báo. Xác định các tấn công và
đe dọa, trong đó giúp xác định việc
giảm thiểu phản ứng, xác định các tiềm
năng của thông tin false positive, và
mục tiêu mang tính nguy hiểm được
khảo sát đánh giá bởi Mars

Khởi động:
• SNMP RO community
strings
• Syslog messages
• Nhận thiết bị

Kích hoạt gói thông tin. Cung cấp các
Payload của gói tin mà gây ra các fired
signature.
Xác định xem liệu một cuộc tấn công đã
bị chặn tại một thiết bị cụ thể.
Tình trạng thiết bị thông tin
4. Thông tin liên lạc CSMARS
Thiết bị Mars là một thiết bị thụ động trừ việc nhận biết, giảm thiểu hoặc các hoạt động
điều tra được kiểm soát hoặc một thiết bị yêu cầu phải đăng nhập để nhận được các thông
số tương ứng. Nó dùng một loạt các phương tiện để nhận được các log, khám phá mô
hình mạng, và giảm thiểu mối đe dọa và cảnh báo các quản trị viên.
5


 CSMARS nhận log bằng cách sử dụng các giao thức: syslog, SNMP traps

HTTP hay HTTPS và SDEE (cho IPS).
 CSMARS khám phá mô hình mạng thực hiện các công việc bằng cách sử
dụng những giao thức này: SNMPv1 (read only access được yêu cầu),
telnet, SSH hoặc FTP và SDEE, vv.
 CSMARS thực hiện giảm thiểu bằng cách sử dụng những giao thức này:
telnet, SSH, SNMPv1 (write access được yêu cầu).
 CSMARS cảnh báo các quản trị viên bằng cách sử dụng những giao thức:
E-mail, SNMP trap, syslog, pager, SMS
5. Các tính năng và lợi ích của CSMARS
-

Mạng thông minh tập hợp sự kiện: có được mạng lưới trí tuệ bởi sự hiểu
biết các mô hình và cấu hình thiết bị router,switch và tường lửa trong hồ
sơ mạng lưới giao thông

-

Hiệu suất xử lý với tương quan tình huống: Chuỗi tương quan tình huống
bằng cách đó đã làm giảm đáng kể dữ kiệu sự kiện sơ sài, tạo điều kiện ưu
tiên việc đáp ứng, và tối đa các kết quả từ triển khai biện pháp đối phó

-

Tập hợp hiệu suất cao và củng cố: Mars, giải pháp lấy được hàng ngàn
nguyên sự kiện, sắp xếp các incident một cách hiệu quả với việc giảm
thiểu những dữ liệu chưa từng có, và cô đọng lại thông tin này. Quản lý
khối lượng sự kiện an ninh cao, đòi hỏi một sự an toàn và ổn định về nền
tảng logging.

-


Xác định Incident: CsMars giúp đẩy nhanh và đơn giản hóa quá trình xác
định mối đe dọa, điều tra, xác nhận và giảm thiểu

-

Tác dụng của đòn bẩy giảm thiểu với tự động giảm thiểu: có khả năng xác
định điểm cốt lõi thiết bị tấn công theo đường dẫn và tự động cung cấp các
thiết bị thích hợp lệnh mà người sử dụng có thể sử dụng để giảm thiểu các
mối đe dọa

-

Điều tra thời gian thực và theo đúng báo cáo

-

Triển khai nhanh chóng: Mars được đặt trên một TCP / IP nework, nơi nó
có thể gửi và nhận các syslog, SNMP traps, và thiết lập bảo mật các
session và triển khai với mạng lưới và an ninh thông qua các thiết bị đạt
tiêu chuẩn an toàn hoặc các nhà cung cấp giao thức cụ thể:

-

Mở rộng quản lý: cung cấp một cái nhìn toàn bộ doanh nghiệp, phổ biến
các quyền truy cập, cấu hình, cập nhật, điều chỉnh rule, và các mẫu báo
6


cáo, điều tra và phối hợp phức tạp với việc làm tăng nhanh các query and

report.
6. CSMARS triển khai các tùy chọn
CSMARS phân phối kiến trúc phụ thuộc vào kích thước và yêu cầu của một mạng lưới.
Các thiết bị có thể được triển khai như sau
o Chế độ Standalone: Đây là trung tâm quản lý thông qua một trang web an
toàn dựa trên giao diện hỗ trợ rule theo quản trị viên. Quản lý của các thiết
bị báo cáo, query, rule và report được thực hiện trên thiết bị này. Khi
CSMARS trong chế độ standalone liên lạc với các CSMARS Global
Controller, các chế độ thiết bị thay đổi thành CSMARS Local Controller
o CSMARS Local Controller: CSMARS Local Controller triển khai tương
tự như với standalone được mở rộng khả năng giao tiếp với các CSMARS
Global Controller.
o CSMARS Global Controller: Đây là một thiết bị giao tiếp với một hoặc
nhiều LC,cho phép hoạt động ở trung tâm và quản lý của LC trong CSMars được phân phối triển khai. Điều quan trọng cần lưu ý rằng các GC
hiện không tiến hành trên toàn cầu của tất cả các dữ liệu LC tương quan.
Giao tiếp giữa LC và GC xảy ra thông qua HTTPS.CS- Mars LC gửi tổng kết
snapshots của các dữ liệu vào GC. Vì vậy, tất cả các dữ liệu vẫn còn nguyên trên LC. Khi
bạn bấm vào các dữ liệu trong GC, một session HTTPS mới được mở cho LC, sau đó bạn
sẽ xem các dữ liệu trên LC. Tất cả quản lý hoặc lệnh của quản trị viên gửi từ GC cho LC
được thực hiện thông qua các thông tin liên lạc HTTPS.

II. Rules
1.

Khái niệm

Rules là các quy định phải được đáp ứng chính xác để CSMARS có một hành
động. Các hành động khác nhau từ việc tạo Incident và False-positive để tạo ra e-mail
thông báo Theo mặc định, khi tất cả các điều kiện của Rule được đáp ứng, một Incident
được tạo ra, tùy thuộc vào từng loại Rules, ta có thể biết thêm chi tiết các hành động.

Rules có thể là những cái cơ bản, như các sự kiện báo cáo của Firewall hoặc IDS, hoặc
phức tạp hơn là đặc điểm các hành động chẳng hạn như một máy Server kết nối với máy
Client thông qua các Port và sau đó gửi đến những hành động đó trên mạng lưới.
2.

Các lại Rules

Trong CS-Mars, Rules và Reports về cơ bản là cùng một cấu trúc, sự khác biệt là
chúng có mục đích và kết quả khác nhau. Queries là nền tảng cho Rules và Reports.
Queries được sử dụng để lọc các tiêu chuẩn cho việc xác định những dữ liệu của một

7


Report hoặc cho phù hợp với một Rule để có những hành động thiết thực. Một hành động
mặc định sẽ tự động thực hiện khi một điều kiện của Rule được đáp ứng. Để kích hoạt
các hành động này, những hành động phải được xác định trong tiêu chuẩn có sẵn của
Rules.
Có 2 loại Rules:
Inspection rules
Drop rules
2.1 Inspection Rules:
Inspection Rules là điều kiện mà dữ liệu đang được nhận bởi CSMARS đáp ứng cho
một Incident được tạo ra và xử lý chúng. Hành động mặc định cho một Inspection Rule là
tạo ra một Incident ID, mỗi ID là một số duy nhất để định dạng các dữ liệu mà cụ thể ở
đây là kích hoạt các Rules. Việc tạo ra các Incident ID này dẫn đến việc đẩy mạnh sự
hình thành của sự kiện. Inspection Rules có 2 dạng: System Rules và User Defined Rules.
Để xem các Inspection Rules: Tab Rules > Inspection Rules
2.1.1 System Rule:
Những Rules đã được xác định trước trong CS-Mars. System rules dễ dàng được nhận

ra bởi một quy ước đặt tên duy nhất. Tên của System Rules bắt đầu bằng chữ "System
Rule:" và sau đó sẽ được nối với tên Rule. Hơn 120 System Rules được xây dựng sẵn vào
CS-Mars. Những Rules này có thể được sửa đổi chút ít bằng cách thay đổi các thuộc tính
sau:



Action
IP Source



IP Destination



Thiết bị

Không có thuộc tính System Rules khác có thể được sửa đổi. Nếu muốn thay đổi các
thuộc tính khác, có thể vào Tab Duplicate, System Rules và sửa đổi tất cả các thuộc tính
trong những Rules mới được sao chép.
2.1.2 User Defined Rules:
Rules do người dùng tạo ra trên CSMARS. Những Rules này được gán với tên chính
xác và xuất hiện theo thứ tự chữ cái trên trang Inspection Rules
2.2 Drop Rules
Drop Rules là điều kiện phải được đáp ứng cho một hành động sẽ được thực hiện.
Những hành động có thể làm như bỏ dữ liệu hoàn toàn từ DataBase hoặc chặn dữ liệu
8



đến DataBase nhưng không cho phép sử dụng dữ liệu trong một Incident. FalsePossitive( cảnh báo sai) điều chỉnh cho phép chỉnh các Rules cho việc xác định FalsePossitive. Hành động mặc định cho Rule này là tạo ra một hệ thống xác định False
Possitive. Để xem các Drop Rules, để xem các Drop Rules có thể vào Tab Rules > Drop
Rules.
Có thể điều chỉnh tùy theo những lý do khác nhau. Một số phương pháp chỉnh:
 Thông qua các liên kết False Possitive
 Thủ công
2.2.1. Liên kết False Positive
Khi xem các sự kiện thông qua các công cụ Queries hay Incident thông qua
Incident/Session ID, bình thường hóa các dữ liệu đưa ra những kết thúc trong một liên
kết False Positive . Khi bấm vào, liên kết này sẽ mở ra một cửa sổ mới với False Positive
Tuning Wizard.

2.2.2. Thủ công
Tạo ra một drop rule từ trang Drop Rules, tại Rules > Drop Rules. Khi điều hướng
đến trang này cho lần đầu tiên, nó là trống.

9


Như một ví dụ thực tế về cách rule này có thể được sử dụng, hãy xem xét các sự kiện
Built/Teardown/Permitted IP Connection, tạo ra bởi tường lửa Pix thiết bị ASA mỗi lần
một session được mở thông qua các tường lửa
Bước 1: Nhấp vào nút Add trên trang Drop Rules.
Bước 2: Nhập một tên Drop Rule và mô tả.
Bước 3: Chọn Any như địa chỉ IP Source.
Bước 4: Chọn Any như địa chỉ IP Destiantion.
Bước 5: Chọn Any như là Port dịch vụ và giao thức.
Bước 6: Chọn All Event Types từ menu drop-down ở hộp bên phải
Bước 7: Gõ Built/teardown trong hộp Search và nhấp vào Search.
Bước 8: Đánh dấu vào Built/Teardown/Permitted IP Connection và nhấp

<<== nút Add. Built/Teardown/Permitted IP Connection bây giờ xuất hiện ở
hộp bên trái. Bấm Next.

10


Bước 9: Chọn loại thiết bị: Cisco Pix.
Bước 10: Kiểm tra Pix <<== nút (Add) . Lựa chọn bây giờ xuất hiện trong hộp
bên trái. Bấm Next.
Bước 11: Để lại Any nào vào trong các trình đơn Severity drop-down. Bấm Next.
Bước 12: Chọn nút Drop radio. Bấm Next.
Bước 13: Chọn Time Range nút Any. Bấm Next.
11


Bước 14: Nhấp vào Submit.
Bước 15: Nhấp vào nút Activate để kích hoạt.

3. Active và Inactive Rules
Tất cả các Rules trong CS-Mars có hai tình trạng: hoạt động và không hoạt động.
Active Rule là những rule đang được sử dụng. Inactive rule là những Rule không hoạt
động có nghĩa là không được sử dụng.
Tạo Custom System Inspection Rules
Tạo ra một Custom System Inspection Rule thì tương tự như trong quá trình tạo Drop
Rule bằng thủ công, nhưng với nhiều chi tiết hơn, bao gồm cả khả năng để thêm vào các
Rule tính phức tạp với các biểu thức Boolean.
Ví dụ: Để tạo các Rules này là của người dùng, các quản trị viên, muốn có một
Incident được tạo ra, và muốn được thông báo qua e-mail khi một máy chủ nội bộ hay
bên ngoài làm cho 20 kết nối vào bất kỳ máy chủ của bạn thông qua các tường lửa Net
trong 10 giây theo các bước sau:

- Bước 1: Từ Rules > Inspection Rules, bấm vào nút Add.
- Bước 2: Nhập các tên Rule và mô tả. Bấm Next.
- Bước 3: Xác định cụ thể kết nối cho các kết nối máy chủ, xác định nó như là
một mục tiêu để cho CS-Mars biết các kết nối này phải được từ cùng một máy
chủ duy nhất. Trong hộp bên phải, đánh dấu vào $ Target01 và nhấn vào nút
<<== để thêm nó vào hộp bên trái. Bấm Next.
- Bước 4: Xác định đó là mục tiêu đánh dấu vào $ Target02 và nhấn vào nút
<<== để thêm nó vào hộp bên trái. Bấm Next.
12


- Bước 5: Trong hộp bên phải, đánh dấu vào Any và nhấn vào nút <<== để thêm
nó vào hộp bên trái.
- Bước 6: Trong hộp bên phải, hãy đánh dấu vào Any và nhấn vào nút <<== để
thêm nó vào hộp bên trái.
- Bước 7: Bạn xác định tường lửa đang giám sát các kết nối.
- Bước 8: Đánh dấu vào Any và nhấn vào nút <<== để thêm nó vào hộp bên trái
- Bước 9: Không định nghĩa bất kỳ từ khoá nào trong văn bản, do đó, nó vẫn còn
đặt vào Any
- Bước 10: tùy chọn, nhưng truy cập bắt buộc phải được xác định. Các Rules
được viết cho 20 kết nối, do vậy cần phải nhập vào vùng Counts là 20

- Bước 11: Nhấp vào Yes.
- Bước 12: Một hành động của quản trị e-mail đã được xác định trước.
- Bước 13: Các tiêu chí cho Rules này là tất cả các điều kiện phải được đáp ứng
trong một khoảng thời gian 10 giây.
- Bước 14: Submit và active.

4. Complex và Behavioral Rule Creation
Complex Rules là những Rulse sử dụng nhiều offsets gắn liền với nhau bởi các

bểu thức Boolean. Ba biểu thức Boolean có sẵn để sử dụng trong CS-Mars:
 And: điều kiện của các offset phải được đáp ứng, nhưng không cần phải
theo thứ tự

13


 Or: chỉ có một trong các điều kiện của những offsets phải được đáp ứng
 Followed-By:một điều kiện của offset phải thực hiện theo các điều kiện
trước
Các offset có thể được nhóm lại bằng cách đặt chúng giữa ngoặc để duy trì trật tự của
hoạt động.

Hình: Inspection Rule Panel: Complex Rule System Rule

III. Incident:
Một Incident là một chuỗi các sự kiện tương quan ứng với mỗi Rule khi có tín
hiệu một cuộc tấn công vào hệ thống mạng. CSMARS sẽ phát hiện, giảm thiểu, báo cáo,
và phân tích các sự cố đó. Dựa trên bảng điều khiển mạng và các trang Incident sẽ giúp
chúng ta phát hiện và hiển thị các sự cố trên hệ thống mạng và giúp đưa ra các quy tắc và
các sự kiện để phòng chống lại. Phòng chống lại các tấn công là đề cập đến khả năng của
CSMars để cô lập các hành vi tấn công không gây hại đến các thiết bị và hệ thống mạng
Queries và Report thu thập dữ liệu và phân tích các dạng tấn công. Tất cả các thông tin
này có thể được thu thập lại ở dạng báo cáo.
1. Khái quát Incident

14


Hình: Trang Incident

 Định nghĩa: Một Incident là một chuỗi các sự kiện mô tả một cách chi tiết các
thông tin liên quan đến các tấn công và hệ thống mạng. Ví dụ: quét Port, tràn
dữ liệu…
 Chức năng: thu thập các sự kiện quan trọng, mô tả chi tiết cuộc tấn công có
sẵn trong dữ liệu và có thể tạo ra các Rule riêng để phân loại các dạng tấn
công


Bản chất: Incident được chia thành tưng phần (mỗi phần riêng biệt là một
cuộc tấn công đã có sẵn) để dễ dàng hơn trong quá trình phân tích và phát
hiện ra các dạng tấn công có sẵn.

Có thể truy cập vào các trang Incident bằng cách nhấp vào nút Tab Incident, Tab
thứ hai ở góc bên phải từ trái sang
Trang Incident có 3 tab các chức năng:
o
o

Incidents
False Positives

o

Cases

 Tab Incident:

15



Tab Incident thể hiện trực tiếp một loạt các sự cố gần đây nhất nó sẽ thể hiện qua
sơ đồ ở trang Summary. Sự khác biệt chính giữa các trang này là sẽ hiển thị tất cả các sự
cố báo cáo trong vòng 24 giờ và thể hiện cùng một lúc 25 sự cố (Increment). Increment
này có thể được điều chỉnh để để quan sát các sự cố trên mỗi trang (có thể lên tới 10.000)

Hình: Tab Incident
 Tab False Positive:
Tab này cho phép người dùng xem các báo cáo sai của CS-Mars hoặc drop rule
mà người dụng cấu hình

Hình: Tab False Positive
16


 Tab Case
Tab này được truy cập vào trong các trường hợp sử dụng CS-Mars như một công
cụ quản lý. Mặc dù bạn có thể truy cập cụ thể vào từng vùng trong CS-Mars bằng cách
chọn từng loại trong Select Case nhưng có sự đặc biệt ở đây là Tab này có thể quản lý tất
cả các vùng trong tất cả các trường hợp nếu bạn chọn No Case Select

Hình: Tab Incident Case
2. Sử dụng Incident ID để quan sát dữ liệu
Trong ví dụ này, một báo cáo sử dụng dưới mỗi dạng ID duy nhất gọi là Incident ID

Hình: Chi tiết các dữ liệu của Incident

17


IV. QUERIES

1. Khái niệm:
Truy vấn dữ liệu trên CS-Mars có thể đơn giản như là chọn một Query đã xác
định trước và gửi nó, hoặc là phức tạp như định nghĩa các biến hoặc các hành động để
kéo dữ liệu từ nhiều nguồn.
Ba loại truy vấn tồn tại cho CS-Mars, và hai trong ba có thể yêu cầu thay đổi cách
thức mà bạn muốn xem các dữ liệu đang được truy vấn.
 Query type
 Instant queries
 On-demand queries và manual queries
2. Các loại Query
2.1 Query type
Để truy cập vào các công cụ cấu hình Query type, bấm vào nút Edit ở phần cuối
của vùng Query Type trên trang Query.

18


Hình: CS-MARS Query Type công cụ cấu hình và vùng Query Type

Công cụ cấu hình Query type có năm thuộc tính phải được cấu hình để có được
kết quả



Result Format
Order/Rank By



Filter by Time




Use Only Firing Events



Maximum Rank Returned

Khi đã hoàn thành việc chuyển dữ liệu trong công cụ cấu hình Query type, bấm
vào nút Apply ở trên hoặc dưới bên phải của các công cụ Query.

Hình: CS-MARS Query Type có thể thay đổi
2.2 Instant Queries
Tất cả những biểu tượng q này sau khi cụ thể các giá trị được hiển thị trong CSMars. Biểu tượng này được gọi là các Instant Query. Tại bất cứ thời điểm nào khi đang
xem dữ liệu, có thể nhấp vào biểu tượng này và yêu cầu tìm kiếm dữ liệu có liên quan
đến giá trị là biểu tượng bên cạnh.

19


Hình : Biểu tượng CS-MARS Instant Query

Nhấp vào biểu tượng q để chuyển hướng vào trang Query,với giá trị của q trong các bộ
lọc thích hợp

20


Hình: Trang CS-MARS Query Populated Filter


21


2.3 On-Demand Queries và Manual Queries
Hai chủ đề sẽ được thảo luận để điều chỉnh kỹ năng truy vấn của CS-Mars:
 On-demand queries: là những query dựa trên tất cả các báo cáo đã được lưu
bởi nhà phân tích an ninh và các quản trị viên hoặc đã được cung cấp
"canned" với các dụng cụ điện.

Manual queries: là những Query ngay từ đầu đã được hoàn thành. Manual
Queries có thể được lưu lại như là các báo cáo để chúng có thể được tái sử dụng trong
tương lai để tránh lặp lại kết quả.

Hình: CS-MARS Manual Query
IV.

REPORTS

1. Khái niệm
Bằng cách sử dụng CS-Mars cung cấp có giá trị minh sát, tích hợp, và kiểm soát
mạng thông qua việc tương quan giữa các dữ liệu, giảm sai tích cực, giảm thiểu, và miêu
tả hình ảnh lớp 2 và lớp 3 của hạ tầng mạng. Sử dụng thông tin này cho việc điều tra và

22