Tải bản đầy đủ (.pdf) (92 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Chuyên ngành kinh tế

Nghiên cứu và thực nghiệm SOC security operation center

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (10.71 MB, 92 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT
THÀNH PHỐ HỒ CHÍ MINH

ĐỒ ÁN TỐT NGHIỆP
NGÀNH CƠNG NGHỆ THÔNG TIN

NGHIÊN CỨU VÀ THỰC NGHIỆM SOC
SECURITY OPERATION CENTER

GVHD: NGUYỄN THỊ THANH VÂN
SVTH:VIÊN MINH NHỰT
MSSV:15110270
SVTH: HUỲNH MINH CHIẾN
MSSV:15110166
SVTH:NGUYỄN THANH NHÃ
MSSV: 15110263

SKL 0 0 5 7 4 3

Tp. Hồ Chí Minh, tháng 06/2019


TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP.HCM
KHOA CÔNG NGHỆ THƠNG TIN
BỘ MƠN MẠNG MÁY TÍNH
----------

VIÊN MINH NHỰT: 15110270
HUỲNH MINH CHIẾN: 15110166
NGUYỄN THANH NHÃ: 15110263



ĐỀ TÀI:

NGHIÊN CỨU VÀ THỰC NGHIỆM SOC
SECURITY OPERATION CENTER
KHÓA LUẬN TỐT NGHIỆP KỸ SƯ CNTT
GIÁO VIÊN HƯỚNG DẪN:
ThS. Nguyễn Thị Thanh Vân

KHÓA 2015 - 2019


ĐH SƯ PHẠM KỸ THUẬT TP.HCM

XẢ HỘI CHỦ NGHĨA VIỆT NAM

KHOA CNTT

Độc lập – Tự do – Hạnh phúc

*******

*******

PHIẾU NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
Họ và tên Sinh viên 1: Viên Minh Nhựt

MSSV 1: 15110270

Họ và tên Sinh viên 2: Huỳnh Minh Chiến


MSSV 2: 15110166

Họ và tên Sinh viên 3: Nguyễn Thanh Nhã

MSSV 3: 15110263

Ngành: Công Nghệ Thông Tin
Tên đề tài: Nghiên cứu và thực nghiệm SOC - Security Operation Center.
Họ và tên Giáo viên hướng dẫn: ThS. Nguyễn Thị Thanh Vân
NHẬN XÉT
1. Về nội dung đề tài & khối lượng thực hiện
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
2. Ưu điểm
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
3. Khuyết điểm
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
4. Đề nghị cho bảo vệ hay không?
5. Đánh giá loại:
6. Điểm:
Tp. Hồ Chí Minh, ngày

tháng


Giáo viên hướng dẫn
(Ký & ghi rõ họ tên)

i

năm 2019


ĐH SƯ PHẠM KỸ THUẬT TP.HCM

XẢ HỘI CHỦ NGHĨA VIỆT NAM

KHOA CNTT

Độc lập – Tự do – Hạnh phúc

*******

*******

PHIẾU NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
Họ và tên Sinh viên 1: Viên Minh Nhựt

MSSV 1: 15110270

Họ và tên Sinh viên 2: Huỳnh Minh Chiến

MSSV 2: 15110166

Họ và tên Sinh viên 3: Nguyễn Thanh Nhã


MSSV 3: 15110263

Ngành: Công Nghệ Thông Tin
Tên đề tài: Nghiên cứu và thực nghiệm SOC - Security Operation Center.
Họ và tên Giáo viên hướng dẫn: ThS. Nguyễn Thị Thanh Vân
NHẬN XÉT
1. Về nội dung đề tài & khối lượng thực hiện
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
2. Ưu điểm
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
3. Khuyết điểm
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
4. Đề nghị cho bảo vệ hay không?
5. Đánh giá loại:
6. Điểm:
Tp. Hồ Chí Minh, ngày

tháng

Giáo viên phản biện
(Ký & ghi rõ họ tên)

ii


năm 2019


LỜI CẢM ƠN
Sau một thời gian nghiên cứu, thực nghiệm cùng với sự giúp đỡ của các giảng
viên nhóm em đã hồn thành khóa luận tốt nghiệp. Nhóm em xin được bày tỏ lời cảm
ơn tới các giảng viên khoa Công nghệ thông tin trường Đại học Sư phạm Kỹ thuật TP
HCM đã giúp đỡ nhóm hồn thiện đề tài “Nghiên cứu và thực nghiệm SOC Security Operation Center”. Đồng thời, nhóm em xin gửi lời cảm ơn chân thành nhất
tới Ths. Nguyễn Thị Thanh Vân, người đã trực tiếp hướng dẫn, cung cấp tài liệu, góp ý
cũng như chia sẻ tận tình, dẫn dắt chúng em trong suốt quá trình nghiên cứu và thực
hiện đề tài.
Tuy vậy, do thời gian có hạn cũng như kinh nghiệm cịn hạn chế nên trong bài
báo cáo này sẽ không tránh khỏi những thiếu sót, hạn chế nhất định. Vì vậy, nhóm em
rất mong nhận được sự chỉ bảo, đóng góp ý kiến của các giảng viên và các bạn để hoàn
thiện và phát triển đề tài tốt hơn trong tương lai. Xin chân thành cảm ơn!
TP. Hồ Chí Minh, ngày 19 tháng 6 năm 2019
Nhóm sinh viên thực hiện:
Viên Minh Nhựt

15110270

Huỳnh Minh Chiến

15110166

Nguyễn Thanh Nhã

15110263


iii


Trường ĐH Sư Phạm Kỹ Thuật TP.HCM
Khoa: CNTT
*******
ĐỀ CƯƠNG KHÓA LUẬN TỐT NGHIỆP
Họ và tên sinh viên 1: Viên Minh Nhựt

MSSV1: 15110270

Họ và tên sinh viên 2: Huỳnh Minh Chiến

MSSV2: 15110166

Họ và tên sinh viên 3: Nguyễn Thanh Nhã

MSSV3: 15110263

Thời gian làm khóa luận: từ: .............................. Đến: ……………………………….
Chuyên ngành: Mạng máy tính
Tên khóa luận: Nghiên cứu và thực nghiệm SOC - Security Operation Center
GV hướng dẫn: Ths. Nguyễn Thị Thanh Vân
Nhiệm vụ của Khóa Luận:
1. Trình bày tổng quan về SOC (Security Operation Center)
2. Tiến hành xây dựng hệ thống SOC (Security Operation Center)
3. Mô tả sơ đồ, cài đặt và tiến hành thực nghiệm hệ thống
4. Kết luận
Tóm tắt đề cương
PHẦN 1: MỞ ĐẦU

1.1. Tính cấp thiết của đề tài
1.2. Mục đích của đề tài
1.3. Đối tượng nghiên cứu
1.4. Phương pháp nghiên cứu
1.5. Ý nghĩa thực tiễn của đề tài
Phần 2: NỘI DUNG
Chương 1: TỔNG QUAN VỀ SOC (SECURITY OPERATIONS CENTER)
1.1. Giới thiệu chung về Security Operations Center - SOC
1.1.1. Con người (People)
1.1.2. Quy trình (Processes)
1.1.3. Cơng nghệ (Technology)
1.2. Kiến trúc
1.3. Các thành phần quan trọng của hệ thống SOC
1.3.1. Logs
iv


1.3.2. Event
1.3.3. Alerts
1.3.4. Thành phần thu thập thông tin nhật ký an ninh mạng
1.3.5. Thành phần phân tích và lưu trữ
1.3.6. Thành phần quản lý tập trung
1.4. Các thành phần bảo mật mạng
1.4.1. Firewall
1.4.2. IDS/IPS
1.4.3. Anti-virus
1.4.4. SIEM
Chương 2: XÂY DỰNG HỆ THỐNG SOC
2.1. Xác định các đối tượng cần xây dựng và bảo vệ
2.2. Xây dựng kế hoạch

2.3. Vai trò người quản trị
2.4. Quy trình giám sát hệ thống SOC
2.4.1. Khả năng áp dụng
2.4.2. Hoạt động giám sát
2.4.3. Luôn luôn cập nhật thơng tin
2.4.4. Duy trì nhật ký
2.5. Vận hành hệ thống SOC
2.5.1. Phản ứng với các sự kiện và sự cố
2.5.2. Duy trì đánh giá sự kiện
Chương 3: THỰC NGHIỆM
3.1. Giới thiệu
3.1.1. Mơ hình thực nghiệm
3.1.2. Mơ tả
3.2. Xây dựng hệ thống
3.2.1. Xây dựng hệ thống SIEM
3.2.2. Cài đặt Anti-virus ClamAV
3.2.3. Xây dựng hệ thống Firewall – Pfsense
3.2.4. Xây dựng hệ thống IDS – Suricata
3.2.5. Cấu hình phản hồi, cảnh báo (website, email)
v


3.3. Thực nghiệm tấn cơng
3.3.1. Mơ hình tấn cơng
3.3.2. Tấn công ping of death
3.3.3. Port scan Nmap Attack Prevent
3.3.4. SSH Brute Force attacks
3.3.5. Tấn cơng MS17-010
3.3.6. SQL Injection
3.3.7. Phân tích log từ ClamAV – Antivirus

3.3.8. Phân tích log từ Firewall - Pfsense
Phần 3: KẾT LUẬN
3.1. Những kết quả đạt được
3.2. Những khó khăn thi thực hiện đề tài
3.3. Ưu điểm
3.4. Hạn chế
3.5. Hướng phát triển trong tương lai
TÀI LIỆU THAM KHẢO

vi


KẾ HOẠCH THỰC HIỆN
STT

Thời gian

Công việc

Ghi chú

1

15 tháng 3 – 27 tháng 3 Tìm hiểu yêu cầu và xác định

Tìm tài liệu

mục tiêu đề tài
2


28 tháng 3 – 10 tháng 4 Tiếp tục tìm hiểu

Tìm tài liệu

Viết đề cường
3

11 tháng 4 – 15 tháng 5 Viết lý thuyết chương 1

Tìm tài liệu, xây
dựng hệ thống

4

16 tháng 5 – 27 tháng 5 Hoàn thành chương 1, viết lý
thuyết chương 2 và xây dựng

Xây dựng hệ thống
Splunk

hệ thống Splunk
5

6

28 tháng 5 – 24 tháng 6 Tiếp tục xây dựng hệ thống

Chuyển dữ liệu về

thành phần – Suricata,


Splunk và phân tích

ClamAV, Pfsense

log

25 tháng 6 – 27 tháng 6 Xây dựng hệ thống phản hồi,

Cảnh báo qua email

cảnh báo
7

8

28 tháng 6 – 2 tháng 7
3 tháng 7 – 6 tháng 7

Kết nối giữa các máy – mạng

Hoàn thành hệ

LAN

thống

Hoàn chỉnh báo cáo, hệ thống

Hoàn chỉnh báo

cáo, hệ thống

Ý kiến của giáo viên hướng dẫn

Ngày 8 tháng 7 năm 2019
Người viết đề cường

(Ký và ghi rõ họ tên)

vii


MỤC LỤC
MỤC LỤC ................................................................................................................... viii
DANH MỤC HÌNH ẢNH ............................................................................................. xi
DANH MỤC THUẬT NGỮ VÀ VIẾT TẮT ............................................................. xiv
PHẦN 1: MỞ ĐẦU .........................................................................................................1
1.1.

TÍNH CẤP THIẾT CỦA ĐỀ TÀI .....................................................................1

1.2.

MỤC ĐÍCH CỦA ĐỀ TÀI ................................................................................1

1.3.

ĐỐI TƯỢNG NGHIÊN CỨU ...........................................................................2

1.4.


PHƯƠNG PHÁP NGHIÊN CỨU .....................................................................2

1.5.

Ý NGHĨA THỰC TIỄN CỦA ĐỀ TÀI .............................................................2

Phần 2: NỘI DUNG ........................................................................................................3
Chương 1: TỔNG QUAN VỀ SOC (SECURITY OPERATIONS CENTER) ..............3
1.1. GIỚI THIỆU CHUNG VỀ SECURITY OPERATIONS CENTER - SOC .........3
1.1.1. Con người (People) .........................................................................................4
1.1.2. Quy trình (Processes) ......................................................................................5
1.1.3. Cơng nghệ (Technology) ................................................................................5
1.2. KIẾN TRÚC..........................................................................................................6
1.3. CÁC THÀNH PHẦN QUAN TRỌNG CỦA HỆ THỐNG SOC.........................8
1.3.1. Logs ................................................................................................................8
1.3.2. Event ...............................................................................................................8
1.3.3. Alerts ...............................................................................................................9
1.3.4. Thành phần thu thập thông tin nhật ký an ninh mạng ..................................10
1.3.5. Thành phần phân tích và lưu trữ ...................................................................10
1.3.6. Thành phần quản lý tập trung .......................................................................10
1.4. CÁC THÀNH PHẦN BẢO MẬT MẠNG .........................................................11
1.4.1.

Firewall......................................................................................................11

1.4.2.

IDS/IPS......................................................................................................12


1.4.3.

Anti-virus ..................................................................................................14

1.4.4.

SIEM .........................................................................................................15

Chương 2: XÂY DỰNG HỆ THỐNG SOC .................................................................20
2.1. XÁC ĐỊNH CÁC ĐỐI TƯỢNG CẦN XÂY DỰNG VÀ BẢO VỆ ..................20
viii


2.2. XÂY DỰNG KẾ HOẠCH ..................................................................................20
2.3. VAI TRÒ NGƯỜI QUẢN TRỊ ..........................................................................21
2.4. QUY TRÌNH GIÁM SÁT HỆ THỐNG SOC ....................................................22
2.4.1. Khả năng áp dụng .........................................................................................22
2.4.2. Hoạt động giám sát .......................................................................................22
2.4.3. Ln ln cập nhật thơng tin ........................................................................23
2.4.4. Duy trì nhật ký ..............................................................................................23
2.5. VẬN HÀNH HỆ THỐNG SOC .........................................................................23
2.5.1. Phản ứng với các sự kiện và sự cố ................................................................23
2.5.2. Duy trì đánh giá sự kiện................................................................................24
Chương 3: THỰC NGHIỆM .........................................................................................25
3.1. GIỚI THIỆU .......................................................................................................25
3.1.1. Mơ hình thực nghiệm....................................................................................25
3.1.2. Mơ tả .............................................................................................................25
3.2. XÂY DỰNG HỆ THỐNG ..................................................................................27
3.2.1. Xây dựng hệ thống SIEM .............................................................................27
3.2.2. Cài đặt Anti-virus ClamAV ..........................................................................38

3.2.3. Xây dựng hệ thống Firewall – Pfsense .........................................................44
3.2.4. Xây dựng hệ thống IDS – Suricata ...............................................................46
3.2.5. Cấu hình phản hồi, cảnh báo (website, email, sms) .....................................50
3.3. THỰC NGHIỆM TẤN CƠNG ...........................................................................61
3.3.1. Mơ hình tấn cơng ..........................................................................................61
3.3.2. Tấn công Ping of death .................................................................................62
3.3.3. Port scan Nmap Attack Prevent ...................................................................63
3.3.4. SSH Brute Force attacks ...............................................................................65
3.3.5. Tấn công MS17-010 ....................................................................................66
3.3.6. SQL Injection ................................................................................................68
3.3.7. Phân tích log từ ClamAV – Antivirus ..........................................................69
3.3.8. Phân tích log từ Firewall – Pfsense ..............................................................73
Phần 3: KẾT LUẬN .....................................................................................................74
3.1. NHỮNG KẾT QUẢ ĐẠT ĐƯỢC ......................................................................74
3.2. NHỮNG KHÓ KHĂN THI THỰC HIỆN ĐỀ TÀI ...........................................74
ix


3.3. ƯU ĐIỂM............................................................................................................74
3.4. HẠN CHẾ ...........................................................................................................74
3.5. HƯỚNG PHÁT TRIỂN TRONG TƯƠNG LAI ................................................74
TÀI LIỆU THAM KHẢO .............................................................................................75

x


DANH MỤC HÌNH ẢNH
Hình 1. Khối xây dựng của SOC .....................................................................................4
Hình 2. Mơ hình kiến trúc cơ bản của một hệ thống SOC ..............................................6
Hình 3. Mơ hình thực nghiệm hệ thống SOC ................................................................25

Hình 4. Sơ đồ luồng dữ liệu ..........................................................................................26
Hình 5. Sử dụng WinSCP để chuyển file ......................................................................27
Hình 6. SSH vào Splunk Enterprise ..............................................................................27
Hình 7. Thư mục chứa Splunk Enterprise .....................................................................28
Hình 8. Thư mục cài đặt splunk sau khi giải nén ..........................................................28
Hình 9. Hồn tất cài đặt Splunk Enterprise ...................................................................29
Hình 10. Giao diện đăng nhập SPLUNK ......................................................................31
Hình 11. Giao diện SPLUNK ........................................................................................31
Hình 12. Kiểm tra license kích hoạt ..............................................................................32
Hình 13. License đã kích hoạt thành cơng ....................................................................32
Hình 14. Nạp dữ liệu cho Splunk ..................................................................................33
Hình 15.Giao diện Data Inputs ......................................................................................34
Hình 16. Chọn đường dẫn nạp dữ liệu ..........................................................................34
Hình 17. Chọn file chứa log để nạp vào Splunk............................................................35
Hình 18. Hồn tất chọn đường dẫn................................................................................35
Hình 19. Kiểm tra dữ liệu đã nạp ..................................................................................36
Hình 20. Thiết lập dữ liệu đầu vào ................................................................................36
Hình 21. Kiểm tra thơng số cấu hình .............................................................................37
Hình 22. Hồn tất cài đặt nạp dữ liệu ............................................................................37
Hình 23. Dữ liệu đã nạp thành cơng ..............................................................................38
Hình 24. Kết quả sau khi qt .......................................................................................39
Hình 25. Nội dung file log của ClamAV .......................................................................40
Hình 26. Sử dụng WinSCP chuyển file Splunk Forwarder ...........................................40
Hình 27. Thư mục cài đặt Splunk Forwarder ................................................................41
Hình 28. Cấu hình port trên Splunk Enterprise .............................................................41
Hình 29. Chọn port để nhận log trên splunk server.......................................................42
Hình 30. Kiểm tra cấu hình Splunk Forwarder của ClamAV .......................................43
Hình 31. Danh sách các host kết nối với Splunk Enterprise .........................................43
xi



Hình 32. Dữ liệu của clamav .........................................................................................44
Hình 33. Xem Logs firewall pfsense trên Splunk .........................................................46
Hình 34. Các thơng số chỉnh sửa trong file yaml ..........................................................48
Hình 35. Thêm file test.rules .........................................................................................49
Hình 36. Suricata bắt được sự kiện ...............................................................................49
Hình 37. Splunk nhận log từ Suricata ...........................................................................50
Hình 38. Log từ Suricata ...............................................................................................51
Hình 39. Phân tích log của sự kiện Possible DDoS attack ............................................52
Hình 40. Cấu hình cảnh báo trên sự kiện Possible DDoS attack ..................................52
Hình 41. Cấu hình cảnh báo email trên sự kiện Possible DDoS attack ........................53
Hình 42. Cấu hình cảnh báo trên splunk server ............................................................54
Hình 43. Email cảnh báo được gửi từ Splunk server ....................................................54
Hình 44. Gửi email trên câu lệnh search .......................................................................55
Hình 45. Email cảnh báo trên splunk ............................................................................55
Hình 46. Thơng số cấu hình gammu để dựng tổng đài sms ..........................................56
Hình 47. Chạy Script cảnh báo sms...............................................................................56
Hình 48. Script thực thi .................................................................................................56
Hình 49. Nội dung của script cảnh báo .........................................................................57
Hình 50. Nội dung script ssh.py ....................................................................................57
Hình 51. Code thực thi gửi sms .....................................................................................57
Hình 52. Cảnh báo từng sự kiện cho các số điện thoại khác nhau ................................58
Hình 53. Raspberry gửi sms cảnh báo ...........................................................................58
Hình 54. Lưu sự kiện về dạng file .................................................................................58
Hình 55. Tổng hợp từng sự kiện trên web .....................................................................58
Hình 56. Danh sách các cấu hình report trên Splunk Enterprise ...................................59
Hình 57. Biểu đồ tương quan vị trí các nguồn tấn cơng................................................59
Hình 58. Hiển thị các sự kiện xảy ra theo thời gian thực ..............................................60
Hình 59. Phân loại nhận biết từng cấp độ trong một sự kiện ........................................60
Hình 60. Thống kê từng sự kiện ....................................................................................61

Hình 61. Mơ hình tấn cơng ............................................................................................61
Hình 62. Tiến hành tấn cơng DDoS ..............................................................................62
Hình 63. Splunk bắt sự kiện tấn công DDoS.................................................................63
xii


Hình 64. Splunk gửi mail cảnh báo cho người quản trị ................................................63
Hình 65. SMS cảnh báo DDoS ......................................................................................63
Hình 66. Tấn cơng FIN Scan .........................................................................................64
Hình 67. Splunk bắt sự kiện FIN Scan ..........................................................................64
Hình 68. Tấn cơng Xmas Tree Scan ..............................................................................65
Hình 69. Splunk bắt sự kiện Xmas Tree Scan ...............................................................65
Hình 70. SMS gửi cảnh báo NMap ...............................................................................65
Hình 71. Tấn cơng SSH Brute Force attacks .................................................................66
Hình 72. Splunk bắt sự kiện SSH Brute Force attacks ..................................................66
Hình 73. Kiểm tra máy nạn nhân có lỗ hổng ms17-010 hay khơng ..............................66
Hình 74. Thiết lập tấn cơng MS17-010 .........................................................................67
Hình 75. Tiến hành tấn cơng .........................................................................................67
Hình 76. Phát hiện tấn cơng khai thác lỗ hổng MS17-010............................................67
Hình 77. SMS gửi cảnh báo tấn cơng MS17-010..........................................................68
Hình 78. Trang web thực thi tấn cơng SQL ..................................................................68
Hình 79. Kết quả tấn cơng SQL Injection .....................................................................69
Hình 80. Splunk phát hiện SQL Injection .....................................................................69
Hình 81. Log từ ClamAV ..............................................................................................70
Hình 82. File chứa log ClamAV ....................................................................................71
Hình 83. Phân tích log của ClamAV .............................................................................71
Hình 84. Nội dung mail thơng báo ................................................................................72
Hình 85. File báo cáo Splunk gữi kèm theo mail ..........................................................73
Hình 86. Log trên Pfsense .............................................................................................73


xiii


DANH MỤC THUẬT NGỮ VÀ VIẾT TẮT
STT Ký hiệu

Tiếng Anh

Tiếng Việt

1

SOC

Security Operation Center

Trung tâm điều hành an ninh

2

IPS

Intrusion Prevention System

Hệ thống phát hiện xâm nhập

3

IDS


Intrusion Prevention System

Hệ thống ngăn chặn xâm nhập

4

SIEM

Security Information and Event

Bảo mật thông tin và quản lý sự

Management

kiện

5

Attacker

Máy tấn công

xiv


PHẦN 1: MỞ ĐẦU
1.1. TÍNH CẤP THIẾT CỦA ĐỀ TÀI
An ninh mạng, bảo mật thông tin đang ngày càng trở nên quan trọng trong việc
thiết lập cấu trúc, dữ liệu tập trung và tránh bị rò rỉ trong một khu vực, cụ thể là doanh
nghiệp, công ty. Để giải quyết thử thách này, nhóm chúng em xin nghiên cứu và phát

triển các giải pháp giám sát an ninh mạng để tăng cường an ninh và phản ứng với các
sự kiện mạng.
Chính vì thế, xây dựng hệ thống giám sát mạng là một nhiệm vụ phức tạp. Mặc
dù lợi ích của việc triển khai hệ thống giám sát là rất nhiều mảng. Các thành phần
chính của một hệ thống giám sát mà bất kỳ tổ chức nào muốn triển khai hướng tới đó
là: con người, quy trình và cơng nghệ. Tất cả yếu tố này cần được coi là thành phần
quan trọng để góp phần xây dựng hệ thống an ninh toàn diện.
Nhằm cải thiện một hệ thống giám sát mạng hiệu quả về mặt hoạt động, ta cần
phải hiểu rõ các quy trình và xác định được từng nhiệm vụ được giao trong mỗi thành
phần. Sau đó mới có thể tiến hành lập kế hoạch thích hợp cho các giai đoạn phát triển
và triển khai. Và bên trong hệ thống giám sát an ninh mạng ln hiệu quả thì chúng
phải bao gồm có các thủ tục, hành vi, được phát triển dựa vào quá trình thu thập sự
kiện mỗi ngày trên hệ thống. Cũng chính cách tiếp cận này, sẽ cho phép mơ hình hệ
thống mơ phỏng của chúng em nhanh chóng nhận ra tình trạng hệ thống của mình,
định vi được hành vi trong hệ thống. Từ đó mang lại các bài học kinh nghiệm và kiến
thức thông qua hoạt động thực tế của hệ thống.
Từ những lý do trên, chúng em đã tìm hiểu và nghiên cứu đề tài “Nghiên cứu và
thực nghiệm SOC - Security Operation Center”. Đề tài nghiên cứu về các hoạt động
bảo mật giám sát và phân tích hoạt động trên các mạng, máy chủ, thiết bị đầu cuối, cơ
sở dữ liệu, ứng dụng, trang web và các hệ thống khác, tìm kiếm hoạt động bất thường
có thể là dấu hiệu của sự cố bảo mật hoặc xâm nhập. SOC có trách nhiệm đảm bảo
rằng các sự cố an ninh tiềm ẩn được xác định, phân tích, bảo vệ, điều tra và báo cáo
chính xác.
1.2. MỤC ĐÍCH CỦA ĐỀ TÀI
Xây dựng, triển khai, vận hành và quản lý hệ thống giám sát an ninh mạng dựa
trên nền tảng công nghệ phần mềm Splunk. Hệ thống giám sát mạng SIEM (Splunk) sẽ

1



trực tiếp giám sát và dữ liệu tập trung được đổ về Splunk từ các thiết bị: firewall,
suricata (ips/ids), anti-virus.
1.3. ĐỐI TƯỢNG NGHIÊN CỨU
Xây dựng hệ thống giám sát phát hiện và ngăn chặn xâm nhập SURICATA
(IPS/IDS).
Xây dựng hệ thống firewall để kiểm soát lượng traffic vào, ra khỏi hệ thống.
Xây dựng hệ thống Anti-Virus để phát hiện, loại bỏ các virus máy tính, khắc
phục (một phần hoặc tồn phần) hậu quả của virus gậy ra và có khả năng được nâng
cấp để nhận biết các virus trong tương lai.
Cuối cùng, xây dựng hệ thống SIEM (Splunk) nhằm thu thập thông tin nhật ký
các sự kiện an ninh từ các thiết bị đầu cuối được nêu ở trên và lưu trữ dữ liệu một cách
tập trung.
1.4. PHƯƠNG PHÁP NGHIÊN CỨU
Phương pháp nghiên cứu là tìm hiểu trên mạng, tham khảo ý kiến từ các tài liệu
trang mạng có thế tin tưởng như Wikipedia, WhiteHat.vn, Cisco, … Mô phỏng hệ
thống, thiết lập cấu hình và vận hành hệ thống thiết bị, thử nghiệm trong mơi trường
VMware Workstation Pro, sau đó có đánh giá và nhận xét.
1.5. Ý NGHĨA THỰC TIỄN CỦA ĐỀ TÀI
Khóa luận đề cập đến xây dựng một hệ thống tổng quan nhất về môn học liên
quan đến an tồn và bảo mật thơng tin. Có ý nghĩa khoa học là một trong những giải
pháp mới và hiệu quả cao, áp dụng được thực tế trong doanh nghiệp. Và qua mơ hình
giám sát này sẽ cho chúng ta được cái nhìn tổng quan hơn về thế giới an ninh mạng.

2


Phần 2: NỘI DUNG
Chương 1: TỔNG QUAN VỀ SOC (SECURITY OPERATIONS CENTER)
1.1. GIỚI THIỆU CHUNG VỀ SECURITY OPERATIONS CENTER - SOC
Trung Tâm Điều Hành An Ninh (Security Operations Center - SOC) là một đơn

vị xử lý các vấn đề an ninh tập trung. Mục tiêu của SOC là phát hiện, phân tích và ứng
phó với các sự cố an ninh mạng bằng cách sử dụng kết hợp các giải pháp cơng nghệ và
quy trình hoạt động chặc chẽ. Các trung tâm hoạt động bảo mật thường có nhân viên
với các nhà phân tích bảo mật và kỹ sư cũng như các nhà quản lý giám sát các hoạt
động bảo mật. Nhân viên SOC làm việc chặt chẽ với các nhóm phản ứng sự cố để đảm
bảo các vấn đề an ninh được giải quyết nhanh chóng khi phát hiện ra.
Hệ thống trung tâm này có thể giúp bảo mật cho các thiết bị đầu cuối khác nhau:
bảo mật website, bảo mật ứng dụng, bảo mật cơ sở dữ liệu, bảo mật máy chủ, bảo mật
hệ thống mạng, máy tính, … Hệ thống SOC tùy theo kiến trúc thiết kế sẽ liên tục theo
dõi mọi hoạt động trong hệ thống của khách hàng và đưa ra những cảnh báo. Các tính
năng chính của hệ thống như sau:
● Kiểm sốt – tập trung vào kiểm soát các trạng thái bảo mật của hệ thống như:
đánh giá bảo mật pentest, đánh giá tính tuân thủ, đánh giá lỗ hổng hệ thống, …
● Giám sát – tập trung vào các sự kiện và phản hồi dựa trên giám sát logs, quản
trị SIEM và phản hồi sự cố.
● Hoạt động – tập trung vào quản trị hoạt động bảo mật như quản lý định danh và
truy cập, quản lý khóa, quản trị tường lửa, …
Để xây dựng được hệ thống SOC thì điều quan trọng là cần có sự liên kết giữa con
người (people), cơng nghệ (technology), quy trình (processes). Như hình sau:

3


Hình 1. Khối xây dựng của SOC

1.1.1. Con người (People)
- Nhân viên của SOC phải được đào tạo cần thiết để đối phó với cơng việc liên
tục thay đổi và thường khá khó khăn của một nhà phân tích bảo mật, điều tra viên sự
cố, chuyên gia về chủ đề hoặc người quản lý SOC.
Bảng 1: Nhiệm vụ và nhu cầu đào tạo của SOC


- Liên tục theo dõi hàng đợi cảnh báo; xử lý cảnh
Cấp 1: Phân tích, cảnh báo

báo an ninh; theo dõi thiết bị cảm biến an ninh và

(Tier 1: Alert Analyst)

thiết bị đầu cuối; thu thập dữ liệu và bối cảnh cần
thiết để bắt đầu công việc ở Cấp 2.
- Thực hiện phân tích sự cố sâu bên trong bằng
cách tương quan dữ liệu từ nhiều nguồn khác

Cấp 2: Ứng phó sự cố

nhau; xác định nếu một hệ thống quan trọng hoặc

(Tier 2: Incident Responder)

tập dữ liệu đã bị ảnh hưởng; tư vấn khắc phục;
cung cấp hỗ trợ cho các phương pháp phân tích
mới để phát hiện các mối đe dọa.

Cấp 3: Chuyên gia xử lý các vấn đề.
(Tier 3: Subject Matter Expert)

- Có kiến thức chuyên sâu về mạng, thiết bị đầu
cuối, mối đe dọa, điều tra số và dịch ngược phần
mềm độc hại, cũng như chức năng của các ứng
4



dụng cụ thể hoặc cơ sở hạ tầng CNTT cơ bản; hoạt
động như một sự cố, không chờ đợi sự cố leo
thang; tham gia chặt chẽ trong việc phát triển, điều
chỉnh và thực hiện các phân tích phát hiện mối đe
dọa.
- Quản lý các nguồn lực bao gồm nhân sự, ngân
Quản lý SOC
(SOC Manager)

sách, lập kế hoạch thay đổi và chiến lược; đóng
vai trị là người tổ chức cho các sự cố quan trọng;
cung cấp định hướng chung cho SOC và đầu vào
cho chiến lược bảo mật tổng thể.

1.1.2. Quy trình (Processes)
- Xác định các quy trình xử lý và điều tra sự cố có thể lặp lại để chuẩn hóa các
hành động mà nhà phân tích SOC thực hiện và đảm bảo khơng có nhiệm vụ quan trọng
nào rơi vào vết nứt. Bằng cách tạo quy trình quản lý sự cố có thể lặp lại, các thành viên
nhóm trách nhiệm và hành động từ việc tạo ra một cảnh báo và đánh giá Cấp 1 ban
đầu để leo thang lên nhân sự Cấp 2 hoặc Cấp 3 được xác định. Dựa trên quy trình làm
việc, tài ngun có thể được phân bổ hiệu quả.
- Quy trình bao gồm sáu giai đoạn: chuẩn bị, xác định, ngăn chặn, diệt trừ, phục
hồi và rút ra bài học kinh nghiệm.
1.1.3. Công nghệ (Technology)
- Xây dựng một giải pháp thu thập, tổng hợp, phát hiện, phân tích và quản lý dữ
liệu là cơng nghệ cốt lõi của SOC.
- Một hệ thống giám sát an ninh hiệu quả sẽ kết hợp dữ liệu được thu thập từ việc
giám sát liên tục các điểm cuối (PC, máy tính xách tay, thiết bị di động và máy chủ,...)

cũng như các mạng và nguồn nhật ký và sự kiện.Các dữ liệu này được thu thập trước
và trong khi xảy ra sự cố, nên các nhà phân tích có thể ngay lập tức xoay vịng từ việc
sử dụng hệ thống giám sát an ninh như một công cụ thám tử để sử dụng nó như một
cơng cụ điều tra, xem xét các hoạt động đáng ngờ tạo nên sự cố hiện tại và thậm chí là
một cơng cụ để quản lý phản ứng với các sự cố.

5


1.2. KIẾN TRÚC

Hình 2. Mơ hình kiến trúc cơ bản của một hệ thống SOC

Kiến trúc cơ bản của một hệ thống SOC chia thành các lớp xử lý sau:
- Reporting and management layer – Báo cáo và quản trị.
● Chịu trách nhiệm về việc quản lý các vấn đề về bảo mật, quản lý hệ
thống các thiết bị, hệ thống mạng…
● Lập báo cáo về các sự cố trong hệ thống.
- Data collaboration – Tổng hợp các dữ liệu
● Lớp này sẽ quản lý các chính sách về các vấn đề an ninh. Lưu trữ và
quản lý dữ liệu về sự cố đã xảy ra để cập nhật vào dữ liệu hệ thống. Tự động
hóa về an ninh.
- Security vulnerability: Phân tích lỗ hổng bảo mật.
● Cung cấp cơ sở dữ liệu về các lỗ hổng bảo mật phổ biến (CVE) giúp dễ
dàng đối chiếu thông tin lỗ hổng trên các công cụ và dịch vụ khác nhau, dễ
dàng xác định và cập nhật các bản vá lỗi thuận lợi cho việc bảo trì và xây
dựng hệ thống.
● Kiểm sốt cấu hình.
● Tổng hợp số liệu bảo mật, xếp hạng các rủi ro.
- Event correlation layer – Tương quan sự kiện.

6


+ Sử dụng công cụ tương quan sự kiện để quản lý, phân tích và lọc các sự
kiện, phân tích luồng dữ liệu.
+ Tích hợp với hệ thống quản lý mạng như: NMS.
+ Tích hợp xử lý rắc rối.
- Security information and event management (SIEM): Quản lý thông tin và sự
kiện bảo mật.
+ Thu thập thông tin và sự kiện từ các thiết bị đầu cuối, dịch vụ … trong hệ
thống. Lưu trữ và quản lý tập trung.
+ Phân tích và xử lý các sự cố an ninh xảy ra.
- Network layer – Mạng.
+Vùng chứa các thiết bị mạng (Router, switch, ảo hóa, …), thiết bị đầu cuối
(PC), server (DMZ, Data center), các thiết bị bảo mật (Firewall, IDS, AV,
…).
+ Logs của các thiết bị hay dịch vụ ở lớp mạng này sẽ được chuyển tới
SIEM để phân tích và xử lý.
Trung tâm điều hành an ninh (SOC) có thể giải quyết các vấn đề về lượng dữ liệu
khổng lồ và đơn giản hóa mơ hình dữ liệu của quản lý bảo mật nói chung. Thơng tin
bảo mật từ tất cả các thiết bị mạng sẽ được lưu trữ vào cơ sở dữ liệu chung và được
phân tích theo các chính sách bảo mật tùy chỉnh. Tất cả các thơng tin có liên quan
được lưu trữ để thực hiện phân tích rủi ro, giám sát rủi ro và giải quyết rủi ro. Hệ
thống SOC là một công cụ mạnh mẽ trong hoạt động của các chuyên gia bảo trì bảo
mật và sẽ liên tục phân tích các rủi ro bảo mật của hệ thống và đưa ra các giải pháp
một cách hiệu quả, linh hoạt.
Hệ thống SOC có thể được xây dựng theo một trong ba mơ hình giải pháp sau:
- Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, lưu trữ và biểu
diễn nhật ký.
- Giải pháp quản lý sự kiện an ninh: tập trung vào việc phân tích và xử lý các

nhật ký đã được thu thập để đưa ra cảnh báo cho người dùng.
Giải pháp quản lý và phân tích sự kiện an ninh: là sự kết hợp của cả hai giải pháp
trên nhằm khắc phục những hạn chế vốn có. Vì vậy, bài báo cáo này em sẽ hướng đến
giải pháp này.

7


1.3. CÁC THÀNH PHẦN QUAN TRỌNG CỦA HỆ THỐNG SOC
1.3.1. Logs
Là một thành phần quan trọng của hệ thống mạng. Nó lưu lại một cách chính xác
mọi hoạt động của hệ thống, tình trạng hoạt động của hệ thống, các ứng dụng, các thiết
bị đã và đang hoạt động trong hệ thống.
Log Access: Là log ghi lại tồn bộ thơng tin truy cập của người dùng tới hệ
thống, truy cập của các ứng dụng tới cơ sở dữ liệu …
Log Event: là log ghi lại chi tiết những sự kiện mà hệ thống đã thực hiện. Log
ứng dụng, log của điều hành, …
Log Device: là log ghi lại tình trạng hoạt động của các thiết bị phần cứng và phần
mềm đang được sử dụng: Router, Switch, Firewall, …
Log là một thành phần cực kỳ hữu hiệu cho việc giám sát cũng như khắc phục
các sự cố trong hệ thống mạng. Tuy nhiên, với những hệ thống lớn, chạy nhiều ứng
dụng, lượng truy cập cao thì cơng việc phân tích log thực sự là một điều vơ cùng khó
khăn.
1.3.2. Event
Một sự kiện vẫn có thể là một bản ghi, nhưng nó là một bản ghi có bối cảnh cụ
thể cho bạn. Sự kiện có thể đến từ nhiều nguồn, khơng chỉ là nhật ký.
Ví dụ: một người dùng gọi để phàn nàn về quá nhiều tin nhắn rác trong email của
anh ta là một sự kiện.
Trong mọi trường hợp, một sự kiện là một đầu vào cho SOC cần được thay đổi
và xem xét để xác định xem nó có đảm bảo điều tra hoặc phân tích thêm khơng. Nó

thường là một bản ghi ý nghĩa mà ai đó muốn ghi lại về những gì đang xảy ra. Thơng
thường có thể bao gồm ký hiệu Information, Warning, Exception. Ví dụ:
- Dung lượng ổ đĩa đã vượt quá một ngưỡng nhất định, chẳng hạn như 95%.
- Việc sử dụng CPU vượt quá 99%.
- Một người dùng đăng nhập vào hệ thống.
Không phải tất cả các bản ghi mà bạn thu thập sẽ đủ xứng đáng để trở thành một
sự kiện mà ai đó có thể phải xem lại. Điều quan trọng là phải suy nghĩ về những sự
kiện nào có liên quan đến mục tiêu xây dựng SOC và loại những sự kiện không liên
quan hoặc không cần thiết.

8


1.3.3. Alerts
Một cảnh báo là một sự kiện được lưu ý đặc biệt bởi vì ai đó hoặc một cái gì đó
đã thể hiện sự quan tâm đến sự kiện đó và muốn được cảnh báo về nó.
Có nhiều loại công cụ giám sát khác nhau nhưng thường làm cùng một việc: theo
dõi nhật ký hoặc những thay đổi về hệ thống trên các thiết bị và sau đó thơng báo cho
người vận hành hoặc quản trị viên hệ thống rằng có vấn đề đang diễn ra. Trong trường
hợp của chúng tôi, các sự cố sẽ được thông báo cho SOC, nhằm nâng cao nhận thức về
một vấn đề an ninh tiềm tàng cần được điều tra thêm bởi SOC.
Có bốn loại cảnh báo chính mà bạn có thể thấy:
- False positive
- True positive
- False negative
- True negative
1.3.3.1. False Positive
Một cảnh báo giả xảy ra khi một hành động hoặc giao dịch xảy ra và một cơng cụ
được cấu hình để phát hiện hành động đó và sau đó thực hiện cảnh báo, mặc dù hành
động hoặc giao dịch đó thực sự là lưu lượng truy cập hợp pháp.

1.3.3.2. True Positive
True Positivve là những cảnh báo mà bạn thực sự khơng bao giờ muốn thấy bởi
vì điều đó có nghĩa là một cái gì đó xấu đã xảy ra từ góc độ bảo mật. Đây là những
cảnh báo được cấu hình đúng và được kích hoạt chính xác để thơng báo cho người
rằng có vấn đề bảo mật tồn tại và cần phân tích hoặc khắc phục thêm. Tùy thuộc vào
quan điểm của bạn, rõ ràng cảnh báo tích cực thực sự là những gì bạn muốn có và càng
gần 100% tất cả các cảnh báo của bạn là đúng, bạn càng đạt hiệu quả tối đa.
1.3.3.3. False Negative
Một tiêu cực sai xảy ra khi hệ thống bảo mật không phát hiện ra giao dịch hoặc
sự kiện cụ thể mà nó được thiết kế để tìm. Nó cũng có thể là một cơng cụ bảo mật
khơng có khả năng phát hiện các hành động thực sự trong các điều kiện nhất định. Một
tiêu cực sai là rất nghiêm trọng vì đó là sự thất bại của các cơng cụ, hoạt động của bạn
và SOC của bạn để phát hiện và phản hồi một sự kiện thực sự có thể gây tổn hại hoặc
làm hỏng tổ chức của bạn.

9


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×