HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN BÁO CÁO ĐỀ TÀI Tìm hiểu một số kỹ thuật thu thập và phân tích tệp tin nhật ký ứng dụng trong phát hiện sự cố an ninh mạng Sinh viên thực hiện Trần Thế Long – AT150335 Nguyễn Đức Anh – AT150603 Nguyễn Văn Lĩnh – AT150631 Nguyễn Lâm Tùng – AT150362 Nhóm 5 Giảng viên hướng dẫn GV TS Trần Thị Lượng Khoa An toàn thông tin – Học viện Kỹ thuật mật mã Hà Nội, 2022 LỜI MỞ ĐẦU Nhiều tổ chức có đội ngũ nhân viên giỏi và được đào tạo bài bản để điều hành các m.
Tổng quan về tệp tin nhật ký và kỹ thuật thu thập và phân tích tệp tin nhật ký
Tệp nhật ký
Phân tích nhật ký là gì?
Phân tích nhật ký là quá trình đánh giá các bản ghi được tạo ra từ máy tính, thiết bị mạng và hệ thống công nghệ thông tin, nhằm ghi lại hoạt động của hệ thống Hoạt động này giúp các tổ chức giảm thiểu rủi ro và đáp ứng các yêu cầu tuân thủ Phân tích nhật ký là yếu tố quan trọng trong điều tra pháp lý, tuân thủ chính sách bảo mật, kiểm toán và giám sát Qua việc phân tích, tổ chức có thể phát hiện các mối đe dọa tiềm ẩn, xác định nguyên nhân gốc rễ và nhanh chóng phản ứng để giảm thiểu rủi ro.
1.1.2 Tại sao chúng ta nên thu thập nhật ký để phân tích?
Nhật ký được tạo ra từ các thiết bị mạng, ứng dụng phần mềm, hệ điều hành và nhiều phần cứng khác, chứa thông tin quan trọng được lưu trữ trên đĩa hoặc trong các ứng dụng như Trình thu thập nhật ký Chúng cung cấp cái nhìn sâu sắc về hoạt động của hệ thống, giúp chúng ta hiểu rõ hơn về những gì đang diễn ra Mặc dù hầu hết các quy trình đều tạo ra nhật ký, nhưng chúng thường xuất hiện ở nhiều hệ thống và định dạng khác nhau, do đó, việc tổ chức dữ liệu nhật ký một cách tập trung và có ý nghĩa là rất cần thiết để dễ hiểu và có thể phân tích bằng hệ thống học máy Việc thu thập dữ liệu nhật ký từ các nguồn khác nhau giúp nhận diện xu hướng và mẫu thông tin, trong khi các nhà phân tích cần đảm bảo rằng dữ liệu chứa đầy đủ thông tin cần thiết và được giải thích trong ngữ cảnh phù hợp.
Việc phân tích dữ liệu cần được đơn giản hóa và chính xác bằng cách đồng bộ hóa định dạng từ và dữ liệu Các phần tử nhật ký nên được khái quát hóa, sử dụng từ ngữ và thuật ngữ nhất quán để tránh nhầm lẫn và tạo sự hài hòa Đồng thời, nhà phân tích cần đảm bảo rằng các báo cáo dữ liệu thống kê từ nhiều nguồn khác nhau là chính xác và có ý nghĩa đối với người đọc.
Nhật ký nên được truy cập từ một vị trí trung tâm, và việc thu thập nhật ký là cách hiệu quả để tập hợp tất cả chúng lại một chỗ Khi có nhiều loại máy chủ khác nhau, việc lưu trữ nhật ký ở nhiều nơi có thể gây khó khăn khi cần tra cứu Nếu gặp lỗi, quản trị viên sẽ phải tìm kiếm hàng chục hoặc hàng trăm tệp nhật ký để xác định nguyên nhân, điều này có thể tốn thời gian và gây nản lòng Tuy nhiên, khi nhật ký được thu thập, làm sạch và chuẩn hóa, việc phân tích có thể giúp phát hiện các điểm bất thường, như mẫu vi phạm mạng.
1.1.3 Quy định và Quy tắc về Thu thập và Phân tích Nhật ký
Phân tích nhật ký kiểm tra và sự kiện là một phương pháp quan trọng không chỉ để bảo mật hạ tầng CNTT mà còn là yêu cầu thiết yếu trong nhiều tiêu chuẩn tuân thủ bảo mật Nhiều quy định áp dụng cho các tổ chức như ngân hàng, doanh nghiệp bán lẻ, và sản xuất, yêu cầu các tổ chức này phải có hệ thống quản lý nhật ký hiệu quả để đảm bảo tuân thủ các quy định bảo mật.
Kỹ thuật thu thập và phân tích tệp tin nhật ký
1.2.1 Kỹ thuật thu thập nhật ký
Thu thập nhật ký là quá trình tập hợp các mục nhật ký từ nhiều nguồn và định dạng khác nhau trong một tổ chức, nhằm tập trung chúng tại một địa điểm duy nhất Trong các tổ chức công nghệ, nhật ký xuất hiện từ nhiều quy trình khác nhau, tạo ra những thách thức lớn trong việc thu thập, đặc biệt khi xem xét các yếu tố của công nghệ hiện đại như đám mây và dịch vụ vi mô.
Nhật ký hệ thống chứa dữ liệu quan trọng, cho phép chúng ta thu thập và phân tích thông tin Qua việc khai thác các mẫu từ nhật ký, chúng ta có thể chuyển hóa dữ liệu thành kiến thức có giá trị.
1.2.2 Phân tích tệp tin nhật ký
Phân tích nhật ký là quá trình xem xét các nhật ký sự kiện do máy tính tạo ra nhằm phát hiện lỗi, mối đe dọa bảo mật, và các yếu tố ảnh hưởng đến hiệu suất hệ thống hoặc ứng dụng Ngoài ra, phân tích nhật ký còn giúp đảm bảo tuân thủ quy định và đánh giá hành vi của người dùng.
Tại sao Phân tích Nhật ký lại quan trọng?
Phân tích nhật ký là yếu tố quan trọng giúp các tổ chức tuân thủ các quy định về lưu trữ và phân tích dữ liệu, đồng thời dự đoán tuổi thọ của phần cứng và phần mềm Nó cũng giúp các nhóm CNTT nâng cao bốn yếu tố chính: sự nhanh nhẹn, hiệu quả, khả năng phục hồi và giá trị khách hàng, từ đó mang lại giá trị kinh doanh lớn hơn và giải pháp lấy khách hàng làm trung tâm Thêm vào đó, phân tích nhật ký mở ra nhiều lợi ích bổ sung cho doanh nghiệp.
Cải thiện khắc phục sự cố
Tăng cường an ninh mạng
Cải thiện trải nghiệm khách hàng
Nền tảng kỹ thuật phân tích tệp tin nhật ký, các định dạng và vị trí trích xuất tệp tin nhật ký
Nền tảng kỹ thuật phân tích tệp tin nhật ký
Nền tảng phân tích tệp nhật ký giúp nhóm CNTT và chuyên gia bảo mật truy cập dễ dàng vào tất cả các điểm cuối, mạng và dữ liệu ứng dụng từ một điểm duy nhất Nhật ký có thể tìm kiếm được cho phép phân tích viên nhanh chóng lấy dữ liệu cần thiết để đánh giá tình trạng mạng, phân bổ tài nguyên và bảo mật Trong khi quản lý nhật ký truyền thống dựa vào lập chỉ mục, dẫn đến việc tìm kiếm chậm hơn, quản lý nhật ký hiện đại áp dụng tìm kiếm không có chỉ mục, mang lại hiệu quả cao hơn, tiết kiệm chi phí và giảm 50-100 lần dung lượng đĩa cần thiết.
Phân tích nhật ký thường bao gồm:
Cài đặt bộ thu thập nhật ký để thu thập dữ liệu từ nhiều nguồn khác nhau như hệ điều hành, ứng dụng, máy chủ và máy chủ lưu trữ, cũng như từ mỗi điểm cuối trong hạ tầng mạng.
Tập trung vào việc thu thập và chuẩn hóa tất cả dữ liệu nhật ký từ nhiều nguồn khác nhau vào một vị trí duy nhất giúp đơn giản hóa quá trình phân tích Điều này không chỉ tăng tốc độ xử lý dữ liệu mà còn nâng cao hiệu quả trong toàn bộ hoạt động kinh doanh.
Tận dụng sự kết hợp giữa phân tích nhật ký hỗ trợ AI/ML và nguồn nhân lực để xem xét các lỗi đã biết và hoạt động đáng ngờ trong hệ thống là rất quan trọng Với khối lượng dữ liệu lớn từ nhật ký, việc tự động hóa quy trình phân tích sẽ giúp tối ưu hóa hiệu quả Ngoài ra, việc tạo biểu diễn dữ liệu bằng đồ thị thông qua lập biểu đồ tri thức hoặc các kỹ thuật khác sẽ hỗ trợ nhóm CNTT trong việc hình dung các mục nhập nhật ký, thời gian và mối tương quan của chúng.
Hệ thống quản lý nhật ký cần sử dụng phân tích nhật ký nâng cao để giám sát liên tục và phát hiện các sự kiện quan trọng, yêu cầu sự can thiệp của con người Nó có khả năng tự động gửi cảnh báo khi các sự kiện cụ thể xảy ra hoặc khi một số điều kiện nhất định không được đáp ứng.
Cuối cùng, hệ thống quản lý học tập (LMS) cần cung cấp báo cáo được tổ chức hợp lý về tất cả các sự kiện, đồng thời mang đến giao diện trực quan cho trình phân tích nhật ký, giúp khai thác thêm thông tin từ các bản ghi.
Định dạng và vị trí trích xuất tệp tin nhật ký
2.2.1 Định dạng tệp tin nhật ký
Vấn đề chính với tệp nhật ký là chúng thường chứa dữ liệu văn bản không có cấu trúc, làm khó khăn cho việc truy vấn và tìm kiếm thông tin hữu ích Định dạng nhật ký có cấu trúc giúp các nhật ký trở nên dễ đọc và dễ phân tích hơn Sức mạnh của nhật ký có cấu trúc và hệ thống quản lý nhật ký hỗ trợ chúng nằm ở khả năng chuyển đổi dữ liệu thô thành thông tin dễ hiểu và dễ đọc, điều này là một tính năng thiết yếu của phần mềm quản lý nhật ký.
SỬ DỤNG MÁY CHỦ SYSLOG
Syslog là một cơ chế cho phép các thiết bị mạng gửi thông báo sự kiện đến máy chủ ghi nhật ký, hay còn gọi là máy chủ Syslog Giao thức Syslog, được hỗ trợ bởi nhiều thiết bị, giúp ghi nhật ký các sự kiện khác nhau, chẳng hạn như tường lửa gửi thông báo về các hệ thống cố gắng kết nối với cổng bị chặn, hoặc máy chủ web ghi nhật ký các sự kiện từ chối truy cập Hầu hết các thiết bị mạng như bộ định tuyến, thiết bị chuyển mạch và tường lửa đều có khả năng gửi thông báo Syslog, cùng với một số máy in và máy chủ web như Apache Mặc dù các máy chủ dựa trên Windows không hỗ trợ Syslog, nhưng có nhiều công cụ của bên thứ ba giúp thu thập và chuyển tiếp Nhật ký sự kiện Windows đến máy chủ Syslog một cách dễ dàng.
Máy chủ nhật ký giúp hợp nhất nhật ký từ nhiều nguồn khác nhau vào một vị trí duy nhất, thường bao gồm các thành phần cơ bản của máy chủ Syslog.
A Syslog Listener: Một cơ chế để nhận các thông báo Syslog.
Các thiết bị mạng thường tạo ra một lượng lớn dữ liệu Syslog Để truy xuất dữ liệu này một cách nhanh chóng, các máy chủ Syslog thường sử dụng các loại cơ sở dữ liệu để lưu trữ thông tin Syslog.
Phần mềm quản lý và lọc cho máy chủ Syslog giúp xử lý lượng lớn dữ liệu gửi đến, từ đó dễ dàng tìm kiếm các mục nhật ký cụ thể Giải pháp này cho phép lọc và xem các nhật ký quan trọng, đồng thời tạo cảnh báo và thông báo để phản hồi kịp thời với các tin nhắn đã chọn Nhờ đó, các quản trị viên sẽ nhận được thông báo ngay khi có sự cố xảy ra, giúp họ hành động nhanh chóng và hiệu quả.
Mặc dù Syslog có nhiều ứng dụng, nhưng cũng tồn tại một số nhược điểm đáng lưu ý Đầu tiên, giao thức này không quy định định dạng chuẩn cho nội dung thư, dẫn đến nhiều cách thức định dạng khác nhau Hơn nữa, Syslog chỉ cung cấp cơ chế vận chuyển cho thông báo mà không đảm bảo kết nối mạng, do đó có nguy cơ mất mát một số thông báo nhật ký Cuối cùng, vấn đề bảo mật cũng là một thách thức lớn, khi thiếu xác thực cho các thông báo Syslog có thể dẫn đến việc nhận thông điệp từ các nguồn không xác định hoặc trái phép.
ĐỊNH DẠNG ĐĂNG NHẬP JSON
JSON (JavaScript Object Notation) là định dạng trao đổi dữ liệu dễ đọc, trở thành tiêu chuẩn cho ghi nhật ký có cấu trúc nhờ tính nhỏ gọn và nhẹ, dễ dàng cho cả con người và máy móc Được hỗ trợ bởi hầu hết các ngôn ngữ lập trình, JSON sử dụng mã hóa Unicode, giúp nó hoạt động trên mọi nền tảng như PC, Mac hay máy chủ Việc ghi nhật ký bằng JSON rất quan trọng cho quản lý và giám sát, bởi vì định dạng này cung cấp sự linh hoạt trong việc tạo cơ sở dữ liệu nhiều trường, thuận tiện cho việc tìm kiếm sau này Nhật ký JSON phong phú và dễ dàng bổ sung ngữ cảnh, siêu dữ liệu, làm cho nó trở thành lựa chọn ưu việt cho ghi nhật ký có cấu trúc Một ứng dụng phổ biến của JSON là lọc thông tin theo cấp nhật ký như “LỖI”, giúp phân tích nhanh chóng cho các mục đích khắc phục sự cố.
Chúng ta có thể tạo sự kiện nhật ký đơn lẻ bằng cách gói nhiều dòng nhật ký vào một trường, nhưng điều này có thể làm tăng kích thước tệp nhật ký đáng kể Do đó, việc lưu trữ và xoay vòng nhật ký là rất quan trọng Khi đăng nhập JSON, hãy sử dụng tính năng Lưu trữ của Graylog để tiết kiệm dung lượng Nếu bạn muốn tìm hiểu thêm về cách gửi và phân tích cú pháp nhật ký JSON tới Graylog một cách rõ ràng và dễ hiểu, hãy tham khảo thêm thông tin.
NHẬT KÝ SỰ KIỆN WINDOWS
Nhật ký sự kiện Windows ghi lại chi tiết về hệ điều hành, ứng dụng, bảo mật và các thông báo sự kiện quan trọng Những bản ghi này thường được sử dụng bởi quản trị viên hệ thống để chẩn đoán và ngăn chặn sự cố tiềm ẩn Hệ điều hành và ứng dụng dựa vào các bản ghi này để theo dõi các hành động phần cứng và phần mềm, giúp khắc phục sự cố hiệu quả Windows tạo ra các tệp nhật ký để theo dõi các sự kiện như cài đặt ứng dụng, thiết lập hệ thống, lỗi và các vấn đề bảo mật.
Các phần tử của nhật ký sự kiện Windows bao gồm:
Ngày xảy ra sự kiện.
Thời gian sự kiện xảy ra.
Tên người dùng của người dùng đã đăng nhập vào máy khi sự kiện xảy ra.
ID sự kiện là số nhận dạng Windows chỉ định loại sự kiện.
Nguồn là chương trình hoặc thành phần gây ra sự kiện.
Loại sự kiện, bao gồm thông tin, cảnh báo, lỗi, đánh giá thành công bảo mật hoặc đánh giá lỗi bảo mật.
Nhật ký sự kiện Windows ghi lại hệ điều hành, thiết lập, bảo mật, ứng dụng và các sự kiện được chuyển tiếp.
Sự kiện hệ thống trên hệ điều hành Windows đề cập đến các sự cố xảy ra, bao gồm lỗi trình điều khiển thiết bị và các vấn đề liên quan đến thành phần hệ điều hành khác.
Sự kiện thiết lập bao gồm các sự kiện liên quan đến cài đặt cấu hình của hệ điều hành.
Các sự kiện bảo mật trên hệ thống Windows liên quan đến việc áp dụng các chính sách kiểm tra, bao gồm các nỗ lực đăng nhập của người dùng và việc truy cập vào các tài nguyên hệ thống.
Sự kiện ứng dụng xảy ra khi phần mềm cài đặt trên hệ điều hành cục bộ gặp sự cố Khi một ứng dụng gặp lỗi, nhật ký sự kiện của Windows sẽ ghi lại thông tin về sự cố, bao gồm tên ứng dụng và nguyên nhân gây ra lỗi.
Các sự kiện được chuyển tiếp từ các hệ thống khác trong cùng một mạng, giúp quản trị viên tập hợp nhiều nhật ký trên một máy tính duy nhất.
Microsoft cung cấp tiện ích dòng lệnh để truy xuất, chạy truy vấn, xuất, lưu trữ và xóa nhật ký sự kiện Ngoài ra, Graylog và các tiện ích bên thứ ba khác có thể tương tác với nhật ký sự kiện của Windows, giúp cung cấp thêm chi tiết về sự kiện, tìm kiếm nhật ký và tương quan thông tin.
Định dạng Sự kiện Chung (CEF) là một định dạng ghi nhật ký và kiểm tra mở từ ArcSight, được thiết kế dưới dạng văn bản dễ đọc và có thể mở rộng CEF phục vụ như một tiêu chuẩn chung cho việc ghi nhật ký sự kiện, giúp chia sẻ thông tin bảo mật từ các thiết bị mạng, ứng dụng và công cụ khác nhau một cách dễ dàng Nó cũng cải thiện khả năng tương tác của thông tin nhạy cảm và đơn giản hóa việc tích hợp giữa các thiết bị bảo mật và không bảo mật thông qua cơ chế vận chuyển hiệu quả.
Phân tích tệp tin nhật ký trong phát hiện/ứng phó tấn công mạng
Săn lùng mối đe dọa và Giám sát liên tục
Dữ liệu và bảo mật thông tin đang trở thành thách thức lớn nhất mà nhiều tổ chức phải đối mặt hàng ngày Mặc dù có sự chú ý đáng kể vào các cuộc tấn công độc hại và các chiến lược bảo mật như lừa đảo và hack, nhưng số lượng lỗi bảo mật đáng kinh ngạc thường xuất phát từ những hành động "được phép" Các vấn đề bảo mật chủ yếu được phân loại thành bốn loại chính.
Lỗi do con người thường xảy ra trong các tình huống bắt nạt, không phải lúc nào cũng gây hại Đôi khi, mọi người mắc phải sai lầm hoặc hành động thiếu cẩn trọng, chẳng hạn như nhấp vào các liên kết trong email lừa đảo.
Tấn công độc hại xảy ra khi các cá nhân, đối tác kinh doanh và nhà cung cấp dịch vụ bên thứ ba đáng tin cậy bị tội phạm lợi dụng để có quyền truy cập trái phép vào hệ thống của chúng ta.
Tấn công proxy là một phương thức tấn công mạng phổ biến, cho phép kẻ tấn công xâm nhập vào hệ thống thông qua một máy tính trung gian Khi cuộc tấn công được thực hiện từ nhiều máy tính khác nhau, nó được gọi là tấn công proxy phân tán Thường thì, nhiều người sử dụng máy tính không hề hay biết rằng thiết bị của họ đang trở thành một phần của cuộc tấn công này.
Vi phạm tuân thủ là vấn đề nghiêm trọng mà nhiều công ty phải đối mặt, vì họ có trách nhiệm pháp lý và ủy thác trong việc bảo vệ dữ liệu nhạy cảm Không chỉ những vi phạm cố ý mới dẫn đến hậu quả nghiêm trọng, mà ngay cả sự thiếu tuân thủ không cố ý cũng có thể gây ra rủi ro lớn cho tổ chức.
Các nạn nhân của cuộc tấn công cần thường xuyên kiểm tra mạng để xác định các hệ thống dễ bị tổn thương Tuy nhiên, việc thu thập và phân tích dữ liệu nhật ký có thể gặp khó khăn do khối lượng dữ liệu lớn, làm tiêu tốn thời gian và tài nguyên Để cải thiện hiệu quả, việc áp dụng các kỹ thuật thu thập và phân tích dữ liệu thích hợp là rất quan trọng Dữ liệu tiết lộ một cuộc tấn công thường bao gồm nhật ký kiểm tra hệ thống, nhật ký dữ liệu mạng và nhật ký bảo mật điểm cuối, tất cả sẽ được giải thích chi tiết.
Nhật ký dữ liệu điểm cuối là các bản ghi được tạo ra từ các thiết bị trong mạng, bao gồm tường lửa, điện thoại di động, máy tính xách tay, máy trạm và máy chủ trung tâm dữ liệu Những thiết bị này lưu trữ ứng dụng và dữ liệu có thể truy cập từ điểm cuối, đóng vai trò quan trọng trong việc theo dõi và bảo mật thông tin trong tổ chức.
Siêu dữ liệu thực thi quy trình chứa thông tin về các quy trình đang hoạt động trên máy chủ ứng dụng, bao gồm cú pháp lệnh, đối số, tên tệp quy trình và số cú pháp nhận dạng.
Dữ liệu truy cập sổ đăng ký là thông tin liên quan đến đối tượng đăng ký, bao gồm giá trị siêu dữ liệu, khóa đăng ký hoặc cả hai, trong các hệ thống hoạt động trên nền tảng Windows.
Dữ liệu tệp là thông tin cấu trúc quan trọng, cho thấy cách mà tệp được tổ chức trên máy chủ lưu trữ Nó bao gồm các yếu tố như ngày tạo hoặc sửa đổi tệp, kích thước, loại tệp và vị trí của tệp trên đĩa.
Nhật ký dữ liệu mạng là nguồn thông tin quý giá từ các thiết bị mạng như bộ định tuyến, bộ cân bằng tải, máy chủ proxy, tường lửa, DNS và thiết bị chuyển mạch Những thiết bị này cung cấp dữ liệu nhật ký hữu ích cho việc phân tích và điều tra sự cố mạng.
Dữ liệu phiên là thông tin kết nối mạng giữa các host, bao gồm địa chỉ IP nguồn và đích, cũng như khoảng thời gian kết nối (thời gian bắt đầu và kết thúc) Các nguồn dữ liệu tương tự như Netflow và IPFIX cũng thuộc loại này.
Nhật ký công cụ giám sát là một phần quan trọng trong việc thu thập siêu dữ liệu ứng dụng và dữ liệu luồng dựa trên kết nối Các loại siêu dữ liệu như HTTP, DNS và SMTP cần được ghi lại để phục vụ cho việc phân tích hiệu quả.
Nhật ký tường lửa là nguồn dữ liệu quan trọng cần được thu thập và phân tích thường xuyên Nó giúp xác định những hoạt động được phép và không được phép trong mạng, đồng thời cho phép phát hiện các vi phạm mạng một cách dễ dàng thông qua việc phân tích các bản ghi này.
Nhật ký proxy là nơi chúng ta thu thập dữ liệu HTTP, cung cấp thông tin chi tiết về hoạt động Internet, bao gồm các yêu cầu web được gửi đi trong mạng nội bộ.
Phương pháp thu thập dữ liệu săn tìm mối đe dọa
Trong quá trình săn lùng mối đe dọa, việc tìm kiếm những chuyên gia giỏi và có kinh nghiệm là yếu tố quan trọng nhất Những chuyên gia này có khả năng thu thập và phân tích dữ liệu hiệu quả thông qua nhiều phương pháp khác nhau Có bốn loại phương pháp chính được các kẻ săn lùng mối đe dọa sử dụng để thu thập dữ liệu, và chúng sẽ được giải thích chi tiết trong bài viết này.
Phương pháp này thiết lập các cụm dữ liệu trên nhóm tập dữ liệu lớn, giúp chia sẻ các đặc điểm hành vi của điểm dữ liệu một cách hiệu quả Nó hỗ trợ tìm kiếm hành vi tích lũy chính xác, đặc biệt hữu ích trong việc phát hiện các trường hợp bất thường trong ứng dụng sự kiện phổ biến.
Công nghệ tìm kiếm dữ liệu hiện nay chủ yếu phục vụ cho việc săn tìm các hiện vật cụ thể, nhưng thường dẫn đến kết quả hạn chế và khó khăn trong việc phát hiện các ngoại lệ Sự quá tải thông tin khiến người dùng phải tìm kiếm một cách cụ thể hơn Do đó, cần thận trọng khi thực hiện tìm kiếm, vì việc giới hạn quá mức có thể dẫn đến việc không tìm thấy kết quả mong muốn.
Phương pháp này được áp dụng để tìm kiếm các hiện vật có tính năng tương tự bằng cách sử dụng một đặc tính cụ thể đã được ghi nhận trước đó Những đặc điểm độc đáo này tạo thành dữ liệu nhóm, giúp xác định các hiện vật khác trong cùng nhóm Chẳng hạn, đối với các sự kiện đã được xác định xảy ra tại một thời điểm cụ thể, các điểm dữ liệu quan tâm sẽ được thu thập và sử dụng làm đầu vào để phân tích.
Phương pháp này được áp dụng trong quá trình điều tra giả thuyết, nơi số lượng sự kiện cho một giá trị nhất định được tính toán thông qua phân tích các giá trị ngoại lai Hiệu lực của phương pháp phụ thuộc vào việc thợ săn thực hiện việc lọc và hiểu đúng đầu vào, từ đó dẫn đến dự đoán chính xác về khối lượng đầu ra Việc đếm số lần thực hiện tạo tác lệnh là rất quan trọng trong quá trình sử dụng phương pháp xếp chồng.
Các kỹ thuật phân tích và minh họa dữ liệu săn tìm mối đe dọa phổ biến
Sau khi thu thập dữ liệu, thợ săn cần phân tích và diễn giải để xác định các mẫu hiện vật Hiện có nhiều phương pháp luận cho thợ săn, nhưng bài viết sẽ giải thích ba cách tiếp cận chính.
Phương pháp này giúp thợ săn phát hiện sự bất thường và phân biệt phân bố dữ liệu Bằng cách sử dụng các ô hộp, thợ săn có thể nhận diện sự phân tán và các giá trị cực đoan trong bộ dữ liệu Họ cũng có thể thu thập các yếu tố theo loại hoặc chức năng để phát hiện điểm mâu thuẫn.
Các thợ săn đã áp dụng phương pháp biểu diễn dữ liệu bằng màu sắc để dễ dàng phân tích và giải thích các nhóm dữ liệu khác nhau cũng như mối quan hệ giữa chúng Việc sử dụng màu sắc khác nhau giúp làm nổi bật các điểm bất thường trong tập dữ liệu, cho phép người dùng tập trung vào những thông tin quan trọng Một ví dụ điển hình cho phương pháp này là bản đồ nhiệt.
Hình3.2: biểu diễn dữ liệu bản đồ nhiệt
Phương pháp này mô tả mối quan hệ dữ liệu trong biểu đồ mà không cần trục Khi các giá trị liên tục dao động, thợ săn có thể sử dụng chúng để hiển thị xu hướng Những dao động này giúp hình dung các thay đổi, từ đó làm cho dữ liệu trở nên dễ hiểu hơn.
Hình 3.3 : Biểu đồ đường gấp khúc
Hình 4.1.1 Mô hình thực nghiệm tình huống minh họa
Hacker IP : 172.16.0.3 , OS Kali Linux
4.2.1 Thiết lập bên máy Hacker
Hacker thường sử dụng một danh sách từ điển chứa tên người dùng và mật khẩu để thực hiện tấn công truy cập vào máy tính của nạn nhân thông qua kỹ thuật Brute Force.
Sau khi có được list danh sách như trên, ta sử dụng công cụ XHydra để tiến hành BruceForce
Tiến hành thiết lập thông số cho XHydra:
- Tại tab Target ta cài đặt như sau:
Hình 4.1.5 : Thiết lập IP và giao thức SSH
Bên tab Password , ta tiến hành upload danh sách username và password vào
Hình 4.1.6 : Tải danh sách username và password
Sau đó ta vào tab Start để bắt đầu start chương trình
Sau khi chương trình chạy xong thì ta thu được username: buiyen và password: 123456789 của giao thức SSH.
Hình 4.1.7 : Kết quả thu được
Ta tiến hành truy cập vào SSH của máy nạn nhân
Hình 4.1.8 : SSH vào máy Centos 8
Sau khi truy cập vào máy của nạn nhân, chúng ta sẽ tiến hành đọc file commands.log, nơi lưu trữ các lệnh đã được thực hiện trên máy tính File log này cung cấp thông tin quan trọng về các hoạt động đã diễn ra.
Ta tiến hành đăng nhập vào công cụ Splunk trên máy Window Server 2012
Ta chọn mục Search & Reporting Data Summary Chọn địa chỉ IP 10.0.0.2 và giới hạn thời gian là last 15 minutes.
Ta thêm các option tìm kiếm
Hình 4.2.3 : Tìm kiếm các commands
Ta thấy được các commands tương tác trên Linux
Hình 4.2.4 : Các log ghi lại commands
Sử dụng option /var/log/security để tìm kiếm lịch sử đăng nhập vào hệ thống.
Hình 4.2.5 : Kết quả tìm kiếm
Các log fail là lúc XHydra thử các username và password thì ta BruceForce
Ta có thể sử dụng option stats count by mess để tạo bảng, giúp nhìn các commands dễ hơn
Hình 4.2.6 : Kết quả tìm kiếm
Thêm tùy chọn thống kê số lượng theo người dùng, địa chỉ IP và cổng nhằm tạo bảng và nhóm thông tin để dễ dàng nhìn nhận hơn Đây là một kỹ thuật thu thập dữ liệu dựa trên phân cụm.
Hình 4.2.8 : Kết quả tìm kiếm
Sau khi tìm kiếm xong thì ta vào mục Alert , thì ở đây ta thấy được 2 mục cảnh báo.
Thì 2 mục này được tạo ra khi ta dùng 2 options stats count by mess và stats count by user, ip, port vừa nãy
Sau đó ta tiến hành chỉnh sửa cấu hình của 2 thông báo để nó gửi về cho chúng ta thông qua Telegram
Sau đó chúng ta vào Telegram và nhận được các thông báo từ Splunk gửi về.
Hình 4.2.10 : Thông báo của Telegram
Chúng tôi đã đạt được thành công và định hướng tương lai là tích hợp PFsense với Snort Chúng tôi sẽ viết câu lệnh cho Snort trên PFsense để phát hiện các dấu hiệu xâm nhập, tự động chặn và gửi thông báo về Splunk.
