1. Trang chủ
  2. » Công Nghệ Thông Tin

Tìm hiểu về nền tảng bảo mật Wazuh

48 40 1
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Tìm Hiểu Nền Tảng Bảo Mật SIEM Wazuh
Tác giả Ngô Quang Thiên
Người hướng dẫn XXX
Trường học Học Viện Kỹ Thuật Mật Mã
Chuyên ngành An Toàn Điện Toán Đám Mây
Thể loại Bài Tập Lớn
Năm xuất bản 2022
Thành phố Hà Nội
Định dạng
Số trang 48
Dung lượng 2,98 MB

Cấu trúc

  • CHƯƠNG 1. GIẢI PHÁP QUẢN LÝ SỰ KIỆN VÀ THÔNG TIN BẢO MẬT (6)
    • 1.1. Giới thiệu (6)
    • 1.2. Tầm quan trọng (6)
    • 1.3. Cách thức hoạt dộng (7)
      • 1.3.1. Thu thập dữ liệu (7)
      • 1.3.2. Lưu trữ dữ liệu (8)
      • 1.3.3. Chính sách và quy tắc (8)
      • 1.3.4. Hợp nhất và tương quan dữ liệu (8)
    • 1.4. Các tính năng và khả năng (9)
    • 1.5. Thành phần (10)
    • 1.6. Quy trình ghi nhật ký (11)
      • 1.6.1. Thu thập dữ liệu (11)
      • 1.6.2. Quản lý dữ liệu (11)
      • 1.6.3. Lưu giữ dữ liệu (11)
    • 1.7. Lợi ích của giải pháp (12)
    • 1.8. Kiến trúc triển khai (12)
      • 1.8.1. Tự lưu trữ, tự quản lý (12)
      • 1.8.2. SIEM đám mây, tự quản lý (13)
      • 1.8.3. Tự lưu trữ, quản lý kết hợp (14)
      • 1.8.4. SIEM như một dịch vụ (15)
    • 1.9. Một số sản phẩm SIEM (15)
      • 1.9.1. SIEMMonster (15)
      • 1.9.2. Elastic Stack (16)
      • 1.9.3. OSSIM (17)
      • 1.9.4. Seucurity Onion (17)
      • 1.9.5. IBM Qradar SIEM (17)
  • CHƯƠNG 2. NỀN TẢNG BẢO MẬT SIEM WAZUH (18)
    • 2.1. Giới thiệu về Wazuh (18)
    • 2.2. Thành phần hệ thống (18)
      • 2.2.1. Wazuh indexer (18)
      • 2.2.2. Wazuh server (20)
      • 2.2.3. Wazuh dashboard (22)
      • 2.2.4. Wazuh agent (25)
    • 2.3. Kiến trúc hệ thống (27)
      • 2.3.1. Giao tiếp giữa Wazuh agent và Wazuh server (28)
      • 2.3.2. Giao tiếp giữa Wazuh server và Wazuh indexer (29)
    • 2.4. Khả năng của Wazuh (29)
      • 2.4.1. Thu thập và phân tích dữ liệu nhật ký (29)
      • 2.4.2. Giám sát tính toàn vẹn tệp (30)
      • 2.4.3. Phát hiện bất thường và phần mềm độc hại (30)
      • 2.4.4. Đánh giá cấu hình bảo mật (32)
      • 2.4.5. Giám sát chính sách bảo mật (32)
      • 2.4.6. Giám sát cuộc gọi hệ thống (33)
      • 2.4.7. Giám sát lệnh (34)
      • 2.4.8. Phản ứng tích cực (34)
      • 2.4.9. Giám sát không tác nhân (35)
      • 2.4.10. Phát hiện lỗ hổng (35)
    • 2.5. Luật trong Wazuh (36)
      • 2.5.1. Quy trình xử lý (36)
      • 2.5.2. Cú pháp viết luật (37)
      • 2.5.3. Các cấp độ luật (38)
      • 2.5.4. Phân loại luật (40)
  • CHƯƠNG 3. ỨNG DỤNG WAZUH TRONG GIÁM SÁT AN NINH MẠNG (42)
    • 3.1. Mô hình hệ thống (42)
    • 3.2. Kịch bản thực nghiệm (42)
      • 3.2.1. Mô phỏng kỹ thuật T1053.005 - Scheduled Task/Job (43)

Nội dung

SIEM sử dụng các quy tắc tương quan sự kiện để biến các nhật ký và sự kiện thu được từ mọi nguồn trong hệ thống thành thông tin hữu ích.. Với sự phát triển của công nghệ thông tin đặc bi

GIẢI PHÁP QUẢN LÝ SỰ KIỆN VÀ THÔNG TIN BẢO MẬT

Giới thiệu

Security information and event management (SIEM) là một giải pháp về quản lý sự kiện và thông tin bảo mật SIEM sử dụng các quy tắc tương quan sự kiện để biến các nhật ký và sự kiện thu được từ mọi nguồn trong hệ thống thành thông tin hữu ích Thông tin này có thể giúp các nhóm bảo mật phát hiện các mối đe dọa trong thời gian thực, quản lý sự cố, thực hiện điều tra số về các sự cố bảo mật trong quá khứ và chuẩn bị kiểm tra cho các mục đích đảm bảo sự tuân thủ

Thuật ngữ SIEM được đặt ra bởi Mark Nicolett và Amrit Williams vào năm

2005, trong báo cáo SIEM của Gartner, Improve IT Security with Vulnerability Management Họ đã đề xuất một hệ thống thông tin bảo mật mới trên cơ sở hai công nghệ trước đó là Quản lý thông tin bảo mật (SIM) và Quản lý sự kiện an ninh (SEM) Trong đó:

- SIM: được xây dựng dựa trên hệ thống quản lý và thu thập nhật ký truyền thống SIM cung cấp khả năng lưu trữ lâu dài, phân tích và cáo báo về dữ liệu nhật ký cũng như nhật ký kết hợp với thông tin tình báo về mối đe dọa

- SEM: giải quyết các sự kiện bảo mật - tổng hợp, tương quan và thông báo cho các sự kiện từ hệ thống bảo mật như anti virus, firewall, IDS, cũng như các sự kiện được thu thập trực tiếp từ server, database, …

Tầm quan trọng

SIEM kết hợp hai chức năng: quản lý thông tin bảo mật và quản lý sự kiện bảo mật Sự kết hợp này cung cấp khả năng giám sát bảo mật theo thời gian thực, cho phép các đội giám sát theo dõi và phân tích các sự kiện, duy trình nhật ký dữ liệu bảo mật cho các mục đích kiểm tra và tuân thủ

SIEM cung cấp một giải pháp bảo mật toàn diện để giúp các tổ chức xác định các lỗ hổng bảo mật tiềm năng và các mối đe dọa trước khi chúng làm gián đoạn hoạt động hoặc gây thiệt hại SIEM giúp các đội bảo mật có thể nhìn thấy các hành vi bất thường, tăng cường quy trình giám sát để phát để phấ hiện và ứng phó sự cố Nó đã

2 thay thế nhiều tác vụ thủ công, trở thành một công cụ phổ biến cho bất kỳ trung tâm vận hành bảo mật (SOC) nào

Ngoài việc cung cấp khả năng quản lý nhật ký, SIEM đả phát triển để cung cấp các chức năng khác nhau để quản lý bảo mật và tuân thủ Chúng bao gồm phân tích hành vi người dùng và tổ chức (UEBA) và các khả năng khác do AI hổ trợ SIEM cung cấp một hệ thống hiệu quả cao để sắp xếp dữ liệu bảo mật và quản lý các mối đe dọa phát triển nhanh chóng, các yêu cầu báo cáo và tuân thủ quy định

Với sự phát triển của công nghệ thông tin đặc biệt là nhu cầu lưu trữ và truy xuất dữ liệu thì việc có một hệ thống SIEM để truy vấn lại thông tin của hệ thống ở một thời điểm là điều hầu như bắt buộc đối với bất kỳ proffessional enterprise nào Chưa kể rất nhiều quốc gia và châu lục hiện tại đã có chính sách ban hành về an ninh thông tin Và việc phải có hệ thống SIEM lúc này không đơn thuần là việc doanh nghiệp muốn hay không mà đó là việc mà bắt buộc phải làm.

Cách thức hoạt dộng

Các công cụ SIEM thu thâp, tổng hợp và phân tích dữ liệu từ các ứng dụng, thiết bị, máy chủ và người dùng của tổ chức theo thời gian thực để các nhóm bảo mật có thể phát hiện và ngăn chặn các cuộc tấn công

Trước đây, SIEM yêu cầu tỉ mỉ ở mọi giai đoạn trong quá trình hoạt động Từ nhập dữ liệu, chính sách, xem xét cảnh bảo và phân tích các điểm bất thường Càng ngày, SIEM càng thông minh hơn trong việc kết hợp dữ liệu lại với nhau, từ nhiều nguồn dữ liệu trong tổ chức và sử dụng các kỹ thuật AI để hiểu loại hành vi nào cấu thành sự cố bảo mật

Một trong những đặc trưng của SIEM là khả năng thu thập dữ liệu từ mọi nguồn có thể trong hệ thống mà nó theo dõi Hầu hết các hệ thống SIEM thu thập dữ liệu bằng cách triển khai các tác nhân thu thập trên thiết bị người dùng cuối, máy chủ, thiết bị mạng hoặc các hệ thống bảo mật khác như tường lửa và anti virus Hoặc cũng có thể thông qua các giao thức chuyển tiếp như Syslog, SNMP, WMI, v.v…

Với yêu cầu truy xuất liên tục trên một tập hợp dữ liệu khổng lồ, các hệ thống SIEM thường sử dụng phương pháp đánh chỉ mục cho dữ liệu của mình nhằm tăng tốc độ phản hồi mỗi khi các nhóm bảo mật thực hiện truy vấn dữ liệu Với các trường dữ liệu được phân tách và đánh chỉ mục, nhân viên giám sát có thể dễ dàng truy xuất dữ liệu mong muốn thay vì phải truy xuất toàn bộ dữ liệu như đối với việc theo dõi nhật ký thông thường

Theo truyền thống, dữ liệu của SIEM được lưu trữ trên bộ nhớ cục bộ Vì vậy, mọi vấn đề liên quan đến lưu trự và quản lý dữ liệu cần được vận hành bởi nhân viên nội bộ có chuyên môn Điều này dẫn đến nhiều khó khăn và tốn kém khi khối lượng khổng lồ mà SIEM thu dữ cần được lưu trữu một cách lâu dài

Ngày nay, với sự phát triển mạnh mẽ của nền tảng điện toán đám mây, Các hệ thống SIEM hiện đại được xây dựng với khả năng tích hợp với các dịch vụ lưu trữ đám mây như Amazon S3, Hadoop, v.v… Điều này cho phép khả năng mở rộng dung lượng lưu trữ đơn giản và gần như không giới hạn với chi phí thấp

1.3.3 Chính sách và quy tắc

SIEM cho phép các nhân an ninh lập hồ sơ, chỉ định cách hệ thống hoạt động trong điều kiện bình thường Sau đó, họ có thể thiết lập các quy tắc và ngưỡng để xác định các loại bất thường nào được coi là sự cố bảo mật

Càng ngày, SIEM càng tận dụng công nghệ học máy trong lập hồ sơ hành vi tự động để phát hiện các điểm bất thường và xác định động các quy tắc trên dữ liệu, nhằm phát hiện ra các sự kiện bảo mật cần điều tra

1.3.4 Hợp nhất và tương quan dữ liệu

Mục đích chính của SIEM là tập hợp tất cả dữ liệu lại với nhau và cho phép tương quan giữa các nhật ký và sự kiện trên tất cả các thành phần trong hệ thống Thông báo lỗi trên máy chủ có thể liên quan đến kết nối bị chặn trên tường lửa, v.v Nhiều điểm dữ liệu được kết hợp thành các sự kiện bảo mật có ý nghĩa và được chuyển đến các nhà phân tích bằng các thông báo hoặc dashboards

Các tính năng và khả năng

Các tính năng cốt lõi của SIEM tập trung vào khả năng phân tích, tương quan dữ liệu từ các thành phần khác nhau trong hệ thống Cung cấp cho các nhóm bảo mật một bức tranh toàn cảnh về bảo mật đang diễn ra Điều này là cần thiết cho các hoạt động săn tìm mối đe dọa, ứng phó sự cố và đảm bảo sự tuân thủ

Một hệ thống SIEM thường cung cấp các tính năng cốt lõi sau:

- Thu thập dữ liệu: hỗ trợ đa dạng các phương thức truyền tải dữ liệu nhật ký qua mạng SIEM tập trung tất cả dữ liệu mà nó thu thập được về một nơi, tận dụng thế mạnh của lưu trữ tập trung cho các hoạt động bảo mật

- Cảnh báo: phân tích các sự kiện và giúp gửi cánh báo tới nhân viên an ninh về các sự cố tức thì thông qua email, sms, dashboards, v.v…

- Dashboards: cung cấp các hình ảnh, biểu đồ để cho phép nhân viên xem xét dữ liệu sự kiện và xác định hoạt động không tuân theo quy trình hoặc luồng sự kiện tiêu chuẩn

- Tuân thủ: tự dộng hóa việc thu thập dữ liệu tuân thủ, tạo báo cáo đáp ứng các quy trình bảo mật, quản trị và kiểm toán cho các tiêu chuẩn như HIPAA, PCI/DSS, HITECH, SOX và GDPR

- Lưu trữ: lưu trữ dữ liệu lịch sử lâu dài để cho phép phân tích, theo dõi và báo cáo các yêu cầu tuân thủ Đặc biệt quan trọng trong điều tra số, có thể xảy ra từ rất lâu so với thời điểm hiện tại

- Săn tìm mối đe dọa: cho phép nhân viên bảo mật chạy các truy vấn từ nhiều nguồn thông qua kho lưu trữ của SIEM, lọc và xoay vòng dữ liệu, đồng thời chủ động phát hiện ra các mối đe dọa hoặc lỗ hổng bảo mật

- Ứng phó sự cố: cung cấp khả năng quản lý các Case và chia sẻ các sự cố bảo mật, cho phép các nhóm bảo mật nhanh chóng đồng bộ hóa dữ liệu thiết yếu, giao tiếp và ứng phó với mối đe dọa

- Tự động hóa SOC: tích hợp với các giải pháp bảo mật khác bằng các sử dụng API và cho phép nhân viên bảo mật xác định các playbook và quy trình công việc tự động sẽ được thực thi để ứng phó với các sự cố cụ thể Ngoải các tính năng cốt lõi nêu trên, các nền tảng SIEM hiện đại còn cung cấp các tính nâng cao như sau:

- Phân tích hành vi người dùng: SIEM hiện đại vượt qua các quy tắc và mối tương quan tĩnh, tận dụng AI và các kỹ thuật học sâu để xem xét các mẫu hành vi của con người Điều này có thể giúp phát hiện các mối đe dọa nội bộ, các cuộc tấn công có chủ đích và gian lận

- Xác định mối đe dọa phức tạp: các quy tắc tương quan không thể nắm bắt được nhiều cuộc tấn công phức tạp, bởi vì chúng thiếu ngữ cảnh hoặc không thể phản ứng vối các loại sự cố mới Với việc lập hồ sơ hành vi một cách tự động, SIEM có thể phát hiện hành vi đáng ngờ của một mối đe dọa

- Phát hiện mà không có quy tắc hoặc chữ ký: nhiều mối đe dọa không thể bị bắt bằng các chữ ký đã biết SIEM có thể sử dụng học máy để phát hiện các sự cố mà không có các định nghĩa sẵn có

- Di chuyển bên: những kẻ tấn công di chuyển qua mạng bằng cách sử dụng địa chỉ IP, thông tin đăng nhập và máy để tìm kiếm các tài sản quan trọng trong hệ thống Bằng cách phân tích dữ liệu toàn mạng và nhiều tài nguyên hệ thống, SIEM có thể phát hiện chuyển động các chuyển động này

- Phân tích hành vi thực thể: khi SIEM phát hiện một loại sự kiện bảo mật nhất định, nó có thể thực hiện một chuỗi các hành động được lên kế hoạch trước để ngăn chặn và giảm thiểu sự cố.

Thành phần

Kiến trúc của SIEM có thể khác nhau tùy theo nhà cung cấp Tuy nhiên, nhìn chung các thành phần thiết yếu của SIEM như sau:

- Thu thập dữ liệu: cung cấp khả năng thu thập nhật ký từ mọi thiết bị Sau khi tập hợp nó sẽ gửi toàn bộ nhật ký về thành phần phân tích

- Phân tích và lưu trữ: có nhiệm vụ tiếp nhận, tổng hợp, phân tích và lưu trữ dữ liệu Các thuật toán so sánh sau quá trình phân tích sẽ đưa ra cảnh báo (nếu có)

- Quản trị tập trung: cung cấp giao diện quản lý tập trung cho toàn bộ hệ để trực quan hóa, truy vấn, báo cáo và cảnh báo

Quy trình ghi nhật ký

SIEM thu thập nhật ký và sự kiện từ khắp mọi nơi trong hệ thống của tổ chức Mỗi thiết bị tạo ra một sự kiện mỗi khi có điều gì đó xảy ra và thu thập các sự kiện vào một tệp nhật ký hoặc cơ sở dữ liệu SIEM cung cấp khả năng thu thập đa dạng như:

- Thông qua một tác nhân được cài đặt trên thiết bị (phương pháp phổ biến nhất)

- Bằng cách kết nối trực tiếp với thiết bị bằng giao thức mạng hoặc lệnh gọi API

- Bằng cách truy cập các tệp nhật ký trực tiếp từ bộ lưu trữ, thường ở định dạng Syslog

- Thông qua một giao thức truyền phát sự kiện như SNMP, Netflow hoặc IPFIX

SIEM có nhiệm vụ thu thập dữ liệu từ các thiết bị, chuẩn hóa và lưu dữ liệu ở định dạng cho phép phân tích

1.6.2 Quản lý dữ liệu Điều khiến SIEM trở nên đặc biệt là tại các tổ chức lớn, nó có giúp họ lưu trữ lượng dữ liệu khổng lồ Dữ liệu này cần được:

- Được lưu trữ: lưu trữ dữ liệu tại chỗ, trên đám mây hoặc cả hai

- Được tối ưu hóa và lập chỉ mục: để cho phép phân tích và khám phá hiệu quả

- Được phân theo tầng: các dữ liệu nóng cần thiết để giám sát bảo mật trực tiếp nên được lưu trữ trên bộ lưu trữ hiệu suất cao Trong khi dữ liệu lạnh, loại dữ liệu mà một ngày nào đó có thể cần sử dụng để điều tra, nên được chuyển xuống phương tiện lưu trữ rẻ tiền, khối lượng lớn

Các tiêu chuẩn như PCI DSS, HIPAA và SOX yêu cầu các bản ghi phải được lưu giữ trong khoảng từ 1 đến 7 năm Các doanh nghiệp lớn tạo ra một lượng lớn nhật ký mỗi ngày từ hệ thống CNTT Hệ thống SIEM cần phải chọn lọc về những bản ghi cần lưu giữ lại để tuân thủ các yêu cầu điều tra số SIEM sử dụng các chiến lược sau để giảm khối lượng nhật ký:

- Máy chủ Syslog: syslog là một tiêu chuẩn chuẩn hóa nhật ký, chỉ giữ lại thông tin cần thiết ở định dạng chuẩn hóa Syslog cho phép nén nhật ký và giữ lại số lượng lớn dữ liệu lịch sử

- Lịch trình xóa: SIEM tự động xóa các nhật ký cũ không còn cần thiết Bằng cách truy cập tệp nhật ký trực tiếp từ bộ lưu trữ, thường ở định dạng Nhật ký hệ thống

- Lọc nhật ký: không phải tất cả nhật ký đều cần thiết cho các yêu cầu tuân thủ mà tổ chức lưu trữ cho các mục đích điều tra Nhật ký có thể được lọc theo hệ thống nguồn, thời gian hoặc theo các quy tắc khác do quản trị viên SIEM xác định

- Tóm tắt: dữ liệu nhật ký có thể được tóm tắt để chỉ duy trì các yếu tố dữ liệu quan trọng như số lượng sự kiện, IP duy nhất, v.v.

Lợi ích của giải pháp

SIEM là một phần quan trọng trong hệ sinh thái an ninh mạng của tổ chức SIEM cung cấp cho các nhóm bảo mật một vị trí trung tâm để thu thập, tổng hợp và phân tích dữ liệu trong toàn doanh nghiệp, giúp đơn giản hóa quy trình bảo mật một cách hiệu quả Đồng thời, SIEM cung cấp các chức năng hoạt động như báo cáo tuân thủ, quản lý sự cố và bảng thông tin ưu tiên hoạt động của mối đe dọa.

Kiến trúc triển khai

Các nền tảng SIEM cung cấp đa dạng các thức tích hợp vào hệ thống của tổ chức Dưới đây là một vài ví dụ về mô hình triển khai, tích hợp hệ thống SIEM

1.8.1 Tự lưu trữ, tự quản lý

Tổ chức tự triển khai và vận hành SIEM Đây là mô hình triển khai SIEM truyền thống - lưu trữ SIEM trong trung tâm dữ liệu, thường là với một thiết bị SIEM chuyên dụng, duy trì hệ thống lưu trữ và quản lý nó với nhân viên bảo mật được đào tạo Mô hình này làm cho SIEM trở thành một cơ sở hạ tầng phức tạp và tốn kém để duy trì

Hình 1.1 Triển khai SIEM tự quản lý, tự lưu trữ

1.8.2 SIEM đám mây, tự quản lý

Hình 1.2 Triển khai SIEM đám mây, tự quản lý

Với mô hình triển khai này, tổ chức có thể giảm tải được yêu cầu về cơ sở hạ tầng nhờ vào việc thuê kho lưu trữ dữ liệu trên cloud

Vai trò, trách nhiệm các bên:

- MSSP: tiếp nhận sự kiện từ hệ thống tổ chức, thu thập và tổng hợp chúng

- Tổ chức: thực hiện tương quan, phân tích, cảnh báo và bảng điều khiển, quy trình bảo mật tận dụng dữ liệu SIEM

1.8.3 Tự lưu trữ, quản lý kết hợp Ưu điểm lớn nhất của mô hình triển khai này là việc triển khai, vận hành hệ thống SIEM được giảm tải do có sự góp sức của nhà cung cấp dịch vụ

Vai trò, trách nhiệm các bên:

- MSSP và nhân viên an ninh của tổ chức: triển khai thu thập/tổng hợp sự kiện SIEM, tương quan, phân tích, cảnh báo và bảng điều khiển

- Tổ chức: mua phần mềm và cơ sở hạ tầng phần cứng

Hình 1.3 Triển khai SIEM tự lưu trữ, quản lý kết hợp

1.8.4 SIEM như một dịch vụ

Hệ thống SIEM được cung cấp như một dịch vụ Giờ đây, thay vì phải đảm bào nguồn lực cho hoạt động triển khai và vận hành hệ thống, các tổ chức chỉ cần tập trung vào xây dựng và thực thi quy trình bảo mật phù hợp

Vai trò, trách nhiệm các bên:

- MSSP: thu thập sự kiện, tổng hợp, tương quan, phân tích, cảnh báo và bảng điều khiển

- Tổ chức: quy trình bảo mật tận dụng dữ liệu SIEM

Hình 1.4 Triển khai SIEM như một dich vụ

Một số sản phẩm SIEM

1.9.1 SIEMMonster Đây là công nghệ mã nguồn mở phổ biến nhất có sẵn miễn phí và dưới dạng nguồn trả phí

Nó đi kèm với phần mềm bảo mật tùy chỉnh có thể mở rộng phù hợp cho tất cả các loại tổ chức Các thành phần cơ bản là sự kết hợp của nhiều giải

11 pháp mã nguồn mở nổi tiếng ELK Stack được sử dụng để xử lý, lưu trữ và trực quan hóa dữ liệu được thu thập RabbitMQ được sử dụng để quản lý hàng đợi tin nhắn Search Guard được sử dụng đễ mã hóa bảo vệ luồng dữ liệu trong Elastic Stack hay Wazuh để dùng với mục đích HIDS

Từ 12 góc độ chức năng, SIEMonster bao gồm các tính năng mà các nhà phân tích, bảo mật mong muốn Người dùng có thể truy cập giao diện Kibana để tìm kiếm và hiển thị dữ liệu, giao diện MineMeld dùng để tìm kiếm những mối đe dọa Tính năng nồi bật của SIEMonster là:

- Hành vi người dùng: Tương quan các hành vi của người dùng để làm giàu thông tin các cảnh báo qua đó giảm thiểu các thông báo sai

- Threat Intelligence: Thu thập dữ liệu từ các nguồn khác nhau để ngăn chặn các cuộc tấn công thời gian thực

- Học sâu (Deep Learning): Phân tích hành vi của con người sau đó đưa ra sự tương đồng với các sự kiện và dữ liệu trong quá khứ để xem xét bất kỳ sự khác biệt nào

Elastic Stack là công cụ mã nguồn mở phổ biến nhất hiện nay Nó là một phần kiến trúc của Apache Metron, SIEMonster và Wazuh Nó bao gồm nhiều sản phẩm

SIEM miền phí: Elasticsearch, Logstash,

- Elasticsearch: Lập chỉ mục và lưu trữ dữ liệu và sử dụng cơ chế xếp hàng để các kết nối dữ liệu được duy trì

- Logstash: Tiếp nhận log từ nhiều nguồn khác nhau và chuẩn hóa dữ liệu thu được và ghi dữ liệu vào Elasticsearch

- Kibana: Cung cấp giao diện trực quan hóa dữ liệu cho người dùng

- Beats: Một tập các công cụ thu thập, vận chuyển thông tin chuyên dụng từ client tới máy chủ ELK

OSSIM (Open Source Security Information

Management) là một mã nguồn mở quản lý thông tin và sự kiện an ninh bao 13 gồm tập hợp các công cụ được thiết kế để trợ giúp các nhân viên quản trị phát hiện và phòng chống xâm nhập

OSSIM bao gồm các thành phần SIEM chính, cụ thể là thu thập, xử lý và chuẩn hóa sự kiện Quan trọng nhất là OSSIM có sự tương quan sự kiện

OSSIM tích hợp nhiều các mã nguồn mở vào hệ thống như: Snort, Suricata, OSSEC, OpenVAS, Nagios, Munin, FProbe,…

Security Onion là một bản phân phối của

Linux được thiết kế để phát hiện xâm nhập và giám sát an toàn mạng bao gồm Snort, Suricata,

Squert, Snorby, Bro (Zeek), NetworkMiner,

Xplico, Sguil và nhiều các công cụ an toàn khác Đây là bộ công cụ rất hữu dụng trong giảng dạy và học tập ngoài ra Security Onion còn được sử dụng cho các văn phòng và mạng cá nhân Với việc cài đặt khá đơn giản, người dùng có thể có một hệ thống giám sát an toàn mạng với đầy đủ các tính năng thu thập dữ liệu, phát hiện xâm nhập và phân tích dữ liệu

IBM Qradar là một giải pháp tổng thể, hoạt động như một trung tâm giám sát, bảo mật cho cở quan tổ chức Với giao diện người dùng trực quan được tích hợp với nhiều sản phẩm của IBM nói riêng và các hãng công nghệ khác khiến giải pháp QRadar là giải pháp toàn diện cho hệ thống

NỀN TẢNG BẢO MẬT SIEM WAZUH

Giới thiệu về Wazuh

Wazuh là một nền tảng bảo mật mã nguồn mở và miễn phí hợp nhất các khả năng của XDR và SIEM Wazuh giúp các tổ chức và cá nhân bảo vệ tài sản dữ liệu của họ trước các mối đe dọa bảo mật Nó được sử dụng rộng rãi bởi hàng ngàn tổ chức trên toàn thế giới, từ doanh nghiệp nhỏ đến doanh nghiệp lớn

Wazuh được sinh ra như một nhánh của OSSEC – một nền tảng HIDS được dùng cho việc phát hiện xâm nhập, hiển thị và giám sát Người dùng OSSEC đã không thấy nhiều tính năng mới trong thập kỷ qua Dự án đã ở chế độ bảo trì trong một thời gian dài và rất ít công việc phát triển đã được thực hiện Không có lộ trình hoạt động và các bản phát hành cuối cùng bao gồm hầu hết các bản sửa lỗi được báo cáo bởi những người đóng góp không thường xuyên Đây là lý do tại sao, vào năm 2015, nhóm Wazuh đã quyết định rẽ nhánh dự án Kết quả là một giải pháp toàn diện, dễ sử dụng, đáng tin cậy và có thể mở rộng hơn nhiều Bản fork đã được cộng đồng nguồn mở chấp nhận rộng rãi, nhanh chóng trở thành một giải pháp được sử dụng rộng rãi trong môi trường doanh nghiệp.

Thành phần hệ thống

Giải pháp Wazuh dựa trên tác nhân Wazuh (Wazuh agent), được triển khai trên các điểm cuối được giám sát và trên ba thành phần trung tâm: máy chủ Wazuh (Wazuh server), bộ lập chỉ mục Wazuh (Wazuh indexer) và Wazuh dashboard (Wazuh dashboard)

Wazuh indexer là một công cụ phân tích và tìm kiếm toàn văn bản có khả năng mở rộng cao Đây là thành phần lập chỉ mục và lưu trữ các cảnh báo do Wazuh server tạo ra, đồng thời cung cấp khả năng phân tích và tìm kiếm dữ liệu gần thời gian thực

(near real-time) Wazuh indexer có thể được định cấu hình dưới dạng cụm một nút hoặc nhiều nút, cung cấp khả năng mở rộng và tính sẵn sàng cao

Wazuh indexer lưu trữ dữ liệu dưới dạng tài liệu JSON Mỗi tài liệu tương quan với một bộ khóa, tên trường hoặc thuộc tính, với các giá trị tương ứng của chúng có thể là chuỗi, số, booleans, ngày, mảng giá trị, vị trí địa lý hoặc các loại dữ liệu khác

Mỗi chỉ mục (index) là một tập hợp các tài liệu có liên quan với nhau Các tài liệu được lưu trữ trong Wazuh indexer được phân phối trên các vùng chứa khác nhau được gọi là phân đoạn (shard) Bằng cách phân phối tài liệu trên nhiều phân đoạn và phân phối các phân đoạn đó trên nhiều nút, trình chỉ mục Wazuh có thể đảm bảo dự phòng

Hình 2.1 Tổ chức dữ liệu trong Wazuh Indexer

Wazuh sử dụng bốn chỉ mục khác nhau để lưu trữ các loại sự kiện khác nhau:

Tên chỉ mục Mô tả wazuh‑alerts

Lưu trữ các cảnh báo được tạo bởi Wazuh server Chúng được tạo mỗi khi một sự kiện vượt qua quy tắc có mức độ ưu tiên đủ cao (ngưỡng này có thể định cấu hình) wazuh‑archives Lưu trữ tất cả các sự kiện (dữ liệu lưu trữ) mà Wazuh server nhận được, cho dù chúng có vi phạm quy tắc hay không wazuh‑monitoring Lưu trữ dữ liệu liên quan đến trạng thái tác nhân Wazuh theo thời gian Nó được giao diện web sử dụng để biểu thị thời điểm các tác

15 nhân riêng lẻ đang hoặc đã hoạt động, Ngắt kết nối hoặc chưa bao giờ được kết nối wazuh‑statistics Lưu trữ dữ liệu liên quan đến hiệu suất của Wazuh server Nó được giao diện web sử dụng để biểu thị số liệu thống kê hiệu suất

Bảng 2.1 Danh sách chỉ mục dữ liệu trong Wazuh

Là một nền tảng tìm kiếm gần thời gian thực, Wazuh indexer rất phù hợp cho các trường hợp yêu cầu thời gian xử lý dữ liệu nhanh chóng như phân tích bảo mật và giám sát cơ sở hạ tầng Độ trễ từ khi tài liệu được lập chỉ mục cho đến khi tài liệu có thể tìm kiếm được là rất ngắn, thường là một giây

Ngoài tốc độ, khả năng mở rộng và khả năng phục hồi, Wazuh indexer còn có một số tính năng tích hợp mạnh mẽ giúp lưu trữ và tìm kiếm dữ liệu hiệu quả hơn, chẳng hạn như cuộn dữ liệu (data rollups), cảnh báo, phát hiện bất thường và quản lý vòng đời chỉ mục

Thành phần máy chủ Wazuh phân tích dữ liệu nhận được từ các agent, kích hoạt cảnh báo khi phát hiện thấy các mối đe dọa hoặc sự bất thường Nó cũng được sử dụng để quản lý cấu hình agent và theo dõi trạng thái của chúng

Wazuh server sử dụng các nguồn thông tin tình báo về mối đe dọa để cải thiện khả năng phát hiện của nó Nó cũng làm phong phú thêm dữ liệu cảnh báo bằng cách sử dụng khung MITRE ATT&CK và các yêu cầu tuân thủ quy định như PCI DSS, GDPR, HIPAA, CIS và NIST 800-53, cung cấp bối cảnh hữu ích cho phân tích bảo mật

Ngoài ra, Wazuh server có thể được tích hợp với phần mềm bên ngoài, bao gồm các hệ thống quản lý vé (Ticketing System) như ServiceNow, Jira và PagerDuty, cũng như các nền tảng nhắn tin tức thì như Slack Những tích hợp này thuận tiện cho việc hợp lý hóa các hoạt động bảo mật a) Kiến trúc

Wazuh server chạy công cụ phân tích, API RESTful của Wazuh, dịch vụ đăng ký tác nhân, dịch vụ kết nối tác nhân, daemon cụm Wazuh và Filebeat Nó được cài đặt

16 trên hệ điều hành Linux và thường chạy trên máy vật lý độc lập, máy ảo, bộ chứa docker hoặc trên đám mây

Sơ đồ bên dưới thể hiện kiến trúc và các thành phần của Wazuh Server:

Hình 2.2 Kiến trúc và các thành phần trong Wazuh Server b) Thành phần

Wazuh server bao gồm một số thành phần được liệt kê bên dưới có các chức năng khác nhau, chẳng hạn như đăng ký tác nhân mới, xác thực danh tính từng tác nhân và mã hóa thông tin liên lạc giữa tác nhân Wazuh và máy chủ Wazuh:

- Agent enrollment service: được sử dụng để ghi danh các agent mới Dịch vụ này cung cấp và phân phối các khóa xác thực duy nhất cho mỗi agent Quá trình này chạy dưới dạng dịch vụ mạng và hỗ trợ xác thực qua chứng chỉ TLS/SSL hoặc bằng cách cung cấp mật khẩu cố định

Kiến trúc hệ thống

Kiến trúc Wazuh dựa trên các agent chạy trên các máy chủ được giám sát để chuyển tiếp log đến một máy chủ trung tâm Ngoài ra, các thiết bị không cài được agent (như tường lửa, switch, router, access points,…) được hỗ trợ và có thể chủ động gửi log thông qua syslog hoặc kiểm tra định kỳ các thay đổi cấu hình của chúng để sau đó chuyển dữ liệu đến máy chủ trung tâm Máy chủ trung tâm giải mã và phân tích

23 thông tin đến và chuyển các kết quả đến bộ lập chỉ mục Wazuh (Wazuh indexer) để lập chỉ mục và lưu trữ

Cụm lập chỉ mục Wazuh (wazuh indexer cluster) là một tập hợp gồm một hoặc nhiều nút giao tiếp với nhau để thực hiện các thao tác đọc và ghi trên các chỉ mục Các triển khai nhỏ có thể dễ dàng được xử lý bởi một cụm nút đơn Các cụm nhiều nút được khuyến nghị khi có nhiều điểm cuối được giám sát, khi khối lượng dữ liệu lớn hoặc khi cần tính sẵn sàng cao

Sơ đồ bên dưới thể hiện kiến trúc triển khai Wazuh Nó hiển thị các thành phần giải pháp và cách Wazuh server và các nút Wazuh indexer có thể được định cấu hình thành các cụm, cung cấp tính năng cân bằng tải và tính sẵn sàng cao

Hình 2.9 Kiến trúc triển khai nền tảng Wazuh 2.3.1 Giao tiếp giữa Wazuh agent và Wazuh server

Wazuh agent liên tục gửi các sự kiện đến Wazuh server để phân tích và phát hiện mối đe dọa Để bắt đầu vận chuyển dữ liệu này, Wazuh agent thiết lập kết nối với dịch vụ trên Wazuh server lắng nghe trên cổng 1514 theo mặc định Sau đó, Wazuh server giải mã và kiểm tra quy tắc các sự kiện nhận được, sử dụng công cụ phân tích Các sự kiện được tăng cường bằng dữ liệu cảnh báo, chẳng hạn như ID luật và tên luật Các sự kiện có thể được lưu vào một hoặc cả hai tệp sau, tùy thuộc vào việc quy tắc có bị ngắt hay không:

- Tệp /var/ossec/logs/archives/archives.json chứa tất cả các sự kiện cho dù chúng có vi phạm luậy hay không

- Tệp /var/ossec/logs/alerts/alerts.json chỉ chứa các sự kiện vi phạm quy tắc có mức độ ưu tiên đủ cao

Giao thức tin nhắn Wazuh sử dụng mã hóa AES theo mặc định, với 128 bit cho mỗi khối và khóa 256 bit

2.3.2 Giao tiếp giữa Wazuh server và Wazuh indexer

Wazuh server sử dụng Filebeat để gửi dữ liệu cảnh báo và sự kiện (mã hóa TLS) đến Wazuh indexer Filebeat đọc dữ liệu đầu ra của Wazuh server và gửi nó đến Wazuh indexer (theo mặc định trên cổng 9200/TCP) Sau khi dữ liệu được lập chỉ mục bởi Wazuh indexer, Wazuh dashboard được sử dụng để khai thác và trực quan hóa thông tin

Wazuh dashboard truy vấn Wazuh RESTful API (theo mặc định trên cổng 55000/TCP trên Wazuh server) để hiển thị cấu hình và thông tin liên quan đến trạng thái của Wazuh server và các agent Nó cũng có thể sửa đổi các tác nhân hoặc cài đặt cấu hình máy chủ thông qua lệnh gọi API Giao tiếp này được mã hóa bằng TLS và được xác thực bằng tên người dùng và mật khẩu.

Khả năng của Wazuh

2.4.1 Thu thập và phân tích dữ liệu nhật ký

Trong nhiều trường hợp, bằng chứng về một cuộc tấn công có thể được tìm thấy trong thông điệp nhật ký của thiết bị, hệ thống và ứng dụng Wazuh hỗ trợ người dùng bằng cách tự động hóa việc quản lý và phân tích nhật ký để tăng tốc độ phát hiện mối đe dọa

Wazuh agent chạy trên điểm cuối chịu trách nhiệm đọc các thông báo nhật ký ứng dụng và hệ điều hành, chuyển tiếp chúng đến Wazuh server, nơi diễn ra quá trình phân tích Máy chủ cũng có thể nhận dữ liệu qua Syslog từ các thiết bị hoặc ứng dụng mạng khi không có tác nhân nào được triển khai

Hình 2.10 Luồng hoạt động của tính năng thu thập nhật ký

Mục đích của quá trình này là xác định lỗi ứng dụng hoặc hệ thống, cấu hình sai, nỗ lực xâm nhập, vi phạm chính sách hoặc các vấn đề bảo mật khác

2.4.2 Giám sát tính toàn vẹn tệp

Hệ thống giám sát toàn vẹn tệp (File Integrity Monitoring - FIM) của Wazuh theo dõi các tệp đã chọn và kích hoạt cảnh báo khi các tệp này được sửa đổi Thành phần chịu trách nhiệm cho nhiệm vụ này được gọi là Syscheck Thành phần này lưu trữ mã checksum và các thuộc tính khác của tệp hoặc khóa đăng ký Windows và thường xuyên so sánh chúng với các tệp hiện tại đang được hệ thống sử dụng, nhằm phát hiện sự thay đổi

Hình 2.11 Luồng hoạt động của tính năng giám sát toàn vẹn tệp

2.4.3 Phát hiện bất thường và phần mềm độc hại

Phát hiện bất thường đề cập đến hành động tìm các mẫu trong hệ thống không khớp với hành vi dự kiến Sau khi phần mềm độc hại được cài đặt trên hệ thống, nó sẽ sửa đổi hệ thống để tự ẩn mình khỏi người dùng

Wazuh thực hiện các phương pháp sau để phát hiện bất thường và phần mềm độc hại:

- Giám sát tính toàn vẹn của tệp: phần mềm độc hại có thể thay thế các tệp, thư mục và lệnh trên hệ thống máy chủ Thực hiện giám sát tính toàn vẹn của tệp, người dùng có thể kiểm tra các thư mục đã chọn của hệ thống để phát hiện các hành động này

- Kiểm tra các tiến trình đang chạy: một quy trình độc hại có thể ngăn chính nó hiển thị trong danh sách các quy trình của hệ thống Rootcheck kiểm tra tất cả ID tiến trình (PID) để tìm sự khác biệt với các lệnh gọi hệ thống khác nhau (getsid, getpgid)

- Kiểm tra các cổng ẩn: phần mềm độc hại có thể sử dụng các cổng ẩn để giao tiếp với kẻ tấn công Rootcheck kiểm tra mọi cổng trong hệ thống bằng bind() Nếu nó không thể liên kết với một cổng và cổng đó không có trong đầu ra của netstat, thì có thể có phần mềm độc hại

- Kiểm tra các tệp và quyền bất thường: Wazuh quét toàn bộ hệ thống tệp để tìm các tệp và quyền bất thường Các tệp do root sở hữu có quyền ghi đối với các tài khoản người dùng khác như tệp suid, thư mục ẩn và tệp, tất cả đều được kiểm tra

- Kiểm tra các tệp ẩn bằng các cuộc gọi hệ thống: Wazuh quét toàn bộ hệ thống so sánh sự khác biệt giữa kích thước thống kê và kích thước tệp khi sử dụng lệnh gọi fopen + read Số lượng nút trong mỗi thư mục cũng được so sánh với đầu ra của opendir + readdir Nếu bất kỳ kết quả nào không khớp, có thể có phần mềm độc hại

- Quét thư mục /dev: thư mục /dev chỉ nên chứa các tệp dành riêng cho thiết bị Bất kỳ tệp bổ sung nào cũng phải được kiểm tra vì phần mềm độc hại có thể sử dụng phân vùng này để ẩn tệp

- Quét giao diện mạng: Wazuh quét mọi giao diện mạng trên hệ thống có bật chế độ hỗn tạp Nếu giao diện ở chế độ hỗn tạp, đầu ra của lệnh ifconfig sẽ chỉ ra nó Đây có thể là dấu hiệu cho thấy có phần mềm độc hại

- kiểm tra rootkit: Rootcheck thực hiện một số kiểm tra bằng cách sử dụng cơ sở dữ liệu về chữ ký rootkit: rootkit_files.txt, rootkit_trojans.txt và win_malware_rcl.txt

Hình 2.12 Luồng hoạt động của tính năng phát hiện bất thường

Thành phần chính chịu trách nhiệm cho nhiệm vụ này là Rootcheck Tuy nhiên,

Syscheck cũng đóng một vai trò quan trọng

2.4.4 Đánh giá cấu hình bảo mật

Mô-đun Đánh giá cấu hình bảo mật (Security Configuration Assessment - SCA) cung cấp khả năng đánh giá cấu hình chính sách và bảo mật Một số tính năng chính của nó bao gồm:

- Cung cấp trạng thái của lần quét SCA cuối cùng Kết quả kiểm tra cho mọi chính sách đã bật được lưu trữ trong trình quản lý Wazuh

- Cảnh báo về những thay đổi trạng thái SCA Chỉ những thay đổi trạng thái và kiểm tra mới được cảnh báo để tránh tràn ngập cảnh báo và cảnh báo lặp lại với mỗi lần quét mới Các thay đổi trạng thái được cập nhật trong cơ sở dữ liệu của trình quản lý Wazuh

Luật trong Wazuh

Luật (rules) là một phần vô cùng quan trọng trong Wazuh, nó chính là cốt lõi trong việc đảm bảo hệ thống wazuh có được hoạt động theo quy trình, chính xác và hiệu quả hay không

Các quy tắc này được hệ thống sử dụng để phát hiện các cuộc tấn công, sự cố cấu hình, lỗi ứng dụng, phần mềm độc hại, rootkit, bất thường hệ thống hoặc vi phạm chính sách bảo mật Wazuh cung cấp sẵn một bộ mốt số bộ quy tắc, các bộ quy tắc này được cập nhật và mở rộng liên tục để tăng cường khả năng phát hiện của hệ thống

Hình 2.17 Luồng xử ý dữ liệu nhật ký trong Wazuh

Chi tiết quá trình xử lý như sau:

- Pre-decoding: quá trình tiền giải mã thực hiện trích xuất các thông tin tĩnh trong nhật ký hệ thống như timestamp, hostname, program name

- Decoding: đây là quá trình giải mã chính mà các Decoder thực hiện Mục tiêu của quá trình này là trích xuất các trường thông tin không tĩnh từ dữ liệu

- Rule matching: ở giai đoạn này, ta đã trích xuất được các trường thông tin quan trọng trong dữ liệu Các trường dữ liệu này sẽ được kiểm tra, so khớp với các mẫu chữ ký trong bộ luật Nếu dữ liệu khớp với chữ ký, cảnh báo sẽ được sinh ra

Luật trong Wazuh tuân theo cú pháp của ngôn ngữ XML (Extensible Markup Language - ngôn ngữ đánh dấu mở rộng) Các nhãn xml được sử dụng để định cấu hình các tùy chọn của luật

Hình 2.18 Minh họa cú pháp viết luật trong Wazuh

Dưới đây là một số nhãn xml thường được sử dung

Nhãn Giá trị Mô Tả

Level, id, maxsize, frequency, timeframe, ignore, overwirte, noalert

Nó bắt đầu một quy tắc mới và các tùy chọn xác định của nó

Match Biểu thức chính quy

Theo mặc định, nó sẽ cố gắng tìm kết quả trùng khớp trong nhật ký bằng cách sử dụng sregex, quyết định xem có nên kích hoạt quy tắc hay không

Regex Biểu thức chính quy

Nó hoạt động tương tự như match, nhưng với regex được đặt làm mặc định

Decoded_as Tên của bộ giải mã Nó sẽ khớp với các bản ghi đã được giải mã bởi một bộ giải mã cụ thể

Cung cấp một mô tả mà con người có thể đọc được để giải thích mục đích của quy tắc là gì

Category Tên loại của bộ giải mã Nó sẽ khớp với các bản ghi có cùng loại với bộ giải mã

If_sid ID luật (được phân tách bằng dấu phẩy hoặc dấu cách)

Nó sẽ khớp khi ID luật trong danh sách đã khớp trước đó

If_level Từ 1 đến 16 Nó sẽ khớp nếu mức đó đã được kích hoạt bởi một quy tắc khác

Group Chuỗi ký tự Thêm các nhóm bổ sung vào cảnh báo

Bảng 2.2 Danh sách nhãn xml trong luật Wazuh 2.5.3 Các cấp độ luật

Luật trong Wazuh được phân loại theo nhiều cấp độ, từ thấp nhất 0 đến cao nhất

16 Bảng sau đây mô tả từng mức độ nghiêm trọng trong cảnh báo khi chúng được kích hoạt

Mức độ Tiêu đề Mô tả

Không thực hiện hành động nào Được sử dụng để tránh cảnh báo giả Khi gặp luật có cấp độ này thì sẽ không có thông báo Các luật này được quét trước tất cả các luật khác Chúng bao gồm các sự kiện không có sự liên quan về bảo mật

Thông báo hệ thống hoặc thông báo trạng thái Không có sự liên quan về bảo mật

Bao gồm các lần đăng nhập thành công, tường lửa cho phép sự kiện, v.v

Các lỗi liên quan đến cấu hình hoặc thiết bị/ứng dụng không sử dụng Chúng không có sự liên quan về bảo

34 mật và thường được gây ra bởi các cài đặt mặc định hoặc kiểm thử phần mềm

Chúng bao gồm mật khẩu bị bỏ lỡ, hành động bị từ chối, v.v Chính chúng không có sự liên quan về bảo mật

Chúng chỉ ra một con sâu (worm) hoặc virus không ảnh hưởng đến hệ thống (như mã màu đỏ cho các máy chủ apache, vv) Chúng cũng bao gồm các sự kiện IDS thường xuyên và các lỗi thường xuyên

Chúng bao gồm các từ như "bad", "error", v.v Những sự kiện này hầu như không được phân loại và có thể có một số mức độ liên quan về bảo mật

Bao gồm các sự kiện lần đầu tiên được xem Lần đầu tiên một sự kiện IDS được kích hoạt hoặc lần đầu tiên người dùng đăng nhập Nếu bạn mới bắt đầu sử dụng OSSEC HIDS, những thông báo này có thể sẽ thường xuyên Sau một thời gian sẽ giảm dần, Nó cũng bao gồm các hành động bảo mật có liên quan (như bắt đầu của một sniffer)

Bao gồm các lần đăng nhập dưới dạng người dùng không xác định hoặc từ nguồn không hợp lệ Có thể có sự liên quan về bảo mật (đặc biệt nếu được lặp lại) Chúng cũng bao gồm các lỗi liên quan đến tài khoản quản trị (root)

Chúng bao gồm nhiều mật khẩu không hợp lệ, nhiều lần đăng nhập không thành công, v.v Những điều này có thể chỉ ra một cuộc tấn công hoặc có thể chỉ là người dùng vừa quên thông tin đăng nhập của mình

Chúng bao gồm các thông báo liên quan đến việc sửa đổi các tệp nhị phân hoặc sự hiện diện của rootkit Điều này có thể chỉ ra một cuộc tấn công thành công Cũng bao gồm các sự kiện IDS sẽ bị bỏ qua do số lần lặp lại lớn

Chúng bao gồm các thông báo lỗi hoặc cảnh báo từ hệ thống, nhân, v.v Chúng có thể chỉ ra một cuộc tấn công chống lại một ứng dụng cụ thể

13 Unusual error (high importance) Hầu hết là khớp với một kiểu tấn công phổ biến

Hầu hết là được thực hiện với sự tương quan và nó chỉ ra một cuộc tấn công

15 Severe attack Đặc biệt chú ý ngay lập tức

Bảng 2.3 Danh sách cấp độ luật trong Wazuh 2.5.4 Phân loại luật

Trong Wazuh, luật được chia thành 2 loại: Luật nguyên tố và luật kết hợp:

- Luật nguyên tố: các luật xử lý một sự kiện, cảnh báo, thông báo hay hành động ứng phó sẽ xuất hiện khi có một sự kiện thỏa mãn Ví dụ: Bao nhiêu lần đăng nhập thất bại sẽ xuất hiện bấy nhiêu lần thông báo

Hình 2.19 Minh họa luật nguyên tố trong Wazuh

ỨNG DỤNG WAZUH TRONG GIÁM SÁT AN NINH MẠNG

Mô hình hệ thống

Do không có điều kiện để triển khai trong thực tế nên trong phẩn này, nhóm đưa ra mô hình và kịch bản thử nghiệm trên hệ thống các máy ảo Mô hình thử nghiệm bao gồm 1 máy tính người dùng cuối (sử dụng hệ điều hành Windows 10), 1 máy chủ hệ điều hành Centos 7 Trên máy tính người dùng được cài đặt Wazuh Agent, còn trên máy chủ Centos 7 sẽ cài các thành phần còn lại của Wazuh Về việc cài đặt mô hình thử nghiệm đã được trình bày trong Phụ lục

Hình 3.1 Mô hình thực nghiệm

Dưới đây là cấu hình các máy được sử dụng trong mô hình thực nghiệm

STT Tên thiết bị RAM CPU HDD

1 wazuh-server 8GB 4 cores 50GB

Bảng 3.1 Cấu hình máy ảo thực nghiệm

Kịch bản thực nghiệm

Mô phỏng các cuộc tấn công đóng một vai trò quan trọng trong việc xác định các Kỹ thuật, Chiến thuật và Quy trình được sử dụng bởi đối thủ Các dự án như Atomic Red Team (ART) có thể giúp tự động hóa mô phỏng các hoạt động độc hại có thể được phát hiện bằng Wazuh

Khung MITRE ATT&CK, viết tắt của MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK), là cơ sở kiến thức để lập mô hình hành vi của kẻ thù trên mạng Đây là một nền tảng tổ chức và phân loại các loại chiến thuật, kỹ thuật và quy trình khác nhau được các tác nhân đe dọa sử dụng trong thế giới kỹ thuật số, từ đó giúp các tổ chức xác định các lỗ hổng trong hệ thống bảo vệ an ninh mạng

Atomic Red Team là một dự án nguồn mở bao gồm một loạt các thử nghiệm được ánh xạ tới MITRE ATT&CK Nó rất hữu ích để tự động hóa quá trình thử nghiệm các loại kỹ thuật tấn công khác nhau

System Monitor (Sysmon) là một dịch vụ hệ thống và trình điều khiển thiết bị có thể được sử dụng trên Windows để giám sát và ghi nhật ký hoạt động của hệ thống thông qua dịch vụ Ghi nhật ký Sự kiện Windows (Windows Event Logging service)

Phần thực nghiệm này sẽ trình bày chi tiết cách mô phỏng các cuộc tấn công trên máy Windows bằng ART và cách phân tích nhật ký được tạo bằng Wazuh Nó bao gồm các bước được thực hiện để định cấu hình Wazuh nhằm nắm bắt các sự kiện, tạo quy tắc phát hiện và tạo cảnh báo trên bảng điều khiển Wazuh

3.2.1 Mô phỏng kỹ thuật T1053.005 - Scheduled Task/Job

Kẻ xấu có thể lợi dụng Trình lập lịch tác vụ Windows (Windows Task Scheduler) để thực hiện lập lịch tác vụ cho việc thực thi mã độc định kỳ Có nhiều cách để truy cập Trình lập lịch tác vụ trong Windows Tiện ích schtask có thể được chạy trực tiếp trên dòng lệnh, hoặc Trình lập lịch tác vụ có thể được mở thông qua GUI trong phần Công cụ quản trị viên (Administrator Tools) của Bảng điều khiển (Control Panel)

Kẻ xấu có thể sử dụng Bộ lập lịch tác vụ Windows để thực thi các chương trình khi khởi động hệ thống hoặc trên cơ sở đã lên lịch để duy trì Bộ lập lịch tác vụ Windows cũng có thể bị lợi dụng để tiến hành Thực thi từ xa như một phần của chuyển động bên và/hoặc để chạy một quy trình trong ngữ cảnh của một tài khoản được chỉ định (chẳng hạn như SYSTEM) Để thực hiện mô phỏng lại kỹ thuật T1053.005, trên máy Windows ta thực thi lệnh: Invoke-AtomicTest T1053.005

Hình 3.2 Kết quả thực thi lệnh mô phỏng kỹ thuật T1053.005

Sau khi lệnh được thực thi thành công, ta sẽ thấy các Task mới đã có mặt trong Task Scheduler Cùng với đó, các sự kiện diễn ra cũng được Sysmon ghi lại

Hình 3.3 Task đã được tạo trong Task Scheduler

Hình 3.4 Sysmon ghi lại các sự kiện tạo Task

Như vậy, việc thực hiện mô phỏng lại kỹ thuật T1053.005 trên máy tính Winsows 10 đã thành công Để hoàn nguyên trạng thái cho máy tính, sử dụng lệnh sau:

Hình 3.5 Khôi phục lại trạng thái ban đầu cho máy tính

Bây giờ, để có thể phát hiện kỹ thuật, ta cần bổ sung luật cho Wazuh với nội dung như sau:

windows

technique_id=T1053,technique_name=Scheduled Task A Newly Scheduled Task has been Detected on $(win.system.computer)

Hình 3.6 Luật phát hiện kỹ thuật T1053.005

Thực hiện mô phỏng kỹ thuật lại một lần nữa Sau đó đi tới mô-đun Security events trên bảng điều khiển của Wazuh, ta thấy rằng hệ thống đã phát hiện hành động thực hiện kỹ thuật T1053.005 trên thiết bị và tạo ra cảnh báo cho các sự kiện đó

Hình 3.7 Cảnh báo phát hiện kỹ thuật T1053.005

Hình 3.8 Chi tiết cảnh báo thực hiện kỹ thuật T1053.005 3.2.2 Mô phỏng kỹ thuật T1218.010 - Signed Binary Proxy Execution: Regsvr32

Kẻ tấn công có thể lợi dụng Regsvr32.exe để ủy quyền thực thi mã độc Regsvr32.exe là một chương trình dòng lệnh được sử dụng để đăng ký và hủy đăng ký các điều khiển nhúng và liên kết đối tượng, bao gồm các thư viện liên kết động (DLL), trên các hệ thống Windows Tệp nhị phân Regsvr32.exe cũng có thể được ký bởi Microsoft

Việc sử dụng Regsvr32.exe có thể tránh kích hoạt các công cụ bảo mật không giám sát việc thực thi, các mô-đun được tải, và quy trình regsvr32.exe do danh sách

42 cho phép hoặc thông báo sai từ Windows bằng cách sử dụng regsvr32.exe cho các hoạt động bình thường Regsvr32.exe cũng có thể được sử dụng để bỏ qua kiểm soát ứng dụng một cách cụ thể bằng cách sử dụng chức năng tải tập lệnh COM để thực thi DLL dưới sự cho phép của người dùng Vì Regsvr32.exe nhận biết được mạng (network) và proxy nên có thể tải các tập lệnh bằng cách chuyển một URL tới tệp trên máy chủ Web bên ngoài làm đối số trong khi gọi Phương pháp này không thực hiện thay đổi đối với sổ đăng ký (Registry) vì đối tượng COM không thực sự được đăng ký, chỉ được thực thi Biến thể của kỹ thuật này thường được gọi là "Squiblydoo" và đã được sử dụng trong các chiến dịch nhắm mục tiêu vào các chính phủ Để thực hiện mô phỏng kỹ thuật T1218.010 trên máy tính Windows, ta thực thi lệnh sau: Invoke-AtomicTest T1218.010

Hình 3.9 Kết quả thực thi lệnh mô phỏng kỹ thuật T1218.010

Hình 3.10 Sysmon ghi lại sự kiện kết nối mạng Để có thể phát hiện kỹ thuật, ta cần bổ sung luật cho Wazuh với nội dung như sau:

windows

technique_id=T1218.010,technique_name=Regsvr32 Signed Binary Proxy Execution using Regsvr32 Detected on $(win.system.computer)

Ngày đăng: 07/11/2024, 11:01

HÌNH ẢNH LIÊN QUAN

Hình 1.2 Triển khai SIEM đám mây, tự quản lý - Tìm hiểu về nền tảng bảo mật Wazuh
Hình 1.2 Triển khai SIEM đám mây, tự quản lý (Trang 13)
Hình 1.3 Triển khai SIEM tự lưu trữ, quản lý kết hợp - Tìm hiểu về nền tảng bảo mật Wazuh
Hình 1.3 Triển khai SIEM tự lưu trữ, quản lý kết hợp (Trang 14)
Hình 1.4 Triển khai SIEM như một dich vụ - Tìm hiểu về nền tảng bảo mật Wazuh
Hình 1.4 Triển khai SIEM như một dich vụ (Trang 15)
Hình 2.1 Tổ chức dữ liệu trong Wazuh Indexer - Tìm hiểu về nền tảng bảo mật Wazuh
Hình 2.1 Tổ chức dữ liệu trong Wazuh Indexer (Trang 19)
Sơ đồ bên dưới thể hiện kiến trúc và các thành phần của Wazuh Server: - Tìm hiểu về nền tảng bảo mật Wazuh
Sơ đồ b ên dưới thể hiện kiến trúc và các thành phần của Wazuh Server: (Trang 21)
Hình 2.3 Các tiêu chuẩn tuân thủ trong Wazuh b) Giám sát và cấu hình agent - Tìm hiểu về nền tảng bảo mật Wazuh
Hình 2.3 Các tiêu chuẩn tuân thủ trong Wazuh b) Giám sát và cấu hình agent (Trang 23)
Hình 2.5 Các chức năng quản lý hệ thống d) Công cụ phát triển - Tìm hiểu về nền tảng bảo mật Wazuh
Hình 2.5 Các chức năng quản lý hệ thống d) Công cụ phát triển (Trang 24)
Hình 2.6 Giao diện công cụ kiểm tra luật - Tìm hiểu về nền tảng bảo mật Wazuh
Hình 2.6 Giao diện công cụ kiểm tra luật (Trang 24)
Hình 2.7 Giao diện bảng điều khiển API 2.2.4. Wazuh agent - Tìm hiểu về nền tảng bảo mật Wazuh
Hình 2.7 Giao diện bảng điều khiển API 2.2.4. Wazuh agent (Trang 25)
Hình 2.8 Kiến trúc và các thành phần trong Wazuh Agent b) Các mô-đun - Tìm hiểu về nền tảng bảo mật Wazuh
Hình 2.8 Kiến trúc và các thành phần trong Wazuh Agent b) Các mô-đun (Trang 26)
Hình 2.10 Luồng hoạt động của tính năng thu thập nhật ký - Tìm hiểu về nền tảng bảo mật Wazuh
Hình 2.10 Luồng hoạt động của tính năng thu thập nhật ký (Trang 30)
Hình 2.11 Luồng hoạt động của tính năng giám sát toàn vẹn tệp - Tìm hiểu về nền tảng bảo mật Wazuh
Hình 2.11 Luồng hoạt động của tính năng giám sát toàn vẹn tệp (Trang 30)
Hình 2.12 Luồng hoạt động của tính năng phát hiện bất thường - Tìm hiểu về nền tảng bảo mật Wazuh
Hình 2.12 Luồng hoạt động của tính năng phát hiện bất thường (Trang 32)
Hình 2.16 Luồng hoạt động của tính năng phản ứng tích cực 2.4.9. Giám sát không tác nhân - Tìm hiểu về nền tảng bảo mật Wazuh
Hình 2.16 Luồng hoạt động của tính năng phản ứng tích cực 2.4.9. Giám sát không tác nhân (Trang 35)
Hình 3.2 Kết quả thực thi lệnh mô phỏng kỹ thuật T1053.005 - Tìm hiểu về nền tảng bảo mật Wazuh
Hình 3.2 Kết quả thực thi lệnh mô phỏng kỹ thuật T1053.005 (Trang 44)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w