Đồ án: đồ án tốt nghiệp tìm hiểu và triển khai hệ thống siem bằng wazuh

Tìm hiểu chi tiết về hệ thống SIEM và cách triển khai Wazuh trong đồ án tốt nghiệp. Hướng dẫn đầy đủ về giám sát bảo mật mạng hiệu quả.

Trường đại học

Trường Đại Học Đà Lạt

Chuyên ngành

Công Nghệ Thông Tin

Người đăng

Ẩn danh

Thể loại

Báo cáo đồ án tốt nghiệp

2025

92
5
0

Phí lưu trữ

35 Point

Tóm tắt

I. Giới thiệu về Hệ thống SIEM và Wazuh

SIEM (Security Information and Event Management) là một giải pháp toàn diện để quản lý an ninh thông tin trong các tổ chức. Hệ thống này tích hợp giám sát log, phân tích lưu lượng mạng và phát hiện các mối đe dọa bảo mật để bảo vệ cơ sở hạ tầng IT. Wazuh là một nền tảng SIEM mã nguồn mở được thiết kế để cung cấp giám sát toàn diện, phát hiện mối đe dọa và ứng phó sự cố một cách hiệu quả. Đồ án này tập trung vào việc triển khai hệ thống SIEM bằng Wazuh nhằm nâng cao khả năng phòng chống các cuộc tấn công mạng ngày càng phức tạp. Wazuh cung cấp các tính năng mạnh mẽ như phát hiện xâm nhập, quản lý lỗ hổng bảo mật và tự động hóa xử lý sự cố, giúp tổ chức giảm thiểu rủi ro an ninh.

1.1. Khái niệm và vai trò của SIEM

SIEM là công cụ quan trọng trong chiến lược bảo mật thông tin của tổ chức. Nó thu thập, phân tích và tương quan các sự kiện bảo mật từ nhiều nguồn khác nhau như máy chủ, tường lửa, IDS/IPS. Hệ thống này giúp phát hiện các hoạt động bất thường, xâm phạm an ninh và cho phép các chuyên gia bảo mật ứng phó kịp thời với các mối đe dọa tiềm ẩn.

1.2. Kiến trúc và thành phần chính của Wazuh

Kiến trúc Wazuh bao gồm ba thành phần chính: Wazuh Manager (máy chủ trung tâm), Wazuh Agent (cài đặt trên máy khách), và Wazuh Dashboard (giao diện người dùng). Manager xử lý dữ liệu và phát hiện mối đe dọa, Agent thu thập sự kiện, còn Dashboard cung cấp trực quan hóa dữ liệu chi tiết về tình hình bảo mật.

II. Quy trình Cài đặt và Triển khai Wazuh

Triển khai hệ thống SIEM Wazuh đòi hỏi một quy trình chuẩn bị kỹ lưỡng và tuân theo các bước nhất định. Trước tiên, cần chuẩn bị môi trường với các yêu cầu phần cứng, hệ điều hành (Windows Server, Debian Linux) và công cụ ảo hóa (VMware Workstation Pro). Quá trình cài đặt Wazuh Manager trên máy chủ trung tâm là bước quan trọng, theo đó là cài đặt và cấu hình Wazuh Agent trên các máy khách. Đồ án này tài liệu hóa chi tiết từng bước cài đặt, cấu hình các tính năng chính như giám sát log, phát hiện lỗ hổng CVE, quản lý sự kiện container, và tích hợp với các công cụ bảo mật khác như Suricata IDS và ELK Stack.

2.1. Các bước cài đặt Wazuh Manager

Cài đặt Wazuh Manager bắt đầu bằng cách chuẩn bị hệ điều hành Debian Linux, cài đặt các gói phụ thuộc cần thiết và tải xuống bản Wazuh phù hợp. Sau đó, khởi động các dịch vụ Wazuh và truy cập Dashboard thông qua giao diện web. Cấu hình các tham số mạng, bảo mật (chứng chỉ SSL/TLS) và kết nối với các Agent là các bước tiếp theo.

2.2. Cấu hình Wazuh Agent trên Windows và Linux

Cấu hình Wazuh Agent khác nhau tùy theo hệ điều hành. Trên Windows, agent thu thập sự kiện từ Event Viewer, phần mềm cài đặt, và các bộ nhớ cache. Trên Linux, agent theo dõi các tệp log hệ thống, quyền truy cập tệp và hoạt động tiến trình. Mỗi Agent cần kết nối an toàn với Manager sử dụng chứng chỉ xác thực để đảm bảo tính toàn vẹn dữ liệu.

III. Các Tính năng Nâng cao và Tích hợp

Wazuh cung cấp nhiều tính năng nâng cao để nâng cao hiệu quả phát hiện mối đe dọa và xử lý sự cố. Giám sát toàn vẹn tệp (File Integrity Monitoring) theo dõi các thay đổi trong tệp hệ thống, phát hiện các sửa đổi trái phép. Quản lý lỗ hổng bảo mật (Vulnerability Management) kết hợp dữ liệu CVE để xác định các máy chủ dễ bị tấn công. Phản hồi chủ động (Active Response) tự động thực hiện các biện pháp ứng phó như khóa tài khoản hoặc chặn kết nối. Đồ án cũng tích hợp VirusTotal API để kiểm tra các tệp nghi ngờ, Suricata IDS để phân tích lưu lượng mạng, ELK Stack để lưu trữ và phân tích dữ liệu, và hệ thống cảnh báo gửi thông báo qua Telegram và Gmail.

3.1. Giám sát Toàn vẹn Tệp FIM và Phát hiện Lỗ hổng CVE

FIM là tính năng quan trọng giúp theo dõi các thay đổi trong tệp hệ thống, tệp cấu hình và các tệp nhị phân. Khi phát hiện thay đổi trái phép, hệ thống sẽ cảnh báo ngay lập tức. Phát hiện lỗ hổng CVE tự động quét các máy chủ Agent, so sánh với cơ sở dữ liệu CVE toàn cầu để xác định các lỗ hổng tiềm ẩn và mức độ nghiêm trọng.

3.2. Tích hợp VirusTotal Suricata IDS và ELK Stack

Tích hợp VirusTotal API cho phép kiểm tra các tệp và URL nghi ngờ với hơn 70 engine antivirus. Suricata IDS được tích hợp để phát hiện các cuộc tấn công ở tầng mạng dựa trên các chữ ký tấn công. ELK Stack (Elasticsearch, Logstash, Kibana) mở rộng khả năng lưu trữ và visualize dữ liệu bảo mật, cho phép phân tích sâu hơn các sự kiện bảo mật.

IV. Mô phỏng Tấn công và Kết quả Đạt được

Đồ án thực hiện các kịch bản mô phỏng tấn công (attack simulation) để kiểm chứng hiệu quả của hệ thống SIEM Wazuh. Các cuộc tấn công được mô phỏng bao gồm tấn công Brute-Force (nhiều lần nhập sai mật khẩu), SQL Injection (chèn mã độc vào cơ sở dữ liệu), malware detection (phát hiện tệp nhị phân nghi ngờ), và hidden process detection (phát hiện tiến trình ẩn). Mỗi kịch bản được giám sát kỹ lưỡng để xác nhận khả năng phát hiện của Wazuh. Kết quả cho thấy hệ thống thành công trong việc phát hiện các mối đe dọa theo thời gian thựcứng phó tự động với các sự kiện bảo mật. Nhóm đã hoàn thành triển khai mô hình mạng đầy đủ, nắm vững các tính năng của Wazuh, và có khả năng xử lý các lỗi xảy ra trong môi trường thực.

4.1. Các Kịch bản Tấn công và Phát hiện

Tấn công Brute-Force được mô phỏng bằng cách cố gắng đoán mật khẩu nhiều lần. Wazuh phát hiện và cảnh báo khi vượt quá ngưỡng thất bại. SQL Injection được kiểm tra bằng cách chèn mã SQL vào các trường nhập liệu, hệ thống phát hiện hoạt động bất thường này. Phát hiện tệp nhị phân kiểm tra các tệp thực thi nghi ngờ qua VirusTotal API, xác định malware tiềm ẩn.

4.2. Hiệu quả và Hướng phát triển Tương lai

Hệ thống SIEM Wazuh đã chứng minh hiệu quả cao trong phát hiện và ứng phó các mối đe dọa bảo mật. Các kết quả thực nghiệm cho thấy độ chính xác cao trong phát hiện mối đe dọa và tốc độ ứng phó nhanh chóng. Hướng phát triển tương lai bao gồm tích hợp machine learning để cải thiện độ chính xác, mở rộng quy mô giám sát, và tối ưu hóa hiệu suất hệ thống cho các môi trường lớn.

11/12/2025

Trích đoạn nội dung tài liệu

CHƯƠNG 1: TỔNG QUAN 1. Tổng quan về SIEM 1. Khái niệm về SIEM SIEM là một phần mềm kết hợp giữa SIM (thu thập, phân tích và báo cáo dữ liệu nhật ký từ các thiết bị bảo mật) và SEM (thu thập, phân tích và báo cáo các sự kiện liên quan đến bảo mật trong một phần mềm, hệ thống hoặc môi trường CNTT theo thời gian thực) để giám sát mối đe dọa và ứng phó sự cố. Chính vì vậy, giải pháp SIEM cung cấp khả năng giám sát và phân tích các sự kiện theo thời gian thực cũng như theo dõi và ghi lại dữ liệu bảo mật giúp tăng cường khả năng phát hiện mối đe dọa, tuân thủ và quản lý sự cố bảo mật.

Hình 1: SIEM Chức năng cốt lõi của SIEM là:  Quản lý sự kiện nhật ký tập trung (thu thập, chuẩn hóa, phân tích và lưu trữ).  Tương quan sự kiện.  Cảnh báo và báo cáo về các sự kiện bảo mật. SIEM thu thập và kết hợp dữ liệu từ các nguồn sự kiện trên hệ thống CNTT của tổ chức, doanh nghiệp như: hệ thống máy chủ lưu trữ, tường lửa, các thiết bị đầu cuối và các thiết bị bảo mật.

Khi một sự cố hoặc sự kiện bảo mật được xác định, phân tích và phân loại, SIEM sẽ cung cấp các báo cáo và thông báo cho các bên liên quan trong tổ chức, doanh nghiệp. 18 Để đối phó với các cuộc tấn công ngày một tinh vi và nguy hiểm, SIEM đã phát triển và tích hợp nhiều tính năng khác để có thể giải quyết được nhiều vấn đề hơn. Một số giải pháp SIEM nổi bật 1. ELK Stack ELK Stack là công cụ mã nguồn mở phổ biến nhất hiện nay.

Nó là một phần kiến trúc của Apache Metron, SIEMonster và Wazuh. Nó bao gồm nhiều sản phẩm SIEM miễn phí: Elasticsearch, Logstash, Kibana.  Elasticsearch: Lập các index và lưu trữ dữ liệu và sử dụng cơ chế xếp hàng để các kết nối dữ liệu được duy trì.  Logstash: Tiếp nhận log từ nhiều nguồn khác nhau và chuẩn hóa dữ liệu thu được và ghi dữ liệu vào Elasticsearch.

 Kibana: Cung cấp giao diện trực quan hóa dữ liệu cho người dùng.  Beats: Một tập các công cụ thu thập, vận chuyển thông tin chuyên dụng từ máy khách tới máy chủ ELK. Hình 2: ELK Stack 1. IBM Qradar IBM Qradar là một giải pháp tổng thể, hoạt động như một trung tâm giám sát, bảo mật cho cơ quan tổ chức.

Với giao diện người dùng trực quan được tích hợp với nhiều sản phẩm của IBM nói riêng và các hãng công nghệ khác khiến giải pháp QRadar là giải pháp toàn diện cho hệ thống. Trong QRadar SIEM, công cụ phân tích Sense Analytics Engine là trung tâm của giải pháp dùng để ghi nhận các sự 19 kiện, log thời gian thực cũng như các luồng dữ liệu qua hệ thống mạng. Qua đó có thể phát hiện được các lỗ hổng bảo mật, xâm nhập trái phép từ bên ngoài. QRadar SIEM có thể triển khai cài đặt đơn giản, dễ dàng cùng với khả năng mở rộng, hợp nhất dữ liệu thu thập được từ nhiều nguồn giúp nhanh chóng xác định và khắc phục các cuộc tấn công.

Hình 3: IBM QRadar 1. Splunk Splunk là một phần mềm giám sát mạng dựa trên sức mạnh của việc phân tích Log. Splunk thực hiện các công việc tìm kiếm, giám sát và phân tích các dữ liệu lớn được sinh ra từ các ứng dụng, các hệ thống và các thiết bị hạ tầng mạng. Nó có thể thao tác tốt với nhiều loại định dạng dữ liệu khác nhau như syslog, csv, apache-log, access_combined.

Splunk được xây dựng dựa trên nền tảng Lucene and MongoDB. Splunk rất tốt cho các công ty sử dụng Hadoop để theo dõi và lưu trữ dữ liệu máy móc. Khi hệ thống Hadoop già cỗi, việc trích xuất những insights cần thiết từ chương trình này có thể tốn thời gian hoặc thậm chí không thể. Splunk Hunk tích hợp với Hadoop để tạo ra những hình ảnh mà bình thường không thể thực hiện được với các tập dữ liệu dựa trên Hadoop.

Chỉ số ảo của Splunk phân tách khu lưu trữ dữ liệu, làm cho việc phân tích và tạo bảng điều khiển đơn giản hơn. Giống như nền tảng đám mây của Splunk, Splunk Hunk xử lý dữ liệu không cấu trúc mà không cần định dạng thủ công, điều này rất quan trọng đối với người dùng Hadoop đang làm việc với một lượng lớn dữ liệu thô. Wazuh Wazuh là một nền tảng bảo mật mã nguồn mở mạnh mẽ, được thiết kế để giám sát và phân tích các hoạt động hệ thống. Hệ thống thu thập log từ nhiều nguồn khác nhau như máy chủ, ứng dụng và thiết bị mạng, từ đó xử lý dữ liệu log để nhận diện các dấu hiệu bất thường.

Nó hỗ trợ phát hiện xâm nhập và các mối đe dọa an ninh mạng thông qua các quy tắc và chữ ký bảo mật được cập nhật liên tục. Wazuh cho phép giám sát an ninh theo thời gian thực và kiểm tra đánh giá cấu hình hệ thống nhằm đảm bảo an toàn tối đa. Đồng thời, nó hỗ trợ đánh giá tuân thủ các tiêu chuẩn bảo mật nội bộ và quốc tế, góp phần củng cố tính toàn vẹn của hệ thống. Hình 5: Wazuh Wazuh còn tích hợp với Elasticsearch để lưu trữ dữ liệu log một cách hiệu quả, trong khi Logstash đảm nhận việc xử lý và chuyển đổi dữ liệu trước khi trực quan hóa.

Kibana được sử dụng để tạo dashboard và biểu đồ trực quan, giúp người quản trị theo dõi và phân tích dữ liệu một cách dễ dàng. Wazuh có khả năng mở rộng phù hợp với nhiều quy mô hệ thống, từ doanh nghiệp nhỏ đến các tập đoàn lớn. Người dùng có thể tùy chỉnh cấu hình để đáp ứng các nhu cầu bảo mật riêng biệt, tối ưu hóa hiệu quả bảo vệ hệ thống. Với việc tích hợp các công nghệ tiên tiến và cập nhật liên tục, Wazuh giúp giảm thiểu rủi ro an 21 ninh và nâng cao chất lượng quản lý dữ liệu.

Nền tảng này cung cấp các báo cáo chi tiết về tình trạng an ninh, giúp các nhà quản trị hệ thống có cái nhìn tổng thể. Wazuh hỗ trợ phát hiện sớm các mối đe dọa, từ đó giúp đưa ra các biện pháp xử lý kịp thời. Sự linh hoạt trong cấu hình cho phép tích hợp dễ dàng vào các môi trường CNTT đa dạng. Việc sử dụng Wazuh không chỉ tăng cường hiệu quả quản lý an ninh mạng mà còn tối ưu hóa chi phí bảo mật.

So sánh giữa hệ thống Wazuh và ELK Stack 22 Tiêu chí ELK Stack Wazuh Thu thập, lưu trữ, tìm kiếm và Giám sát an ninh, phát hiện xâm Mục tiêu trực quan hóa log dữ liệu. nhập, đánh giá tuân thủ và bảo vệ hệ thống. Quản lý log, tìm kiếm nhanh, Phát hiện xâm nhập (IDS), giám Chức năng phân tích dữ liệu, trực quan sát tính toàn vẹn file, đánh giá cấu chính hóa. hình bảo mật, kiểm tra tuân thủ.

Elasticsearch: Lưu trữ & tìm Agent Wazuh: Thu thập log từ hệ kiếm dữ liệu. thống cần giám sát. Logstash: Thu thập & xử lý Server Wazuh: Phân tích và xử lý Thành dữ liệu. dữ liệu bảo mật.

phần Kibana: Trực quan hóa dữ Tích hợp ELK Stack để trực quan liệu. hóa dữ liệu bảo mật. Tìm kiếm nhanh trên lượng Xử lý dữ liệu tập trung vào phân Khả năng dữ liệu log lớn, hỗ trợ nhiều tích bảo mật và giám sát an ninh. xử lý định dạng dữ liệu.

Có thể tích hợp với nhiều Tích hợp tốt với ELK Stack, có Tích hợp công cụ phân tích & bảo mật thể kết hợp với SIEM và các công bảo mật khác nhau. cụ bảo mật khác. Tích hợp Không có, phải tích hợp thêm. Tích hợp MITRE ATT&CK, PCI bảo mật DSS.

Mức độ Không chuyên sâu vào bảo Chuyên sâu vào bảo mật với nhiều chuyên sâu mật, chủ yếu phục vụ phân tính năng phát hiện và phòng về bảo mật tích dữ liệu chung. chống mối đe dọa. 23 Tùy vào mục đích công việc của người sử dụng như chuyên về phân tích chuyên sâu về log hay là về bảo mật hệ thống mà người dùng sẽ chọn ELK Stack hoặc Wazuh. ELK Stack sẽ phù hợp với các tổ chức cần một hệ thống phân tích log mạnh mẽ với khả năng tìm kiếm nhanh và trực quan hóa dữ liệu tốt.

Wazuh sẽ là lựa chọn lý tưởng cho các doanh nghiệp cần giám sát bảo mật, phát hiện xâm nhập và đảm bảo tuân thủ các tiêu chuẩn an toàn thông tin. Tổng quan về Wazuh 2. Khái niệm về Wazuh Wazuh là một nền tảng bảo mật mã nguồn mở - miễn phí tập hợp các công cụ EDR và SIEM. Nó bảo vệ hệ thống trên các môi trường nội bộ, ảo hóa, container và đám mây.

Wazuh cung cấp các tính năng cần thiết để phát hiện các mối đe dọa phổ biến như tấn công từ chối dịch vụ, scan hệ thống, tấn công dò tìm lỗ hổng và tấn công tràn bộ đệm. Hình 6: Các thành phần dựng lên Wazuh 2. Kiến trúc của Wazuh Kiến trúc Wazuh dự trên các agent chạy trên các máy chủ được giám sát để chuyển tiếp log đến một máy chủ trung tâm. Các thiết bị khác có thể chủ động gửi log thông qua syslog để chuyển dữ liệu đến máy chủ trung tâm.

Máy chủ trung tâm giải mã và phân tích thông tin đến và chuyển các kết quả đến cụm Elasticsearch để lập chỉ mục và lưu trữ. Single node deployment Wazuh và Elastic stack chạy với 1 single-node Elasticsearch cluster (số lượng agent nhỏ hơn 50), có thể triển khai trên một single server. Ở triển khai này, 24 Logstash sẽ đọc các cảnh báo, event từ Wazuh trực tiếp từ file system của nó và đẩy chúng tới Elasticsearch instance nội bộ. Hình 7: Sigle node 2.

Multi node deployment Khi Wazuh server và Elasticsearch cluster chạy trên các host khác nhau, Filebeat được dùng để truyền một cách an toàn các cảnh báo, sự kiện lưu trữ dữ liệu tới máy chủ Elasticsarch sử dụng TLS. Chú ý rằng cụm multi-node sẽ là máy chủ multiple Elastic Stack. Hình 8: Multi node 2. Các thành phần chính trong Wazuh Hình 9: Thành phần của Wazuh 25 2.

Wazuh indexer Wazuh Indexer là một công cụ phân tích và tìm kiếm toàn văn có khả năng mở rộng cao. Đây là một thành phần trung tâm trong hệ thống Wazuh, có nhiệm vụ lập chỉ mục và lưu trữ các cảnh báo được tạo ra bởi Wazuh Server. Dữ liệu trong Wazuh Indexer được lưu trữ dưới định dạng JSON, trong đó mỗi tài liệu tương ứng với một tập hợp các khóa, tên trường hoặc thuộc tính cùng với giá trị tương ứng. Các giá trị này có thể là chuỗi ký tự, số, giá trị boolean, ngày giờ, mảng, tọa độ địa lý hoặc các kiểu dữ liệu khác.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ