I. Giới thiệu về Hệ thống SIEM và Wazuh
SIEM (Security Information and Event Management) là một giải pháp toàn diện để quản lý an ninh thông tin trong các tổ chức. Hệ thống này tích hợp giám sát log, phân tích lưu lượng mạng và phát hiện các mối đe dọa bảo mật để bảo vệ cơ sở hạ tầng IT. Wazuh là một nền tảng SIEM mã nguồn mở được thiết kế để cung cấp giám sát toàn diện, phát hiện mối đe dọa và ứng phó sự cố một cách hiệu quả. Đồ án này tập trung vào việc triển khai hệ thống SIEM bằng Wazuh nhằm nâng cao khả năng phòng chống các cuộc tấn công mạng ngày càng phức tạp. Wazuh cung cấp các tính năng mạnh mẽ như phát hiện xâm nhập, quản lý lỗ hổng bảo mật và tự động hóa xử lý sự cố, giúp tổ chức giảm thiểu rủi ro an ninh.
1.1. Khái niệm và vai trò của SIEM
SIEM là công cụ quan trọng trong chiến lược bảo mật thông tin của tổ chức. Nó thu thập, phân tích và tương quan các sự kiện bảo mật từ nhiều nguồn khác nhau như máy chủ, tường lửa, IDS/IPS. Hệ thống này giúp phát hiện các hoạt động bất thường, xâm phạm an ninh và cho phép các chuyên gia bảo mật ứng phó kịp thời với các mối đe dọa tiềm ẩn.
1.2. Kiến trúc và thành phần chính của Wazuh
Kiến trúc Wazuh bao gồm ba thành phần chính: Wazuh Manager (máy chủ trung tâm), Wazuh Agent (cài đặt trên máy khách), và Wazuh Dashboard (giao diện người dùng). Manager xử lý dữ liệu và phát hiện mối đe dọa, Agent thu thập sự kiện, còn Dashboard cung cấp trực quan hóa dữ liệu chi tiết về tình hình bảo mật.
II. Quy trình Cài đặt và Triển khai Wazuh
Triển khai hệ thống SIEM Wazuh đòi hỏi một quy trình chuẩn bị kỹ lưỡng và tuân theo các bước nhất định. Trước tiên, cần chuẩn bị môi trường với các yêu cầu phần cứng, hệ điều hành (Windows Server, Debian Linux) và công cụ ảo hóa (VMware Workstation Pro). Quá trình cài đặt Wazuh Manager trên máy chủ trung tâm là bước quan trọng, theo đó là cài đặt và cấu hình Wazuh Agent trên các máy khách. Đồ án này tài liệu hóa chi tiết từng bước cài đặt, cấu hình các tính năng chính như giám sát log, phát hiện lỗ hổng CVE, quản lý sự kiện container, và tích hợp với các công cụ bảo mật khác như Suricata IDS và ELK Stack.
2.1. Các bước cài đặt Wazuh Manager
Cài đặt Wazuh Manager bắt đầu bằng cách chuẩn bị hệ điều hành Debian Linux, cài đặt các gói phụ thuộc cần thiết và tải xuống bản Wazuh phù hợp. Sau đó, khởi động các dịch vụ Wazuh và truy cập Dashboard thông qua giao diện web. Cấu hình các tham số mạng, bảo mật (chứng chỉ SSL/TLS) và kết nối với các Agent là các bước tiếp theo.
2.2. Cấu hình Wazuh Agent trên Windows và Linux
Cấu hình Wazuh Agent khác nhau tùy theo hệ điều hành. Trên Windows, agent thu thập sự kiện từ Event Viewer, phần mềm cài đặt, và các bộ nhớ cache. Trên Linux, agent theo dõi các tệp log hệ thống, quyền truy cập tệp và hoạt động tiến trình. Mỗi Agent cần kết nối an toàn với Manager sử dụng chứng chỉ xác thực để đảm bảo tính toàn vẹn dữ liệu.
III. Các Tính năng Nâng cao và Tích hợp
Wazuh cung cấp nhiều tính năng nâng cao để nâng cao hiệu quả phát hiện mối đe dọa và xử lý sự cố. Giám sát toàn vẹn tệp (File Integrity Monitoring) theo dõi các thay đổi trong tệp hệ thống, phát hiện các sửa đổi trái phép. Quản lý lỗ hổng bảo mật (Vulnerability Management) kết hợp dữ liệu CVE để xác định các máy chủ dễ bị tấn công. Phản hồi chủ động (Active Response) tự động thực hiện các biện pháp ứng phó như khóa tài khoản hoặc chặn kết nối. Đồ án cũng tích hợp VirusTotal API để kiểm tra các tệp nghi ngờ, Suricata IDS để phân tích lưu lượng mạng, ELK Stack để lưu trữ và phân tích dữ liệu, và hệ thống cảnh báo gửi thông báo qua Telegram và Gmail.
3.1. Giám sát Toàn vẹn Tệp FIM và Phát hiện Lỗ hổng CVE
FIM là tính năng quan trọng giúp theo dõi các thay đổi trong tệp hệ thống, tệp cấu hình và các tệp nhị phân. Khi phát hiện thay đổi trái phép, hệ thống sẽ cảnh báo ngay lập tức. Phát hiện lỗ hổng CVE tự động quét các máy chủ Agent, so sánh với cơ sở dữ liệu CVE toàn cầu để xác định các lỗ hổng tiềm ẩn và mức độ nghiêm trọng.
3.2. Tích hợp VirusTotal Suricata IDS và ELK Stack
Tích hợp VirusTotal API cho phép kiểm tra các tệp và URL nghi ngờ với hơn 70 engine antivirus. Suricata IDS được tích hợp để phát hiện các cuộc tấn công ở tầng mạng dựa trên các chữ ký tấn công. ELK Stack (Elasticsearch, Logstash, Kibana) mở rộng khả năng lưu trữ và visualize dữ liệu bảo mật, cho phép phân tích sâu hơn các sự kiện bảo mật.
IV. Mô phỏng Tấn công và Kết quả Đạt được
Đồ án thực hiện các kịch bản mô phỏng tấn công (attack simulation) để kiểm chứng hiệu quả của hệ thống SIEM Wazuh. Các cuộc tấn công được mô phỏng bao gồm tấn công Brute-Force (nhiều lần nhập sai mật khẩu), SQL Injection (chèn mã độc vào cơ sở dữ liệu), malware detection (phát hiện tệp nhị phân nghi ngờ), và hidden process detection (phát hiện tiến trình ẩn). Mỗi kịch bản được giám sát kỹ lưỡng để xác nhận khả năng phát hiện của Wazuh. Kết quả cho thấy hệ thống thành công trong việc phát hiện các mối đe dọa theo thời gian thực và ứng phó tự động với các sự kiện bảo mật. Nhóm đã hoàn thành triển khai mô hình mạng đầy đủ, nắm vững các tính năng của Wazuh, và có khả năng xử lý các lỗi xảy ra trong môi trường thực.
4.1. Các Kịch bản Tấn công và Phát hiện
Tấn công Brute-Force được mô phỏng bằng cách cố gắng đoán mật khẩu nhiều lần. Wazuh phát hiện và cảnh báo khi vượt quá ngưỡng thất bại. SQL Injection được kiểm tra bằng cách chèn mã SQL vào các trường nhập liệu, hệ thống phát hiện hoạt động bất thường này. Phát hiện tệp nhị phân kiểm tra các tệp thực thi nghi ngờ qua VirusTotal API, xác định malware tiềm ẩn.
4.2. Hiệu quả và Hướng phát triển Tương lai
Hệ thống SIEM Wazuh đã chứng minh hiệu quả cao trong phát hiện và ứng phó các mối đe dọa bảo mật. Các kết quả thực nghiệm cho thấy độ chính xác cao trong phát hiện mối đe dọa và tốc độ ứng phó nhanh chóng. Hướng phát triển tương lai bao gồm tích hợp machine learning để cải thiện độ chính xác, mở rộng quy mô giám sát, và tối ưu hóa hiệu suất hệ thống cho các môi trường lớn.