MỞ ĐẦU Với sự phát triển và nhu cầu nâng cao đối với tính chất đảm bảo an ninh cho hệ thống mạng, các doanh nghiệp đang phải đối mặt với một lượng lớn dữ liệu log từ các hệ thống khác nhau như máy chủ, ứng dụng và thiết bị mạng. Việc quản lý và xử lý lượng log này trở nên khó khăn, chúng em nhận ra rằng cần một giải pháp hiệu quả hơn để kiểm soát, phân tích và lưu trữ log một cách hiệu quả. Mục tiêu chính của chúng em là ứng dụng và triển khai hệ thống quản lý log tập trung bằng Graylog để cải thiện khả năng theo dõi và phân tích log. Chúng em hy vọng sẽ hình thành một giải pháp giúp rút ngắn thời gian phản ứng đối với sự cố bảo mật, tối ưu hóa tài nguyên hệ thống và tăng cường khả năng giám sát.
Tập trung khai thác các vấn đề tổng quan liên quan đến các hệ thống quản lý log nói chung và ứng dụng Graylog nói nói riêng. Đối tượng chính trong quá trình thực hiện là Graylog, các thông tin tổng quan, kiến trúc, quá trình thu thập và phân tích, xử lý Log cũng như cách thức triển khai hệ thống quản lý Log tập trung bằng Graylog. Graylog là một nền tảng quản lý và phân tích dữ liệu sự kiện mã nguồn mở miễn phí đáp ứng được những nhu cầu cơ bản và nâng cao trong việc phân tích, xử lý và truy cập dữ liệu sự kiện. Việc thực hiện tìm hiểu để tài mang lại nhiều ý nghĩa cho khoa học và thực tiễn.
Việc nghiên cứu, tìm hiểu cho các nhìn tổng quan cũng như tăng thêm hiểu biết về cách thức hoạt động của các hệ thống quản lý dữ liệu sự kiện, việc tối ưu hóa quá trình thu thập và phân tích các sự kiện cũng như giám sát, đưa ra các sự kiện cảnh báo để cho ra một cái nhìn trực quan về cách thức cũng như quá trình hoạt động của các hệ thống quản lý sự kiện nói chung và của Graylog nói riêng. TỔNG QUAN VỀ HỆ THỐNG QUẢN LÝ LOG 1. Tổng quan về bản ghi sự kiện (log) 1. Khái niệm về log Log (hay còn gọi là bản ghi sự kiện) là bản ghi lại các sự kiện xảy ra trong hệ thống và mạng của tổ chức.
Nhật ký là bao gồm các mục nhật ký; mỗi mục chứa thông tin liên quan đến một sự kiện cụ thể đã xảy ra trong một hệ thống hoặc mạng. Ban đầu, nhật ký được sử dụng chủ yếu để khắc phục sự cố, nhưng nhật ký hiện phục vụ nhiều chức năng trong hầu hết các tổ chức, chẳng hạn như tối ưu hóa hệ thống và mạng hiệu suất, ghi lại hành động của người dùng và cung cấp dữ liệu hữu ích để điều tra hoạt động độc hại. Trong một tổ chức, nhiều nhật ký chứa các bản ghi liên quan đến bảo mật máy tính; ví dụ phổ biến về các nhật ký bảo mật máy tính này là nhật ký kiểm tra theo dõi các nỗ lực xác thực của người dùng và nhật ký thiết bị bảo mật ghi lại các cuộc tấn công có thể xảy ra. Các bản ghi sự kiện bảo mật của thiết bị Các thiết bị thường sử dụng hay được triển khai trong hệ thống mạng đều hoạt động theo dạng Network-based hay Host-based với mục đích chính là giám sát quá trình hoạt động của hệ thống mạng, các thiết bị trong môi trường mạng nhằm bảo vệ dữ liệu và phản ứng nếu xảy ra các tình huống rủi ro an ninh đến hệ thống.
các thiết bị có thể kể đến như tường lưa (Firewall), các hệ thống phát hiện và phòng chống xâm nhập (IDS, IPS), thiết bị định tuyến (Router), các thiết bị xác thực (Authentication Servers) và nhiều thiết bị khác trong hệ thống mạng. 3 Hình TỔNG QUAN VỀ HỆ THỐNG QUẢN LÝ LOG-1. Ví dụ về một bản ghi sự kiện của tường lửa tích hợp trên hệ điều hành Windows Hình TỔNG QUAN VỀ HỆ THỐNG QUẢN LÝ LOG-2. Một ví dụ khác về bản ghi sự kiện của ứng dụng phát hiện và phòng chống xâm nhập Snort.
Hình TỔNG QUAN VỀ HỆ THỐNG QUẢN LÝ LOG-3. Ví dụ về một bản ghi sự kiện của tường lửa mã nguồn mở pfsense. Các bản ghi sự kiện của hệ điều hành Hệ điều hành (hay Operating System) là một phần mềm hệ thống quản lý tài nguyên và phần cứng của mính tính, đóng vai trò là cầu nối quan trọng trong quá trình giao tiếp giữa phần cứng và phần mềm. Các bản ghi sự kiện của hệ điều hành thường chứa những thông tin liên quan đến các vấn đề về bảo mật, thường nằm trong hai vấn đề là : sự kiện hệ thống (System Events) và hồ sơ kiểm toán (Audit Records).
Sự kiện hệ thống (hay là System Events) : là các hoạt động được thực thi bởi các thành phần của OS, các sự kiện đều có thời gian, nội dung hoạt động và dịch vụ hay thành phần liên quan tạo nên sự kiện ấy. Các hồ sơ kiểm toán (Audit Records) : thường là chứa các thông tin về sự kiện an ninh hệ thống về thất bại hay thành công của xác thực và nhiều hoạt động khác. Hình TỔNG QUAN VỀ HỆ THỐNG QUẢN LÝ LOG-4. Ví dụ minh họa cho bản ghi sự kiện của Windows, được sử dụng thông qua Windows Event Log.
Các bản ghi sự kiện của ứng dụng Các ứng dụng khi thiết kế hoặc hoạt động có thể tạo ra các bản ghi sự kiện riêng hay theo các chuẩn thiết kế dành cho các bản ghi. Các thông tin trong bản ghi thường là tình trạng hoạt động của chức năng mà chương trình đó thực thi, có thể như : tình trạng của tài khoản, bộ nhớ sử dụng, tình trạng các hoạt động và nhiều hoạt khác. Hình TỔNG QUAN VỀ HỆ THỐNG QUẢN LÝ LOG-5. Ví dụ minh cho bản ghi sự kiện access của ứng dụng apache trong access.log, thể hiện thông tin của thiết bị sử dụng trang web truy cập.
6 Hình TỔNG QUAN VỀ HỆ THỐNG QUẢN LÝ LOG-6. Ví dụ minh họa cho các bản ghi sự kiện dành cho ứng dụng, thể hiện thông qua Window Event Log. Tổng quan về hệ thống quản lý log 1. Kiến trúc chung của hệ thống quản lý log Một kiến trúc chung của một hệ thống quản lý Log thường sẽ có 3 thành phần chính: nguồn khởi tạo Log, Bộ phận quản lý và phân tích log, bộ phận giám sát hoạt động của Log.
Bộ phận khởi tạo Log : thường là các nơi tạo nên các Log, hệ điều hành, ứng dụng, chương trình, dịch vụ và nhiều hình thức khác. Các log được tạo nên và sử dụng các dịch vụ để chuyển các bản ghi sự kiện thu thập được đến một bộ phận thu thập Log, đây thường là chức năng chính của các hệ thống quản lý Log tập trung. Bộ phận quản lý Log (phân tích và lưu trữ) : thành phần tiếp nhận các Log từ các nguồn được thiết lập. Đây có thể là bộ phận quan trọng nhất trong hệ thống, các dữ liệu sau khi được tiếp nhận sẽ được phân tích tùy theo thiết lập, phân loại theo nhu cầu và lưu trữ trong các cơ sở dữ liệu.
Thành phần này cũng được tích hợp các biện pháp an ninh để tăng cường tính xác thực của các dự liệu được gửi đi và về, đảm bảo hạn chế ít nhất khả năng xảy ra tình trạng mất hoặc dữ liệu bị thay đổi. Bộ phận giám sát Log : thường sẽ là các hoạt động tiếp theo sau khi tiếp nhận Log và phận tích, ví dụ như có thể thiết lập các cảnh báo tùy theo luật áp dụng, nếu như Log thu thập các yếu tố trùng khớp với các bộ luật thì cảnh báo có thể phát ra và hiển thị cho người quản trị. Ngoài ra thì bộ phận giám sát còn tổng hợp và tạo nên các bản báo cáo, góp phần nâng cáo tính kiểm soát cho người quản trị. Giao thức gửi và nhận nhật kí hệ thống Syslog (System Logging Protocol) Syslog (hay System Logging Protocol) là một giao thức tiêu chuẩn được sử dụng để gửi nhật kí hệ thống hoặc thông báo sự kiện đến một máy chủ cụ thể, được gọi là một máy chủ hệ thống hay là một Syslog Server.
Syslog gửi nội dung thông báo đến các Ssylog Server, nội dung gửi đi là một định dạng tiêu chuẩn chứa 3 yếu tố : Tiêu đề (Header), tính chất của nội dung (PRI) và nội dung của thông báo (MSG) PRI : là phần thể hiện mức độ nghiêm trọng và là đại diện cho cơ sở sinh ra log. Thực hiện theo công thức PRI = Facility Number (tức nơi sinh ra log) * 8 + Security Number (tức mức độ). HEADER : là phần chứa thông tin định dạng, gồm 2 thành phần chính : TIMESTAMP và HOSTNAME, TIMESTAMP là thời gian tạo nên Log, thường là được đồng bộ với một máy chủ thời gian (NTP Server), HOSTNAME là tên hay IP của máy tạo ra Log. MSG : là nơi chứa lời nhắn, thông tin về quá trình tạo ra log, gồm Tag Field và Content Field.
Hình TỔNG QUAN VỀ HỆ THỐNG QUẢN LÝ LOG-7. Ví dụ minh họa của ứng dụng Kiwi Syslog, máy chủ Syslog tiếp nhận các thông báo sự kiện từ nhiều nguồn. Hệ thống quản lý dự liệu và sự kiện tập trung SIEM (Security Information and Event Management Software) SIEM (hay là Security Information and Event Management) là Thông tin bảo mật và quản lý sự kiện (SIEM) là một tiểu mục trong lĩnh vực bảo mật máy tính, nơi các sản phẩm và dịch vụ phần mềm kết hợp quản lý thông tin bảo mật (SIM) và quản lý sự kiện bảo mật (SEM), cung cấp phân tích thời gian thực về các cảnh báo bảo mật do các ứng dụng và phần cứng tạo ra.Các tính năng cơ bản như : Quản lý nhật ký: Tập trung vào việc thu thập và lưu trữ đơn giản các thông báo nhật ký và các dấu vết kiểm tra Quản lý thông tin bảo mật (SIM): Lưu trữ lâu dài cũng như phân tích và báo cáo dữ liệu nhật ký. Trình quản lý sự kiện bảo mật (SEM): Giám sát thời gian thực, mối tương quan của các sự kiện, thông báo và chế độ xem bảng điều khiển.
Thông tin bảo mật và quản lý sự kiện (SIEM): Kết hợp SIM và SEM và cung cấp phân tích thời gian thực về các cảnh báo bảo mật do phần cứng và ứng dụng mạng tạo ra. Với tính năng đầu là tiếp nhận các Log từ nhiều nguồn nên hướng tiếp cận có thể thông qua 2 hướng chính, Agent-based hay Agenless. Agent-based là một hướng thu thập các Log từ các máy được giám sát thông qua một ứng dụng hay chương trình được cài đặt trên máy hay hệ thống được giám sát.