Khóa Luận Tốt Nghiệp: Triển Khai Giải Pháp SIEMSOAR Phân Tích & Phản Hồi Sự Cố An Toàn Thông Tin

LỜI CẢM ƠN

1. CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI

2. CHƯƠNG 2: SIEM — Security Information and Event Management

2.1. Tổng quan về SIEM và các công nghệ phổ biến

2.2. Các chức năng của Wazuh trong thực tiễn

2.3. SOAR - Security Orchestration Automation and Response

2.4. Tổng quan về SOAR và các công nghệ phổ biến

3. PHƯƠNG PHÁP TRIỂN KHAI CỦA HỆ THỐNG

3.1. Phương pháp giám sát thiết bị

3.2. Phương pháp phân tích sự kiện bảo mật

3.3. Phân tích sự kiện bảo mật tại SIEM

3.4. Phương pháp thiết lập Rule (quy tắc) trong Wazuh-Server

3.5. Minh họa việc thiết lập Rule (quy tắc) trong Wazuh-Server

3.6. Các vấn đề liên quan đến thiết lập Rule (quy tắc) trong Wazuh-Server và hướng giảm thiểu đề xuất

3.7. Phân tích sự kiện bảo mật tại SIRP (TheHive)

3.8. Phương pháp tích hợp SIEM (Wazuh-Server) và SIRP (TheHive)

3.9. Phương pháp phản hồi và tự động hóa các tác vụ

3.9.1. Phương pháp phản hồi thông tin

3.9.2. Phương pháp phản hồi bằng cách gọi API REST Wazuh-Server

3.9.3. Phương pháp tự động hóa tác vụ

3.10. Phương pháp tích hợp mô hình SIEM-SOAR

4. TRIỂN KHAI GIẢI PHÁP

4.1. Mô hình triển khai

4.2. Quy trình triển khai

4.3. Triển khai máy SIEM

4.4. Triển khai Wazuh-Server, Wazuh-Indexer, Wazuh-Dashboard

4.5. Triển khai Wazuh-Agent trên UDUNU

4.6. Triển khai Wazuh-Agent trên Windows

4.7. Triển khai máy SOAR

4.8. Triển khai TIP (Cortex)

4.9. Tích hợp SIRP (TheHive) và TIP (Cortex)

4.10. Tích hợp SIRP (TheHive) và SIEM (Wazuh-Server)

4.11. Thực nghiệm sự vận hành SIEM-SOAR với các ngữ cảnh thực tế

4.11.1. Phát hiện đăng nhập SSH vào máy WebServer Public

4.11.2. Phát hiện tấn công vét cạn SSH vào WebServer Public

4.11.3. Phát hiện đăng nhập SSH vào Router từ Kali Linux nội bộ

4.11.4. Phát hiện tấn công vét cạn Remote Desktop vào Windows từ Kali Linux

4.11.5. Theo dõi tính toàn vẹn của tập tin trên Windows

4.11.6. Phát hiện, chặn IP của tấn công khai thác lỗ hổng ShellShock trên máy WebServer nội bộ

4.11.7. Phát hiện và chặn IP của tấn công SQL Injection vào máy WebServer Public

4.11.8. Phát hiện và xóa mã độc khỏi máy WebServer Public bằng cách tích hợp Virus Total

4.11.9. Vận dụng NIDS Snort để phát hiện mối đe dọa trong nội bộ

4.11.10. Tự động phân tích IP nguy hiểm từ bên ngoài vào máy WebServer Public và phản hồi thông tin về kết quả phân tích cho người dùng trong tổ chức

5. CHƯƠNG 5: ĐÁNH GIÁ CHUNG VÀ HƯỚNG PHÁT TRIỂN

TÀI LIỆU THAM KHẢO

I. Giới thiệu đề tài

Khóa luận tốt nghiệp này tập trung vào việc triển khai giải pháp SIEMSOAR để phân tích và phản hồi sự cố an toàn thông tin. Với sự phát triển của công nghệ, các mối đe dọa an ninh mạng ngày càng phức tạp, đòi hỏi các giải pháp hiệu quả để quản lý và xử lý sự cố. Mục tiêu của đề tài là xây dựng một hệ thống tích hợp SIEM và SOAR, giúp tự động hóa quy trình phát hiện, phân tích và phản hồi các sự cố bảo mật. Phạm vi nghiên cứu bao gồm môi trường mô phỏng doanh nghiệp với các thiết bị như máy chủ, máy khách và router có IDS hỗ trợ.

1.1 Lý do chọn đề tài

Sự gia tăng các mối đe dọa an ninh mạng đã thúc đẩy nhu cầu về các giải pháp quản lý sự cố hiệu quả. Khóa luận tốt nghiệp này nhằm giải quyết vấn đề bằng cách triển khai giải pháp SIEMSOAR, giúp tự động hóa quy trình phân tích sự cố và phản hồi sự cố. Điều này giúp giảm thiểu thời gian và công sức của các chuyên gia bảo mật trong việc xử lý thủ công các sự cố.

1.2 Mục tiêu đề tài

Mục tiêu chính của đề tài là triển khai một hệ thống tích hợp SIEM và SOAR để phân tích dữ liệu và phản hồi sự cố một cách tự động. Hệ thống này sẽ giúp các chuyên gia bảo mật giám sát, phân tích và phản hồi các sự cố an toàn thông tin một cách hiệu quả, đồng thời giảm thiểu rủi ro từ các mối đe dọa bảo mật.

II. Tổng quan về SIEM và SOAR

SIEM (Security Information and Event Management) là giải pháp kết hợp giữa SIM (Security Information Management) và SEM (Security Event Management), giúp thu thập, tổng hợp và phân tích các sự kiện bảo mật. SOAR (Security Orchestration, Automation, and Response) là giải pháp tự động hóa quy trình phản hồi sự cố. Trong đề tài này, Wazuh được sử dụng làm hệ thống SIEM, trong khi TheHive và Cortex được tích hợp để thực hiện các chức năng SOAR.

2.1 SIEM Wazuh

Wazuh là một hệ thống HIDS (Host-based Intrusion Detection System) và XDR (Extended Detection and Response), cung cấp khả năng giám sát và phát hiện các mối đe dọa trên nhiều nền tảng. Wazuh bao gồm các thành phần chính như Wazuh-Agent, Wazuh-Server, Wazuh-Indexer và Wazuh-Dashboard, giúp thu thập và phân tích dữ liệu từ các thiết bị trong hệ thống.

2.2 SOAR TheHive và Cortex

TheHive là một nền tảng SIRP (Security Incident Response Platform) giúp quản lý và phản hồi các sự cố bảo mật. Cortex là một nền tảng TIP (Threat Intelligence Platform) hỗ trợ phân tích và xử lý các mối đe dọa. Sự kết hợp giữa TheHive và Cortex cho phép tự động hóa quy trình phản hồi sự cố, giúp giảm thiểu thời gian xử lý và nâng cao hiệu quả bảo mật.

III. Triển khai giải pháp SIEMSOAR

Quy trình triển khai giải pháp SIEMSOAR bao gồm việc cài đặt và cấu hình các thành phần của Wazuh, TheHive và Cortex. Hệ thống được triển khai trên môi trường mô phỏng doanh nghiệp, bao gồm các máy chủ, máy khách và router có NIDS Snort hỗ trợ. Các Wazuh-Agent được cài đặt trên các thiết bị để thu thập dữ liệu và gửi về Wazuh-Server để phân tích. TheHive và Cortex được tích hợp để tự động hóa quy trình phản hồi sự cố.

3.1 Triển khai Wazuh

Quy trình triển khai Wazuh bao gồm việc cài đặt Wazuh-Server, Wazuh-Indexer và Wazuh-Dashboard trên máy chủ. Các Wazuh-Agent được cài đặt trên các máy khách và máy chủ để thu thập dữ liệu. Các quy tắc (Rule) được thiết lập trong Wazuh-Server để phát hiện các sự kiện bảo mật và tạo cảnh báo.

3.2 Tích hợp TheHive và Cortex

TheHive và Cortex được tích hợp với Wazuh để tự động hóa quy trình phản hồi sự cố. Các cảnh báo từ Wazuh được gửi đến TheHive để phân tích và xử lý. Cortex được sử dụng để phân tích các mối đe dọa và cung cấp thông tin phản hồi. Quy trình này giúp giảm thiểu thời gian xử lý và nâng cao hiệu quả bảo mật.

IV. Thực nghiệm và đánh giá

Các thực nghiệm được thực hiện để kiểm tra khả năng hoạt động của giải pháp SIEMSOAR. Các kịch bản thử nghiệm bao gồm phát hiện đăng nhập SSH, tấn công vét cạn, và phát hiện mã độc. Kết quả cho thấy hệ thống có khả năng phát hiện và phản hồi các sự cố bảo mật một cách hiệu quả. Hệ thống cũng được đánh giá về khả năng tự động hóa và giảm thiểu thời gian xử lý sự cố.

4.1 Kết quả thực nghiệm

Các thực nghiệm cho thấy giải pháp SIEMSOAR có khả năng phát hiện và phản hồi các sự cố bảo mật như đăng nhập SSH bất thường, tấn công vét cạn, và mã độc. Hệ thống cũng tự động hóa quy trình phản hồi, giúp giảm thiểu thời gian xử lý và nâng cao hiệu quả bảo mật.

4.2 Đánh giá hiệu quả

Hệ thống được đánh giá cao về khả năng tự động hóa và giảm thiểu thời gian xử lý sự cố. Tuy nhiên, việc cấu hình các quy tắc trong Wazuh và tích hợp các thành phần của hệ thống đòi hỏi kiến thức chuyên sâu. Đề tài cũng đề xuất hướng phát triển trong tương lai, bao gồm cải thiện khả năng phân tích và mở rộng hệ thống.

Khóa Luận Tốt Nghiệp: Triển Khai Giải Pháp SIEMSOAR Để Phân Tích Và Phản Hồi Sự Cố An Toàn Thông Tin