Đang tải... (xem toàn văn)
MozDef Mozilla Defense Platform Siem. Research tiếng việt, setup, demo. It’s easiest to describe The Mozilla Defense Platform (MozDef) as a set of microservices you can use as an open source Security Information and Event Management (SIEM) overlay on top of Elasticsearch. Why? The inspiration for MozDef comes from the large arsenal of tools available to attackers. Open source suites like metasploit, armitage, lair, dradis and others are readily available to help attackers coordinate, share intelligence and finely tune their attacks in real time. Open source options for defenders are usually limited to wikis, ticketing systems and manual tracking databases attached to the end of a commercial SIEM. The Mozilla Defense Platform (MozDef) seeks to automate the security incident handling process and facilitate the realtime activities of incident handlers. Goals High level Provide a platform for use by defenders to rapidly discover and respond to security incidents Automate interfaces to other systems like firewalls, cloud protections and anything that has an API Provide metrics for security events and incidents Facilitate realtime collaboration amongst incident handlers Facilitate repeatable, predictable processes for incident handling Go beyond traditional SIEM systems in automating incident handling, information sharing, workflow, metrics and response automation
BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG - BÁO CÁO THỰC TẬP TỐT NGHIỆP ĐẠI HỌC Đề tài: Nghiên cứu giải pháp SIEM dựa Mozilla Defense Platform Người hướng dẫn Sinh viên thực Mã số sinh viên Lớp Khóa Hệ : ThS NGUYỄN HỒNG THÀNH : NGUYỄN MẠNH THÌN : N18DCAT085 : D18CQAT01-N : 2018 – 2023 : ĐẠI HỌC CHÍNH QUY TP.HCM, THÁNG NĂM 2023 BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG - BÁO CÁO THỰC TẬP TỐT NGHIỆP ĐẠI HỌC Đề tài: Nghiên cứu giải pháp SIEM dựa Mozilla Defense Platform Người hướng dẫn Sinh viên thực Mã số sinh viên Lớp Khóa Hệ : ThS NGUYỄN HỒNG THÀNH : NGUYỄN MẠNH THÌN : N18DCAT085 : D18CQAT01-N : 2018 – 2023 : ĐẠI HỌC CHÍNH QUY TP.HCM, THÁNG NĂM 2023 MỞ ĐẦU Sự phát triển cách mạng công nghiệp 4.0 khiến cho thông tin trở thành thứ giá trị Việc bảo mật thông tin quản lý hệ thống phần thiếu thời đại Các doanh nghiêp, tổ chức có nhu cầu quản lý mạng nội giữ cho thông tin bảo vệ cách chặt chẽ để tránh cho thông tin bị rị rỉ hay bị tin tặc cơng Thông qua việc sử dụng biện pháp phát hiện, ngăn chặn sớm an tồn tổ chức củng cố Thông qua đề tài “Nghiên cứu giải pháp SIEM dựa Mozilla Defense Platform” thân Em mong muốn tìm hiểu chuyên sâu triển khai kiến trúc MozDef áp dụng cho việc học tập, nghiên cứu áp dụng vào thực tế Từ nâng cao trình độ kiến thức thân, khơng cịn nguồn tài liệu để mang lại giá trị cho hệ kế cận có nhu cầu tìm hiểu kiến thức có đề tài Tuy nhiên, thời gian kiến thức cịn hạn chế nên q trình làm đề tài em tránh khỏi thiếu xót, kính mong nhận thời nhận xét góp ý q thầy Mục tiêu: - Tìm hiểu Mozilla Defense Platform - Nắm ý nghĩa cách áp dụng - Tìm hiểu cách triển khai hệ thống thử nghiệm trường hợp mẫu Phương pháp nghiên cứu: - Về mặt lý thuyết: Thu thập, tìm hiểu tài liệu mẫu, mã nguồn mở có liên quan đến đề tài Tham khảo nguồn nghiên cứu, triển khai thực trước đó, ứng dụng để phát triển hệ thống thử nghiệm - Về mặt thử nghiệm: Thực cài đặt dịch vụ máy ảo CentOS, xây dựng mơ hình triển khai, áp dụng kịch để thử nghiệm hệ thống i LỜI CẢM ƠN Lời đầu tiên, em xin phép gửi lời tri ân sâu sắc đến thầy cô trường Học Viện Cơng Nghệ Bưu Chính Viễn Thơng sở thành phố Hồ Chí Minh tận tình dẫn dắt truyền đạt cho em nhiều kiến thức quý báu trong năm học vừa qua Đặc biệt, em xin gửi lời cảm ơn chân thành tới Thạc sĩ Nguyễn Hoàng Thành Thầy truyền đạt kiến thức, hướng dẫn em nghiên cứu thực hành suốt q trình thực đề tài Em khơng tiếp thu thêm nhiều kiến thức mà học tinh thần thái độ làm việc nghiêm túc từ thầy Đó hành trang cần thiết cho trình làm việc tương lai Em xin chân thành cảm ơn ban lãnh đạo chấp nhận cho em có hội thực tập tạo điều kiện cho em tham gia học hỏi, áp dụng kiến thức vào thực tế mà em học trường, tận tình dạy em q trình thực tập q cơng ty Em hết lòng biết ơn quan tâm ủng hộ gia đình bạn bè Đó nguồn động viên tinh thần lớn để theo đuổi hồn thành báo cáo Vì lần đầu em tiếp xúc với môi trường làm việc thực tế công ty nên cách thức làm việc thực em khơng tránh khỏi thiếu sót Em mong nhận thơng cảm đóng góp ý kiến q thầy nhà trường, anh/chị quản lý, đồng nghiệp phía cơng ty Sau cùng, em xin chúc Quý thầy cô khoa Công nghệ thông tin đặc biệt thầy Nguyễn Hoàng Thành thật dồi sức khỏe để tiếp tục truyền đạt kiến thức cho hệ mai sau ii MỤC LỤC MỞ ĐẦU i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC KÝ HIỆU VIẾT TẮT, TIẾNG ANH v DANH MỤC CÁC BẢNG VẼ vii DANH MỤC CÁC HÌNH VẼ .vii CHƯƠNG GIỚI THIỆU TỔNG QUAN HỆ THỐNG SIEM 1.1 Giới thiệu 1.2 Lịch sử phát triển 1.3 Mục đích tính 10 1.4 Các thành phần hệ thống SIEM 11 1.5 Một số hệ thống SIEM phổ biến 12 1.5.1 Splunk 12 1.5.2 IBM QRADAR 13 1.5.3 SolarWinds 13 1.5.4 McAfee 14 1.5.5 Sophos .15 1.5.6 Mozdef 15 CHƯƠNG TỔNG QUAN VỀ MOZDEF 17 2.1 Giới thiệu lịch sử phát triển 17 2.2 Các thành phần MozDef 18 2.3 Kiến trúc hoạt động 21 2.3.1 Thu thập kiện 21 2.3.2 Xử lý lưu trữ 22 2.3.3 Phân tích phát cố bảo mật 23 2.3.4 Cảnh báo cố 25 2.3.5 Phản ứng cố 26 CHƯƠNG THỬ NGHIỆM VÀ ĐÁNH GIÁ 27 3.1 Cài đặt MozDef CentOS 27 3.2 Thử nghiệm kịch cảnh báo 47 3.2.1 Ghi nhận thông tin gửi tệp định dạng JSON vào hệ thống loginput: 47 3.2.2 Tấn công bạo lực vào máy chủ Secure Shell .49 CHƯƠNG TỔNG KẾT 53 iii 4.1 Kết luận 53 4.2 Đánh giá hướng phát triển 53 TÀI LIỆU THAM KHẢO 54 iv DANH MỤC CÁC KÝ HIỆU VIẾT TẮT, TIẾNG ANH Ký hiệu Tên tiếng Anh đầy đủ Ý nghĩa tiếng Việt AMQP Advanced Message Queue Protocol API Application Programming Interface D3 Data-Driven Documents DDoS Distributed Denial of Services Giao thức hàng đợi thông điệp nâng cao Phương thức trung gian kết nối Thư viện Javascript thao tác document dựa liệu Từ chối dịch vụ phân tán ELK Elaticsearch, Logstash Kibana GDPR General Data Protection Regulation HIPAA Federal Health Insurance Portability and Accountability Act, Bộ quy tắc bảo mật thông tin sức khỏe HTTP/HTTPS Giao thức truyền tải siêu văn an toàn ICMP HyperText Transfer Protocol/ HyperText Transfer Protocol Secure Internet Control Message Protocol IP Internet Protocol JSON JavaScript Object Notation MozDef Mozilla Defense Platform kiểu định dạng liệu Javascript Nền tảng bảo mật Mozilla OSI Open Systems Interconnection Reference Model Mơ hình tham chiếu kết nối hệ thống mở PCI Payment Card Industry Data Security Standard Tiêu chuẩn bảo mật liệu ngành thẻ toán RPM Red Hat Package Manager RPM Red Hat Package Manager Hệ thống lệnh quản lý package Linux/Unix Trình quản lý gói v Bộ cơng cụ quản lý log phổ biến Quy định chung bảo mật thông tin Giao thức tin nhắn điều khiển Internet Giao thức Internet SQS Security Information and Event Management Simple Queue Service Quản lý log kiện tập trung Hàng đợi quản lý dịch vụ SSH Secure Shell SSL Secure Sockets Layer Giao thức điều khiển từ xa qua mạng Lớp cổng bảo mật TCP Transmission Control Protocol UDP User Datagram Protocol URL Uniform Resource Locator VERIS Vocabulary for Event Recording and Incident Sharing Web Server Gateway Interface SIEM WSGI vi Giao thức điều khiển truyền tải Giao thức liệu người dùng Trình định vị tài ngun thống Từ khóa ghi kiện chia sẻ cố Giao diện kết nối cổng máy chủ Web DANH MỤC CÁC BẢNG VẼ Bảng Bảng Bảng Bảng Bảng mô tả loại kiện, thông tin cần thiết để ghi nhật ký 23 Các trường bắt buộc phải có nhật ký 25 Danh sách chi tiết trường thông tin chi tiết 25 Các dịch vụ MozDef cung cấp thành phần cần thiết để sử dụng .37 DANH MỤC CÁC HÌNH Chương 1: Hình 1 Cấu trúc hệ thống SIEM vai trị Hình Mơ tả giải pháp splunk hệ thống 12 Hình Mơ tả lợi ích hệ thống Qradar 13 Hình Mơ tả thành phần hệ thống SIEM McAfee 15 Chương 2: Hình Mơ tả vai trò Nginx hệ thống web-server[12] 19 Hình 2 Mơ tả chức RabbitMQ hệ thống[13] 19 Hình Mơ tả uWSGI hệ thống thao tác với Nginx[14] 20 Hình Vai trò đồng thời gian thực Meteor hệ thống[16] 20 Hình Hình mô tả kết hợp Elasticsearch MongoDB quản lý liệu thời gian thực[15] .21 Hình Chu trình quản lý liệu hệ thống 22 Chương 3: Hình User mozdef tạo liệt kê danh sách user 28 Hình Trạng thái hệ thống syslog .29 Hình 3 Cấu hình repo rpm cho elasticsearch 29 Hình Gói elasticsearch tải thành công 30 Hình Một số nhật ký dịch vụ elasticsearch 30 Hình Truy cập web interface elasticsearch 30 Hình Tải xuống kibana thành cơng 31 Hình Tệp cấu hình kibana số dịng cấu hình 31 Hình Tích hợp kibana elasticsearch vào MozDef 32 Hình 10 Giao diện web trang chủ kibana 32 Hình 11 Cấu hình repo rpm cho RabbitMQ 33 Hình 12 Cấu hình hostname ban đầu 34 Hình 13 Cấu hình lại hostname 34 Hình 14 Trạng thái RabbitMQ sau khởi động 35 Hình 15 Truy cập giao diện quản lý RabbitMQ cổng 15672 35 Hình 16 Giao diện quản lý sau đăng nhập .35 Hình 17 Tải xuống MongoDB 36 Hình 18 Khởi động để cập nhật cấu hình cho phép khởi động với hệ thống 36 Hình 19 Khởi động Nginx để cập nhật cấu hình 37 Hình 20 Trạng thái mozdefapi thể hoạt động thành cơng 38 Hình 21 Phản hồi restapi hoạt động thành công 38 Hình 22 Trạng thái mozdefalert thể hoạt động thành công 39 vii Hình 23 Màn hình thể nhật ký cảnh báo 39 Hình 24 Màn hình thể nhật ký hành động cảnh báo 40 Hình 25 Cấu hình mozdef bot giao tiếp với Slack 41 Hình 26 Trạng thái mozdef bot thể hoạt động thành cơng .41 Hình 27 Màn hình thể nhật ký mozdef bot .41 Hình 28 Màn hình thể trạng thái loginput .42 Hình 29 Lệnh kiểm tra trả tệp JSON báo hoạt động thành công 42 Hình 30 Trạng thái hoạt động mworker-eventask 43 Hình 31 Các yêu cầu cài đặt để thực cấu hình thời gian thực .43 Hình 32 Các dịng lệnh javascript cấu hình Meteor 44 Hình 33 File node_modules dư thừa cấu hình nodejs meteor 45 Hình 34 Thực cài đặt meteor 45 Hình 35 Trạng thái dịch vụ Meteor sau khởi động 46 Hình 36 Giao diện trang chủ meteor 46 Hình 37 Giao diện trang chủ sau đăng nhập 46 Hình 38 Nội dung tệp simple_alert.py .47 Hình 39 Cấu hình thêm python alert vào tệp config.py 47 Hình 40 Danh sách luật alert Meteor 48 Hình 41 Hình thể kiện mà syslog nhận 48 Hình 42 Các events thêm category tương ứng simple_alert .48 Hình 43 Sơ đồ mạng thử nghiệm công 49 Hình 44 Chi tiết luật cấu hình .49 Hình 45 Thêm luật vào cấu hình luật chung MozDef .50 Hình 46 Một số luật phát triển sẵn MozDef 50 Hình 47 Khởi động lại dịch vụ luật hiển thị 51 Hình 48 Thực bruteforce vào hệ thống ssh mozdef .51 Hình 49 Các nhật ký duyệt qua phép lọc để kiểm soát truy cập vào SSH 52 Hình 50 Chi tiết gói tin lọc kiểm sốt SSH .52 viii Báo cáo TTTN Đại học CHƯƠNG THỬ NGHIỆM VÀ ĐÁNH GIÁ Hình 25 Cấu hình mozdef bot giao tiếp với Slack ▪ Sau thực chép cấu hình hệ thống thông qua câu lệnh: cp /opt/mozdef/envs/mozdef/systemdfiles/alert/mozdefbot.service /usr/lib/systemd/system/mozdefbot.service ▪ Khởi động lại hệ thống để cập nhật cấu hình cho phép khởi chạy hệ thống systemctl start mozdefbot systemctl enable mozdefbot Hình 26 Trạng thái mozdef bot thể hoạt động thành công ▪ Để xem nhật ký, thực câu lệnh: tail -f /var/log/mozdef/mozdefbot.log Hình 27 Màn hình thể nhật ký mozdef bot Cron: Sử dụng cron để thực bảo trì dịch vụ MozDef Tương tự với nhóm dịch vụ MozDef, Cron chia làm nhóm Ingest, Alert Web tương ứng với dịch vụ MozDef yêu cầu để thực bảo trì 41 Báo cáo TTTN Đại học CHƯƠNG THỬ NGHIỆM VÀ ĐÁNH GIÁ Một câu lệnh cron khuyến khích sử dụng crontab –e thực liệt kê tác vụ có liên quan đến dịch vụ Ingest, Alert Web MozDef Qua biết tác vụ cần thiết không cần thiết Login – Đăng nhập: Bằng cách sử dụng RestAPI để thực trao đổi thông tin với nguồn bên ngồi mà đảm bảo tính hợp pháp người chia sẻ thông tin ▪ Thực chép cấu hình systemd thơng qua lệnh: cp /opt/mozdef/envs/mozdef/systemdfiles/consumer/mozdefloginput.service /usr/lib/systemd/system/mozdefloginput.service ▪ Sau khởi động lại dịch vụ để cập nhật cấu hình mới, cho phép khởi chạy dịch vụ với hệ thống với câu lệnh: systemctl start mozdefloginput systemctl enable mozdefloginput Hình 28 Màn hình thể trạng thái loginput Để kiểm tra dịch vụ có hoạt động hay không, thực lệnh truy cập đến địa dịch vụ câu lệnh: curl http://localhost:8080/status Hình 29 Lệnh kiểm tra trả tệp JSON báo hoạt động thành công MQ workers – Công nhân hàng đợi: Là cơng cụ để kéo kiện vào MozDef Những trạng thái hoạt động lấy từ hàng đợi từ RabbitMQ, 42 Báo cáo TTTN Đại học CHƯƠNG THỬ NGHIỆM VÀ ĐÁNH GIÁ Cloudtrail, Amazon SQS, Amazon SNS Papertrail Các MQ workers lấy từ thư mục /opt/mozdef/envs/mozdef/mq/ Với MQ worker có tệp liên kết: ▪ /opt/mozdef/envs/mozdef/mq/eventtask.ini – tệp ini nhằm kiểm sốt thuộc tính worker đó(số quy trình, thư mục chứa nhật ký, ) ▪ /opt/mozdef/envs/mozdef/mq/esworker_eventtask.conf – tệp chứa conf tệp cấu hình lưu trữ thông tin xác thực worker ▪ /opt/mozdef/envs/mozdef/systemdfiles/consumer/mworker-eventtask.service /usr/lib/systemd/system/mworker-eventtask.service – tệp hệ thống chép để bật tắt trạng thái hoạt động worker Để khởi động công nhân hàng đợi thực câu lệnh: systemctl start mworker-eventtask systemctl enable mworker-eventtask Hình 30 Trạng thái hoạt động mworker-eventask Web : Chính dịch vụ Meteor – khung Javascript sử dụng để thao tác thời gian thực Hình 31 Các yêu cầu cài đặt để thực cấu hình thời gian thực 43 Báo cáo TTTN Đại học CHƯƠNG THỬ NGHIỆM VÀ ĐÁNH GIÁ Sau thực cấu hình javascript với câu lệnh: vim /opt/mozdef/envs/mozdef/meteor/imports/settings.js Hình 32 Các dịng lệnh javascript cấu hình Meteor Trong đó, có cấu hình chi tiết sau: ▪ OPTIONS_METEOR_ROOTURL: tên domain sử dụng để truy cập giao diện Meteor ▪ OPTIONS_METEOR_PORT: cổng giao tiếp dịch vụ ▪ OPTIONS_METEOR_ROOTAPI: giá trị thỏa mãn đường dẫn đến restapi mà cấu hình trước ▪ OPTIONS_METEOR_KIBANAURL: đường dẫn dịch vụ Kibana ▪ OPTIONS_METEOR_ENABLECLIENTACCOUNTCREATION: true cho phép tạo tài khoản để thao tác với giao diện Meteor cách bình thường Ngược lại khơng muốn cho phép tạo tài khoản ▪ OPTIONS_METEOR_AUTHENTICATIONTYPE: cách xác minh tài khoản, mật OICD( cho phép xác minh qua tảng thứ ba) ▪ OPTIONS_REMOVE_FEATURES: để trống khơng muốn xóa service khơng cần thiết Ngược lại service cần xóa cách dấu phẩy Sau cấu hình xong, thực tải xuống meteor câu lệnh sau: su mozdef export MONGO_URL=mongodb://localhost:3002/meteor export ROOT_URL=http://localhost export PORT=3000 mkdir -p /opt/mozdef/envs/meteor/mozdef cd /opt/mozdef/envs/mozdef/meteor 44 Báo cáo TTTN Đại học CHƯƠNG THỬ NGHIỆM VÀ ĐÁNH GIÁ meteor npm install meteor build server localhost:3002 directory /opt/mozdef/envs/meteor/mozdef ln symbolic /opt/mozdef/envs/meteor/mozdef/node_modules /opt/mozdef/envs/mozdef/meteor/node_modules cd /opt/mozdef/envs/meteor/mozdef/bundle/programs/server npm install Tại thư mục cấu hình meteor tại, có tệp node_module dư thừa bên thư mục node_module sau: Hình 33 File node_modules dư thừa cấu hình nodejs meteor Lưu ý: Với cấu hình định tài liệu dư thừa file node_modules thư mục cấu hình NodeJS Meteor, cần loại bỏ tệp khơng cần thiết tránh build lỗi câu lệnh: sudo rm –rf /opt/mozdef/envs/mozdef/meteor/node_modules/node_modules ▪ Tiếp theo, thực cài đặt Meteor: Hình 34 Thực cài đặt meteor ▪ Thực chép tệp hệ thống: cp /opt/mozdef/envs/mozdef/systemdfiles/web/mozdefweb.service /usr/lib/systemd/system/mozdefweb.service systemctl daemon-reload ▪ Cuối cùng, thực khởi chạy lại dịch vụ để áp đặt cấu hình nhất: systemctl start mozdefweb systemctl enable mozdefweb 45 Báo cáo TTTN Đại học CHƯƠNG THỬ NGHIỆM VÀ ĐÁNH GIÁ Hình 35 Trạng thái dịch vụ Meteor sau khởi động Thực truy cập vào Meteor với đường dẫn cấu hình http://localhost với port mặc định 8080: Hình 36 Giao diện trang chủ meteor Thực đăng ký tài khoản để thao tác với dịch vụ Sau thực đăng nhập với tài khoản đăng ký để vào giao diện quản lý Hình 37 Giao diện trang chủ sau đăng nhập Như việc cấu hình hồn tất, thực thực nghiệm với kịnh 46 Báo cáo TTTN Đại học 3.2 CHƯƠNG THỬ NGHIỆM VÀ ĐÁNH GIÁ Thử nghiệm kịch cảnh báo: 3.2.1 Ghi nhận thông tin gửi tệp định dạng JSON vào hệ thống loginput: ▪ Thực tạo alert file python với tên simple_alert.py thư mục /opt/mozdef/envs/mozdef/alerts với nội dung: Hình 38 Nội dung tệp simple_alert.py ▪ Thực thêm vào cấu hình config.py MozDef lệnh nano /opt/mozdef/envs/mozdef/alerts/simple_alert.py nội dung class function tương ứng: Hình 39 Cấu hình thêm python alert vào tệp config.py ▪ Cập nhật cấu hình alert để nhận luật cấu hình 47 Báo cáo TTTN Đại học CHƯƠNG THỬ NGHIỆM VÀ ĐÁNH GIÁ Hình 40 Danh sách luật alert Meteor ▪ Sau thực thao tác gửi vài tệp JSON có category tương ứng để Mozdef bắt thông qua alert với câu lệnh: curl -v header "Content-Type: application/json" request POST data '{"tags": ["test"],"category":"simple_alert","details":{"sourceipaddress":"192.168.17.138"}}' http://localhost:8080/events Khi giao diện Kibana, nhận event tương ứng danh mục visualize Tại Mozdef web, thấy danh mục alert xuất event tương ứng xuất với category Hình 41 Hình thể kiện mà syslog nhận Hình 42 Các events thêm category tương ứng simple_alert 48 Báo cáo TTTN Đại học CHƯƠNG THỬ NGHIỆM VÀ ĐÁNH GIÁ Kết quả: - Hệ thống ghi nhận kiện, gói tin ghi nhận tệp nhật ký - Các gói tin phân tích cơng cụ Kibana, thể chi tiết biểu đồ Thông qua phép lọc theo dõi, phân tích chi tiết cố - Các gói tin kiện không truyền đến mozdef, dừng hệ thống phân tích Vì chưa thể lọc thơng qua Alert cấu hình, khơng hiển thị MozDef dashboard 3.2.2 Tấn công bạo lực vào máy chủ Secure Shell Sơ đồ thử nghiệm cơng: Hình 43 Sơ đồ mạng thử nghiệm công Công cụ Hydra công bạo lực: Là công cụ brute force mạnh mẽ, công cụ thử sai mật đăng nhập hệ thống nhanh chóng Có khả thao tác với nhiều giao thức truyền tin khác Sử dụng Hydra để duyệt qua danh sách mật ‘bruteforce‘ số dịch vụ xác thực Sử dụng Hydra để duyệt qua danh sách mật tăng tốc q trình để xác định mật xác Thực cấu hình luật python sau: Hình 44 Chi tiết luật cấu hình 49 Báo cáo TTTN Đại học CHƯƠNG THỬ NGHIỆM VÀ ĐÁNH GIÁ Trong đó: • Tên file alert_ddos_ssh thị filename • Tên class DDOSAlert thị classname • Hàm main thực lọc yêu cầu lọc thông tin • Hàm onAggregation: thực hành động định nghĩa bên trong điều kiện hàm main thỏa mãn Sau đó, thực thêm luật vào cấu hình chung MozDef mục ALERTS tệp có địa /opt/mozdef/envs/mozdef/alerts/lib/config.py: ‘bruteforce_ssh AlertBruteforceSsh:{‘schedule’: crontab(minute: ‘*/1’)} Với: - bruteforce_ssh filename - AlertBruteforceSsh classname - 'schedule’: crontab(minute: ‘*/1’): điều khiển cập nhật sau phút Hình 45 Thêm luật vào cấu hình luật chung MozDef Bên cạnh đó, cịn có nhiều luật thực đóng góp cộng đồng khác xem xét sử dụng tham khảo Hình 46 Một số luật phát triển sẵn MozDef Cuối cùng, ta thực khởi chạy lại dịch vụ để cập nhật cấu hình câu lệnh: 50 Báo cáo TTTN Đại học CHƯƠNG THỬ NGHIỆM VÀ ĐÁNH GIÁ systemctl restart mozdefalerts.service Sau khởi động xong, tải lại trang có luật Hình 47 Khởi động lại dịch vụ luật hiển thị Thực Bruteforce vào hệ thống SSH máy chủ MozDef câu lệnh: sudo hydra -l root -P /usr/share/wordlists/john.lst ssh://192.168.17.138 Hình 48 Thực bruteforce vào hệ thống ssh mozdef Trong đó: • hydra: tên cơng cụ cơng • -l root: chức đăng nhập với user root • -P /usr/share/wordlist/john.lst : với password lấy từ danh sách từ điển John Ngồi cịn sử dụng danh sách từ điển khác như: rockyou.txt, password.txt, wifite.txt… Khi gói tin gửi liên tục vào hệ thống SSH 51 Báo cáo TTTN Đại học CHƯƠNG THỬ NGHIỆM VÀ ĐÁNH GIÁ Hình 49 Các nhật ký duyệt qua phép lọc để kiểm soát truy cập vào SSH Hình 50 Chi tiết gói tin lọc kiểm sốt SSH Kết quả: - Hệ thống ghi nhận kiện, gói tin ghi nhận tệp nhật ký - Các gói tin phân tích cơng cụ Kibana, thể chi tiết gói tin, nguồn thơng tin, qua có biện pháp ứng phó cụ thể - Các gói tin kiện khơng truyền đến mozdef, dừng hệ thống phân tích Vì chưa thể lọc thông qua Alert cấu hình, khơng hiển thị MozDef dashboard 52 Báo cáo TTTN Đại học CHƯƠNG TỔNG KẾT CHƯƠNG TỔNG KẾT Kết luận MozDef tảng SIEM mã nguồn mở cho phép giám sát, phân tích phản ứng cố bảo mật Trong đề tài thực tập tốt nghiệp này, thấy MozDef sử dụng để giám sát cơng mạng, phân tích tệp độc hại, phản ứng cố bảo mật 4.1 MozDef cung cấp giao diện Web để quản lý phân tích liệu từ hệ thống khác MozDef tích hợp với nhiều cơng cụ dịch vụ khác để cung cấp thông tin phong phú chi tiết cố bảo mật Với khả mở rộng tùy biến, MozDef cơng cụ hữu ích để phát giải cố bảo mật tổ chức Cung cấp phương tiện để tập trung liệu từ nhiều nguồn khác phân tích chúng nơi, giúp cho nhà quản trị mạng bảo mật đưa định thơng minh đáp ứng nhanh chóng với cố bảo mật Tuy nhiên, MozDef khơng cịn Mozilla phát triển nữa, thực tế dự án ngưng phát triển từ 2018-2019 Vì có khả không bắt kịp xu tảng SIEM tương lai Dẫu vậy, thời điểm MozDef nguyên giá trị tảng SIEM hàng đầu phục vụ cho việc nghiên cứu học hỏi 4.2 Đánh giá hướng phát triển - Về mặt lý thuyết: ▪ Biết mục đích ý nghĩa cơng cụ việc bảo vệ hệ thống thông tin thời đại số ngày ▪ Thu thập, tham khảo tài liệu mẫu, mã nguồn mở có liên quan đến đề tài, qua có nhìn tổng qt MozDef, hệ thống SIEM hữu dụng hiệu - Về thực hành: ▪ Biết cách cấu hình hệ thống server cụ thể cách cấu hình khác thơng thường qua docker ▪ Biết cách triển khai cảnh báo liên quan đến thay đổi thông tin hệ thống - Hướng phát triển: Tiếp tục triển khai cảnh báo, từ đưa phương hướng để có hành động phản ứng cụ thể Nghiên cứu áp dụng thu thập, phân tích liệu kiện khác Snort, Zabbix Áp dụng sở liệu lưu trữ khác MongoDB Redis 53 Báo cáo TTTN Đại học TÀI LIỆU THAM KHẢO TÀI LIỆU THAM KHẢO Tiếng Việt: Tiếng Anh: The Mozilla Foundation (Jun 16, 2021), MozDef Documentation, đăng tải https://www.mozilla.com Danh mục website tham khảo: The Mozilla Foundation, MozDef online documentation https://mozdef.readthedocs.io/en/latest/overview.html , truy cập ngày 23/02/2023 Mozilla and 40 contributors, MozDef Github Repository, https://github.com/mozilla/MozDef , truy cập ngày 2/03/2023 Nguyễn Đức Huy Học, ELK Stack - anh em siêu nhân quản lý logs?, đăng tải Viblo forum https://viblo.asia/p/elk-stack-3-anh-em-sieu-nhan-trongquan-ly-logs-oOVlYLArZ8W Remya Mohanan, What Is Security Information and Event Management (SIEM)? Definition, Architecture, Operational Process, and Best Practices, đăng tải Spiceworks https://www.spiceworks.com/it-security/vulnerabilitymanagement/articles/what-is-siem/ truy cập ngày 23/02/2023 Đỗ Trung Quân, Hướng dẫn cài đặt làm quen Docker CentOS 7, đăng tải ngày 20/04/2021, đăng tải blog cá nhân dotrungquan.info , https://dotrungquan.info/dat-va-lam-quen-docker-tren-centos-7/ , truy cập ngày 05/30/2023 The Mozilla Foundation, MozDef docker-compose, 2021 https://docs.docker.com/compose/install/, truy cập ngày 05/30/2023 The Mozilla Foundation, MozDef docker image, 2021 https://hub.docker.com/r/mozdef/mozdef_base , truy cập ngày 05/30/2023 VMWare, Inc., RabbitMQ configuration, đăng tải https://www.rabbitmq.com/configure.html, truy cập ngày 05/30/2023 Docker Inc, Install Docker Engine on CentOS, https://docs.docker.com/engine/install/centos/, truy cập ngày 05/03/2023 10 Wikipedia, uWSGI, https://en.wikipedia.org/wiki/UWSGI 11 MozDef DockerHub Repository, Mozdef, đăng tải lần đầu13/09/2018 địa https://hub.docker.com/u/mozdef, truy cập ngày 19/03/2023 12 Mahmud Ridwan, Simplified NGINX Load Balancing with Loadcat, https://www.toptal.com/devops/simplified-nginx-load-balancing-with-loadcat, đăng tải Toptal Community, truy cập ngày 28/03/2023 13 Lovisa Johansson, Part 1: RabbitMQ for beginners - What is RabbitMQ?, đăng tải lần cuối ngày 23/09/2019, https://www.cloudamqp.com/blog/part1-rabbitmq-forbeginners-what-is-rabbitmq.html, đăng tải cloudamqp.com, truy cập ngày 28/03/2023 14 Bloomberg, Configuring uWSGI for Production Deployment, https://www.bloomberg.com/company/stories/configuring-uwsgi-productiondeployment/ , đăng tải ngày 12/07/2019, truy cập ngày 28/03/2023 54 Báo cáo TTTN Đại học TÀI LIỆU THAM KHẢO 15 Shawn Adams, Using Elasticsearch to Offload Real-Time Analytics from MongoDB, https://rockset.com/blog/using-elasticsearch-to-offload-real-timeanalytics-from-mongodb/ , đăng tải ngày 12/11/2020, truy cập ngày 28/03/2023 16 Dong Xuan Thang, Tìm hiểu meteor, https://viblo.asia/p/tim-hieu-ve-meteorL4x5xRxbZBM , đăng tải ngày 26/04/2023, truy cập ngày 28/03/2023 17 VM Ware Inc, Documentation, https://www.rabbitmq.com/documentation.html, truy cập ngày 30/03/2023 18 M-Service, Chứng PCI DSS gì?, https://momo.vn/hoi-dap/chung-chi-pcidss-la-gi , truy cập ngày 30/03/2023 19 FirewallFirm, Top 10 SIEM (Security Information and Event Management) Tools, https://firewall.firm.in/top-10-siem-tools/, truy cập ngày 30/03/2023 20 U.S Department of Health & Human Services, Health Insurance Portability and Accountability Act of 1996 (HIPAA), https://www.cdc.gov/phlp/publications/topic/hipaa.html, truy cập ngày 30/03/2023 21 Vietsunshine(04/07/2019), Tổng quan giải pháp IBM QRadar SIEM, https://www.vietsunshine.com.vn/2019/07/04/tong-quan-ve-giai-phap-ibm-qradarsiem/ , truy cập ngày 07/04/2023 22 Sophos, Managed Detection and Response, https://www.sophos.com/enus/products/managed-detection-andresponse?cmp=152747&utm_source=Google&utm_campaign=ASEANSearchV4%7 cGeneric%7cNB-SiemBest/Top&utm_medium=cpc&utm_id=01010&utm_content=SM118165&gclid=Cj0 KCQjw_r6hBhDdARIsAMIDhVhYxldgj7pRNiESYYt2Wj1U9n0SA_6jhQRMrp2goQldbFiOrQQ9LwaAsM1EALw _wcB&gclsrc=aw.ds , truy cập ngày 07/04/2023 23 Comodo, WHAT IS SPLUNK USED FOR? - SPLUNK MEANING, https://www.comodo.com/is-splunk-a-siem.php, truy cập ngày 07/04/2023 24 Dwayne Green(16/02/2016), SolarWinds Web Help Desk Review, https://www.pcmag.com/reviews/solarwinds-web-help-desk, truy cập ngày 07/04/2023 25 Vương Hưng, Tổng quan Amazon SQS sử dụng Ruby, https://viblo.asia/p/tong-quan-ve-amazon-sqs-va-su-dung-no-trong-rubyRQqKLnE4l7z , truy cập ngày 07/04/2023 26 Wikipedia, RPM (phần mềm), https://vi.wikipedia.org/wiki/RPM_(ph%E1%BA%A7n_m%E1%BB%81m), truy cập ngày 07/04/2023 27 Pavietnam( 08/11/2021), Hướng dẫn install SSH Centos7 OS Linux khác, https://kb.pavietnam.vn/huong-dan-install-ssh-centos7-va-os-linux-khac.html , truy cập ngày 07/04/2023 28 Wikipedia, URL, https://vi.wikipedia.org/wiki/URL , truy cập ngày 07/04/2023 29 Verizon, VERIS Framework Enables the Sharing of Security Incident Data Across the Globe, https://www.verizon.com/about/news/veris-framework-enablessharing-security-incident-data-across-globe , truy cập ngày 07/04/2023 30 Matt Mill, Hping3: Tạo gói TCP / IP thực công DoS Linux, https://itigic.com/vi/hping3-create-tcp-ip-packets-and-perform-dos-attackson-linux/ , truy cập ngày 07/04/2023 55