Báo cáo thực tập BKAV Intern BCCV: Tổng quan Mạng máy tính và SOC | Môn Báo cáo thực tập - Đại học Mỏ – Địa chất

lOMoAR cPSD| 58728417
I: Mạng máy tính và tổng quan về mạng máy tính . Mạng máy tính là gì Mạng
máy tính là một sự kết hợp giữa các máy tính trong một hệ thống. Điều đặc biệt đó
là các máy tính này sẽ liên kết với nhau thông qua các thiết bị kết nối mạng và
phương tiện truyền thông như: Giao thức mạng, môi trường truyền dẫn. Theo đó,
chúng sẽ dựa trên một cấu trúc nào đó với mục đích thu thập, trao đổi các dữ liệu
và chia sẻ tài nguyên cho nhiều người dùng khác nhau.
Tổng quan về mạng máy tính Các dạng Mô hình mạng Mô hình mạng là hệ thống
kết nối nhiều máy tính với nhau thông qua một đường truyền vật lý.Mô hinh mạng
máy tính được sử dụng tương đối phổ biến tại các văn phòng ,doanh nghiệp lớn
,hoặc ứng dụng trên cả 1 thành phố hoặc toàn cầu
Phân loại theo phạm vi:
● LAN (Local Area Network): Mạng cục bộ, thường được sử dụng trong một
khu vực nhỏ như văn phòng, trường học, hoặc gia đình.
● MAN (Metropolitan Area Network): Mạng đô thị, phủ sóng trong một thành
phố hoặc khu vực lớn hơn.
● WAN (Wide Area Network): Mạng diện rộng, kết nối nhiều khu vực trên
toàn cầu. Ví dụ: Internet.
● PAN (Personal Area Network) là một mạng cá nhân không dây dùng sóng
vô tuyến trong tầm phạm vi ngắn khoảng 10m. Mạng cá nhân chỉ kết nối được
giữa hai thiết bị trong một phạm vi ngắn như các thiết bị không dây dùng
Bluetooth (Chuột, bàn phím,
tai nghe, …), máy chơi Game, điều khiển từ xa, …
● CAN (Campus Area Network) là mạng đặc biệt kết nối giữa các thiết bị
mạng (đặt ở các tòa nhà khác nhau) nhằm đảm bảo tính dự phòng và tính sẵn sàng.
Phân loại theo cách tổ chức:
● Mô hình ngang hàng (Peer-to-Peer):
○ Các máy tính đều có vai trò ngang nhau, không có máy chủ chính.
○ Phù hợp với mạng nhỏ, chi phí thấp.
● Mô hình máy khách - máy chủ (Client-Server): lOMoAR cPSD| 58728417
○ Máy chủ quản lý và cung cấp tài nguyên cho các máy khách. ○
Phù hợp với mạng lớn, đòi hỏi hiệu suất cao.
Các khái niệm cơ bản về kiến trúc mạng
1.1. Vai trò của các thiết bị mạng trong hệ thống mạng
1. Router: Kết nối các mạng khác nhau, định tuyến dữ liệu.
2. Switch: Kết nối các thiết bị trong cùng một mạng cục bộ (LAN), quản lý lưu lượng dữ liệu.
3. Hub: Kết nối các thiết bị trong mạng nhưng không phân tích dữ liệu, gây tắc nghẽn lưu lượng.
4. Modem: Kết nối mạng nội bộ với Internet thông qua nhà cung cấp dịch vụ ISP.
5. Access Point: Tạo mạng không dây (Wi-Fi) trong mạng cục bộ.
6. Firewall: Bảo mật, ngăn chặn các truy cập trái phép vào mạng.
7. Server: Cung cấp tài nguyên và dịch vụ cho các máy khách.
1. Các bước đọc hiểu sơ đồ mạng
Bước 1: Xác định mục đích sơ đồ
● Hỏi: Sơ đồ này nhằm phục vụ mục đích gì?
○ Ví dụ: Giám sát mạng, thiết kế mạng mới, phân tích bảo mật, hoặc khắc phục sự cố.
Bước 2: Tìm hiểu các thành phần chính trong sơ đồ
● Thiết bị đầu cuối (Endpoints): Máy tính, điện thoại, server, IoT devices.
● Thiết bị kết nối (Networking Devices):
○ Switch: Kết nối các thiết bị trong cùng một mạng nội bộ (LAN).
○ Router: Kết nối các mạng khác nhau (LAN, WAN).
○ Firewall: Bảo vệ mạng khỏi các mối đe dọa từ bên ngoài.
○ Access Points: Điểm truy cập mạng không dây.
○ Load Balancer: Phân phối lưu lượng truy cập mạng.
● Hạ tầng mạng:
○ VLANs: Mạng LAN ảo phân chia mạng logic. lOMoAR cPSD| 58728417
○ VPNs: Bảo mật kết nối từ xa.
○ DMZ (Demilitarized Zone): Khu vực bảo mật trung gian giữa mạng nội bộ và internet.
Bước 3: Hiểu các ký hiệu trong sơ đồ
● Các biểu tượng thường dùng: ○ Hình tròn: Router. ○ Hình vuông: Switch.
○ Đám mây: Internet hoặc mạng WAN.
○ Hình vuông nhỏ: Firewall.
○ Đường nối (line): Cáp hoặc kết nối mạng.
○ Mũi tên: Hướng lưu lượng hoặc luồng dữ liệu.
Bước 4: Phân tích đường kết nối
● Xác định cách các thiết bị liên kết với nhau:
○ Kết nối vật lý: Cáp mạng (Ethernet, cáp quang).
○ Kết nối logic: VLAN, VPN, hoặc kết nối không dây. Bước
5: Hiểu vai trò của các thiết bị
● Đầu vào và đầu ra dữ liệu:
○ Tìm hiểu luồng dữ liệu từ máy khách đến máy chủ.
● Điểm bảo mật: Xác định các khu vực bảo vệ bằng firewall, IDS/IPS.
2. Những lưu ý khi phân tích một sơ đồ mạng
Lưu ý về cấu trúc và thiết kế mạng
1. Mục đích sử dụng:
○ Sơ đồ mạng được thiết kế cho doanh nghiệp, gia đình, hay hạ tầng đám mây?
○ Có hỗ trợ khả năng mở rộng không?
2. Phân vùng mạng (Segmentation):
○ Kiểm tra xem các khu vực mạng (VLANs, DMZ) có được phân tách để
tăng cường bảo mật không. 3. Hiệu suất: lOMoAR cPSD| 58728417
○ Đánh giá liệu mạng có đủ băng thông và giảm độ trễ để đáp ứng nhu cầu của người dùng.
Lưu ý về bảo mật
1. Vị trí firewall và IDS/IPS:
○ Firewall có đặt ở điểm giao nhau giữa mạng nội bộ và internet không?
○ Có IDS/IPS để giám sát và phát hiện tấn công hay không?
2. Phân quyền truy cập:
○ Các tài nguyên quan trọng có được bảo vệ bằng hệ thống kiểm soát truy cập hay không?
3. Đường dẫn dữ liệu nhạy cảm:
○ Xác định liệu dữ liệu nhạy cảm có đi qua những kết nối không bảo mật không.
Lưu ý về thực tế triển khai
1. Cập nhật trạng thái thiết bị:
○ Sơ đồ có ghi rõ trạng thái hoạt động của thiết bị (active, inactive)? ○
Thiết bị có firmware mới nhất không?
2. Tài liệu mô tả:
○ Một sơ đồ mạng tốt cần đi kèm mô tả chi tiết để tránh hiểu nhầm.
3. Hỗ trợ khắc phục sự cố:
○ Xem xét sơ đồ có chỉ rõ các điểm cần giám sát hoặc kiểm tra khi xảy ra sự cố không. ○ II. SOC 2.1 Soc là gì
SOC (Security Operations Center - Trung tâm điều hành an ninh mạng) là một bộ
phận hoặc hệ thống tập trung vào việc giám sát, phát hiện, phân tích, và ứng phó
với các mối đe dọa an ninh mạng trong thời gian thực. SOC sử dụng các công cụ
và công nghệ để bảo vệ hệ thống, dữ liệu và tài sản của tổ chức khỏi các cuộc tấn công mạng. lOMoAR cPSD| 58728417
2.2 Tầm quan trọng của hệ thống SOC
Hệ thống SOC đóng vai trò cốt lõi trong việc bảo vệ an ninh mạng, với những lợi ích chính như:
1. Giám sát liên tục (24/7):
○ Theo dõi toàn bộ hoạt động trên mạng để phát hiện sớm các mối đe dọa.
2. Phát hiện và phản ứng nhanh:
○ Xác định và ứng phó ngay khi có sự cố an ninh, giảm thiểu thiệt hại. 3. Phân tích sâu:
○ Cung cấp thông tin chi tiết về các cuộc tấn công nhằm cải thiện hệ thống bảo mật.
4. Tăng cường tuân thủ:
○ Đảm bảo tổ chức tuân thủ các quy định và tiêu chuẩn bảo mật (ISO 27001, GDPR, NIST, v.v.).
5. Tối ưu hóa chi phí:
○ Tích hợp và quản lý các công cụ bảo mật tập trung, giảm chi phí vận hành.
Các bước xây dựng SOC hiệu quả
1. Đánh giá nhu cầu
Trước khi bắt đầu xây dựng SÓC cần phải đánh giá nhu cầu thực tế của tổ chức về
an ninh thông tin. Điều này bao gồm việc xác định các mối đe dọa tiềm tàng, các
khu vực yếu thế và các vấn đề an ninh cần được giải quyết. Đánh giá nhu cầu này
sẽ giúp bạn xác định các yêu cầu và tính năng cần thiết cho SOC của bạn.
2. Xác định kiến trúc SOC
Sau khi đánh giá nhu cầu, cần xác định kiến trúc và cấu trúc của SOC. Kiến trúc
này sẽ phụ thuộc vào các yêu cầu của tổ chức, nhưng thường bao gồm các thành
phần như hệ thống giám sát bảo mật, hệ thống phân tích và các ứng dụng quản lý sự cố.
4. Chọn các công cụ và giải pháp phần mềm lOMoAR cPSD| 58728417
Để xây dựng SOC, cần phải chọn các công cụ và giải pháp phần mềm phù hợp.
Các công cụ này bao gồm các giải pháp giám sát bảo mật, các hệ thống phân tích
thông tin, các giải pháp quản lý sự cố và các giải pháp bảo mật khác.
5. Xác định nhân lực và đào tạo quản trị SOC
SOC cần nhân lực có chuyên môn cao về an ninh thông tin để có thể phát hiện và
giải quyết các sự cố an ninh. cần tìm kiếm và thuê những chuyên gia về an ninh
thông tin có kinh nghiệm và đào tạo nhân viên của mình về các kỹ năng và quy trình cần thiết.
Triển khai và vận hành SOC: Sau khi hoàn tất các bước trên, bạn cần triển khai
SOC của mình. Sau đó, cần duy trì và vận hành SOC để đảm bảo nó hoạt động
hiệu quả và đáp ứng các yêu cầu của tổ chức.
1. Mô hình tổng thể hệ thống SOC
SOC thường được xây dựng dựa trên các thành phần chính sau: 2.1.
Người dùng & Thiết bị (Users & Devices) ● Mô tả:
Bao gồm tất cả các thiết bị người dùng cuối (endpoint) và thiết bị IoT. Đây là
các điểm đầu vào có nguy cơ bị tấn công như:
○ Máy tính xách tay, máy tính để bàn.
○ Điện thoại thông minh, máy tính bảng.
○ Các thiết bị IoT như camera, thiết bị thông minh trong văn phòng hoặc nhà máy. ● Ý nghĩa:
Đây là nơi dữ liệu được tạo ra và cũng là nơi các cuộc tấn công mạng thường nhắm đến.
2.2. Hệ thống mạng (Network System) ● Mô tả:
Là cơ sở hạ tầng trung gian kết nối tất cả thiết bị trong tổ chức:
○ Router, Switch để kết nối và quản lý luồng dữ liệu. lOMoAR cPSD| 58728417
○ Tường lửa (Firewall) và hệ thống phát hiện/ ngăn chặn xâm nhập (IDS/IPS). ● Ý nghĩa:
Hệ thống mạng là lớp bảo vệ đầu tiên chống lại các mối đe dọa bên ngoài.
2.3. Công cụ SOC (SOC Tools)
Các công cụ chính được triển khai trong hệ thống SOC bao gồm:
● SIEM (Security Information and Event Management): Thu thập, phân
tích và lưu trữ nhật ký từ các thiết bị khác nhau để phát hiện các mối đe dọa tiềm ẩn.
● SOAR (Security Orchestration, Automation, and Response): Tự động
hóa và quản lý phản ứng an ninh.
● Threat Intelligence: Cập nhật và sử dụng các chỉ số đe dọa từ bên ngoài để nhận diện mối nguy.
● Endpoint Detection and Response (EDR): Giám sát và bảo vệ các thiết bị đầu cuối. ● Ý nghĩa:
Đây là trung tâm kỹ thuật, nơi phân tích và phát hiện các mối đe dọa trong toàn hệ thống.
2.4. Đội ngũ SOC (SOC Team) ● Mô tả:
Nhóm chuyên gia an ninh mạng vận hành và giám sát hệ thống SOC:
○ SOC Level 1: Theo dõi và giám sát cảnh báo.
○ SOC Level 2: Điều tra các mối đe dọa nghiêm trọng hơn.
○ SOC Level 3: Phân tích chuyên sâu và đề xuất giải pháp khắc phục. ● Ý nghĩa:
Con người là yếu tố quyết định trong việc xử lý các tình huống phức tạp mà
công nghệ không thể tự động hóa.
2.5. Quy trình và Chính sách (Processes & Policies) ● Mô tả:
Quy định các quy trình vận hành an ninh:
○ Phát hiện, phản hồi và khôi phục sự cố. lOMoAR cPSD| 58728417
○ Kiểm tra định kỳ và đánh giá lỗ hổng bảo mật.
○ Cập nhật chính sách an ninh để giảm thiểu rủi ro. ● Ý nghĩa:
Đảm bảo hệ thống luôn được vận hành ổn định và sẵn sàng đối phó với các mối đe dọa mới. Demo hệ thống SOC 1. Giám sát:
○ Mạng và các hệ thống được giám sát qua các bảng điều khiển (dashboards). 2. Phát hiện:
○ Cảnh báo phát sinh khi có hoạt động bất thường hoặc dấu hiệu tấn công. 3. Phân tích:
○ Phân tích nhật ký (logs), kiểm tra nguyên nhân và mức độ nghiêm trọng. 4. Ứng phó:
○ Triển khai các hành động như chặn IP, cô lập hệ thống bị tấn công, hoặc
cập nhật chính sách bảo mật.
Mô hình hoạt động của hệ thống SOC
SOC thường hoạt động theo các mô hình phổ biến như: 1. Centralized SOC:
○ Tất cả dữ liệu và chức năng bảo mật được quản lý tập trung tại một nơi. 2. Distributed SOC:
○ Các trung tâm SOC phân tán theo địa lý, kết nối với nhau để chia sẻ dữ liệu. 3. Virtual SOC (vSOC):
○ Dịch vụ SOC ảo, hoạt động qua đám mây, phù hợp với các tổ chức nhỏ.
Mô hình hoạt động của dịch vụ SOC
Dịch vụ SOC thường được phân cấp thành các mức (tiers) để xử lý sự cố hiệu quả:
Tier 1 - Monitoring and Alerting (Giám sát và cảnh báo): lOMoAR cPSD| 58728417 ● Vai trò:
○ Giám sát hệ thống, phát hiện và ghi nhận các sự kiện bất thường.
○ Phân loại và ưu tiên mức độ nghiêm trọng của cảnh báo.
● Kỹ năng cần thiết:
○ Hiểu biết cơ bản về mạng, an ninh mạng, và hệ thống giám sát.
Tier 2 - Incident Analysis (Phân tích sự cố): ● Vai trò:
○ Phân tích sâu các cảnh báo do Tier 1 chuyển lên.
○ Xác định nguyên nhân và đề xuất giải pháp.
● Kỹ năng cần thiết:
○ Kinh nghiệm trong việc phân tích nhật ký, hiểu các kỹ thuật tấn công và phòng thủ.
Tier 3 - Threat Hunting and Advanced Response (Săn mối đe dọa và phản ứng nâng cao): ● Vai trò:
○ Chủ động tìm kiếm các mối đe dọa tiềm ẩn (Threat Hunting). ○
Đưa ra các chiến lược dài hạn để cải thiện hệ thống bảo mật.
Tier 4 - Proactive Defense and Threat Intelligence (Phòng thủ chủ động và
tình báo mối đe dọa)
Tier 4 là cấp độ cao nhất trong mô hình hoạt động của một SOC, tập trung vào việc
phòng thủ chủ động và quản lý tình báo mối đe dọa. Tầng này thường được
triển khai trong các tổ chức lớn hoặc những doanh nghiệp có nhu cầu bảo mật cao
cấp, đặc biệt là trong lĩnh vực tài chính, chính phủ, hoặc quốc phòng. Vai trò của Tier 4
1. Threat Intelligence:
○ Thu thập, phân tích, và xử lý thông tin về các mối đe dọa từ nhiều nguồn
khác nhau (cả nội bộ và bên ngoài).
○ Cung cấp các chỉ số mối đe dọa (Indicators of Compromise - IoC) và
các phương thức tấn công (Tactics, Techniques, and Procedures - TTPs). lOMoAR cPSD| 58728417
○ Dự đoán các xu hướng tấn công trong tương lai dựa trên dữ liệu tình báo.
2. Phòng thủ chủ động (Proactive Defense):
○ Xây dựng các chính sách và biện pháp bảo mật dựa trên thông tin tình báo.
○ Kiểm tra và cải thiện các biện pháp bảo mật hiện có để chống lại các kỹ
thuật tấn công tiên tiến (APT - Advanced Persistent Threats).
○ Thực hiện các chiến dịch săn lùng mối đe dọa (Threat Hunting) với tầm nhìn chiến lược. Quy trình SOC
SOC hoạt động dựa trên các bước chính sau:
1. Thu thập dữ liệu: ○ Thu thập log từ:
■ Firewall, IDS/IPS, WAF, VPN.
■ Endpoint và máy người dùng.
○ Tích hợp dữ liệu vào hệ thống SIEM hoặc SOAR.
2. Phát hiện và phân tích mối đe dọa:
○ Sử dụng các công cụ như IDS/IPS, AI/ML để phát hiện các mối đe dọa.
○ Phân tích hành vi và nhận diện các cuộc tấn công (DDoS, Ransomware).
3. Ứng phó và xử lý:
○ Đưa ra biện pháp ứng phó (tự động hoặc thủ công). ○ Khắc phục và
khôi phục hệ thống sau sự cố.
4. Quản lý và báo cáo:
○ Lưu trữ log và tạo báo cáo định kỳ.
○ Đánh giá và tối ưu hệ thống dựa trên báo cáo. lOMoAR cPSD| 58728417
Quy trình hoạt động của SOC
3. Quản lý sự cố an toàn thông tin (AT&T)
Quản lý lỗ hổng vi phạm ATTT ● Quy trình:
○ Xác định lỗ hổng từ các nguồn tin cậy (CVE, CVSS).
○ Đánh giá mức độ rủi ro của lỗ hổng.
○ Triển khai bản vá hoặc biện pháp phòng ngừa. lOMoAR cPSD| 58728417
● Công cụ hỗ trợ:
○ Nessus, OpenVAS: Quét và phân tích lỗ hổng. ○ Qualys: Quản lý vòng đời lỗ hổng.
Quản lý vấn đề ATTT
● Phân loại vấn đề: Chia thành các loại như lỗi cấu hình, phần mềm lỗi thời, hoặc xâm nhập mạng.
● Đưa ra giải pháp: Khắc phục triệt để từng vấn đề qua các bản vá, cập nhật,
hoặc thay đổi cấu hình.
Quản lý tối ưu cảnh báo ATTT
● Tối ưu hóa cảnh báo:
○ Giảm thiểu cảnh báo giả thông qua điều chỉnh quy tắc trong SIEM.
○ Sử dụng AI để học và phát hiện mối đe dọa thực sự.
● Phân loại cảnh báo:
○ Phân chia theo mức độ ưu tiên để xử lý hiệu quả. III.SIEM
3.1.SIEM ,tổng quan về SIEM.
SIEM là viết tắt của Security Information and Event Management, đây là một giải
pháp đa chiều giúp các doanh nghiệp, tổ chức giải quyết mối đe dọa về an ninh mạng
trước khi chúng xảy ra và làm ảnh hưởng đến hoạt động kinh doanh.
SIEM là sự kết hợp hài hoà giữa SIM - quản lý thông tin bảo mật và SEM - quản lý
sự kiện bảo mật trong một hệ thống đồng bộ. SIEM không chỉ thu thập dữ liệu nhật
ký sự kiện từ nhiều nguồn khác nhau mà còn sử dụng phân tích thời gian thực để
xác định sự bất thường và thực hiện những biện pháp hợp lý. lOMoAR cPSD| 58728417
Trong khoảng một thập kỷ gần đây, nhờ tích hợp trí tuệ nhân tạo hiệu quả mà công
nghệ SIEM đã trải qua sự phát triển đáng kể.
- Cách thức hoạt động của SIEM:
Tập hợp dữ liệu
SIEM có khả năng liên kết dữ liệu trên mọi bề mặt tấn công của tổ chức, từ người
dùng, dữ liệu mạng, điểm cuối cho đến sự kiện của antivirus và nhật ký tường lửa.
SIEM hoạt động trên cả cơ sở hạ tầng truyền thống và nền tảng đám mây, tạo ra chế
độ xem tổng hợp bằng cách hiển thị các dữ liệu trong một giao diện duy nhất. Việc
kết nối các dữ liệu từ nhiều nền tảng trong hệ thống SIEM giúp gia tăng khả năng bảo mật. Phát hiện đe doạ lOMoAR cPSD| 58728417
SIEM có vai trò rất quan trọng trong việc phát hiện các mối đe dọa mạng. Giải pháp
này có khả năng nhận biết những hoạt động độc hại và phát hiện các mẫu không xác
định. Cụ thể hơn, SIEM có thể dễ dàng tìm ra dấu hiệu của malicious insider, các
mối đe dọa liên tục nâng cao (APT) hoặc thông tin đăng nhập bị xâm phạm. Điều tra an ninh
Khi phát hiện được mối đe dọa, SIEM tận dụng những cuộc điều tra tự động. Điều
này giúp tiết kiệm thời gian và gia tăng hiệu suất điều tra. Phản ứng
Khi đã xác định được mối đe dọa, SIEM cung cấp dữ liệu sự kiện trong khoảng thời
gian thực cho nhóm SÓC để điều tra thêm. Các cảnh báo có khả năng kích hoạt
những cuộc điều tra tự động. Bên cạnh đó, hệ thống sẽ phản hồi nhanh chóng và xử
lý sự kiện hiệu quả nhờ quy trình tự động hoá.
Đặc biệt, đội ngũ an ninh mạng có thể phản ứng với các sự cố bằng việc sử dụng
playbook và quy trình tự động hoá. Nhờ đó, họ có thể xây dựng những chương trình
ứng phó sự cố, sau đó thiết lập giải pháp tự động cho những trường hợp tương tự.
- Các chức năng cơ bản của SIEM:
SIEM cung cấp những chức năng cốt lõi sau:
● Ghi nhật ký hoạt động quản lý: SIEM tập hợp lượng lớn dữ liệu vào một nơi,
sau đó xác định dấu hiệu của hoạt động tấn công hoặc mối đe doạ. Nhờ đó
doanh nghiệp có thể dễ dàng tổ chức hoá thông tin và nhận biết sự cố an ninh nhanh chóng.
● Liên kết tương quan dữ liệu: Dữ liệu được tổ chức sử dụng để xác định những
mối quan hệ và mẫu hình. Từ những thông tin được liên kết, doanh nghiệp sẽ
phát hiện và ứng phó với các mối nguy cơ ẩn một cách nhanh chóng. Quá
trình này giúp tạo nên cái nhìn toàn diện về cấu trúc mối quan hệ giữa các sự kiện.
● Giám sát và ứng phó với sự cố: SIEM giám sát sự cố an ninh trên mạng lưới
của tổ chức, cảnh báo và theo dõi những hoạt động có liên quan. Nhờ vậy mà
tổ chức phản ứng và ứng phó nhanh chóng với mọi rủi ro có thể xảy ra. lOMoAR cPSD| 58728417
Ngoài ra, SIEM còn giúp giảm thiểu rủi ro trên mạng bằng việc phát hiện các hành
động đáng ngờ của người dùng, sau đó giám sát hành vi và hạn chế việc họ nỗ lực truy cập dữ liệu.
- Các mối đe dọa có thể được phát hiện bởi SIEM: APT
Cuộc tấn công APT thường xảy ra với tần suất thấp và chậm để tránh bị phát hiện.
Tuy nhiên, SIEM có khả năng phát hiện bất thường trong thời gian thực để giúp các
nhóm SÓC tập trung vào những sự kiện quan trọng trước một cuộc tấn công.
Mối đe dọa nội bộ
Mối đe dọa nội bộ xảy ra khi người dùng sử dụng quyền truy cập hợp pháp nhằm
gây tổn hại cho doanh nghiệp. SIEM tổng hợp dữ liệu để tạo hồ sơ người dùng và
phát hiện các bất thường. Hệ thống dùng machine learning để phân tích người dùng
và cảnh báo hoạt động đáng ngờ.
Lừa đảo (Phishing) lOMoAR cPSD| 58728417
SIEM phát hiện các dấu hiệu lừa đảo như tiêu đề email đáng ngờ, hành vi không
bình thường trong giao tiếp email và rò rỉ dữ liệu tiềm ẩn. Ngoài ra, giải pháp này
cũng được tích hợp với những công cụ Endpoint Security và phát hiện hành vi đáng
ngờ trên điểm cuối có thể chính là dấu hiệu của cuộc tấn công lừa đảo.
Security data flow diagram của sơ đồ hoạt động của security onion:
1. Thành phần Thu thập Dữ liệu (Data Collection)
Sniff Traffic (Thu thập gói tin mạng)
● Mục tiêu: Bắt gói tin mạng để phân tích, phát hiện các mối đe dọa và sự bất thường. ● Tính năng: lOMoAR cPSD| 58728417
Sử dụng sensor network để thu thập gói tin từ các mạng mục tiêu.
○ Hỗ trợ SPAN port và network tap để thu thập toàn bộ lưu lượng mạng.
○ Full Packet Capture (FPC): Lưu trữ toàn bộ gói tin để phân tích sâu và tái tạo sự kiện.
○ Có thể cấu hình rule-based filtering để lọc lưu lượng không cần thiết
và tối ưu hóa tài nguyên.
Distribute Traffic Among Workers (Phân phối lưu lượng giữa các worker)
● Mục tiêu: Tăng hiệu suất xử lý bằng cách phân phối lưu lượng đến nhiều worker node. ● Tính năng:
○ Load Balancing: Phân phối thông minh lưu lượng mạng giữa các node dựa trên tải trọng.
○ Sử dụng PF_RING để tăng tốc độ xử lý gói tin, giảm độ trễ.
○ Đảm bảo no packet loss (không bỏ sót gói tin quan trọng) trong môi
trường có lưu lượng lớn.
Mgmt/Syslog collection (Quản lý và thu thập syslog):
● Thành phần này chịu trách nhiệm thu thập các bản ghi sự kiện (log) từ các
thiết bị khác nhau trong mạng. ● Kết nối sử dụng:
○ Cổng 514 (TCP/UDP) để nhận syslog thông thường.
○ Cổng 1514 (UDP) dành riêng cho giao tiếp với OSSEC agent (một công
cụ phát hiện xâm nhập).
2. Xử lý và Phân tích (Processing & Analysis)
Process Traffic (Xử lý lưu lượng)
Các thành phần xử lý: ● netsniff-ng:
○ Là công cụ giám sát và thu thập lưu lượng mạng hiệu năng cao. lOMoAR cPSD| 58728417 ○ Chức năng:
■ Ghi lưu lượng mạng thô.
■ Chụp gói tin phục vụ mục đích phân tích.
Được sử dụng để cung cấp dữ liệu đầu vào cho các công cụ phân tích
sâu hơn như Snort/Suricata hoặc Bro. ● Snort/Suricata:
○ Đây là các công cụ phát hiện xâm nhập (IDS) hoặc phòng thủ xâm nhập (IPS). ○ Snort:
■ Phát hiện các mẫu tấn công dựa trên quy tắc.
■ Nổi bật với khả năng phân tích gói tin theo chiều sâu (deep packet inspection). ○ Suricata:
■ Tương tự Snort nhưng hỗ trợ xử lý đa luồng và tích hợp thêm tính
năng như phân tích lưu lượng TLS/HTTPS. ○ Vai trò:
■ Phát hiện các hành vi xâm nhập trái phép.
■ Tạo cảnh báo khi phát hiện mối đe dọa.
● Bro (hiện được gọi là Zeek):
○ Một nền tảng phân tích mạng tập trung vào giám sát hoạt động mạng
và phát hiện bất thường.
○ Khác biệt với Snort/Suricata:
■ Không chỉ dựa vào quy tắc.
■ Cung cấp khả năng phân tích hành vi và tương quan dữ liệu mạng (log-based analysis). ○ Chức năng:
■ Tập trung vào việc phân tích gói tin mạng và trích xuất thông tin
quan trọng từ lưu lượng. ● OSSEC:
○ Một hệ thống phát hiện xâm nhập dựa trên host (HIDS - Host Intrusion Detection System). ○ Chức năng:
■ Giám sát log, kiểm tra toàn vẹn file, và phát hiện rootkit. lOMoAR cPSD| 58728417
■ Phân tích log được thu thập (ví dụ, từ Snort, Suricata, Bro) để phát
hiện các vấn đề bảo mật. ●
Alerts/Logs (Cảnh báo và nhật ký)
● Mục tiêu: Tạo cảnh báo và lưu trữ nhật ký để theo dõi các mối đe dọa. ● Tính năng:
○ Alert Generation: Sinh cảnh báo dựa trên rule-based hoặc machine learning.
Event Correlation: Kết nối các sự kiện từ nhiều nguồn để tạo bức lOMoAR cPSD| 58728417 tranh toàn cảnh.
○ Log Enrichment: Kết hợp dữ liệu với threat intelligence để làm rõ bối cảnh.
○ Priority Ranking: Đánh dấu mức độ ưu tiên của các cảnh báo.
3. Kiến trúc Master Server (Master Server Architecture)
Centralized Management (Quản lý tập trung)
● Mục tiêu: Đơn giản hóa việc quản lý cấu hình, giám sát và cập nhật hệ thống. ● Tính năng:
○ Configuration Management: Quản lý và phân phối cấu hình đến các node.
○ Health Monitoring: Theo dõi tình trạng hệ thống và các node.
○ User Access Control: Quản lý quyền truy cập của người dùng.
○ API Management: Cung cấp API để tích hợp với các hệ thống bên ngoài.
Integration Services (Dịch vụ tích hợp)
● Elasticsearch: Xử lý tìm kiếm và phân tích dữ liệu log.
● Logstash: Thu thập, xử lý và chuyển tiếp log.
● Kibana: Giao diện trực quan để phân tích và hiển thị dữ liệu.
● Zeek: Phân tích hành vi mạng và tạo log chi tiết.
● Suricata: Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS)
4. Hạ tầng Lưu trữ (Storage Infrastructure)
Distributed Storage (Lưu trữ phân tán)
● Mục tiêu: Đảm bảo khả năng lưu trữ dữ liệu lâu dài và truy xuất nhanh. ● Tính năng:
○ Hot Storage: Lưu trữ dữ liệu gần đây trên SSD để truy cập nhanh.
○ Warm Storage: Lưu trữ dữ liệu lâu hơn trên HDD với chi phí thấp hơn.
○ Cold Storage: Lưu trữ dữ liệu lưu trữ lâu dài hoặc để tuân thủ quy định.
○ Chính sách Data Retention và Backup & Recovery.
Performance Optimization (Tối ưu hiệu năng)