báo cáo thực tập tốt nghiệp tích hợp vulnerability assessment open vas với siem splunk

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.25 MB, 79 trang )

<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">

<b>BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC GIA ĐỊNH KHOA CÔNG NGHỆ THÔNG TIN </b>

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

<b>ĐÁNH GIÁ CỦA ĐƠN VỊ THỰC TẬP</b>

<b>1.Thái độ tác phong trong thời gian thực tập:</b>

... ....

<b>2.Kiến thức chuyên môn:</b>

... ....

<b>3.Nhận thức thực tế:</b>

... ....

<b>4.Đánh giá khác:</b>

... ....

<b>5. Đánh giá chung kết quả thực tập:</b>

<i>………, ngày ……… tháng ……… năm …………</i>

<b>TM. Đơn vị thực tập</b>

(Ký tên, đóng dấu)

</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">

<b>Mở đầu:---Trang…Giới thiệu về đơn vị thực tập---Trang…Chương 1.--- Trang…</b>

<b>Chương 2.--- Trang…</b>

<b>ĐÁNH GIÁ CỦA GIẢNG VIÊN HƯỚNG DẪN</b>

<b>1. Thái độ tác phong trong thời gian thực tập:</b>

... ....

<b>2. Kiến thức chuyên môn:</b>

... ....

<b>3. Nhận thức thực tế:</b>

... ....

<b>4. Đánh giá khác:</b>

... ....

<b>5. Đánh giá chung kết quả thực tập:</b>

<i>………, ngày ……… tháng ……… năm …………</i>

<b>Giảng viên hướng dẫn</b>

(Ký tên, ghi rõ họ tên)

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

Trường Đại học Gia Định Cộng hồ xã hội chủ nghĩa Việt NamKhoa Cơng Nghệ Thông Tin Độc lập - Tự do - Hạnh phúc

<b>BÁO CÁO THỰC TẬP TỐT NGHIỆP HÀNG TUẦN</b>

Họ và tên SV: LÊ QUANG ĐẠI DĨ MSSV: 2008110065Lớp: K14DCATTT

Giảng viên hướng dẫn: ThS. NGUYỄN NGỌC ĐẠI

Tên doanh nghiệp (đơn vị) đến thực tập: CÔNG TY CỔ PHẦN GIẢI PHÁP VÀ DỊCH VỤ HTC GLOBAL

Địa chỉ: 17 Hồ Bá Kiện Phường 15 Quận 10 Tp.Hồ Chí Minh , Việt NamĐiện thoại: (+84) 853 287 799

Tên cán bộ phụ trách thực tập tại doanh nghiệp: NGUYỄN DUY PHƯỚCThời gian thực tập: 2 tháng Từ: 01/05/2023 Đến: 01/07/2023

<b>SttTuần thứNội dung CV thực tập trong tuần</b>

<b>Nhận xét của CBhướng dẫn tại</b>

<b>Nhận xét củagiảng viênhướng dẫn</b>

Tuần 1(Từ ngày …đến ngày…)

Tìm hiểu, viết báo cáo Splunk Fudamentals F1 , F2

Báo cáo của bạn không chỉ cung cấp thơng tin rõ ràng và chính xác về Splunk , mà cho thấy sự hiểu biết sâu sắc về khái niệm cốt lõi của nền tảng

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

Tuần 2(Từ ngày …đến ngày…)

Phân tích Log trong Splunk dựa vào kiến thức của F1 ,F2

Thể hiện sự hiểu biết rõ ràng về cách thu thập và xử lý dữ liệu log trong Splunk

Tuần 3(Từ ngày …đến ngày…)

Tìm hiểu, báo cáo về Vulnerability Assessment

Phân tích và trình bày tốt trong báo cáo về

Vulnerability Assessment

Tuần 4(Từ ngày …đến ngày…)

Cài đặt và vận hành OpenVas

Khả năng hiểu biết và thực hành của bạn trong lĩnhvực này đã được chứng minh qua báo cáo và thực hành thực tế

Tuần 5(Từ ngày …đến ngày…)

Tích hợp OpenVas với SIEM

Bạn đã thực hiện một công việc xuất sắc trong nghiên cứu và tích hợp OpenVasvới SIEM

(Từ ngày …đến ngày…)

Phân tích Log được Splunk thu thập từ OpenVas

Hiểu rõ về dữ liệulog từ OpenVas và quan trọng nhất , cách phân tích chúng bằng

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

Tuần 7(Từ ngày …đến ngày …)

Thu thập các field chứa nội dung quan trọng từ Log

Bạn đã tận dụng tối đa thơng tin hữu ích từ log và tăng cường q trình phân tích và giám sát

Tuần 8(Từ ngày …đến ngày …)

Xây dựng Dashboard

Bạn đã thể hiện một sự hiểu biết sâu sắc về việc xây dựng

dashboard trong Splunk và thực hiện công việc một các chuyên nghiệp và tỉ mỉ

BỘ GIÁO DỤC VÀ ĐÀO TẠO

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

TRƯỜNG ĐẠI HỌC GIA ĐỊNH

<b>KHOA CÔNG NGHỆ THÔNG TIN---</b>

Điện thoại:0929860265 E-mail :

Địa chỉ : 125/14A Vạn Kiếp Phường 3 Quận Bình Thạnh Tp.Hồ Chí Minh , ViệtNam

Nơi cơng tác: CƠNG TY CỔ PHẦN GIẢI PHÁP VÀ DỊCH VỤ HTC GLOBAL

- Hiểu kiến thức cơ bản về an ninh mạng

- Tìm hiểu các hệ thống SIEM

- Tìm hiểu về các hệ thống Vulnerability Assessment

</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">

- Tích hợp Vulnerability Assessment với SIEM

<i><b>4. NỘI DUNG THỰC TẬP (ghi các nội dung chính sẽ thực hiện)</b></i>

- Nghiên cứu và tìm hiểu về Splunk Fudamentals F1 , F2

- Tìm hiểu MITRE ATT&CK

- Xây dựng và vận hành Vulnerability Assessment (OpenVas) với SIEM(Splunk)

- Hiểu rõ được các khái niệm, kỹ thuật cơ bản được đề cập trong các tài liệu

- Phát triển kỹ năng của bản thân trong lĩnh vực an tồn thơng tin

<b>6. CÔNG CỤ VÀ MÔI TRƯỜNG PHÁT TRIỂN</b>

- Vmware, Linux Ubuntu 22.04 Server LTS , Windows 10

- Virustotal , Greenbone Security Assistant , Docker , Community GSA.

<i><b>7. KẾ HOẠCH THỰC HIỆN (nêu rõ các mốc thời gian)</b></i>

1 (Từ ngày …/…<sup>Tuần 1</sup>đến ngày …/…)

Tìm hiểu, viết báo cáo Splunk Fudamentals F1 , F2

2 (Từ ngày …/…<sup>Tuần 2</sup>đến ngày …/…)

Phân tích Log trong Splunk dựa vào kiến thức củaF1 ,F2

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

đến ngày …/…)5 (Từ ngày …/…<sup>Tuần 5</sup>

đến ngày …/…) <sup>Tích hợp OpenVas với SIEM</sup>

Tuần 6(Từ ngày …/…

đến ngày …/…) <sup>Phân tích Log được Splunk thu thập từ OpenVas</sup>7

Tuần 7(Từ ngày …/…

đến ngày …/…) <sup>Thu thập các field chứa nội dung quan trọng từ Log</sup>8

Tuần 8(Từ ngày …/…

- Hiểu rõ được các khái niệm, kỹ thuật cơ bản được đề cập trong các tài liệu

- Phát triển kỹ năng triển khai và vận hành

<i><b>9. CÁC VẤN ĐỀ KHÁC (kiến nghị, góp ý về quá trình thực tập, v.v..)</b></i>

- Khơng có

Ngày nhận đề tài: 01/05/2023

Ngày nộp báo cáo kết thúc: 01/07/2023

Ý kiến phê duyệt của người hướng dẫn về nội dung đề cương:

Các nội dung tìm hiểu mang tính thực tiễn, đi từ bao qt đến chi tiết, trải nghiệm khía cạnh Phân tích mã độc, từ đó vận dụng cho khả năng Phân tích sự cố sau này của thực tập sinh

</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">

(Ký tên và ghi họ tên) (Ký tên và ghi họ tên)

<b>LÊ QUANG ĐẠI DĨ</b>

</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">

<b>CHƯƠNG I : GIỚI THIỆU CHUNG...2</b>

<b>1. Giới thiệu về Vulnerablity Assessment...2</b>

<b>CHƯƠNG II : VULNERABILITY ASSESSMENT...13</b>

<b>1. Cài đặt công cụ OpenVas ( Greenbone Security Assistant )...13</b>

<b>1.1 Cài đặt bằng Source...13</b>

<b>1.1.1 Chuẩn bị phần cứng...13</b>

<b>1.1.2 Source...13</b>

<b>2. Khắc phục các vấn đề thường gặp trong quá trình cài đặt...46</b>

<b>3. Xây dựng hệ thống Scanning trên OpenVas...47</b>

<b>4. Phân tích kết quả khi Scan hồn thành...51</b>

<b>CHƯƠNG III : SIEM...54</b>

<b>1. Cài đặt cơng cụ Splunk...54</b>

<b>2. Cài đặt App để tích hợp OpenVas...56</b>

<b>3. Định cấu hình cảnh báo Splunk...59</b>

<b>CHƯƠNG IV : TÍCH HỢP VULNERABLITY ASSESSMENT ( OPENVAS) VỚI SIEM ( SPLUNK )...61</b>

<b>2. Xây dựng Dashboard giám sát...62</b>

<b>CHƯƠNG V : KẾT LUẬN...64</b>

</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">

<b>Hình 1 : OpenVas đã khởi động...49</b>

<b>Hình 2 : Giao diện đăng nhập Greenbone Security Assistant...50</b>

<b>Hình 7 : Giao diện đăng nhập của Splunk...58</b>

<b>Hình 8: Cài đặt ứng dụng Splunk...59</b>

<b>Hình 9 : Kiểm tra cổng của ứng dụng Greenbone-Splunk...60</b>

<b>Hình 10 : Thay đổi bí danh tên trường...61</b>

<b>Hình 11 : Định cấu hình cảnh báo Splunk...62</b>

<b>Hình 13 : Log đã thu thập được từ OpenVas...64</b>

<b>Hình 14 : Bảng điều khiển Greenbone trong ứng dụng Splunk...64</b>

</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">

<b>Greenbone-MỞ ĐẦU</b>

Trong thời đại số hóa ngày nay, an tồn thơng tin đóng vai trị cực kỳ quan trọngtrong việc bảo vệ thông tin và dữ liệu quan trọng của các tổ chức. Trong khnkhổ của chương trình thực tập của trường Đại Học Gia Định, tơi đã có cơ hộiđược tham gia vào một dự án thực tế về ứng phó sự cố, chính là thực tập SOC tạiCơng Ty Cổ Phần Dịch Vụ Và Giải Pháp HTC Global. Trong q trình thực tập,tơi đã được thực hiện các hoạt động như nhận và phân loại sự cố, phân tích vàkhắc phục sự cố, đảm bảo các sự cố được giải quyết một cách hiệu quả và khônggây ra tổn thất cho công ty

Báo cáo này được viết nhằm trình bày kết quả của quá trình thực tập của tôi đồngthời chia sẻ các kinh nghiệm và kiến thức mà tôi đã học được. Báo cáo này baogồm các phần chính sau:

<b>Chương I: Giới thiệu chung</b>

<b>Chương II: Vulnerablity AssessmentChương III: SIEM</b>

<b>Chương IV: Tích hợp Vulnerablity Assessment (OpenVas) với SIEM (Splunk)Chương V: Kết luận</b>

Tôi hy vọng rằng báo cáo này sẽ cung cấp cho các bạn đọc một cái nhìn tổngquan về q trình thực tập của tơi tại Cơng Ty Cổ Phần Giải Pháp Và Dịch VụHTC Global và đóng góp vào việc nâng cao kiến thức và kỹ năng về bảo mật hệthống.

Xin chân thành cảm ơn!

Thành phố Hồ Chí Minh, tháng 07, năm 2023 Sinh viên

<b>LÊ QUANG ĐẠI DĨ</b>

</div><span class="text_page_counter">Trang 15</span><div class="page_container" data-page="15">

<b>CHƯƠNG I : GIỚI THIỆU CHUNG</b>

1. Giới thiệu về Vulnerablity Assessment

<b>1.1 Vulnerability Assessment là gì ?</b>

Vulnerability Assessment (Đánh giá lỗ hổng) là q trìnhphân tích, đánh giá và xác định các lỗ hổng bảo mật trong hệthống, mạng, ứng dụng và các tài sản thông tin khác của một tổchức hoặc cá nhân. Mục tiêu của Vulnerability Assessment là tìmra các điểm yếu tiềm tàng trong mơi trường kỹ thuật số và đưa racác biện pháp cải thiện để bảo vệ chống lại các cuộc tấn công vàrủi ro bảo mật.

Quá trình Vulnerability Assessment thường bao gồm cácbước sau:

a. Thu thập thông tin: Xác định các hệ thống, ứngdụng và thiết bị trong mạng cần được đánh giá.Thu thập thông tin chi tiết về các thành phần nàybao gồm phiên bản phần mềm, cấu hình, và cấutrúc mạng.

<small>b.</small> Quét lỗ hổng: Sử dụng các công cụ tự động hoặchệ thống quét bảo mật để phát hiện các lỗ hổngbảo mật trong các thành phần đã xác định. Các lỗhổng này có thể bao gồm các lỗ hổng phần mềm,cấu hình khơng an tồn, thiếu các bản vá bảo mậtvà các vấn đề bảo mật khác.

<small>c.</small> Phân tích và đánh giá: Đánh giá mức độ nghiêmtrọng của các lỗ hổng đã tìm thấy, xác định tầm

</div><span class="text_page_counter">Trang 16</span><div class="page_container" data-page="16">

ảnh hưởng và khai thác tiềm năng của chúng.Điều này giúp xác định các lỗ hổng quan trọngcần được giải quyết ưu tiên và hạn chế nguy cơ bịtấn công.

<small>d.</small> Đưa ra biện pháp cải thiện: Dựa trên kết quả đánhgiá, đề xuất các biện pháp cải thiện để giảm thiểucác lỗ hổng bảo mật và tăng cường mơi trường antồn. Các biện pháp này có thể bao gồm cài đặtcác bản vá bảo mật, cấu hình lại hệ thống, sửa lỗiphần mềm và triển khai các biện pháp bảo mậtmới.

<small>e.</small> Báo cáo: Tạo báo cáo chi tiết về các lỗ hổng đãtìm thấy, bao gồm mơ tả về mỗi lỗ hổng, mức độnghiêm trọng, tầm ảnh hưởng và các biện phápkhắc phục đề xuất. Báo cáo cần được biên tập vàtrình bày một cách rõ ràng để người quản lý vànhân viên kỹ thuật có thể hiểu và triển khai cácbiện pháp cải thiện.

Quá trình Vulnerability Assessment là một phần quan trọngtrong việc duy trì và nâng cao mức độ an tồn và bảo mật thơng tincủa tổ chức hoặc hệ thống kỹ thuật số. Nó giúp phát hiện và khắcphục các lỗ hổng bảo mật trước khi chúng trở thành điểm yếu dễ bịtấn công.

<b>1.2 Sản phẩm được sử dụng cho Vulnerability Assessment </b>

Có nhiều sản phẩm và cơng cụ được sử dụng để thực hiệnVulnerability Assessment (Đánh giá lỗ hổng), mỗi cơng cụ có các

</div><span class="text_page_counter">Trang 17</span><div class="page_container" data-page="17">

tính năng và ưu điểm riêng. Dưới đây là một số sản phẩm phổ biếnđược sử dụng cho Vulnerability Assessment:

<small>a.</small> Nessus: Nessus là một trong những công cụ phổbiến nhất và mạnh mẽ trong lĩnh vựcVulnerability Assessment. Nó cung cấp khả năngquét tự động và phát hiện các lỗ hổng bảo mậttrong các hệ thống, ứng dụng và mạng. Nessus cómột cơ sở dữ liệu lỗ hổng lớn và được cập nhậtthường xuyên.

<small>b.</small> OpenVAS: OpenVAS (Open VulnerabilityAssessment System) là một công cụ mã nguồn mởđược phát triển dựa trên Nessus. Nó cũng cungcấp khả năng quét tự động và phát hiện các lỗhổng bảo mật, nhưng là một giải pháp mã nguồnmở, miễn phí và có sự hỗ trợ từ cộng đồng.

<small>c.</small> Qualys: Qualys là một công ty cung cấp các giảipháp bảo mật mạng, trong đó bao gồm cơng cụVulnerability Assessment có tên QualysVulnerability Management. Công cụ này cung cấpkhả năng quét và phát hiện các lỗ hổng bảo mậttrên mạng, ứng dụng và hệ điều hành.

<small>d.</small> Rapid7 Nexpose: Nexpose là một công cụVulnerability Assessment của Rapid7. Nó cungcấp khả năng quét lỗ hổng tự động và đánh giámức độ nghiêm trọng của chúng, đồng thời cungcấp báo cáo chi tiết để hỗ trợ người dùng xác định

</div><span class="text_page_counter">Trang 18</span><div class="page_container" data-page="18">

và khắc phục các vấn đề bảo mật.

<small>e.</small> Acunetix: Acunetix là một công cụ VulnerabilityAssessment chuyên dụng trong lĩnh vực ứng dụngweb. Nó tập trung vào việc phát hiện các lỗ hổngbảo mật phổ biến trong ứng dụng web như SQLInjection, Cross-Site Scripting (XSS) và CSRF(Cross-Site Request Forgery).

<small>f.</small> Tenable.io: Tenable.io là một giải phápVulnerability Assessment dựa trên điện toán đámmây, cung cấp khả năng quét lỗ hổng trên hệthống và mạng. Nó cũng hỗ trợ giám sát liên tụcvà phát hiện các sự cố bảo mật mới.

<small>g.</small> OpenSCAP: OpenSCAP là một công cụ mãnguồn mở được sử dụng để kiểm tra và tuân thủcác tiêu chuẩn bảo mật như CIS (Center forInternet Security) benchmarks và STIG (SecurityTechnical Implementation Guide) của DoD.

Các công cụ này chỉ là một số trong số rất nhiều cơng cụVulnerability Assessment có sẵn. Sự lựa chọn của cơng cụ cụ thểphụ thuộc vào nhu cầu và mục tiêu của tổ chức, tính năng cần thiếtvà ngân sách.

Mục tiêu và phạm vi ảnh hưởng của VulnerabilityAssessment (Đánh giá lỗ hổng) là nhằm tăng cường mức độ an

</div><span class="text_page_counter">Trang 19</span><div class="page_container" data-page="19">

tồn và bảo mật của mơi trường kỹ thuật số của một tổ chức hoặccá nhân. Quá trình Vulnerability Assessment đề xuất xác định vàgiải quyết các lỗ hổng bảo mật có thể được sử dụng để tấn công hệthống và đánh cắp thông tin nhạy cảm. Dưới đây là mục tiêu vàphạm vi ảnh hưởng của Vulnerability Assessment:

a. Phát hiện lỗ hổng bảo mật: Mục tiêu chính củaVulnerability Assessment là xác định các lỗ hổng bảomật trong môi trường kỹ thuật số. Điều này bao gồmphát hiện các lỗ hổng trong phần mềm, cấu hình, hệthống và mạng mà kẻ tấn cơng có thể khai thác đểxâm nhập vào hệ thống.

b. Đánh giá mức độ nghiêm trọng: VulnerabilityAssessment cũng nhằm xác định mức độ nghiêmtrọng của các lỗ hổng bảo mật đã phát hiện. Việcđánh giá này giúp người quản trị và nhân viên kỹthuật ưu tiên các lỗ hổng quan trọng để giải quyết đầutiên, nhằm giảm thiểu nguy cơ bị tấn cơng.

c. Tìm kiếm các giải pháp khắc phục: Mục tiêu cuốicùng của Vulnerability Assessment là đề xuất cácbiện pháp khắc phục và cải thiện để giảm thiểu nguycơ bị tấn công và cải thiện mức độ bảo mật tổng thểcủa hệ thống.

<b>1.3.2 Phạm vi ảnh hưởng:</b>

</div><span class="text_page_counter">Trang 20</span><div class="page_container" data-page="20">

a. Hệ thống: Vulnerability Assessment xác định cáclỗ hổng bảo mật trong hệ điều hành, phần mềm vàcác ứng dụng trên các máy chủ và máy trạm trongmạng.

b. Mạng: Đánh giá phạm vi mạng để xác định cácđiểm yếu trong cấu hình mạng, các dịch vụ đang chạyvà các cổng mạng mở để hạn chế các điểm tiếp xúcvới bên ngồi khơng an tồn.

c. Ứng dụng web: Vulnerability Assessment pháthiện các lỗ hổng bảo mật phổ biến trong các ứngdụng web như SQL Injection, Cross-Site Scripting(XSS) và các lỗ hổng XSS khác.

d. Chính sách và tuân thủ: Đánh giá tuân thủ cácchính sách bảo mật, đảm bảo rằng các tiêu chuẩn bảomật được thực hiện và các quy tắc bảo mật đang đượctuân thủ.

e. Nhân viên: Đánh giá nhận thức và hiểu biết về bảomật của nhân viên và cung cấp đào tạo để nâng caonhận thức và khả năng phản ứng đối với các mối đedọa bảo mật.

Quá trình Vulnerability Assessment giúp xác định các điểmyếu tiềm ẩn và cung cấp thông tin cần thiết để đưa ra các biện phápbảo mật hiệu quả và tăng cường mức độ an toàn của tổ chức hoặchệ thống kỹ thuật số.

2. Giới thiệu về SIEM

</div><span class="text_page_counter">Trang 21</span><div class="page_container" data-page="21">

2.1 SIEM là gì ?

SIEM là viết tắt của cụm từ "Security Information and EventManagement," dịch ra tiếng Việt có thể hiểu là "Quản lý Thơng tinvà Sự kiện Bảo mật." Nó là một hệ thống phần mềm được sử dụngđể tự động thu thập, giám sát, phân tích và báo cáo về các hoạtđộng bảo mật và sự kiện liên quan đến an ninh trong môi trường kỹthuật số của một tổ chức hoặc hệ thống.

Mục tiêu chính của SIEM là cung cấp một cái nhìn tổngquan và tồn diện về tình trạng an ninh thông qua việc tập hợp,sàng lọc, kiểm tra và phân tích các dữ liệu từ nhiều nguồn khácnhau trong hạ tầng mạng và hệ thống của tổ chức. Các nguồn dữliệu này có thể bao gồm các log hệ thống, sự kiện mạng, hoạt độngcủa ứng dụng và các dữ liệu bảo mật khác.

Các tính năng và chức năng chính của SIEM bao gồm:a. Thu thập dữ liệu: SIEM thu thập các dữ liệu từ nhiều

nguồn, bao gồm các log từ hệ thống, mạng, ứngdụng, thiết bị và cơ sở dữ liệu.

<small>b.</small> Kiểm tra và phân tích: Dữ liệu được kiểm tra và phântích để xác định các mơ hình hoạt động bất thường,các sự kiện khơng bình thường, hay các hành vi gianlận tiềm tàng.

<small>c.</small> Báo cáo và cảnh báo: SIEM tạo ra các báo cáo chitiết và cảnh báo tức thì khi phát hiện các hoạt độngbất thường hoặc các mẫu tấn cơng có thể đe dọa antồn mạng.

</div><span class="text_page_counter">Trang 22</span><div class="page_container" data-page="22">

d. Quản lý sự cố: SIEM hỗ trợ quản lý sự cố và phảnứng nhanh chóng đối với các vấn đề bảo mật để giảmthiểu thiệt hại.

<small>e.</small> Tuân thủ và giám sát: SIEM giúp tổ chức tuân thủcác tiêu chuẩn và quy tắc bảo mật bằng cách kiểm travà giám sát việc thực hiện các chính sách bảo mật.Sử dụng SIEM giúp cải thiện khả năng phát hiện và ứng phóvới các mối đe dọa bảo mật, giúp tăng cường mức độ an toàn vàbảo mật trong môi trường kỹ thuật số của tổ chức.

2.2 Sản phẩm được sử dụng cho SIEM

Có nhiều sản phẩm và giải pháp SIEM phổ biến được sửdụng để triển khai hệ thống quản lý thông tin và sự kiện bảo mật.Dưới đây là một số sản phẩm nổi tiếng trong lĩnh vực SIEM:

<small>a.</small> Splunk Enterprise: Splunk Enterprise là một nền tảngSIEM mạnh mẽ, hỗ trợ thu thập và phân tích dữ liệutừ nhiều nguồn khác nhau. Nó cung cấp các tính năngtìm kiếm, xem xét và báo cáo để giám sát và phảnứng nhanh chóng đối với các hoạt động khơng bìnhthường.

<small>b.</small> IBM QRadar: IBM QRadar là một giải pháp SIEMmạnh mẽ và tồn diện, hỗ trợ phân tích lớp dữ liệu vàsự kiện từ hệ thống, ứng dụng và mạng. Nó cung cấpcác tính năng tự động hóa và cảnh báo thời gian thực.

</div><span class="text_page_counter">Trang 23</span><div class="page_container" data-page="23">

<small>c.</small> ArcSight (HPE Security ArcSight): ArcSight là mộtgiải pháp SIEM được phát triển bởi Hewlett PackardEnterprise (HPE), giúp tổ chức tập trung thu thập vàphân tích dữ liệu bảo mật từ nhiều nguồn.

d. LogRhythm: LogRhythm là một nền tảng SIEM tíchhợp, cung cấp khả năng giám sát, phân tích và báocáo dữ liệu bảo mật từ hệ thống và mạng.

<small>e.</small> SolarWinds Security Event Manager (SEM): SEM làmột giải pháp SIEM dựa trên đám mây, cung cấp khảnăng giám sát và phân tích dữ liệu từ nhiều nguồnkhác nhau.

<small>f.</small> McAfee Enterprise Security Manager (ESM):McAfee ESM cung cấp khả năng giám sát, phân tíchvà phản ứng đối với các sự kiện bảo mật trong môitrường kỹ thuật số.

g. Elastic SIEM: Elastic SIEM là một giải pháp SIEMmã nguồn mở, được tích hợp với Elasticsearch,Logstash và Kibana để cung cấp khả năng thu thập,lưu trữ, phân tích và hiển thị dữ liệu bảo mật.

<small>h.</small> Graylog: Graylog là một giải pháp SIEM mã nguồnmở, giúp thu thập, xử lý và phân tích dữ liệu log vàsự kiện từ nhiều nguồn.

Đây chỉ là một số ví dụ về các sản phẩm SIEM phổ biến.Mỗi sản phẩm có các đặc điểm và tính năng riêng, và lựa chọn của

</div><span class="text_page_counter">Trang 24</span><div class="page_container" data-page="24">

công cụ cụ thể phụ thuộc vào yêu cầu và mục tiêu của tổ chức,ngân sách và sự phù hợp với hạ tầng mạng hiện tại.

Mục tiêu và phạm vi ảnh hưởng của SIEM (SecurityInformation and Event Management) là nhằm cung cấp khả nănggiám sát, phân tích và quản lý thông tin và sự kiện bảo mật trongmôi trường kỹ thuật số của một tổ chức. SIEM giúp tổ chức nắmbắt tồn diện về tình trạng an ninh, phát hiện và đối phó nhanhchóng với các hoạt động bất thường, từ đó tăng cường mức độ antồn và bảo mật thông tin. Dưới đây là mục tiêu và phạm vi ảnhhưởng của SIEM:

<small>a.</small> Phát hiện và ngăn chặn các mối đe dọa: Mục tiêu chính củaSIEM là phát hiện sớm các hoạt động bất thường, như tấncông mạng, xâm nhập vào hệ thống, phần mềm độc hại vàcác sự kiện khơng bình thường khác. Bằng cách phát hiệncác mối đe dọa này một cách tức thì, SIEM giúp tổ chứcngăn chặn các cuộc tấn công và giảm thiểu thiệt hại.

<small>b.</small> Kiểm tra tuân thủ và chính sách bảo mật: SIEM hỗ trợ tổchức đảm bảo tuân thủ các tiêu chuẩn bảo mật và chính sáchan ninh thơng qua việc giám sát và phân tích việc thực thicác quy tắc và hành vi bảo mật.

<small>c.</small> Phản ứng nhanh chóng đối với các sự kiện bảo mật: SIEMgiúp tổ chức phản ứng nhanh chóng và hiệu quả đối với cácsự kiện bảo mật, từ việc tạo cảnh báo tức thì đến triển khai

</div><span class="text_page_counter">Trang 25</span><div class="page_container" data-page="25">

biện pháp hạn chế và giảm thiểu thiệt hại.

<small>d.</small> Tối ưu hóa sự phân tích dữ liệu: SIEM tổng hợp các dữ liệutừ nhiều nguồn khác nhau và phân tích chúng để cung cấpcái nhìn tổng quan về tình trạng an ninh của tổ chức, giúpngười quản lý và nhân viên kỹ thuật có cái nhìn tổng thể vàtồn diện.

<i><b>2.3.2. Phạm vi ảnh hưởng của SIEM</b></i>

a. Hệ thống: SIEM giám sát các sự kiện bảo mật từ hệ thốngmáy tính, máy chủ, trạm làm việc và các thiết bị kỹ thuật sốkhác.

<small>b.</small> Mạng: SIEM thu thập và phân tích các sự kiện mạng từ cácthiết bị mạng như tường lửa, bộ định tuyến và cổng mạng.c. Ứng dụng: SIEM theo dõi các hoạt động của các ứng dụng,

bao gồm các ứng dụng web và ứng dụng di động, để pháthiện các mối đe dọa tiềm ẩn.

<small>d.</small> Dữ liệu và cơ sở dữ liệu: SIEM giám sát việc truy cập và xửlý dữ liệu trong cơ sở dữ liệu để ngăn chặn sự cố và lỗi bảomật.

e. Nhân viên: SIEM cũng có thể giám sát hoạt động của nhânviên để phát hiện các hành vi khơng bình thường hoặc đángngờ.

</div><span class="text_page_counter">Trang 26</span><div class="page_container" data-page="26">

Tóm lại, SIEM giúp tổ chức có cái nhìn tổng quan và tồn diệnvề tình trạng an ninh của mơi trường kỹ thuật số. Nó giúp phát hiệnsớm các mối đe dọa và hỗ trợ tổ chức phản ứng nhanh chóng đốivới các sự kiện bảo mật, từ đó nâng cao mức độ an toàn và bảo mậttrong hệ thống và dữ liệu.

<b>CHƯƠNG II : VULNERABILITY ASSESSMENT </b>

<small>1.</small> <b>Cài đặt công cụ OpenVas ( Greenbone Security Assistant )1.1 Cài đặt bằng Source</b>

<b>1.1.1 Chuẩn bị phần cứng </b>

Máy ảo Ubuntu 22.04Lõi CPU : 4

RAM : 4 GBDISK : 100 GB

<b>1.1.2 Source</b>

<i><b>1.1.2.1Tạo người dùng và nhóm#</b></i>

Các dịch vụ được cung cấp bởi Greenbone Community Edition nên chạynhư một người dùng chuyên dụng và nhóm. Do đó, một người dùng và mộtnhóm có cùng tên sẽ được tạo.gvm

Tạo người dùng và nhóm hệ thống gvm

sudo useradd -r -M -U -G sudo -s /usr/sbin/nologin gvm

<i><b>1.1.2.2 Điều chỉnh người dùng hiện tại</b></i>

Để cho phép người dùng hiện tại chạy gvmd, anh ta phải được thêm vàonhóm gvm. Để làm cho thay đổi nhóm có hiệu quả, hãy đăng xuất và đăng nhậplại hoặc sử dụng su.

Thêm người dùng hiện tại vào nhóm gvmsudo usermod -aG gvm $USER

su $USER

</div><span class="text_page_counter">Trang 27</span><div class="page_container" data-page="27">

Trước khi xây dựng ngăn xếp phần mềm, một thư mục (gốc) phải đượcchọn ở đâu Phần mềm được xây dựng cuối cùng sẽ được cài đặt. Ví dụ, khi xâydựng các gói, Các nhà phát triển phân phối đặt đường dẫn này thành ./usr

Theo mặc định, nó cũng được sử dụng trong hướng dẫn này. Này thư mụcsẽ được lưu trữ trong một biến môi trường để có thể tham chiếu saunày./usr/localINSTALL_PREFIX

Đặt biến môi trường tiền tố cài đặtexport INSTALL_PREFIX=/usr/local

Trên các hệ thống Debian, các vị trí , và khơng nằm trong số những ngườidùng bình thường. Để chạy gvmd nằm trong biến môi trường nên được điềuchỉnh./sbin/usr/sbin/usr/local/sbinPATH/usr/local/sbinPATH

Điều chỉnh PATH để chạy gvmd

export PATH=$PATH:$INSTALL_PREFIX/sbin

<i><b>1.1.2.5 Tạo nguồn, xây dựng và cài đặt thư mục</b></i>

Để tách các nguồn và các thành phần lạ xây dựng, một nguồn và một thưmục xây dựng phải được tạo ra.

Thư mục nguồn này sẽ được sử dụng sau trong hướng dẫn này thông quamột biến môi trường . Theo đó, một biến sẽ được thiết lập cho thư mục xây dựng.Cả hai đều có thể được đặt thành bất kỳ thư mục mà người dùng hiện tại cóquyền ghi. Do đó Các thư mục trong thư mục chính của người dùng hiện tại đượcchọn trong hướng dẫn này.SOURCE_DIRBUILD_DIR

Chọn thư mục nguồn

export SOURCE_DIR=$HOME/sourcemkdir -p $SOURCE_DIR

Chọn một thư mục xây dựngexport BUILD_DIR=$HOME/buildmkdir -p $BUILD_DIR

</div><span class="text_page_counter">Trang 28</span><div class="page_container" data-page="28">

Ngoài ra, một thư mục cài đặt sẽ được đặt làm biến môi trường. Nó đượcsử dụng như một thư mục cài đặt tạm thời trước khi di chuyển tất cả các hiện vậtđã xây dựng đến đích cuối cùng.INSTALL_DIR

Chọn thư mục cài đặt tạm thờiexport INSTALL_DIR=$HOME/installmkdir -p $INSTALL_DIR

Các hệ thống xây dựng mới hơn có thể gắn bó với các thẻ git.

Nếu bạn là một nhà phát triển và đã rất quen thuộc với việc xây dựng từnguồn, bạn Cũng có thể thử sử dụng các nhánh phát hành Git. Chúng có Ưu điểmlà chúng chứa các bản sửa lỗi mới nhất có thể chưa được bao gồm trong Pháthành tarballs hoặc thẻ git. Như một nhược điểm, các nhánh phát hành có thể chỉchứa các sự cố được khắc phục một phần và cần được cập nhật thường xuyênhơn.

Hướng dẫn này sẽ sử dụng tarballs để xây dựng phần mềm.

<i><b>1.1.2.7 Cài đặt Common Build Dependencies</b></i>

Để tải xuống, cấu hình, xây dựng và cài đặt Cộng đồng Greenbone Cácthành phần phiên bản, một số công cụ và ứng dụng được yêu cầu. Để cài đặt cáinày Yêu cầu Các lệnh sau có thể được sử dụng:

Cài đặt các phụ thuộc xây dựng phổ biếnsudo apt update

</div><span class="text_page_counter">Trang 29</span><div class="page_container" data-page="29">

sudo apt install --no-install-recommends --assume-yes \ build-essential \

curl \ cmake \ pkg-config \ python3 \ python3-pip \ gnupg

<i><b>1.1.2.8 Nhập khóa ký Greenbone</b></i>

Để xác thực tính tồn vẹn của các tệp nguồn đã tải xuống, GnuPG được sửdụng. Nó yêu cầu tải xuống Cộng đồng Greenbone Ký khóa cơng khai và nhậpnó vào khóa của người dùng hiện tại .keychain.

Nhập khóa ký cộng đồng Greenbone

curl -f -L -o/tmp/GBCommunitySigningKey.asc

gpg --import /tmp/GBCommunitySigningKey.asc

Để hiểu đầu ra xác thực của công cụ gpg, tốt nhất là đánh dấu Khóa kýcộng đồng Greenbone là hoàn toàn đáng tin cậy.

Đặt mức độ tin cậy cho khóa Ký cộng đồng Greenbone

echo "8AE4BE429B60A59B311C2E739823FAA60ED1E580:6:" | gpg ownertrust

Đặt phiên bản gvm-libs để sử dụngexport GVM_LIBS_VERSION=22.6.3

</div><span class="text_page_counter">Trang 30</span><div class="page_container" data-page="30">

Các phụ thuộc bắt buộc cho gvm-libssudo apt install -y \

libglib2.0-dev \ libgpgme-dev \ libgnutls28-dev \ uuid-dev \

libssh-gcrypt-dev \ libhiredis-dev \ libxml2-dev \ libpcap-dev \ libnet1-dev \ libpaho-mqtt-dev

Phụ thuộc tùy chọn cho gvm-libssudo apt install -y \

libldap2-dev \ libradcli-dev

Tải xuống các nguồn gvm-libs

-o $SOURCE_DIR/gvm-libs-$GVM_LIBS_VERSION.tar.gz

-o $SOURCE_DIR/gvm-libs-$GVM_LIBS_VERSION.tar.gz.asc

Xác minh tệp nguồn

gpg --verify $SOURCE_DIR/gvm-libs-$GVM_LIBS_VERSION.tar.gz.asc$SOURCE_DIR/gvm-libs-$GVM_LIBS_VERSION.tar.gz

Đầu ra của lệnh cuối cùng phải tương tự như:

gpg: Signature made Fri Apr 16 08:31:02 2021 UTC

</div><span class="text_page_counter">Trang 31</span><div class="page_container" data-page="31">

gpg: using RSA key 9823FAA60ED1E580

gpg: Good signature from "Greenbone Community Feed integrity key" [ultimate]Nếu chữ ký hợp lệ, tarball có thể được trích xuất.

-DSYSCONFDIR=/etc \ -DLOCALSTATEDIR=/varmake -j$(nproc)

Đặt phiên bản gvmd để sử dụngexport GVMD_VERSION=22.6.0

</div><span class="text_page_counter">Trang 32</span><div class="page_container" data-page="32">

Required dependencies for gvmdsudo apt install -y \

libglib2.0-dev \ libgnutls28-dev \ libpq-dev \

postgresql-server-dev-14 \ libical-dev \

xsltproc \ rsync \ libbsd-dev \ libgpgme-dev

Optional dependencies for gvmd

sudo apt install -y --no-install-recommends \ texlive-latex-extra \

texlive-fonts-recommended \ xmlstarlet \

zip \ rpm \ fakeroot \ dpkg \ nsis \ gnupg \ gpgsm \ wget \ sshpass \

openssh-client \ socat \

snmp \ python3 \

</div><span class="text_page_counter">Trang 33</span><div class="page_container" data-page="33">

smbclient \ python3-lxml \ gnutls-bin \ xml-twig-tools

Tải xuống các nguồn gvmd

-o $SOURCE_DIR/gvmd-$GVMD_VERSION.tar.gz

-o $SOURCE_DIR/gvmd-$GVMD_VERSION.tar.gz.asc

Xác minh tệp nguồn

gpg --verify $SOURCE_DIR/gvmd-$GVMD_VERSION.tar.gz.asc$SOURCE_DIR/gvmd-$GVMD_VERSION.tar.gz

Đầu ra của lệnh cuối cùng phải tương tự như:

gpg: Signature made Fri Apr 16 08:31:02 2021 UTCgpg: using RSA key 9823FAA60ED1E580

gpg: Good signature from "Greenbone Community Feed integrity key" [ultimate]Nếu chữ ký hợp lệ, tarball có thể được trích xuất.

tar -C $SOURCE_DIR -xvzf $SOURCE_DIR/gvmd-$GVMD_VERSION.tar.gzDebian/Ubuntu

Xây dựng gvmd

mkdir -p $BUILD_DIR/gvmd && cd $BUILD_DIR/gvmdcmake $SOURCE_DIR/gvmd-$GVMD_VERSION \ -DCMAKE_INSTALL_PREFIX=$INSTALL_PREFIX \ -DCMAKE_BUILD_TYPE=Release \

-DLOCALSTATEDIR=/var \ -DSYSCONFDIR=/etc \

</div><span class="text_page_counter">Trang 34</span><div class="page_container" data-page="34">

-DGVM_DATA_DIR=/var \

-DGVMD_RUN_DIR=/run/gvmd \

-DOPENVAS_DEFAULT_SOCKET=/run/ospd/ospd-openvas.sock \ -DGVM_FEED_LOCK_PATH=/var/lib/gvm/feed-update.lock \ -DSYSTEMD_SERVICE_DIR=/lib/systemd/system \

-DLOGROTATE_DIR=/etc/logrotate.dmake -j$(nproc)

Debian/UbuntuCài đặt gvmd

Đặt phiên bản pg-gvm để sử dụngexport PG_GVM_VERSION=22.5.1

Tải xuống các nguồn pg-gvm

</div><span class="text_page_counter">Trang 35</span><div class="page_container" data-page="35">

curl -f -L -o $SOURCE_DIR/pg-gvm-$PG_GVM_VERSION.tar.gz

-o $SOURCE_DIR/pg-gvm-$PG_GVM_VERSION.tar.gz.asc

Xác minh tệp nguồn

gpg --verify $SOURCE_DIR/pg-gvm-$PG_GVM_VERSION.tar.gz.asc$SOURCE_DIR/pg-gvm-$PG_GVM_VERSION.tar.gz

Đầu ra của lệnh cuối cùng phải tương tự như:

gpg: Signature made Fri Apr 16 08:31:02 2021 UTCgpg: using RSA key 9823FAA60ED1E580

gpg: Good signature from "Greenbone Community Feed integrity key" [ultimate]Nếu chữ ký hợp lệ, tarball có thể được trích xuất.

make -j$(nproc)Cài đặt pg-gvm

mkdir -p $INSTALL_DIR/pg-gvm

make DESTDIR=$INSTALL_DIR/pg-gvm install

</div><span class="text_page_counter">Trang 36</span><div class="page_container" data-page="36">

sudo cp -rv $INSTALL_DIR/pg-gvm/* /Trợ lý bảo mật Greenbone

Các nguồn trợ lý bảo mật Greenbone (GSA) bao gồm hai phần:Máy chủ web gsad

Ứng dụng web GSA

Ứng dụng web được viết bằng JavaScript và sử dụng react framework. Nóyêu cầu nodejs để xây dựng ứng dụng và sợi (hoặc npm) để duy trì các phụ thuộcJavaScript. Bởi vì việc lắp đặt sợi Và phiên bản Nodejs cụ thể yêu cầu thiết lậpgói bên ngồi kho lưu trữ và thời gian xây dựng dài, các tệp có thể phân phốiđược tạo sẵn có sẵn và được sử dụng trong tài liệu này.

Cài đặt phiên bản GSA để sử dụngexport GSA_VERSION=22.5.1

Tải xuống các nguồn gsa

dist-$GSA_VERSION.tar.gz -o $SOURCE_DIR/gsa-$GSA_VERSION.tar.gz

dist-$GSA_VERSION.tar.gz.asc -o $SOURCE_DIR/gsa-$GSA_VERSION.tar.gz.asc

minh các tệp nguồn

gpg --verify $SOURCE_DIR/gsa-$GSA_VERSION.tar.gz.asc $SOURCE_DIR/gsa-$GSA_VERSION.tar.gz

Đầu ra của cả hai lệnh phải tương tự như:

gpg: Signature made Fri Apr 16 08:31:02 2021 UTCgpg: using RSA key 9823FAA60ED1E580

gpg: Good signature from "Greenbone Community Feed integrity key" [ultimate]Nếu chữ ký hợp lệ, hai tarball có thể được trích xuất.

</div><span class="text_page_counter">Trang 37</span><div class="page_container" data-page="37">

Đặt phiên bản GSAd để sử dụngexport GSAD_VERSION=22.5.1Debian/Ubuntu

Các phụ thuộc bắt buộc cho gsadsudo apt install -y \

libmicrohttpd-dev \ libxml2-dev \ libglib2.0-dev \ libgnutls28-dev

Tải xuống các nguồn gsad

o $SOURCE_DIR/gsad-$GSAD_VERSION.tar.gz

-o $SOURCE_DIR/gsad-$GSAD_VERSION.tar.gz.asc

Xác minh các tệp nguồn

</div><span class="text_page_counter">Trang 38</span><div class="page_container" data-page="38">

gpg --verify $SOURCE_DIR/gsad-$GSAD_VERSION.tar.gz.asc$SOURCE_DIR/gsad-$GSAD_VERSION.tar.gz

Đầu ra của cả hai lệnh phải tương tự như:

gpg: Signature made Fri Apr 16 08:31:02 2021 UTCgpg: using RSA key 9823FAA60ED1E580

gpg: Good signature from "Greenbone Community Feed integrity key" [ultimate]Nếu chữ ký hợp lệ, hai tarball có thể được trích xuất.

tar -C $SOURCE_DIR -xvzf $SOURCE_DIR/gsad-$GSAD_VERSION.tar.gzXây dựng gsad

mkdir -p $BUILD_DIR/gsad && cd $BUILD_DIR/gsadcmake $SOURCE_DIR/gsad-$GSAD_VERSION \

-DCMAKE_INSTALL_PREFIX=$INSTALL_PREFIX \ -DCMAKE_BUILD_TYPE=Release \

-DSYSCONFDIR=/etc \ -DLOCALSTATEDIR=/var \ -DGVMD_RUN_DIR=/run/gvmd \ -DGSAD_RUN_DIR=/run/gsad \ -DLOGROTATE_DIR=/etc/logrotate.dmake -j$(nproc)

</div><span class="text_page_counter">Trang 39</span><div class="page_container" data-page="39">

OpenVAS-SMB là một mô-đun trợ giúp cho Openvas-Scanner. Nó baogồm các thư viện (openvas-wmiclient/openvas-wincmd) để giao tiếp vớiMicrosoft Windows Systems thông qua API phương tiện quản lý Windows vàmột nhị phân winexe để thực hiện các quy trình từ xa trên hệ thống đó.

Nó là một phụ thuộc tùy chọn của openvas-scanner nhưng được yêu cầu để quétHệ thống dựa trên Windows.

Cảnh báo

openvas-smb hiện khơng hoạt động trên CentOS! Nó khơng phải là mộtyêu cầu khó.

Đặt phiên bản openvas-smb để sử dụngexport OPENVAS_SMB_VERSION=22.5.3Debian/Ubuntu

Các phụ thuộc bắt buộc cho openvas-smbsudo apt install -y \

gcc-mingw-w64 \ libgnutls28-dev \ libglib2.0-dev \ libpopt-dev \ libunistring-dev \ heimdal-dev \ perl-base

Tải xuống các nguồn openvas-smb

</div>