Professional Documents
Culture Documents
Báo Cáo Đ Án QRadar
Báo Cáo Đ Án QRadar
BÁO CÁO
LỜI CẢM ƠN
Chúng em xin bày tỏ lòng kính trọng và biết ơn đến thầy Dương Minh Chiến đã
tận tình giúp đỡ và hướng dẫn chúng em hoàn thành bài báo cáo này. Nhờ sự giúp đỡ
nhiệt lòng của thầy mà báo cáo đã hoàn thành đúng tiến độ đề ra.
Trong quá trình thực hiện, nhóm chúng em rất cố gắng. Nhưng cũng khó tránh
khỏi những sai sót, kính mong quý thầy cô và các bạn góp ý thêm. Xin chân thành cảm
ơn!
2
Mục lục
Chương 2: CƠ SỞ LÝ THUYẾT..............................................................4
3: Phát hiện hoạt động của mạng, người dùng và ứng dụng bất thường................7
1. Kết luận............................................................................................................20
3
Giới thiệu cho chúng ta biết đến phần mềm giám sát an ninh mạng sử dụng công
nghệ QRadar
2: Nhiệm vụ của đồ án
3: Cấu trúc đồ án
Đồ án gồm có 4 chương:
- Chương 1: Tổng quan
Phần này giới thiệu tổng quan, nhiệm vụ của đồ án, giúp chúng ta hiểu nội dung
căn bản của đồ án
- Chương 2: Cơ sở lý thuyết
Phần này sẽ giới thiệu cụ thể về khái niệm QRadar, nhu cầu của ứng dụng này
trong hiện tại, vấn đề bảo mật, những ưu và nhược điểm của QRadar, kiến trúc xử lý và
phân tích giá trị từng thành của mỗi quá trình.
- Chương 3: Kết quả thực nghiệm
Phần này sẽ cho chúng ta thấy mô hình mục tiêu úng dụng, giới thiệu các công cụ
để thực hiện và phân tích
Phần này sẽ rút ra những lưu ý và lời khuyên và đưa ra hướng phát triển để giao
thức hoàn thiện hơn.
4
5
Chương 2: CƠ SỞ LÝ THUYẾT
1. Giới thiệu về QRadar
QRadar SIEM được thiết kế để tự động phân tích và tương quan hoạt động trên
nhiều nguồn dữ liệu bao gồm nhật ký, sự kiện, luồng mạng, hoạt động của người dùng,
thông tin về lỗ hổng và thông tin về mối đe dọa để xác định các mối đe dọa đã biết và
chưa biết
QRadar SIEM tương quan và phân tích thông minh nhiều loại thông tin, bao gồm
các hoạt động sau:
Sự kiện bảo mật: Từ tường lửa (Firewall) , mạng riêng ảo (VPN), hệ thống phát
hiện xâm nhập (IDS), hệ thống ngăn chặn xâm nhập (IPS), cơ sở dữ liệu và nhiều
hơn nữa.
Sự kiện mạng: Từ thiết bị chuyển mạch (switch), bộ định tuyến (router), máy chủ
(server) , máy chủ (host)và nhiều hơn nữa.
Bối cảnh hoạt động mạng: Bối cảnh ứng dụng lớp 7 (Layer 7 application) từ lưu
lượng mạng và ứng dụng
Hoạt động trên đám mây: Từ các môi trường SaaS và Cơ sở hạ tầng dưới dạng
Dịch vụ (IaaS), như Office365, SalesForce.com, Amazon Web Services (AWS),
Azure và Google Cloud.
Bối cảnh người dùng và tài sản: Dữ liệu theo ngữ cảnh từ các sản phẩm quản lý
truy cập và nhận dạng (identity and access management) và phần mềm do quét lỗ
hổng.
Sự kiện điểm cuối: Từ event log của Windows, giải pháp Sysmon, EDR và hơn
thế nữa.
Nhật ký ứng dụng: Từ các giải pháp hoạch định nguồn lực doanh nghiệp (ERP),
cơ sở dữ liệu ứng dụng, ứng dụng SaaS và hơn thế nữa
6
Thông tin mối đe doạ (Threat intelligence): Từ các nguồn như IBM X-Force®
IBM QRadar SIEM cho phép bạn giảm thiểu khoảng cách thời gian giữa thời điểm
một hoạt động đáng ngờ xảy ra và khi bạn phát hiện ra nó. Các cuộc tấn công và vi phạm
chính sách để lại dấu vết trong các sự kiện nhật ký và luồng mạng của hệ thống CNTT
của bạn. QRadar SIEM kết nối các dấu chấm và cung cấp cho bạn thông tin chi tiết bằng
cách thực hiện các tác vụ sau:
Cảnh báo về các cuộc tấn công bị nghi ngờ và vi phạm chính sách trong môi
trường CNTT
Cung cấp khả năng hiển thị sâu vào hoạt động mạng, người dùng và ứng dụng
Đặt dữ liệu liên quan đến bảo mật từ nhiều nguồn khác nhau theo ngữ cảnh của
nhau
Cung cấp các mẫu báo cáo để đáp ứng các yêu cầu về hoạt động và tuân thủ
Cung cấp lưu trữ nhật ký đáng tin cậy, chống giả mạo để điều tra pháp y và sử
dụng bằng chứng
Điều tra nhật ký sự kiện được gửi đến QRadar trong thời gian thực.
Giám sát hoạt động nhật ký bằng cách sử dụng biểu đồ chuỗi thời gian có thể định
cấu hình.
Điều tra các luồng được gửi đến QRadar trong thời gian thực.
Giám sát hoạt động mạng bằng cách sử dụng biểu đồ chuỗi thời gian có thể định
cấu hình.
- Assets
- Vi phạm
Điều tra các hành vi vi phạm, địa chỉ IP nguồn và đích, các hành vi mạng và các
điểm bất thường trên mạng của bạn.
Tương quan các sự kiện và luồng được lấy từ nhiều mạng đến cùng một địa chỉ IP
đích.
Đi tới các trang khác nhau của tab Vi phạm để điều tra chi tiết sự kiện và quy
trình.
Xác định các sự kiện duy nhất đã gây ra một hành vi phạm tội.
- Báo cáo
Tạo, phân phối và quản lý báo cáo cho dữ liệu QRadar .
Tạo các báo cáo tùy chỉnh để sử dụng trong hoạt động và điều hành.
Kết hợp thông tin mạng và bảo mật vào một báo cáo duy nhất.
8
Sử dụng hoặc chỉnh sửa các mẫu báo cáo được cài đặt sẵn.
Xây dựng thương hiệu cho các báo cáo của bạn bằng các biểu trưng tùy
chỉnh. Thương hiệu có lợi cho việc phân phối báo cáo cho các đối tượng khác
nhau.
3: Phát hiện hoạt động của mạng, người dùng và ứng dụng bất thường
QRadar bao gồm hàng trăm trường hợp sử dụng bảo mật được xây dựng trước,
thuật toán phát hiện bất thường, quy tắc và chính sách tương quan thời gian thực để phát
hiện các mối đe dọa đã biết và chưa biết. Khi các mối đe dọa được phát hiện, giải pháp
tổng hợp các sự kiện bảo mật liên quan thành các cảnh báo đơn lẻ, được ưu tiên được gọi
là các vi phạm (offenses). Hành vi phạm tội được tự động ưu tiên dựa trên cả mức độ
nghiêm trọng của mối đe dọa và mức độ nghiêm trọng của các tài sản liên quan.
Trong mỗi hành vi phạm tội, các nhà phân tích bảo mật có thể thấy toàn bộ chuỗi
hoạt động đe dọa từ một màn hình duy nhất. Từ đây, các nhà phân tích có thể dễ dàng đi
sâu vào các sự kiện hoặc luồng mạng cụ thể để bắt đầu một cuộc điều tra, chỉ định hành
vi phạm tội cho một nhà phân tích cụ thể hoặc đóng nó. Hành vi phạm tội được tự động
cập nhật khi có hoạt động liên quan mới xảy ra để các nhà phân tích có thể xem thông tin
cập nhật nhất tại bất kỳ thời điểm nào. Cách tiếp cận độc đáo này giúp các nhà phân tích
bảo mật dễ dàng hiểu được các mối đe dọa quan trọng nhất trong môi trường bằng cách
cung cấp cái nhìn sâu sắc từ đầu đến cuối về từng sự cố tiềm ẩn đồng thời giảm tổng âm
lượng cảnh báo.
Khi những kẻ tấn công trở nên tinh vi hơn trong các kỹ thuật của chúng, việc phát
hiện mối đe dọa đã biết không còn là đủ. Thay vào đó, các tổ chức cũng phải có khả năng
phát hiện những thay đổi nhỏ trong hành vi của mạng, người dùng hoặc hệ thống có thể
9
chỉ ra các mối đe dọa không xác định, chẳng hạn như người trong cuộc độc hại, thông tin
bị xâm phạm hoặc fileless malware. QRadar chứa nhiều khả năng phát hiện bất thường để
xác định những thay đổi trong hành vi có thể là chỉ số của một mối đe dọa chưa biết. Và
khả năng độc đáo của QRadar để giám sát và phân tích lưu lượng ứng dụng Lớp 7 cho
phép nó xác định chính xác hơn các bất thường mà các giải pháp khác có thể bỏ lỡ
Bằng cách tùy chọn sử dụng QRadar Network Insights như một phần của việc
triển khai SIEM, các tổ chức có thể hiểu rõ hơn về các hệ thống giao tiếp với nhau, ứng
dụng nào có liên quan và thông tin nào được trao đổi trong các gói. Bằng cách tương
quan thông tin này với hoạt động mạng, nhật ký và người dùng khác, các nhà phân tích
bảo mật có thể phát hiện ra hoạt động mạng bất thường có thể là dấu hiệu của máy chủ bị
xâm nhập, người dùng bị xâm phạm hoặc nỗ lực đánh cắp dữ liệu.
Trong khi QRadar mang tới nhiều quy tắc phát hiện hành vi và dị thường như cài
đặt mặc định, các nhóm bảo mật cũng có thể tạo quy tắc riêng, cài đặt phát hiện bất
thường và tải xuống 160 ứng dụng được xây dựng trước từ IBM Security App Exchange
để tăng cường triển khai.
Bất kể mô hình triển khai, các tổ chức có thể tùy chọn thêm tính sẵn sàng cao và
bảo vệ khắc phục thảm họa ở đâu và khi cần để giúp đảm bảo hoạt động liên tục. Đối với
các tổ chức tìm kiếm khả năng phục hồi kinh doanh, QRadar cung cấp chuyển đổi dự
phòng tự động tích hợp và đồng bộ hóa toàn bộ đĩa giữa các hệ thống mà không cần thêm
các sản phẩm quản lý lỗi của bên thứ ba. Đối với các tổ chức đang tìm kiếm bảo vệ và
phục hồi dữ liệu, các giải pháp khắc phục thảm họa QRadar có thể chuyển tiếp dữ liệu
trực tiếp, chẳng hạn như các luồng và sự kiện, từ hệ thống QRadar chính sang hệ thống
song song thứ cấp được đặt tại một cơ sở riêng biệt.
Bước 1: Tải và cài đặt Qradar chạy HĐH Centos 7 trên VMware Workstation
Memory : 8GB
Processors: 4
./setup
Sau khi setup xong ta sẽ đặt pass cho admin dùng để đăng nhập truy cập web
13
Kiểm tra xem hệ thống đã khởi động hay chưa bằng dòng lệnh
Bây giờ ta có thể truy cập web bằng đường dẫn và đăng nhập bằng tài khoản admin
https://ip
14
cd /mdia/cdrom/post/dsmrpms/
Tiếp đến ta tải file Qradar_wincollectupdate và dùng WinSCP để truyền file vào Qradar
vào đường dẫn:
/mdia/cdrom/post/dsmrpms/storetmp
16
Add WinCollect
19
Ở tab Log Activity ta sẽ thấy được các luồng dữ liệu của window 10
21
Đồ án đã tìm hiểu, nghiên cứu về các vấn đề trong việc triển khai giải pháp
giám sát an ninh mạng IBM QRadar sau như:
• Tổng quan về tình hình giám sát an ninh mạng trong nước và ngoài nước hiện
nay
• Tìm hiểu, nghiên cứu và phân tích các giải pháp giám sát an ninh mạng hiện nay
đặc biệt là giải pháp SIEM;
• Tìm hiểu các mô hình và giải pháp triển khai cho hệ thống giám sát an
• Tìm hiểu, nghiên cứu thành phần, cơ chế hoạt động của hệ thống giám
Lợi ích:
• Qradar quản lý rất tốt trong việc giám sát mạng nội bộ
22
• Dễ dàng mở rộng quy mô tuỳ với nhu cầu của người dùng
• Với giao diện dễ dàng tuỳ chỉnh phù hợp mọi doanh nghiệp
• Có khả năng tốt trong việc giúp người dùng phát hiện chính xác các cuộc tấn
công thực tế
• Cung cấp cái nhìn trực quan giúp người dùng theo dõi rõ ràng
• Giám sát an ninh mạng cho thấy sự tương quan sự kiện giữa các thiết bị, giảm
thiểu các báo động giả
• Chưa tìm hiểu chuyên sâu về các thuật toán tương quan và hệ thống
• Nghiên cứu về việc nâng cao hiệu quả trong việc giám sát an ninh
mạng;