HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNGKHOA CƠNG NGHỆ THÔNG TINHọc phần: Chuyên đề an ninh mạngBài báo cáo:Ứng dụng hệ thống IDS Security Onion vào giám sátmôi trường mạng doanh nghiệpGiảng viên hướng dẫn:TS. Nguyễn Ngọc ĐiệpSinh viên thực hiện:Đồn Cơng HồngNguyễn Thành NamĐồng Văn QuangVũ Tiến QuốcPhạm Hải SơnHÀ NỘI, 2020B16DCAT064B16DCAT111B16DCAT128B16DCAT132B16DCAT140 Mục lụcCHƯƠNG 1 Tổng quan về hệ thống phát hiện xâm nhập...........................11.1.Tổng quan về xâm nhập.................................................................................................11.2. Hệ thống phát hiện xâm nhập......................................................................................21.2.1.Hệ thống phát hiện xâm nhập cho mạng....................................................................21.2.2.Hệ thống phát hiện xâm nhập cho host......................................................................31.3. Kỹ thuật phát hiện xâm nhập.......................................................................................41.3.1.Phát hiện xâm nhập dựa trên chữ ký..........................................................................41.3.2.Phát hiện xâm nhập dựa trên bất thường [Anomaly intrusion detection]..................5CHƯƠNG 2 Giới thiệu Security Onion.........................................................72.1. Giới thiệu........................................................................................................................72.2. Các chức năng................................................................................................................72.2.1. Bắt tất cả gói tin [Full Packet Capture]:...................................................................82.2.2.Phát hiện mạng và các điểm cuối:.............................................................................92.2.3.Các cơng cụ phân tích..............................................................................................122.2.4. Các cơng cụ NIDS..................................................................................................192.2.5. Các cơng cụ hỗ trợ phân tích điểm cuối [Host Visibility]......................................20CHƯƠNG 3 Cách thức hoạt động của Security Onion..............................213.1. Kiến trúc.......................................................................................................................213.1.1.Import.......................................................................................................................223.1.2.Evaluation................................................................................................................223.1.3.Standalone................................................................................................................233.1.4.Distributed...............................................................................................................233.1.5.Các loại nodes..........................................................................................................253.2.Cách thức hoạt động....................................................................................................253.2.1. IDS..........................................................................................................................263.2.2. IPS...........................................................................................................................263.3.Cài đặt............................................................................................................................263.3.1.Yêu cầu phần cứng đối với Security Onion.............................................................263.3.2. Môi trường cài đặt...................................................................................................273.3.3.Các tác vụ cần thực hiện sau khi cài đặt xong:........................................................28CHƯƠNG 4 Luật trong Security Onion......................................................304.1. Rule Header.................................................................................................................31 4.1.1 Rule Action..............................................................................................................314.1.2. Protocol...................................................................................................................314.1.3. IP Address...............................................................................................................324.1.4. Port..........................................................................................................................324.1.5. Điều hướng.............................................................................................................324.2. Rule Option...................................................................................................................334.2.1. General....................................................................................................................334.2.2. Payload....................................................................................................................354.2.3. Non-Payload...........................................................................................................384.3: Add Local Rules...........................................................................................................444.3.1.Giới thiệu.................................................................................................................444.3.2.Chính sách IPS.........................................................................................................444.3.3.Các bước thực hiện..................................................................................................45CHƯƠNG 5 Ứng dụng Security Onion giám sát môi trường mạng doanhnghiệp...................................................................................................485.1.Các công cụ được sử dụng......................................................................................485.1.1.Sguil...................................................................................................................485.1.2.Wazuh................................................................................................................515.2.Sơ đồ môi trường demo giám sát/phát hiện xâm nhập........................................765.3. Các bước cài đặt Security Onion để thực hiện giám sát server theo mơ hình mơitrường demo trên................................................................................................................765.4. Thực hiện tấn cơng và phát hiện tấn công từ trong mạng, đưa ra cảnhbáo/phân tích bằng Sguil....................................................................................................925.4.1.Phát hiện tấn cơng rà qt lỗ hổng.................................................................925.4.2.Phát hiện tấn công DOS...................................................................................935.5. Các bước cài đặt Wazuh để thực hiện giám sát các điểm cuối trong mạng theo môitrường demo trên Ubuntu.....................................................................................................985.5.1.Cài đặt Wazuh Server.........................................................................................985.5.2.Cài đặt Wazuh Agent........................................................................................1055.6.Demo Wazuh giám sát tính tồn vẹn của file [file integrity].............................1055.6.1.Tổng quan.......................................................................................................1055.6.2.Mơ hình triển khai.........................................................................................1065.6.3.Hướng dẫn cấu hình.......................................................................................107 Danh mục hình ảnhẢnh 1.1 Vị trí hệ thống IDS trong sơ đồ mạng.........................................................................................2Ảnh 1.2 Các NIDS được bố trí để giám sát phát hiện xâm nhập tại cổng vào và cho từng phân đoạnmạng...........................................................................................................................................................3Ảnh 1.3 Sử dụng kết hợp NIDS và HIDS để giám sát lưu lượng mạng và các host................................4Ảnh 1.4 Lưu đồ giám sát phát hiện tấn công, xâm nhập dựa trên chữ ký................................................5Ảnh 1.5 Biểu đồ tín hiệu entropy theo thời gian.......................................................................................6Ảnh 2.1 Sơ đồ hoạt động của SO trong môi trường mạng doanh nghiệp truyền thống...........................8Ảnh 2.2 Minh họa phát hiện tấn công trên cơ sở hệ thống mạng [NIDS]................................................9Ảnh 2.3 Minh họa phát hiện tấn công dựa trên cơ sở hệ thống máy chủ/đầu cuối [HIDS]...................11Ảnh 2.4 Giao diện của SOC.....................................................................................................................12Ảnh 2.5 Giao diện Hunt...........................................................................................................................12Ảnh 2.6 Giao diện bắt và thu hồi gói tin của SOC..................................................................................13Ảnh 2.7 Giao diện Kibana.......................................................................................................................14Ảnh 2.8 Giao diện Cyberchef..................................................................................................................15Ảnh 2.9 Giao diện CapME.......................................................................................................................16Ảnh 2.10 Giao diện Squert.......................................................................................................................17Ảnh 2.11 Giao diện Sguil.........................................................................................................................18Ảnh 2.12 Giao diện Wireshark................................................................................................................18Ảnh 3.1 Kiến trúc hoạt động tổng thể của Security Onion.....................................................................21Ảnh 3.2 Kiến trúc Evaluation..................................................................................................................22Ảnh 3.3 Kiến trúc Standalone..................................................................................................................23Ảnh 3.4 Kiến trúc Distributed..................................................................................................................24Ảnh 4.1 Cấu trúc luật trong Suricata.......................................................................................................30Ảnh 4.2 Ví dụ luật trong Suricata............................................................................................................30Ảnh 4.3 Thông tin phân loại lớp quy tắc.................................................................................................35Ảnh 4.4 Một số tuỳ chọn của Ipopts........................................................................................................38Ảnh 4.5 Bảng Type của ICMP Header...................................................................................................42Ảnh 4.6 Kiểm tra sguil để biết cảnh báo tương ứng...............................................................................46Ảnh 4.7 Xác minh payload......................................................................................................................47Ảnh 5.1 Giao diện Sguil 0.9.0.................................................................................................................48Ảnh 5.2 Barnyard nhận các cảnh báo từ Snort IDS, sử lý và lưu vào database.....................................49Ảnh 5.3 Tổng quan kiến trúc của Sguil...................................................................................................50Ảnh 5.4 Tổng quan kiến trúc của Sguil [2].............................................................................................51Ảnh 5.5 Kiến trúc Single-node deployment của Wazuh.........................................................................54Ảnh 5.6 Kiến trúc Multi-node deployment của Wazuh...........................................................................54Ảnh 5.7 Sơ đồ giao tiếp giữa agent và server..........................................................................................55Ảnh 5.8 Các file rule trong /var/ ossec/ruleset/rules...............................................................................56Ảnh 5.9 Rule liên quan đến ssh của hệ thống 0095-sshd_rules.xml......................................................57Ảnh 5.10 Cảnh báo hành vi đăng nhập sử dụng một non-existent user.................................................57Ảnh 5.11 Dữ liệu hiển thị trên Kibana dưới dạng Table.........................................................................58Ảnh 5.12 Dữ liệu hiển thị trên Kibana dưới dạng JSON........................................................................59Ảnh 5.13 Các mức độ cảnh báo OSSEC.................................................................................................60Ảnh 5.14 Luật OSSEC.............................................................................................................................61Ảnh 5.15 Thông tin các file rule trong Wazuh.......................................................................................62Ảnh 5.16 Các file rule của Windows.......................................................................................................62Ảnh 5.17 Các file Rules Linux...................................................................................................................63 Ảnh 5.18 Sơ đồ cấu trúc node Manager..................................................................................................64Ảnh 5.19 Tạo bộ decoder mới trong file local_decoder.xml..................................................................66Ảnh 5.20 Thêm thông tin cho rule vào đường dẫn..................................................................................67Ảnh 5.21 Kiểm tra rule............................................................................................................................68Ảnh 5.22 Sao chép decoders.xml............................................................................................................69Ảnh 5.23 Loại bỏ decoders.xml bằng thẻ ...............................................................69Ảnh 5.24 Rule có id 5710........................................................................................................................70Ảnh 5.25 Dán đoạn code rule id 5710 vào đường dẫn............................................................................71Ảnh 5.26 Test rule vừa được sửa đổi.......................................................................................................72Ảnh 5.27 Các tham số trong thẻ ..................................................................................................72Ảnh 5.28 Rule id 5710 cũ........................................................................................................................73Ảnh 5.29 Các cảnh báo lặp lại.................................................................................................................73Ảnh 5.30 Thêm tham số ignore................................................................................................................74Ảnh 5.31 Kết quả sao khi thêm tham số ignore vào rule........................................................................74Ảnh 5.32 Rule id 5710 sử dụng noalert...................................................................................................74Ảnh 5.33 Kết quả sau khi thay đổi..........................................................................................................75Ảnh 5.34 Sơ đồ demo giám sát phát hiện tấn công/xâm nhập..............................................................76Ảnh 5.35 Cấu hình cài đặt máy ảo Security Onion trên máy server.......................................................77Ảnh 5.36 Cài đặt Promiscuous Mode......................................................................................................78Ảnh 5.37 Rà quét lỗ hổng máy server sử dụng công cụ Zenmap...........................................................92Ảnh 5.38 Kết quả giám sát.......................................................................................................................93Ảnh 5.39 Lệnh sửa file local.rules thông qua cửa sổ terminal................................................................93Ảnh 5.40 Thêm luật vào file local.rules..................................................................................................94Ảnh 5.41 Thực hiện lệnh rule-update để cập nhật IDS ruleset...............................................................95Ảnh 5.42 Thực hiện tấn công DOS trên máy Kali..................................................................................96Ảnh 5.43 Trạng thái website sau khi bị tấn công DOS...........................................................................96Ảnh 5.44 Giao diện Sguil hiện cảnh báo tấn công DOS thời gian thực cùng các thông tin liên quan. .97Ảnh 5.45 Cài đặt Wazuh-manager thành công........................................................................................99Ảnh 5.46 Thông báo cài đặt thành công Elasticsearch..........................................................................101Ảnh 5.47 Cài đặt thành công Filebeat...................................................................................................103Ảnh 5.48 Giao diện quản trị Kibana của Wazuh-server........................................................................104Ảnh 5.49 Sơ đồ cách thức hoạt động của FIM......................................................................................106Ảnh 5.50 Sơ đồ triển khai Wazuh manager/agent................................................................................107Ảnh 5.51 Kiểm tra cấu hình giám sát FIM..............................................................................................108Ảnh 5.52 File .txt để thực hiện giám sát [1]..........................................................................................108Ảnh 5.53 File .txt để thực hiện giám sát [2]..........................................................................................108Ảnh 5.54 Giao diện quản trị Wazuh-manager.......................................................................................109Ảnh 5.55 Integrity monitoring trong Wazuh-manager.........................................................................109Ảnh 5.56 Kiểm tra tính tốn vẹn của file .txt [1]...................................................................................110Ảnh 5.57 Kiểm tra tính tốn vẹn của file .txt [2]...................................................................................110 Danh mục từ viết tắtTừ/cụm từ viết tắtAF-PACKETEast-west trafficCSVCISCATDOSFIMGUIGPLHIDSIDSIPIPSISO imageJSONNIDSNSMNICNorth-south trafficOSSECOVALPPASANCPSCASOCSPANSaltÝ nghĩaMột socket trong các hệ điều hành nhânLinux, cho phép ứng dụng gửi và nhận cácgói tinLưu lượng truy cập trong 1 hệ thống trungtâm dữ liệuComma-seperated valueCenter for Internet SecurityConfiguration Assessment ToolDenial-of-serviceFile integrity monitoringGraphical User InterfaceGNU General Public LicenseHost-based intrusion detection systemsIntrusion Detection SystemInternet ProtocolIntrusion Prevention Systemoptical disc file systemJavaScript Object NotationNetwork-based intrusion detection systemNetwork Security MonitoringNetwork Interface ControllerLưu lượng truy cập từ bên ngoài đến trungtâm dữ liệu[và ngược lại]Open Source HIDS SECurityOpen Vulnerability and AssessmentLanguagePersonal Package Archives[software repository được thiết kế cho ngườidùng Ubuntu]Security Analyst Network ConnectionProfilerSecurity Configuration AssessmentSecurity Onion ControlSwitch Port Analyzer[SaltStack] là một phần mềm Python mãnguồn mở, dử dụng trong các tác vụ IT chủđộng hướng sự kiện [event-driven ITautomation], thi hành các tác vụ điều khiểntừ xa [remote task execution], quản lý càiđặt/cấu hình [configuration management].Cung cấp cách tiếp cận code-based với cơsở hạ tầng, các hệ thống cơ sở dữ liệu và cáchệ thống triển khai/quản lý, cài đặt/cấu hìnhtự động, SecOps, cảnh báo rủi ro, công nghệđám mây. SSHTclTCPTCP/IPTLSTkTAPUPSWNICXCCDFSecure ShellNgơn ngữ lập trình Tcl [phát âm như“tickle”][2]Transmission Control ProtocolInternet protocol suite[Transmission Control Protocol + InternetPotocol]Transport Layer SecurityMột bộ công cụ thư viện mã nguồn mở đanền tảng, cung cấp các thành phần GUI chonhiều ngơn ngữ lập trình khác nhau [3]Terminal Access PointUninterruptible power supplyWireless Network Interface ControllerExtensible Configuration ChecklistDescription Format CHƯƠNG 1Tổng quan về hệ thống phát hiện xâm nhập1.1.Tổng quan về xâm nhậpXâm nhập là tập các hành động nhằm thỏa hiệp với mục tiêu an tồn [tính bảomật, tính tồn vẹn và tính sẵn dùng] của tài ngun mạng hoặc máy tính.Các hệ thống phát hiện tấn cơng, xâm nhập [IDS] là một lớp phòng vệ quan trọng trongcác lớp giải pháp đảm bảo an toàn cho hệ thống thơng tin và mạng theo mơ hình phịngthủ có chiều sâu [defence in depth]. Hệ thống phát hiện tấn cơng, xâm nhập IDS cónhiệm vụ chính là:-Giám sát lưu lượng mạng hoặc các hành vi trên một hệ thống để nhận dạng cácdấu hiệu của tấn công, xâm nhập.Khi phát hiện các hành vi tấn cơng, xâm nhập, thì ghi logs các hành vi này chophân tích bổ sung sau này.Gửi thông báo cho người quản trị về các các hành vi tấn công, xâm nhập đã pháthiện đượcThông thường hệ thống IDS thường được kết nối vào các bộ định tuyến, switch, cardmạng và chủ yếu làm nhiệm vụ giám sát và cảnh bảo, khơng có khả năng chủ động ngănchặn tấn công, xâm nhập1 Ảnh 1.1 Vị trí hệ thống IDS trong sơ đồ mạng1.2. Hệ thống phát hiện xâm nhậpHệ thống phát hiện xâm nhập IDS được chia thành hai loại chính đó là: Hệ thốngphát hiện xâm nhập cho mạng và hệ thống phát hiện xâm nhập cho host.1.2.1.Hệ thống phát hiện xâm nhập cho mạngNIDS [Host-based IDS] phân tích lưu lượng mạng để phát hiện tấn công, xâmnhập cho cả mạng hoặc một phần mạng. Trong một sơ đồ mạng, trong đó các NIDSthường được bố trí để giám sát phát hiện xâm nhập tại cổng vào và cho từng phân đoạnmạng.2 Ảnh 1.2 Các NIDS được bố trí để giám sát phát hiện xâm nhập tại cổng vào và cho từng phân đoạn mạng1.2.2.Hệ thống phát hiện xâm nhập cho hostHIDS [Host-based IDS] phân tích các sự kiện xảy ra trong hệ thống/dịch vụ đểphát hiện tấn công, xâm nhập cho hệ thống đó. Trong một sơ đồ mạng các NIDS thườngsử dụng để giám sát lưu lượng tại cổng mạng và HIDS để giám sát các host thông qua cácIDS agent. Một trạm quản lý [Management station] đƣợc thiết lập để thu nhập các thôngtin từ các NIDS và HIDS để xử lý và đưa ra quyết định cuối cùng.3 Ảnh 1.3 Sử dụng kết hợp NIDS và HIDS để giám sát lưu lượng mạng và các host1.3. Kỹ thuật phát hiện xâm nhậpCác kỹ thuật phát hiện xâm nhập được chia thành hai kỹ thuật chính đó là: pháthiện xâm nhập dựa trên chữ ký và phát hiện xâm nhập dựa trên bất thường.1.3.1.Phát hiện xâm nhập dựa trên chữ kýPhát hiện xâm nhập dựa trên chữ ký [Signature-based intrusion detection] trước hếtcần xây dựng cơ sở dữ liệu các chữ ký, hoặc các dấu hiệu của các loại tấn công, xâmnhập đã biết. Hầu hết các chữ ký, dấu hiệu được nhận dạng và mã hóa thủ cơng và dạngbiểu diễn thường gặp là các luật phát hiện [Detection rule]. Bước tiếp theo là sử dụng cơsở dữ liệu các chữ ký để giám sát các hành vi của hệ thống, hoặc mạng, và cảnh báo nếuphát hiện chữ ký của tấn công, xâm nhập.4 Ảnh 1.4 Lưu đồ giám sát phát hiện tấn công, xâm nhập dựa trên chữ kýƯu điểm lớn nhất của phát hiện xâm nhập dựa trên chữ ký là có khả năng phát hiệncác tấn công, xâm nhập đã biết một cách hiệu quả. Ngoài ra, phương pháp này cho tốc độxử lý cao, đồng thời yêu cầu tài nguyên tính tốn tương đối thấp. Nhờ vậy, các hệ thốngphát hiện xâm nhập dựa trên chữ ký đƣợc ứng dụng rộng rãi trong thực tế. Tuy nhiên,nhược điểm chính của phương pháp này là khơng có khả năng phát hiện các tấn công,xâm nhập mới, do chữ ký của chúng chưa tồn tại trong cơ sở dữ liệu các chữ ký. Hơnnữa, nó cũng địi hỏi nhiều cơng sức xây dựng và cập nhật cơ sở dữ liệu chữ ký, dấu hiệucủa các tấn công, xâm nhập.1.3.2.Phát hiện xâm nhập dựa trên bất thường [Anomaly intrusion detection]Phát hiện xâm nhập dựa trên bất thường [Anomaly intrusion detection] dựa trên giảthiết: các hành vi tấn cơng, xâm nhập thường có quan hệ chặt chẽ với các hành vi bấtthường. Quá trình xây dựng và triển khai một hệ thống phát hiện xâm nhập dựa trên bấtthƣờng gồm 2 giai đoạn: là huấn luyện và là phát hiện.-Giai đoạn huấn luyện: Hồ sơ [profile] của đối tƣợng trong chế độ làm việc bìnhthường được xây dựng. Để thực hiện giai đoạn huấn luyện này, cần giám sát đốitƣợng trong một khoảng thời gian đủ dài để thu thập đƣợc đầy đủ dữ liệu mô tảcác hành vi của đối tượng trong điều kiện bình thường làm dữ liệu huấn luyện.5 Tiếp theo, thực hiện huấn luyện dữ liệu để xây dựng mơ hình phát hiện, hay hồ sơcủa đối tượng.-Giai đoạn đoạn phát hiện: Thực hiện giám sát hành vi hiện tại của hệ thống vàcảnh báo nếu có khác biệt rõ nét giữa hành vi hiện tại và các hành vi lưu trong hồsơ của đối tượng.Ảnh 1.5 Biểu đồ tín hiệu entropy theo thời gianGiá trị entropy của IP nguồn của các gói tin từ lưu lượng hợp pháp [phần giá trị cao, đều]và entropy của IP nguồn của các gói tin từ lưu lượng tấn cơng DDoS [phần giá trị thấp]Hình trên biểu diễn giá trị entropy của IP nguồn của các gói tin theo cửa sổ trượt từ lưulượng bình thường và entropy của IP nguồn của các gói tin từ lưu lượng tấn cơng DDoS.Có thể thấy sự khác biệt rõ nét giữa giá trị entropy của lưu lượng bình thường và lưulượng tấn cơng và như vậy, nếu một ngưỡng entropy được chọn phù hợp ta hồn tồn cóthể phát hiện sự xuất hiện của cuộc tấn công DDoS dựa trên sự thay đổi đột biến của giátrị entropy.Ưu điểm của phát hiện xâm nhập dựa trên bất thường là có tiềm năng phát hiện các loạitấn công, xâm nhập mới mà không yêu cầu biết trước thông tin về chúng. Tuy nhiên,phương pháp này có tỷ lệ cảnh báo sai tƣơng đối cao so với phương pháp phát hiện dựatrên chữ ký. Điều này làm giảm khả năng ứng dụng thực tế của phát hiện xâm nhập dựatrên bất thường. Ngồi ra, nó cũng tiêu tốn nhiều tài nguyên hệ thống cho việc xây dựnghồ sơ đối tượng và phân tích hành vi hiện tại.6 CHƯƠNG 1 Giới thiệu Security Onion2.1. Giới thiệuSecurity Onion [SO] là một phiên bản của Linux được thiết kế để phát hiện xâmnhập và giám sát an toàn mạng. Bộ công cụ này dựa trên Xubuntu 10.04, gồm Snort,Suticata, Sguil, Squert, Snorby, Bro, NetworkMiner, Xplico, và nhiều các công cụ an tồnkhác. Đây là bộ cơng cụ rất hữu dụng trong giảng dạy và học tập, ngồi ra Security Onioncịn được sử dụng cho các văn phòng và mạng lưới cá nhân.2.2. Các chức năngTrong sơ đồ bên dưới, có thể thấy Security Onion trong môi trường mạng doanhnghiệp sẽ bao gồm tường lửa, máy trạm và máy chủ. Người quản trị có thể sử dụngSecurity Onion để theo dõi lưu lượng truy cập từ phía bên ngồi trung tâm dữ liệu[North-south traffic] để phát hiện kẻ xâm nhập một mơi trường mạng, thiết lập lệnh vàkiểm sốt [Command and Control] hoặc có thể là xâm nhập dữ liệu. Người quản trị cũngcó thể muốn theo dõi lưu lượng truy cập trong 1 trung tâm dữ liệu [East-west traffic] đểđể phát hiện các động thái có nguy cơ từ bên trong. Do ngày càng nhiều lưu lượng truynhập trong mạng được mã hóa, việc khắc phục những điểm mù tới từ việc đó bằng cáchbằng khả năng hiển thị bổ sung dưới dạng chuẩn đoán thiết bị đầu cuối [endpointtelemetry] là rất quan trọng. Security Onion có thể sử dụng được nhật ký [logs] từ cácmáy chủ và máy trạm, sau đó có thể tìm kiếm bao qt tồn bộ môi trường mạng và nhậtký lưu trữ của máy chủ cùng một lúc.7 Ảnh 2.6 Sơ đồ hoạt động của SO trong môi trường mạng doanh nghiệp truyền thốngSecurity Onion có ba chức năng cốt lõi chính:2.2.1. Bắt tất cả gói tin [Full Packet Capture]:Bắt tất cả gói tin được thực hiện thơng qua công cụ Stenographer.Stenographer là công cụ hỗ trợ bắt gói tin cho các gói dữ liệu đệm đến ổ đĩa, nhằmmục đích phát hiện xâm nhập và giúp người quản trị có thể có các động thái kịpthời khi phát hiện ra hiện tượng xâm nhập. Stenographer cung cấp cơ chế cài đặtđọc và ghi các gói tin bắt được từ network adapter [card mạng] ra ổ đĩa [NIC-to8 disk packet writing], xử lý ngoại lệ khi ổ đĩa hết dung lượng bằng cách xóa bớt cácgói tin đi, cung cấp các phương thức để có thể đọc lại các gói tin cụ thể, nhanhchóng. Sternographer sử dụng AP-PACKET để có thể thực hiện gửi và nhận cácgói tin.2.2.2.Phát hiện mạng và các điểm cuối:Phát hiện mạng và đầu cuối [network and endpoint detection] phân tích lưu lượnggói tin trong mạng hoặc hệ thống máy chủ, đồng thời cung cấp dữ liệu nhật ký[các bản ghi log] và cảnh báo cho các sự kiện và hoạt động được pháthiện. Security Onion cung cấp nhiều tùy chọn:Ảnh 2.7 Minh họa phát hiện tấn công trên cơ sở hệ thống mạng [NIDS]o NIDS hướng theo quy tắc [Rule-driven NIDS]. Để phát hiện xâm nhậpmạng theo quy tắc, Security Onion 2 sử dụng Suricata. Hệ thống dựa trên9 quy tắc xem xét lưu lượng mạng để tìm dấu vân tay và số nhận dạng khớpvới lưu lượng độc hại, bất thường hoặc đáng ngờ.o NIDS hướng phân tích. Để phát hiện xâm nhập mạng theo hướng phân tích[analysis-driven network intrusion detection], Security Onion cung cấpcông cụ Zeek. Zeek giám sát hoạt động mạng và ghi vào nhật ký [log] mọikết nối, yêu cầu DNS, dịch vụ mạng và phần mềm được phát hiện, chứngchỉ SSL và hoạt động HTTP, FTP, IRC, SMTP, SSH, SSL và Syslog mà nónhìn thấy, cung cấp khả năng hiển thị đầy đủ và thiết thực trong ngữ cảnhdữ liệu và sự kiện xảy ra với chúng bên trong mơi trường mạng. Ngồi ra,Zeek bao gồm các bộ phân tích cho nhiều giao thức phổ biến, và mặc địnhcó khả năng kiểm tra tổng MD5 cho các lần tải xuống tệp HTTP chống lạidự án Đăng ký phần mềm mã độc của Team Cymru [Team Cymru’sMalware Hash Registry project]. Ngoài hoạt động ghi nhật ký và phân tíchlưu lượng, Zeek cung cấp nhiều giải pháp cho việc mở rộng để phân tích dữliệu mạng trong thời gian thực. Khung đầu vào cho phép cung cấp dữ liệuvào Zeek, có thể được script theo một bộ lọc nào đó, ví dụ, để đọc một fileCSV của một nhân viên cấp quản lý và so sáng tương khắc của nó với cáchoạt động khác trong mạng, ví dụ như hoạt động tải một file thực thi[executable file] từ mạng internet xuống. Framework phân tích dữ liệu cungcấp các cách thức phân tích dữ liệu độc lập về giao thức, cho phép bắt dữliệu khi chúng đi qua môi trường mạng và tự động chuyển chúng vào môitrường sandbox hoặc một file chia sẻ kiểm tra vi-rút.10 Ảnh 2.8 Minh họa phát hiện tấn công dựa trên cơ sở hệ thống máy chủ/đầu cuối [HIDS]oĐể giám sát điểm cuối, Security Onion cung cấp Wazuh, một công cụ HIDSmã nguồn mở, miễn phí cho Windows, Linux và Mac OS X. Khi thêm bộlọc/bộ quét của Wazuh vào các điểm cuối trên mạng, người quản trị có thể nắmbắt được các thơng tin có giá trị từ các điểm cuối [endpoint] đến các điểm thốt[exit] trong mơi trường mạng . Wazuh thực hiện phân tích nhật ký, kiểm tratính tồn vẹn của tệp, giám sát chính sách, phát hiện rootkit, cảnh báo thời gianthực và phản hồi chủ động. Một bổ sung mới cho Security Onion 2 là osquery– một cơng cụ mã nguồn mở miễn phí khác có chức năng tương tự. Ngồi ra,Security Onion có thể thu thập dữ liệu thông qua Syslog hoặc Beats.11 2.2.3.Các cơng cụ phân tíchẢnh 2.9 Giao diện của SOCẢnh 2.10 Giao diện Hunt12 Ảnh 2.11 Giao diện bắt và thu hồi gói tin của SOCSecurity Onion Console [SOC]: Nó bao gồm một giao diện cảnh báo mớicho phép người quản trị xem tất cả các cảnh báo NIDS và HIDS. SecurityOnion Console [SOC] cũng bao gồm một giao diện Hunt mới để săn tìmmối đe dọa, cho phép người quản trị truy vấn khơng chỉ cảnh báo NIDS /HIDS mà cịn cả nhật ký Zeek và nhật ký hệ thống. Security Onion Console[SOC] cũng bao gồm một giao diện để truy xuất toàn bộ gói tin [PCAP].TheHive: TheHive là giao diện quản lý case. Khi đang làm việc với Alerts,Hunt hoặc Kibana, người quản trị có thể tìm thấy các cảnh báo hoặc bản ghitiềm ẩn nguy cơ để gửi tới TheHive và tạo case.13 Ảnh 2.12 Giao diện KibanaKibana: Kibana, được tạo ra bởi nhóm tại Elastic, cho phép nhanh chóngphân tích và xoay vòng giữa tất cả các loại dữ liệu khác nhau do SecurityOnion tạo ra thơng qua một “ơ kính duy nhất” [“single pane of glass”.]. Nókhơng chỉ bao gồm cảnh báo NIDS / HIDS mà còn cả nhật ký Zeek và nhậtký hệ thống được thu thập thông qua nhật ký hệ thống hoặc phương tiệntruyền tải đại lý khác. Kibana có thể xoay vịng để chụp tồn bộ gói thôngqua Security Onion Console [SOC].14 Ảnh 2.13 Giao diện CyberchefCyberChef cho phép giải mã, giải nén và phân tích các đoạn mã/dữ liệuPlaybook: Playbook là một ứng dụng web cho phép tạo DetectionPlaybook. Các Detection Playbook mơ tả các khía cạnh khác nhau xungquanh chiến lược phát hiện tấn công cụ thể.15 Ảnh 2.14 Giao diện CapMECapME: một ứng dụng web cho phép: Xem một bản dịch pcap transcript được render bằng tcpflow hoặc Zeek Tải về file pcap16 Ảnh 2.15 Giao diện SquertSquert: một ứng dụng web được sử dụng để thực hiện các câu lệnh truy vấn [querry] vàxem các sự kiện từ log thu thập được trong cơ sở dữ liệu của Sguil [các cảnh báo IDS]: Xem một bản dịch pcap transcript được render bằng tcpflow Xem một bản dịch pcap transcript được render bằng Zeek Tải về file pcapẢnh 2.16 Giao diện Sguil17 Sguil: một ứng dụng phân tích/giám sát mạng, có GUI, cung cấp khả năng bắt và truy cậpcác sự kiện thời gian thực, bắt tồn bộ gói tin và các dữ liệu phiên [session data]. Sguil làmột công cụ NSM và cũng là một cơng cụ phân tích hướng sự kiện [event driven]Ảnh 2.17 Giao diện WiresharkWireshark: một ứng dụng phân tích dựa trên giao thức mạng rất phổ biến.2.2.4. Các công cụ NIDSCác công cụ NIDS là các công cụ giám sát, phát hiện xâm nhập hệ thốngmạng, bắt được các hành động khả nghi cụ thể và đưa ra các cảnh báo dựa vào luật[rule]Security Onion có thể sử dụng Snort hoặc Suricata làm NIDS engine. Trongquá trình setup, nếu tích chọn “Evaluation Mode”, Security Onion sẽ mặc địnhNIDS engine là Snort. Các phiên bản cài đặt khác mặc định sử dụng Suricata trongchế độ AF_PACKETCác cảnh báo NIDS có thể được phân tích kĩ hơn bằng các công cụ: Squert,Kibana, Sguil Lệnh [terminal] chuyển đổi IDS engine từ Snort sang Suricata:sudo so-sensor-stopsudo sed -i 's|ENGINE=snort|ENGINE=suricata|g'/etc/nsm/securityonion.conf18