TÌM HIỂU VÀ TRIỂN KHAI TRUNG TÂM GIÁM SÁT AN TOÀN MẠNG TRÊN NỀN TẢNG WAZUH

Trung tâm điều hành ATTT SOC sẽ giúp các cơ quan tổ chức theo dõi, giám sát những nguy cơ, rủi ro 24/7, từ đó phát hiện sớm các lỗ hổng, các cuộc tấn công để chủ động ứng phó. Trung tâm thu thập dữ liệu từ nhiều nguồn như NIDS, HIDS, raw log,....để có thể phân tích, tương quan dữ liệu từ đó đưa ra cảnh báo ngay khi xuất hiện nguy cơ về cuộc tấn công như có lưu lượng truy cập bất thường, có kết nối trái phép vào máy chủ hay hành vi dò quét trong mạng. Chính vì vậy, các kết nối với máy chủ mã độc, các cuộc tấn công web hay DDoS, APT đã bị chặn đứng khi mới chỉ là nguy cơ.

Nhận thấy tầm quan trọng của việc xây dựng Trung tâm điều hành ATTT SOC là sự tất yếu,cấp thiết để đảm bảo an toàn, an ninh thông tin của các cơ quan, tổ chức.Vì vậy, em đã quyết định chọn đề tài “Tìm hiểu và triển khai trung tâm giám sát an toàn mạng trên nền tảng Wazuh”, nhằm xây dựng trung tâm giám sát tích hợp nguồn thu thập log từ các thiết bị. Từ đó có thể phân tích hành vi người dùng cũng như có khả năng phát hiện các cuộc tấn công diễn ra trên một hay nhiều thiết bị.

NỘI DUNG:

Danh mục kí hiệu và viết tắt iii

Danh mục hình vẽ iv

Danh mục bảng vi

Lời cảm ơn vii

Lời nói đầu viii

Chương 1. Giám sát an toàn thông tin trong mạng máy tính 1

1.1. Tổng quan về tình hình ATTT trong mạng máy tính hiện nay 1

1.2. Nhu cầu việc xây dựng Trung tâm điều hành ATTT SOC 3

1.3. Trung tâm điều hành ATTT SOC 4

1.3.1. Khái niệm trung tâm điều hành ATTT SOC 4

1.3.2. Nguyên lý hoạt động của Trung tâm điều hành ATTT SOC 5

1.3.3. Đối tượng, phạm vi giám sát của Trung tâm điều hành ATTT SOC5

1.4. Một số sản phẩm giám sát ATTT 10

1.4.1. SIEMonster 11

1.4.2. ELK Stack 11

1.4.3. OSSIM 12

1.4.4. Security Onion 12

1.4.5. IBM QRadar SIEM 13

1.4.6. HP ArcSight SIEM 13

1.5. Lợi ích của việc xây dựng Trung tâm điều hành ATTT SOC 14

1.6. Kết luận chương 1 14

Chương 2. Hệ thống giám sát an toàn thông tin wazuh 15

2.1. Giới thiệu về Wazuh 15

2.2. Kiến trúc của Wazuh 16

2.3. Phương thức liên lạc và luồng dữ liệu 17

2.3.1. Liên lạc giữa Wazuh agent và Wazuh server 18

2.3.2. Liên lạc giữa Wazuh và Elastic 18

2.4. Các thành phần chính trong Wazuh 18

2.4.1. Wazuh server 18

2.4.2. Wazuh agent 20

2.4.3. Elastic Stack 21

2.5. Luật trong Wazuh 22

2.5.1. Các cấp độ luật của Wazuh 22

2.5.2. Phân loại luật 26

2.6. Khả năng của Wazuh 27

2.6.1. Phân tích bảo mật 27

2.6.2. Phát hiện xâm nhập 27

2.6.3. Phân tích dữ liệu nhật ký 27

2.6.4. Giám sát toàn vẹn tệp 28

2.6.5. Phát hiện lỗ hổng 28

2.6.6. Đánh giá cấu hình 28

2.6.7. Ứng phó sự cố 28

2.6.8. Tuân thủ quy định 29

2.6.9. Giám sát an ninh cloud 29

2.6.10. Bảo mật Containers 29

2.7. Kết luận chương 2 30

Chương 3. Xây dựng trung tâm điều hành an toàn thông tin dựa trên nền tảng wazuh 31

3.1. Cơ sở lý thuyết xây dựng Trung tâm điều hành ATTT SOC 31

3.1.1. Nền tảng Trung tâm điều hành ATTT SOC 31

3.1.2. Đề xuất tiêu chí xây dựng SOC 33

3.1.3. Đề xuất các bước xây dựng Trung tâm điều hành ATTT SOC 37

3.1.4. Xây dựng các thành phần cơ bản của SOC 39

3.2. Tích hợp wazuh trong trung tâm giám sát ATTT SOC 49

3.3. Thử nghiệm 52

3.3.1. Xây dựng hệ thống 52

3.3.2. Kịch bản 01 53

3.3.3. Kịch bản 02 56

3.3.4. Kịch bản 03 63

3.4. Kết luận chương 3 68

Kết luận 69

Tài liệu tham khảo 70

Phụ lục 72

LINK DOWNLOAD