BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
ĐỒ ÁN TỐT NGHIỆP
Nghiên cứu xây dựng giải pháp phát hiện và săn tìm mối đe
dọa an ninh mạng dựa trên công nghệ Security Onion
Ngành: An toàn thông tin
Mã số: 7.48.02.02
Sinh viên thực hiện:
Nguyễn Huy Hoàng
Mã SV: AT17N0106
Lớp: AT17I
Người hướng dẫn:
ThS. Trần Quang Kỳ
Khoa An toàn thông tin - Học viện Kỹ thuật mật mã
TP. HCM, 2024
BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
ĐỒ ÁN TỐT NGHIỆP
Nghiên cứu xây dựng giải pháp phát hiện và săn tìm mối đe
dọa an ninh mạng dựa trên công nghệ Security Onion
Ngành: An toàn thông tin
Mã số: 7.48.02.02
Sinh viên thực hiện:
Nguyễn Huy Hoàng
Mã SV: AT17N0106
Lớp: AT17I
Người hướng dẫn:
ThS. Trần Quang Kỳ
Khoa An toàn thông tin - Học viện Kỹ thuật mật mã
TP. HCM, 2024
MỤC LỤC
MỤC LỤC....................................................................................................................
DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT.............................................................
DANH MỤC BẢNG.....................................................................................................
LỜI CẢM ƠN.............................................................................................................10
LỜI NÓI ĐẦU............................................................................................................11
CHƯƠNG I : TỔNG QUAN VỀ NGUY TIỀM ẨN THREAT
HUNTING..................................................................................................................15
1. Tổng quan về nguy cơ An Ninh mạng và Nguy cơ tiềm ẩn..........................15
2. Threat Hunting.................................................................................................20
2.1 Khái niệm về Threat Hunting.......................................................................20
2.2 Mức độ trường thành của Threat..................................................................21
2.3 Kỹ thuật Săn tìm Mối đe dọa Chính.............................................................23
2.4 Quy trình rà soát mối đe dọa.........................................................................24
2.4.1 Bắt đầu.................................................................................................24
2.4.2 Xây dựng giả thuyết/ lập kế hoạch rà soát...........................................25
2.4.3 Tương quan nguồn tri thức về mối đe dọa (Threat Intelligence).........26
2.4.4 Điều tra số............................................................................................27
2.4.5 Xác định IOC mới................................................................................28
2.4.6 Cập nhật giả thuyết...............................................................................28
2.4.7 Kỹ thuật, phương pháp phát hiện tấn công sử dụng trong quá trình
săn tìm chủ động mối đe dọa.........................................................................28
2.5 Kỹ thuật phát hiện xâm nhập........................................................................29
3. Kết luận chương...............................................................................................29
CHƯƠNG II: SECURITY ONION - GIẢI PHÁP SĂN TÌM MỐI ĐE DỌA
TIỀM ẨN....................................................................................................................30
1. Giới thiệu về Security Onion...........................................................................30
1.1 Khái niệm về Security Onion........................................................................30
1
1.2 Lịch sử hình thành..................................................................................32
2. Thành phần cốt lõi..........................................................................................33
2.1 Giám sát hệ thống mạng...............................................................................33
2.1.1 Phát hiện xâm nhập..............................................................................33
2.1.2 Siêu dữ liệu mạng ( Network Metadata )............................................34
2.3 Các công cụ phân tích...................................................................................39
2.3.1 Giao diện SOC.....................................................................................39
2.3.2 Kibana..................................................................................................40
2.3.3 Elastic Fleet..........................................................................................41
2.3.4 Osquery Fleet.......................................................................................41
2.3.5 InfluxDB..............................................................................................42
2.3.6 Hunt......................................................................................................43
2.3.7 CyberChef............................................................................................44
2.3.8 CAPME................................................................................................45
2.3.9 Squert...................................................................................................46
2.3.10 Sguil...................................................................................................47
2.3.11 Wireshark...........................................................................................48
2.3.12 Các công cụ NIDS..............................................................................48
2.4 Yêu cầu hạ tầng.............................................................................................50
2.5 Kiến Trúc......................................................................................................52
2.5.1 Import...................................................................................................52
2.5.2 Evaluation............................................................................................52
2.5.3 Standalone............................................................................................53
2.5.4 Distributed............................................................................................54
2.5.5 Note Types...........................................................................................56
2.6 Triển khai Security Onions...........................................................................57
2.7.1 Đánh giá chung giữa Cisco Systems và Security Onion......................58
2.7.2 Đánh giá nổi bật của khách hàng.........................................................60
2
2.8 Ưu điểm và nhược điểm của Security Onion................................................62
2.8.1 Ưu điểm................................................................................................62
2.8.2 Nhược điểm..........................................................................................62
3. Tổng kết chương...............................................................................................63
CHƯƠNG 3: ỨNG DỤNG CỦA SECURITY ONION TRONG VIỆC SĂN
TÌM MỐI ĐE DỌA TIỀM ẨN.................................................................................64
1. Chuẩn bị...........................................................................................................64
2. Mục tiêu tổng quan.........................................................................................65
3. Tấn công............................................................................................................65
3.1 Malware........................................................................................................65
3.1.1 Kịch bản...............................................................................................65
3.1.2 Mục tiêu...............................................................................................66
3.1.3 Thực hiện tấn công...............................................................................66
3.2 Phishing Attack.............................................................................................70
3.2.1 Kịch bản...............................................................................................70
3.2.2 Demo quá trình tấn công......................................................................70
4. Kết luận chương..............................................................................................78
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI.......................................79
TÀI LIỆU THAM KHẢO.........................................................................................81
3