monitoring event 20130525_chinhsua
TRANSCRIPT
Make yourself to be an expert!
Luong Trung Thanh | 25/05/2013 | [email protected]
Security Monitoring
Make yourself to be an expert!
Những thay đổi so với phiên bản gốc1. Giới thiệu OSSIM là gì, và các tính năng.
2. Phần Demo OSSIM cung cấp các link download và các tài liệu kèm theo.
3. Bổ sung thêm một số Notes đã trình bày trong hội thảo.
Make yourself to be an expert!
LÝ DO CỦA HỘI THẢONguyên nhân sâu xa:• Một sự nhầm lẫn
&
• Một cuộc thảo luận … hơi căng thẳng
• Đó là lý do của hội thảo
Make yourself to be an expert!
MONITOR là …
Make yourself to be an expert!
MONITORMục đích:
• Phát hiện những “bất thường”
• Liên tục và gần như là 24/24 x 7 x 365.25
• Cảnh báo & kích hoạt hành động
Make yourself to be an expert!
CÁC BƯỚC …1. Xác định đối tượng được/bị giám sát
2. Xác định ngưỡng bất thường
3. Phương thức cảnh báo
4. Kích hoạt các hành động tương ứng
Make yourself to be an expert!
Đối tượng
• Mục đích giám sát
Ngưỡng
• Xác định ngưỡng
Cảnh báo
• Phương thức cảnh báo
Kích hoạt
• Những hành động
• Tài nguyên sử dụng
• Hoạt động bất thường
• Email, sms• Chuông báo động
• Thực thi scripts• Báo động
• Điểm đặc trưng của đối tượng
Make yourself to be an expert!
MINH HỌA
Môi trường
Đối tượng được/bị chọn
Make yourself to be an expert!
Các đặc tính đặc trưng
Xuân, Hạ, Thu, Đông sẽ khác
nhau. Nhớ dùm
Make yourself to be an expert!
CHƯƠNG TRÌNH MONITOR1. MRTG/PRTG
2. Nagios
3. Solarwinds
4. Cola-soft
5. Red-gate (SQL Monitor)
6. Splunk
7. OSSIM
8. ………
Make yourself to be an expert!
VÍ DỤ DEMO NHỎ1. Demo 01: Teamviewer
2. Demo 02: Teamviewer
3. Demo 03: http://oriondemo.solarwinds.com/Orion/Login.aspx?ReturnUrl=%2f
4. Demo 04: http://monitor.red-gate.com/Configuration/Custom-Metrics/Edit/11#/?v=1
5. Demo 05: http://demo.opmanager.com/
Make yourself to be an expert!
MỘT VÀI NHẬN XÉT1. Chọn đúng các Metrics để giám sát sẽ đem
lại hiệu quả cao
2. Việc giám sát cung cấp các thông tin hữu ích cho … công việc hằng ngày
3. Không phản ánh được mức độ an ninh (Security)
Make yourself to be an expert!
MỘT VÀI NHẬN XÉT1. Chọn đúng các Metrics để giám sát sẽ đem
lại hiệu quả cao
2. Việc giám sát cung cấp các thông tin hữu ích cho … công việc hằng ngày
3. Không phản ánh được mức độ an ninh (Security)
Make yourself to be an expert!
Thế nào là giám sát an ninh …1. Đoạn phim 01:
Make yourself to be an expert!
Thế nào là giám sát an ninh …2. Đoạn phim 02:
Make yourself to be an expert!
SECURITY MONITORING1. Security monitoring không chỉ là:• Giám sát hệ thống mạng
• Giám sát hoạt động của các chương trình/ứng dụng
• Giám sát các hoạt động trên hệ thống mạng
• Theo dõi tình trạng các phiên bản OS, patch, hệ điều hành …
Make yourself to be an expert!
2. mà còn bao gồm:
• Các hoạt động liên quan tới dữ liệu (chống rò rỉ
dữ liệu)
• Tuân thủ các chính sách đề ra (Compliance)
• Số lượng các lỗ hổng/các bản vá triển khai…
• Đào tạo nhận thức/chuyên môn
Make yourself to be an expert!
OSSIM1) Một giải pháp SIEM (Security Information &
Event Management)
2) Dựa trên mã nguồn mở (phiên bản 4 là phiên bản thương mại).
3) Hỗ trợ các công cụ Security
4) Trực quan và thực sự là một hệ thống giám sát an ninh.
Make yourself to be an expert!
SƠ LƯỢC CÁC THÀNH PHẦN
OSSIM
SENSOR
ASSETS
COMPLIANCE
RISK ASSESSMENT
INCIDENT RESPONSE
KNOWLEDGE BASE
Make yourself to be an expert!
SƠ LƯỢC CÁC THÀNH PHẦN (2)1. Sensor: các thành phần của IPS, IDS, HIPS…
như Snort, OSSec, ….
2. Asset:quản lý các tài sản cũng như việc xác định các các nguy cơ trên các tài sản
3. Compliance: hỗ trợ việc thực thi các chính sách theo tiêu chuẩn ISO 27000 và PCI DSS
Make yourself to be an expert!
4. Risk Assessment và quản lý việc thực thi các Incident Response dựa trên các Ticket và Alarm.
5. Tổng hợp tri thức (Knowledge Base)
6. Report trực quan
SƠ LƯỢC CÁC THÀNH PHẦN (3)
Make yourself to be an expert!
DEMO OSSIM 1. Link download: • 32 bit: http://
data.alienvault.com/alienvault_open_source_siem_3.1_32bits.iso
• 64 bit: http://data.alienvault.com/alienvault_open_source_siem_3.1_64bits.iso
2. OSSIM alientvault: là một Appliance, cài đặt như một hệ điều hành Linux thông thường.
Make yourself to be an expert!
DEMO OSSIM
2. Tài liệu tham khảo: • Install Guide: • https://www.alienvault.com/wiki//doku.php?id=installation
• Deployment Guide:• https://bloomfire-production.s3.amazonaws.com/crocodoc_d
ocuments/237216/original/OSSIM_Secure_Deployment_Guide_-_Location.pdf?AWSAccessKeyId=AKIAJ76YXHBP7FR2RZDA&Expires=2147385600&Signature=yF%2B%2Bg3mappcu%2FSDNep8AmvVi70Y%3D&response-content-disposition=attachment
Make yourself to be an expert!
DEMO OSSIM3. Forum chính thức:• https://www.alienvault.com/forum/index.php
4. Notes: tài khoản đăng nhập khi cài đặt OSSIM hoàn tất, admin/admin.
Make yourself to be an expert!
• Patch, updates
• Zero-day
• Chính sách
• Camera
Môi trường
Tuân thủ
Hệ thống
Ứng dụng
Make yourself to be an expert!
SUY XÉT Privacy là vấn đề cần quan tâm
Sự chấp nhận/đồng thuận của người dùng
Chi phí cho việc thực hiện
Quy trình
Nhân tố con người
Make yourself to be an expert!
DETECT chỉ là PHÁT HIỆN Thử thách:
VIRUS < > I V U R S Khả năng phán đoán và ra quyết định
Phân tích Logs / Events: Kỹ năng Phản ứng nhanh ……
Make yourself to be an expert!
VIDEO1) Tuân thủ chính sách:
2) …cần update công nghệ: link
Make yourself to be an expert!
NHỮNG GÌ BẠN CẦN1) Quy trình và sự khác biệt của riêng.
2) Xây dựng giám sát an ninh đến mức độ nào:
• Detect
• Response
• Prevent
3) Kế hoạch hành động ngay từ bây giờ
Make yourself to be an expert!
Q & A
Make yourself to be an expert!
LỜI CẢM ƠN1) Nguyễn Chấn Việt – Cấu hình Lab trên Cloud
2) Nguyễn Hải Long – trình bày Demo OSSIM
3) Lê Vĩnh Đạt và công ty Optimum – cung cấp tài nguyên Lab cho Cloud
4) Nguyễn Phương Trường Anh, Phạm Ta Ni, Nguyễn Chấn Việt, Nguyễn Hải Long, Trần Chí Cần – nội dung thảo luận tiền đề cho hội thảo.