Hiện nay, các chuyên gia an ninh mạng gặp nhiều khó khăn khi phân tích nhật ký truy cập của các thiết bị trên hệ thống giám sát sự kiện bảo mật và quản lý nhật ký truy cập (SIEM). Điều này dẫn đến hệ quả có thể bỏ sót nguy cơ tấn công và nhóm chuyên gia phải đối mặt với nhiều thách thức hơn để điều tra mối đe dọa. Nếu bạn quan tâm đến vấn đề trên, trong bài biết này chúng tôi sẽ hướng dẫn các bạn một số mẹo để dễ dàng xác định hay cải thiện khả năng hiển thị cũng như phân tích dữ liệu nhật ký truy cập.
Những khó khăn của việc lưu trữ nhật ký truy cập của người dùng
Tùy thuộc vào từng hệ thống, các điểm tấn công phổ biến nhất trong mạng thường được chia làm 2 loại:
- Các dịch vụ được quảng bá Internet hoặc mở trong hệ thống nội bộ (Ví dụ: Websites, ứng dụng, cổng tường lửa được mở, dịch vụ cloud…)
- Máy tính của người dùng (Ví dụ: mở tệp đính kèm, sử dụng USB có chứa virus, email lừa đảo, cài đặt phần mềm phi pháp…)
Các chuyên gia mạng phân tích trên SIEM, người ta thường tập trung nhiều vào việc phân tích nhật ký của các hệ thống chính như Domain Controller, Firewall, truy cập Web…Bởi vì thành phần này thường hoạt động 24/7 và giữ nguyên IP và dễ dàng thu thập nhật ký.
Việc giám sát máy tính người dùng (ví dụ: Laptop, desktop, VDI) trên SIEM sẽ phức tạp hơn vì các thiết bị này không phải lúc nào cũng được kết nối với mạng hoặc người dùng di chuyển thiết bị để làm việc từ xa. Việc quản lý và đảm bảo tất cả các hệ thống được giám sát khó khăn hơn bao giờ hết. Nhiều cuộc tấn công xuất phát và nhắm đến Endpoint, trung tâm giám sát an ninh thông tin bảo mật phải đối mặt với những điểm mù và xác định nguồn gốc vấn đề.
Hiện nay, các nhóm bảo mật hiện nay thường sử dụng giải pháp EDR hoặc AV để giám sát người dùng và gửi nhật ký của chúng đến hệ thống SIEM, bởi vì họ không cần thu thập nhật ký của máy tính người dùng một cách trực tiếp. Các giải pháp này chỉ gửi cảnh báo về các sự kiện mà chúng cho là độc hại. Tuy nhiên, nếu chúng ta muốn theo dõi nhật ký Endpoint cho tất cả hoạt động trên SIEM thì nhật ký sự kiện EDR không phải là lựa chọn tốt nhất, bởi vì khi đó khả năng giám sát sẽ phụ thuộc vào giải pháp EDR. Không phủ nhập EDR hoặc AV là một phần quan trọng trong bảo mật hệ thống, nhưng chúng ta cần tận dụng các phương pháp hay nhất để có đủ thông tin vẽ một bức tranh tổng thể những gì đang xảy ra trên máy tính của người dùng, không chỉ riêng hệ thống Server.
Những loại nhật ký nào nên thu thập từ máy tính người dùng?
Hiện nay, môi trường người dùng phổ biến sử dụng hệ điều hành Microsoft Windows, nên trong bài viết này sẽ tập trung vào nhật ký Windows. Những khái niệm này có thể được áp dụng có các công nghệ khác mặc dù khác về cấu trúc nhật ký.
Hình dưới đây là một ví dụ minh họa những nhật ký chúng ta cần thu thập từ máy tính người dùng bao gồm Windows Security Logs, PowerShell, and SysMon logs.
Window Security Logs
Khi thu thập từ Server, 3 loại log cần tìm kiếm bao gồm Windows Application, System và Securtiy logs. Security log (nhật ký bảo mật) là nhật ký chính để phân tích bởi vì chúng cung cấp thông tin bao gồm ai là người đã đăng nhập, đăng nhập sai thông tin, những tiến trình được khởi chạy và nhiều hơn thế nữa. Khi đánh giá một người dùng đăng nhập sai, chúng ta nên tìm kiếm trong nhật ký của Domain Controller. Tuy nhiên, tài khoản administrator trên máy hoặc tài khoản khác bị tấn công mà trên Domain Controller không có nhật ký ghi lại.
Một thách thức đặt ra khi người dùng không sử dụng máy tính trong hệ thống mạng công ty (ví dụ người dùng làm việc tại nhà hay làm việc từ xa tại các quán café) thật khó có thể thu thập nhật ký từ các máy tính này. Trên Windows sẽ có một giải pháp giúp ích cho việc này còn gọi là Windows Event Log Forwarding. Log sẽ được gửi tới một hệ thống tập trung mà không yêu cầu cài đặt agent hay một phần mềm trên máy tính, nó là một tính năng sẵn có trên hệ điều hành Windows. Trong tài liệu được đính kèm sẽ hướng dẫn về cách cấu hình Windows Event Forwarding (WEF). Tuy nhiên, máy tính người dùng trong Domain có thể được cấu hình thông qua Group Policy để kết nối tới WEF Server và chỉ định nhật ký nào sẽ được gửi đến hệ thống tập trung. Mọi người có thể cấu hình theo Event ID, chanel, serverity…và các thông số trong log. Có nghĩa là có thể thu thập những nhật ký mà mình quan tâm giảm thiểu những log không liên quan để gửi lên hệ thống SIEM. Sau đó bạn có thể sử dụng LogRhythm System Monitor hoặc Collector để thu thập log từ WEF và đưa ra phân tích cũng như cung cấp khả năng hiển thị trên nhật ký bảo mật của Windows.
PowerShell Logs
Theo McAfee, các mối đe dọa tấn công từ PowerShell tăng 208% từ giữa quý 3 và quý 4 năm 2021. Điều này chứng minh rằng tầm quan trọng của ghi nhật ký PowerShell ngày càng quan trọng để hiểu được những gì đang xảy ra trong hệ thống. PowerShell được tích hợp sẵn trên mọi phiên bản của Windows, một yếu tố để những kẻ tấn công nhắm đến. Windows Security Log có thể ghi lại thông tinh tiến trình ứng dụng bắt đầu khởi chạy nhưng không ghi lại những gì đã mở hoặc thao tác lệnh trên PowerShell. Đó là lý do tại sao cần ghi nhật ký PowerShell và cần thu thập chúng trên hệ thống SIEM nhất là đối với máy tính người dùng. Mọi người có thể tham khảo bài viết how to enable PowerShell loggging để sử dụng nó và tích hợp với hệ thống SIEM của LogRhythm.
Microsoft Sysmon
Để hiện thị nhiều hơn nữa khi giám sát máy tính người dùng Microsoft phát triển công cụ có tên SysInternalss Sysmon Tool. Khi triển khai công cụ này, người vận hành có thể kiểm tra chi tiết hệ thống của mình đối với Windows Envent Logs và có thể thu thập trực tiếp hoặc thông qua WEF. Ta có thể sử dụng XML để định cấu hình và giám sát các loại sự kiện khác nhau bao gồm rocess Creation, Network Connection, Process Terminated, File Creation, Registry Event, and even DNS requests. Người vận hành dễ dàng lập chỉ mục hoặc loại trừ trên file cấu hình XML giảm thiểu các tính năng dư thừa trên Windows hoặc những hành động ghi lại nhật ký không mong muốn.
Giống với Security Log và PowerShell, công cụ Sysmon sẽ ghi vào nhật ký của Windows, chúng ta có thể thu thập thông tin này từ Windowss Event Log Collection bằng LogRhythm agent một cách trực tiếp. Hoặc có thể sử dụng Event Log Forwarding để gửi long. Cũng giống như WEF bạn có thể triển khai Sysmon thông qua Group Policy cài đặt trên diện rộng cho tất cả người dùng bên trong Domain.
Dịch vụ hỗ trợ của LogRhythm
Để được hỗ trợ cho việc lưu trữ nhật ký truy cập người dùng, LogRhythm cung cấp dịch vụ làm việc trực tiếp với khách hàng để tập trung vào từng hệ thống và use case cụ thể giúp khách hàng điều tra, phát hiện mối đe dọa trên hệ thống SIEM, dịch vụ có tên LogRhythm Analytic Co-Pilot. Nhóm cung cấp dịch vụ đã hỗ trợ nhiều trường hợp sử dụng, từ việc xem xét những gì đang được chạy với PowerShell, Họ làm việc với khách hàng để giám sát việc lây lan ransomware qua PowerShell. Sử dụng này là ghi nhật ký quan trọng của PowerShell và SysMon cung cấp khả năng hiển thị về những gì đang xảy ra trong môi trường của khách hàng.
