ВВЕДЕНИЕ 4
1 . SIEM-СИСТЕМЫ 7
1.1 Основные компоненты SIEM-систем 8
1.2 Функционирование SIEM-систем 8
1.3 Основные источники SIEM 11
1.4 Эффективность внедрения SIEM-систем 13
1.5 SIEM- система Splunk 14
1.5.1 Краткое описание Splunk 14
1.5.2 Основные возможности Splunk 15
1.5.3 Использование Splunk для анализа логов 15
1.5.4 Использование Splunk как SIEM 21
1.5.5 MapReduce и Splunk 24
2. MYSQL 27
2.1 Понятие БД и СУБД 27
2.2 Краткое описание СУБД MySQL 28
2.3 Технические возможности СУБД MySQL 29
2.4 Структура MySQL 29
2.4.1 Серверная и клиентская части MySQL 29
2.4.2 Три основных уровня структуры MySQL 30
2.5 Безопасность в СУБД Му SQL 31
2.6 Требования к аппаратному и программному обеспечению 31
2.7 Лог- файлы в СУБД MySQL 32
2.7.1 Бинарный лог 32
2.7.2 Лог ошибок 34
2.7.3 Лог медленных запросов 35
2.7.4 Лог запросов 36
2.7.5 Лог репликаций 37
3. НАСТРОЙКА И УСТАНОВКА SPLUNK ДЛЯ СБОРА И АНАЛИЗА ЛОГОВ 38
3.1 Первые шаги установки Splunk 38
3.2 Сбор лог-файлов системой Splunk 40
3.3 Получение «сырого» отчета 40
3.4 Получение отчета об изменении в таблице users через phpMyAdmin ... 42
3.5 Получение отчета об изменении в таблице users из СMS Drupal 44
3.6 Получение отчета об изменении в таблице users из удаленного компьютера 46
3.7 Диаграмма операций, которые выполнялись в системе 49
3.7.1 Их процентное соотношение 50
3.8 Диаграмма посетителей системы 53
3.8.1 Их процентное соотношение 53
3.9 Полный отчет Splunk 55
ЗАКЛЮЧЕНИЕ 56
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 58
Принятие решений во всех областях жизнедеятельности компании либо крупнейшего предприятия в большей степени основывается на информационных процессах. Исследование данных процессов с дальнейшей выработкой распоряжающихся решений исполняется на базе информационных моделей, созданных на современных информационно - телекоммуникационных технологиях. Вследствие этого сохранность данных представляет собой самостоятельную составляющую безопасности компании в целом, значение которой с каждым годом увеличивается.
Информационная безопасность становится одним из главных источников экономической эффективности предприятия. На практике прослеживается тенденция, в которой все сферы жизнедеятельности компании зависят от информационного развития, в процессе которого они сами порождают информацию и сами же ее потребляют.
На современном этапе развития главными угрозами безопасности компании являются те угрозы, которые подрывают информационную безопасность предприятия. Результатами эффективного исполнения информационных атак могут стать нарушение конфиденциальности, целостности и доступности информации, которые могут повлечь за собой очень серьезные экономические потери, создать угрозу жизни и здоровью персонала предприятий и населению, навязать ложную информации, нарушить установленный регламент сбора, обработки и передачи информации, провести отказы и сбои в работе системы. Всё это вызвано преднамеренными и непреднамеренными действиями как со стороны конкурентов, преступных сообществ, организаций и групп, так и со стороны самого персонала.
Потребность в защите информации осознавалась народом еще с глубокой древности. Ведь не зря до нас дошли сведения о применявшихся раннее способах зашиты информации — технических (например, знаменитый полибианский квадрат, изобретённый греческим философом Полибием, «дисковой шифр» Томаса Джефферсона, код Цезаря) и организационных (как правило, они сводились к физическому устранению людей, которые владели какой-либо информацией).
С течением времени модернизировались не только методы защиты информации, но и методы атак на информационную систему. Современная экономическая и политическая обстановка в мире такова, что темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы, руководящих документов. Поэтому решение вопроса о разработке эффективной системы информационной безопасности на современном предприятии напрямую связано с проблемой эффективности корпоративной системы защиты информации, за которую в ожесточенной конкурентной схватке ведет борьбу масса крупнейших предприятий. Поэтому вопросы защиты информации в современном обществе имеют первостепенное значение.
В современном мире весьма актуальной является проблема количества информации, которая обрабатывается в информационных системах, масштабы которой растут с каждым разом. Интенсивность информационного обмена автоматизированных систем обусловлена развитием и разнообразием бизнеспроцессов и задач, решаемых в рамках систем управления предприятиями и организациями различных форм собственности. Вместе с тем растет и количество вредоносной информации, такой как вирусы, троянские программы и т.д., а также разнообразие злоумышленных информационных атак на ресурсы систем [2]. При этом варианты и пути проникновения вредоносной информации в корпоративные информационные системы также постоянно видоизменяются и модифицируются, что делает задачу обеспечения информационной безопасности подобных систем достаточно сложной. Интенсивность информационных событий в корпоративных сетях может достигать нескольких миллионов в день, поэтому возникает проблема нахождения и локализации вредоносной информации в огромных информационных массивах. При этом обработка подобных событий в ручном режиме не представляется возможной, так как потребовала бы значительных человеческих и временных затрат, а также недопустимых с точки зрения эффективности аппаратно-программных ресурсов. Решение данной проблемы целесообразно на основе применения SIEM систем.
Цель работы: Реализовать систему управления событиями информационной безопасности СУБД MySQL на базе SIEM Splunk.
Для достижения поставленной цели необходимо решить следующие задачи:
1) анализ потоков данных журналов событий в СУДБ MSSQL;
2) реализация тестового стенда для сбора логов промышленной либо веб системы;
3) систематизация полученных сведений;
4) реализация сбора и анализа полученных журналов событий в СОИБ Splunk.
Практическая ценность работы. Когда аналитик информационной безопасности сталкивается с инцидентом, ему необходим инструмент, который бы позволил из разрозненных источников собрать информацию и в одном месте их проанализировать. Для этих целей и применяется SIEM- система Splunk.
В результате проделанной работы над дипломным проектом была реализована система управления событиями информационной безопасности СУБД MySQL на базе СОИБ Splunk. Изучена и проанализирована документация по лог-файлам, SIEM- системам, СУБД MySQL, СОИБ- системе Splunk.
Проведен анализ потоков данных журналов событий(лог-файлов) в СУБД MySQL, после которого были выявлены следующие лог-файлы и способы их подключения:
1) бинарный лог (bin log);
2) лог ошибок (error log);
3) лог медленных запросов (slow_query log);
4) лог запросов (general log);
5) лог репликаций (relay log).
Создан тестовый стенд для сбора лог-файлов, реализованный следующим образом:
1) установка локального сервера Denwer, который содержит в себе (Apache, PHP, MySQL);
2) установка системы управления содержимым - CMS Drupal, которая используется как каркас для веб-приложений, написанная на языке PHP и использующая в качестве хранилища данных реляционную базу данных MySQL;
3) установка и настройка СОИБ Splunk;
4) установка и настройка расширения Splunk DB Connect v2 для соединения с базами данных MySQL и извлечения из них лог-файлов.
В практической работе были смоделированы атаки, цель которых нарушить конфиденциальность и целостность информации в СУБД MySQL.
С помощью SIEM-системы Splunk были собраны лог - файлы СУБД MySQL, которые были подробно проанализированы. Инсценированные действия злоумышленника были выявлены и наглядно отражены в виде отчетов и диаграмм.
Таким образом, все поставленные задачи были решены, реализована интеграция журналов СУБД MySQL с системой управления событиями информационной безопасности на базе СОИБ Splunk.
Помощь студентам и аспирантам в выполнении работ от наших партнеров
