Введение 3
1. Описание SIEM системы 5
1.1. Функциональность SIEM систем 5
1.2. Задачи SIEM системы 6
1.3. Основные источники SIEM систем 8
1.4. Основные потребители SIEM систем 9
2. СОИБ Splunk 10
2.1. Описание СОИБ Splunk 10
2.2. Анализ логов в Splunk 11
2.3. Использование Splunk как SIEM 12
3. СУБД MYSQL 15
3.1. Описание СУБД MySQL 15
3.2. Технические возможности и структура СУБД MySQL 17
3.3. Безопасность в СУБД МуSQL 20
3.4. Логирование в MySQL 20
4. Реализация практической части 25
4.1. Настройка и установка denwer 25
4.2. Установка CMS Drupal 28
4.3. Настройка и установка Splunk 32
4.4. Сбор лог-файлов СОИБ Splunk и получение первичного отчета 34
4.5. Регистрация событий в лог файлах 38
4.5.1. Регистрация изменений при использование phpmyadmin 38
4.5.2. Изменения произошедшие при заведение нового пользователя в CMS Drupal 40
4.5.3. Отслеживание инцидента вторжения с удаленного компьютера 42
4.5.4. Диаграммы в Splunk 45
5. ЗАКЛЮЧЕНИЕ 46
6. СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
В информационные системы угрозы приходят во многих различных формах. Некоторые из наиболее распространенных угроз сегодня представляют собой атаки на программное обеспечение, кража интеллектуальной собственности, личных данных, информации или вымогательства. Большинство людей испытывали так или иначе атаки на информационные системы. Вирусы, черви, фишинг-атаки и троянские кони вот некоторые примеры программных атак. Кража интеллектуальной собственности также была обширной проблемой для многих предприятий в области информационных технологий. Интеллектуальная собственность — в широком понимании означает закреплённое законом временное исключительное право, а также личные неимущественные права авторов на результат интеллектуальной деятельности или средства индивидуализации. [1 ]
Кража программного обеспечения, вероятно, является наиболее распространенным в ИТ - бизнесе сегодня. Кража является попыткой действия, как правило третьей стороной, с целью получить личную конфиденциальную информацию данного лица или воспользоваться доступом к жизненно важной информации. Кража информации становится все более распространенной в сегодняшних реалиях.
В сети интернет бизнес, так или иначе, представляют сайты предприятий. Взлом таких ресурсов обычно состоит из уничтожения веб - сайта организации, в попытке привести к потере данных, что сильно скажется на доверии клиентов. Информация о вымогательстве состоит в краже информации компании с целью получения денежных средств в обмен на возвращение информации его владельцу. Правительственные органы , военные и силовые структуры , большие корпорации , финансовые учреждения и частные предприятия накапливают много конфиденциальной информации о своих сотрудниках, клиентах, товарах и исследованиях .
Основная часть такой информации сейчас собирается, сохраняется и обрабатывается на электронных вычислительных машинах, а передача информации выполняется через сети на другие персональные компьютеры.
Если конфиденциальную информацию о бизнесе попадает в руки конкурентов или хакеров, то предприятие и его клиенты могут пострадать. Непоправимые финансовые потери, а также ущерб репутации компании
С течением времени развиваются не только методы защиты информационных систем , но и методы атак на них. Основная проблема связанная с обеспечением информационной безопасности веб ресурсов состоит в том, что в каждую секунду происходят десятки тысяч действий пользователей и выявить неправомерные операции злоумышленника в ручную подчас бывает просто невозможно. Сегодня существует множество методов автоматического анализа потоков данных , с целью выявления угроз которые могут исходить как из нутрии информационной системы так и из вне. Своевременное реагирование на данные предупреждения способствуют снижению риска кражи информации и как следствие сохранение целостности информационной системы.
Целью данной работы является:
Сбор и анализ событий информационной безопасности СУБД MySQL на базе СОИБ Splunk.
Для достижения поставленной цели , необходимо выполнить следующие задачи:
1 Анализ потоков данных журналов событий в СУДБ MySQL;
2 Реализация тестового стенда для сбора логов веб системы;
3 Систематизация полученных сведений;
4 Реализация сбора и анализа полученных журналов событий в СОИБ Splunk.
Практическая ценность работы. Когда человек занимающийся информационной безопасностью сталкивается с происшествием, ему необходим инструмент, который обладал функциями получения данных из разрозненных источников и способностью к сбору полученных данных в одном месте и анализу. Именно для таких целей и применяется СОИБ Splunk.
В результате проделанной работы над дипломным проектом были выполнены все поставленные задачи. Была изучена документация по лог файлам СУБД MySQL и документация по подключении лог файлов к СОИБ Splunk.
Произведен анализ журналов событий в СУБД MySQL, после чего нам удалось выявить следующие лог-файлы и способы их подключения:
1. бинарный лог/лог обновлений (binlog);
2. лог ошибок (errorlog);
3. лог медленных запросов (slow_querylog);
4. лог запросов (generallog);
5. лог репликаций (relaylog).
Так же нами был создан тестовый стенд для сбора лог файлов. Тестовый стенд был реализован следующим образом:
1) был установлен локальный сервер Denwer, который содержит в себе (Apache, PHP, MySQL);
2) установлена CMS система Drupal 7 версии, написанная на языке PHP и использующая в качестве хранилища данных СУБД MySQL;
3) был установлен и настроен СОИБ Splunk;
4) была проведена установка расширения Splunk DB Connect v2 для соединения с СУБД MySQL.
Сбор и анализ журналов событий в СОИБ Splunk реализован следующим образом:
1) все изменения в системе, которые проводились , были выявлены и показаны в виде рисунков;
2) обнаруженные действия пользователей были зафиксированы в виде отчетов в СОИБ Splunk;
3) были созданные графические диаграммы для более быстрого реагирования на изменения происходящих в СУБД.