Введение 3
1. Теоретические аспекты изучения SIEM Splunk 6
1.1. Использование Splunk для анализа логов 6
1.2. Реализация СОИБ на базе Splunk 8
2. Угрозы, специфичные для систем управления базами данных 10
2.1. Угрозы конфиденциальности информации 10
2.2. Угрозы целостности информации 11
2.3. Угрозы доступности информации 11
3. Аудит и протоколирование в MS SQL 13
3.1. Работа с протоколированием SQL Server 13
3.2. Лог-файл для поддержания целостности данных и производительности
операций 19
4. Практические тесты нагрузки на производительность базы данных при
различном протоколировании и трассировки объектов 25
5. Практическая реализация системы управления событиями
информационной безопасности СУБД MS SQL на базе SIEM SPLUNK 30
5.1. Установка и надстройка 1С Предприятие 8.2 и создание информационной базы 31
5.2. Установка конфигураций SIEM Splunk и его дополнений 35
5.3. Создание объектов аудита в Microsoft SQL Server для Splunk DB Connect 41
5.4. Создание угроз для базы данных SQL Server и их дальнейший анализ с
помощью Splunk 44
Заключение 50
Список литературы 52
Приложение
Современным компьютерам (будь то сервер либо рабочая станция) приходится обрабатывать количество информации, которое сложно представить человеку. Огромное количество расчетов означает и огромное количество трудностей и ошибок, с коими сталкиваются машины. Естественно, программы пробуют справиться с ошибками самостоятельно, однако иногда внимание и вмешательство человека просто необходимы.
В большой корпоративной сети нередко действуют сотни рабочих станций и десятки серверов, маршрутизаторов и иных функциональных приборов. Все они регулярно генерируют информацию для администратора, как извещения об ошибках, так и просто отчеты о происходящем. Данный процесс и результирующий отчет именуются одним словом - «лог».
Логи, либо как их также именуют, файлы регистрации событий - незаменимый инструмент для мониторинга сетевой активности, состояния системы и ее производительности. К сожалению, они изредка используются с наибольшей эффективностью. Главные предпосылки этому - большой объем информации, сложность ее разбора, а еще то, что разными программами генерируются разные форматы лог-файлов.
Если некоторые программы ведут лог приблизительно одного формата, то некоторые другие - разных форматов. Так, к примеру, стандартный для UNIX syslog представляет собой текстовый файл, в котором каждое новое сообщение представлено отдельной строчкой. В Windows же за запись и отображение логов отвечает Event Manager - методика его работы более сложна. Сетевые устройства Cisco традиционно более или менее придерживаются Unix-way.
Что касается объема информации, то в маленьких организациях еще удается как-то справляться с ее обработкой и разбором. Однако по мере роста организации, ей, как правило, приходится внедрять более структурированный подход к управлению файлами логов и их хранению, иначе многочисленные устройства, находящиеся в той или иной мере большой сети, станут вхолостую производить большое множество отчетов самого различного вида, храня их «у себя». Для разбора данной информации потребуется бывать внутри каждого устройства и просматривать его логи вручную. Другими словами, сколько-нибудь действенный прогноз в настоящее время не предвидится.
Таким образом, получается, что необходимо собирать все сообщения лога в одно пространство, на один сервер, с помощью которого можно будет получать информацию обо всех устройствах сразу и обрабатывать ее.
Unix-системы и Microsoft Windows могут сами перенаправлять сообщения лога на удаленные компьютеры, однако делают это каждая своеобразно. Следовательно, желателен программный комплекс, который сумеет централизованно собирать и обрабатывать данные, поступающие с различных платформ, а еще давать возможности просматривать сообщения в удобной форме (к примеру, выделяя принципиальные сообщения вроде ошибок или окончания длительных по времени, либо просто важных процессов), к тому же анализировать их в режиме настоящего времени.
Любому системному администратору в собственной деятельности приходится иметь дело со сбором и анализом логов. Собранные логи необходимо хранить — они имеют все шансы пригодиться для самых различных целей: для отладки программ, для разбора инцидентов, в качестве подспорья для службы техподдержки и т.п. К тому же, нужно обеспечить возможность поиска по всему массиву данных.
Организация сбора и анализа логов выглядит таким образом, что приходится объединять логи различных систем, которые между собой могут не иметь ничего общего. Собранные данные еще желательно привязать к единой временной шкале, чтоб прослеживать взаимосвязи между событиями. Осуществление поиска по логам представляет собой отдельную задачу.
В течение последнего времени возникли интересные программные инструменты позволяющие решать описанные выше проблемы. Всё большую популярность обретают решения, позволяющие хранить и обрабатывать логи онлайн: Splunk, Loggly, Papertrail, Logentries и другие. В числе плюсов данных сервисов следует отметить удобный интерфейс и невысокую цену использования.
Актуальность дипломной работы заключается в том, что есть необходимость обнаружения и предотвращения мошеннических действий, краж и злоупотреблений в виду того, что типичные виды внешнего и внутреннего мошенничества часто связаны с огромными объемами неструктурированных машинных данных и файлов журналов, создаваемых приложениями и системами.
Целями выпускной квалификационной работы является реализация системы управления событиями информационной безопасности СУБД MSSQL на базе SIEM Splunk, а также создание рекомендации о том, как нейтрализовать протоколирование MSSQL с учетом производительности.
В соответствии с поставленными целями необходимо решить следующие задачи:
- реализация тестовой системы для сбора логов;
- анализ потоков данных журналов событий в СУБД MSSQL;
- реализация сбора полученных журналов событий в SIEM Splunk и их дальнейшего анализа;
- систематизация полученных сведений.
Объектом исследования является СУБД MSSQL Server, который управляется системой 1С Предприятие.
Предметом исследования являются логи, возникающие в процессе функционирования СУБД MSSQL.
Новизна исследования характерна тем, что в выпускной квалификационной работе подробно проанализированы логи, что позволяет разобраться в сущности лога, раскрыть его понятие, определить его предназначение для аналитика информационной безопасности.
В настоящей выпускной квалификационной работе была создана система для сбора логов, включающая в себя систему обеспечения информационной безопасности Splunk, а также систему управления базами данных MS SQL.
В СУБД MS SQL Server создан сервер таким программным продуктом как 1С Предприятие. На нем была создана информационная база, представляющая собой базу данных предприятия.
В теории изучены различные типы лог-файлов, такие как ERRORLOG, в котором хранятся сведения о системе, о пользователях, о применяемых библиотеках и т.д., AUDITLOG, в котором имеются пользовательские события аудита, TRACELOG, в нем содержится информация о событиях в системе, и также SYSTEMHEALTH, в котором располагается информация о сеансах пользователей.
Все эти логи передаются из СУБД в Splunk с помощью приложений, являющимися дополнениями к Splunk. Так, TRACELOG и AUDITLOG передаются путем приложения DB Connec t.
Оставшиеся логи отправляются на Splunk с помощью приложения Forwarder. Forwarder - расширение, подключающееся к операционной системе и извлекающая текстовые логи.
В теории были разобраны угрозы безопасности СУБД. Они бывают трех типов: конфиденциальности, целостности, доступности информации.
В практической работе были реализованы такие угрозы конфиденциальности, как несанкционированный UPDATE и несанкционированный INSERT.
Задачи сбора, анализа и систематизации полученных данных об угрозах MS SQL Server были выполнены в полном объеме.
В нашем исследовании мы также выяснили, что методы сбора данных создают существенную нагрузку на производительность сервера.
На основании тестов на производительность, можно сделать следующие выводы:
- наименьшую нагрузку создают расширенные события, нежели трассировка;
- следует избегать использования SQL Server Profiler на загруженных производственных серверах, так как показано десятикратное увеличение продолжительности выполнения операций и значительное снижение пропускной способности для их воспроизведения.
Практическая значимость нашего исследования состоит в том, что крупные организации не поддерживают самописный код. В виду этого, используются готовые решения. И именно настройка системы обеспечения информационной безопасности и интеграция ее в СУБД составляют решающую роль.
Наша работа позволяет сделать вывод о том, что в сфере информационной безопасности есть необходимость создания журнала логов в базах данных и создания прикладной информационной системы для ее систематизации и анализа.
Таким образом, все поставленные задачи были решены, цели создания системы управления событиями информационной безопасности СУБД MS SQL на базе SIEM Splunk и дальнейшее создание рекомендации о том, как нейтрализовать протоколирование MSSQL с учетом производительности были достигнуты.
1) Михеев Р. Н., MS SQL Server 2005 для администраторов / Р. Н. Михеев. - М.: БХВ-Петербург, 2007. - 518 с.
2) Фленов М. Е., Web-сервер глазами хакера. / М. Е. Фленов. - М.: БХВ-Петербург, 2009. - 320 с.
3) Скембрей Д., Секреты хакеров. Безопасность Windows server 2008 / Д. Скембей. - М.: И. Д. Вильямс, 2009. - 512 с.
4) Андрианов В. В., Обеспечение информационной безопасности бизнеса / В. В. Андрианов. - М.: Альпина Паблишерз, 2011. - 373 с.
5) Бондарь А. Г., MS SQL Server 2012. Создание баз данных и разработка программ / А. Г. Бондарь. - М.: БХВ-Петербург, 2013. - 608 с.
6) Эйри Д., Функции SQL. Справочник программиста / Д. Эйри. - М.: И. Д. Вильямс, 2007. - 768 с.
7) Петкович Д., Microsoft SQL Server 2012. Руководство для начинающих / Д. Петкович, 2013. - 816 с.
8) Волков Д., Мир/ Д. Волков // Открытые системы. СУБД. 2016. -№2. - С 38-43.
9) Станек У Р., Microsoft SQL Server 2012. Справочник администратора / У Р. Станек. - М.: Русская Редакция, 2013. -576 с.
10) Грабер М., Введение в SQL / М. Грабер. - М.: Лори, 2014. - 374 с.
11) Кенин А. М., Практическое руководство системного администратора / А. М. Кенин. - М.:БХВ-Петербург, 2013. - 544 с.
12) Жуков Ю. В., Основы веб-хакинга: нападение и защита / Ю. В. Жуков. - М.: Питер, 2012. - 208 с.
13) Информационная база Splunk [splunk.com].
https://docs.splunk.com