BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP. HCM

ĐỒ ÁN CHUYÊN NGÀNH

SPLUNK

Ngành: AN TOÀN THÔNG TIN

Chuyên ngành: AN TOÀN THÔNG TIN

Giảng viên hướng dẫn : Ths.Dương Minh Chiến

Sinh viên thực hiện :

MSSV: 1811770024 Tên: Đinh Phương Nam

Lớp: 18DATA1

MSSV: 1811770086 Tên: Nguyễn Kinh Luân

Lớp: 18DATA1

TP. Hồ Chí Minh, 2021

1 | Page
 LỜI MỞ ĐẦU
Splunk là một nền tảng mạnh mẽ để phân tích dữ liệu máy móc, dữ liệu mà máy
móc phát ra với khối lượng lớn nhưng hiếm khi được sử dụng hiệu quả. Splunk
cho phép chúng ta tìm kiếm và phân tích tất cả dữ liệu do máy tạo ra trong thời
gian thực. Nó cho phép ta theo dõi tất cả các loại dữ liệu từ các ứng dụng, cảm biến
và trang web trong tổ chức của bạn.

Bên cạnh đó, công cụ này còn tìm kiếm dữ liệu quan trọng từ toàn bộ cơ sở hạ tầng
CNTT. Chức năng tìm kiếm này sẽ cho phép chúng ta phát hiện lỗi và tìm kiếm dữ
liệu trong tổ chức của ta một cách hiệu quả. Nó sẽ thu thập tất cả các dữ liệu cần
thiết và trình bày dưới dạng biểu đồ và đồ thị. Nó cũng có thể cung cấp cho ta
thông tin chi tiết theo thời gian thực và cung cấp các báo cáo có giá trị.

2 | Page
 LỜI CAM ĐOAN
Chúng tôi xin cam đoan đồ án trên là công trình nghiên cứu của chúng tôi dưới sự
hướng dẫn của Ths. Dương Minh Chiến. Những nhận định được nêu ra trong đồ án cũng
là kết quả từ sự nghiên cứu trực tiếp, nghiêm túc, độc lập của chúng tôi dựa vào các cơ sở
tìm kiếm, hiểu biết và nghiên cứu tài liệu khoa học hay bản dịch khác đã được công bố.
Đồ án vẫn sẽ giúp đảm bảo được tính khách quan, trung thực và khoa học.

3 | Page
 LỜI CẢM ƠN
Nhờ sự chỉ dẫn tận tình của thầy Dương Minh Chiến mà tụi em mới có thể thực
hiện được đồ án này.

Qua những khoá học, tư liệu thầy cung cấp, chúng em luôn cố gắng tiếp thu để
hoàn thành tốt đồ án, tuy không thể tránh được sự thiếu sót. Đó cũng là những bài
học quý giá đối với chúng em.

Chân thành cảm ơn thầy.

4 | Page
MỤC LỤC
LỜI MỞ ĐẦU.........................................................................................2
LỜI CAM ĐOAN....................................................................................3
LỜI CẢM ƠN.........................................................................................4
Chương 1. Tổng quan về SIEM và Splunk...........................................7
Chương 2. Cơ sở lý thuyết....................................................................11
2.1 Hệ thống Thông tin bảo mật và quản lý sự kiện (SIEM).........................11
2.1.3 Lợi ích của giải pháp SIEM.....................................................................13
2.1.4 Các thành phần của hệ thống giám sát SIEM..........................................14
2.1.5 Các công cụ phổ biến SIEM.....................................................................14
2.2 Tổng quan Splunk........................................................................................16
2.3 Các thành phần cấu thành nên Splunk......................................................16
2.6 Các kiểu thu thập log...................................................................................28
2.6.1 Real-time log............................................................................................28
2.6.2 Hitstorical log...........................................................................................29
2.7 Đánh giá........................................................................................................29
Chương 3. Kết quả thực nghiệm.........................................................32
3.1 Môi trường phân tích...................................................................................32
3.2 Kỹ thuật sử dụng..........................................................................................32
3.3 Cài đặt và cấu hình.......................................................................................32
3.3.1. Sơ đồ triển khai.......................................................................................32
3.3.2. Các bước triển khai.................................................................................33
3.3.2.1. Splunk server (Indexer/Search Head)................................................................................33
3.3.2.2. Splunk Forwarder (Centos 7).............................................................................................34
3.3.2.3. Splunk Forwarder (Windows)............................................................................................36
3.4 Xây dựng các tình huống (Cases)................................................................41
3.4.1 Cảnh báo xâm nhập trái phép, hành vi bất thường...................................41
3.4.2 Phát hiện malware trên Windows............................................................47
3.5 Thu thập log và phân tích............................................................................47
5 | Page
 3.6 Kết quả..........................................................................................................48
Chương 4. Kết luận và hướng phát triển............................................49
4.1 Kết luận.........................................................................................................49
4.2 Hướng phát triển..........................................................................................49
Tài liệu tham khảo................................................................................51

6 | Page
Chương 1. Tổng quan về SIEM và Splunk
1.1 Giới thiệu hệ thống quản lý sự kiện và thông tin bảo mật (SIEM)
1.1.1 Tổng quan

Quản lý sự kiện và thông tin bảo mật (SIEM) là phần mềm nâng cao
nhận thức về bảo mật của môi trường CNTT, bằng cách kết hợp quản lý
thông tin bảo mật (SIM) và quản lý sự kiện bảo mật (SEM). Các giải pháp
SIEM tăng cường khả năng phát hiện mối đe dọa, tuân thủ và quản lý sự cố
bảo mật, thông qua việc thu thập và phân tích các nguồn, dữ liệu sự kiện bảo
mật lịch sử và thời gian thực.

Các khả năng chính của SIEM cung cấp một loạt các thu thập và
quản lý sự kiện nhật ký, tăng khả năng phân tích các sự kiện nhật ký và dữ
liệu khác trên các nguồn khác nhau và khả năng hoạt động bao gồm quản lý
sự cố, bảng điều khiển và báo cáo.

SIEM cũng cung cấp tính năng tổng hợp dữ liệu trên toàn bộ mạng
doanh nghiệp và chuẩn hóa dữ liệu đó, để phân tích thêm. Ngoài ra, SIEM
giúp kích hoạt tính năng giám sát bảo mật, giám sát hoạt động của người
dùng và tuân thủ.

1.1.2 Tầm quan trọng SIEM System

Với các tính năng được trình bày ở trên cũng đủ thấy được tầm quan
trọng của SIEM System đối với hệ thống bảo mật của doanh nghiệp.

7 | Page
 SIEM không chỉ giúp doanh nghiệp quản lý sự kiện dữ liệu mạng để
kịp thời phát hiện các nguy cơ và mối đe dọa mà còn giúp báo cáo đầy đủ
nhất cách thức và lý do chi tiết cụ thể các cuộc tấn công xảy ra.

Sử dụng SIEM giúp các tổ chức doanh nghiệp tuân thủ đúng các
quy định quản lý mạng của ngành giúp hệ thống hoạt động theo tiêu chuẩn,
quy định và tạo được tính minh bạch với các thông tin dữ liệu mạng.

1.2 Giới Thiệu Splunk

1.2.1 Đặt vấn đề
Với mức độ phát triển chóng mặt của công nghệ hiện nay, việc trao
đổi thông tin diễn ra hằng ngày với lưu lượng cực kỳ lớn. Điều này khiến
cho công việc của các quản trị viên hệ thống trở nên khó khăn hơn, đặc biết
là việc truy xuất và quản lý log, nếu không có những công cụ hỗ trợ việc
này. Không những thế, mỗi khi một hệ thống datacenter lớn bị down, nó có
thể tiêu tốn lên đến $300,000 cho một giờ. Vì thế, mọi thứ sẽ dễ dàng hơn
nếu những quản trị viên biết được cốt lỗi vấn đề và nhanh chóng khắc phục,
thiệt hại sẽ giảm đi đáng kể. Và để hỗ trợ cho việc này, Splunk đã được ra
đời, để giúp việc đọc, ghi, quản lý log trở nên trực quan hơn, giúp người
quản trị khắc phục lỗi nhanh chóng hơn.
1.2.2 Giới thiệu lịch sử hình thành, lợi ích của Splunk
Splunk Inc. là một công ty phần mêm của Mỹ có trụ sở tại San
Francisco, California. Công ty chuyên sản xuất phần mềm để tìm
kiếm, giám sát và phân tích dữ liệu do máy tạo ra thông qua giao
diện Web. Michael Baum, Rob Das và Erik Swan là những nhà đồng
sáng lập đầu tiên của Splunk vào năm 2003. Splunk đã có tên trong
danh sách Fortune 1000 (Top 1000 công ty lớn nhất Hoa Kỳ) vào
năm 2020.
Splunk là một phần mềm giám sát an ninh mạng dựa trên sức mạnh
của việc phân tích Log. Splunk thực hiện các công việc tìm kiếm,

8 | Page
 giám sát và phân tích dữ liệu logs lớn được sinh ra từ các ứng dụng,
các hệ thống và các thiết bị hạ tầng mạng. Nó có thể thao tác tốt với
nhiều loại dịnh dạng dữ liệu khác nhau (Syslog, csv, apache-log,
access_combine …). Splunk được xây dựng dựa trên nền tảng
Lucene and MongoDB với một giao diện web rất trực quan.
1.3 Mục tiêu đề tài
Splunk không chỉ là một công cụ thu thập nhật ký, cái giá cho Splunk
phiên bản doanh nghiệp không hề rẻ, nhưng hiệu quả mà nó mang lại là
hoàn toàn xứng đáng. Công cụ phân phân tích log sự kiện, server log và các
sự kiện diễn ra trong network. Chúng ta có thể sử dụng dữ liệu này để theo
dõi các hoạt động và các vấn đề trong cơ sở hạ tầng của mình, tìm kiếm các
xu hướng về hiệu suất hoạt động, kích hoạt cảnh báo sau khi phát hiện hành
vi bất thường và các sự kiện tương quan. Ngoài ghi nhật ký, Splunk là một
nền tảng phân tích dữ liệu lớn và giải pháp SIEM.
Trong đề tài này, bọn em sẽ tập trung giới thiệu về công cụ Splunk,
cũng như cách cấu hình, sử dụng, và những lợi ích mà Splunk mang lại.

1.4 Cấu trúc đề tài

Ở đề tài Hệ thống giám sát an toàn Splunk này, nhóm chúng em sẽ
chia bố cục bài thành 4 phần chính như sau:

● Tổng quan về Splunk: Phần này chúng em sẽ tập trung vào việc

đặt vấn đề, từ đó đưa ra giải pháp khắc phục. Splunk sẽ được đưa
vào như một công cụ hữu ích để giải quyết những vấn đề này.

● Cơ sở lý thuyết: Tại chương này, chúng ta sẽ được biết về những

thành phần cấu tạo nên Splunk, quy tắc hoạt động cũng như quy
trình xử lý log của công cụ này.

9 | Page
 ● Kết quả thực nghiệm: Chương này chúng em sẽ nói sơ qua việc

cấu hình và cài đặt Splunk. Tiếp đến, chúng em sẽ dựng một môi
trường với tình huống mô phỏng thực tế, để có được cái nhìn rõ
hơn về cách hoạt động của Splunk cũng như những lợi ích mà nó
mang lại.

● Kết luận và hướng phát triển: Phần này sẽ tổng kết, cô đọng

nội dung của toàn bộ đề tài. Từ đó, đưa ra hướng phát triển cho
công cụ Splunk trong tính năng bảo mật nó riêng và tiềm năng
phát triển của các tính năng nổi bật khác nói chung.

Chương 1: Tổng quan

1. Tổng quan SIEMs

2. Tổng quan Splunk
3. Mục tiêu đề tài

Chương 2: Cơ sở lý thuyết

1. Các thành phần cấu tạo nên splunk

2. Kiến trúc và tính năng
3. Các kiểu thu thập log

Chương 3: Kết quả thực nghiệm

1. Xây dựng các tình huống

2. Thu thập log và phân tích
3. Môi trường phân tích
4. Kỹ thuật sử dụng
5. Kết quả
6. Sử dụng log để phân tích hành vi

Chương 4: Kết luận và hướng phát triển

1. Kết luận
10 | Page
 2. Hướng phát triển

Chương 2. Cơ sở lý thuyết
2.1 Hệ thống Thông tin bảo mật và quản lý sự kiện (SIEM)

2.1.1 Khả năng và thành phần

● Tổng hợp dữ liệu: Quản lý nhật ký tổng hợp dữ liệu từ nhiều nguồn,
bao gồm mạng, bảo mật, máy chủ, cơ sở dữ liệu, ứng dụng, cung cấp
khả năng hợp nhất dữ liệu được giám sát để giúp tránh bỏ lỡ các sự
kiện quan trọng.
● Tương quan: Tìm kiếm các thuộc tính chung và liên kết các sự kiện
với nhau thành các nhóm có ý nghĩa. Công nghệ này cung cấp khả
năng thực hiện nhiều kỹ thuật tương quan để tích hợp các nguồn
khác nhau, nhằm biến dữ liệu thành thông tin hữu ích. Tương quan
thường là một chức năng của phần Quản lý sự kiện bảo mật của giải
pháp SIEM đầy đủ.
● Cảnh báo: Phân tích tự động các sự kiện tương quan.

● Trang tổng quan: Các công cụ có thể lấy dữ liệu sự kiện và biến nó
thành biểu đồ thông tin để hỗ trợ xem các mẫu hoặc xác định hoạt
động không tạo thành mẫu chuẩn.
● Tuân thủ: Các ứng dụng có thể được sử dụng để tự động hóa việc thu
thập dữ liệu tuân thủ, tạo ra các báo cáo thích ứng với các quy trình
bảo mật, quản trị và kiểm toán hiện có.

11 | Page
 ● Lưu giữ: Sử dụng lưu trữ dữ liệu lịch sử lâu dài để tạo điều kiện
tương quan giữa dữ liệu theo thời gian và cung cấp khả năng lưu giữ
cần thiết cho các yêu cầu tuân thủ. Việc lưu giữ dữ liệu nhật ký trong
thời gian dài là rất quan trọng trong các cuộc điều tra vì khó có khả
năng phát hiện ra vi phạm mạng vào thời điểm vi phạm xảy ra.
● Phân tích: Khả năng tìm kiếm trên các bản ghi trên các nút và
khoảng thời gian khác nhau dựa trên các tiêu chí cụ thể. Điều này
giúp giảm thiểu việc phải tổng hợp thông tin nhật ký hoặc phải tìm
kiếm qua hàng nghìn hàng nghìn nhật ký.

2.1.2 Các trường hợp sử dụng

● Khả năng hiển thị SIEM và phát hiện bất thường có thể giúp phát

hiện mã zero-day hoặc mã đa hình. Chủ yếu là do tỷ lệ phát hiện

chống vi-rút thấp đối với loại phần mềm độc hại thay đổi nhanh
chóng này.

● Việc phân tích cú pháp, chuẩn hóa nhật ký và phân loại có thể diễn ra

tự động, bất kể loại máy tính hoặc thiết bị mạng, miễn là nó có thể
gửi nhật ký.

● Trực quan hóa với SIEM sử dụng các sự kiện bảo mật và lỗi nhật ký

có thể hỗ trợ phát hiện mẫu.

● Các bất thường về giao thức có thể chỉ ra cấu hình sai hoặc vấn đề

bảo mật có thể được xác định bằng SIEM bằng cách sử dụng tính
năng phát hiện mẫu, cảnh báo, đường cơ sở và trang tổng quan.
12 | Page
 ● SIEMS có thể phát hiện các thông tin liên lạc bí mật, độc hại và các

kênh được mã hóa.

● Chiến tranh mạng có thể được phát hiện bởi SIEM với độ chính xác,

phát hiện cả kẻ tấn công và nạn nhân.

2.1.3 Lợi ích của giải pháp SIEM

● Săn tìm và phát hiện mối đe doạ : Việc sử dụng một SIEM thông

minh là chìa khóa, để quản lý các chiến lược, chiến thuật và hoạt
động của việc săn lùng mối đe dọa trong bối cảnh mối đe dọa ngày
càng tinh vi. Tích hợp hiệu quả SIEM như là trung tâm làm việc, với
các công cụ điều tra mối đe dọa là rất quan trọng, để cải thiện góc
nhìn về các mối đe dọa tiềm ẩn.

● Giảm thời gian phản hồi khi sử dụng tính năng nâng cao trong nhận

thức tình huống : SIEM có thể khai thác sức mạnh của trí thông minh
về mối đe dọa toàn cầu, để cho phép phát hiện nhanh chóng các sự
kiện liên quan đến thông tin liên lạc với các địa chỉ IP đáng ngờ hoặc
độc hại. Các đường dẫn tấn công và các tương tác trong quá khứ, có
thể được xác định nhanh chóng, giảm thời gian phản hồi để xử lý
nhanh hơn các mối đe dọa đối với môi trường.

● Tích hợp và khả năng hiển thị theo thời gian thực : Tích hợp trên cơ

sở hạ tầng bảo mật của bạn mang lại mức độ hiển thị trong thời gian
thực về tình hình an ninh của tổ chức bạn.

● Nguồn lực cho bảo mật : Đối mặt với sự đa dạng và khối lượng ngày

càng tăng của các mối đe dọa, đội ngũ hoạt động bảo mật tiếp tục là
mối quan tâm. Một máy chủ SIEM duy nhất có thể hợp lý hóa quy
trình làm việc, bằng cách sử dụng dữ liệu nhật ký đa nguồn, để tạo

13 | Page
 một báo cáo duy nhất đề cập đến tất cả các sự kiện bảo mật có liên
quan. Trải nghiệm người dùng giúp nhà phân tích tập trung tăng tính
linh hoạt, dễ tùy chỉnh và phản hồi nhanh hơn cho các nhà điều tra.
Các doanh nghiệp có nguồn lực an ninh mạng hạn chế, nhận thấy khả
năng quản lý mối đe dọa của SIEM là rất có giá trị.

● Lợi ích tuân thủ : SIEM cũng cung cấp các nhiệm vụ tuân thủ có lợi

như đơn giản hóa việc kiểm toán và quản trị.

2.1.4 Các thành phần của hệ thống giám sát SIEM

Việc xây dựng nó có thể tiến hành theo nhiều cách. Nếu áp dụng giải
pháp SIEM thì nó sẽ gồm 3 phần chính:

● Thu thập nhật ký ATTT: Phần Thu thập ATTT gồm các giao diện

có chức năng thu thập nhật ký từ mọi thiết bị. Sau khi tập hợp nó sẽ
gửi toàn bộ nhật ký về thành phần phân tích. Ngoài ra nó còn nhiều
tính năng khác.

● Phân tích và lưu trữ: Tập trung nhật ký và tiến hành phân tích so

sánh tương quan. Sau khi thực hiện thuật toán phân tích hệ thống sẽ
đưa ra các cảnh báo cần thiết. Thậm chí còn có thể phân tích dữ liệu
trong quá khứ.

● Quản trị tập trung: cung cấp giao diện quản lý tập trung cho toàn

bộ hệ thống giám sát an ninh. Hệ thống có sẵn hàng ngàn mẫu báo
cáo để có thể sử dụng ngay

Ngoài ra còn có một số thành phần như :

14 | Page
 ● Thành phần giám sát Network Package ở mức lớp 7 trong mô

hình OSI,

● Các module tạo báo cáo (Compliance Report).

2.1.5 Các công cụ phổ biến SIEM

+ Quản lý sự kiện bảo mật SolarWinds (THỬ MIỄN PHÍ) Giao

diện đẹp mắt với nhiều hình ảnh dữ liệu đồ họa phía trước một công cụ
SIEM mạnh mẽ và toàn diện chạy trên Windows Server.

+ Trình phân tích sự kiện ManageEngine (THỬ MIỄN PHÍ) Một

công cụ SIEM quản lý, bảo vệ và khai thác các tệp nhật ký. Hệ thống này
cài đặt trên Windows, Windows Server và Linux.

+ Bảo mật doanh nghiệp Splunk Công cụ này cho Windows và

Linux là công ty hàng đầu thế giới vì nó kết hợp phân tích mạng với quản lý
nhật ký cùng với một công cụ phân tích tuyệt vời.

+ OSSEC Hệ thống bảo mật HIDS nguồn mở miễn phí sử dụng và

hoạt động như một dịch vụ quản lý thông tin bảo mật.

+ Nền tảng thông minh bảo mật LogRardi Công nghệ tiên tiến
dựa trên AI làm nền tảng cho công cụ phân tích nhật ký và lưu lượng truy
cập này cho Windows và Linux.

+ Quản lý bảo mật hợp nhất AlienVault SIEM giá trị lớn chạy
trên Mac OS cũng như Windows.

15 | Page
 + Nhân chứng mạng RSA Vô cùng toàn diện và phù hợp với các
tổ chức lớn nhưng hơi quá đối với các doanh nghiệp vừa và nhỏ. Chạy trên
Windows.

+ IBM QRadar Công cụ SIEM dẫn đầu thị trường chạy trên môi
trường Windows.

+ Quản lý bảo mật doanh nghiệp McAfee Công cụ SIEM phổ

biến chạy qua các bản ghi Active Directory của bạn để xác nhận bảo mật hệ
thống. Chạy trên Mac OS cũng như Windows.

2.2 Tổng quan Splunk

Splunk là một trong những giải pháp quản lý SIEM phổ biến nhất trên thế
giới. Điều làm cho nó khác biệt so với đối thủ là nó đã kết hợp các phân tích vào
trung tâm SIEM của nó. Dữ liệu mạng và máy có thể được theo dõi trên cơ sở thời
gian thực khi hệ thống truy quét các lỗ hổng tiềm ẩn. Chức năng Not Security
Enterprise Notables hiển thị các cảnh báo mà người dùng có thể tinh chỉnh.

Về mặt ứng phó với các mối đe dọa bảo mật, giao diện người dùng cực kỳ đơn
giản. Khi tiến hành đánh giá sự cố, người dùng có thể bắt đầu với một tổng quan cơ
bản trước khi nhấp qua để chú thích sâu về sự kiện vừa qua. Tương tự như vậy,
Điều tra viên tài sản thực hiện tốt công việc gắn cờ các hành động độc hại và ngăn
ngừa thiệt hại trong tương lai. Bạn cần liên hệ với nhà cung cấp để được báo giá để
rõ ràng rằng đây là nền tảng được thiết kế dành cho các tổ chức lớn hơn.

2.3 Các thành phần cấu thành nên Splunk

+ Splunk search heads: là server chỉ có một dòng lệnh đơn để tìm kiếm tất
cả các dữ liệu được lưu trữ trên các server Indexer.

16 | Page
 + Splunk Indexers: là những server tổng hợp log từ các máy Forwarder, xử
lý và lưu trữ log đã được phân tích.

+ Splunk Forwarders: là những phần mềm có nhiệm vụ sưu tập log (log
collector) tại thiết bị được cài đặt và chuyển log tới các máy Indexer.

Hình 1 Các thành phần cấu thành nên Splunk

2.4 Kiến Trúc và Tính Năng

2.4.1 Tính Năng

● Định dạng Log: Hỗ trợ hầu như tất cả các loại log của hệ thống,
thiết bị hạ tầng mạng, phần mềm, Firewall, IDS/IPS, Log Event,
Register của các máy trạm ….

● Các hình thức thu thập dữ liệu: Splunk có thể thực hiện việc thu
thập log từ rất nhiều nguồn khác nhau. Từ một file hoặc thư mục (kể
cả file nén) trên server, qua các kết nối UDP, TCP từ các Splunk
17 | Page
 Server khác trong mô hình Splunk phân tán, từ các Event Logs,
Registry của Windows …Splunk kết hợp rất tốt với các công cụ thu
thập log khác.

● Cập nhật dữ liệu: Splunk cập nhật dữ liệu liên tục khi có thay đổi
trong thời gian thực. Giúp cho việc phát hiện và cảnh báo trong thời
gian thực.

● Đánh chỉ mục dữ liệu: Splunk có thể đánh chỉ mục dữ liệu với một
khối lượng dữ liệu rất lớn trong một khoảng thời gian ngắn. Giúp
việc tìm kiếm diễn ra nhanh chóng và thuận tiện.

● Tìm kiếm thông tin: Splunk làm việc rất tốt với dữ liệu lớn và cập
nhật liên tục. Nó cung cấp cơ chế tìm kiếm với một “Splunk
Language” cực kỳ thông minh bao gồm các từ khóa, các hàm và cấu
trúc tìm kiếm giúp người sử dụng có thể truy xuất mọi thứ, theo rất
nhiều tiêu chí từ tập dữ liệu rất lớn. Những nhà quản trị mạng cao
cấp và chuyên nghiệp thường gọi Splunk với cái tên “Splunk toàn
năng” hay “Splunk as Google for Log files” để nói lên sức mạnh của
Splunk.

● Giám sát và cảnh báo: Splunk cung cấp cho người dùng một cơ chế
cảnh báo dựa trên việc tìm kiếm các thông tin do chính người sử
dụng đặt ra. Khi có vấn đề liên quan tới hệ thống phù hợp với các
tiêu chí mà người dùng đã đặt ra thì hệ thống sẽ cảnh báo ngay tới
người dùng (cảnh bảo trực tiếp qua giao diện, gửi Email).

● Khắc phục sự cố: Splunk còn cung cấp một cơ chế tự động khắc
phục với các vấn đề xảy ra bằng việc tự động chạy các file Script mà

18 | Page
 người dùng tự tạo (Ví dụ như: Chặn IP, đóng Port …) khi có các
cảnh báo xảy ra.

● Hiển thị thông tin: Splunk cung cấp một cơ chế hiển thị rất trực
quan giúp người sử dụng có thể dễ dàng hình dung về tình trạng của
hệ thống, đưa ra các đánh giá về hệ thống. Splunk còn từ động kết
xuất ra các báo cáo với nhiều loại định dạng một cách rất chuyên
nghiệp.

● Phát triển: Cung cấp các API hỗ trợ việc tạo các ứng dụng trên
Splunk của người dùng. Một số bộ API điển hình như Splunk SDK
(cung cấp các SDK trên nền tảng Python, Java, JS, PHP), Shep
(Splunk Hadoop Integration - đây là sự kết hợp giữa Splunk và
Hadoop), Shuttl (là một sản phẩm hỗ trợ việc sao lưu dữ liệu trong
Splunk), Splunk git (Giúp bạn hình dung dữ liệu tốt hơn), Splunk
powershell resource Kit (Bộ công cụ hỗ trợ việc mở rộng và quản lý
hệ thống).

2.4.2 Kiến Trúc

19 | Page
 Hình 2 : Kiến Trúc

● Mức thấp nhất của kiến trúc Splunk mô tả các phương thức nhập liệu
khác nhau được hỗ trợ bởi Splunk. Những phương thức nhập này có
thể được cấu hình để gửi dữ liệu trên các bộ phân loại Splunk.
● Trước khi dữ liệu đến được các bộ phân loại Splunk, nó có thể được
phân tích cú pháp hoặc thao tác, có nghĩa là làm sạch dữ liệu có thể
được thực hiện nếu cần.
● Một khi dữ liệu được lập chỉ mục trên Splunk, nó sẽ tiến hành đi vào
cụ thể để phân tích dữ liệu.
● Splunk hỗ trợ hai loại triển khai: triển khai độc lập và triển khai phân
tán. Tùy thuộc vào loại triển khai, tìm kiếm tương ứng được thực
hiện. Công cụ Splunk có các thành phần bổ sung khác của quản lý dữ
liệu, báo cáo và lên kế hoạch, và cảnh báo. Toàn bộ công cụ Splunk
được tiếp xúc với người dùng thông qua Splunk CLI, Splunk Web
Interface, và Splunk SDK, được hỗ trợ bởi hầu hết các ngôn ngữ.

● Splunk cài đặt một quy trình máy chủ phân tán trên máy chủ được
gọi là splunkd. Quá trình này có trách nhiệm lập chỉ mục và xử lý
một số lượng lớn dữ liệu thông qua các nguồn khác nhau. Splunkd có
khả năng xử lý số lượng lớn dữ liệu phát trực tuyến và lập chỉ mục
cho phân tích thời gian thực trên một hoặc nhiều đường ống.

● Mỗi đường ống đơn bao gồm một loạt các bộ vi xử lý, dẫn đến xử lý
dữ liệu nhanh hơn và hiệu quả hơn. Danh sách dưới đây là các khối
kiến trúc splunk:

20 | Page
 o Pipeline: Đây là một quá trình cấu hình đơn luồng duy nhất
nằm trong splunk.
o Bộ vi xử lý: Chúng là những hàm số có thể tái sử dụng cá
nhân hoạt động trên dữ liệu đi qua một đường ống. Đường
ống trao đổi dữ liệu giữa họ thông qua một hàng đợi.

Hình 3 : Danh sách khối kiến trúc

● Splunkd cho phép người dùng tìm kiếm, điều hướng và quản lý dữ
liệu trên Splunk Enterprise thông qua giao diện web được gọi là
Splunk Web. Nó là một máy chủ ứng dụng web dựa trên Python
cung cấp một giao diện web để sử dụng Splunk. Trong phiên bản
trước của Splunk: splunkd và SplunkTeb là hai quy trình riêng biệt,
nhưng từ Splunk 6, cả hai quy trình đã được tích hợp là 1. Nó cho
phép người dùng tìm kiếm, phân tích và hình dung dữ liệu bằng cách
sử dụng giao diện web. Giao diện Splunk Web có thể được truy cập
bằng cách sử dụng cổng Web Splunk, và Splunk cũng cho thấy
REST API để truyền thông thông qua cổng quản lý chia sẻ.

21 | Page
● Một trong những thành phần quan trọng của kiến trúc của Splunk là
kho dữ liệu. Nó có trách nhiệm nén và lưu trữ dữ liệu ban đầu
(nguyên vẹn). Dữ liệu được lưu trữ trong các tệp Time Series Index
(T SIDX). Một kho dữ liệu cũng bao gồm lưu trữ và lưu trữ dựa trên
chính sách lưu giữ có thể cấu hình.

● Các triển khai của Splunk Enterprise có thể bao gồm từ việc triển
khai các máy chủ đơn (có chỉ số vài gigabyte dữ liệu mỗi ngày và
được truy cập bởi một vài người dùng đang tìm kiếm, phân tích và
hình dung dữ liệu) tới các triển khai lớn của doanh nghiệp ở nhiều
trung tâm dữ liệu, lập chỉ mục hàng trăm terabytes dữ liệu và tìm
kiếm được thực hiện bởi hàng trăm người dùng. Splunk hỗ trợ truyền
thông với một cá thể khác của một máy chủ Splunk thông qua TCP
để chuyển tiếp dữ liệu từ một máy chủ Splunk sang một máy khác để
lưu trữ dữ liệu và các yêu cầu phân phối và phân phối dữ liệu khác
thông qua giao tiếp TCP Splunk-to-Splunk.

● Bundles là các thành phần của kiến trúc Splunk lưu trữ cấu hình dữ
liệu đầu vào, tài khoản người dùng, ứng dụng Splunk, tiện ích và môi
trường khác.

● Các mô-đun là những thành phần của kiến trúc Splunk được sử dụng
để thêm các tính năng mới bằng cách sửa đổi hoặc tạo bộ xử lý và
đường ống. Các mô-đun chỉ là các kịch bản tùy chỉnh và các phương

22 | Page
 pháp nhập dữ liệu hoặc phần mở rộng có thể thêm một tính năng mới
hoặc sửa đổi các tính năng hiện có của Splunk.

2.5 Các tính năng hỗ trợ của Splunk

● Định dạng Log: Hỗ trợ hầu như tất cả các loại log của hệ thống,

thiết bị hạ tầng mạng, phần mềm, Firewall, IDS/IPS, Log Event,

Register của các máy trạm ….

● Các hình thức thu thập dữ liệu: Splunk có thể thực hiện việc thu

thập log từ rất nhiều nguồn khác nhau. Từ một file hoặc thư mục
(kể cả file nén) trên server, qua các kết nối UDP, TCP từ các Splunk
Server khác trong mô hình Splunk phân tán, từ các Event Logs,
Registry của Windows …Splunk kết hợp rất tốt với các công cụ thu
thập log khác.

● Cập nhật dữ liệu: Splunk cập nhật dữ liệu liên tục khi có thay đổi

trong thời gian thực. Giúp cho việc phát hiện và cảnh báo trong thời
gian thực.

23 | Page
● Đánh chỉ mục dữ liệu: Splunk có thể đánh chỉ mục dữ liệu với một

khối lượng dữ liệu rất lớn trong một khoảng thời gian ngắn. Giúp
việc tìm kiếm diễn ra nhanh chóng và thuận tiện.

● Tìm kiếm thông tin: Splunk làm việc rất tốt với dữ liệu lớn và cập

nhật liên tục. Nó cung cấp cơ chế tìm kiếm với một “Splunk
Language” cực kỳ thông minh bao gồm các từ khóa, các hàm và cấu

24 | Page
 trúc tìm kiếm giúp người sử dụng có thể truy xuất mọi thứ, theo rất
nhiều tiêu chí từ tập dữ liệu rất lớn. Những nhà quản trị mạng cao
cấp và chuyên nghiệp thường gọi Splunk với cái tên “Splunk toàn
năng” hay “Splunk as Google for Log files” để nói lên sức mạnh
của Splunk.

● Giám sát và cảnh báo: Splunk cung cấp cho người dùng một cơ chế

cảnh báo dựa trên việc tìm kiếm các thông tin do chính người sử
dụng đặt ra. Khi có vấn đề liên quan tới hệ thống phù hợp với các
tiêu chí mà người dùng đã đặt ra thì hệ thống sẽ cảnh báo ngay tới
người dùng (cảnh bảo trực tiếp qua giao diện, giử Email).

25 | Page
● Khắc phục sự cố: Splunk còn cung câp một cơ chế tự động khắc

phục với các vấn đề xảy ra bằng việc tự động chạy các file Script

26 | Page
 mà người dùng tự tạo (Ví dụ như: Chặn IP, đòng Port …) khi có các
cảnh báo xảy ra.

● Hiển thị thông tin: Splunk cung cấp một cơ chế hiển thị rất trực

quan giúp người sử dụng có thể dễ dàng hình dung về tình trạng của
hệ thống, đưa ra các đánh giá về hệ thống. Splunk còn từ động kết
xuất ra các báo cáo với nhiều loại định dạng một cách rất chuyên
nghiệp.

● Phát triển: Cũng cung cấp các API hỗ trợ việc tạo các ứng dụng trên

Splunk của người dùng. Một số bộ API điển hình như Splunk SDK
(Cung cấp các SDK trên nền tảng Python, Java, JS, PHP), Shep

27 | Page
 (Splunk Hadoop Intergration – Đây là sự kết hợp giữa Splunk và
Hadoop), Shuttl (Là một sản phẩm hỗ trợ việc sao lưu dữ liệu trong
Splunk), Splunkgit (Giúp bạn hình dung dữ liệu tốt hơn), Splunk
power shell resource Kit (Bộ công cụ hỗ trợ việc mở rộng và quản
lý hệ thống).

2.6 Các kiểu thu thập log

2.6.1 Real-time log

28 | Page
 Real-time log cho phép người quản trị quan sát log theo thời gian
thực, có thể kết hợp với các API, Application khác để triển khai một hệ
thống giám sát trực quan với nguồn dữ liệu được cập nhật liên tục. Hỗ trợ
phát hiện các hành vi bất thường, các biểu hiện xâm nhập trái phép, kết hợp
với alert thông báo, từ đó người quản trị có thể kịp thời ngăn chặn, xử lý
vấn đề trước khi nó trở nên nghiêm trọng.

2.6.2 Hitstorical log

Tương tự như phân tích log động, tính năng historical-log cho phép
người quản trị quan sát và phân tích log, nhưng là ở một mốc thời điểm cụ
thể trong quá khứ. Cho phép ta thấy được những sự kiện đã diễn ra, kết hợp
với tính năng analytic và report, người quản trị có thể trực tiếp phân tích
log, hoặc lưu log dưới dạng report và gửi cho các bộ phận có chuyên môn.

2.7 Đánh giá

Splunk mạnh về khả năng phân tích và cảnh báo tuy nhiên nó lại không mạnh
và không đảm bảo về việc thu thập và truyền tải log. Cụ thể là nó chưa có cơ chế
bảo mật trên đường truyền, không phù hợp với những hệ thống đòi hỏi bảo mật
cao.

Chưa có cơ chế giúp tự động phát hiện ra các tấn công hay các vấn đề từ bên
ngoài. Nhưng điều này phụ thuộc vào kinh nghiệm sử dụng và vốn hiểu biết của
người quản trị.

29 | Page
 Để triển khai được một hệ thống sử dụng Splunk hiệu quả chúng ta cũng cần
có một hệ thống riêng, đây cũng là một trở ngại không nhỏ với các hệ thống có quy
mô trung bình và nhỏ.

2.8 Các công ty có dịch vụ triển khai Splunk

Hiện nay ở Việt Nam công ty VNCS đang là công ty sở hữu độc quyền
phân phối Splunk ở Việt Nam.

2.9 Kết hợp công cụ Splunk với OSSEC

2.9.1 Giới thiệu OSSEC

OSSEC là một HIDS, hệ thống phát hiện xâm nhập được cài
trên một máy tính, nó được dùng để theo dõi hoạt động của server như phân
tích log, kiểm tra và theo dõi registry của Windows, phát hiện rootkit,...
OSSEC cung cấp khả năng theo dõi hoạt động của máy chủ theo thời gian
thực trên một hoặc nhiều máy chủ khác nhau theo dạng máy chủ - máy
khách.

2.9.2 Cài Đặt

A) Download Splunk và công cụ quản lý dành cho OSSEC

https://splunkbase.splunk.com/app/300/

Truy cập trang chủ Splunk, đăng ký tài khoản và tải 2 file sau:

- splunk-*.*.*-*-linux-2.6-x86_64.rpm

- reporting-and-management-for-ossec_1189.tgz

B) Cài đặt Splunk

Dựa vào bài hướng dẫn sau để cài đặt Splunk

30 | Page
http://docs.splunk.com/Documentation/Splunk/6.4.2/Installation/InstallonLinux

Sau đó giải nén và chép công cụ quản lý OSSEC dành cho Splunk vào folder app
của Splunk:

tar -xvzf /root/reporting-and-management-for-ossec_1189.tgz

cp -r ossec /opt/splunk/etc/apps/

C) Cấu hình

Truy cập http://localhost:8000, đổi password

31 | Page
Chương 3. Kết quả thực nghiệm
3.1 Môi trường phân tích
Có nhiều môi trường hỗ trợ phân tích sử dụng công cụ Splunk. Dựa vào tính chất
của file log cũng như đem lại cái nhìn trực quan cho người xem, n

hóm em sẽ sử dụng môi trường máy thật nền tảng Windows 10 Pro để thực hiện
phân tích.

3.2 Kỹ thuật sử dụng

Splunk có thể sử dụng cả 2 kiểu phân tích động và phân tích tĩnh. Với tính năng
real-time log analysis, chúng ta có thể xem những thay đổi được cập nhật theo thời
gian thực. Bên cạnh đó, Splunk còn hỗ trợ xuất file report để người dùng, quản trị
viên gửi báo cáo về cho cấp trên hoặc các chuyên gia phân tích.

3.3 Cài đặt và cấu hình

3.3.1. Sơ đồ triển khai

32 | Page
3.3.2. Các bước triển khai
3.3.2.1. Splunk server (Indexer/Search Head)
Sau khi giải nén gói cài đặt Splunk Server từ trang chủ, chúng ta sẽ set
quyền thực thi cho folder, di chuyển đến folder chứa file thực thi
(/opt/splunk/bin) và khởi chạy chương trình bằng lệnh:

./splunk start –accept-license

● ./splunk start: khởi chạy Splunk.

● --accept-license: nếu đây là lần đầu cài đặt Splunk, ta có thể sử dụng

.lệnh này để lướt qua việc đọc các quy định và điều khoản.

33 | Page
 Tiếp đến, chúng ta đặt username và password để khởi tạo user admin.

Nếu việc việc chạy chương trình diễn ra suôn sẻ, ta sẽ thấy giao diện Splunk
được chạy trên host:port, cụ thể ở đây là https://lumadsys.club:8000. Nếu
xảy ra vấn đề trùng port trong quá trình cài đặt, ta có thể sử dụng lệnh ps
aux | grep [port] để kill các tiến trình đang sử dụng port này, hoặc cấu hình
cho Splunk chạy trên một port khác.

Tại thư mục này, ta tiếp tục chạy lệnh ./splunk enable listen 9997 để cho
phép Splunk server lắng nghe trên port 9997, đây cũng là port tiếp nhận log
từ các forwarders.

3.3.2.2. Splunk Forwarder (Centos 7)

Đối với các linux Splunk forwarder nói chung và centos 7 nói riêng, các
bước khởi chạy dịch vụ cũng tương tự như Splunk server: sau khi giải nén và
di chuyển đến folder /opt/splunk/bin, ta khởi chạy chương trình bằng lệnh:

34 | Page
 ./splunk start –accept-license

● ./splunk start: khởi chạy Splunk.

● --accept-license: nếu đây là lần đầu cài đặt Splunk, ta có thể sử dụng

.lệnh này để lướt qua việc đọc các quy định và điều khoản.

Sau khi khởi chạy chương trình, ta sẽ có thêm bước add forward-server
(Server để chuyển log đến) được thực hiện bằng lệnh:

./splunk add forward-server 185.201.8.239:9997

● add: Thêm mới cho Splunk server.

● forward-server 185.201.8.239:9997: Chuyển tiếp log đến server có ip

185.201.8.239 tại port 9997.

Tiếp đến, chúng ta sẽ add những file muốn quan sát, phân tích đến Splunk
server, sử dụng lệnh:

./splunk add monitor /var/log/secure -index main -sourcetype SSHLog

35 | Page
 ● add monitor: Thêm file muốn giám sát vào server

● -index: Phân loại chỉ mục

● -sourcetype: Phân loại kiểu dữ liệu

Sau khi hoàn thành các bước trên, ta có thể kiểm tra file log đã được chuyển
tiếp tại cửa sổ search thuộc giao diện Splunk.

3.3.2.3. Splunk Forwarder (Windows)

Chúng ta tiến hành chạy bản cài đặt sau khi tải Splunk Forwader cho phiên
bản Windows này. Tại cửa sổ cài đặt, ta chấp nhận điều khoản và bấm next.

36 | Page
Tương tự nhiên bản Linux, chúng ta điền thông tin để khởi tạo tài khoản
user admin.

Tiếp đến, ta nhập địa chỉ deployed server (Splunk server) với 2 thông tin
port: 8089 cho Search Header và 9997 cho Index. Sau đó ta bấm next để
hoàn tất cài đặt agent và thoát chương trình.

37 | Page
Tại trang chủ giao diện Splunk server, ta chọn mục Add Data và chọn mục
Forward tiếp theo để add forward server.

Tại cửa sổ Select Forwarders, chúng ta kiểm tra và chọn forwarder mong
muốn. Tên host windows của ta xuất hiện tại mục Available Hosts nhờ việc
38 | Page
setup trước đó. Sau khi đặt tên cho forwarder (New Server Class Name), ta
bấm next.

39 | Page
Ở cửa sổ tiếp theo, chúng ta chọn local log (Local Event Logs) và thêm
những log sự kiện mong muốn vào như: Application, Security, System,..
Tiếp đó ta bấm next.

Chúng ta sẽ chọn phân loại chỉ mục là Main trong lần cài đặt này

Sau khi kiểm tra lại thông tin, ta bấm submit để hoàn tất add forwarder vào
Splunk server.

40 | Page
 Nếu quá trình cài đặt diễn ra suôn sẻ, chúng ta sẽ thấy được log của
Windows forwarder xuất hiện tại cửa sổ tìm kiếm.

3.4 Xây dựng các tình huống (Cases)

3.4.1 Cảnh báo xâm nhập trái phép, hành vi bất thường
Ở tình huống này, chúng ta sẽ tiến hành xây dựng một bản alert cảnh báo
tấn công brute-force đến dịch vụ SSH, đồng thời mô phỏng tấn công để
kiểm tra tính hiệu quả của tính năng alert này.

41 | Page
Đầu tiên, chúng ta cần xác định file log chứa các ghi chép hoạt động liên
quan đến ssh tại máy người dùng, cụ thể trong tình huống này là file secure
(/var/log/secure).

Tiếp đến, chúng ta sẽ đẩy file log này lên splunk server (Indexer) để giám
sát (monitor), sử dụng lệnh:

Sau đó, ta sẽ tiến hành mô phỏng tấn công brute-force bằng cách nhập sai
password nhiều lần khi kết nối ssh đến máy người dùng. Từ đó, ta sẽ dùng
những log này làm tiền đề cho việc thiết lập cảnh báo alert.

42 | Page
 Khi đã có được những từ khoá cần thiết, ta có thể dùng chúng để tạo ra một
alert cảnh báo.

Từ cửa sổ Alert, chúng ta sẽ nhập những thông tin chủ yếu như

43 | Page
 ● Đặt tên cho Alert (Title)

● Alert type: kiểu cảnh báo (theo lịch trình hoặc real-time)

● Time Range, Cron Expression, Expires: Thiết lập khoảng thời gian

lấy log, crontab và thời gian hiệu lực.

● Trigger alert when: điều kiện để trigger log, ở demo này chúng ta sẽ

chọn Number of Results (dựa trên số lượng kết quả tìm kiếm) và sẽ
trigger nếu result lớn hơn 3 (is greater than).

● Trigger: Once (Cảnh báo 1 lần)

Tiếp đến, ta thêm hành động mỗi khi alert được kích hoạt. Ở tình huống này,
ta chọn Add to Triggered Alerts (Cho kết quả vào Trigger Alerts) và Send
mail (Gửi cảnh báo về mail)

44 | Page
Tại cửa sổ này, chúng ta chọn đối tượng để gửi mail về (To), tin nhắn
(Message) và các file đính kèm report như CSV, PDF (Include) dưới dạng
HTML & Plain Text (Type).
Cuối cùng, ta sẽ tiến hành brute-force ssh vào máy người dùng để kích hoạt
trigger. Trigger sau khi được kích hoạt sẽ thực hiện các hành động được thiết
lập từ trước: thêm thông báo vào Triggered Alerts và gửi thông báo về mail
cùng với các bản report đính kèm.

45 | Page
46 | Page
 3.4.2 Phát hiện malware trên Windows

3.5 Thu thập log và phân tích

47 | Page
3.6 Kết quả

48 | Page
Chương 4. Kết luận và hướng phát triển
4.1 Kết luận
Với mục tiêu đã đề ra, nhóm chúng tôi đã hoàn thành công việc tìm hiểu,
nghiên cứu cũng như triển khai áp dụng được Splunk vào mô hình mạng thực tế. Qua
đó, nhóm chúng tôi đã kiểm chứng những yếu tố sau của splunk:

 Nguyên lý hoạt động trong môi trường bigdata

 Một số tính năng cơ bản và nâng cao trong việc xử dụng splunk.
 Sức mạnh trong việc truy vết xự cố phát sinh trong hệ thống.
 Điều quan cốt lỗi là chúng tôi đã thu được lượng kiến thức xoay quanh vấn đề
syslog cũng như hiểu thêm về tầm quan trọng của công tác an ninh, bảo mật, phục
hồi mạng.

Kết quả đạt được giúp chúng tôi hiểu sâu hơn về các tính năng mà splunk cung
cấp. Tuy nhiên, do hạn chế về tài liệu, phí sử dụng bản quyền cũng như kinh nghiệm
của nhóm nên bài báo cáo còn nhiều thiếu sót. Nhưng nhóm chúng tôi sẽ cố gắng tiếp
tục tìm hiểu sâu hơn nữa, kể cả sau khi kết thúc bài báo cáo nghiên cứu khoa học này.

4.2 Hướng phát triển

Thế giới công nghệ thông tin nói chung và môi trường mạng nói riêng đang
ngày càng phát triển vượt bậc. Song song với đó ngày càng có nhiều lỗ hõng mạng
được khai thác tạo điều kiện thuận lợi cho hacker xâm nhập gây ảnh hương tiêu
cực đến hệ thống. Ngoài ra, đối với vị trí IT system administrator chúng ta phải
luôn lắng nghe tất cả thông điệp được phát đi từ hệ thống.

Qua đó cho thấy Splunk hoàn toàn phù hợp, cần thiết và đầy đủ khả năng để
đáp ứng những yêu cầu đặt ra đối với một chương trình quản lý, giám sát, cảnh báo
tất cả sự kiện đang âm thầm diễn ra trong hệ thống. Thực tế, Splunk là một trình
dịch viên cao cấp giúp người quản trị giao tiếp một cách trực quan nhất đối với hệ
thống. Qua cái nhìn trực quan ấy mà người quản trị xác định chính xác đâu là

49 | Page
 nguyên nhân dẫn đến sự cố để có thể khắc phục hiệu quả nhất cũng như xây dựng
phương hướng phát triển hệ thống. Tất cả những điều trên chứng minh rằng,
Splunk có đầy đủ khả năng hoạt động trong môi trường datacenter, mạng doanh
nghiệp, mạng dịch vụ, hạ tầng mạng,.. cũng như hỗ trợ các thiết bị cisco, IBM,…

Tổng hợp các điều trên chỉ ra, bất kỳ nơi nào có hệ thống mạng tồn tại, nơi nào có hệ
thống log tồn tại là nơi đó có thể ứng dụng Splunk.

50 | Page
Tài liệu tham khảo
[1]. Splunk Home
[2]. VNCS Documentation
[3]. Welcome-to-Splunk-Partner-Training.pdf
[4]. Splunk setup
[5]. Splunk Alert Action : Email Notification
[6]. Splunk-Awsome-List
[7]. what-is-the-difference-between-siem-and-soc

51 | Page